Waarom een wachtwoord ons niet meer kan beschermen

Waarom een wachtwoord ons niet meer kan beschermen

Een wachtwoord of een pincode is niet zo veilig als dat het lijkt. In 2012 weten we inmiddels dat alles te hacken valt en dat alles uitgelekt kan worden.

Een simpele tekenconstructie van zes tot zestien tekens lijkt allemaal heel beschermend, maar in de praktijk valt dat vies tegen. Wired-schrijver Mat Honan weet er nu alles van. Afgelopen zomer hebben hackers zijn gehele digitale leven verwoest in amper een uur tijd. Zijn accounts bij Apple, Twitter en Google waren beschermd met robuuste wachtwoorden van 10 tot 19 tekens. 

De enige reden dat ze dit hadden gedaan, was omdat ze aasden op zijn verkote Twitternaam @mat. Om te voorkomen dat hij zijn account terugkreeg, hebben ze zijn Apple-account gebruikt om alles te wissen. Al zijn berichten, documenten en elke foto die hij heeft gemaakt van zijn 18 maanden oude dochter. Sindsdien is hij zich gaan verdiepen in de veiligheid op het internet, maar het enige wat hij er wijzer van is geworden is dat niets meer veilig is.

Toch zijn er manieren om accounts zo beveiligd mogelijk te houden. Wat je absoluut niet moet doen volgens hem, is het hergebruiken van wachtwoorden. Ook het gebruiken van een woordenboekwoord of een vercijfering van een woord is niet wijs, evenals het gebruiken van een kort wachtwoord.

Wanneer het mogelijk is om een two-factor verificatie te doen, is dit zeker aan te raden, zoals bij Dropbox. Ook het geven van gekke antwoorden op beveiligingsvragen is zeer aan te raden (bij mij overigens niet, want ik wist in één geval niet meer wat ik geantwoord had). Zorg er ook voor dat je mailtjes met persoonlijke gegevens meteen verwijdert, want e-mailboxen zijn daar erg gevoelig voor. Het laatste wat verstandig is, is om een uniek e-mailadres te gebruiken voor het terugkrijgen van wachtwoorden, niet een e-mailadres met je eigen naam.

Reacties (7)

    • arnold

    Even dit artikel samen gevat. Vertrouw niet alleen op cloud diensten!

    Gebruik pop ipv imap
    Gebruik geen icloud voor eigen data
    En zorg dat je een kopie van foto's hebt

    Zo 18 nov 2012, 22:46 [reply]

    • Matthijs

    Was het niet zo dat zijn wachtwoord niet zozeeer onveilig was maar dat ze via de helpdesk van Apple en door het betere social engineer werk gewoon toegang kregen tot zijn Apple cloud dingen en zo alles konden blokkeren en wissen?

    Ma 19 nov 2012, 00:46 [reply]

    • Machiel

    Klopt helemaal matthijs. Bij die journalist begon het met social hacking van de helpdeskmedewerker van apple. Echter omdat hij zowel zijn google, twitter, apple als facebook account aan elkaar had gekoppeld was dus gemakkelijk alle op te vragen en te verwijderen. Later bleek hetzelfde trucje bij Amazon ook mogelijk.

    Ma 19 nov 2012, 16:13 [reply]

    • Tens

    Wachtwoorden zijn niet het probleem. Serieuze hackers gaan daar niet naar zitten raden.

    Hackers gebruiken vrij eenvoudige technieken om een wachtwoord te achterhalen, (online EN offline: serviceverleners zijn een ster in het overhandigen van gevoelige informatie wanneer je wat persoonsgegevens weet te achterhalen).

    Tweestapsverificatie kán helpen wanneer je het hebt over online diensten zoals social media en email. Tot op een bepaalde hoogte. ACTA codes worden bijvoorbeeld vrij eenvoudig gekraakt door legale veelal Amerikaanse bedrijven die ze voor een klein bedrag per duizend codes laten invullen voor jouw botnet. Accounts voor online services en digitale handtekeningen zijn daarmee eenvoudig aan te maken en te misbruiken. Zo zijn er voorbeelden te noemen van elk van de huidige verificatiemethodes. Verificatie is daarbij erg irritant: je moet daarom de afweging maken tussen risico en gemak.

