Je hoeft al lang geen schrik meer te hebben dat iemand over je schouder meekijkt terwijl je jouw wachtwoord invoert. Tegenwoordig gebruiken hackers gesofisticeerde software om je wachtwoordcombinatie te achterhalen. Afhankelijk van de lengte en mogelijk combinaties van het wachtwoord, kan dat zelfs in minder dan één minuut.
Het wachtwoord van een telefoon of de pincode van een bankkaart of creditcard bestaat bijvoorbeeld maar uit vier cijfers, met slechts 10 mogelijke waarden per cijfer. Dat betekent dat er 10.000 mogelijke combinaties voor dat wachtwoord zijn. Dat zijn te veel pogingen voor een mens, maar hackersoftware kan die hoeveelheid combinaties in enkele milliseconden doorlopen.
Begin je je nu zorgen te maken?
Voordat je je koffers pakt en op een onbewoond eiland gaat wonen, probeer je het best even onze tips om je wachtwoorden te beveiligen. Deel deze tips indien mogelijk met je collega's om het bewustzijn in het bedrijf te vergroten.
Combineer tekens én gebruik een lang wachtwoord
Laten we deze tips vanuit het standpunt van een hacker bekijken. Stel: ik ben een hacker en je werkt bij een bedrijf waar geen opleiding of richtlijnen werden gegeven over het gebruik van wachtwoorden. Bij indiensttreding kreeg je een account en maakte je wachtwoorden aan voor alle systemen waartoe je toegang hebt. De kans is heel groot dat veel, en misschien zelfs al deze wachtwoorden identiek zijn. Het is ook heel waarschijnlijk dat dit wachtwoord uit 6 tot 8 tekens bestaat, zodat je het gemakkelijk kunt onthouden.
Laten we nu enkele statistieken bekijken van Kevin Fogarty in IT World. Bij zes tekens (letters en cijfers, maar allemaal kleine letters en geen symbolen) zijn er 2,25 miljard mogelijke combinaties.
- Als ik een webapp gebruik die 1.000 pogingen per seconde doet, kan ik dit wachtwoord kraken in 3,7 weken.
- Als ik offline zou gaan en krachtige servers of desktops zou gebruiken, kan ik 100 miljard pogingen per seconde doen en het wachtwoord kraken binnen 0,0224 seconden.
- Als ik nog verder zou gaan en parallelle meervoudige verwerkingsclusters zou gebruiken, kan ik 100 triljoen pogingen per seconde doen en het wachtwoord kraken binnen 0,0000224 seconden.
Als je een symbool gaat toevoegen en je wachtwoord tien tekens lang maakt, wordt het voor mij veel moeilijker om jouw wachtwoord te kraken.
- Met een webapp – 54,46 miljoen eeuwen.
- Offline met krachtige servers – 54,46 jaar.
- Offline met parallelle meervoudige verwerkingsclusters – 2,83 weken.
Als ik enorm vastberaden ben, kan ik misschien wel enkele weken proberen, maar ik zou dat alleen maar doen als ik zeker was dat er zich een pot goud achter dat wachtwoord bevond. Waarom zou ik anders moeite doen? Ik zou heel wat anders kunnen doen met mijn leven.
Gebruik een uniek wachtwoord voor alle accounts
Het lijkt misschien vanzelfsprekend, maar je zou er van schrikken hoeveel mensen dit niet doen (meer dan 80% hergebruikt wachtwoorden volgens een recent onderzoek). Als ik uw wachtwoord hack, zal ik proberen om in te loggen bij alle belangrijke online services waarvan ik denk dat u er een account heeft. Ik zal niet tevreden zijn als ik alleen toegang krijg tot jouw e-mails. Ik gebruik jouw e-mails om na te gaan welke andere services je gebruikt en ik probeer hier in te loggen met hetzelfde wachtwoord.
Wie weet vind ik wel een manier om toegang te krijgen tot de zakelijke e-mails en van daaruit een intern werksysteem met de financiële gegevens van klanten. Dat is een echte goudmijn.
