Traitement sécurisé des mots de passe
De nombreux sites web et ordinateurs sont protégés par un mot de passe. Cependant, tout le monde ne gère pas les mots de passe avec la même sécurité. Cela crée des risques pour la sécurité.
Grâce à cet outil, vous apprendrez :
- Comment gérer les mots de passe en toute sécurité ;
- Ce qu'est un bon mot de passe ;
- Comment utiliser un gestionnaire de mots de passe.
Dans votre vie privée comme dans votre vie professionnelle, les systèmes informatiques et les sites Internet que vous utilisez nécessitent souvent un mot de passe. Cela crée des risques pour la sécurité. De plus, tous ces mots de passe différents sont difficiles à retenir.
Conserver vos mots de passe sur une feuille ou dans un document n'est pas une bonne idée. Cet outil vous explique, entre autres, comment créer des mots de passe forts et sûrs, comment vérifier que votre mot de passe est sûr et fort, ce qu'est un gestionnaire de mots de passe et comment l'utiliser.
Comment gérer les mots de passe en toute sécurité ?
Utilisez des mots de passe forts et sûrs
Beaucoup d'entre nous utilisent des mots de passe évidents et faciles à retenir. Après tout, vous ne voulez pas vous compliquer la vie et être en mesure de vous connecter rapidement. Vous ne voulez pas non plus oublier votre mot de passe et devoir cliquer pour la énième fois sur le fameux bouton "mot de passe oublié". Cependant, une telle approche aboutit à de mauvais mots de passe, tels que "123456", "password", "azerty" ou encore la combinaison de votre nom et de votre année de naissance. Ces mots de passe ne sont pas sûrs, car des programmes peuvent facilement les décrypter.
Le site Internet Safeonweb.be, une initiative du gouvernement belge, fournit une série de conseils utiles sur la manière de créer des mots de passe forts et sûrs.
Ce que vous devez ABSOLUMENT faire :
- Combinez des lettres majuscules et minuscules, des chiffres, des symboles et des signes de ponctuation.
L'utilisation de chiffres, de majuscules, de symboles et de signes de ponctuation rend votre mot de passe plus difficile à déchiffrer, car elle augmente considérablement le nombre de combinaisons possibles. Vous pouvez utiliser des chiffres, des lettres majuscules et des symboles n'importe où dans votre mot de passe ou votre phrase.
- Utilisez un long mot de passe
Gebruik een wachtwoord dat bestaat uit minstens dertien karakters. Vaak is het gemakkelijker om een wachtzin of passphrase te onthouden dan een wachtwoord. Je dient dan wel een zin te kiezen die alleen voor jou betekenis heeft, en die niet alleen bestaande woorden bevat. Een voor de hand liggende zin als bijvoorbeeld ‘iloveyou’ is dus geen goede keuze.
Wat je zeker NIET moet doen:
- Gebruik geen voorspelbaar wachtwoord.
- Gebruik geen persoonlijke gegevens, zoals je naam en geboortejaar (bijvoorbeeld ‘JouwNaam1985’).
- Gebruik geen bekende uitdrukkingen, zoals ‘Plukdedag’.
- Gebruik geen teller, zoals 'Plukdedag1', 'Plukdedag2', 'Plukdedag3'...
- Herhaal geen karakters, zoals bijvoorbeeld ‘aaabbbccc’.
- Gebruik niet voor elk account hetzelfde wachtwoord.
Hetzelfde wachtwoord voor verschillende accounts gebruiken is onverstandig. Als cybercriminelen je wachtwoord voor één website hebben gekraakt, kunnen ze proberen dat wachtwoord ook op andere websites te gebruiken. Het is daarom aangeraden om voor verschillende toepassingen lange en totaal verschillende wachtwoorden te gebruiken, zeker als het gaat om accounts waar je betalingsgegevens of persoonlijke gegevens ingeeft.
- Deel geen wachtwoorden.
