Afgelopen maandag kreeg ik een e-mail van Spotify waarin stond dat iemand in Brazilië op mijn account had ingelogd.

Ik heb het gecontroleerd. En ja hoor:een vreemdeling gebruikte mijn Spotify om naar Michael Jackson te luisteren. Ik zei tegen Spotify dat ik me overal moest afmelden, maar ik veranderde mijn wachtwoord niet.

Woensdag gebeurde het opnieuw. Om 2 uur 's nachts kreeg ik nog een e-mail van Spotify. Deze keer luisterde mijn stiekeme Braziliaanse vriend naar Prince. En blijkbaar vonden ze het uiterlijk van een van mijn playlists (“Funk Is Its Own Reward”) leuk, want daar hadden ze ook naar geluisterd.

Ik heb me overal weer afgemeld, en dit keer dat ik mijn wachtwoord veranderde. En ik heb een besluit genomen.

Zie je, ik heb slecht werk geleverd bij het implementeren van moderne online beveiligingsmaatregelen. Ja, ik heb mijn cruciale financiële rekeningen vergrendeld met tweefactorauthenticatie, enz., maar meestal ben ik slordig als het om cyberbeveiliging gaat.

Ik hergebruik bijvoorbeeld wachtwoorden. Ik gebruik nog steeds wachtwoorden van dertig jaar geleden voor situaties met weinig veiligheid (zoals aanmelden voor een wijnclub of een zakelijk loyaliteitsprogramma). En hoewel ik ben begonnen met het maken van sterke (maar toch gemakkelijk te onthouden) wachtwoorden voor belangrijkere accounts, volgen deze wachtwoorden allemaal een patroon en zijn ze niet willekeurig. Het ergste van alles is dat ik een twintig jaar oud tekstdocument bijhoud waarin ik alles opsla van mijn gevoelige persoonlijke informatie.

Dit is dom. Stom dom dom dom dom.

Ik weet dat het stom is, maar ik heb nooit de moeite genomen om veranderingen aan te brengen – tot nu toe. Nu heb ik om verschillende redenen het gevoel dat het tijd is om mijn digitale leven een beetje veiliger te maken. Ik heb het afgelopen weekend een aantal uren besteed aan het opsluiten van dingen. Hier leest u hoe.

Een korte handleiding voor cyberbeveiliging

Toevallig plaatste een Reddit-gebruiker genaamd /u/ACheetoBandito, dezelfde dag dat mijn Spotify-account werd gebruikt om de grootste hits van Prince in Brazilië te streamen, een handleiding over cybersecurity in /r/fatFIRE. Hoe handig!

“Cyberbeveiliging is een cruciaal onderdeel van financiële zekerheid, maar wordt zelden besproken in kringen van persoonlijke financiën”, schreef /u/ACheetoBandito. "Merk op dat cyberbeveiligingsprofessionals het oneens zijn over de beste praktijken voor persoonlijke cyberbeveiliging. Dit is mijn perspectief, aangezien ik enige expertise op dit gebied heb.”

Ik zal niet het hele bericht hier reproduceren — je moet het zeker gaan lezen als dit onderwerp belangrijk voor je is — maar ik zal noteer de samenvatting met opsommingstekens, samen met enkele van mijn eigen gedachten. Onze vriend met oranje vingers raadt iedereen die zich zorgen maakt over cyberveiligheid aan de volgende stappen te nemen:

