wachtwoorden: wat iedereen moet weten

Het gebruik van wachtwoorden is een van de belangrijkste dingen die we hebben voor het beschermen van onze persoonlijke gegevens en identiteit. Toch lijkt het alsof we dit niet al te serieus nemen. Als we niet bereid zijn om ons paspoort of bankpas met pincode aan een bekende uit te lenen, waarom doen we dit dan wel met ons wachtwoord?


Onlangs is tijdens een security event in London een experiment gedaan waarbij aan de deelnemers bij binnenkomst om hun wachtwoord werd gevraagd in ruil voor een usb stick. 90% van de mensen gaf zonder moeite hun wachtwoord!

Hoeveel websites heb je vandaag al bezocht waar je moest inloggen met een wachtwoord? Waarschijnlijk heb je ook al een wachtwoord moeten invoeren op het device waar je nu dit artikel op leest.

Wachtwoorden zijn onze front-line verdediging voor het beschermen van onze gegevens en identiteit, zorgen ervoor dat cyber criminelen niet bij onze bankgegevens kunnen komen en voorkomen dat onze kinderen niet kunnen spammen op ons twitter account.
Het probleem is dat we op zoveel plekken een wachtwoorden nodig hebben dat we regelmatig hetzelfde of een te eenvoudig wachtwoord gebruiken. En dat is nou precies waar de risico’s ontstaan.

risico van hetzelfde wachtwoord gebruiken

Stel dat iemand achter het wachtwoord van je Facebook komt via een eenvoudige phishing link op Facebook. De kans is grote dat ze hetzelfde wachtwoord kunnen gebruiken voor het inloggen op je e-mail.
En zodra dat gelukt is…. JACKPOT! Omdat veel van ons slechts één e-mailaccount gebruiken voor al ons e-mailverkeer, is de onze inbox een ware goudmijn voor hackers. Zelf onschuldig ogende aanbiedingen van webwinkels die je nog niet hebt verwijderd als facturen van online aankopen zijn waarde volle informatie. De kans dat je webwinkel bij desbetreffende online shop hetzelfde wachtwoord hebt gebruikt als voor je e-mail is groot, en mocht dit niet zo zijn kunnen ze eenvoudig je wachtwoord resetten waardoor ze alsnog kunnen inloggen zonder dat we het doorhebben.
En dat allemaal omdat we op een ogenschijnlijke onschuldige link hebben geklikt op Facebook.

hacking methode

Over het algemeen zal een webwinkel gebruiker gegevens zoals e-mailadressen en wachtwoorden opslaan in databases zodat deze later gebruikt kunnen worden om je opnieuw aan te melden. Deze wachtwoorden worden niet als platte tekst maar versleuteld als hashes opgeslagen op basis van bijvoorbeeld een SHA-1 en SHA-256 encryptie methode.
Nadat een hacker zichzelf ongeoorloofd toegang heeft gegeven tot een systeem of website en achterliggende database begint het proces van het ontcijferen van de wachtwoorden. Veel gebruikte technieken voor het achterhalen van deze wachtwoorden zijn Brute-Force, Dictionary Attack en Rainbow Table Attacks. Vooral de twee laatst opties zijn erg krachtig en snel.
Bij een Dictionary Attack wordt een woordenlijst gebruikt met de meest gebruikte wachtwoorden of de inhoud van een woordenboek. Bij het uitvoeren van een Dictionary Attack wordt voor elke gebruiker een voor een het wachtwoord in de dictionary gebruikt. Ondanks dat dit een eindeloze klus lijkt te zijn valt dit in praktijk erg mee. Een nadeel van deze methode is dat dit proces voor iedere gebruiker opnieuw begint.
Rainbow Tables daarentegen bevatten woorden i.c.m. de Password Hashes. Dit heeft als grote voordeel dat eerst in de table kan worden opgezocht of de Password Hash voorkomt zodat we direct weten wat het wachtwoord is.
In onderstaand voorbeeld hebben Stephan en Sarah hetzelfde wachtwoord. Omdat de Password Hash al bekend is hoeft het wachtwoord niet meer geraden te worden op basis van een andere aanvalsmethode.

bron: onbekend

hoe moet het dan wel?

Idealiter zou je voor elke website een uniek wachtwoord moeten hebben, en daarbij moet er ook geen logisch algoritme of voorspelbaarheid aanwezig zijn in het gebruikte wachtwoord. Een voorbeeld van voorspelbaarheid in wachtwoorden is het gebruik van de naam van een website waarop wordt ingelogd. Een goed voorbeeld hiervan is LinkedIn. Een van de meest gebruikte wachtwoorden bij de data breach op vooral zakelijk bekende website LinkedIn was “linkedin” Ja echt!
Een ander voorbeeld van logische algoritme is het gebruik van eenvoudig te achterhalen gecombineerde gegevens. Als wij het eerdere wachtwoord voor LinkedIn combineren met een geboortedatum “linkedin_290477”, wordt het al een iets veiliger wachtwoord. Echter is de kans reëel dat we dan voor Facebook het wachtwoord “facebook_190477” hebben ingesteld.
Dus wat in eerste instantie een veilig wachtwoord lijkt, hoeft in werkelijkheid niet zo te zijn.

een makkelijk en toch veilig wachtwoord, kan dat?

