Account gehacked! Hoe veilig is uw wachtwoord eigenlijk?

Er lijkt geen eind aan te komen. LinkedIN, Yahoo, Google, Dropbox ‘gehacked’ kopt de media gretig.  Zijn deze sites dan echt zo onveilig? Het antwoord is, zo als vaak in de IT, niet eenduidig te geven. Soms is het de site maar in de meeste gevallen is het gedrag van de mens de zwakke schakel. Bij een serieuze inbraak is het een combinatie van deze twee.

1) Het systeem faalt

In websites is vaak het invoerveld van een formulier de zwakke schakel. Hackers voeren een programmaregel in een invoerveld in. Bijvoorbeeld daar waar u uw naam of woonplaats normaal gesproken invoert. Indien de makers van de site hier geen beveiliging voor hebben geprogrammeerd dan heeft de hacker op deze wijze toegang tot het systeem. Dit heet in het vakjargon ‘SQL-insertion’ en is al 10 jaar bekend (en beproefd). In de praktijk blijkt echter dat er nog steeds sites zijn die hier niet tegen beschermd zijn. Zo ook Yahoo. Vervolgens gaat de nu ingelogde  hacker op zoek naar het wachtwoorden-bestand. Helaas blijkt ook hier dat er nog steeds sites zijn die wachtwoordbestanden ongecodeerd opslaan. M.a.w. gewoon leesbaar in een tekstbestand. In het geval van Yahoo ging het om duizenden login-gegevens en bijbehorende wachtwoorden!

2) De mens is gemakzuchtig

Wachtwoorden onthouden is lastig. Inloggen is lastig. Het liefst zien we dat een systeem ons ingelogged houdt. Gemakshalve proberen we vaak makkelijke wachtwoorden te gebruiken en het liefst 1 wachtwoord voor alle logins die we hebben. Met alle risico’s van dien. Stel u heeft een Yahoo-account met een standaardwachtwoord wat u bijna altijd gebruikt. In dit geval heeft de hacker niet alleen toegang tot uw Yahoo-account maar ook tot alle sites waar u dit wachtwoord ook heeft toegepast! Zo ook bij Dropbox. Dropbox was als systeem niet gekraakt. Een hacker had toegang gekregen tot de mailbox van een Dropbox medewerker. In zijn mail zat een document met e-mailadressen van Dropboxgebruikers. Deze e-mailadressen werden gebruikt om te spammen en gematched met wachtwoordbestanden van andere gekraakte sites. Door dit te combineren konden de login-gegevens van een onbekend aantal gebruikers achterhaald worden.

Op een aantal sites is het mogelijk om een zogenaamde ‘dubbele login’ aan te zetten. Ook Google biedt dit tegenwoordig als optie. Dit betekent een combinatie van een wachtwoord plus een unieke eenmalige code verzonden naar uw telefoon (die dus in uw bezit moet zijn). Of een code die gegenereerd wordt door een apparaatje. Dit voorkomt tevens dat programma’s die toetsenbord-aanslagen meelezen iets met uw wachtwoord kunnen doen.

Hoe bescherm ik mezelf tegen hackers?

1)  U weet nooit zeker of uw wachtwoord ongecodeerd of gecodeerd wordt opgeslagen. Gebruik dus voor elke site een ander wachtwoord. Ja, dit is lastig…

2) Vink op een openbare computer nooit aan dat u ingelogged moet blijven. De volgende gebruiker van de computer wandelt anders zo uw site binnen.

3) Zorg dat u een ‘sterk’ wachtwoord gebruikt. Er zijn programma’s die uw wachtwoord proberen te raden. Dit zijn slimme programma’s die duizenden mogelijkheden per seconde afgaan en zelfs de grafische kaart inzetten om sneller te kunnen rekenen. Een bekende is ‘John the Ripper’.

Tips voor wachtwoorden

1) Kies een wachtwoord van ruim voldoende lengte, minimaal 8 posities, meer is beter.

2) Kies een combinatie van letters, cijfers en leestekens. Ja en dat per site… Gelukkig zijn er apps waarin u uw wachtwoorden en login gegevens gecodeerd kunt bewaren. Bijvoorbeeld het programma ‘1Password’ van AgileBits.

3a) Bedenk een regel die u makkelijk kunt onthouden. Bijvoorbeeld: ‘Een passie van mij is buiten sporten zoals fietsen en zeilen’. Als we hier de eerste letters van nemen dan hebben we geen leesbaar woord.  Dit wordt dan: ‘epvmibszfez’. Dit kunnen we nog sterker maken door ‘een’ te vervangen door ‘1’, ‘is’ door ‘=’, ‘en’ door ‘&’ en de hoofdonderwerpen aan te geven met een hoofdletter . Het wachtwoord wordt dan als volgt: ‘1pvm=bszF&Z’.

3b) AgileBits adviseert om een wachtwoord te kiezen wat uit meerdere random gekozen woorden bestaat. De kraakbaarheid neemt af naar mate het aantal woorden toeneemt. Zie plaatje onderaan.

4) Gebruik geen familienamen voor wachtwoorden.

5) Sla uw wachtwoorden niet in een spreadsheet beveiligd met wachtwoord op. De beveiliging van een spreadsheet is zwak.

6) Maak altijd verbinding via een veilige verbinding die begint met https. De betere sites doen dit vanzelf al.

7) Een systeem dat regelmatig wachtwoord-wijzigingen aan u opdringt is niet perse veiliger. De praktijk leert dat dan vaak het oude wachtwoord  gebruikt wordt met de toevoeging 1, 2, 3 enz.

Sites zijn  niet zo snel te verbeteren, u kunt er in ieder geval zelf wat aan doen om IT veiliger te maken en te houden. 100% veilig is een utopie. Daar waar iets van waarde ligt en een deur heeft wordt wel eens ingebroken..

 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *