Iedereen weet inmiddels dat een sterk en veilig wachtwoord een must is bij het gebruik van alles wat met IT te maken heeft. Maar wat maakt een wachtwoord sterk en hoe bewaren we deze wachtwoorden op een veilige manier?
Hoe wordt een wachtwoord gekraakt?
Er zijn verschillende manieren om een wachtwoord te hacken en de makkelijkste is gewoon een wachtwoord te kopen op het darkweb. Maar er zijn nog veel meer manieren om een wachtwoord te hacken.
De meest bekende manier is een wachtwoord te 'bruteforcen'. Dit betekent dat een aanvaller met elke combinatie uit het boekje probeert te raden tot hij het wachtwoord vindt. Dit gebeurt met een stukje software dat in de kortste tijd zoveel mogelijk combinaties probeert. Over het algemeen zijn alle wachtwoorden met minder dan 12 tekens kwetsbaar om gekraakt te worden.
Een andere manier om een wachtwoord te hacken is door middel van een woordenboekaanval. Deze aanval doet precies wat hij zegt. Een aanvaller zal u aanvallen met een vooraf bepaalde lijst met 'wachtwoorden'. Net als bij een bruteforceaanval zal een stukje software al deze wachtwoorden proberen tot het het juiste raadt. Als uw wachtwoord een gewoon woord is, zal het een woordenboekaanval alleen overleven als het woord zeer zeldzaam is.
De meest weerzinwekkende manier waarop een aanvaller een wachtwoord kan bemachtigen is via phishing. Hierbij probeert een aanvaller een gebruiker te misleiden, te intimideren of onder druk te zetten om onbewust te doen wat de aanvaller wil. Phishing gebeurt niet alleen via e-mails, maar ook via sms-berichten (smishing) en telefoongesprekken (vishing).
Hoe creëert u sterke wachtwoorden?
Nu we weten hoe wachtwoorden worden gekraakt, kunnen we sterke wachtwoorden creëren die elke aanval te slim af zijn (behalve phishing, phishing te slim af zijn betekent gewoon dat u er niet in trapt).
Raf Gillisjans: "u moet uw wachtwoord lang maken. Dit is misschien wel de meest cruciale factor om uzelf te beveiligen tegen een bruteforceaanval"
- Ten eerste moet u ervoor zorgen dat elk wachtwoord dat u gebruikt uniek is. Het hergebruiken van wachtwoorden maakt het voor criminelen gemakkelijk om toegang te krijgen tot meerdere accounts als ze een van uw wachtwoorden te weten komen, vooral uw e-mail.
- Gebruik geen opeenvolgende cijfers of letters ('abcdefg', '123456789'). Gebruik ook nooit gemakkelijk te onthouden toetsenbordpaden. Net als bij het advies hierboven over opeenvolgende letters en cijfers, moet u ook geen opeenvolgende toetsenbordpaden gebruiken.
- Zorg ervoor dat het wachtwoord ook geen persoonlijke informatie bevat zoals uw naam of geboortedatum. Als u een specifiek doelwit bent, zullen de aanvallers alle informatie die ze over u weten gebruiken bij hun pogingen om uw wachtwoord te raden. Vergeet niet dat het voor hen verrassend gemakkelijk kan zijn om persoonlijke basisinformatie over u te weten te komen. Wees dus voorzichtig met hoeveel informatie u deelt op sociale media.
- Om een bruteforceaanval te omzeilen, kunt u een paar specifieke stappen ondernemen. Ten eerste moet u uw wachtwoord lang maken. Dit is misschien wel de meest cruciale factor om uzelf te beveiligen tegen een bruteforceaanval. Alle wachtwoorden vanaf 15 tekens zijn bijna niet te bruteforcen (het zou veel te lang duren).
- Verder moet u een mix van tekens gebruiken. Hoe meer u letters, cijfers, leestekens en symbolen door elkaar gebruikt, hoe moeilijker het is om een wachtwoord te bruteforcen.
- Tot slot, vermijd gebruikelijke vervangingen. Wachtwoordkrakers kennen meestal de gebruikelijke vervangingen. Of u nu HELLO of H37L0 gebruikt, de bruteforceaanvaller zal dit met evenveel gemak kraken. De beste manier om een woordenboekaanval af te slaan, is ervoor te zorgen dat het wachtwoord niet uit één enkel woord bestaat. Meerdere woorden zullen deze tactiek in verwarring brengen, zoals een wachtwoordzin. Kies een zin die alleen voor u een betekenis heeft, dus geen bekende uitdrukkingen of spreekwoorden.
Wachtwoordbeheerders
In deze digitale wereld neemt het aantal wachtwoorden dat u moet onthouden alsmaar toe: uw e-mailaccount, uw socialemedia-accounts, toepassingen die u voor studie of werk gebruikt, toepassingen voor internetbankieren, webwinkels enz. We hebben allemaal tientallen wachtwoorden die we moeten onthouden.
Raf Gillisjans: "Een wachtwoordbeheerder is ook een prima oplossing om de wachtwoorden te bewaren van accounts die u deelt met uw medestudenten of collega’s."
Zoals hierboven vermeld, is het aan te bevelen een uniek wachtwoord te gebruiken voor elke gebruikersnaam die u hebt. Het bijhouden hiervan kan behoorlijk lastig worden, daarom is het heel belangrijk om een wachtwoordbeheerder te gebruiken. Dit is een tool waarmee u sterke wachtwoorden kunt bewaren en genereren. In plaats van al uw inloggegevens te onthouden, hoeft u dus slechts één hoofdwachtwoord te onthouden waarmee u uw wachtwoordbeheerder ontgrendelt.
