Is jouw wachtwoord nog geheim?

In onderstaande blog deelt Sjoerd van der Meulen, Cybersecurity Specialist bij DataExpert, zijn kennis rondom wachtwoorden.

De “gewone” burger zet steeds meer gegevens op het internet, waardoor hij voor de cybercrimineel steeds toegankelijker wordt. Er valt immers steeds meer te halen voor criminelen. Bijna iedere week komen grote organisaties die gehackt zijn in het nieuws, denk hierbij aan Twitter, LinkedIn, Adobe, Sony, Dropbox en meer. Kleinere organisaties die slachtoffer zijn worden hier niet eens genoemd. Maar klein of groot, voor alle organisaties zijn de gevolgen aanzienlijk, zowel voor het imago als op financieel gebied.

Waar echter niet bij stil wordt gestaan is dat een hack ook aanzienlijke gevolgen heeft voor de gebruikers. Verschillende identificerende gegevens, inclusief de vingerafdruk (hashen) van wachtwoorden komen letterlijk op straat te liggen.

Op de vraag of jouw wachtwoord nog een geheim is, denk je misschien: “ik ben toch de enige die mijn wachtwoord weet?”. Helaas blijkt het tegendeel waar. Sterker nog, jij bent zelf vaak degene die jouw wachtwoord over het internet heeft verspreid, uiteraard alleen met goede intenties. We vertrouwen namelijk vele partijen onze wachtwoorden toe.

De buit van een hack

Tijdens een hack wordt in de meeste gevallen een database buitgemaakt. Een database kan gezien worden als een grote Excelsheet, rijen en kolommen met artikelen maar ook gegevens van de gebruikers.

De meeste websites slaan een gebruikersnaam (vaak een emailadres) in leesbare tekst op. Het wachtwoord wordt niet in leesbare tekst opgeslagen, hier wordt een zogenaamde hash over berekend. Een hash is een soort vingerafdruk van een wachtwoord, en bestaat uit een lange reeks nietszeggende tekens. Deze reeks slaat de website wel op. Een hacker kan een hash niet terugvertalen naar een woord. Wat een hacker wél kan doen is een grote hoeveelheid woorden hashen om te zien of hij een overeenkomst vindt met de hash van de gehackte database. De resultaten worden in een lijst gezet, rainbow tables genoemd.

“Een tijdrovend en ingewikkeld proces,” zul je denken, “dan loop ik niet zoveel risico,”. Niets is minder waar. Om het hackers gemakkelijk te maken zijn er websites zoals Crackstation. Op deze website kan een hash uit een gehackte database worden gezocht. Als de website de hash herkent wordt het wachtwoord wordt teruggegeven.

Gehackte databases online beschikbaar

Met een gebruikersnaam/wachtwoord combinatie in het bezit, is verder weinig tot geen digitale kennis nodig om een account te hacken. Naast de hierboven omschreven methodes, zijn er ook andere manieren om aan deze gegevens te komen. Zo kun je de Twitterdatabase, inclusief de 32 miljoen buitgemaakte Twitter accounts, online kopen voor slechts 19 dollar. Daarnaast zwerven er duizenden gebruikersnaam en wachtwoord combinaties online rond, te vinden met Google.

Voorkom dat je slachtoffer wordt

DataExpert helpt je graag voorkomen slachtoffer te worden van een gehackt account. Hieronder bieden we je enkele tips:

  • Doe regelmatig een onderzoek naar jezelf via Google. Zet daarbij jouw gebruikersnaam (vaak je mailadres) tussen haakjes bv. “voornaam.achternaam@dataexpert.nl”.
  • Een geweldig initiatief is de website haveibeenpwned.com. Daar kun je bekijken of je in een gehackte database voorkomt.
  • Maak een sterk wachtwoord. Een sterk wachtwoord is een lang wachtwoord dat bestaat uit verschillende tekens. bv. IkwerkbijDataExpertsinds2016! Zelfs wanneer de hash van dit wachtwoord in een database zit, is de kans nihil dat de rainbow tables deze hash kennen. Op deze manier zo blijft jouw wachtwoord (voorlopig) geheim.
  • Maak gebruik van Twee Factor Authenticatie. Dit is een derde wachtwoord dat jij kunt ontvangen op bijvoorbeeld je telefoon en die telkens wijzigt.
  • Maak gebruik van een wachtwoordmanager, zoals Lastpass of Keepass. Deze wachtwoordmanagers genereren lange nietszeggende wachtwoorden en kunnen je leven een stuk eenvoudiger maken.