We worden dagelijks geconfronteerd met inlognamen en wachtwoorden. Het onthouden van je inlognaam is nog wel te doen, maar al die verschillende wachtwoorden? Er wordt aangeraden niet overal hetzelfde wachtwoord te gebruiken. Je kunt je wachtwoorden bewaren door bijvoorbeeld een password manager te gebruiken. Handig, maar voor toegang ertoe zul je ook een sterk wachtwoord moeten gebruiken en onthouden. En vergeet niet dat die database ook gehackt kan worden. Je kunt je wachtwoord opschrijven op post-its en die onder je toetsenbord verstoppen. Daar zoekt vast niemand. Er zijn organisaties waar gebruikersnamen en wachtwoorden zichtbaar voor iedereen zijn. Daar worden deze gegevens open en bloot op een raam of op een computer geplakt. Het is tijd om aan dat prutswerk een einde te maken en sterke wachtwoorden te gebruiken zonder post-its!
Hoe verzin en onthoud ik een sterk wachtwoord
- Bedenk een standaard zin
dit wachtwoord van .. kan ik wel onthouden - Selecteer van elk woord de eerste letter.
dwv..kiwo - Verander enkele letters door een cijfer. De i wordt een 1 en de o wordt een 0
dwv..k1w0 - Op de plek van de .. komen de eerste 2 letters van de website te staan waar je wilt inloggen. Hier gebruik ik hoofdletters. Bijvoorbeeld:
Bol –> dwvBOk1w0
Wehkamp –> dwvWEk1w0 - Tot slot voeg je nog 3 speciale tekens toe
Vodafone –> dwvVOk1w0###
Ziggo –> dwvZIk1w0###
En voila! Sterke wachtwoorden zonder post-its en zonder password manager! Bovenstaand is een voorbeeld van hoe je verschillende wachtwoorden kunt bedenken en onthouden. Je kunt naar eigen creativiteit zelf een mooie wachtzin maken en bewerken.
“Er is niet voor niets een lijstje met meest gebruikte wachtwoorden”
Wachtwoordenbeleid
Elke organisatie heeft eigen regels opgesteld met betrekking tot het wachtwoordenbeleid. Een sterk wachtwoord alleen is niet voldoende om je te beschermen tegen een hacker. We blijven mensen en waar mensen werken worden fouten gemaakt. We kunnen elkaar wel bewust maken van alle valkuilen en de risico’s op misbruik van wachtwoorden verkleinen.
Elke 90 dagen je wachtwoord wijzigen
In het wachtwoordenbeleid is meestal vastgesteld, dat elke 30, 90 of 100 dagen het wachtwoord moet worden gewijzigd. Van de gebruiker wordt best veel inspiratie verwacht. Het gevolg kan zijn, dat er redelijk voor de hand liggende wachtwoorden worden gebruikt: Voorbeelden zijn: Dinsdag15!, Augustus2017#, P1ndakaa$. Het is niet verkeerd, maar het nodigt daarnaast wel uit om je wachtwoord ergens op te schrijven. Je kan overwegen om het periodiek wijzigen van het wachtwoord aan te passen naar bijvoorbeeld één jaar. En deze onder de noemer jaarlijkse inspiratie-wachtwoorden-sessie te wijzigen. Dit maakt het misschien ook wat leuker.
“Schaf het gebruik van groepsaccounts zo snel mogelijk af.”
Veel gebruikte wachtwoorden
Het gebruik van het wachtwoord wordt veelal gezien als noodzakelijk kwaad. En zo gaan veel mensen er ook mee om. Er is niet voor niets een lijstje met meest gebruikte wachtwoorden. Staat jouw wachtwoord in dit overzicht van veelgebruikte wachtwoorden? Misschien is het dan toch beter je wachtwoord aan te passen. Nog niet overtuigd? Op deze website kun je zien hoe snel jouw wachtwoord kan worden gehackt.
Toegang via groepsaccount
In de praktijk wordt er nog ingelogd in systemen met groepsaccounts. Meerdere gebruikers loggen dan in onder één inlognaam, bijvoorbeeld: Secretariaat met hetzelfde wachtwoord. Gaat een collega uit dienst, dan wordt vaak vergeten het wachtwoord van zo’n groepsaccount te wijzigen. Het risico is dat die vertrokken persoon nog steeds kan inloggen in een website of systeem. Feitelijk heeft deze persoon daar geen toegang meer toe. Schaf daarom het gebruik van groepsaccounts zo snel mogelijk af. Ook bij het gebruik van Social Media.
