Je wifi-wachtwoord staat nog op het papiertje dat de installateur vijf jaar geleden op je router plakte. Je hebt de naam van je netwerk nooit veranderd, dus iedereen in de straat weet dat jij een KPN Experia Box hebt. En het beheerderswachtwoord van je router? Waarschijnlijk nog steeds ‘admin’. Als je nu een beetje ongemakkelijk zit, ben je precies de juiste lezer voor dit artikel.
Je wifi-netwerk beveiligen klinkt technisch en tijdrovend, maar met deze checklist pak je het stap voor stap aan. Elk afgevinkt punt maakt je meteen een stukje minder kwetsbaar. Begin bij de router, eindig bij de apparaten erop, en check tussendoor hoeveel werk je eigenlijk nog hebt.
☐ Stap 0: Doe eerst de snelle kwetsbaarheidscheck
Voordat je iets aanpast, wil je weten hoe urgent de situatie is. Log in op je router via de browser. Typ daarvoor 192.168.1.1 of 192.168.0.1 in de adresbalk (sommige routers gebruiken 192.168.2.1 of een eigen adres, check de sticker op de onderkant). Lukt het inloggen met gebruikersnaam ‘admin’ en wachtwoord ‘admin’? Dan heb je werk aan de winkel. Kijk daarna hoeveel instellingen nog precies overeenkomen met de fabrieksinstellingen. Hoe meer vakjes je hieronder moet afvinken, hoe urgenter de rest van deze lijst.
☐ Stap 1: Verander het beheerderswachtwoord van de router
Het inlogpaar ‘admin/admin’ is al jarenlang het meest gebruikte wachtwoord op thuisrouters wereldwijd. Fabrikanten leveren routers nou eenmaal met standaard inloggegevens, en de meeste mensen veranderen ze nooit. Terwijl iemand op jouw netwerk met één druk op de knop volledige controle over je router kan krijgen als dit nog zo staat.
Ga in het beheerderspaneel naar iets als ‘Beheer’, ‘Administratie’ of ‘Systeem’ en zoek de optie om het beheerderswachtwoord te wijzigen. Kies een wachtwoord van minimaal twaalf tekens met cijfers en symbolen. Sla het op in een wachtwoordmanager. Dit kost je letterlijk twee minuten.
☐ Stap 2: Update de router-firmware
Firmware-updates dichten beveiligingslekken. Toch staat automatisch updaten op de meeste routers standaard uit, of de instelling bestaat simpelweg niet. Waar vind je de update?
- ASUS: Ga naar ‘Geavanceerde instellingen’ en dan ‘Firmware-update’.
- TP-Link: Via ‘Geavanceerd’ en dan ‘Systeemhulpprogramma’s’.
- Fritz!Box: Ga naar ‘Systeem’ en kies ‘Update’.
- KPN Experia Box / Telenet-modems: Updates worden soms automatisch uitgerold, maar controleer dit in het beheermenu of via de app van je provider.
Zet automatisch updaten aan als die optie er is. Zo niet, plan dan elk kwartaal even een handmatige controle in.
☐ Stap 3: Verander de naam van je netwerk (SSID)
Een netwerknaam als ‘KPN-Experia-Box-1234’ of ‘TP-Link_Appartement3’ vertelt aanvallers meteen welk apparaat je gebruikt en dus welke kwetsbaarheden ze kunnen proberen. Verander de naam in iets neutraals dat geen informatie weggeeft over je merk, model, adres of naam. ‘Wifi-thuis’ of gewoon een willekeurige woorden-combinatie werkt prima. Vermijd ook je achternaam of huisnummer.
☐ Stap 4: Sterk wachtwoord én het juiste beveiligingsprotocol
Een sterk wifi-wachtwoord is het eerste wat mensen denken bij wifi netwerk beveiligen thuis, maar het protocol dat je gebruikt is minstens zo belangrijk. De vuistregel: kies WPA3 als je router dat ondersteunt. Nieuwere routers van na 2020 bieden dit steeds vaker aan. Als WPA3 niet beschikbaar is, kies dan WPA2-AES.
Verwijder WEP en TKIP uit je hoofd, want die zijn al jaren gekraakt. En WPS (de knop waarmee apparaten makkelijk verbinding maken) zet je direct uit. Handig bedoeld, maar een bekend beveiligingslek.