Als je problemen hebt om al die wachtwoorden te onthouden, en dat zal waarschijnlijk wel het geval zijn – tenzij u Sheldon van The Big Bang Theory bent – gebruik je het best een wachtwoordmanager. Als je een bedrijf hebt, maakt een passwordmanager best deel uit van uw interne systeem. Werknemers kunnen zo hun wachtwoorden opslaan en delen binnen en tussen verschillende afdelingen.
Techradar heeft een lijst gepubliceerd met de beste wachtwoordmanagers in 2016. LastPass is de beste wachtwoordmanager volgens Techradar en bevat zelfs een wachtwoordgenerator die je kan helpen om veiligere wachtwoorden aan te maken.
Gebruik geen persoonlijke gegevens in wachtwoorden
Het is waarschijnlijk eenvoudiger om een wachtwoord met gemakkelijk te onthouden informatie te maken – jouw verjaardag of de verjaardag van iemand die je kent, een straatnaam, jouw eigen naam of de naam van een familielid, of zelfs de naam van een huisdier.
Als je gebruiksgemak boven veiligheid verkiest, heb je mijn leven een stuk gemakkelijker gemaakt. Kan je je nog herinneren aan de software om wachtwoorden te hacken waar ik het eerder over had? Veel van deze software beschikt over een functie waarmee ik jouw persoonlijke gegevens kan toevoegen en deze informatie kan gebruiken om een wachtwoord te raden.
Dat is nog beter voor mij omdat ik langere wachtwoorden zo veel sneller kan kraken dan volledig willekeurige wachtwoorden.
Gebruik two-factorauthenticatie
Er zijn manieren waarop ik een wachtwoord kan kraken als je zogenaamde tweeledige verificatie of two-factorauthenticatie gebruikt.
Voor wie het niet weet, tweeledige verificatie betekent een factor toevoegen om een identiteit te verifiëren en in te loggen. Een dienst kan je bijvoorbeeld om een wachtwoord vragen in combinatie met jouw vingerafdruk, een pushbericht naar je telefoon of zelfs een token/smartcard. Bij tweeledige verificatie moet er dus nog een tweede stap worden uitgevoerd (d.w.z. een tweede wachtwoord).
Een aantal van de beste tools om wachtwoorden te kraken bevat functies waarmee ook de tweede stap kan worden gekraakt, op voorwaarde dat die stap ook een wachtwoord is en geen andere factor.
Two-factorauthenticatie heeft wel degelijk nut. Als je dit gebruikt in combinatie met een sterk wachtwoord, zou ik dit veel moeilijker kunnen kraken. En als je wachtwoorden te moeilijk worden om te kraken, hou ik me liever bezig met iemand die een gemakkelijker doelwit is.
Veel webservices en -toepassingen bieden de mogelijkheid om two-factorauthenticatie te gebruiken, maar dat geldt niet voor allemaal. Als ik een verantwoordelijk persoon was – wat niet het geval is, want ik ben een hacker – dan zou ik die services contacteren en hen laten weten hoe ze hun klanten echt kunnen helpen door een tweede verificatiefactor toe te voegen.
Als je een bedrijf bent, kan je een tweede factor implementeren voor alle werknemers die gebruikmaken van systemen waarin de meest gevoelige of vertrouwelijke informatie wordt opgeslagen. Je begint best met een audit van alle gegevens, systemen en de mensen die hier toegang toe hebben. Zo kan je de omvang van het project bepalen en een beroep doen op het juiste bedrijf om je te helpen.
Panikeer nog niet...
Hackers zijn zelden zo gesofisticeerd als de personages uit de reeks Mr Robot. Meestal zijn ze op zoek naar gegevens die ze kunnen verkopen of testen ze systemen op kwetsbaarheden die ze kunnen misbruiken. Zodra ze iets te moeilijk vinden om te kraken, geven ze het op.
Een sterk wachtwoord, wachtwoordbeheer en two-factorauthenticatie zijn de drie tools waarmee je kan voorkomen dat jouw wachtwoord te gemakkelijk te kraken is.