Het delen van je inloggegevens
Collega’s onderling vragen soms onderling ook naar elkaars inloggegevens. Redenen hiervoor kunnen zijn, dat die persoon nog geen toegang tot het systeem heeft of dat die persoon bepaalde rechten in het systeem niet heeft. Deel je persoonlijke inloggegevens niet. Er kan een reden zijn, waarom die persoon geen of beperkte toegang tot het systeem heeft. Heb je meer rechten nodig, dien dan een verzoek in voor uitbreiding van je rechten. Deel je je gegevens wel, dan ben jij verantwoordelijk voor wat die persoon in het systeem doet.
Wachtwoord van de administrator
Een systeembeheerder verzorgt de toegang tot en beveiliging van de systemen. Met zijn “administrator account” heeft hij toegang tot het gehele systeem. Eerder dit jaar was een zorginstelling vergeten het wachtwoord van de vertrokken systeembeheerder te wijzigen. De systeembeheerder had daardoor ongeoorloofd toegang tot allerlei bedrijfsgegevens. Wijzig de administrator wachtwoorden zodra een systeembeheerder vertrekt. Voorkom ongeoorloofde toegang tot jouw bedrijfsgegevens.
Procedures (afspraken) zijn er niet voor niets
We maken met zijn allen afspraken over het gebruik van wachtwoorden. Als helpdeskmedewerker word je ook geconfronteerd met gebruikers die hun wachtwoord kwijt zijn. In het volgend filmpje laat een hacker zien hoe binnen twee minuten het account van het slachtoffer is gehackt met behulp van de meelevende helpdeskmedewerker. Dit wordt social engineering genoemd.
Zonder pardon worden alle procedures en afspraken vergeten. Uit sympathie en medeleven wordt de hacker door de professionele helpdeskmedewerker bediend. Houd je aan de afspraken, ze zijn er niet voor niets.
Wijzig-al-je-wachtwoorden-dag
Misschien heb je na het lezen van deze blog inspiratie opgedaan om zelf sterke wachtwoorden te verzinnen. Wat vind je van het idee om vrijdag 1 september de wijzig-al-je-wachtwoorden-dag in te voeren? Ik adviseer dat om voorafgaand aan de vrijdagmiddag borrel te doen, alhoewel er ‘smiddags waarschijnlijk meer inspiratie zal zijn. Stel, je wilt die dag al je wachtwoorden voor het komende jaar wijzigen, hoe bereid je dit voor?
- Maak een lijstje met alle websites waarin je inlogt;
- Maak een lijstje met alle systemen die aan het internet gekoppeld zijn (modems, computers, camera’s, etc.);
- Leg van bovenstaande gegevens je inlognaam vast. Probeer zoveel mogelijk dezelfde inlognaam te gebruiken, bijvoorbeeld je e-mail adres;
- Bedenk in de tussentijd jouw persoonlijke wachtzin zoals in bovenstaande stappenplan vermeld;
- Vrijdag 1 september: wijzig je wachtwoorden dag.
kikadewado (Kind kan de was doen)! Kom je er toch niet uit of heb je hulp en inspiratie nodig. Call me!
Kennis en ervaring delen is fijn
De insteek van deze blog is om je na te laten denken over het gebruik van sterke wachtwoorden. Je kunt jouw ervaringen en tips delen met anderen (als je wilt) door een reactie onder deze blog te plaatsen.
Security awareness
Security awareness (bewustwording) begint op de werkvloer. Security is deels technisch en grotendeels afhankelijk van medewerkers. In eerdere blogs heb ik onder andere stil gestaan bij het herkennen van phising e-mail en whaling. Deze praktische tips zijn leuk om door te lezen en direct toepasbaar. Hoe bewust zijn jouw collega’s, jouw medewerkers in het herkennen van digitale oplichting? Hoe bewust zijn jouw collega’s in het beveiligen van data. Ik kan helpen! Wil je meer weten, neem dan vooral contact met mij op.