Master Password kiezen

Een sterk wachtwoord kiezen voor 1Password, LastPass en meer

Zo pak je het slim aan

Hoe bedenk je een sterk wachtwoord en een goed master password voor wachtwoordenapps zoals 1Password en LastPass en als alfanumerieke toegangscode voor je iPhone? Een master password moet voor jou gemakkelijk te onthouden zijn, maar voor een computer moeilijk te raden. Dat maakt de keuze nogal moeilijk. Maar met deze tips kom je een heel eind!

Sterke wachtwoorden

Een van de grote voordelen van wachtwoordendiensten zoals 1Password of LastPass is dat ze je wachtwoorden veilig bewaren. Daardoor kun jij belachelijk lange en sterke wachtwoorden gebruiken, die voor elke app en dienst verschillend zijn, zonder dat je ze allemaal hoeft te onthouden. Het enige wat jij hoeft te doen is een goed master password bedenken: een lang en moeilijk te raden wachtwoord, dat jij gemakkelijk kunt onthouden. Maar hoe pak je dat aan?

Wat is een master password?

Een master password is het wachtwoord waarmee je de toegang tot een wachtwoordendienst afschermt. Het idee is dat je maar één wachtwoord hoeft te onthouden. Met dit wachtwoord krijg je toegang tot alle vertrouwelijke info die je in apps zoals 1Password bewaart.

Het aantal sterke wachtwoorden dat je menselijke brein kan onthouden is beperkt. Het is daardoor onmogelijk om voor elke app die je gebruikt een uniek wachtwoord in te stellen, dat ook nog makkelijk te onthouden is. Dat lukt alleen als je trucjes toepast zoals ‘Facebookmijngeheimewachtwoord’ en ‘Twittermijngeheimewachtwoord’, maar als één van die wachtwoorden uitlekt kan een kwaadwillende al je andere gemakkelijk raden. Hetzelfde probleem ontstaat als mensen hun wachtwoord meermaals gebruiken voor meerdere diensten.

Daarom zijn wachtwoordenapps zo ideaal: je hoeft maar één wachtwoord te onthouden, namelijk je master password.

De tips in dit artikel kun je ook gebruiken als je een alfanumerieke toegangscode voor je iPhone wilt instellen. Dat is veiliger dan een gewone iPhone-pincode.

Master Password kiezen

Willekeurig master password bedenken

Een master password is zó belangrijk, dat je deze zorgvuldig moet kiezen. Hij moet gemakkelijk te onthouden zijn, maar ook een bepaalde mate van willekeur (oftewel randomness) bevatten. En dat is lastig, want als je mensen vraagt om zomaar een rijtje woorden op te noemen, dan zullen er relatief veel zelfstandige naamwoorden bij zitten, zoals ‘hond’, ‘bloem’ en ‘paard’. Vaak hebben die woorden ook nog een positieve insteek: het zijn dingen waar iedereen blij van wordt. Minder gangbare woorden en vervoegingen zoals ‘meewarig’, ‘hetze’ en ‘geflipt’ blijken mensen minder vaak te kiezen.

Een wachtwoordenapp kan je helpen om een volstrekt willekeurig wachtwoord voor je te bedenken, maar daar heb je meestal weinig aan. De sterke wachtwoorden die 1Password bedenkt zijn onmogelijk te onthouden.

Je zult dus zelf een master password zelf moeten bedenken en de beste oplossing daarvoor is een zogenaamde passphrase, waar we verderop dieper op in gaan.

Traditionele wachtwoordeisen

Als je bij een online dienst een nieuw wachtwoord moet verzinnen, dan krijg je vaak een waslijst aan richtlijnen voorgeschoteld.

Zoals deze:

  • Gebruik een combinatie van hoofdletters en kleine letters.
  • Gebruik cijfers en speciale symbolen.
  • Gebruik minimaal 8 karakters.
  • Gebruik geen bestaande woorden.
  • Gebruik geen persoonlijke info.

Zo’n wachtwoord kun je gemakkelijk aanmaken met een wachtwoordgenerator, waarbij je precies kunt aangeven aan welke eisen het wachtwoord moet voldoen.

Maar voor een master password zijn dergelijke richtlijnen niet geschikt. Een wachtwoord zoals ‘Passw0rd123!’ voldoet aan alle eisen, maar is in feite een variant op de aloude favoriet ‘Password123’. Varianten hierop zijn al jarenlang te vinden in gelekte wachtwoordenlijsten.

