Waarom je op iedere website een ander wachtwoord wilt gebruiken

Waarom je op iedere website een ander wachtwoord wilt gebruiken

Het grootste gevaar is allang niet meer een post-it met wachtwoord op je monitor. In tegenstelling tot de paar mensen die toegang hebben tot jouw fysieke werkplek hebben miljarden mensen toegang tot de websites en applicaties die steeds belangrijker zijn geworden in ons leven. Iedereen die een computer met internetaansluiting kan benaderen, kan proberen in te loggen op jouw accounts. En dat gebeurt massaal.

In het boek “Pas op je passwords” leg ik uit waarom je voor iedere dienst een unieke wachtwoord wilt gebruiken en hoe je dat praktisch organiseert met Bitwarden.

Sommige accounts lijken niet zo spannend. Misschien doe je wel niet zoveel met social media en boeit het je niet als je Twitter-account is gehackt. Via je Twitter-account zijn wel weer andere gegevens te achterhalen, zoals je e-mailadres. Daarnaast hebben volgers waaronder vrienden en familie er geen erg in dat iemand anders toegang heeft tot jouw account en klikken achteloos op linkjes die uit jouw naam zijn verstuurd. Berichten die voor jou bedoeld zijn kunnen gelezen worden door anderen. En anderen kunnen zich voordoen als jou en zo weer informatie (of geld) lospeuteren bij anderen die denken dat jij het bent. Of onder jouw naam van alles en nog wat doen.

Veel websites bieden de mogelijkheid in te loggen met Google, Twitter, LinkedIn en/of Facebook. Met jouw inloggegevens kunnen mensen dan ook deze gekoppelde diensten gebruiken. De websites en applicaties die toegang hebben tot je account zijn eenvoudig te vinden in een lijstje, klik maar eens door op de namen van de bovenstaande diensten. Dienstverleners bieden je dit lijstje om zicht te houden op toegang tot je account en deze eventueel in te trekken.

Grote dienstverleners zoals Google, Microsoft en Yahoo bieden veel functionaliteit. E-mail, documentbeheer, een plek voor je foto’s, social media en een adresboek, allemaal toegankelijk onder één account. Met jouw inloggegevens van een dergelijke dienstverlener kan iemand direct al deze informatie misbruiken of verwijderen.

Vooral het wachtwoord van je e-mailaccount is kwetsbaar. Niet alleen omdat veel mensen e-mailberichten met ontvangen wachtwoorden netjes bewaren. Bedenk dat je bijna overal je e-mailadres invult. Al die diensten gebruiken jouw e-mailadres om je in staat te stellen een vergeten wachtwoord te achterhalen. Als iemand bij je e-mailadres kan dan kan deze vervolgens naar een willekeurige website gaan en vragen om een nieuw wachtwoord.

Voor wie dat nog niet genoeg reden is om op iedere website een uniek wachtwoord te gebruiken beschrijf ik veelgebruikte manieren voor het achterhalen van wachtwoorden. Een volgende keer zal ik ingaan op wat je dan wél moet doen.

Waarom je op iedere website een ander wachtwoord wilt gebruiken
© ra2 studio

Wachtwoorden achterhalen

Een inlognaam en een wachtwoord. Meer is er niet nodig om toegang te krijgen tot de meeste websites en applicaties. Inlognamen zijn vaak gelijk aan het e-mailadres of eenvoudig te achterhalen en dus eigenlijk geen factor van betekenis. Dan blijft alleen je wachtwoord over! Veel mensen hergebruiken wachtwoorden en hackers kunnen deze op verschillende manieren achterhalen. Als je wachtwoord op één plek bekend is geworden dan kunnen hackers bij al je accounts waar je datzelfde wachtwoord gebruikt.

Hieronder staan wat manieren waarop mensen op afstand proberen je wachtwoord te achterhalen.

