Spring naar inhoud

Passwords: extra aandacht voor e-mail!

In een tijd dat digitale oplichterij een dagelijks risico is, is e-mail een essentiële schakel in de bescherming van je digitale identiteit. Het is zaak om niet te vertrouwen op alleen maar een wachtwoord. In het bijzonder bij (web)mail is dat echt uit den boze, want mail is de sleutel tot password resets.

Waardoor geven passwords te weinig bescherming?

Passwordregels (frequent wisselen, ´sterke´ wachtwoorden) maken dat passwords niet te onthouden zijn, dus schrijf je ze ergens op (tip: gebruik daarvoor een passwordkluis).
Bijna iedereen heeft veel te veel accounts, en gebruikt een zelfde password op meerdere plekken (tip: genereer unieke passwords, de meeste passwordkluizen kunnen dat).
Passwords kunnen gemakkelijk worden gestolen (tip: gebruik een VPN).

Password recovery

Je kent het wel, als inloggen niet lukt dan klik je op ´wachtwoord vergeten', in notime krijg je een mailtje voor het opnieuw instellen van het password en even later ben je binnen. Met andere woorden: e-mail is de sleutel tot je digitale identiteit, de sleutel tot al je accounts. Maar dat betekent dat wie je mailbox kan inzien de macht heeft over al je accounts! Daarom is het essentieel dat e-mail met iets beters beveiligd is dan met een password. Met andere woorden: gebruik alleen een beschermd mail-account, zeker als je dat account gebruikt voor passwordrecovery.

#Hoedan?

Een account beschermen doe je door het toevoegen van extra controles, met bijvoorbeeld een mobiele telefoon of een nummergenerator. Iets wat je hebt (het token) in combinatie met iets wat je weet (het password). De grote drie (Microsoft, Google en Apple) hebben alledrie een mailvoorziening waarbij een tweede inlogfactor kan worden ingesteld. Vaak kun je kiezen uit een app en een SMS-code.

Is die 2-factor authenticatie niet complex en onhandig? Dat valt reuze mee, want op je eigen apparaat kun je de tweede factor doorgaans laten ´onthouden´, je apparaat neemt in wezen zelf de rol van tweede factor over, je account is gekoppeld aan je apparaat want je vertrouwt het apparaat. Op elk ander apparaat heb je uiteraard wel het token nodig om in te loggen.

Andere voorbeelden:

Bij DigiD is er een app die je als token kunt instellen (de app heeft een PINcode).
Bij ING is er een app om iDeal-betalingen te doen zonder te hoeven inloggen via de site van de webshop. Deze app heeft een PINcode maar kan ook gebruik maken van vingerafdrukcontrole.