arrow_drop_up arrow_drop_down
22 mei 2019 

Een wachtwoord is niet meer voldoende!

Een sterk wachtwoord, wat houd dat nou precies in? Is een sterk wachtwoord genoeg? Wat kan er misgaan? Hoe kunnen wij dit verbeteren of nog beter, voorkomen?
Zomaar een aantal vragen die wellicht nog meer vragen zal geven… dan antwoorden.

Sterke wachtwoorden

Het is heel simpel: Hoe complexer het wachtwoord, hoe langer de indringer erover doet om bij jouw gegevens te komen.
Uiteindelijk zal de indringer erdoor komen en als je geen andere beveiligingsmethodes hebt, dan is dat binnen no-time gedaan.

Je kunt generators gebruiken, die zullen bij elke aanvraag een wachtwoord genereren die er zo uit komt te zien:  “;f[9Bap8mcP8$hPK”. De complexiteit kun je zelf regelen. Generators kun je in een applicatie verwerken of op een browser opzoeken.

Wil je op een makkelijke en snelle manier een wachtwoord genereren, klik dan hier.

Alert-Online   Gebruikt hetzelfde wachtwoord voor meerdere accounts (2019) Bron: Alert Online

Risico’s

Een sterk wachtwoord is altijd goed, maar helaas heb je hier niet altijd genoegen aan. Indringers kunnen binnen enkele minuten al je gegevens in handen krijgen. Om dit te voorkomen heb je hulp nodig van andere programma’s en/of systemen. Om de beveiliging te begrijpen zullen we eerst moeten weten waarom een wachtwoord alleen onvoldoende is.

Bijvoorbeeld:

Een “Credential Stuffing” aanval, dit houd in dat de indringers al toegang hebben tot je gestolen e-mailadressen/gebruikersnamen en wachtwoorden. Hierdoor kunnen ze gemakkelijk binnen elke account. De indringer gebruikt tools (op sites waar de gebruiker eerder heeft ingelogd) zoals: Selenium, cURL en PhantomJS om de gegevens te achterhalen.

Is een wachtwoord voldoende? Nee, de indringer heeft de exacte inloggegevens van de gebruiker.

Een “Phishing” aanval, maakt gebruik van nep sites/e-mails. Een aanval zoals deze wordt vaak gebruikt om geld te pakken van de gebruiker. De gebruiker logt in op een nep website van bijvoorbeeld, de bank. Op deze manier heeft de indringer alle gegevens die benodigd zijn. De indringers maken gebruik van tools zoals Modlishka en URL-spoofing, waardoor het lijkt alsof de gebruiker de officiële site bezoekt.

Is een wachtwoord voldoende? Nee, de gebruiker geeft (niet-wetend) op eigen initiatief alle inloggegevens.


Een “Keystroke logging malware” aanval, deze aanval zorgt ervoor dat alles wat er wordt getypt opgeslagen wordt en per direct naar de indringer toe wordt gestuurd. De hacker zal wel tussen alle onnodige tekst moeten zoeken naar bruikbaar informatie.

Is een wachtwoord voldoende? Nee, de software neemt alles wat getypt is over.

Een “Password Spray” aanval, maakt gebruik van een geautomatiseerd script om een grote hoeveelheid wachtwoorden te proberen op basis van een gebruikersnamen lijst. De scripts en programma’s om dit uit te voeren worden goedkoop verkocht. Een server kan een spray aanval heel makkelijk en snel detecteren, maar als de wachtwoorden in de lijst staan van de indringers dan kunnen enkele seconden al genoeg zijn.

Is een wachtwoord voldoende? Nee, als je wachtwoord niet op de lijst van de indringers staat dan heb je een voorsprong, maar je kunt het nooit voorkomen met alléén en wachtwoord. Een goede maatregel is: Geen wachtwoorden aanmaken zoals, Welkom01. Maak gebruik van een PasswordGenerator!

Een “Brute Force” aanval, op deze manier kunnen indringers in uw netwerk en uw bestanden doorzoeken voor wachtwoorden (Als deze niet encrypted zijn).

Is een wachtwoord voldoende? Nee, tenzij je een wachtwoord laat genereren en encrypten (bijvoorbeeld met Password Manager).

A Brute Force Attack

Wil jij weten hoe sterk jouw wachtwoord is? Klik hier en doe de test!

Extra Beveiliging

Om je netwerk en gegevens beter te beveiligen kun je gebruik maken TFA (Two Factor Authentication), OTP (One Time Password) en een PasswordManager.

Een TFA maakt gebruik van meerdere factoren, zoals:

  • Een wachtwoord of PIN-code (Iets dat je weet).
  • Een mobiele telefoon of USB-Key (Iets dat je hebt).
  • Een vingerafdruk, face-ID of een andere biometrische eigenschap (Iets dat je bent).

Een Two Factor Authentication combineert twee verschillende factoren om zo toegang te geven aan de gebruiker. Bijvoorbeeld, een wachtwoord + FaceID.

Je kunt een TFA ook linken met een PasswordManager. Zo kun je al je accounts opslaan in één locatie en beveiligen met TFA. Zo kun je bijvoorbeeld ook gebruik maken van een OTP, na het invoeren van je wachtwoord ontvang je een OTP-code. De code kun je ontvangen via een e-mail of SMS.

Ook kun je met gebruik van Hashfactoren wachtwoorden verbergen, door ze te verbergen doen indringers er veel langer over om tot je gegevens te komen. Voor de gebruiker is dit een kwestie van milliseconden, vervolgens komt er de zogeheten ‘salt‘ bij. De salt zorgt ervoor dat de hashcombinatie opgeslagen wordt en uniek blijft, dit is een extra beveiliging. Natuurlijk moet de salt ook opgeslagen en bijgehouden worden (indien het wachtwoord telkens veranderd).

Zoals je hebt gelezen zijn je gegevens makkelijk te verkrijgen met onvoldoende beveiligingsmaatregelen.


 

Wachtwoorden zijn echter niet de enige zaken waar u rekening mee dient te houden omtrent online veiligheid. Zo komt er nog een hele waslijst van zaken bij, waar de meeste mensen geen tijd voor hebben om zich daarin te verdiepen. Dan kunnen wij u gerust stellen, dit hoeft u namelijk niet allemaal zelf te doen!
Ligt u ’s nachts wakker aangaande uw End-point Security? Of, nog een veel grotere zorg, Mobile Device Management? Neem contact met ons op, wij helpen u degelijk, solide en beheersbaar met deze zorg weg te nemen.