1. Ontvang ten minste twee hardwaregebaseerde beveiligingssleutels. Mijn vriend Robert Farrington (van The College Investor) gebruikt de YubiKey. Google biedt zijn Titan Security Key aan. (Ik heb de YubiKey 5c nano besteld vanwege zijn minimale vormfactor.)
2. Stel een geheim privé-e-mailaccount in. Uw privé-e-mailadres mag in geen worden gekoppeld weg naar uw openbare e-mailadres, en het adres mag aan niemand worden gegeven. (Ik heb al veel openbare e-mailaccounts, maar ik had geen privéadres. Dat heb ik nu wel.)
3. Schakel Geavanceerde beveiliging in voor zowel uw openbare als privé Gmail-accounts. Geavanceerde bescherming is een gratis beveiligingsadd-on van Google. Koppel deze aan de beveiligingssleutels die u in stap één heeft aangeschaft. (Ik heb dit niet ingesteld omdat mijn beveiligingssleutels pas vanmiddag aankomen.)
4. Stel een wachtwoordbeheerder in. Welke wachtwoordbeheerder u kiest, is aan u. De sleutel is om er een te kiezen die u gebruikt . Het is het beste als deze app uw nieuwe beveiligingssleutels voor authenticatie ondersteunt. (Ik zal een paar opties bespreken in het volgende gedeelte van dit artikel.)
5. Genereer nieuwe wachtwoorden voor allemaal rekeningen. Maak handmatig gedenkwaardige wachtwoorden voor uw e-mailadressen, uw computers (en mobiele apparaten) en voor de wachtwoordbeheerder zelf. Alle andere wachtwoorden moeten sterke wachtwoorden zijn die willekeurig door de wachtwoordbeheerder worden gegenereerd.
6. Koppel belangrijke accounts aan uw nieuwe privé-e-mailadres. Dit omvat financiële rekeningen, zoals uw banken, makelaars en creditcards. Maar het kunnen ook andere accounts zijn. (Ik gebruik mijn privé-e-mailadres bijvoorbeeld voor kerndiensten met betrekking tot deze website.)
7. Schakel extra beveiligingsmaatregelen in voor alle accounts. De beschikbare functies variëren van provider tot provider, maar over het algemeen zou u tweefactorauthenticatie moeten kunnen activeren (waar mogelijk met de beveiligingssleutels) en inlogwaarschuwingen.
8. Schakel sms-/e-mailwaarschuwingen in voor financiële accounts. Mogelijk wilt u ook waarschuwingen inschakelen voor wijzigingen in uw kredietscore en/of kredietrapport.
9. Activeer beveiligingsmaatregelen op uw mobiele apparaten. Uw telefoon moet worden vergrendeld door middel van een krachtige autorisatiemaatregel. En elk van uw individuele financiële apps moet worden vergrendeld met een wachtwoord en eventuele andere mogelijke beveiligingsmaatregelen.

/u/ACheetoBandito beveelt enkele aanvullende, optionele beveiligingsmaatregelen aan. (En die hele Reddit-discussiethread staat vol met geweldige beveiligingstips.)

Mogelijk wilt u uw tegoed bevriezen (maar als u dat doet, houd er dan rekening mee dat u af en toe uw tegoed moet ongedaan maken -bevries uw tegoed om financiële transacties uit te voeren). Sommige mensen willen hun telefoons en harde schijven versleutelen. En als u zich grote zorgen maakt over de beveiliging, koop dan een goedkope Chromebook en gebruik deze als enige apparaat waarop u financiële transacties uitvoert. (Geloof het of niet, ik zet deze laatste optionele stap. Het is logisch voor mij — en het zou voor mij een kans kunnen zijn om verder te gaan dan Quicken.)

De beste wachtwoordbeheerders verkennen

Oké, geweldig! Ik heb een nieuwe Chromebook van $ 150 en twee hardwaregebaseerde beveiligingssleutels besteld. Ik heb een gloednieuw, uiterst geheim e-mailadres ingesteld, dat ik kan koppelen aan elk account dat extra beveiliging nodig heeft. Maar het zwakste punt in het proces heb ik nog steeds niet aangepakt:mijn tekstdocument vol wachtwoorden.

Een deel van het probleem is zelfgenoegzaamheid. Mijn systeem is eenvoudig en ik vind het leuk. Maar een ander deel van het probleem is analyseverlamming. Er zijn er veel van de wachtwoordmanagers die er zijn, en ik heb geen idee hoe ik ze van elkaar moet onderscheiden, om erachter te komen welke de juiste is voor mij en mijn behoeften.

Voor hulp vroeg ik mijn Facebook-vrienden om de beste wachtwoordmanagers op te sommen. Ik heb al hun suggesties gedownload en geïnstalleerd, en vervolgens een aantal eerste indrukken opgeschreven.

