3 wachtwoordmythes die we de wereld uit moeten helpen
Wachtwoorden. Het is ondertussen een stokpaardje van ons, net als van alle andere cyberbeveiligingsbedrijven.
Maar daar hebben we een goede reden voor. Volgens het Data Breach Investigations Report van Verizon uit 2017 werd er bij 81% van de hackgerelateerde inbreuken gebruik gemaakt van gestolen en/of zwakke wachtwoorden. Uit een onderzoek van Google uit datzelfde jaar blijkt dat ongeveer 2 miljard gecompromitteerde toegangsgegevens op de zwarte markt werden verkocht. Hier kun je via Have I been Pwned controleren of je wachtwoord openbaar is gemaakt.
Als je deze klinische statistieken wilt omzetten naar iets tastbaars, kan de cybersecurity-expert van F-Secure, Janne Kauhanen, je helpen. Janne heeft ervaring met Red Team-tests en onderzoeken naar inbreuken. Hij heeft van dichtbij gezien hoe slecht het gesteld is met de wachtwoordhygiëne van veel bedrijven.
“In de meeste datalekgevallen waar we mee te maken hebben, gebruikten de aanvallers twee methoden om binnen te komen. De eerste: ze hebben iemands toegangsgegevens gestolen door middel van phishing. De tweede: ze kraakten zwakke of hergebruikte gebruikerswachtwoorden.”
De eerste methode is een bekend scenario binnen de IT-gemeenschap en zelfs voor de standaard zakelijke gebruiker wordt deze methode steeds herkenbaarder. Methode twee wordt echter vaak afgedaan als een machtsfantasie van hackers.
En dat is te begrijpen. Al die flitsende filmscènes? Zo werkt het in het echte leven natuurlijk niet, maar het komt in de buurt.
“Bij Red Team-tests is dit een terugkerend fenomeen. Ik kan dus bevestigen dat het kraken van wachtwoorden niet alleen écht gebeurt, maar ook nog eens op zeer praktische en effectieve manier,” zegt Janne.
In deze video zie je twee van de meest voorkomende technieken voor het kraken van wachtwoorden.
Dat is waar je mee te maken hebt; technieken die zelfs de mindere hackgoden kunnen toepassen.
Met dit in ons achterhoofd willen we drie wachtwoordmythes aan de kaak stellen – misverstanden eigenlijk – die enorm hardnekkig zijn. Daarnaast geven we je ook wat tips om bedriegers die je netwerk al zijn binnengedrongen, in de kraag te vatten.
WACHTWOORDMYTHE 1: ‘Ik gebruik sterke wachtwoorden en kan ze gewoon onthouden.’
Dit is een oxymoron, ook wel een paradox genoemd. Maar welke naam je er ook aan geeft, het is onmogelijk.
“Geen enkel wachtwoordsysteem of algoritme, vooral niet een die in een mensenhoofd is opgeslagen, werkt beter dan software die elke seconde tienduizenden wachtwoordcombinaties doorloopt,” zegt Janne. “Dit is een goede vuistregel: als je je wachtwoorden kunt onthouden, zijn ze zwak.”
Als je je wachtwoorden kunt onthouden, zijn ze zwak.
De enige haalbare oplossing voor dit probleem is een betrouwbare wachtwoordmanager, zoals F-Secure Key. Hiermee kun je voor elke dienst en toepassing die je gebruikt een uniek, willekeurig wachtwoord genereren van 64 tekens.
En je hoeft alleen maar de twee voornaamste toegangsgegevens te onthouden. Een voor de wachtwoordmanager en de andere om je aan te melden bij je domein.
Om helemaal zeker te zijn van je zaak, is het verstandig om deze twee enorm lastig te maken zodat aanvallers ze niet 1, 2, 3 kunnen ontcijferen. Een goed voorbeeld hiervan zijn wachtwoordzinnen: een onsamenhangende reeks woorden die los van elkaar geen specifieke betekenis hebben.
‘appelmoesboomeierenprullenbak’ of ‘schermblikrolhorlogechapstick’
WACHTWOORDMYTHE 2: ‘Ik ben niet belangrijk, dus niemand wil mijn wachtwoord.’
Allereerst: waar is je zelfvertrouwen?
Wij kunnen je verzekeren dat er minstens één groep in de wereld is die jou op waarde weet te schatten: cybercriminelen.
Je bent lid van een community, vertrouwd en geliefd bij je medewerkers. Je verstuurt e-mails, hebt toegang tot bestanden en hebt een digitale voetafdruk. Je identiteit heeft waarde op zich.
