We hebben er allemaal mee te maken, wachtwoorden… Overal waar persoonlijke- en bedrijfsgegevens aan te pas komen zie je ze terug. En met de komst van MFA (Multi Factor Authentication en Conditional Access lijkt het erop dat wachtwoorden enigszins “absoluut” worden. Tot die tijd kunnen we er echter niet omheen, dus laten we het dan ook maar goed aanpakken!
Hoe kraken hackers mijn wachtwoorden?
Om te beginnen, laten we eens een kijkje nemen hoe hackers het tegenwoordig voor elkaar krijgen om uw wachtwoord te “kraken”!
1. Onderscheppen van wachtwoorden wanneer deze over het internet verstuurd worden.
2. Geautomatiseerd wachtwoorden blijven raden (brute force.
3. Het zoeken naar opgeslagen wachtwoorden op een systeem.
4. Stelen van bijvoorbeeld iemands wachtwoorden boekje.
5. Handmatig proberen met bekende gegevens zoals naam en geboortejaar.
6. Over de schouder meekijken.
7. Het monitoren van het type gedrag.
8. Social engineering.
Is het al te laat?
Daarnaast hoeven hackers tegenwoordig deze methodes niet eens meer toe te passen. Bedrijven moeten ergens uw wachtwoorden opslaan, dit gebeurt meestal in een zogeheten database. En meestal gaat dit goed, er zijn echter altijd plekken waar het mis gaat. Wanneer dit gebeurt ligt vaak de gehele database, inclusief email gebruikersnaam en wachtwoord, open en bloot op het internet. Deze databases worden dan vervolgens weer verkocht op het deepweb. Als dit gebeurt spreken we van een “databreach”.
De website Have I Been Pwned houdt bij op welke websites het mis is gegaan en controleert of uw email adres (en mogelijk uw wachtwoord) in een van deze databases is terug te vinden.
Wij, De ICT Ruyters zijn nog geen slachtoffer geworden.
Een voorbeeld van een adres dat 9 breaches heeft gehad.
Waarom we nooit hetzelfde wachtwoord gebruiken…
Als het zoekresultaat op uw eigen mail adres er net zo uit ziet als bij afbeelding 1, dan kunt u met een gerust hart ademhalen! Ziet het zoekresultaat er net zo uit als bij afbeelding 2, dan moet er ergens een belletje gaan rinkelen. Als u naar beneden scrolt op de have i been pwned pagina ziet u bij welke website de breach heeft plaats gevonden. Nu weten wij dat u goed na heeft gedacht over de gekozen wachtwoorden, en dat u daarnaast NOOIT hetzelfde wachtwoord gebruikt voor uw verschillende accounts. Als dit toch wel het geval is, ga dan even na welke inlog gegevens u bij de gebreachte website(s) gebruikt. Dan is het zaak dat u nagaat bij welke websites u deze inlog gegevens nog meer gebruikt, en deze zo snel mogelijk aanpast!
De gevolgen van dien!
Ongeveer 40% van alle Nederlanders gebruiken een en hetzelfde wachtwoord, iets wat hackers ook weten en waar ze graag misbruik van maken. Zo kunnen ze bijvoorbeeld gemakkelijk toegang krijgen tot uw mail met het wachtwoord van uw Facebook. Als laatste kers op de taart, de 4 makkelijkste wachtwoorden om te kraken zijn ook gelijk de 4 meest gebruikte wachtwoorden…
Wanneer een hacker eenmaal (een van) uw wachtwoord(en) heeft bemachtigd, heeft hij/zij toegang tot enorm veel persoonlijke informatie. Daarnaast kan de hacker in kwestie zichzelf vanaf nu online voordoen als u, met alle gevolgen van dien.
Voorkomen is beter dan genezen…
Als data eenmaal op het internet verdwijnt, is het vrijwel onmogelijk om dit eraf te halen. Om de hier boven genoemde methodes van wachtwoord kraken te voorkomen, kunt u als eind gebruiker zelf een aantal dingen toepassen op uw wachtwoord beheer:
1. Controleer wifi netwerk waar u mee verbindt. Vertrouwt u het niet, gebruik dan een persoonlijke hotspot.
2. Gebruik complexe wachtwoorden, bij voorkeur een die u niet zelf heeft verzonnen. Check je wachtwoorden door gebruik te maken van de volgende website.