Gemakkelijk te raden wachtwoorden

De eerste mogelijkheid is het raden van wachtwoorden. Ieder jaar verschijnen er publicaties van veelgebruikte wachtwoorden. Als de bewaarde wachtwoorden van een grote dienstverlener “op straat” komen te liggen dan volgt daar meestal ook een dergelijke analyse op.

Origineel zijn we niet. De top 10.000 gebruikte wachtwoorden omvat 99,8% van alle gebruikte wachtwoorden. De top 1.000 haalt al 91%. Hieronder een wordcloud van de top 500 die 71% omvat.

Wordcloud top 500 passwords

Hengelen naar wachtwoorden of informatie

Ietsje lastiger te raden zijn verjaardagen, adresgegevens en namen van vrienden, familie, partner of huisdieren. Vaak zijn die gegevens wel te achterhalen op internet, onder ander via social media. Wat ook kan is via vrienden en familie op slinkse wijze informatie (dit principe heet social engineering) achterhalen. Sommige mensen delen hun wachtwoord met vrienden terwijl de kans bestaat dat je relatie er in de toekomst anders uit ziet.

Bij sommige websites geef je naast een wachtwoord antwoord op een aantal vragen waarmee je later een vergeten wachtwoord kunt herstellen. Wat is de achternaam van je moeder, hoe heette je favoriete docent, hoe heet je lievelingshuisdier. Allemaal vragen waarop hackers met een kleine inspanning een antwoord op weten te vinden. In 2012 werd er zelfs een spelletje bedacht op internet waaraan mensen achteloos meededen. In “What’s your porn name?” was je voornaam de naam van je eerste huisdier en je achternaam de straatnaam waar je opgegroeid bent… Dat leverde onderstaande parodie op.

hacker name

Een andere manier om te hengelen (phishing) naar een wachtwoord die hackers gebruiken is een website opzetten die lijkt op die van je bank of favoriete social media-netwerk. Je krijgt dan een mailtje met de mededeling dat er binnenkort een bedrag van je rekening zal worden afgeschreven met het verzoek even in te loggen als dat niet klopt. Of er is überhaupt “iets” mis met je account waarvoor je even in moet loggen. Met betrekking tot social media krijg je berichten die je wijzen op iets leuks dat je écht moet zien, óf een attentie op een mogelijk gênante foto van je.

Bedenk dat je bank nooit om je inloggegevens zal vragen, dus ook niet via e-mail of over de telefoon. Log in op de website van je bank of sociale netwerken door je webbrowser op te starten en zélf naar de website te navigeren. Controleer in ieder geval of het webadres in de adresbalk (de URL) klopt voordat je je inloggegevens intypt.

De e-mailberichten die ons allemaal bereiken zien er steeds professioneler uit. Gelukkig worden ze al snel als spam gemarkeerd zodat je er minder snel op klikt. Of ze zijn duidelijk herkenbaar doordat het professioneel opgestelde bericht van een bank komt waar je helemaal geen klant bent. De berichten adresseren je niet persoonlijk maar spreken van “Geachte klant”. Het blijft een spervuur. Deze berichten blijven echter komen dus ze hebben vast érgens effect.

Deze zelfde manier zetten hackers in om gerichte aanvallen uit te voeren. Hoe meer men van je te weten is gekomen hoe gemakkelijker het is om een dergelijk mailtje te maskeren. Hoe reageren jouw vrienden of collega’s als zij via jouw e-mailadres de tip/vraag krijgen om ergens in te loggen?

Toetsenbord afluisteren (keylogger malware)

Iedere applicatie die je installeert op een computer kán zo gemaakt zijn dat deze je toetsenbord in de gaten houdt en alles wat je intypt verstuurt. Dus ook de websites waar je naartoe gaat plus je inlognaam en wachtwoord.

Over het algemeen doet legitieme software dit niet. Al zien we wel veel sociale netwerken je hele adresboek kopiëren zodat je je vrienden daar kunt vinden. Soms nodigen ze met behulp van je adresboek je vrienden uit om lid te worden.

