Hoe kan ik lui zijn met wachtwoorden, buiten multinationals om?

Slim met wachtwoorden omgaan is lastig. Ooit gebruikte ik één wachtwoord voor nagenoeg alles. Dat kon ik onthouden. Dat was dom. Er hoeft maar één dienst gecompromitteerd te zijn en je hebt al je inloggegevens voor alles weggegeven. Dus nu heb ik sterke wachtwoorden, voor iedere dienst een nieuwe, en die wijzig ik regelmatig. Dat is slim, maar onwerkbaar. Want hoe ga je dat onthouden. De meeste mensen vertrouwen hun wachtwoorden toe aan ofwel hun browser, ofwel een multinational zoals Lastpass & co. Firefox biedt een alternatief.

Waarom je geen wachtwoorden ‘plat’ in je browser moet opslaan.

Browsers kunnen wachtwoorden voor je onthouden. Ze vullen dan de inloggegevens automatisch voor je in, of soms na een muisklik. Makkelijk! Tot niet al te lang geleden deed ik dit ook. Via Firefox Sync had ik die wachtwoorden op al mijn computers: thuis desktop, laptop, telefoon, werkcomputer. Maar wat nu als je computer gehackt wordt? Wat nu als Firefox gecompromitteerd raakt, of Mozilla hun principes overboord gooit? Die wachtwoorden zijn dan praktisch gezien gewoon uit te lezen. Van deze werkelijkheid raakte ik doordrongen toen mijn computer de afgelopen jaren enkele keren gecompromitteerd is geweest, en ik ging doordenken over consequenties. Wachtwoorden plat opslaan is dus geen optie.

Waarom je geen wachtwoorden dient te geven aan een kapitalist

Van kapitalisme kan je veel vinden maar ethiek is niet de leidraad. Van een bedrijf als Lastpass (of zelfs Mozilla) aannemen dat ze ethisch handelen en betrouwbaar zijn is naief. Mozilla is de beste, maar zelfs zij vielen voor het geld met het Cliqz drama. Koning, keizer, admiraal, poepen doen we allemaal… ook de bedrijven die hun bestaansrecht aan het tegenovergestelde ontlenen, en leuzen voeren als ‘browse against the system‘ .Hierbij komt de dreiging van staten en hun veiligheidsdiensten. Wachtwoorden aan één bedrijf toevertrouwen en de controle uit handen geven is een ‘single point of failure‘ creëeren. Niet doen dus.

Versleutel zelf je wachtwoorden… met gemak

In Firefox kan je een hoofdwachtwoord (master password) instellen. Met dit wachtwoord worden vervolgens je wachtwoorden versleuteld. Iedere keer dat je je browser opent moet je dan wel dit wachtwoord invullen. Het voordeel hiervan is dat de versleuteling lokaal gebeurd, op je eigen machine. Zo kan Mozilla niet eens je wachtwoorden delen met derden. Nu zit er al jaren een genante zwakte in het hoofdwachtwoordsysteem en dit is publiekelijk bekend. Dit valt te ondervangen door zelf een ijzersterk wachtwoord te gebruiken. Mijn wachtwoord is tegen de 40 tekens lang. Dan is de versleuteling alsnog redelijk waterdicht. Tegen de 40 tekens?! Jazeker: dit ene wachtwoord tik ik zo vaak in per dag dat ik er niet meer over na hoef te denken.

Mozilla ontwikkelt momenteel voor Firefox wat wel een concurrent voor Lastpass kan worden, genaamd Lockbox. Er is nog niet veel over het uiteindelijke product bekend, maar het zal de beste onderdelen van Firefox Sync en de hoofdwachtwoorden combineren met een véél betere encryptie, en een handigere functionaliteit om wachtwoorden te beheren. Ik kijk rijkhalzend hier naar uit. Momenteel is Lockbox nog niet klaar voor gebruik en echt nog in Alfa fase. Lockbox is nu nog een add-on; later zal het wel de browser in geïntegreerd worden. Het installeren hiervan schakelt Firefox z’n eigen wachtwoorden systeem uit: nog niet gebruiken dus.

Veilig èn lui omgaan met offline wachtwoorden en grote massa’s inlogggevens

Er zijn natuurlijk ook inloggegevens buiten browsers, daar kan Firefox niet helpen. Vooral in de IT zijn het er nogal wat; als webbouwer heb ik momenteel te maken met meer dan 400 velden met inloggegevens die ik daadwerkelijk regelmatig gebruik. Papier kan die hoeveelheid niet aan. Verder, en dat zullen meer mensen hebben, wil ik sommige gegevens principieël niet delen omdat ze té gevoelig zijn. Maar ook hier heb ik hulp nodig bij het onthouden. Ik heb alles in één groot meerbladig Excel bestand staan. Dat Excel bestand echter… beveilig ik lokaal met een encryptie pakketje dat je krijgt als je GnuPG installeert. Downloaden en alles aanvinken. Na initialisatie, volg deze video, is het gebruik niet moeilijk: rechtermuis, ‘encrypt’, wachtwoorden invoeren en klaar. Iedere werkdag ontsleutel ik dit Excel bestand om het te lezen. Wil ik er in wijzigen dan kan dat ook; ik versleutel het achteraf weer.

Al deze dingen kosten tijd. Je bent met bovenstaand zeker 30 minuten bezig. En dan zit je redelijk geramd. Aardige ruil, toch?