Wachtwoorden zijn een essentieel onderdeel van ons dagelijkse digitale leven. We gebruiken ze om onze accounts, onze apparaten en onze geheimen te beschermen. Hoewel ze vaak het enige zijn tussen ons en een tegenstander die uit is op onze privégegevens, wordt er niet veel aandacht aan besteed, wat er vaak toe leidt dat mensen wachtwoorden gebruiken die gemakkelijk geraden of gebruteforcet kunnen worden.
Best practices¶
Gebruik unieke wachtwoorden voor elke dienst¶
Stel je voor: je meldt je aan voor een account met dezelfde e-mail en hetzelfde wachtwoord op meerdere online diensten. Als een van die dienstverleners kwaadwillend is, of hun dienst een datalek heeft waardoor uw wachtwoord in een onversleuteld formaat wordt vrijgegeven, hoeft een kwaadwillende alleen maar die combinatie van e-mail en wachtwoord te proberen bij meerdere populaire diensten totdat hij iets vindt. Het maakt dan niet uit hoe sterk dat ene wachtwoord is, omdat ze het al hebben.
Dit heet credential stuffing, en het is een van de meest voorkomende manieren waarop jouw accounts kunnen worden gecompromitteerd door kwaadwillenden. Om dit te voorkomen, moet u ervoor zorgen dat u uw wachtwoorden nooit opnieuw gebruikt.
Gebruik willekeurig gegenereerde wachtwoorden¶
Je moet nooit vertrouwen op jezelf om een goed wachtwoord te bedenken. Wij raden aan willekeurig gegenereerde wachtwoorden of diceware passphrases met voldoende entropie te gebruiken om je accounts en apparaten te beschermen.
Al onze aanbevolen wachtwoordmanagers bevatten een ingebouwde wachtwoordgenerator die je kunt gebruiken.
Roterende wachtwoorden¶
Wachtwoorden die je moet onthouden (zoals het hoofdwachtwoord van jouw wachtwoordmanager) moet je niet te vaak veranderen, tenzij je reden hebt om aan te nemen dat ze gecompromitteerd zijn, omdat je door ze te vaak te veranderen het risico loopt ze te vergeten.
Als het gaat om wachtwoorden die je niet hoeft te onthouden (zoals wachtwoorden die zijn opgeslagen in jouw wachtwoordmanager), adviseren wij, als jouw dreigingsmodel daarom vraagt, belangrijke accounts door te nemen (vooral accounts die geen multi-factor authenticatie gebruiken) en hun wachtwoord om de paar maanden te wijzigen, voor het geval ze zijn gecompromitteerd in een datalek dat nog niet openbaar is geworden. Bij de meeste wachtwoordmanagers kunt u een vervaldatum voor uw wachtwoord instellen om dit gemakkelijker te beheren.
Checking for data breaches
Als je met jouw wachtwoordmanager kunt controleren op gecompromitteerde wachtwoorden, doe dat dan en wijzig onmiddellijk alle wachtwoorden die bij een datalek bekend zijn geworden. Je kunt ook de Have I Been Pwned's Latest Breaches feed volgen met behulp van een nieuwsaggregator.
Sterke wachtwoorden maken¶
Wachtwoorden¶
Veel diensten leggen bepaalde criteria op voor wachtwoorden, zoals een minimale of maximale lengte, en welke speciale tekens eventueel mogen worden gebruikt. Gebruik de ingebouwde wachtwoordgenerator van uw wachtwoord manager om wachtwoorden te maken die zo lang en complex zijn als de dienst toelaat, met hoofdletters en kleine letters, cijfers en speciale tekens.
Als je een wachtwoord nodig hebt dat je kunt onthouden, raden wij een diceware wachtwoord zinnen aan.
Diceware wachtwoord zinnen¶
Diceware is een methode om wachtzinnen te maken die gemakkelijk te onthouden zijn, maar moeilijk te raden.
Diceware passphrases zijn een geweldige optie wanneer je jouw gegevens uit het hoofd moet leren of handmatig moet invoeren, zoals voor het hoofdwachtwoord van jouw wachtwoord manager of het coderingswachtwoord van jouw apparaat.
Een voorbeeld van een diceware wachtwoord zin is: zichtbaar snelheid hond terughoudend zeventien weergegeven potlood
.
Volg deze stappen om een diceware passphrase te genereren met echte dobbelstenen:
Note
These instructions assume that you are using EFF's large wordlist to generate the passphrase, which requires five dice rolls per word. Andere woordenlijsten kunnen meer of minder rollen per woord vereisen, en kunnen een ander aantal woorden nodig hebben om dezelfde entropie te bereiken.
