Als cloud service provider zijn we actief bezig met online veiligheid. Zo zijn we volop bezig met de voorbereiding van onze ISO270001 certificering. Naar aanleiding daarvan, alsook het feit dat het 28 januari ‘Data Protection Day’ was en op 1 februari ‘Verander je wachtwoord dag’ leek het ons de ideale moment om er een paar blogposts aan te wijden. We vroegen aan de collega’s van Kinamo een blogpostje te schrijven over waar ze aan dachten bij het horen van ‘Data Protection’.
Tot nu toe deelden we al blogposts rond hoe een veilige website te herkennen, het veilig online backuppen van onze data en een social media data onderhoud.
In deze blogpost deelt Koen informatie over paswoord managers. Koen werkt al meer dan 12 jaar voor Kinamo als Sysadmin. Hij zorgt voor een performante én veilige infrastructuur voor Kinamo en voor onze klanten.
Waarom een paswoord manager?
“Waarom heb ik dit nodig?”, horen we je afvragen. Mogelijk heb je gelijk, mogelijk heb je zeer veilige wachtwoorden en een perfect systeem uitgedacht… maar neem toch even de tijd verder te lezen!
Er is al veel geschreven rond het bedenken van het ideale wachtwoord. Toch zien we in de praktijk vaak dat het hier al mis gaat. Er zijn ook tal van systemen om bij het opnieuw instellen van een wachtwoord, de gebruiker in de goede richting te leiden. Zo krijg je bij het instellen van een wachtwoord vaak tips die zouden moeten helpen bij het “kiezen” van een sterk wachtwoord. En toch zijn mensen zo creatief dat we toch nog eenvoudig te raden wachtwoorden gebruiken zoals ‘Secretword’.
Wachtwoorden zijn best complex, lang en dus voor de meeste mensen niet makkelijk te onthouden. Daarbij komt nog dat je best voor iedere site, service of systeem een ander wachtwoord kiest, mocht er een lek ontstaan. Voor je het weet zit je met een telefoonboek aan wachtwoorden, begin die maar eens te memoriseren! En dan komen die verdomde IT’ers je nog eens zeggen dat je die niet zomaar ergens mag neerschrijven, terwijl ze die moeilijke wachtwoordvereisten zelf bedacht hebben, de pestkoppen!
Om dat toch min of meer werkbaar te maken komen deze IT’ers met een mogelijke oplossing in de vorm van een paswoord manager.
Wat is een paswoord manager?
Dat is eenvoudig weg een programmaatje of een service die voor jou alle wachtwoorden bijhoudt. Jouw wachtwoorden worden dan veilig bewaard en vergrendeld met één “master” wachtwoord (daar gaan we weer) en eventueel een 2de factor zoals je smartphone of een geheim bestand.
Het voordeel van een wachtwoord voor wachtwoorden
De wachtwoorden die je opslaat in de paswoord manager hoef je op zijn minst niet meer te onthouden. Het is dus niet meer nodig om een volledige telefoonboek aan verschillende paswoorden te onthouden.
Paswoordmanagers hebben nog heel wat andere voordelen. Je kan de wachtwoorden automatisch laten aanmaken (minder denkwerk), de wachtwoorden kunnen lang en volledig willekeurig zijn (extra veilig), als zo’n wachtwoord aangepast dient te worden moet je niet wéér een nieuw verzinnen (want die vervelende IT’ers hebben een beveiliging die controleert of je het wachtwoord al eerder gebruikte) en – last but not least – geen vergeten wachtwoorden meer (zijn die IT’ers ook weer blij).
Om het stukje rond de voordelen van een paswoord manager af te sluiten, misschien nog even het belangrijkste voordeel: je online accounts zijn beter beschermd en veiliger.
Start to password manager
Om jullie op weg te zetten, stellen we meteen 2 opties voor, ééntje is een web-based service, de andere een stand-alone applicatie. Voor ieders wat wils dus!
De web based service die we aanrfaden is LastPass. Deze service is gratis te gebruiken voor persoonlijk gebruik. Het is web based, dus je hebt enkel je browser nodig (heb je zelfs al, aangezien je dit leest) en ondersteund 2 factor authentication met je smartphone als sleutel.
De stand-alone applicatie die we aanraden is de open-source oplossing KeePass. Dit is origineel ontworpen voor .Net op Windows, maar kan intussen op meerdere platformen werken. Je kan je wachtwoord database bewaren als bestand en als 2de factor voor authenticatie kan je een ander geheim bestand kiezen.
Bij de KeePass applicatie wel nog een kleine opmerking, zorg zeker voor een actuele backup van je wachtwoord database (en eventueel het geheime bestand)! Als je het geëncrypteerde database bestand kwijt raakt (of het eventuele geheime bestand), dan kan je natuurlijk niet meer aan je wachtwoorden. Om deze bestanden veilig te houden kan je eventueel Kinamo Nextcloud, een echte privé cloud opslag voor je data overwegen, zodat het bestand steeds automatisch gesynchroniseerd wordt naar een veilige omgeving.
Hier vind je een goed artikel met stap voor stap uitleg voor KeePass en Lastpass.
Conclusie
Mijn collega Sophie schreef een blogpost met tips rond het maken van veilige paswoorden. Hopelijk heeft deze blogpost inspiratie gegeven rond het veilig bewaren van die paswoorden.
Alvorens deze blogpost af te sluiten misschien nog een extra tip. Sta ook even stil bij het instellen van eventuele geheime vragen voor de “password recovery”-procedures. Wat was het merk van je eerste wagen of wat is de naam van het huisdier van je schoonmoeder, zijn voorbeelden van vragen die al eens gebruikt worden in password recovery procedures. Maar voordat je deze vragen gebruikt en probeert ze zo correct mogelijk in te vullen: sta er misschien ook even bij stil dat de antwoorden op dergelijke vragen vaak relatief gemakkelijk terug te vinden zijn voor iedereen die wat grasduint door sociale media profielen. Het zou vervelend zijn mocht je veilige wachtwoord op die manier alsnog gehackt worden. (Hint: maak hier eveneens een volledig willekeurig wachtwoord voor aan en sla het op in je paswoord manager.)