3. Sla wachtwoorden niet zomaar op ieder systeem op.
4. Bij gebruik van een wachtwoord boekje of dergelijke, neem deze niet overal mee naar toe en leg hem veilig in een kluis waar mogelijk! Gebruik hiervoor een wachtwoord manager.
5. Gebruik geen voor de hand liggende termen in uw wachtwoorden. Denk aan uw naam, geboorte jaar etc…
6. Kijk altijd even om u heen als u een wachtwoord invoert in publieke plekken, zoals een internet café of een bibliotheek.
Je kan maar zoveel doen…
Tegen de laatste 2 items kunt u als eindgebruiker helaas weinig doen. Een “key logger” kan lastig te achterhalen zijn zonder technische kennis, daarvoor kunt u beter een professional inschakelen. Daarnaast is social engineering ontworpen om zonder technische kennis achter gegevens van gebruikers te komen. Voor een leuk voorbeeld van hoe social engineering werkt, zie onderstaande video.
Het onthouden van wachtwoorden is verleden tijd!
In de bovenstaande alinea hebben we het kort over het gebruik van een wachtwoord manager. Nu horen wij u denken: “Wat is er veilig aan al je wachtwoorden op 1 plek bewaren?!”. En hoewel het inderdaad beter is om alle wachtwoorden te onthouden, is en blijft dit een onbegonnen zaak. Zeker nu er zo gehamerd wordt op het gebruik maken van complexe wachtwoorden. Om die reden raden wij u ten strengste aan om een goede password manager te gebruiken. Voor advies over het kiezen van de juiste password manager, neem contact met ons op.
Complexe wachtwoorden zijn essentieel
Bij het bedenken van een wachtwoord kiest de mens altijd onbewust voor termen die vrij voor de hand liggend zijn. Hiervoor is de software oplossing genaamd Diceware gerealiseerd. Deze software oplossing genereert relatief makkelijk onhoudbare wachtwoorden, bestaande uit termen die weinig tot niet voorkomen in gebruikelijke wachtwoorden. Aan de andere kant van het spectrum heb je ook complexe wachtwoord generators, die een heel stuk sterkere maar ook moeilijkere wachtwoorden maken. Bij het gebruik van een password manager kunt u het beste de complexe wachtwoorden gebruiken, wilt u dit liever niet dan raden wij u aan om Diceware te gebruiken.
Conclusie
Eindgebruiker en systeembeheerders kunnen hackers nooit 100% tegenhouden, je kan het ze wel heel moeilijk maken. Zo moeilijk dat de meeste het niet eens proberen. Houdt er rekening mee dat hoe moeilijker we het voor hen maken, hoe moeilijker het voor uzelf wordt om de wachtwoorden te beheren. Als laatste, hier onze tips en tricks om met goed wachtwoorden om te gaan!
- Controleer of uw inloggegevens publiekelijk toegankelijk zijn door gebruik te maken van Have I Been Pwned. Zo ja, ga na waar u deze gegevens nog meer gebruikt en pas deze aan!
- Gaat u voor veiligheid en gemak, gebruik complexe wachtwoorden en sla ze op in een password manager. Let op dat uw “master password” zeer complex moet zijn, zodoende hoeft u nog maar 1 wachtwoord te onthouden.
- Schrijf wachtwoorden niet zomaar overal op! Een wachtwoord boekje kan maar is ten strengste af te raden, maak dan eerder gebruik van een password manager.
- Slaat u wachtwoorden liever niet op, maak dan gebruik van Diceware om uw wachtwoorden te genereren. Zodoende wordt complexiteit gerealiseerd en blijft het makkelijker om ze te onthouden.
Bedrijven als Microsoft en Google hebben de ambitie om naar een toekomst zonder wachtwoorden te werken. Dit zal echter niet overal geïmplementeerd worden! Daarom is het maar beter dat we onze online veiligheid goed aanpakken.
