Tech

Over goede wachtwoorden en password managers

October 20, 2019

Met enige regelmaat valt in het nieuws te horen dat er weer een grote hoeveelheid login gegevens op straat liggen van een of ander bedrijf en dan wordt het meestal aangeraden om zo snel mogelijk je wachtwoord te veranderen. En heb je hetzelfde wachtwoord ook bij andere websites gebruikt? Doe dat dan daar ook gelijk maar. Was je net op het punt dat je dat ene ingewikkelde wachtwoord kon onthouden, moet je weer iets nieuws gaan verzinnen! Hoe weet je eigenlijk of jouw inlog gegevens op straat liggen? En zo ja, is het dan al die moeite waard om je wachtwoorden aan te passen? Heeft een hacker echt interesse in jouw account of wordt je alleen bang gemaakt?

In deze post hoop ik een aantal van deze vragen te beantwoorden, maar bovenal een oplossing te bieden in de vorm van een password manager. Voordat ik daarover begin zullen we het eerst nog eens hebben over wat nu precies een goed wachtwoord is en wat juist niet. Daarna zal ik wat mogelijkheden aanbieden om te controleren of een of meerdere van je accounts op straat liggen. Hopelijk zal je je op dat moment realiseren dat het bedenken van een echt sterk wachtwoord simpelweg niet samen gaat met hoe het menselijk brein in elkaar steekt en gaan overwegen om een password manager als Lastpass of Bitwarden te gaan gebruiken.

Goede en minder goede wachtwoorden

Zoals voor bijna alle situaties is er een relevante XKCD comic. Zo ook over goede en minder goede wachtwoorden. Credit: Randall Munroe (https://xkcd.com/936/).

Om te begrijpen waarom je vaak gevraagd wordt een wachtwoord met een minimum aantal tekens, hoofdletters, leestekens, enzovoorts, te bedenken zullen we kijken naar een simpel voorbeeld.

Laten we zeggen dat we een wachtwoord moeten verzinnen van vier tekens lang en deze mag alleen cijfers bevatten, een pincode dus. Er zijn dan in totaal 10⨉10⨉10⨉10 = 10 000 mogelijkheden.
Als letters ook tot de mogelijkheid behoren kunnen we opeens 36 opties per teken gebruiken. Dit vergroot het totaal aantal mogelijke wachtwoorden tot 364 = 1 679 616. Als we dan ook nog hoofdletters (+26 per teken) of leestekens (ongeveer +32 per teken) toestaan neemt het aantal mogelijkheden exponentieel toe.
Toch zal een wachtwoord van vier tekens, zelfs als alle mogelijkheden worden toegestaan, in zeer korte tijd door een computer kunnen worden geraden. Er zit dan maar een ding op, we kiezen een langer wachtwoord.
Op de website How Secure Is My Password kan je simuleren hoe lang een computer bezig zou zijn om jouw wachtwoord te raden. Nemen we bijvoorbeel het wachtwoord a5&G dan duurt dit slechts 0.9 milliseconden. Als we dit wachtwoord een teken langer maken, a5&G2, dan duurt het al 75 keer zo lang. De truuk is dan om een wachtwoord te kiezen dat zo lang is dat het praktisch onmogelijk is om het wachtwoord te raden. Voor het wachtwoord Su&HjX47bniZgT (14 tekens) heeft een computer 204 miljoen jaar nodig. Voor de meeste mensen is dat een aanvaardbaar risico.

Goed, dus een sterk wachtwoord gebruikt alle soorten tekens en is zo lang mogelijk. Alleen hoe kan je in hemelsnaam een wachtwoord als Su&HjX47bniZgT onthouden? Maar weinig mensen zal het lukken dit te onthouden. Een goed alternatief is dan om, in plaats van een wachtWOORD, een zogenaamde wachtZIN te gebruiken (overigens vind ik het engelese passPHRASE beter klinken). Er wordt wat complexiteit ingeleverd (geen leestekens of cijfers) in ruil voor een langer wachtwoord dat ook nog eens makkelijker te onthouden is. Een aantal woorden, al dan niet ongerelateerd aan elkaar, zorgen voor een lang en lastig te kraken wachtwoord. De XKCD die bovenaan deze paragraaf staat legt dit goed uit.

Nog een argument voor het gebruiken van een wachtZIN is dat veel mensen cijfers en leestekens als substituties voor letters zullen kiezen, het zogenaamde leet speak. Iets als p@ssw0rd is vrijwel net zo makkelijk te onthouden als password, maar lijkt in eerste instantie een stuk moeilijker te kraken. Helaas heeft de gemiddelde hacker dit truckje al door. Bij het schrijven van scripts waarbij wachtwoorden worden geraden wordt meestal gebruik gemaakt van een dictionary, een lijst met veelvorkomende (wacht)woorden. Deze lijst wordt eerst afgewerkt om te kijken of jij zo dom bent geweest een wachtwoord te kiezen dat erg voor de hand ligt. Denk bijvoorbeeld aan password, 12356, etc. Een overzicht van de 10 000 meest voorkomende wachtwoorden kan je vinden op Wikipedia. Is dat niet het geval, dan wordt de lijst nog eens afgewerkt, maar dan met veelvoorkomende substituties. De letter a zou best een @ of een 4 kunnen zijn. Een o zou prima een 0 kunnen zijn. Enzovoorts. De tijd die een computer nodig heeft om dit allemaal te checken is verwaarloosbaar klein. Kortom, maak het jezelf makkelijker door een langer wachtwoord te kiezen.

Een laatste tip voor het kiezen van een sterk wachtwoord is om geen wachtwoord te kiezen dat makkelijk te achterhalen is door middel van social engineering. Als ik van jou weet dat jij geboren bent in 1989 en een konijn hebt met de naam Flappie, dan zou Flappie89 een hoge kans hebben jouw wachtwoord te zijn. Het liefst kies je dus voor een wachtwoord dat niet direct met jou in verband is te brengen.

Idealiter kiezen we dus een wachtwoord dat lang is, niet voorkomt in lijsten met veelgebruikte (wacht)woorden, makkelijk te onhouden is en zorgen we er bovenal voor dat hij niet wordt hergebruikt voor alle websites waar je een account voor aanmaakt. Onderstaande video van Computerphile legt dit nog eens uit.


Password Managers

Ondanks dat alle bovenstaande argumenten voor het kiezen van een sterk wachtwoord logisch zijn, is het nog niet makkelijk om je hier ook consistent aan te houden. Daarom valt het te overwegen een password manager te gaan gebruiken. Een password manager is een programma die voor jou wachtwoorden op kan slaan, kan genereren en meestal ook automatisch voor je in kan vullen op een website. Hieronder zal ik er twee bespreken waar ik zelf ervaring mee heb, Lastpass en Bitwarden. Andere password managers die je kan overwegen zijn Dashlane, 1Password en de ingebouwde password managers in Google Chrome, Mozilla Firefox of Apple Safari.


Lastpass

Lastpass is waarschijnlijk de meest populaire password manager. Je wachtwoorden en gebruikersnamen worden in een digitale kluis (voor de nerds: met AES-256 bit encryptie met PBKDF2 SHA-256 en salted hashes) opgeslagen op de servers van Lastpass. Door de implementatie van end-to-end versleuteling worden de wachtwoorden alleen ontsleuteld op het apparaat van de gebruiker en kan Lastpass dus niet zomaar wachtwoorden lezen op hun servers.

Voor deze digitale kluis moet je echter wel een wachtwoord of wachtzin onthouden. Omdat dit de sleutel zal zijn tot al je andere informatie is het slim hier een sterk wachtwoord voor te kiezen en bij voorkeur ook gebruik te maken van Two-Factor Authentication.

Het belangrijkste van een password manager is toch wel hoe fijn hij is in het dagelijks gebruik en of hij beschikbaar is op de apparaten die je gebruikt. Het is goed om te weten dat dit bij Lastpass geen probleem is. De gebruikersinterface is simpel en duidelijk en werkt op vrijwel alle apparaten. Apps zijn beschikbaar voor Windows, Mac, Linux, iOS en Android en als browser extensie voor Chrome, Firefox, Safari en Opera. Dan is het ook nog mogelijk om bij je kluis te komen via de webinterface, voor wanneer je ergens moet inloggen op een andere computer. Doordat de digitale kluis met wachtwoorden op een centrale server staat worden de wachtwoorden snel gesynchroniseerd naar alle apparaten.