De basis voor een maken van een veilig wachtwoord weten we allemaal wel maar waar moet een wachtwoord vooral niet aan voldoen om veilig te zijn.
Zorg ervoor dat de wachtwoorden die je gebruikt niet te herleiden zijn aan de hand van je voorkeuren of omgeving. Zonder dat we het weten laten we ontzettend veel sporen na op het internet via Social Media zoals Twitter, Facebook, Instagram etc. Dit maakt het een stuk eenvoudiger om op basis van Social Engineering wachtwoorden te achterhalen. Voorkom dus het gebruik van: woonplaatsen, namen van huisdieren, deel van telefoonnummers, of geboortedata.
Bij het maken van een goed wachtwoord is het belangrijk dat deze voor jou uniek is. Wij zijn als mensen visueel ingesteld dus dit kunnen we gebruiken voor het onthouden van een wachtwoord. Om dit te verduidelijken een voorbeeld:
Stel je bent op vakantie geweest naar Italië, hebt in de zomervakantie de fakir gezien in de Efteling en je beste vriend heet Peter. Je kunt deze denkbeeldige beelden samenvoegen tot een verhaal: “Peter vliegt naar Rome op een Tapijt”.
Dit beeld kun je nu gaan vertalen naar een wachtwoord door bijvoorbeeld uit elk woord de eerste twee letters te nemen. Dit resulteert in het volgende wachtwoord, “PevlnaRoopeeTa”
Om hier een extra complexiteit aan toe te voegen een aantal tekens veranderen door speciale tekens. Het uiteindelijke wachtwoord zou dan worden “P3vlnaR0op33t@”
Deze methode voor het bedenken van veilige wachtwoorden wordt ook wel het Schneier scheme genoemd.

de houdbaarheidsdatum?

Er zijn verschillende meningen over het wel of niet regelmatig moeten wijzigen van je wachtwoord. De tegenstanders geven aan dat het regelmatig moeten wijzigen van wachtwoorden het in de hand werkt op simpele wachtwoorden te gebruiken. Een gebruiker zal snel geneigd zijn het wachtwoord Password01 te wijzigen in Password02 wat uiteindelijk niet tot een veiligere omgeving zal leiden.
Ik ben van mening dat het juist wel verstandig is om met enige regelmaat een nieuw wachtwoord te gebruiken. Op voorwaarde dat we er wel voor zorgen dat dit complexe wachtwoorden zijn.
Wat misschien wel de ultieme oplossing zou zijn is om de complexiteit van het wachtwoord te gebruiken als graadmeter voor de houdbaarheid van het wachtwoord. Tja dat klinkt misschien wel heel gek, maar als we voor het hacken van het wachtwoord p@ssw0rd1! 14 dagen nodig hebben, zou dit dus betekenen dat ons wachtwoord een houdbaarheidsdatum heeft van 14 dagen.

zijn er alternatieven?

Naast het gebruik van uitsluitend wachtwoorden komen er steeds meer alternatieven voor het veilig inloggen op systemen. Een van de meest gebruikte methode op dit moment is de zogeheten Multi-Factor Authentication (MFA) Dit systeem maakt gebruik van het principe, iets dat je weet (wachtwoord) iets dat je hebt (pincode of een token) en iets dat je bent. (irisscan of vingerafdruk)
Zonder dat we beseffen maken we al jaren gebruik van MFA in het dagelijkse leven. Een voorbeeld hiervan is kopen in een winkel. In de meeste gevallen doen we betalingen met een pinpas (iets dat we hebben) i.c.m. een pincode (iets dat we weten).
Een minder gebruikte vorm van MFA is biometrische authenticatie, zoals de irisscan en vingerafdrukken. Dit principe is echter misschien wel minder veilig dan we denken. Bij het gebruik van deze methode zal toch in een systeem moeten worden vastgelegd wat onze vingerafdruk e/o irisscan is zodat hiermee later geverifieerd kan worden of wij de juiste persoon zijn die probeert in te loggen.
Wanneer een dergelijk systeem wordt gehackt raken we letterlijk onze identiteit kwijt. Immers onze biometrische eigenschappen kunnen we niet meer wijzigen zodra deze in handen komen van een kwaadwillende.

het ultieme wachtwoord

Voor het maken van het ultieme wachtwoord zouden we moeten refereren naar een tegeltje uit de oudheid namelijk de Sator Square. Deze steen, die eruitziet als een kruiswoordpuzzel, is onder het as vandaan gekomen bij de opgravingen van Pompei en blijkt een hoop cryptografische eigenschappen te bevatten.
Deze steen is voor mij de basis van het ultieme wachtwoord dat je zou kunnen gebruiken voor maken van een wachtwoord voor je Password Manager.
Het idee is om een raster te tekenen van 8×8 vakjes en in elk vakje geheel willekeurig een cijfers, letters en speciale teken te schrijven. Vervolgens teken je een denkbeeldig figuur in deze 64 vakjes, bijvoorbeeld een driehoek, en gebruik je elk karakter dat je raakt voor je ultieme wachtwoord.
Uiteindelijk is:
– het blaadje met 64 tekens iets dat je hebt
– het denkbeeldige figuur met het door jou gekozen startpunt iets dat je weet.

 

Dit vormt voor mij het unieke wachtwoord YFs#8W76&Brsx

Data Governance: cruciaal voor GDPR/AVG

blogpost

Data Governance: cruciaal voor GDPR/AVG

Waar staat nu dat bestand? Is dit de laatste versie? Vooral onder tijdsdruk krijgen we het vaak op onze heupen en slaan we nog even snel dingen lokaal op of maken we nog een extra versie voor de zekerheid. Overzicht

lees verder
de donkere kant van dark data

blogpost

de donkere kant van dark data

Recent vroeg ik mij af of ‘jij jouw dark data al hebt gevonden’. De afgelopen weken ben ik hierop diverse keren aangesproken. Want wat bedoel ik dan precies met dark data en wat is onze visie op hoe je deze

lees verder
feedback