Voor het wachtwoord zelf: gebruik een zin van twintig tekens of meer in plaats van één ingewikkeld woord. Iets als ‘Mijnkateetgrijpvisgraag!’ is veel sterker dan ‘Tr0ub4dor’.
☐ Stap 5: Zet een apart gastnetwerk op
Dit is een stap die veel mensen overslaan, terwijl het juist heel effectief is. Een gastnetwerk scheid je bezoekers van je eigen apparaten, maar er is nog een slimmere reden: gooi ook je slimme thuisapparaten op het gastnetwerk. Je thermostaat, slimme apparaten en IoT-apparaten zijn notoir slecht beveiligd. Als zo’n apparaat gehackt wordt via het gastnetwerk, kan de aanvaller niet bij je laptop, telefoon of NAS.
Stel het gastnetwerk in via het routermenu, geef het een eigen wachtwoord en zorg dat de optie ‘Toegang tot het hoofdnetwerk blokkeren’ aanstaat.
☐ Stap 6: Controleer welke apparaten verbonden zijn
In het beheerderspaneel van je router vind je een overzicht van alle verbonden apparaten. Ga dit lijstje nu na. Ken je alle apparaten? Een onbekend apparaat hoeft niet meteen een indringer te zijn (het kan een oud tablet zijn dat je vergeten was), maar het is goed om het te weten. Zie je een apparaat dat je echt niet herkent, verander dan meteen je wifi-wachtwoord en gooi alle verbindingen eruit.
☐ Stap 7: Schakel remote beheer en UPnP uit
Remote beheer (ook wel ‘Remote Management’ of ‘Remote Access’ genoemd) geeft toegang tot je routerinstellingen via het internet. Tenzij je dit bewust en regelmatig gebruikt, zet het dan uit. Zelfde verhaal voor UPnP (Universal Plug and Play): een functie die apparaten automatisch poorten laat openen. Klinkt handig, maar het is ook een deur die malware kan misbruiken. Zet het uit, tenzij je een specifieke reden hebt het aan te laten staan.
☐ Stap 8: Zet de firewall aan en overweeg een veilige DNS
De meeste routers hebben een ingebouwde firewall. Controleer of die aanstaat, want soms staat die standaard uit. Zoek in je routermenu naar ‘Firewall’ of ‘SPI Firewall’.
Als extra laag kun je ook de DNS-server van je router aanpassen. In plaats van de standaard DNS van je provider kun je kiezen voor 1.1.1.1 (Cloudflare) of 9.9.9.9 (Quad9). Quad9 blokkeert automatisch bekende kwaadaardige domeinen. Het instellen ervan kost drie minuten en je merkt er verder niets van in dagelijks gebruik.
☐ Stap 9: Plan je onderhoudsritme
Beveiliging is geen eenmalige klus. Maak nu een terugkerende afspraak in je agenda, bijvoorbeeld elk kwartaal, voor het volgende lijstje:
- Controleer op nieuwe firmware-updates.
- Bekijk de lijst met verbonden apparaten.
- Verander je wifi-wachtwoord als je het aan veel mensen hebt gegeven.
Vijftien minuten per kwartaal is genoeg om alles up-to-date te houden.
Scorebord: hoe veilig ben je nu?
3 of minder stappen afgevinkt: Je netwerk is kwetsbaar. Prioriteit is stap 1 (beheerderwachtwoord) en stap 4 (wachtwoord en protocol). Doe die twee vandaag nog.
6 stappen afgevinkt: Je zit boven het gemiddelde van een doorsnee thuisnetwerk. Goed bezig. Vul de ontbrekende stappen in de komende week aan.
Alle 9 stappen afgevinkt: Je netwerk is solide beveiligd voor thuisgebruik. Zet nu stap 9 in de agenda zodat het zo blijft.
Het minimale basisniveau voor een veilig thuisnetwerk is stap 1 tot en met 5. Dat zijn de vijf stappen die de grootste risico’s afdekken, zonder dat je technische kennis nodig hebt.
Met deze checklist werk je van je router naar de apparaten die erop zitten. Zelfs als je er vandaag maar drie punten van afvinkt, ben je al een stuk minder makkelijk doelwit dan daarvoor. Begin bij de standaardinstellingen van je router: daar zit bij de meeste thuisnetwerken het grootste risico. De rest volgt vanzelf.
