Kraken van wachtwoorden
door Strict op di 24 feb 2015
Pas op voor je digitale identiteit: regelmatig je wachtwoord veranderen, zorg dat het een complex wachtwoord is en vooral niet uitlenen aan anderen!
Goede tips en we blijven bezig om mensen ervan te overtuigen om verstandig om te gaan met hun accounts en hun wachtwoorden. Jawel, we blijven daarmee bezig. Want ja, als je wachtwoord door een ander gebruikt wordt, dan is je identiteit (je account) gestolen. En dan is alles wat met dat account wordt gedaan eigenlijk onbetrouwbaar geworden. Dus uitlenen is uit den boze, maar ook moet je ervoor zorgen dat je wachtwoord zo complex is, dat een crimineel het niet zomaar kan kraken, want dat is wel het grootste probleem dat ons kan overkomen.
In mijn vorige blog (weg met wachtwoorden) gaf ik al aan dat kraken van wachtwoorden, wat mij betreft, niet het grootste probleem is. Integendeel. Wachtwoorden worden niet gekraakt. In ieder geval niet zomaar. Want hoe kom je als crimineel, of dienaar van een of andere overheid, aan een wachtwoord? Waar staat zo’n wachtwoord? Nou, dat is simpel, een wachtwoord staat in een bestand op een computer. En hoe kom je er dan aan? Door dat bestand te openen. En hoe open je zo’n bestand? Door het op te zoeken. Kijk, daar gaat het fout voor de crimineel. Je kunt niet zomaar bij een bestand met wachtwoorden komen. Dat is namelijk heel goed beveiligd. Het bestand met wachtwoorden op een computer is zodanig beveiligd, dat, ook al weet je waar het staat, je er niet zomaar bij kunt. Dus als een computer, of een server, op een standaard manier is beveiligd, dan kan niemand er zomaar bijkomen, ook een crimineel niet. Een crimineel kan niet vanaf het internet het wachtwoord van mijn pc vinden. Een crimineel kan ook niet zomaar het wachtwoord afluisteren. Op een lokaal netwerk kan dat niet (het is versleuteld of er is gewoonweg geen verbinding mogelijk) en op het internet is het ook niet zomaar af te luisteren. Waar zou je ook moeten afluisteren? Tussen een pc en een server? Ja, maar vindt maar eens een stek waar dat kan. Nee, ik geloof er niet in.
De belangrijkste drempel voor een crimineel is fysieke toegang tot een computer of het netwerk. Als je met je vingers aan een computer of aan een netwerkapparaat kunt komen, dan is een wachtwoord niet te beveiligen. En dan kun je een wachtwoord zo complex maken als je wilt, het is gewoonweg niet te beveiligen. Een crimineel kan dan op heel veel manieren een wachtwoordenbestand vinden, ontcijferen, overschrijven, wijzigen, wat hij of zij maar wil. Dus de belangrijkste aanbeveling is hoe dan ook fysiek afschermen van wachtwoordenbestanden!
Als een crimineel niet op deze manier bij een wachtwoordenbestand kan komen, dan is hij kansloos. Tenzij… En die tenzij is wel spannend, tenzij een hacker via een reguliere manier misbruik van fouten kan maken. En dat gebeurt nog te vaak. Websites die niet goed zijn gebouwd, bieden de mogelijkheid om vanaf het internet in te breken op het wachtwoordenbestand van die website. En dat leidt dan tot de vele publicaties over gelekte persoonsgegevens.
En natuurlijk wordt er door criminelen misbruik van vertrouwen gemaakt. Als iemand door een crimineel wordt verleid om op een linkje in een onveilig e-mailbericht of op een onveilige website te klikken, dan heeft zo’n crimineel ook een grote kans om bij het wachtwoord van een gebruiker te komen. Niet door fysiek in de computer in te breken, maar via het internet. Deze manier van misbruik komt ook regelmatig voor en dat leidt dan tot grote security rampen, denk aan wat onlangs naar voren kwam over het hacken van bankaccounts. Criminelen krijgen de wachtwoorden op die manier in de schoot geworpen. Natuurlijk zijn heel veel wachtwoorden niet zomaar te gebruiken. Als je een wachtwoordenbestand vindt, dan moet je het misschien wel ontcijferen, maar dat is tegenwoordig niet meer zo heel moeilijk. Er zijn op het internet wel conversietabellen (rainbow tables) te vinden waarin ook de meest complexe wachtwoorden voorkomen.Zo werden we vorig jaar opgeschrikt door het bericht dat er 1.2 miljard wachtwoorden gestolen waren. het was misschien niet helemaal een goed signaal, maar ook ons NCSC werd erdoor geprikkeld…
De meest spannende conclusie is eigenlijk dat het kraken van wachtwoorden niet het grootste risico is. Al die campagnes om vooral moeilijke wachtwoorden te gebruiken adresseren eigenlijk de verkeerde dreiging. Wachtwoorden worden niet zomaar gekraakt, ze worden vooral gevonden. Dus daar moet je wat aan doen. Zorg dat mensen weerbaar worden tegen verleidingen en dat systemen weerbaar zijn tegen criminelen die wachtwoorden proberen te vinden. Zorg er vooral voor dat mensen weten dat ze niet overal hetzelfde wachtwoord voor moeten gebruiken. Als het namelijk een keer ergens is gevonden, dan kan het overal worden hergebruikt…
Die wachtwoorden, ach, daar moeten we gewoon maar van af. Als je geen wachtwoord hebt, dan kun je het ook niet kwijtraken, toch?
