1. Wachtwoord

Geen enkel wachtwoord is honderd procent veilig, want ieder wachtwoord is te kraken. Sterke wachtwoorden zijn lastiger te kraken dan zwakke, maar uiteindelijk kan ook het allersterkste wachtwoord worden achterhaald. Een wachtwoord biedt dus niet de ultieme beveiliging, daarom is het aan te raden om sterke wachtwoorden te combineren met aanvullende technieken, waarover later meer. Van sterke wachtwoorden wordt altijd gezegd dat ze lastig zijn te onthouden. Een eenvoudige truc is om van een wachtwoord over te stappen op een wachtzin. Wanneer is een wachtwoord een wachtzin? Als er één of meer spaties in zitten, één of meer hoofdletters, liefst ook enkele leestekens, én wanneer het lang is. Wachtwoorden zijn vaak niet langer dan acht of tien tekens. Een wachtzin telt echter al snel dertig of veertig tekens, maar omdat het een logische zin is, is hij niet moeilijker te onthouden dan een wachtwoord. Om in Windows het wachtwoord te vervangen door een wachtzin, klikt u op Start, Configuratiescherm, Gebruikersaccounts, Ouderlijk toezicht. Klik vervolgens onder Gebruikersaccounts op Uw Windows-wachtwoord wijzigen. Hebt u nog geen wachtwoord ingesteld, kies dan Een wachtwoord voor uw account instellen. Is er al eerder een wachtwoord gekozen, dan klikt u op Uw wachtwoord wijzigen.

© PXimport

Vervang korte wachtwoorden door lange wachtzinnen.

2. Opschrijven?

Veel mensen denken dat het onverstandig is om wachtwoorden op te schrijven. Maar dat is het naar mijn mening juist wel! Het is daarbij alleen wel zaak om te bedenken waar u ze opschrijft en wie bij het document kan waar u ze in zet. Er is niets mis met een boekje waar al uw wachtwoorden in staan, zolang u dat boekje maar veilig opbergt en alleen gebruikt wanneer u een wachtwoord bent vergeten of het wilt veranderen. Het is namelijk belangrijk om ervoor zorgen dat de opgeschreven wachtwoorden actueel zijn. Een handig programma om wachtwoorden in een versleutelde kluis op uw computer op te slaan, is Keepass Password Safe, waar we al eerder aandacht aan hebben besteed in Tips & Trucs. U kunt dit programma downloaden via Keepass.

© PXimport

Het is prima om wachtwoorden op te schrijven, mits ze vervolgens op een veilige plaats worden bewaard.

3. Authenticatie

Met KeePass maakt u een versleutelde database waarin u gebruikersnamen en wachtwoorden kunt bewaren. Standaard beschermt KeePass uw geheimen ook weer met een wachtwoord. De zwakste schakel bepaalt nog altijd de sterkte van de hele ketting, dus is enkel een wachtwoord wat mager. Beveiligingsexperts adviseren daarom altijd om in plaats van afscherming met alleen een wachtwoord, te kiezen voor bescherming met meerdere technieken, bijvoorbeeld een wachtwoord en een pas of een wachtwoord en een vingerafdruk. Zo'n combinatie noemt men 'twee-factor authenticatie', en een nog veiliger variant is drie-factor authenticatie. Thuis kunt u de beveiliging van KeePass al snel verbeteren door niet alleen een wachtwoord te gebruiken, maar ook een soort van ínsteekkaart. Het enige dat u daarvoor nodig hebt is een usb-geheugenstick. Plaats deze in de computer en formatteer de stick door in Verkenner met de rechtermuisknop op de stick te klikken en te kiezen voor Formatteren. Geef de stick de naam PINSTICK en bevestig vervolgens dat alle gegevens op de stick verloren mogen gaan.

© PXimport

Formatteer de usb-geheugenstick en geef hem een duidelijke naam.

