De cyberweek: Datalekken en wachtwoorden
Het was de week van datalekken en wachtwoorden.
De Nederlandse hacker(?) d0gberry kwam naar buiten met het nieuws dat hij een zoekmachine had gemaakt waarin je door het invoeren van je emailadres je je wachtwoorden voor verschillende sites te zien kon krijgen. Dat leidde tot veel commotie, en uiteindelijk heeft d0gberry de zoekmachine toch niet online gezet.
Wat is er aan de hand?
Waar heeft d0gberry die wachtwoorden vandaan?
En wat moet je nu doen?
Laten we alles eens op een rijtje zetten.
Wachtwoorden
Google, Youtube, Microsoft, digID, iTunes, Dropbox, NS, Fitbit, Spotify, Facebook, Twitter, LinkedIn, Sony, Amazon, KPN, Evernote, en ga zo maar door. Je hebt al gauw 100 of meer wachtwoorden. Te veel om te onthouden.
En al die sites, al die bedrijven en instellingen, hebben jouw wachtwoord opgeslagen. Als het goed is hebben ze het versleuteld opgeslagen. Dat is veilig, want uit het versleutelde wachtwoord kun je het oorspronkelijke wachtwoord niet terughalen. Maar er zijn nog steeds veel bedrijven die de wachtwoorden van hun klanten gewoon zo opslaan als ze ingegeven worden.
Datalekken
Wat gebeurt er nou als een bedrijf gehackt wordt of de gebruikersnamen en wachtwoorden die ze beheren op een andere manier op straat komen te liggen? Dat gebeurt geregeld. Wekelijks. De Nederlandse loterij riep onlangs 3325 klanten op om hun wachtwoorden te veranderen naar aanleiding van een lek. MyFitnessPal ontdekte vorige week dat de inloggegevens van 150 miljoen gebruikers op straat lagen. Er zijn in 2017 10.009 datalekken aangemeld bij de Autoriteit Persoonsgegevens. (Niet allemaal grote, en niet allemaal inclusief wachtwoord natuurlijk).
Handel
Die bestanden met klantgegevens worden ondergronds gedeeld. Soms is er sprake van verkoop en doorverkoop, soms worden delen of hele bestanden gewoon gepubliceerd en kunnen door iedereen worden gezien. Criminelen gebruiken deze bestanden om te kijken of ze de accounts van de slachtoffers kunnen binnenkomen. Omdat die bijvoorbeeld hun wachtwoord (nog) niet veranderd hebben.
Ontsleutelen?
Maar wacht! Als het gehackte bedrijf je wachtwoord versleuteld heeft ben je toch veilig? Want daar kunnen ze niks mee!
Niet helemaal. Want hoewel je het versleutelde wachtwoord inderdaad niet terug kunt rekenen naar het origineel, kun je ‘m wel gebruiken om het origineel te raden.
De manier waarop versleuteld wordt is namelijk bijna overal hetzelfde. Dus wat doe je? Je berekent van de miljoen meest waarschijnlijke wachtwoorden de versleutelde variant. Slaat die op in een grote tabel (een rainbow table) – en vergelijkt de gelekte versleutelde wachtwoorden met de versleutelde wachtwoorden in je tabel. Heb je een match, dan weet je het origineel, want dat staat ook in je tabel.
Te makkelijk
En dat werkt geweldig, want de meeste mensen gebruiken nog steeds te makkelijke wachtwoorden. Al jaren staat internationaal (en in Nederland) het wachtwoord 123456 op de eerste plaats van meest gebruikte wachtwoorden. Daar hoef je niet eens een tabel voor te maken. Dat rekent een computer zo wel even uit.
Veel mensen – erg veel mensen – gebruiken vervolgens hetzelfde wachtwoord voor verschillende websites. En dat maakt het nog makkelijker voor de ondernemende cybercrimineel. Want als ze er dankzij een LinkedIn datalek achterkomen dat je wachtwoord daar “dadada” is, dan proberen ze vervolgens eens Twitter, en ja hoor, ook daar komen ze binnen!
123456
welkom
welkom01
wachtwoord
qwerty
amsterdam
geheim
123456789
feyenoord
1234
De Nederlandse top tien van meest voorkomende wachtwoorden.
Is mijn wachtwoord ook gelekt?
d0gberry wilde een zoekmachine maken waarop je dat kon uitzoeken, met daarin alle Nederlandse mailadressen en wachtwoorden die hij had gevonden online. Hij heeft dus niets zelf gestolen, het betreft gegevens die gelekt zijn (soms al jaren geleden) en die al tijden op het internet rondzweven.
Er is al zo’n zoekmachine, die alleen aangeeft of je emailadres in een datalek is aangetroffen maar geen wachtwoorden teruggeeft.
Als je daar je emailadres invoert krijg je te zien welke accounts in welk jaar zijn gecompromitteerd. Die wachtwoorden zou je dus (allang) veranderd moeten hebben. En als je ze vaker gebruikt dan zou je ze op alle andere plekken ook veranderd moeten hebben. Niet? Dan is er werk aan de winkel.
Veilige wachtwoorden
Wachtwoorden…. Ondingen zijn het. Maar voorlopig zitten we er nog even aan vast. Hier dus een paar korte tips:
- Voor de meeste mensen zijn er maar een paar accounts die echt belangrijk zijn. Je email, je sociale netwerken, de belastingdienst… Vooral het emailadres dat je gebruikt om overal in te loggen is belangrijk.
- Die belangrijke accounts krijgen een uniek sterk wachtwoord. En ga niet moeilijk lopen doen met cijfers en tekens en dingen die je nooit onthoudt: maak een wachtwoord zin. Oneedewijnisop is veel makkelijker te onthouden dan 4<#kR,wS en het typt waarschijnlijk nog sneller ook.
- Of: je laat het onthouden over aan een password manager. Een programma die al je wachtwoorden voor je bijhoudt, en waar je alleen maar inkan met het master password. Dat moet natuurlijk een goed wachtwoord zijn, en nog belangrijker: je moet het niet vergeten.*
- Tenslotte kun je ook steeds vaker kiezen voor two factor authentication. Een wachtwoord in combinatie met een code die je op een ander apparaat binnenkrijgt. Meestal een sms’je. Want zelfs als je wachtwoord gestolen en gekraakt is kunnen ze er nog niet in, want de code komt alleen aan op jouw telefoon.**
* en dan natuurlijk wel hopen dat je password manager geen datalek heeft, zoals gebeurd is bij die van Apple.
** maar ze kunnen het wel proberen. Onlangs werd bekend dat criminelen je via een serie SMS’jes proberen over te halen om je Google code terug te SMS’en. Zogenaamd om een inbraakpoging te vermijden. Terwijl ze op dat moment klaarzitten om met jouw code je gmail-account over te nemen.
Don’t worry, be happy
Helemaal veilig ben je nooit. Dat geldt online net zo hard als in het echte leven. Maar met een paar simpele maatregelen kun je je veiligheid online vandaag nog een stuk verbeteren.
No Comments :