Het automatisch invullen van gebruikersnamen en wachtwoorden werk intiuïtief en er is zelfs een functie om, voor populaire websites, automatisch je wachtwoord te laten veranderen, wanneer je vind dat dat nodig is. Nadat je op de knop heb gedrukt gaat er een scriptje lopen die alles voor je doet. Best magisch om te zien gebeuren!

Nog een fijne functie is het makkelijk kunnen delen van wachtwoorden met vrienden en familie, zelfs als deze nog geen eigen Lastpass account hebben. Zo kan je dus makkelijk het wachtwoord van je Netflix delen met familie. Het is hierbij mogelijk om te kiezen of de persoon met wie het wachtwoord gedeeld wordt dit wachtwoord kan zien of niet.

De web-interface van Lastpass

De meeste functies zijn beschikbaar bij een gratis account, maar bij betaling komen er nog extra functies vrij. Echter, voor de meeste mensen is Lastpass Free voldoende.

Tot slot is het goed om nog een paar nadelen te noemen. Voor de privacy-gevoelige mensen zal het knagen dat de wachtwoorden, ondanks dat ze sterk versleuteld zijn, opgeslagen worden op centrale servers van Lastpass, waar de gebruikers er geen zicht op hebben. Daarnaast is de software niet publiekelijk te bekijken. Er zijn in het verleden wel audits geweest door externe bedrijven die de code mochten inspecteren. Of je die wel of niet vertrouwd is aan jou.


De web-interface van Bitwarden

Bitwarden

Een open-source alternatief voor Lastpass is Bitwarden. Dit is de password manager die ik nu een half jaar zelf gebruik. Net als lastpass worden alle gebruikersnamen en wachtwoorden opgeslagen in een digitale kluis door middel van een master password. Dezelfde encryptie standaarden als bij Lastpass worden toegepast om alles te versleutelen. Voor de privacy goeroes wordt het mogelijk gemaakt om de wachtwoordkluis op een eigen server te bewaren, zodat je niet hoeft te vertrouwen dat bedrijven verantwoordelijk omgaan met jouw data. Recentelijk heeft ook een grote audit plaatsgevonden, waaruit bleek dat er geen significante kwetsbaarheden aanwezig waren. Apps en extensies zijn beschikbaar voor vrijwel alle platformen, inclusief de Tor-browser of zelfs via een Command Line interface. Net als Lastpass biedt ook Bitwarden een webinterface aan.

De gebruikersinterface is iets meer bare-bones en gericht op functionaliteit over design, maar in de praktijk merk je hier niet zo veel van. Een voorbeeld hiervan is auto-fill, welk nog in de experimentele fase zit. Hierdoor kost het een extra klik om je gegevens in te laten vullen (rechtermuisklik, bitwarden, auto-fill).

Het delen van wachtwoorden is ook bij Bitwarden mogelijk, maar hierbij is het een vereiste dat de andere persoon ook al een account heeft. De hoeveelheid wachtwoorden die gedeeld kan worden is ook vrij beperkt bij een gratis account. Voor mij persoonlijk heeft dit geen problemen opgeleverd, maar voor sommige mensen kan dit een significant nadeel zijn.

Een nieuw wachtwoord genereren werkt simpel en allerlei opties zijn mogelijk, zoals de lengte van het wachtwoord en of er leestekens of hoofdletters in mogen zitten. Wanneer Bitwarden detecteert dat er is ingelogd met een account dat nog niet in de kluis zit, wordt gevraagd of je deze op wilt slaan. Kortom, Bitwarden is net als Lastpass een volledige password manager.


Conclusie

Het mag duidelijk zijn dat het hergebruiken van een makkelijk te onthouden wachtwoord niet veilig en ook niet nodig is. Door het gebruik van een password manager wordt het digitale leven gewoon een stuk makkelijker en minder stressvol. Een groot lek van wachtwoorden zorgt er immers voor dat het niet meer nodig is overal een nieuw wachtwoord te hoeven instellen. Persoonlijk gebruik ik Bitwarden, omdat ik waarde hecht aan het feit dat de software open-source is en door iedereen geinspecteerd kan worden. In theorie zou dit er voor moeten zorgen dat deze software daardoor zo veilig mogelijk is. Voor de meeste mensen zou ik echter Lastpass aanraden als een eerste password manager. En als je dan later toch besluit over te stappen, dan is dit zelfs nog niet eens zo heel ingewikkeld, maar dat is een verhaal voor een andere keer.


Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.