Meerdere partijen kennen jouw wachtwoorden

Veilig online ondernemen | Tips om hackers te verslaan

06 juni 2017

In 2012 zijn bij een hack bij LinkedIn de inloggegevens van 117 miljoen gebruikers buitgemaakt. Dit in tegenstelling tot eerdere berichten over een aantal van ‘slechts’ 6,5 miljoen. De gegevens zouden door Russische cybercriminelen zijn gestolen en worden nu, vier jaar na de hack, te koop aangeboden op het internet voor circa 2000 euro. De website Leakedsource claimde onlangs ook in het bezit te zijn van de gegevens en 90 procent van de wachtwoorden binnen 72 uur te hebben kunnen kraken.

Leakedsource is niet de enige 'ongevaarlijke' partij die in het bezit is van de gegevens. Ook beveiligingsonderzoeker Troy Hunt zegt de gegevens te hebben. Hij speurt al jaren het internet af naar gehackte websites en zet de gestolen gegevens die hij vindt online. Dat doet hij niet om mensen te chanteren, maar juist om ze te helpen. Op zijn website Have I Been Pwned kun je zien of jouw e-mailadres en wachtwoord door hackers zijn gestolen. Dat deed ook Jan Verkerk, Business Unit Manager bij IT-bedrijf WSB Solutions uit Hardinxveld-Giessendam: "Elke dag worden websites gehackt en eens in de zoveel tijd gaat het om een hele grote hack waarbij gegevens van miljoenen mensen wordt buitgemaakt. Toen ik hoorde dat de hack bij LinkedIn vele malen groter was dan gedacht, heb ik direct op de website van Troy Hunt gekeken of mijn gegevens ook op het internet stonden en dat was het geval. Gelukkig verander ik regelmatig mijn wachtwoord, maar ik ben bang dat er heel veel gebruikers al jaren hun wachtwoord niet hebben aangepast."

Wat doet LinkedIn?

LinkedIn heeft van alle accounts die voor 2012 zijn aangemaakt en waarvan sindsdien het wachtwoord niet is gewijzigd het wachtwoord gereset. Getroffen gebruikers hebben bericht van LinkedIn ontvangen over deze reset. De zakelijke netwerksite krijgt veel kritiek over die manier van beveiliging. Jan Verkerk: “De gestolen gegevens bevatten e-mailadressen en de bijbehorende wachtwoorden in een hash-vorm. Dat is een versleuteling door een algoritme van de wachtwoorden in een soort cijfer- en letterbrij. Bij een hash verandert het wachtwoord ‘welkom’ in bijvoorbeeld 'dr34avcs94r3e2wdfdr593fweedre45654dfdf'. Deze hashes waren gemakkelijk te kraken, omdat LinkedIn een verouderde en veelgebruikte versleuteltechniek gebruikte. Bij deze versleuteltechniek krijgen dezelfde wachtwoorden ook dezelfde hash-code. Dat maakt het voor hackers veel makkelijker hash-codes te kraken. Veel websites voegen aan de hash een salt-waarde toe, een techniek die al tientallen jaren wordt gebruikt. LinkedIn heeft dat niet gedaan en dat is een onbegrijpelijke fout.”

Niet erg origineel

Maar de fout ligt niet alleen bij LinkedIn. Gebruikers wijzigen veel te weinig hun wachtwoord en zijn ook niet echt origineel bij het verzinnen van een wachtwoord. Ze gebruiken wachtwoorden die zeer voorspelbaar zijn en dus gemakkelijk zijn te kraken. Het eerder genoemde Leakedsource maakte een overzicht van de meest gebruikte wachtwoorden. Met stip op nummer één staat '123456'. Dit wachtwoord werd door 753.000 (van de 170 miljoen) mensen gebruikt. De top drie wordt gecompleteerd door de wachtwoorden 'linkedin' (172.000) en 'password' (144.000).

Wachtwoordzinnen

Jan Verkerk: “Eigenlijk is de term wachtwoord niet meer van deze tijd. Het is verstandig niet langer gebruik te maken van een wacht-wóórd, maar van een wacht-zín*. Hoe langer en minder voorspelbaar deze is, hoe moeilijker te kraken. Een voorbeeld van een goede wachtzin is ‘demooistekleurvandesp@@ns3VLAGisrood’. De zin is gemakkelijk te onthouden en u maakt tevens gebruik van leestekens en cijfers. Daarnaast gebruiken veel mensen voor veel dezelfde applicaties en platformen zoals hun e-mail, Facebook etcetera dezelfde combinatie van e-mailadres en wachtwoord. Zo maken ze het hackers heel gemakkelijk. Wanneer ze van iemand de combinatie van zijn LinkedIn-account weten, is de kans groot dat ze ook de inloggegevens van zijn e-mailaccount te pakken hebben of zelfs de inloggegevens van zijn bedrijfsnetwerk.”

Veiligheid bedrijfsnetwerken ook in het geding

Hiermee komt niet alleen de privacy van mensen in het geding, maar ook de veiligheid van bedrijfsnetwerken. Ondanks alle technische maatregelen zoals een firewall, spamfiliter en antivirussoftware, kan het op deze manier heel gemakkelijk zijn voor buitenstaanders om op een bedrijfsnetwerk te komen. Want hoeveel mensen gebruiken voor hun zakelijke account niet dezelfde inloggegevens als voor hun LinkedIn account?

Jan Verkerk: “De LinkedIn hack laat maar weer eens zien dat ‘de mens’ misschien wel de grootste bedreiging vormt voor de veiligheid van IT-systemen. Technisch is alles goed te beveiligen, maar dan moet je dat wel doen en niet ‘vergeten’ zoals bij LinkedIn gebeurd is. Persoonlijk kunnen mensen maatregelen nemen om hackers het in ieder geval zo moeilijk mogelijk te maken. Het werkt net als bij inbrekers. Als ze voor je deur staan en zien dat je extra sloten en een alarm hebt en je buren hebben dat niet, dan is de kans groot dat ze jouw huis overslaan en een ‘kijkje gaan nemen’ bij de buren. Binnen bedrijven is het goed om na te denken over andere vormen van authenticatie. Bijvoorbeeld door geen gebruik meer te maken van wachtwoorden of wachtzinnen maar door middel van smartcards, vingerafdrukken, irisscans, stemherkenning of zelfs een combinatie hiervan. Misschien een beetje eng voor veel mensen, maar dat is wel de kant die we opgaan. Om ons te wapenen tegen cybercriminelen zullen we denk ik wel moeten."

* Deze en negen andere tips om uw organisatie te wapenen tegen cybercriminelen vindt u op www.wsb-solutions.nl/10tips.

Bron: Blazedesk.nl