Gniepige software noemen we malware. Malware omvat meer dan alleen het afluisteren van je toetsenbord (keylogger). Naast het afluisteren van je toetsenbord is ook het meekijken op je scherm of webcam mogelijk. Malware omvat ook het kapen van de processorkracht van je computer. Of je internetverbinding om spam te versturen of websites aan te vallen.

Malware kun je vermijden door legitieme software te gebruiken. Hackers weten dat mensen op zoek zijn naar gratis te downloaden populaire illegale software of manieren om probeerversies (trial versions) te activeren. In plaats van de illegale software of de generator van een licentiecode trakteren ze je op malware. Deze methode van verspreiding van malware werkt ook goed bij het downloaden van films en muziek.

Een tweede manier waarop je malware kunt oplopen is doordat er fouten zitten in de software die je gebruikt. Je besturingssysteem (zoals Windows XP) of webbrowser is verouderd. Of de software die ín je webbrowser draait zoals Java, Flash, Shockwave of Adobe Reader. Regelmatig komen er fouten aan het licht die het mogelijk maken via deze wegen malware te installeren op je computer. Hackers gebruiken populaire websites om dergelijke malware te verspreiden – je merkt er niets van.

Voorkomen van malware kan door ervoor te zorgen dat al je software altijd up-to-date is. Bij Apple-computers verlopen de meeste updates automatisch, Windows-gebruikers kunnen het gratis Secunia installeren. Het kan zeker zijn dat door onderlinge afhankelijkheid een en ander niet meer werkt zoals verwacht of dat je moet wennen aan een nieuwe interface. Het risico van niet-updaten is echter te groot. Dus krijg je een melding om software te updaten? Doen!

Benieuwd of je al malware hebt opgelopen? Scan je Windows-PC of Android eens met het gratis Malwarebytes. Let wel: virusscanners zijn vaak veel minder effectief in het vinden van deze kwaadaardige software.

Beheer je zelf een website met populaire software zoals WordPress, Drupal of Joomla? Zorg dat je up-to-date blijft zodat je website niet misbruikt kan worden om je bezoekers te voorzien van malware. Bij websites die ik installeer of beheer bij mijn favoriete webhostingprovider Antagonist kies ik bijna altijd voor automatisch updaten. Antagonist heeft daarnaast voorzieningen getroffen om snel in te kunnen grijpen als beheer achterblijft.

Internetverkeer afluisteren (sniffing)

De Correspondent heeft met een hacker terrasjes bezocht en beschreven wat je allemaal prijsgeeft als je inlogt op een openbaar wifi-netwerk.

Je computer verstuurt je inloggegevens naar de website die je wilt bezoeken. Standaard is dat verkeer niet versleuteld. Dat betekent dat iedere tussenliggende computer – en je hebt geen idee welke dat zijn – kan meelezen. Verkeer is versleuteld als je https voor de naam van de website ziet staan. Veel websites die https aanbieden zijn ook nog via http bereikbaar dus je moet echt zelf opletten wat je doet.

Wachtwoorden proberen

Het zogenaamde kraken van wachtwoorden is het domweg proberen van iedere mogelijke combinatie. Computers lopen woord-voor-woord, 24 uur per dag, zeven dagen per week het woordenboek af om in te loggen. Een computer doet dat sneller dan een mens en hoeft tussendoor niet naar het toilet of te slapen.

Hackers leren van de miljoenen wachtwoorden die gekraakt zijn en proberen ook de “slimme” varianten zoals het vervangen van letters (i voor ! en e voor 3), woorden andersom gespeld of zonder klinkers. Een wachtwoord als p@ssw0rd ziet er helaas slimmer uit dan het is.

