Frans, Fred en Frits hadden alle drie een systeempje. Zonder het van elkaar te weten, hadden ze min of meer hetzelfde systeem bedacht. Niet om rijk worden in het casino, maar ze zouden er wel hun talloze wachtwoorden op een slimme manier mee kunnen beheren, dachten ze. Want, zo hadden ze geleerd, je moet voor al je accounts een ander wachtwoord gebruiken. Doe je dat niet en lekt je wachtwoord van account A uit, dan loop je ook gevaar voor accounts B tot en met Z.
Het systeem van de drie F’s zag er als volgt uit: elk wachtwoord bestond
uit twee delen; het eerste deel was voor alle accounts hetzelfde, het tweede
deel was variabel. Frans gebruikte voor het eerste deel een stukje voornaam en
een stukje achternaam, Fred en Frits hadden een vast woord waar alvast de meest
voorkomende wachtwoordeisen in voorkwamen (hoofdletter, cijfer, symbool). Meteen
maar even een tip: het verwerken van je naam is niet aan te bevelen, net zomin
als het gebruik van geboortedata, adressen, namen van huisdieren, auto- en
biermerken, de naam van je lief en al die andere dingen die aan jou te linken
en dus raadbaar zijn.
Maar het echte venijn zat ‘m in het tweede deel. Dat was namelijk bij
hen alle drie een rechtstreekse verwijzing naar de naam van de site of het
systeem waartoe het wachtwoord toegang gaf. Stel dat het vaste woord van Fred
‘moTorf1et$’ was, dan had hij dus wachtwoorden als moTorf1et$linkedin,
moTorf1et$gmail en moTorf1et$rabo.
Waarom dat geen goed idee is? Op een slechte dag bemachtigt een hacker
het wachtwoordbestand van een site waar jij een account had (dat overkwam
LinkedIn bijvoorbeeld in 2014). Wachtwoorden horen versleuteld te worden
opgeslagen, en wel dusdanig dat de versleuteling onomkeerbaar is. Maar niet
alle bedrijven doen dat netjes, waardoor hackers er soms in slagen om de
wachtwoorden leesbaar te maken. En dan ziet zo’n hacker jouw wachtwoord
moTorf1et$linkedin en denkt: hmm, Fred heeft de naam van het account in zijn
wachtwoord verwerkt, zou hij een wachtwoordsysteem gebruiken met een vast en
een variabel deel? Laat ik eens proberen of ik op die manier bij een bank of
bij een mailaccount kan inloggen… Hackers zijn vaak slimme mensen, mensen.
Frits besefte al jaren geleden dat dit systeem risicovol was en
veranderde de verwijzing naar de site in willekeurige tekens die hij, samen met
de naam van de desbetreffende site, in een lijstje ging noteren. Omdat het
vaste deel van de wachtwoorden daar niet bij stond, was het niet zo erg als dat
lijstje zou uitlekken. Frans vroeg onlangs aan iemand met verstand van informatiebeveiliging
wat die van zijn systeem vond en heeft hopelijk inmiddels de nodige
aanpassingen gedaan.
En Fred, die kreeg onlangs een wake-up
call. Hij had een account aangemaakt bij een webshop en zoals gebruikelijk
ontving hij even later een welkomstmailtje. Tot zijn schrik bevatte het mailtje,
bij wijze van goedbedoelde service, Freds wachtwoord. E-mail is nog vaak als
een briefkaart: iedereen die ‘m ziet – de postbode, een huisgenoot, een
toevallige passant – kan lezen wat erop staat. En dus, zo besefte Fred, was
zijn wachtwoordsysteem gecompromitteerd. Bovendien slaat die webshop de
wachtwoorden van zijn klanten waarschijnlijk onversleuteld op, waarvoor ze een
ferme tik op de vingers verdienen.
Laten we twee afspraken maken. Eén: als je, net als Fred, een mailtje
van een bedrijf ontvangt waarin ze je wachtwoord vermelden, neem dan even de
moeite om hen te laten weten dat ze daarmee de veiligheid van hun klanten in
gevaar brengen. Twee: als je ook zo’n Frans/Fred/Frits-systeempje voor je
wachtwoorden gebruikt, kijk er dan eens kritisch naar. Als het verwijzingen
naar jou bevat, of naar het object waartoe het toegang geeft, dan is er werk
aan de winkel.
Maar je kunt het nóg beter doen. Gooi je systeem overboord en stap over
op een password manager: een app die al jouw wachtwoorden veilig bewaart én
sterke wachtwoorden voor je verzint. Lekker lange, willekeurige wachtwoorden,
zonder systeem. Want dat zijn de beste. Je favoriete zoekmachine helpt je om de
voor jou meest geschikte password manager te vinden. Of praat eens met wat
mensen die er al eentje gebruiken.
Doe het vandaag.
En in de grote boze buitenwereld …
- heeft een wereldwijde phishing-campagne het voorzien op tweehonderdmiljoen gebruikers van Microsoft 365.
- worden fabrikanten en verkopers van IoT-devices op hun informatieplicht gewezen.
- krijgt Amerika een nieuwe wet, die regels oplegt aan IoT-devices voor de federale overheid.
- keurde de AIVD onveilige systemen van Buitenlandse Zaken goed.
- stal een statelijke actor de gereedschapskist van een beveiligingsbedrijf.
- waarschuwt deze admiraal voor het onzichtbare deel van de cybersecurity-ijsberg.
- trappen online daters van middelbare leeftijd zo vaak in datingfraude, dat er een informatiecampagne voor komt.
- rijzen de prijzen van ransomwarecriminelen de pan uit.
- is pixelen niet goed genoeg als je informatie echt geheim moet blijven.
- gaat de politie het zoekgedrag van alle medewerkers monitoren, om lekken naar criminelen tegen te gaan.
- gaat het NCSC meer informatie uitwisselen met beveiligingsbedrijven.
- loopt de overheid achter met het beveiligen van e-mail.
- onderzoekt de overheid ons digitale bewustzijn.
Geen opmerkingen:
Een reactie posten