Een kwaadwillende die het slim aanpakt zal eerst beginnen met een lijst met veelgebruikte wachtwoorden en daar staat ‘Password123’ met al z’n varianten prominent in.

Waarom een passphrase slimmer is

Een passphrase is een collectie van willekeurige woorden en karakters die achter elkaar staan. Zo’n zin is meestal tussen de 20 en 30 karakters lang en bestaat uit woorden en karakters die voor jou een zinvolle betekenis hebben. Daardoor is een passphrase gemakkelijk te onthouden, terwijl het voor een computer jaren kost om de code te kraken.

LassPass geeft bijvoorbeeld deze suggesties:

  • mydogfido’sbirthdayisnovember19
  • yellowcatbaseball…newyork
  • myvacation2paris-wasincredible
  • soexcitedtoStartCollege!thisfall

Het gaat om heel simpele zinnen die je aan elkaar plakt. Een dergelijk wachtwoord voldoet niet aan de traditionele eisen die we hierboven hebben genoemd. Sommige bevatten namelijk geen hoofdletters, terwij er wel bestaande woorden en persoonlijke informatie in voorkomt.

Maar door ze op deze manier samen te voegen ontstaat een behoorlijk lang wachtwoord, dat door een computer moeilijk te raden is. Door wat symbolen, getallen en hoofdletters toe te voegen maak je het nog sterker. Het lijkt misschien erg lang om zo’n wachtwoordzin in te tikken, maar omdat het een betekenisvolle zin is kun je het veel sneller intikken dan een willekeurige reeks w4chtw00rdgr4pj3s.

Master password om jezelf te motiveren

Waarom niet meteen twee trucs combineren? Daarbij komt wat psychologie om de hoek kijken. Omdat je je master password meermaals per dag invoert, is het een ideaal middel om een boodschap in te prenten in je onderbewuste, als een soort mantra. Gebruik daarom passphrases als: ‘Ikwilinoktober’40kg’afvallen’, ‘Met30minutenmediteren/dagwordikveelrustiger’ of ‘Mijnhuismoet€3tonopbrengen’.

Zelf een master password bedenken

De crux bij het bedenken van een sterke passphrase is dat het woorden zijn die jij gemakkelijk kunt onthouden en die alleen voor jou betekenis hebben. Kies dus geen beroemde zinnen uit films, de literatuur of songteksten. Ook citaten van beroemde mensen zijn ongeschikt, want die zijn wijdverbreid bekend.

De beste passphrases bevatten ook wat hoofdletters, leestekens en getallen. Maar dat hoeft niet: als je de zin maar lang genoeg maakt wordt het steeds lastiger om te raden. Een heel lange zin met één of twee getallen kan daarom veiliger zijn dan een kort wachtwoord met heel veel rare tekens.

Een andere suggestie die LastPass doet is om aan ‘volkswagensummeryellowtulip’ wat vreemde karakters toe te voegen, zoals dit: ‘V0lk$wagenSummerYellow!Tulip’.

Maar eigenlijk vinden we dat niet zo’n goed advies en vinden we dat je het nog op een paar punten kunt verbeteren:

  • Waarschijnlijk vind je Volkswagens en gele tulpen leuk en is dat gemakkelijk af te leiden uit bijvoorbeeld je Instagram-feed. Probeer hobby’s en interesses waar je openbaar over communiceert dan ook niet in je passphrase te verwerken. Je zou beter kunnen kiezen voor ‘IkhebCrohn’sDisease;niemandweetdat’.
  • Volkswagens en gele tulpen zijn erg voor de hand liggende woorden, die veel mensen leuk vinden. Probeer wat minder gangbare woorden te gebruiken.
  • De passphrase bevat veel zelfstandige naamwoorden, zoals Volkswagen, zomer en tulp. Kies wat meer vervoegingen of andere woordvarianten.
  • Het intikken van rare tekens kost veel moeite. Kies liever voor leestekens op logische plekken, ook al wordt je wachtwoord daar iets minder sterk van.

Wil je toch zelfstandige naamwoorden gebruiken? Een bekende strip van XKCD maakt duidelijk hoe je een reeks willekeurige woorden kunt onthouden: door er een verhaaltje bij te verzinnen:

Master password: passphrase kiezen

Wachtwoordhints

Het is belangrijk om je master password goed te onthouden. Raak je het kwijt, dan kun je geen toegang meer krijgen tot je collectie wachtwoorden en dat kan rampzalig zijn. Je kunt in apps zoals 1Password een hint invoeren, maar dat hoeft niet. Het is veiliger als je het niet doet.

