Verander Je Wachtwoorden Dag 2019

Blog post - november 2019 geschreven door Floris Duvekot, associate consultant bij Secura en Ben Brücker, senior security specialist bij Secura

In het nieuws lezen we regelmatig over 'megahacks' maar dat leidt volgens onderzoek van de technologiewebsite Tweakers niet tot veiliger wachtwoordgebruik. Vandaag is het Nationale Check je Wachtwoorden Dag! Een mooie dag om eens goed na te denken of jouw wachtwoord wel zo veilig is als je zelf denkt en of het wachtwoord überhaupt nog wel veilig is. Floris Duvekot, security awareness expert bij Secura en Ben Brücker, technisch security specialist bij Secura, delen hun inzichten ieder vanuit hun eigen invalshoek.

Tips & tricks

Er zijn een aantal – misschien voor de hand liggende - zaken die je niet mag vergeten. Zeker niet op “Verander je wachtwoorden dag 2019”.

Check je accounts
Een goede check om te zien of jouw wachtwoord is buitgemaakt bij een website die je gebruikt om in te loggen is de website van HaveIbeenPwned: https://haveibeenpwned.com/. Als je hier jouw emailadres (privé of zakelijk) invult, dan zie je of jouw emailadres voorkomt in een database met gelekte accounts.  Misschien staat jouw gebruikersnaam en wachtwoord van je LinkedIn- account wel in die database? Aangezien deze in 2012 gehackt werd. Daarbij kwamen 164 miljoen emailadressen en wachtwoorden op straat te liggen. Dus heb je je wachtwoord van LinkedIn nog nooit veranderd? Dan doe dat vandaag! Ook kun je kijken op de site van De Nederlandse Politie: https://www.politie.nl/themas/controleer-of-mijn-inloggegevens-zijn-gestolen.html waar je kan controleren of je inloggegevens gestolen zijn.

Kies een sterk wachtwoord
Het kiezen van een sterk wachtwoord is zo makkelijk nog niet, want hoe kies je een wachtwoord dat je én kunt onthouden én sterk genoeg is. Een aantal tips:
(1)    Stel nooit één enkel woord in als wachtwoord.
(2)    Gebruik een wachtwoord van minimaal twaalf tekens
(3)    Gebruik geen geboortedata, adressen of iets anders dat eenvoudig is te raden.
(4)    Gebruik minimaal één woord en een cijfercombinatie die alleen u kent.

Belang van sterke wachtwoorden

Secura heeft haar oorsprong in de technische IT-beveiliging (ethical hacking). Wij weten uit de praktijk hoe kinderlijk eenvoudig het kan zijn voor een aanvaller om wachtwoorden te achterhalen met alle gevolgen van dien.

Wanneer men kan inloggen op een website, dan wordt het wachtwoord in het algemeen niet in een leesbare vorm opgeslagen, maar enkel een zogenaamde 'hash' gemaakt met een algoritme zoals PBKDF2 of Argon2.

Wanneer een hacker toegang krijgt tot een database van 'gehashte' wachtwoorden, dan kunnen eenvoudige wachtwoorden, afhankelijk van het gebruikte hash-algoritme, binnen korte tijd worden achterhaald. Een hacker zal dan proberen op een zelfde manier als de website hashes te genereren van gebruikelijke wachtwoorden. Hetzelfde wachtwoord resulteert namelijk altijd in dezelfde hash.

Wachtwoordmanager: de uitkomst?!

Wil je gemakkelijk een sterk wachtwoord kiezen? Gebruik dan een wachtwoordmanager. Deze zogenaamde wachtwoordkluizen maken het eenvoudig om voor iedere website een uniek, lang en willekeurig wachtwoord te genereren. Bij de meest gebruiksvriendelijke versie is één enkel wachtwoord om de wachtwoordkluis te ontsleutelen het enige wat een gebruiker hoeft te onthouden. Handige wachtwoordmanagers om te gebruiken zijn:

  • 1Password
  • Lastpass
  • Keepass
  • Dashlane

Op de website https://wachtwoordbewust.nl/wachtwoordhulpen/ lees je meer over de verschillen tussen de wachtwoordmanagers.

Maar is dit dan de uitkomst? Gebruikers voelen zich automatisch veiliger wanneer een wachtwoordmanager de gegevens invult. Immers, deze controleert of men de juiste website heeft bezocht. Maar waar veel gebruikers zich niet van bewust zijn is dat de controle van deze wachtwoordkluizen hier ophoudt. Als de website bijvoorbeeld kwetsbaar is voor cross-site-scripting, dan kan een hacker tamelijk eenvoudig logingegevens naar zijn eigen systeem laten sturen.

Alternatieven

Er komen steeds meer gebruiksvriendelijke en 'veiligere' alternatieven. Een alternatief is de Account  Key, als eerste geïntroduceerd door Yahoo. Hiermee is het voor een gebruiker mogelijk om zijn gebruikersnaam in te vullen en dan op zijn mobiele telefoon op een push-notificatie te drukken, in plaats van een wachtwoord in te vullen. Wat betreft veiligheid verandert de aanvalsvector. In plaats van iets aan te vallen dat de gebruiker 'weet', het wachtwoord, valt men iets aan dat de gebruiker 'heeft', de mobiele telefoon. De tijd zal leren of deze vormen van authenticatie zich zullen bewijzen in de toekomst. Een van de andere alternatieven van wachtwoorden is het gebruik van biometrische gegevens. Gebruikelijke biometrische authenticatiemethoden omvatten onder andere het afnemen van vingerafdrukken, irisscans of bewegingen. Sommige bedrijven gaan zelfs verder en maken technologie onderdeel van iemands lichaam.  Ook hier verandert de aanvalsvector. Waar het bij wachtwoorden ging over iets wat de gebruiker 'weet', bij account key over iets dat de gebruiker 'heeft' gaat het nu over iets dat de gebruiker 'is'. Daarbij kan iemands fysieke lichaam in gevaar komen. Een uitgelekte vingerafdruk kun je namelijk nooit meer veranderen zonder iets aan je lichaam te veranderen.

Meer dan vijftig jaar na de uitvinding van het wachtwoord hebben we nog steeds geen perfecte oplossing. Wie zich echt veiliger wil voelen zal gebruik moeten maken van twee of meer factoren van authenticatie. Het is voor een hacker namelijk veel moeilijker om op grote schaal authenticatie-gegevens te verzamelen wanneer deze bestaan uit iets dat de gebruiker 'weet', 'heeft' en misschien ook 'is'.

Mens en techniek

Het onderwerp digitale beveiliging gaat zowel over mensen (security awareness) als over techniek. Het niveau van beveiliging zal op elk domein geregeld moeten zijn om een goede beveiliging van de systemen en producten te waarborgen.

Secura levert een breed aanbod aan diensten gebaseerd op de visie dat security gaat over mensen, processen en technologie. Wij doen dit vanuit een onafhankelijk standpunt. Hiermee kun je proactief de controle houden over de eigen digitale veiligheid. Neem vrijblijvend contact met ons op voor meer informatie.

Schrijf je in voor Secura's periodieke nieuwsbrief en mis geen enkele update.

@ Secura 2020
Webdesign Studio HB / webdevelopment Medusa