Een wachtwoordbeheerder is ook een prima oplossing om de wachtwoorden te bewaren van accounts die u deelt met uw medestudenten of collega’s. Bijvoorbeeld een tool die u gebruikt om samen te werken aan een project.
Er zijn drie soorten wachtwoordbeheerders:
- Lokaal geïnstalleerde/offline wachtwoordbeheerders
- Webgebaseerde/online wachtwoordbeheerders
- Stateless/tokengebaseerde wachtwoordbeheerders
Lokaal geïnstalleerde wachtwoordbeheerders zijn, zoals de naam al zegt, wachtwoordbeheerders die uw gegevens lokaal, op uw eigen apparaat, bewaren. Als u dit apparaat offline houdt, loopt u niet het risico dat iemand uw wachtwoordkluis kraakt, maar u hebt maar op één apparaat toegang tot uw kluis en als u dit apparaat verliest, zijn al uw gegevens verloren.
Webgebaseerde wachtwoordbeheerders bewaren uw wachtwoorden in de cloud, meestal de server van de provider. Dit betekent dat u overal toegang tot uw wachtwoorden hebt, zolang u maar over een internetverbinding beschikt. Gerenommeerde dienstverleners gebruiken zogenaamde 'zeroknowledgetechnologie. Dit betekent dat ze de gegevens op uw apparaat versleutelen voordat ze naar de server worden gestuurd. Maar het betekent ook dat uw kluis 24/7 beschikbaar is voor toegangspogingen.
Stateless wachtwoordbeheerders zijn een lokaal stukje hardware, zoals een USB-apparaat dat een sleutel bevat om uw specifiek account te ontgrendelen. Bij een tokengebaseerde wachtwoordbeheerder bestaat er niet zoiets als een wachtwoordkluis omdat hij telkens een nieuwe token genereert wanneer u wilt inloggen. Maar net als bij offline wachtwoordbeheerders geldt ook hier dat als u het apparaat verliest, u ook uw toegang verliest.
Multifactorauthenticatie (MFA)
Schakel MFA in om het nog moeilijker te maken om in te breken bij uw accounts. Dit betekent dat uw account 'dubbel controleert' of u het bent die probeert in te loggen of dat het iemand is die zich als u voordoet.
Het principe is eenvoudig: tweefactorauthenticatie maakt gebruik van iets dat u weet (uw wachtwoord) in combinatie met iets dat u bezit of bent (bijvoorbeeld een vingerafdruk). Er zijn verschillende vormen van multifactorauthenticatie, een van de meest gebruikte is een toegangscode die naar een van uw vertrouwde apparaten wordt gestuurd. U gebruikt deze code vervolgens om het inlogproces te voltooien. Hackers hebben dan aan uw gebruikersnaam en wachtwoord alleen niet langer genoeg om toegang tot uw account te krijgen.
Er bestaan ook andere MFA-methodes, bijvoorbeeld via Google Authenticator App of fysieke sleutels.
Wat als mijn wachtwoord is gehackt?
Het kan gebeuren dat een website of online dienst waarvan u gebruikmaakt, is gehackt. Op deze manier kunnen uw logingegevens te grabbel liggen op het internet. Het kan ook zijn dat u op een valse e-mail hebt geklikt en zonder het te beseffen uw wachtwoord met cybercriminelen hebt gedeeld.
Als u nog toegang hebt tot uw account, moet u uw wachtwoord onmiddellijk veranderen. Als u geen toegang meer hebt tot uw account, moet u uw account herstellen en nadien al uw wachtwoorden aanpassen.
Breng meteen uw bank op de hoogte als de aanvallers toegang hebben gekregen tot uw bankgegevens! Gaat het om uw professionele e-mail of toepassingen die verband houden met uw studies of werk die zijn gehackt, verwittig dan het IT-departement van uw organisatie.
Have I Been Pwned?
HIBP of 'Have I Been Pwned?' is een website waarop internetgebruikers kunnen controleren of hun persoonlijke gegevens (wachtwoorden) zijn gecompromitteerd. Deze website verzamelt en analyseert gegevensdumps met informatie over gelekte accounts en stelt gebruikers in staat om hun eigen informatie te zoeken door hun gebruikersnaam/e-mailadres in te voeren. De website toont dan op zijn beurt bij welke inbreuken dit e-mailadres of deze gebruikersnaam voorkomt. Als gebruiker kunt u zich ook aanmelden om op de hoogte te worden gebracht als uw e-mailadres bij toekomstige dumps opduikt.
Raf Gillisjans: "Have I Been Pwned verzamelt en analyseert gegevensdumps met informatie over gelekte accounts."
Wanneer u een zoekopdracht voor uw inloggegevens uitvoert en blijkt dat u bent gecompromitteerd, wordt aanbevolen om uw wachtwoord te wijzigen op deze website en elke andere website waar u hetzelfde wachtwoord hebt gebruikt.
Raf Gillisjans studeerde toegepaste computerwetenschappen in Brugge en maakt al bijna twee jaar deel uit van het Security Team bij Belnet. Hij evalueert nieuwe oplossingen om de Belnet-omgeving veiliger te maken en maakt ook deel uit van het Security Awareness Team. Buiten Belnet is hij te vinden in de radiostudio, achter de camera of aan zijn pc terwijl hij een spelletje speelt.