Contact

Nieuws

Is uw wachtwoord nog geheim?

In onderstaande blog deelt Sjoerd van der Meulen, Cybersecurity Specialist bij DataExpert, zijn kennis rondom wachtwoorden.

De “gewone” burger zet steeds meer gegevens op het internet en daardoor wordt de burger voor de cybercrimineel steeds toegankelijker. Er valt steeds meer te halen voor criminelen. Het gevolg: bijna iedere week komen grote organisaties die gehackt zijn in het nieuws. Denk hierbij aan: Twitter, LinkedIn, Adobe, Sony, Dropbox en meer. De kleinere organisaties die ten slachtoffer vallen worden niet eens genoemd. Klein of groot, voor alle organisaties kunnen de gevolgen aanzienlijk zijn, zowel op het vlak van imago als op financieel gebied.

Waar echter niet bij stil wordt gestaan, is dat een hack ook aanzienlijke gevolgen heeft voor de gebruikers. Verschillende identificerende gegevens inclusief de hashes van wachtwoorden komen letterlijk op straat te liggen.

Op de vraag of uw wachtwoord nog een geheim is denkt u misschien: “ik ben toch de enige die mijn wachtwoord weet”. Helaas blijkt het tegendeel waar. Sterker nog, u bent zelf vaak degene die uw wachtwoord over het internet heeft verspreid. Dit uiteraard enkel met goede intenties. We vertrouwen namelijk vele partijen onze wachtwoorden toe.

De buit van een hack
Tijdens een hack wordt er in de meeste gevallen een database buitgemaakt. Een database kan gezien worden als een grote Excel sheet die bestaat uit rijen en kolommen met daarin artikelen maar ook gegevens van de gebruikers.

De meeste websites slaan een username (vaak een e-mailadres) in leesbare tekst op. Het wachtwoord wordt niet in leesbare tekst opgeslagen. Over een wachtwoord wordt een zogenaamde hash berekend. Een hash is een soort vingerafdruk van een wachtwoord en bestaat uit een lange reeks nietszeggende tekens. Deze reeks slaat de website wel op. Een hash terugvertalen naar een woord is niet mogelijk. Wat een hacker wél kan doen is een grote hoeveelheid woorden hashen en dan kijken of een hash overeenkomt met de hash uit de gehackte database. Dergelijke lijsten met hashes noemt men rainbow tables.

Een tijdrovend en ingewikkeld proces zult u denken. Dan loop ik niet zoveel risico. Niets is minder waar. Om het hackers gemakkelijk te maken zijn er websites zoals Crackstation. Hier kan een hash uit een gehackte database in geplaatst worden. Wanneer de hash door de rainbow tables van Crackstation wordt herkend, geeft de website het bijbehorende wachtwoord terug.

Gehackte databases online beschikbaar
Met een username/wachtwoord combinatie in het bezit, is verder weinig tot geen digitale kennis nodig om een account te hacken. Naast de hierboven omschreven methodes, zijn er ook andere manieren om aan deze gegevens te komen. Zo kunt u de Twitter database met daarin de 32 miljoen buitgemaakte Twitter accounts online kopen voor slechts 19 dollar. Daarnaast zwerven er duizenden username en wachtwoord combinaties gewoon online rond en zijn vindbaar met Google.

Voorkom dat u slachtoffer wordt
DataExpert helpt u graag voorkomen slachtoffer te worden van een gehackt account. Hieronder bieden we u enkele tips:

  • Doe regelmatig een onderzoek naar uzelf via Google. Zet daarbij uw username (vaak uw mailadres) tussen haakjes bv. "voornaam.achternaam@dataexpert.nl".
  • Een geweldig initiatief is de website haveibeenpwned.com. Daar kunt u bekijken of u in een gehackte database voorkomt.
  • Maak een sterk wachtwoord. Een sterk wachtwoord is een lang wachtwoord dat bestaat uit verschillende tekens. bv. IkwerkbijDataExpertsinds2016! Zelfs wanneer de hash van dit wachtwoord in een database zit, is de kans nihil dat de rainbow tables deze hash kennen. Op deze manier zo blijft uw wachtwoord (voorlopig) geheim.
  • Maak gebruik van Twee Factor Authenticatie. Dit is een derde wachtwoord dat u kunt ontvangen op bijvoorbeeld uw telefoon en die telkens wijzigt.
  • Maak gebruik van een wachtwoordmanager, zoals Lastpass of Keepass. Deze wachtwoordmanagers genereren lange nietszeggende wachtwoorden en kunnen uw leven een stuk eenvoudiger maken.