Plaats de usb-geheugenstick in de computer en start KeePass Password Safe. Hebt u KeePass al eerder gebruikt, klik dan op File, New en kies de locatie op uw computer waar de nieuwe beveiligde database moet worden bewaard. Dit mag elke plaats zijn, als u de database maar niet op de usb-stick laat bewaren. Het handigste is om te kiezen voor een locatie ergens in de map Documenten. Typ bij Bestandsnaam een naam in voor de nieuwe beveiligde wachtwoorddatabase en kies voor Opslaan. Nu verschijnt het venster Create Composite Master Key. Standaard staat de optie Master password aangevinkt, en dat is goed. Typ in de regel erachter het wachtwoord (of de wachtzin) dat u wilt gebruiken om de database mee te kunnen openen. Herhaal dit bij Repeat password en zorg ervoor dat de 'quality' van het wachtwoord minimaal 100 bits is. Klik nog niet op OK maar zet een vinkje bij Key file / provider.

© PXimport

Gebruik behalve een wachtwoord ook een key file, voor extra bescherming

in KeePass.

© PXimport

Als u vanaf nu de database wilt openen, hebt u zowel de geheugenstick als het wachtwoord nodig.

Klik nu op Create en blader naar de usb-geheugenstick, de 'pinstick'. Bij Bestandsnaam zal automatisch dezelfde naam staan als die van de KeePass-database. Bevestig het opslaan van de keyfile via Opslaan, waarna het venster Entropy Collection verschijnt. In dit venster kunt u de sleutel aanmaken. Dit doet u door met de muis in het rechtervenster te klikken en dat venster vervolgens helemaal vol te typen met willekeurige toetsaanslagen. Deze 'tekst' hoeft u niet te onthouden, want u hebt hem verder nooit meer nodig. Houd de muis boven het grijs gekleurde vierkant aan de linkerkant en beweeg hem er net zolang overheen tot de balk onderaan tot 256 bits is volgelopen. Als dat is gebeurd, klikt u op OK.

© PXimport

U maakt willekeurige bits aan, die de versleuteling van de database versterken.

Terug in het venster Create Composite Master Key controleert u of het Master-password is ingevuld en of bij Key file de verwijzing naar het keyfile-bestand op de usb-geheugenstick staat. Als dit inderdaad het geval is, klikt u op OK. De belangrijkste handelingen zijn nu afgerond. In het volgende venster kunt u nog een naam voor uw database en eventueel wat andere informatie opgeven, maar dat is louter voor het gemak en heeft verder geen functie. Bevestig met OK en u kunt de KeePass-database gaan vullen. Zodra u KeePass afsluit, moet u bevestigen dat u de wijzigingen wilt opslaan.

Wilt u vanaf nu de KeePass-database met uw geheime gebruikersnamen en wachtwoorden openen, dan is alleen het ingeven van een wachtwoord niet meer voldoende. Voor-taan moet ook de usb-geheugenstick met de keyfile aanwezig zijn. De stick is een tweede onderdeel van de authenticatie geworden, en bovendien een lastig te nemen hindernis. Neem de usb-geheugenstick daarom uit de computer en gebruik hem alleen wanneer u toegang tot de gebruikersnamen en wachtwoorden in de beveiligde KeePass-kluis nodig hebt.

© PXimport

Alleen een wachtwoord is niet meer voldoende om toegang tot de database te krijgen.

Ontfutselt iemand nu het wachtwoord of weet iemand het te raden, dan zal dat onvoldoende zijn om bij de gegevens in de KeePass-database te komen. Daar is immers ook de keyfile voor nodig. Bewaar de usb-geheugenstick dus goed. Maak liefst een kopie van de keyfile en bewaar die op een veilige plaats.

4. Virtuele machine

Gebruikt u virtualisatiesoftware zoals Virtual PC of VMware? Het is een mythe dat een virtuele machine standaard 'veilig' is. Het besturingssysteem in een virtuele machine moet, net als dat op een echte pc, worden beveiligd. Er moet antivirussoftware en antispyware op zijn geïnstalleerd die up-to-date wordt gehouden en de firewall moet zijn ingeschakeld. Ook Windows Update en updates voor programma's die in de virtuele machine zijn geïnstalleerd, vormen noodzakelijke onderdelen. Alleen met dat hele pakket aan maatregelen is een virtuele machine net zo veilig als een 'echte' computer. Hebt u niet zoveel licenties van antivirusprogramma's en antispyware, gebruik dan een van de gratis pakketjes, zoals Microsoft Security Essentials.