Een volgende stap van kraken is domweg alle mogelijke combinaties proberen. Voor een wachtwoord van zes tekens bijvoorbeeld aaaaaa, aaaaab, aaaaac enz. Inclusief combinaties van hoofd- en kleine letters, cijfers en speciale tekens. Een wachtwoord als 4De78H is voor deze aanvalsmethode even sterk als het wachtwoord geheim. Programma’s die wachtwoorden kraken zijn zo gemaakt dat je kunt instellen met hoeveel tekens je wilt beginnen te kraken en tot hoeveel tekens je door wilt zoeken. Inclusief een optie “Zoeken met speciale tekens erbij?”.

Sommige websites en applicaties werken met een zogenaamd lock-out mechanisme. Driemaal een verkeerd wachtwoord invoeren en je mag even niet meer inloggen. Dit vertraagt het uitproberen van wachtwoorden. Bij sommige websites en applicaties is de lock-out te omzeilen via een achterdeur (de API-toegang voor ontwikkelaars of via een partnerwebsite die gebruikmaakt van de dienst).

Als iemand jou lastig wil vallen dan is lock-out een vervelende mogelijkheid want met regelmatige pogingen om in te loggen blokkeren ze jou ook de toegang tot je account. Daarom is er vaak voorzien in het negeren van inlogverzoeken van een specifieke locatie op basis van IP-adres.

Lijst met wachtwoorden achterhalen

Een andere manier die hackers benutten om de lock-out te omzeilen is het in één keer achterhalen van álle inlognamen en wachtwoorden van een website of applicatie. Dat gebeurt regelmatig en is bijvoorbeeld LinkedIn, Twitter en Evernote al overkomen. Bekijk de interactieve infographic World’s Biggest Data Breaches voor meer websites die het is overkomen. Als het goed is zijn alle wachtwoorden versleuteld opgeslagen. Een wachtwoord als geheim is dan bijvoorbeeld opgeslagen als e8636ea013e682faf61f56ce1cb1ab5c.

Als eindgebruiker heb je geen controle over de manier hebben waarop websites wachtwoorden opslaan. Misschien kunnen medewerkers van het bedrijf achter de website je wachtwoord gewoon lezen op het scherm? Regelmatig blijken wachtwoorden onversleuteld opgeslagen. Websites die je je eigen wachtwoord toesturen als je aangeeft dat je wachtwoord vergeten bent hebben hun zaakjes op dit punt niet op orde. Zij horen je wachtwoord niet uit te kunnen lezen. Je weet dus niet of de website waar je je “moeilijkere” wachtwoord hebt ondergebracht wel of niet gemakkelijk te kraken is.

Als een bedrijf de zaakjes wél goed voor elkaar heeft dan maakt dat het kraken hooguit iets lastiger. Het idee achter het versleuteld opslaan van een wachtwoord is dat hetgeen je intypt wiskundig wordt omgezet. De uitkomst bewaart het bedrijf als jouw wachtwoord. De codering van geheim in e8636ea013e682faf61f56ce1cb1ab5c is met het zogenaamde MD5-algoritme versleuteld. Hackers hebben gewoon het hele woordenboek en alle genoemde combinaties op dezelfde manier versleuteld. Probeer via een tool als MD5Decryptor dit versleutelde wachtwoord maar eens te achterhalen: d05a1761e6660d29038a8f91e543ce70.

Hackers kunnen met de wachtwoordenlijst op de eigen computer meerdere machines tegelijkertijd aan het werk zetten. De programma’s die het zoeken faciliteren zijn zo geoptimaliseerd dat ze zelfs de processorkracht van je grafische kaart betrekken bij het uitproberen van combinaties. Je kunt zelfs processorkracht inkopen, ten tijde van dit artikel 300.000.000 woorden in 20 minuten voor maar $17!

