“D1tismijnw8chtwoord#tra!@litralAla”. Enter. Huh? Wachtwoord fout? O, ik
zie het al. Ik dácht dat ik hier al ingelogd was en alleen hoefde te
ontgrendelen, maar dat klopt niet. Ik heb dus mijn wachtwoord in het veld voor
de gebruikersnaam getypt en geënterd. Gewoon opnieuw proberen. Niks aan de
hand. Of…?
Je voelt het addertje onder het gras al aan je in flipflops* gestoken
tenen knabbelen, hè? Dat zit zo. Omdat er nu eenmaal onaardige mensen bestaan,
moet je computersystemen beschermen tegen indringers. Zo iemand zou kunnen
denken: weet je wat, ik probeer gewoon eens een gebruikersnaam en een
wachtwoord en dan zie ik wel wat er gebeurt. Als hij dat heel vaak doet, dan
heeft hij misschien een keer geluk en komt hij binnen.
Maar hij kan zijn geluk een handje helpen. Misschien is het niet zo
moeilijk om een correcte gebruikersnaam te bedenken, bijvoorbeeld omdat een
organisatie daar een vast stramien voor gebruikt (ik noem maar eens wat: een
deel van je achternaam, een voorletter en een volgnummer). Als er dan een
Jansen of De Vries werkt, dan heb je zo een valide gebruikersnaam te pakken.
En veel mensen hebben helaas nog steeds bedroevende wachtwoorden, zo
blijkt steeds weer uit onderzoeken en gelekte wachtwoorddatabases. Met
‘geheim’, ‘w@chtWo0rd’, ‘1234567890’, ‘qwertyuiop’ en ‘uiophjklvbnm’ val je
echt door de mand, mensen, ook al vervang je letters door tekens en cijfers en
lijkt dat laatste wachtwoord door zijn lengte een flinke kluif voor
kraakprogramma’s te zijn (kijk maar eens op je toetsenbord waarom dat toch een
slecht wachtwoord is). Ach ja, ik heb het al vaker gezegd: de techniek moet
eens gauw met een veilig, universeel toepasbaar alternatief komen, zodat wij
zwakke mensen niet meer met wachtwoorden hoeven te dealen.
Goed, er zijn dus mensen die ergens proberen in te loggen zonder dat ze
daar recht op hebben. Als beheerder van zo’n potentieel doelwit wil je weten of
dat op jouw systeem gebeurt. En dus laat je je systeem vastleggen als er iets
gebeurt dan mogelijk van belang kan zijn dat de beschikbaarheid, integriteit of
vertrouwelijkheid van je systeem en je gegevens zou kunnen aantasten. Middels
logging kun je van alles vastleggen: dat een harde schijf bijna vol is, dat
iemand een bepaald gegeven heeft gewijzigd en dat bij iemand een virus is
gesignaleerd. En dus ook dat er een mislukte inlogpoging heeft plaatsgevonden.
Het overkomt iedereen wel eens dat hij een typfout maakt in z’n
wachtwoord, zeker als dat een wachtwoord is dat aan allerlei complexiteitseisen
voldoet. Dan staat er in het logbestand: mislukte login voor gebruiker xyz. Bij
een integer opgezet systeem hoef je niet bang te zijn dat het ingetypte
wachtwoord ook wordt gelogd. Stel je voor zeg: de fout zit waarschijnlijk in
één positie, waardoor het loggen van het ingetypte wachtwoord het grootste deel
ervan zou prijsgeven aan iedereen die het logbestand kan inzien.
Maar nu komt het: als je de fout maakt die ik in de eerste alinea
beschreef, dan staat je wachtwoord op de plek waar eigenlijk je gebruikersnaam
zou moeten staan. Omdat je vervolgens entert met een leeg wachtwoordveld, is er
sprake van een mislukte login. Dat wordt natuurlijk gelogd. Daar gáát je
wachtwoord. In de logging staat nu: mislukte login voor gebruiker
D1tismijnw8chtwoord#tra!@litralAla.
Wat moet je nu doen? Wat je altijd moet doen als je weet of vermoedt dat
je wachtwoord is uitgelekt: als de sodemieter wijzigen. Je hoeft echt niet te
wachten tot het systeem zegt dat je wachtwoord verloopt; op bijvoorbeeld een
Windows-computer druk je op ctrl-alt-delete en kies je vervolgens voor
‘Wachtwoord wijzigen’. Ook andere systemen bieden de mogelijkheid om je
wachtwoord op eigen initiatief te wijzigen. Als je hetzelfde wachtwoord ook
voor andere systemen gebruikt, dan moet je het daar ook wijzigen. In de grote
boze buitenwereld wordt het hergebruiken van wachtwoorden trouwens sterk
afgeraden, maar voor organisatie-interne systemen heb ik daar persoonlijk
minder moeite mee. Mits je doet wat in deze alinea staat als het een keertje
mis gaat.
*) Van Dale: schakelelement met twee
instelmogelijkheden dat na signaalontvangst van de ene in de andere
stand omslaat. Maar dat bedoel ik hier niet.
En in de grote boze buitenwereld …
... hebben Iraanse staatshackers hun werk gefilmd en per ongeluk op een
vrij toegankelijke server opgeslagen.
... is het Privacy Shield van tafel (afspraken tussen de EU en de VS
over persoonsgegevens).
... stond mijn Twitter-tijdlijn deze week bol van de hack op
Twitter-accounts van bekende personen. Dit zijn wat mij betreft de
belangrijkste artikelen hierover:
·
In het Nederlands: https://www.nrc.nl/nieuws/2020/07/15/accounts-prominente-twitteraars-en-bedrijven-gehackt-a4006093
·
Wat er gebeurd is:
https://www.wired.com/story/twitter-hacking-musk-obama-apple-biden-kanye/
https://www.wired.com/story/twitter-hacking-musk-obama-apple-biden-kanye/
·
Social engineering maakte de hack mogelijk:
https://www.vice.com/en_us/article/jgxd3d/twitter-insider-access-panel-account-hacks-biden-uber-bezos
https://www.vice.com/en_us/article/jgxd3d/twitter-insider-access-panel-account-hacks-biden-uber-bezos
·
Hackers konden privéberichten lezen en dat, en
niet de afgetroggelde bitcoins, is het grootste zorgpunt:
https://www.grahamcluley.com/the-twitter-hack-why-elon-musk-bill-gates-jeff-bezos-and-others-might-have-reason-to-be-worried/
https://www.grahamcluley.com/the-twitter-hack-why-elon-musk-bill-gates-jeff-bezos-and-others-might-have-reason-to-be-worried/
·
Ontrafelt dit artikel wie er achter de hack zit: https://krebsonsecurity.com/2020/07/whos-behind-wednesdays-epic-twitter-hack/
... zitten Amerikaanse inlichtingendiensten in hun maag met mondkapjes.
Want die frustreren gezichtsherkenningssystemen (al las ik enkele weken geleden
dat China dat probleem zou hebben opgelost).
... leidde de corona-lockdown tot een flinke toename van spyware en
stalkerware.
... adverteert iemand op het dark web met de gegevens van vele miljoenen
hotelgasten van de MGM-keten.
... opende een politieke partij op gemeentelijk niveau een meldpunt
cybercrime. Vreemd.
... blijven kwetsbaarheden in de meeste routers onbehandeld.
Geen opmerkingen:
Een reactie posten