Wachtwoordbeveiliging is misschien wel het meest fundamentele onderdeel van moderne informatiebeveiliging. Er bestaat natuurlijk geavanceerde software voor endpoint security en oplossingen voor detection & response. Toch zijn wachtwoorden nog steeds de eerste verdedigingslinie, ook tegen de meest ervaren aanvallers. Investeer in een sterk slot, kies een sleutel die eenvoudig en intuïtief genoeg is. En bewaar die op een veilige plaats.
Maar niet iedereen denkt zo. Over het algemeen lijkt het alsof de meeste mensen wachtwoordbeveiliging nog steeds niet zo serieus nemen. Terwijl ze dat wel zouden moeten doen. Standaard wachtwoorden als ‘admin’ en ‘wachtwoord’ komen nog steeds heel veel voor. En als een gebruiker moeite heeft een uniek wachtwoord te bedenken, wordt het vaak iets dat lijkt op ‘qwerty’ of ‘12345’.
En weet je wat het ergste is? Deze pareltjes worden gebruikt voor verschillende diensten. Je kent het wel – de meeste mensen hebben een favoriet wachtwoord dat ze gebruiken op elk nieuw aanmeldformulier.
Een slecht wachtwoordbeleid is erg genoeg voor een individu – je wilt echt geen slachtoffer worden van identiteits- of credit card fraude. Bedrijven krijgen te maken met schade op een veel grotere schaal. Getroffen social media accounts, toegang tot de IT-infrastructuur van het bedrijf, gelekte klantgegevens – de lijst met gevaren is bijna oneindig.
Volgens het Verizon Data Breach Investigations Report van 2016 speelden bij 63 procent van de bevestigde data breaches zwakke, standaard of gestolen wachtwoorden een rol. Onze eigen onderzoekers ontdekten dat bijna 30% van de CEO’s wel eens te maken heeft met een gelekt wachtwoord.
Prime-time blunder
Dit is waarschijnlijk wel het meest verbijsterende voorbeeld van een wachtwoord blunder: de Franse tv-zender TV5 Monde laat een aantal social media wachtwoorden zien tijdens een tv-interview met een van hun journalisten. Het interview vindt op de redactie plaats. Op de achtergrond zijn verschillende briefjes met wachtwoorden te zien.
Om te beginnen is het natuurlijk niet echt handig om wachtwoorden te gebruiken als “thepasswordforyoutube” en ze vervolgens te bewaren op een post-it. Maar wat de blunder van TV5 eigenlijk nog wel het meest iconisch maakt, is het onderwerp van het interview: een cyberaanval. De zender was de dag daarvoor met succes aangevallen en de journalist vertelde in het interview wat voor effect zo’n aanval heeft op hun werk.
We kunnen waarschijnlijk best aannemen dat hun lakse houding ten opzichte van cybersecurity iets te maken heeft met die aanval. Hoewel de stereotypes je misschien anders doen verwachten, zijn niet alle cybercriminelen zo slim en vastberaden als je denkt. Als een achtjarige je wachtwoord kan raden dan houdt het zeker een vastberaden hacker niet tegen.
Dus wat leren we hiervan? Simpel: maak het aanvallers niet te gemakkelijk.
Gebruik in plaats van post-its een betrouwbare password manager. Die kun je trouwens ook gebruiken om wachtwoorden te genereren. Dan krijg je een random volgorde van letters, cijfers en symbolen. Dat is over het algemeen een stuk beter dan je eigen standaard wachtwoord.
Categorieën