• LastPass:16 stemmen (2 van tech-nerds) — LastPass was veruit de populairste wachtwoordbeheerder onder mijn Facebook-vrienden. Mensen zijn er dol op. Ik heb het geïnstalleerd en rondgekeken, en het lijkt ... oké. De interface is een beetje onhandig en de functieset lijkt voldoende (maar niet robuust). De app maakt gebruik van de gemakkelijk te begrijpen ‘kluis’-metafoor, wat ik leuk vind. LastPass is gratis (met premium-opties beschikbaar tegen extra kosten).
• 1Password:7 stemmen (4 van tech-nerds) — Deze app heeft vergelijkbare functies als Bitwarden of LastPass. De interface is mooi genoeg en lijkt beveiligingswaarschuwingen te geven. 1Password kost $ 36/jaar.
• Bitwarden:4 stemmen (2 van tech-nerds) — Bitwarden heeft een eenvoudige, gemakkelijk te begrijpen interface. Het gebruikt dezelfde ‘kluis’-metafoor die producten als LastPass en 1Password gebruiken. Het is een sterke kanshebber om de tool te worden die ik gebruik. Bitwarden is gratis. Voor $ 10 per jaar kun je premium beveiligingsfuncties toevoegen.
• KeePass:2 stemmen — KeePass is een gratis Open Source-wachtwoordbeheerder. Er zijn KeePass-installaties beschikbaar voor alle grote computer- en mobiele besturingssystemen. Als je een Linux-gek bent (of een voorstander van Open Source), kan dit een goede keuze zijn. Ik hou niet van de beperkte functionaliteit en de vreselijke interface. KeePass is gratis.
• Dashlane:2 stemmen — Van alle wachtwoordbeheerders die ik heb bekeken, heeft Dashlane de mooiste interface en de meeste functies. Zoals veel van deze tools gebruikt het de ‘kluis’-metafoor, maar je kunt er meer dingen in deze kluis opslaan dan met andere tools. (Je kunt bijvoorbeeld ID-gegevens opslaan, zoals rijbewijs, paspoort. Er is ook een plek om bonnen op te slaan.) Dashlane heeft een gratis basisoptie maar de meeste mensen zullen de premiumoptie van $ 60 per jaar willen. (Er is ook een optie van $ 120 per jaar, inclusief kredietbewaking en een verzekering tegen identiteitsdiefstal.)
• Vervagen:1 stem — Vervagen is anders dan de meeste wachtwoordbeheerders. Het probeert letterlijk uw online identiteit te vervagen. Het voorkomt dat webbrowsers u kunnen volgen, maskeert e-mailadressen, creditcards en telefoonnummers en (of natuurlijk) beheert wachtwoorden. Ik wil een aantal functies die Blur niet heeft, en ik wil niet een aantal van de functies die het wel wel heeft hebben. Vervagen kost minimaal $ 39/jaar maar die prijs kan veel hoger worden.
• Apple Keychain:1 stem -- Keychain is sinds 1999 de ingebouwde wachtwoordbeheerder van Apple. Als zodanig is het gratis beschikbaar op Apple-apparaten. De meeste Mac- en iOS-mensen gebruiken Keychain zonder het zelfs maar te beseffen. Het is niet echt robuust genoeg om iets anders te doen dan wachtwoorden op te slaan, dus ik heb er niet serieus over nagedacht. Sleutelhanger is gratis en wordt geïnstalleerd op Apple-producten.

Laat ik duidelijk zijn:Ik heb deze wachtwoordbeheerders slechts vluchtig onderzocht. Ik ben niet diep gedoken. Als ik zou proberen alle functies van elke wachtwoordbeheerder te vergelijken, zou ik nooit kiezen. Ik zou weer verstrikt raken in analyseverlamming. Dus ik heb ze allemaal nog eens goed bekeken en een beslissing genomen op basis van gevoel en intuïtie.

Van deze tools vielen er twee op:Bitwarden en Dashlane. Beide hebben mooie interfaces en veel functies. Beide tools bieden gratis versies, maar ik zou willen upgraden naar een betaald premiumabonnement om toegang te krijgen tot tweefactorauthenticatie (met behulp van mijn nieuwe hardwarebeveiligingssleutels) en beveiligingsmonitoring. Dit is waar Bitwarden een groot voordeel heeft. Het kost slechts $ 10 per jaar. Om dezelfde functies te krijgen, kost Dashlane $60/jaar.

Maar hier gaat het om.

Ik begon daadwerkelijk te gebruiken beide tools tegelijkertijd, waarbij ik de wachtwoorden van mijn website één voor één invoer. Ik stopte nadat ik elk tien sites had ingevoerd. Het was duidelijk dat ik de voorkeur gaf aan het gebruik van Dashlane boven Bitwarden. Het werkt gewoon op een manier die voor mij logisch is. (Uw ervaring kan anders zijn.) Dus, in ieder geval voor een tijdje, ga ik Dashlane gebruiken als mijn wachtwoordbeheerder.

Het probleem met wachtwoorden

Mijn voornaamste motief voor het gebruik van een wachtwoordbeheerder is om mijn gevoelige informatie uit een tekstdocument te halen en in iets veiligers te bewaren. Maar ik heb een secundair motief:ik wil de sterkte van mijn wachtwoorden verbeteren.

Toen ik internet begon te gebruiken – in de jaren tachtig, vóór de komst van het World Wide Web – dacht ik niet na over de sterkte van wachtwoorden. Het eerste wachtwoord dat ik maakte (in 1989) was simpelweg de naam van mijn vriend, die mij zijn computer liet gebruiken om toegang te krijgen tot de lokale Bulletin Board-systemen. Ik heb dat wachtwoord jaren gebruikt op alles, van e-mailaccounts tot bankenites. Ik beschouw het nog steeds als mijn “laag beveiligde” wachtwoord voor dingen die niet kritisch zijn.

