Berichten

12 miljard wachtwoorden. Dat is meer dan 1 per persoon voor de hele wereldbevolking. De site WeLeakInfo had ze – althans naar eigen zeggen. Waarschijnlijk zaten er dubbelen bij, maar het blijft een gigantische hoeveelheid.

We leak info

We hebben het al eerder over datalekken gehad en het zal nog wel vaker terugkomen. Op het internet worden helaas voortdurend bedrijven gekraakt en login-gegevens gestolen. Die gegevens bestaan meestal uit een combinatie email-wachtwoord (soms meer). En als het goed is zijn de wachtwoorden versleuteld opgeslagen.

Die gestolen gegevens worden in de underground economy verkocht. Cybercriminelen kunnen deze gegevens gebruiken om accounts over te nemen, mee te kijken, informatie te verzamelen, noem het maar op. Uw inloggegevens staan in verschillende databases, hoogstwaarschijnlijk ook in een aantal gehackte databases. Hoe erg is dat? Dat hangt er vanaf. Daar komen we straks op terug. 

De gegevens worden verkocht, doorverkocht, verzameld, verrijkt, en zo ontstaan enorme bestanden. Vorig jaar werd bijvoorbeeld Collection #1 gevonden, een enorm bestand dat in de onderwereld rondgaat.

Maar in plaats van die verzamelde inloggegevens verkopen, kun je er ook een abonnement op aanbieden. Dat is was WeLeakInfo deed. Een dagje onbeperkt rondkijken voor twee euro, een week voor 7, een maand voor 25. Daarvoor kon je van e-mailadressen niet alleen de wachtwoorden krijgen maar ook (als die bekend waren), namen, telefoonnummers en IP-adressen.

Neergehaald

Een week geleden is de site in een gezamenlijke internationale politieactie neergehaald en zijn twee mannen gearresteerd, beide 22 jaar, een in Arnhem, en een in Noord-Ierland. En daarmee is het probleem opgelost….

….natuurlijk niet! 

Ten eerste bood WeLeakInfo informatie aan die ze verkregen hadden uit verscheidene breaches. Verkregen via handel of door kopieren. Die gegevens zelf slingeren nog overal op de ondergrondse fora rond. Ten tweede is er alweer een kloon van WeLeakInfo opgedoken. Uw wachtwoorden gaan dus nog steeds van hand tot hand. 

Wat kan ik eraan doen?

Inloggegevens blijven gestolen worden, en daar kunnen we als eindgebruikers weinig aan doen. De verantwoordelijkheid voor de bescherming van je gegevens ligt bij de bedrijven, en die nemen dat niet altijd even serieus. En zelfs als ze dat wel doen garandeert dat geen absolute veiligheid. 

Maar we kunnen zelf natuurlijk wel een aantal dingen doen om de gevolgen van dit soort breaches voor onszelf zo beperkt mogelijk te houden. Hier een paar tips uit een lange lange lijst adviezen. U heeft ze vast eerder gehoord, maar heeft u ze ook uitgevoerd? 

“Moeilijke” wachtwoorden

De meeste bedrijven slaan – zoals het hoort – uw wachtwoord versleuteld op. Dat biedt bescherming, ook als het versleutelde wachtwoord gestolen is. Want uit dat versleutelde wachtwoord is het origineel niet terug te rekenen. Tenzij u een te simpel wachtwoord gebruikt. Simpele wachtwoorden komen in twee smaken: de standaard wachtwoorden als password, letmein, monkey, 123456 of iloveyou. Want de criminelen gaan raden en dit zijn de eerste wachtwoorden die ze proberen. 

En dan hebben we de korte wachtwoorden. Als de top 10.000 van de meest gebruikte wachtwoorden niets heeft opgeleverd kunnen ze een voor een gaan raden. Hoe langer het wachtwoord is, hoe onmogelijker dat wordt. Rare tekens, hoofdletters en cijfers helpen ook, maar lengte is nog veel belangrijker.  

Verschillende wachtwoorden

Mensen gebruiken dezelfde login-combinatie voor verschillende websites. Wat moeten we anders? (Antwoord: een password manager of een token gebruiken) Al die wachtwoorden zijn onmogelijk te onthouden. Dus als uw wachtwoord bij de ene website gestolen is gaan ze kijken of ze met dezelfde combinatie van email en wachtwoord ook op andere sites binnen kunnen komen.

Twee-factor authenticatie

Steeds meer sites bieden de mogelijkheid aan om u na het invullen van uw wachtwoord via uw telefoon te laten bewijzen dat u het bent. Via een SMS’je, of beter nog, via een app, krijgt u een code, of moet u op een knop drukken om toegang te geven. Twee-factor authenticatie wordt steeds veiliger – zelfs websites met gestolen wachtwoorden gebruiken het…

Wachtwoorden veranderen

Er zijn ook mensen die de gehackte gegevens verzamelen om u te helpen. Er zijn verschillende websites (zoals haveibeenpwned) die bij ingeven van uw inlognaam of e-mailadres (maar geef nooit uw wachtwoord!) aangeven of uw gegevens in een breach hebben gezeten. Zo ja: gelijk een nieuw wachtwoord bedenken. Check het gelijk even!