Bedrijven informeren eindgebruikers helaas niet altijd netjes als er een diefstal van inloggegevens heeft plaatsgevonden. Neem bijvoorbeeld de Heartbleed-bug die in april 2014 impact had op meer dan de helft van de grote websites ter wereld. Het lek heeft zo’n twee jaar bestaan en hield in dat alle informatie die een server in het geheugen had op afstand uitgelezen kon worden. Het is bijna onmogelijk voor een website om aan te geven of en welke gegevens zijn buitgemaakt. Na het updaten van de software en het aanvragen van een nieuw certificaat hoorden websites hun eindgebruikers te vragen een nieuw wachtwoord te kiezen. Dat is lang niet altijd gebeurd.

Soms zijn wachtwoorden niet eens versleuteld. Mark Zuckerberg van Facebook zou in het verleden wachtwoorden uit logbestanden hebben afgeleid. Bij iedere mislukte inlogpoging werd het verkeerd ingetypte wachtwoord in het logbestand bewaard. Het echte wachtwoord was vervolgens gemakkelijk te raden.

Gerichte persoonlijke aanval

Wired-journalist Mat Honan beschreef in het artikel How Apple and Amazon Security Flaws Led to My Epic Hacking in detail hoe hackers binnen een uur zijn digitale leven vernietigde. Waarom hij een doelwit was? Om zijn lekkere korte Twitter-gebruikersnaam (@mat) in handen te krijgen. Mat had geen backup en is onder andere de dierbare foto’s van de eerste anderhalf jaar van het leven van zijn dochter kwijt. Zijn Macbook, iPhone, iPad en Gmail-account werden gewist om het hem lastig te maken het account weer in handen te krijgen.

De hackers maakten gebruik van het feit dat we diensten op het web aan elkaar doorlussen. Op de website van Mat vonden de hackers zijn Gmail-adres. Google liet een gedeelte van het alternatieve Apple-e-mailadres zien welke Mat had ingesteld om een vergeten wachtwoord aan te vragen (wachtwoordreset).

Omdat Apple destijds de laatste vier cijfers van een creditcard (plus een fysiek en e-mailadres) gebruikte om mensen persoonlijk te identificeren gingen de hackers op zoek naar de creditcardgegevens. Het fysieke adres van Mat werd achterhaald via whois, waar je (adres)gegevens van de eigenaar van een website kunt vinden.

De hackers belden Amazon om een willekeurig creditcardnummer toe te voegen aan het account van Mat (social engineering). Ze identificeerden zich aan de telefoon met het e-mailadres en de fysieke adresgegevens van Mat. Vervolgens belden de hackers Amazon opnieuw, ditmaal om een e-mailadres aan het account toe te voegen. Amazon vroeg om een creditcardnummer en ja die wisten ze wel – het zojuist toegevoegde nummer voldeed. Na een wachtwoordreset konden de hackers inloggen in het Amazon-account van Mat om de laatste vier cijfers van alle geregistreerde creditcards op te vragen.

Zo konden de hackers via het Apple-e-mailadres een wachtwoordreset voor Gmail uitvoeren. En vervolgens het Twitter-account van Mat kapen.

Op zich had het nóg slechter af kunnen lopen voor Mat. De hackers konden inloggen op online bankieren en andere financiële diensten. Of vrienden, familie en collega’s benaderen uit naam van Mat, bijvoorbeeld om van hen gegevens af te troggelen.

Natuurlijk heeft de IT-industrie van dit voorbeeld geleerd en hebben Apple en Amazon de procedures aangepast om deze specifieke aanval te voorkomen. Maar of gebruikers ervan hebben geleerd en gebruikmaken van een automatische backup betwijfel ik. In mei 2014 werden nog diverse iPhones op afstand vergrendeld met een oproep voor losgeld – vermoedelijk wist ook hier een hacker in te loggen door hergebruik van wachtwoorden.

Lees hoe je unieke wachtwoorden en een extra factor van authenticatie in de praktijk brengt brengt. Plus technieken waarmee je gedeeltelijke toegang tot websites, applicaties en apparaten geeft – waaronder Open Authorization (OAuth).

Geef een reactie

Je reactie verschijnt pas na goedkeuring. Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.