Wil je toch een hint instellen, kies dan iets wat cryptisch genoeg is zodat een buitenstaander het niet kan raden terwijl je zelf voldoende eruit af kan leiden om het wachtwoord te herinneren.

  • Kies niet iets dat anderen gemakkelijk kunnen achterhalen. Heet je kat Poekie, dan moet je niet als hint “Naam van mijn kat” noteren, want via sociale netwerken is een dergelijke naam vaak gemakkelijk terug te vinden.
  • Uiteraard zet je in de hint ook niet het letterlijke wachtwoord zelf, zoals ‘Poekie2013islief’.
  • Geef in je hint aan om welk wachtwoord het gaat, zodat je de rest gemakkelijk weer kunt herinneren. Had je bijvoorbeeld ‘correcthorsebatterystaple’ gekozen, dan kan ‘paard’ een goede hint zijn omdat je dan meteen weet: “Oh ja, dat is die met het paard!”

Password

Master password bewaren: opschrijven of niet?

Moet je je master password opschrijven op een papiertje? Daar wordt nogal verschillend over gedacht. Als jou iets overkomt, bijvoorbeeld een ongeval waarbij geheugenverlies optreedt, dan is het wel zo handig als je familieleden bij je wachtwoorden kunnen. Wil je zeker weten dat je master password altijd ergens terug te vinden is, dan kun je dit op een papiertje schrijven die je in een kluis of op een andere veilige locatie bewaart. Zo weet je zeker dat je het altijd terug kunt vinden, als het nodig mocht zijn. Hackers werken vaak op afstand en inbrekers zijn vaak meer geïnteresseerd in waardevolle spullen dan in je privégegevens, dus het hoeft niet altijd onveilig te zijn om iets op papier te schrijven. Behandel je master password zoals je ook met je paspoort en creditcards omgaat.

Een andere oplossing is om jouw master password op te slaan in de kluis van je partner of van een familielid dat je vertrouwt. Door elkaars master password te delen wordt deze veilig opgeslagen. Maar let op: doe dit alleen met iemand die je blind vertrouwt. Is het contact uiteindelijk toch verbroken, dan moet je zo snel mogelijk je master password veranderen. Je kan je master password ook bewaren bij een notaris, bijvoorbeeld in combinatie met je testament. Hou er dan wel rekening mee dat je dit wel weer laat aanpassen als je je master password verandert.

Bij overlijden

Je master password is zo belangrijk dat je je misschien afvraagt hoe je je kunt voorbereiden op vervelende situaties zoals overlijden of een ongeval waarbij je het bewustzijn of geheugen verliest. Hoe zorg je er dan voor dat familieleden jouw zaakjes kunnen regelen, terwijl je zelf niet daartoe in staat bent? We kregen hierover twee tips van iCulture-lezers:

  • Tip 1: Zet het master password in de wachtwoordenapp van je partner, of iemand uit je naaste omgeving. Bij voorkeur iemand die je vertrouwt en waarmee je niet vaak samen reist. Mocht je betrokken raken bij een vliegtuig- of auto-ongeluk dan is het wel zo handig als jouw vertrouwenspersoon gewoon veilig thuis zit en alles op afstand voor je kan regelen. Hou er rekening mee dat veel toepassingen tegenwoordig tweestapsverificatie vereisen, dus het is handig als de vertrouwenspersoon ook toegang heeft tot jouw iPhone.
  • Tip 2: Sommige apps zoals SecureSafe (link) bieden een Data Inheritance-functie. Daarmee kun je zorgen dat familieleden of collega’s toegang hebben tot belangrijke info zoals wachtwoorden en pincodes. Je moet dit handmatig inschakelen en krijgt een melding als de vertrouwenspersoon toegang tot je info probeert te krijgen, dus je merkt meteen als er misbruik van wordt gemaakt. Deze tip kregen we van iCulture-lezer Michel. In 1Password vind je hiervoor de functie Emergency Kit, die op een iets andere manier werkt.

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt juni 2018
Onderwerpen 1password, lastpass, wachtwoorden
Devices iPad, iPhone
Software iOS, macOS

1Password

1Password is een van de bekendste wachtwoordenapps voor iPhone, iPad en Mac. De app wordt gemaakt door AgileBits en loopt vaak voorop met nieuwe functies. Met 1Password kun je wachtwoorden, creditcardnummers en andere vertrouwelijke informatie veilig opslaan. Hieronder zie je onze belangrijkste artikelen over 1Password.

1Password