Ik heb misschien acht of tien van dit soort wachtwoorden:korte, eenvoudige wachtwoorden die ik op tientallen locaties heb gebruikt. De afgelopen vijf jaar heb ik geprobeerd voor elke site unieke wachtwoorden te gebruiken, wachtwoorden die een patroon volgen. Hoewel dit een verbetering is, zijn ze nog steeds niet geweldig. Zoals ik al zei, ze volgen een patroon. En hoewel ze letters, cijfers en symbolen bevatten, zijn ze allemaal relatief kort.

Zoals je zou verwachten, heeft mijn slordige wachtwoordprotocol een soort beveiligingsnachtmerrie gecreëerd. Hier is een screenshot van de Google Wachtwoordcontrole-tool voor een van mijn accounts.

Ik krijg vergelijkbare resultaten voor alle van mijn Google-accounts. Ja hoor.

Bovendien is er het probleem van het delen van accounts.

Kim en ik delen een Netflix-account. En een Amazon-account. En een Hulu-account. En een iTunes-account. In feite delen we waarschijnlijk twintig of dertig accounts. Zij en ik gebruiken voor al deze aanmeldingen hetzelfde, gemakkelijk te onthouden wachtwoord. Hoewel geen van deze accounts supergevoelig is, is wat we doen nog steeds een slecht idee.

Ik wil dus stappen zetten in de richting van veiligere wachtwoorden, zelfs voor de accounts die ik met Kim deel.

Het goede nieuws is dat de meeste wachtwoordbeheerders (inclusief Dashlane) automatisch willekeurige wachtwoorden voor u genereren. Of ik zou iets kunnen proberen dat lijkt op het idee dat in deze XKCD-strip wordt voorgesteld:

Het probleem is natuurlijk dat elke plaats andere eisen stelt aan wachtwoorden. Voor sommige zijn cijfers nodig. Sommige vereisen symbolen. Sommigen zeggen nee symbolen. En zo verder. Ik ken geen enkele site waar ik vier willekeurige, veelvoorkomende woorden als wachtwoord mag gebruiken!

Voorlopig ga ik voor een drieledige aanpak:

• Ik maak handmatig lange (maar gedenkwaardige) wachtwoorden voor mijn meest kritische accounts. Dit is de XKCD-methode.
• Voor de accounts die ik deel met Kim (Netflix, enzovoort) maak ik nieuwe, gedenkwaardige wachtwoorden die een patroon volgen.
• Voor al het andere laat ik mijn wachtwoordbeheerder willekeurige wachtwoorden genereren.

Dit lijkt een goede balans tussen bruikbaarheid en veiligheid. Elk wachtwoord zal anders zijn. Alleen degene die ik met Kim deel, zullen kort zijn; alle anderen zullen lang duren. En de meeste van mijn nieuwe wachtwoorden zullen willekeurig gebrabbel zijn.

Laatste gedachten over cyberbeveiliging

In deze korte video van Tech Insider deelt een voormalige beveiligingsexpert van de National Security Agency zijn vijf belangrijkste tips om jezelf online te beschermen.

U zult merken dat deze vergelijkbaar zijn met de Reddit-cyberbeveiligingsgids die ik eerder in dit artikel heb gepost. Dit zijn de stappen die hij zegt te nemen om jezelf veilig te houden:

• Schakel waar mogelijk tweefactorauthenticatie in.
• Gebruik niet overal hetzelfde wachtwoord.
• Houd uw besturingssysteem (en software) up-to-date.
• Wees voorzichtig met wat u op sociale media plaatst.
• Doe niet deel persoonlijke informatie, tenzij u zeker bent u te maken heeft met een vertrouwd bedrijf of een vertrouwde persoon.

Ik zal niet doen alsof de stappen die ik neem mij volledig zullen beschermen. Maar mijn nieuwe systeem is zeker een upgrade van wat ik de afgelopen twintig jaar heb gedaan — wat, zoals ik al zei, dom, dom, dom was.

En ik moet bekennen:ik leuk het idee om mijn online financiële leven te beperken tot één computer:de nieuwe Chromebook van $ 150. Ik weet niet zeker of dit daadwerkelijk haalbaar is, maar ik ga het eens proberen. Als dit werkt, kan ik kijken of ik een hulpmiddel voor geldbeheer kan vinden dat ik leuk vind voor de machine. Misschien kan ik dan Quicken 2007 voor Mac eindelijk achter mij laten!

Wat heb ik gemist? Welke stappen heeft jij genomen om uw online accounts te beschermen? Welke is volgens u de beste wachtwoordbeheerder? Hoe maak je gedenkwaardige, veilige wachtwoorden? Hoe ga je om met gedeelde accounts? Help andere GRS-lezers - en mij! — betere online beveiligingspraktijken ontwikkelen.