- Technologie (134)
- Nieuws (70)
- 5G (67)
- Continuïteit (64)
- Security & Privacy (57)
- Agility (35)
- Podcast (34)
- Wendbaarheid (31)
- Klantcase (18)
- Webinar (18)
- Blog (16)
- Innovatie (13)
- Mission Critical (13)
- Healthcare (12)
- Overheid (12)
- AI (11)
- Cloud (9)
- Medewerker interview (8)
- Smart City (7)
- Video (7)
- OOV (5)
- Vervoer (5)
- Projectmanagement (3)
- Duurzaamheid (2)
- december 2024 (4)
- november 2024 (9)
- oktober 2024 (9)
- september 2024 (10)
- augustus 2024 (6)
- juli 2024 (9)
- juni 2024 (6)
- mei 2024 (3)
- april 2024 (9)
- maart 2024 (11)
- februari 2024 (4)
- december 2023 (2)
- november 2023 (4)
- oktober 2023 (3)
- september 2023 (3)
- juli 2023 (4)
- juni 2023 (3)
- mei 2023 (6)
- april 2023 (2)
- maart 2023 (5)
- februari 2023 (1)
- januari 2023 (1)
- december 2022 (1)
- november 2022 (2)
- oktober 2022 (3)
- september 2022 (3)
- augustus 2022 (3)
- juli 2022 (8)
- juni 2022 (6)
- mei 2022 (4)
- april 2022 (5)
- maart 2022 (4)
- februari 2022 (5)
- januari 2022 (2)
- november 2021 (2)
- oktober 2021 (1)
- september 2021 (3)
- augustus 2021 (2)
- juli 2021 (1)
- juni 2021 (1)
- mei 2021 (1)
- april 2021 (3)
- maart 2021 (1)
- februari 2021 (1)
- november 2020 (1)
- augustus 2020 (1)
- juli 2020 (2)
- mei 2020 (2)
- april 2020 (4)
- maart 2020 (5)
- februari 2020 (3)
- januari 2020 (5)
- december 2019 (2)
- november 2019 (3)
- oktober 2019 (5)
- september 2019 (1)
- augustus 2019 (3)
- juli 2019 (2)
- juni 2019 (3)
- mei 2019 (2)
- april 2019 (4)
- maart 2019 (8)
- februari 2019 (6)
- januari 2019 (3)
- december 2018 (4)
- november 2018 (2)
- oktober 2018 (10)
- september 2018 (6)
- augustus 2018 (8)
- juli 2018 (2)
- juni 2018 (7)
- mei 2018 (3)
- maart 2018 (3)
- februari 2018 (3)
- januari 2018 (3)
- december 2017 (6)
- november 2017 (5)
- oktober 2017 (5)
- september 2017 (5)
- juli 2017 (1)
- juni 2017 (4)
- mei 2017 (1)
- maart 2017 (9)
- februari 2017 (1)
- januari 2017 (1)
- december 2016 (1)
- oktober 2016 (2)
- september 2016 (2)
- augustus 2016 (6)
- juli 2016 (1)
- juni 2016 (3)
- mei 2016 (2)
- april 2016 (3)
- maart 2016 (3)
- januari 2016 (1)
- december 2015 (1)
- november 2015 (2)
- oktober 2015 (1)
- september 2015 (2)
- augustus 2015 (1)
- juli 2015 (1)
- juni 2015 (2)
- mei 2015 (2)
- maart 2015 (2)
- februari 2015 (2)
- juni 2014 (1)