Het delen van wachtwoorden is onverstandig. Je weet immers nooit wat er gebeurt met je wachtwoord. Als je toch wachtwoorden wil delen, gebruik dan een password manager of wachtwoordkluis (zie verder) om dat op een veilige manier te doen.
- Bewaar wachtwoorden niet zichtbaar.
- Bewaar je wachtwoorden niet op een opzichtige manier in de buurt van je computer, dus niet gekleefd op je scherm of je bureau. Wachtwoorden bewaar je best ook niet in een e-mail of in een document op je computer, smartphone of tablet.
- Gebruik hetzelfde wachtwoord niet jaren na elkaar.
Het is aangeraden om je wachtwoorden regelmatig te wijzigen: jaarlijks voor je privé-accounts, en nog vaker voor je professionele accounts. Wanneer één van je accounts gehackt is, moet je onmiddellijk je wachtwoorden veranderen. Wanneer je je wachtwoord wijzigt, controleer dan steeds eerst of het probleem bij de website is opgelost. Als dat niet het geval is, verander je immers je wachtwoord tevergeefs.
- Gebruik geen ‘geheime vragen’.
Soms wordt een antwoord op een vraag (bv. ‘hoe heet je huisdier?’) als wachtwoord gebruikt. Probeer dergelijke geheime vragen te vermijden. Het antwoord erop is immers vaak op het internet terug te vinden.
Controleer of je paswoord veilig en sterk is
Wil je weten of je al over een goed wachtwoord beschikt? Op de website How Secure Is My Password kun je testen hoe snel hackers je wachtwoord kunnen kraken. Hoe langer het duurt voor hackers om je wachtwoord te kraken, hoe beter. Om de test te doen vul je op de website je wachtwoord in.
Wij hebben ‘azerty’ als wachtwoord ingevuld. De website laat weten dat dat wachtwoord onmiddellijk gevonden kan worden omdat het bij de 590 meest gebruikte wachtwoorden hoort. Met de rode kleur duidt de tool aan dat het geen goed wachtwoord is.
Wanneer we ‘nastasia’ invullen, laat de website weten dat het in vijf seconden gevonden kan worden, omdat het een woord is. Hij vermeldt bovendien dat andere tekens dan letters het wachtwoord moeilijker kunnen maken. ‘nastasia1’ als wachtwoord ingeven brengt niet veel zoden aan de dijk. Ook dat wachtwoord is te kort en kan op 42 minuten gevonden worden. Wanneer we van de eerste letter een hoofdletter maken ('Nastasia1') doet een computer er drie dagen over om het wachtwoord te vinden.
Een uitroepteken toevoegen (‘Nastasia1!’) maakt het al iets moeilijker. Een computer zal er nu drie maanden over doen om wachtwoord te vinden.
We kiezen voor een langer wachtwoord, en gaan voor een wachtzin. Dat is een volledige zin in plaats van een korte opeenvolging van letters, cijfers en tekens bij een wachtwoord. Een voordeel van een wachtzin is de lengte. Meestal is een wachtzin ook makkelijker te onthouden. We opteren voor ‘KoffieIsLekker’. De tool geeft aan dat het een computer 837.000 jaar zou kosten om dat wachtwoord te raden.
Als we vervolgens nog cijfers en tekens toevoegen en er ‘K0ff1e1sLekker!’ van maken, zou het zelfs zestien miljard jaar duren voor een computer het wachtwoord raadt. Tekens en cijfers zijn echter niet noodzakelijk. ‘Debrunchwaslekker’ vraagt 118 miljard jaar van een computer om de wachtzin te vinden.
Op de website https://haveibeenpwned.com/ kun je controleren of je al eens slachtoffer geweest ben van een datalek. Indien dat het geval is, verander je best je wachtwoord.
