Blog: Een papiertje in mijn portemonnee
Het zal je maar gebeuren dat een hacker binnen tien minuten je iPhone, iPad én MacBook wist… Het overkwam Mat Honan, een medewerker van Wired en Gizmodo, die op heel slimme wijze – dankzij gebreken in de beveiligingen bij Apple en Amazon – werd gehackt.
Wachwoorden
Tijdens het lezen van allerlei verhalen over die hack – toen men nog dacht dat het wachtwoord van zijn iCloud-account was geraden (met brute force, dat dan weer wel) – kwam ik op een artikel waarin de meest gebruikte, eenvoudig te raden wachtwoorden op een rijtje stonden:123456, password, qwerty, 123123, iloveyou, maar ook michael en football, waarbij ik die laatste twee niet voor de hand vond liggen. Als je tegenwoordig een wachtwoord moet aanmaken voor een site, e-mail, Google-account, bank-apps, wifi, je router – voor wat niet eigenlijk – dan word je veelal gedwongen om minimaal één hoofdletter en één raar teken te gebruiken, dus al die veelgebruikte wachtwoorden voldoen daar in ieder geval niet aan.
Hoeveel verschillende wachtwoorden heb jij in gebruik? Verwerk je daarin ook de namen van je huisdieren? Verander je regelmatig je wachtwoorden?
Nee zeker, hè.
Apple Keychain
Ik keek in mijn Apple Keychain, die voor een deel mijn wachtwoorden opslaat. Voor mijn Airport-basisstation is het wachtwoord al sinds 2008 hetzelfde. Ik zie verschillende wachtwoorden voor bijvoorbeeld ticketmaster, Marktplaats, Amazon UK en US, twitter en weetikwatalniet, en zie ook dat ik al heel lang drie verschillende wachtwoorden gebruik, die ik uit mijn hoofd ken. Bij het invullen van een wachtwoord heb ik dan de keuze uit drie mogelijkheden. Als de ene het niet doet, doet de andere het wel. Ik weet best dat dit vragen om moeilijkheden is. Daarom heb ik een tijdje 1Password gebruikt om op mijn iMac in ieder geval het wachtwoordenprobleem manageable te houden, maar het werkte voor mij niet.
Dan was 1Password in Chrome niet lekker geworden, en als ik dat had opgelost, was er een nieuwe versie van Chrome of van 1Password of van de plug-in voor de browser en dan werkte het weer niet. Ik liet ook wachtwoorden generen, een stel onduidelijke letters en tekens achter elkaar die niet te onthouden waren. Soms had ik zo’n wachtwoord nodig op mijn Android-telefoon of op mijn iPad en dan wist ik dat dus niet. Ik werd er stapelgek van. Dan maar weer wachtwoorden gebruiken die ik zelf kan onthouden of die ik in een verborgen bestandje ergens opsla (helemaal fout, maar je moet toch wat).
2-step verification
En nu heb ik voor mijn Google-account 2-step verification aangezet, want een van de conclusies na het hacken van Mat Honans iCloud-account was dat als hij nu maar 2-step verification had gehad, het allemaal niet was gebeurd. Met 2-step verification heb je een extra veiligheid ingebouwd in de vorm van een code die je van Google per sms krijgt toegestuurd als je bijvoorbeeld iets wilt veranderen in je account. Mooi, veilig, net zoiets als betalen met mijn ING-rekening, waarbij ik een wachtwoord moet invoeren én een code krijg opgestuurd als ik online een betaling wil doen. Maar nu vragen om de haverklap allerlei programma’s – bijvoorbeeld mijn mail op mijn iPad of mijn agenda op de iPad – om een code, die ik geloof ik elke dertig dagen weer moet invullen. Ik heb nu een codegenerator-app op mijn mobiel – Authenticator – en ik heb ook een papiertje met codes – back-upverificatiecodes heten ze – in mijn portemonnee voor het geval ik onderweg ineens op een computer een verificatiecode nodig heb. Een papiertje! Om gek van te worden.
Wat voel ik me veilig! Maar handig? Nou nee.
Op basis van de blog van Hans Frederiks van Dzone