© PXimport

De gratis antivirus- en antispywareprogramma's zijn ook prima geschikt voor de beveiliging van een virtuele machine.

5. Firewall

Iedere router beschikt over een firewall, en vaak wordt gedacht dat deze firewall voldoende beveiliging biedt om de computers op het thuisnetwerk te beschermen. Dat is echter niet zo. Een firewall in een router is voorzien van een hele algemene configuratie. Hij zal bijvoorbeeld al het verkeer van buiten naar binnen blokkeren, maar niet het verkeer dat naar buiten gaat. De meeste aanvallen worden tegenwoordig uitgevoerd via websites die criminele code met webpagina's meesturen, nadat u zo'n site hebt geopend in uw browser. Er is geen firewall die daar iets tegen doet. Ook met een firewall in uw router is het dus noodzakelijk om de pc's in het thuisnetwerk met een eigen firewall te beveiligen en ze te voorzien van antivirus- en antimalwareprogramma's. Desondanks kan de firewall in de router wel voor extra beveiliging zorgen. Log hiervoor in op de router, door het IP-adres ervan in de adresbalk van de webbrowser te typen. Druk daarna op Enter. Controleer eerst of de firewall is ingeschakeld. Veel firewalls kennen de optie om 'ping' uit te schakelen en niet te reageren op een verzoek van buitenaf om te mogen communiceren. Deze 'stealth mode' kunt u bereiken door in de router bijvoorbeeld te kiezen voor Anonieme internetverzoeken filteren. De exacte naam van deze functie verschilt per router, controleer de handleiding of raadpleeg de website van de leverancier om te zien hoe hij bij uw router wordt genoemd.

© PXimport

Verberg uw thuisnetwerk door de router onzichtbaar te maken.

6. Verborgen SSID

De SSID is de naam van een draadloos netwerk. Hij wordt continu rondgestuurd zodat u, wanneer u in Windows kijkt of er een draadloos netwerk beschikbaar is, uw eigen netwerk netjes in het rijtje ziet staan. Vaak wordt de SSID uitgeschakeld. Het netwerk verschijnt dan niet in het rijtje met beschikbare netwerken en dat houdt inbrekers op afstand. Er zijn mensen die denken dat dit zelfs voldoende veiligheid biedt, maar niets is minder waar! Ook een onzichtbare SSID kan namelijk eenvoudig worden getraceerd. De SSID wordt, steeds wanneer een computer in het draadloos netwerk opstart, toch weer uitgestuurd. Hetzelfde gebeurt wanneer een apparaat dat het draadloos netwerk gebruikt, even de verbinding kwijt is geweest. En dat dit vaak gebeurt, zeker in omgevingen waar veel draadloze netwerken zijn, zal niemand verbazen. Er zijn dan ook talloze tools beschikbaar die hackers gebruiken om verborgen draadloze netwerken te vinden. Ook wanneer de SSID is verborgen, moet het netwerk dus worden afgeschermd met versleuteling. Om te zien of dit ook in uw situatie het geval is, logt u opnieuw in op de router en gaat u naar de configuratie van het draadloos netwerk. Kies daar de WLAN-beveiliging en controleer of er een beveiligingsmodus en een versleuteling is gekozen. Als beveiligingsmodus biedt alleen WPA2 eigenlijk voldoende zekerheid. WPA biedt die niet en WEP is helemaal af te raden. Is er geen versleuteling ingesteld, kies dan WPA2 als beveiligingsmodus en geef daarna een wachtzin op (zie ook Tip 01). Deze zin moet u goed onthouden, want u moet hem opgeven wanneer u voor de eerste keer een verbinding met het draadloos netwerk maakt. Bevestig via Instellingen opslaan. Ook de beveiligingsopties heten bij vrijwel iedere router weer anders. Kijk in de handleiding van uw draadloze router en zoek daarin naar 'draadloos' en 'beveiliging'. Hebt u een goede sleutel gekozen en is WPA2 ingeschakeld? De kwaliteit van deze beveiligingsmaatregel is dusdanig, dat u voor uw gebruiksgemak de SSID gerust weer in kunt schakelen.

© PXimport

Versleuteling is de enige echt goede methode om een draadloos netwerk te beveiligen.