Mijn wachtwoord is Qtne,lsm. Nu niet allemaal meteen je smartphone pakken, om in te breken in mijn accounts. Dat zou toch niet werken. Want ik had iets preciezer moeten zijn: mijn wachtwoord was Qtne,lsm. Waarom ik dat van de daken schreeuw?
Ik kan het jullie nu toch wel vertellen. Ik heb immers mijn wachtwoord allang veranderd. Bovendien schijnt iedereen het te weten. Ik krijg tenminste dagelijks tientallen mailtjes met als onderwerp "You have been hacked!" of "Your password is Qtne,lsm". (Tot een maand of wat geleden dachten ze nog dat mijn wachtwoord Qtne was - belachelijk kort natuurlijk; kennelijk is hun software verbeterd en hebben ze nu door dat de komma gewoon onderdeel is van mijn wachtwoord.)
In die mailtjes wordt ik er soms subtiel van beschuldigd een interessante hobby te hebben (wink wink nudge nudge). Andere mailtjes noemen me gewoon meteen een 'pervert'. Allemaal komen ze vervolgens met het extreem onwaarschijnlijke verhaal dat ze mijn computer gehackt hebben. En dat ze mij al masturberend gefilmd hebben terwijl ik pornosites aan het bezoeken was. Soms proberen ze me te overtuigen door een beetje technisch te worden en schrijven dan dat ze een RAT (Remote Acces Trojan) hebben geïnstalleerd. Ik ben dan wel benieuwd hoeveel mensen in lichte paniek hun laptop oppakken om te kijken of er niet zo vies harig beest ergens in hun laptop verstopt zit, of meteen opspringen en naar beneden hollen: "Jan, er zit een rat in mijn computer". (Ik ben namelijk ook wel benieuwd hoeveel vrouwen deze mailtjes krijgen…)
Aan het eind van de email komt dan de aap uit de mouw. Als ik braaf binnen drie dagen 2000 dollar aan Bitcoin overmaak aan het in de email vermelde adres, dan zal de hacker de filmpjes die hij gemaakt heeft braaf vernietigen en niet met al mijn contacten delen. 'Pas op, het Bitcoin adres is case-sensitive dus gebruik copy/paste' zegt de vriendelijke hacker er nog even hulpvaardig bij.
Ik vraag me af hoeveel mensen hier in trappen. Er zijn genoeg mensen die porno kijken. En je schrikt natuurlijk als iemand je je eigen wachtwoord plotseling onder de neus wrijft. Helemaal als je dat ene wachtwoord voor al je online activiteiten gebruikt en ook nog eens als wachtwoord voor je computer gebruikt. Aan de andere kant: het blijft niet bij één mailtje. En je kunt niet iedereen die je zo'n mailtje stuurt 2000 dollar betalen natuurlijk. Je zou binnen de kortste keren bankroet zijn, als je die ene keer 2000 dollar überhaupt al kunt ophoesten.
Toch moeten hier mensen intrappen. Het versturen van spam (want daar is dit een voorbeeld van) is weliswaar spotgoedkoop maar niet gratis. Volgens een analyse van onderzoekers van Google en Microsoft kostte het in 2011 één dollar om een miljoen spam mailtjes te versturen. Duurder is de lijst met email adressen en gehackte wachtwoorden natuurlijk. Waarschijnlijk komen die voort uit de LinkedIn hack in 2012 waarbij gehashte (zeg maar een soort van versleutelde) wachtwoorden van miljoenen (167 miljoen om precies te zijn) LinkedIn gebruikers werden buit gemaakt. In 2016 werd deze data set verhandeld voor grofweg 1000 dollar. Om al deze 167 miljoen mensen ten minste één keer zo'n dreigmail te sturen, heeft de spammer dus 1167 dollar geïnvesteerd. Dit kan alleen uit als ten minste één van deze 167 miljoen mensen betaald. Kennelijk is altijd wel ergens iemand gek genoeg om in dit soort onzin te trappen. Eigenlijk is alle spam daar wel een bewijs van, of dat nu valse verkeersboetes betreft, het onwaarschijnlijke bericht dat je de Google loterij hebt gewonnen, of de business proposition van Mrs. Elizabeth Bowonga bevat.
Waarom vertel ik u dit allemaal? Omdat er een aantal lessen uit te leren zijn. De eerste les is dat een wachtwoord van 8 willekeurige letters en leestekens echt niet sterk genoeg meer is. Mijn wachtwoord van acht letters was behoorlijk willekeurig en toch wisten hackers deze te achterhalen. Kies liever voor een wachtzin van tenminste vijf verschillende woorden. Belangrijker nog: gebruik nooit hetzelfde wachtwoord voor verschillende online diensten die je gebruikt.
Maar, zult u terecht zeggen, ik kan toch nooit zoveel verschillende willekeurige wachtwoorden onthouden? Met een beetje pech hebt u net als ik tientallen, zo niet honderden, online accounts. Vandaar mijn derde advies: gebruik een wachtwoord manager. Dit is een programma (soms al ingebouwd in je browser) die al jouw gebruikersnamen en wachtwoorden voor jou kan bewaren, en die ook automatisch in kan vullen als je ergens in moet loggen. Zo'n wachtwoord manager kan ook een nieuw, sterk, wachtwoord voor je genereren als je een nieuw account moet aanmaken.
Bescherm de wachtwoord manager zelf wel met een goede wachtzin, en maak ieder jaar een papieren uitdraai van al je wachtwoorden en leg deze ergens onderin een bureaula (of een kluis als je die hebt). Mocht je computer crashen en al je data (inclusief je wachtwoorden) dan verdwenen zijn, dan kun je toch nog steeds bij je accounts. Die lijst is ook wel handig voor je nabestaanden als je onverhoopt mocht komen te overlijden en het geheim van je wachtzin waarmee je je wachtwoord manager hebt beschermd meeneemt in je graf.
Deze blog werd uitgesproken op de uitzending van Club Bavarois van 11 mei 2019.