Wereldwijd zien we incidenten waarbij complete lijsten met wachtwoorden worden gelekt. In januari 2019 was het ook weer raak toen er ruim 21 miljoen unieke wachtwoorden online werden gezet door cyberveiligheidsexpert Troy Hunt. Niet alleen dubieuze websites maar ook sites als LinkedIn komen in deze lijsten voor. Scary.
Hoe goed de digitale beveiliging van zo’n website ook is, helaas zijn dit soort lekken nooit helemaal te voorkomen. Cybercriminelen doen niks anders dan zoeken naar kleine gaatjes in de beveiliging en vroeg of laat vinden ze er eentje. Als je online accounts hebt, en dat is tegenwoordig onvermijdelijk, loop je dus altijd een risico. Ik vertel je hoe je je accounts zo goed mogelijk beveiligt en wat je kunt doen als jouw wachtwoord gelekt is.
Hoe weet je of jouw wachtwoord(en) gelekt zijn?
Troy Hunt brengt regelmatig grote lekken aan het daglicht. Om te zorgen dat je zelf snel kunt zien of jouw wachtwoord ergens bekend is gemaakt heeft hij de website Have I Been Pwnd in het leven geroepen. Je kunt hier je mailadres intikken en krijgt gelijk te zien of één van jouw wachtwoorden online te vinden is en welke site(s) dit betreft. Zie je een groen scherm? Dan is er niks aan de hand. Wordt het scherm rood? Dan is het tijd voor actie.

Wijzig je wachtwoorden zo snel mogelijk
Het is verstandig de wachtwoorden voor deze aangetaste websites zo snel mogelijk te veranderen. Zorg voor een sterk en uniek wachtwoord. Gebruik je dit wachtwoord ook voor andere online accounts? Dan is het aan te raden deze ook meteen te veranderen. Vaak kun je dit doen door in te loggen en “wijzig wachtwoord” te klikken. Weet je het wachtwoord niet meer? Geef dan aan dat je het vergeten bent en stel iets nieuws in. Ja, dat is een rotklus, maar dat is de enige manier om te voorkomen dat je een gemakkelijk doelwit bent of wordt.
Gebruik een sterk en uniek wachtwoord voor elk account

Een sterk en uniek wachtwoord gebruiken voor elk online account is heel belangrijk als je misbruik wilt voorkomen. Zodra jouw veelgebruikte wachtwoord op straat ligt zijn alle account waarvoor je dit wachtwoord gebruikt mogelijk doelwit. Het is een fluitje van een cent om de combinatie van jouw mailadres en veelgebruikte wachtwoord op miljoenen websites te proberen. Cybercriminelen gebruiken deze accounts om meer informatie over jou te achtergalen en zo misbruik te maken van jouw identiteit of betaalgegevens.
Uiteraard kun je al deze wachtwoorden niet onthouden. Gelukkig hoeft dat ook niet. Sterker nog: als jij het wachtwoord niet uit je hoofd kent is de kans dat het veilig is een stuk groter. Een handig hulpmiddel hiervoor is het gebruiken van een wachtwoordmanager. 1Password is een bekende en betrouwbare optie. Er is een app voor de Mac, iPhone en iPad en de versleutelde kluis met wachtwoorden wordt gesynchroniseerd naar al je apparaten. Er is een ingebouwde functie die je meteen vertelt of een wachtwoord erg zwak of gelekt is. Hier lees je meer over 1Password.
Beveilig je accounts zo goed mogelijk

Met een sterk en uniek wachtwoord alleen ben je er nog niet. Zeker accounts die belangrijke data (of misschien zelfs wel data van anderen) bevatten zoals Dropbox, Gmail of iCloud kunnen nog wel een extra beveiligingslaag gebruiken. Dit kun je doen door twee-staps-verificatie in te stellen. Mocht er worden ingelogd op een onbekend apparaat dan zul je deze inlogpoging eerst moeten verifiëren met een unieke code. Deze kun je per SMS ontvangen of genereren met apps zoals 1Password of Google Authenticator. Deze codes zijn maar tijdelijk geldig waardoor inbreken een stuk lastiger wordt.
Je kunt twee-staps-verificatie onder andere instellen voor:
Klik op de naam om te zien hoe je twee-staps-verificatie instelt voor de betreffende dienst. Let wel goed op dat je de instructies volgt en de back-up codes die je krijgt veilig opslaat. Zorg dat je jezelf niet buitensluit!
Verder is het heel belangrijk dat je preventief te werk gaat en in actie komt als er iets mis lijkt. Zorg ervoor dat je wachtwoorden sterk en uniek zijn vóórdat ze op straat liggen en wees alert op meldingen van onbekende inlogpogingen.