Wat moet ik doen als de PVM meldt “Uw wachtwoord komt voor in de HIBP database van wachtwoorden uit datalekken”?
Waarschuwing zwak of gelekt wachtwoord
Waarom krijg ik deze melding?
U gebruikt voor het certificaat dat aan de PVM gekoppeld is een wachtwoord. Dat wachtwoord is onveilig. Waarom? Omdat het nogal kort is, een veelgebruikt normaal woord is of omdat het wachtwoord vaker door anderen of u gebruikt wordt. Bijvoorbeeld ‘welkom01’. Ook kan het door u gekozen wachtwoord gebruikt zijn op een website waarvan bekend is dat die te maken had met een hack waarbij wachtwoorden van vele gebruikers zijn gestolen (LinkedIn, Yahoo). Zwakke of gelekte wachtwoorden worden gebruikt door kwaadwillenden om te proberen accounts op andere websites te kraken. De PVM controleert één keer per week of uw wachtwoord misschien onveilig is.
Heb ik een nieuw certificaat nodig?
Het idee achter de waarschuwing is dat u het onveilige wachtwoord dat u voor de PVM gebruikt niet opnieuw moet gebruiken. U kunt de PVM met dit certificaat en wachtwoord in principe blijven gebruiken tot het verstrijken van de looptijd. ZorgTTP past aanvullende controles toe bij de ontvangst van berichten waardoor het risico dat iemand zich als u voordoet verwaarloosbaar is.
Moet ik verder nog wat doen?
Misschien gebruikt u hetzelfde wachtwoord wel bij een andere dienst of website. Dan is het verstandig om daar uw wachtwoord aan te passen. Gebruik voor verschillende diensten altijd een nieuw en uniek wachtwoord. Om de vele wachtwoorden te beheren gebruikt u het beste een wachtwoordmanager.
Hoe controleert de PVM mijn wachtwoord?
De PVM stuurt uw wachtwoord niet over het internet op, maar maakt gebruik van de database en bijbehorende webservices van haveibeenpwned. Op de website vindt u Engelstalige uitleg over de werking en herkomst van de gegevens. Voor de controle wordt een cryptografische hash van uw wachtwoord opgestuurd naar de haveibeenpwned service. De hash wordt voor verzending ingekort tot 5 tekens. Daardoor komt niemand uw wachtwoord te weten. De controle vindt plaats door de circa 300 geretourneerde hashes met dezelfde eerste 5 tekens van daadwerkelijk onveilige wachtwoorden in de PVM te doorzoeken op de complete hash van uw wachtwoord. Komt deze niet voor, dan is het wachtwoord niet bekend geworden in een van de vele lekken in de afgelopen jaren. Komt uw wachtwoord wel voor, dan is het onveilig en kunnen we u daarvoor waarschuwen.