“Het” Facebook-lek (en uw wachtwoord)
Honderden miljoenen wachtwoorden van Facebook en Instagram gelekt, las ik gisteren. Maar het had ook een half jaar geleden kunnen zijn. En Cambridge Analytica was nog maar een jaartje geleden in het nieuws…
Maar het is dus weer raak. Wat was er een aan de hand?
Gewoon leesbaar
Het is goed gebruik om wachtwoorden te versleutelen voor ze worden opgeslagen. Een wiskundige functie zet je wachtwoord om in een onleesbare serie letters: de hash. Terugvertalen kan niet, wel controleren of je het juiste wachtwoord hebt ingevoerd door je invoer te versleutelen en de hash te vergelijken.
Dat doen we al jaren zo. Al tientallen jaren. Maar soms wordt dat blijkbaar even vergeten. Vaker dan je zou verwachten. Onlangs bleek dat Twitter en Github overkomen te zijn. Nu is Facebook aan de beurt. En als de versleuteling ‘vergeten’ wordt, dan betekent dat dat je wachtwoord ergens gewoon leesbaar is opgeslagen.
Interne server
In het geval van Facebook lijkt het erop dat het een interne server betrof. Wel een server die door 20.000 medewerkers benaderd kon worden overigens. Volgens Krebs hebben ongeveer 2000 medewerkers de database waarin de onversleutelde wachtwoorden stonden benaderd. Wat niet wil zeggen dat ze de wachtwoorden ook gebruikt hebben. Of zelf maar in de gaten hadden dat de wachtwoorden ‘plain text’ waren.
Facebook zegt…
Ik begrijp uit de berichtgeving dat Facebook de fout zelf gevonden heeft. De mensen waarvan het wachtwoord onversleuteld op de server stond krijgen een mailtje. (Maar let op! Volg niet zomaar links uit mailtjes!…) Volgens Facebook zijn er geen aanwijzingen dat de wachtwoorden misbruikt zijn. Niet intern, en niet extern. Helemaal zeker kun je dat natuurlijk nooit weten – de betere hacks worden immers niet een twee drie ontdekt.
Wachtwoord veranderen?
Hoewel je van Facebook je wachtwoord niet hoeft te veranderen is dit misschien wel een goed moment om er eens naar te kijken.
Gebruik je hetzelfde wachtwoord voor verschillende (belangrijke) websites? Niet doen! Als criminelen ‘m op de ene website stelen gaan ze ‘m altijd op een hele serie andere websites proberen.
Is je wachtwoord wel erg simpel? 123456 of dadada bijvoorbeeld? Van de versleuteling van simpele wachtwoorden zijn lijsten met hashes bekend. Langere wachtwoorden (bijvoorbeeld een aantal woorden) zijn veel veiliger.
Heb je nog geen two-factor authentication? Zoek eens op hoe je dat aan kan zetten. Dat maakt het voor hackers lastiger om je account binnen te komen.
We vertrouwen onze gegevens toe aan derde partijen. En die partijen maken fouten. Dat zal altijd blijven gebeuren. Waar zij, maar wij zelf ook, voor moeten zorgen is dat zo’n fout ons zo min mogelijk problemen oplevert.
gebruikte fotos: (CC0) Tyler Nix; Bruno Glätsch
No Comments :