Aanvallers zijn bereid om te doen wat ze kunnen om hun doel te bereiken en meestal hebben ze een lange adem.
Wat als iemand je account binnendringt om bij iemand anders te komen? Zou je een e-mail van een naaste collega niet openen, ook al bevat deze alleen een willekeurige link naar een website of een vreemd bestand?
“Aanvallers zijn bereid om alles te doen wat ze kunnen om hun doel te bereiken en meestal kunnen ze het zich veroorloven om een lange adem te hebben,” legt Janne uit. “Een inbreuk kan beginnen met slechts één gecompromitteerd account van een junior medewerker. Op dat moment kan het zich als een ziekte verspreiden en steeds meer mensen van binnenuit infecteren”.
Zo’n reeks aanvallen kan vrij ingewikkeld worden, maar de oorsprong ligt vaak in luie of nalatige menselijke handelingen. Niet iets om miljoenen euro’s aan te verliezen.
WACHTWOORDMYTHE 3: ‘Ik gebruik tweefactorauthenticatie dus inbreuken gaan aan mij voorbij.’
Dit is iets gecompliceerder. Hoewel het een goed idee is om tweefactorauthenticatie toe te passen in bijna elk denkbaar scenario, maakt het je helaas niet immuun voor inbreuken.
Een echt tweefactorprotocol moet altijd twee verschillende communicatiekanalen omvatten. Bij een systeem voor online bankieren is het bijvoorbeeld vereist dat je een wachtwoord invoert op een extra toepassing die volledig gescheiden is van het onderdeel van de hoofddienst.
Dit soort systemen zijn zeldzaam, vooral omdat ze het gebruik van veel diensten niet alleen lastig zouden maken voor de eindgebruiker, maar ook zeer duur zijn voor de aanbieders.
In plaats daarvan vertrouwen de meeste bedrijven op eenvoudigere alternatieven, waarbij je een code krijgt die u in hetzelfde inlogscherm invoert als je wachtwoord.
“Je moet altijd tweefactorauthenticatie gebruiken, maar ik heb gevallen gezien waarbij dit werd omzeild. SMS-codes die op dezelfde aanmeldingspagina met je toegangsgegevens worden ingevoerd, kunnen worden opslagen door die website te vervalsen. Een vervalste foutmelding laat je weten dat de dienst tijdelijk niet beschikbaar is, terwijl de aanvallers doorgaan met je echte sessie”, zegt Janne. “Tweefactorauthenticatie is verre van een wondermiddel.”
Reactieve bescherming tegen wachtwoordhacks
Je hebt alle proactieve maatregelen genomen op het gebied van wachtwoordbeveiliging. Nu moet je je voorbereiden op de mogelijkheid dat iemand er toch in slaagt om een account in je bedrijf te hacken.
Onze aanbeveling is om te investeren in Endpoint Detection en Response (EDR): een geavanceerde beveiligingsoplossing die je op je bestaande endpoint protection platform (EPP) kunt aansluiten.
Met de realtime gedragsdata-analyse van EDR krijg je concreet inzicht in je IT-omgeving. Je kunt ongebruikelijke activiteiten detecteren van standaardprogramma’s, onbekende toepassingen, onverwachte scripts en verdachte systeemtools.
Met andere woorden, door een geraffineerde AI te leren hoe ‘goed’ gedrag eruit ziet, kun je alles wat daar niet onder valt effectief markeren. Dit wordt ‘atypicality modeling’ genoemd.
Gebruikt iemand een toepassing die hij normaal gesproken niet gebruikt? Gemarkeerd.
Is er een verdachte login op het netwerk in het midden van de nacht? Gemarkeerd.
Worden er gevoelige gegevens van je servers afgehaald? Gemarkeerd.
Als je meer te weten wil komen over EDR, dan is dit een goede plek om te beginnen.
Wachtwoordbeveiliging samengevat
Zorg goed voor jezelf en voor je collega’s: maak van wachtwoordbeveiliging geen ondergeschoven kindje. Start een beweging op je werkplek als dat nodig is.
Wanneer aanvallers toch een weg naar binnen vinden, iets wat we je op een blaadje kunnen geven, moet je voorbereid zijn. Dus, in plaats van alleen te kijken naar de volgende generatie antivirusprogramma’s, is het verstandig al na te denken over veiligheid nadat de inbreuken al hebben plaatsgevonden.
Een gezegde luidt: “Er zijn twee soorten bedrijven: bedrijven die zijn aangevallen en bedrijven die niet weten dat ze zijn aangevallen.”
Iets om over na te denken.
Categorieën