Gebruik verificatie in twee stappen
Een aanvullende manier om veiliger met wachtwoorden om te gaan is het gebruik van verificatie in twee stappen. Daarbij wordt meestal gebruik gemaakt van iets dat je weet (bv. een wachtwoord) en iets dat je hebt (bv. een gsm) of iets dat je 'bent' (bv. vingerafdruk). Het gebruik van verificatie in twee stappen is eenvoudig.
In de eerste stap log je met je wachtwoord in bij je account (vb. Facebook, Twitter, Google, Microsoft). In de tweede stap stuurt de website een code naar je gsm die je invult om toegang te krijgen tot je account. Er zijn ook andere manieren voor verificatie in twee stappen zoals bv. de Google Authenticator App of fysieke keys.
Gebruik een password manager of wachtwoordkluis
Als je veel complexe wachtwoorden hebt die je moet onthouden, is het een goed idee om een password manager of wachtwoordkluis te gebruiken. Password managers of wachtwoordmanagers zijn gemaakt om op een veilige manier je accounts en hun bijbehorende wachtwoorden veilig op te slaan in de vorm van een versleutelde databank. De wachtwoordkluis zelf beveilig je met een sterk wachtwoord. Het voordeel daarvan is dat je snel en relatief veilig aan je wachtwoorden kan en dat je in principe maar één wachtwoord moet onthouden. Dat is meteen een belangrijk aandachtspunt. Je versleutelt immers al je wachtwoorden met één wachtwoord. Zorg dus dat je hoofdwachtwoord voldoende lang is en uit hoofdletters, kleine letters, cijfers en leestekens bestaat.
Er zijn verschillende soorten wachtwoordmanagers, die elk hun eigen voor- en nadelen hebben:
- hardwarematige wachtwoordmanager;
- softwarematige wachtwoordmanagers;
- online wachtwoordmanagers.
Hardwarematige wachtwoordmanagers hebben de vorm van een USB-stick, die als fysieke sleutel dient. Het nadeel is dat je die sleutel kan verliezen en dat hij gestolen kan worden. Het voordeel is dat je wachtwoorden offline bijgehouden worden, en ze in principe gevrijwaard blijven van beveiligingsrisico’s die kunnen ontstaan door verbinding met het internet of door andere software.
Softwarematige wachtwoordmanagers worden als een programma geïnstalleerd op je computer. Een programma dat loopt op je computer is mogelijk kwetsbaar doordat andere software je computer kan doen vastlopen, of je databank corrupt of onbeschikbaar kan maken. Een voorbeeld van een opensourcewachtwoordmanager is KeePass. Dat die wachtwoordmanager opensource is, impliceert dat zijn broncode kan worden ingekeken. Dat is geen overbodige luxe bij software die al je wachtwoorden beheert. Het laat ontwikkelaars ook toe om de broncode te gebruiken opdat de wachtwoordmanager op diverse besturingssystemen en webbrowsers kan draaien (bv. Linux, Windows, MacOS, Firefox en Chrome).
Online wachtwoordmanagers kun je enkel via je webbrowser bereiken. Ze hebben als voordeel dat je wachtwoorden overal bereikbaar zijn. Het nadeel is wel dat je de controle uit handen geeft, en geen zekerheid hebt over wat er met je data (opgeslagen in je wachtwoordendatabank) gebeurt. LastPass en Dashlane zijn voorbeelden van online wachtwoordmanagers. Ze werken als een cloud service waarbij je inlogt met je hoofdwachtwoord en je wachtwoorden vervolgens via het internet worden doorgestuurd naar je computer, smartphone of tablet. Meestal wordt LastPass gebruikt als een extensie/add-on van je webbrowser, of als mobiele app. Dashlane biedt ook een lokale installatie aan. Het verschil met softwarematige wachtwoordmanagers zit in het feit dat alle functies gratis kunnen gebruikt worden.
In onderstaande handleidingen worden KeePassXC en Tusk besproken.
Auteurs : Lode Scheers (meemoo), Nastasia Vanderperren (meemoo) et Rony Vissers (meemoo)