Tijdens de Black Hat conference in Las Vegas heeft Alex Holden van Hold Security bekend gemaakt dat een groep Russische hackers maar liefst 1,2 miljard wachtwoorden heeft gestolen. Dat criminelen op grote schaal wachtwoorden stelen zou geen nieuws meer moeten zijn, maar in dit geval betreft het wel heel erg veel data.  De groep criminelen heeft een botnet gecreëerd die het internet afspeurde naar kwetsbare websites waarbij ze van 420 duizend websites de gegevens hebben gestolen.

Opnieuw blijkt dat wachtwoordbeheer enorm van belang is. Bedrijven geven werknemers echter vaak wel voldoende advies om sterke wachtwoorden te laten kiezen, maar vertellen daarbij vaak niet hoe ze hun wachtwoorden moeten beheren. Uit onderzoek blijkt dat een combinatie van sterke wachtwoorden voor belangrijke accounts en zwakkere of zelfde wachtwoorden voor minder belangrijke en wegwerpaccounts het beste resultaat biedt. Maar ondertussen neemt het aantal wachtwoorden dat je moet onthouden alsmaar toe.

Het is daarom verleidelijk om hetzelfde wachtwoord opnieuw te gebruiken, maar dat is voor belangrijke accounts gevaarlijk en daarom dus niet slim. Een voorbeeld van een dergelijk gevaar is bijvoorbeeld het hacken van een website waar jij een account hebt. Je gebruikt bijvoorbeeld hetzelfde wachtwoord voor je e-mail en een website waar je een aankoop hebt gedaan. Als de site of server van de webwinkel wordt gehackt, hebben de hackers ook meteen toegang tot al je e-mail, en veel andere wachtwoorden. Daarom is het goed om je wachtwoorden te classificeren naar belang en voor de belangrijke accounts goede wachtwoorden te kiezen en als het kan ook two-factor authenticatie te gebruiken.

Een eenvoudig trucje maakt wachtwoorden onvoorspelbaar, dat gaat met een master- en slave wachtwoord. Een goed wachtwoord bestaat uit een combinatie van grote- en kleine letters, cijfers en vreemde tekens. Hoe langer het wachtwoord, hoe moeilijker het te kraken is. Om wachtwoorden veilig te noteren kun je software als KeePass of LastPass gebruiken. Maar als je een “master wachtwoord” gebruikt dan kan het in principe ook gewoon op een briefje.

Dit master wachtwoord is als het ware de sleutel voor de wachtwoorden die je noteert. Het enige dat je hoeft te doen is een wachtwoord te bedenken dat je heel eenvoudig en altijd kunt herinneren, maar dat niet eenvoudig te raden is. Dat is het wachtwoord dat je in je gedachten zet, dat is je master wachtwoord. Dus gebruik niet je pincode of je verjaardag, maar gewoon een woord dat je leuk vindt zonder dat anderen het kunnen raden.

Wanneer je het master wachtwoord hebt bedacht, kun je de werkelijke wachtwoorden gaan aanmaken voor de diensten die je wilt gebruiken. Dat doe je in combinatie met het zogenaamde slave wachtwoord. Deze is per dienst verschillend en kun je zo complex maken als je wilt. Je zet het master wachtwoord voor- of na het slave wachtwoord dat je dan ook meteen vastlegt met bijvoorbeeld KeePass. De wachtwoorden die je noteert zijn daarmee dus niet je complete wachtwoorden, maar de enige die weet hoe het wel zit, dat ben jij.