SolarWinds, gemeente Hof van Twente, Trump’s Twitter account, allemaal onderwerpen die u wellicht de afgelopen tijd voorbij heeft zien komen. Stuk voor stuk verschenen ze in het nieuws omdat ze gehackt waren. Wat deze incidenten gemeen hebben is dat bij allen zwakke wachtwoorden ten grondslag lagen. Met dit artikel willen wij benadrukken hoe belangrijk het is om authenticatie op online diensten goed op orde te hebben.
In 2018 meldde Verizon via de jaarlijkse Data Breach Investigations Report (DBIR) dat 81% van de hack-gerelateerde datalekken betrekking had op gestolen of zwakke wachtwoorden. Bedrijven moeten zich realiseren dat een sterk wachtwoordbeleid de kans op ongeautoriseerd toegang tot accounts of bedrijfskritische systemen aanzienlijk verkleind.
Naast het feit dat wachtwoorden vaak van onvoldoende sterke kwaliteit zijn, neemt de rekenkracht van computers met de jaren toe. Dit betekent dat kwaadwilligen in staat zijn om een wachtwoord sneller te kraken dan ooit voorheen.
Een aantal veelvoorkomende technieken beschreven.
- Het raden van simpele wachtwoorden: “123456” was het meest gebruikte wachtwoord in 2020. Dit wachtwoord is aangetroffen op maar liefst 2.5 miljoen verschillende accounts. Een computer doet er minder dan een seconde over om dit wachtwoord te kraken.
- Wachtwoord hergebruik op meerdere accounts: Tijdens security awareness sessies die wij vanuit RedTeam verzorgen, hebben wij gemerkt, dat hetzelfde wachtwoord hergebruiken op verschillende diensten veel voorkomt. Indien een wachtwoord gestolen wordt tijdens een data lek en ditzelfde wachtwoord op meerdere accounts gebruikt wordt zijn kwaadwilligen in staat om in te loggen op de accounts met ditzelfde wachtwoord.
- Dictionary attacks: Met zogenoemde woordenboekaanvallen zijn kwaadwilligen in staat om met een grote lijst aan woorden en combinaties daarvan een wachtwoord te kraken. Dit gebeurt in combinatie met veel rekenkracht.
- Het kraken van beveiligingsvragen: Veel mensen gebruiken de namen van kinderen, partners, huisdieren of andere familieleden in beveiligingsvragen of wachtwoorden. Kwaadwilligen zijn in staat om met een stukje vooronderzoek op bijvoorbeeld sociale media-informatie hierover te verzamelen.
- Social Engineering: Social Engineering wordt door kwaadwilligen gebruikt om een persoon te manipuleren en uiteindelijk vertrouwelijke informatie te ontfutselen. Deze techniek kan als gevolg hebben dat het wachtwoord wordt overgedragen en bekend wordt.
Het kost slechts één data lek bij het juiste bedrijf waardoor miljoenen gebruikersnamen en wachtwoorden gestolen kunnen worden. Beschouw de onderstaande statistieken, afkomstig uit een studie van Yubico uit 2019:
- Twee op de drie respondenten deelt wachtwoorden met collega’s
- 51 procent van de deelnemers gaf aan dat zij dezelfde wachtwoorden gebruikten over meerdere accounts.
- 57 procent van de deelnemers gaf aan het wachtwoord niet verandert te hebben na het ervaren van een poging tot phishing.
De toenemende digitalisering, rekenkracht en datalekken hebben grote impact op organisaties. De uitdaging is om ervoor te zorgen om geen slachtoffer te worden van een dergelijk incident zoals bij SolarWinds of gemeente Hof van Twente. Een sterk wachtwoordbeleid draagt bij aan een veiligere IT-omgeving.
Aanbevelingen die bijdragen aan sterk wachtwoordgebruik:
- Maak gebruik van een wachtwoordmanager: Het is natuurlijk vrijwel onmogelijk om al die lange unieke wachtwoorden of wachtwoordzinnen te onthouden. Een wachtwoordmanager versimpelt dit proces door alle wachtwoorden in een kluis op te slaan. Er bestaan een hoop verschillende wachtwoordmanagers. Enkele aanbevelingen betreffen Bitwarden en KeePass.
- Gebruik sterke, unieke wachtwoorden: Het gebruiken van sterke, unieke wachtwoorden voor iedere online dienst verkleint de impact van een datalek. Een sterk wachtwoord is niet per definitie een woord met een aantal speciale karakters en cijfers. Wat een wachtwoord sterk maakt is de hoeveelheid entropie of willekeurigheid. De zogenoemde wachtwoordzin is een goede tactiek om een sterk wachtwoord te creëren. Een wachtwoordzin combineert ogenschijnlijk niet gerelateerde woorden of zinnen die gemakkelijk te onthouden zijn voor de gebruiker. Wachtwoordzinnen hebben op deze manier een hoge mate van entropie en zijn tegelijkertijd gemakkelijker te onthouden. Een andere tactiek is om een uniek en willekeurig wachtwoord te laten generen door een wachtwoordmanager
- Verander wachtwoorden regelmatig: Verander wachtwoorden periodiek en wanneer dit ad hoc nodig is, bijvoorbeeld aan het begin van het jaar, en bijvoorbeeld als inloggegevens gestolen worden via een groot data lek. Controleer daarnaast ook de HaveIBeenPwned database om te onderzoeken of je inloggegevens gelekt zijn.
- Zet twee factor authenticatie aan! (2FA): Tegenwoordig wordt tweestapsverificatie steeds vaker ondersteund door onlinediensten. Door gebruik te maken van een extra verificatie- of authenticatiestap tijdens het inlogproces, neemt de kans op ongeautoriseerde toegang door derden af. Deze extra factor is vaak in de vorm van een unieke code die ingevuld dient te worden na het wachtwoord. Een veelgebruikte methode hiervoor is een SMS naar je mobiele telefoon of een code via Google Authenticator.
Word geen slachtoffer van cybercriminelen door onvoldoende beveiligde online diensten . Wees criminelen een stap voor met de maatregelen in dit artikel en bescherm uw organisatie tegen indringers.