-
Gooi vijf keer met een zeszijdige dobbelsteen en noteer het getal na elke worp.
-
Laten we bijvoorbeeld zeggen dat u
2-5-2-6-6
heeft gerold. Look through the EFF's large wordlist for the word that corresponds to25266
. -
U vindt het woord
gecodeerd
. Schrijf dat woord op. -
Herhaal dit proces totdat jouw wachtwoord zoveel woorden bevat als je nodig hebt, die je moet scheiden met een spatie.
Important
Je moet niet opnieuw woorden rollen totdat je een combinatie van woorden krijgt die je aanspreekt. Het proces moet volledig willekeurig zijn.
Als je geen toegang hebt tot of liever geen echte dobbelstenen gebruikt, kunt je de ingebouwde wachtwoordgenerator van jouw wachtwoord manager gebruiken, omdat de meeste daarvan de optie hebben om naast gewone wachtwoorden ook diceware wachtwoord zinnen te genereren.
We recommend using EFF's large wordlist to generate your diceware passphrases, as it offers the exact same security as the original list, while containing words that are easier to memorize. Er zijn ook andere woordenlijsten in verschillende talen, als u niet wilt dat uw wachtwoord in het Engels is.
Explanation of entropy and strength of diceware passphrases
To demonstrate how strong diceware passphrases are, we'll use the aforementioned seven word passphrase (viewable fastness reluctant squishy seventeen shown pencil
) and EFF's large wordlist as an example.
One metric to determine the strength of a diceware passphrase is how much entropy it has. The entropy per word in a diceware passphrase is calculated as and the overall entropy of the passphrase is calculated as:
Therefore, each word in the aforementioned list results in ~12.9 bits of entropy (), and a seven word passphrase derived from it has ~90.47 bits of entropy ().
The EFF's large wordlist contains 7776 unique words. To calculate the amount of possible passphrases, all we have to do is , or in our case, .
Let's put all of this in perspective: A seven word passphrase using EFF's large wordlist is one of ~1,719,070,799,748,422,500,000,000,000 possible passphrases.
Gemiddeld duurt het proberen van 50% van alle mogelijke combinaties om uw zin te raden. Met dat in gedachten, zelfs als uw tegenstander in staat is tot ~1.000.000.000.000 raden per seconde, zou het hem nog steeds ~27.255.689 jaar kosten om uw wachtwoord te raden. Zelfs als de volgende dingen waar zijn:
- Je tegenstander weet dat je de diceware-methode hebt gebruikt.
- Je tegenstander kent de specifieke woordenlijst die je gebruikt hebt.
- Jouw tegenstander weet hoeveel woorden jouw wachtwoord bevat.
Kortom, diceware wachtzinnen zijn jouw beste optie wanneer je iets nodig hebt dat zowel gemakkelijk te onthouden is als uitzonderlijk sterk.
Wachtwoorden opslaan¶
Wachtwoordmanagers¶
De beste manier om jouw wachtwoorden op te slaan is met behulp van een wachtwoordmanager. Hiermee kunt je jouw wachtwoorden opslaan in een bestand of in de cloud en ze beschermen met een enkel hoofdwachtwoord. Op die manier hoeft u maar één sterk wachtwoord te onthouden, waarmee je toegang krijgt tot de rest.
Er zijn veel goede opties om uit te kiezen, zowel cloud-gebaseerd als lokaal. Kies een van onze aanbevolen wachtwoordbeheerders en gebruik deze om sterke wachtwoorden in te stellen voor al jouw accounts. Wij raden je aan om jouw wachtwoordmanager te beveiligen met een diceware wachtwoord zin bestaande uit ten minste zeven woorden.
Lijst van aanbevolen wachtwoordmanagers
Don't place your passwords and TOTP tokens inside the same password manager
When using TOTP codes as multi-factor authentication, the best security practice is to keep your TOTP codes in a separate app.
Het opslaan van jouw TOTP-tokens op dezelfde plaats als jouw wachtwoorden is weliswaar handig, maar beperkt de accounts tot één factor in het geval dat een tegenstander toegang krijgt tot jouw wachtwoord manager.
Verder raden wij af om herstelcodes voor eenmalig gebruik op te slaan in uw wachtwoord manager. Deze moeten apart worden opgeslagen, zoals in een versleutelde container op een offline opslagapparaat.
Back-ups¶
Je moet een gecodeerde back-up van jouw wachtwoorden opslaan op meerdere opslagapparaten of een cloud-opslagprovider. Dit kan nuttig zijn als er iets gebeurt met jouw toestel of de dienst die je gebruikt.