    Meestal is het verkrijgen van een wachtwoord voor lucratieve digitale inbraakpogingen nieteens nodig. Het achterhalen van een wachtwoord gebeurt bij digitale inbraak vaak alleen uit gemak, wanneer de initiële toegang tot het systeem al is geforceer.

    Het belangrijkste waar je dus naar moet kijken is de technische beveiliging van de service. Zoek bij belangrijke diensten bijvoorbeeld goed uit of de fysieke ruimtes voor de data opslag voldoende zijn bewaakt tegen inbraak. Zoek ook uit hoe de data wordt opgeslagen en of de service gebruikt maakt van de laatste softwareversies.

    Het is meestal verstandig om de grootste als betrouwbaar bekend staande services te gebruiken: zij worden het vaakst aangevallen, maar zij doen over het algemeen ook de hoogste investeringen in de techniek en in de beveiliging. De beste mensen werken vaak daar. De voorwaarden zijn daar vaak het gunstigst.

    De discussie over goed wachtwoord gebruik is nutteloos. Zorg vooral dat je jouw wachtwoord kunt onthouden zodat je hem niet op hoeft te slaan.

    Al is een wachtwoord honderd tekens en in 6 talen braille: hackers krijgen hem teken voor teken in beeld. Een kort of lang wachtwoord maakt niet uit. Het soort tekens maakt niet uit.
    Een PIN-code bestaat uit slechts 4 tekens. Allen cijfers. Toch is dit het best beveiligde wachtwoord ooit.

    Ma 19 nov 2012, 11:35 [reply]

    • Rudi

    Online een pincode gebruiken is natuurlijk niet goed. De kracht van de pincode is dat er twee gegevens noodzakelijk zijn. De pas en de code, los daarvan is het algemeen bekend dat bij 3x raden de pas wordt geblokkeerd.

    Als een hacker meekijkt met de verbinding dan zal hij niet het password zien, teken voor teken. Zeker als er een cloud dienst wordt gebruikt zijn die over het algemeen benaderbaar via ssl (encryptie op de verbinding). Alleen met het juiste certificaat is deze encryptie te decrypten. Los daarvan is de opslag van gevoelige informatie op een ge encrypte schrijf. Fysieke inbraak heeft dan ook relatief weinig zin gezien deze encryptie moeilijk te kraken is, ook met behulp van de rekenkamer van een Botnet.

    Wo 21 nov 2012, 07:16 [reply]

    • Tens

    Met mijn opmerking over de fysieke beveiliging doel ik op het voorkomen van fysieke diefstal.
    De jongens die social media data willen uitlezen om daar geld aan te verdienen willen bijvoorbeeld de RSA private key en controle over de RSS client computer om met behulp van een proxy een datadump te doen voordat de data de encryptie ondergaat. Criminelen stop je alleen bij de geldstroom: de banken die grote verdachte transacties door laten gaan, zodat zij geld kunnen blijven verdienen.

    Fraudeurs komen zonder jouw social media account of inbox ook wel aan de persoonsgegevens die zij nodig hebben om je op te lichten. Two-step verificatie is vooral irritant. Dan neem ik de script kiddies voor lief. 10 Ingewikkelde wachtwoorden gebruiken lijkt slim, maar dat is toch vooral een onhandige schijnveiligheid. Je vergeet ze.

    Aan de andere kant kan ik jou mijn PIN pas geven en dan is de kans groot dat je daar niets mee kunt. Tenzij jij een échte crimineel bent. Maar zoals ik al zei: die gaan niet lukraak lopen raden naar een wachtwoord.

    Do 22 nov 2012, 15:26 [reply]

    • Karl

    Tip: lees het hele artikel. dit is een beetje slap aftreksel ervan. In het artikel wordt wel de essentie van hoe en waarom goed uitgelegd en bij wie de eerste verantwoordelijkheid moet liggen mbt verificatie procedures.

    Di 20 nov 2012, 11:41 [reply]

Reageren

  • HTML niet toegestaan. URL's worden automatisch clickable.
    * E-mail adres wordt niet getoond

Recommend on Google

Headlines

© 2004-2014 Dutchcowboys.nl - All Rights Reserved.

All views and opinions expressed are those of the authors of Dutchcowboys.

All trademarks, slogans, text or logo representation used or referred to in this website are the property of their respective owners. Sitemap

Hosted by Nines