Security
Bekijk alle channels
  • Home
  • Security
  • Zijn gebruikersnamen en wachtwoorden nog wel van deze tijd?

Roel van Rijsewijk

Deloitte
53,5K

Channel

Security

Achtergrond -

Zijn gebruikersnamen en wachtwoorden nog wel van deze tijd?

Tijdens de Black Hat conference in Las Vegas heeft Alex Holden van Hold Security bekend gemaakt dat een groep Russische hackers maar liefst 1,2 miljard wachtwoorden heeft gestolen. Wat is de betekenis van deze informatie en wat moeten we daarvan leren?

The Black Hat conference in Las Vegas is een jaarlijks event waar hackers van over de hele wereld bij elkaar komen. Hackers met diverse achtergronden en motivaties; zogenaamde “white hat” hackers, die nooit zonder toestemming hacken en altijd met goede bedoelingen, bijvoorbeeld om de beveiliging van een website te testen. Ook “grey hat” hackers zijn aanwezig; een grote en diverse groep die zonder toestemming hackt, maar daarbij geen criminele bedoelingen heeft. En dat laatste is maar net hoe je dat interpreteert. Hacktivisten zullen bijvoorbeeld zeggen geen criminele bedoelingen te hebben met het platleggen van een bedrijfswebsite. Vanuit het perspectief van het getroffen bedrijf kan dit echter wel degelijk als crimineel worden gezien. En als je naar de naam van de conferentie kijkt mag je aannemen dat deze ook wordt bezocht door de black hat hackers; de keiharde cyber criminelen.

Wie hoort bij wie?
Het is aannemelijk dat Hold Security de diefstal tijdens de conferentie bekend gemaakt heeft voor publiciteit. Dat criminelen op grote schaal wachtwoorden stelen moet geen nieuws meer zijn. Dat het daarbij bovendien om enorme hoeveelheden kan gaan weten we ook, na diefstal bij Sony (77 miljoen records), Adobe (152 miljoen records) en eBay (145 miljoen records). Wat dit geval uniek maakt, is dat het gaat om 1,2 miljard (!) unieke sets van gebruikersnamen en bijbehorend wachtwoorden (uit een totaal van 4,5 miljard records). Het mag geen verrassing zijn dat deze gebruikersaccounts niet voortkomen uit een aanval op één website. De groep criminelen heeft een botnet gecreëerd die het internet afspeurde naar kwetsbare websites waarbij ze van 420 duizend websites de gegevens hebben gestolen.

Hacking the hacker
Hoe is Hold Security hier nu achter gekomen? Alex Holden beweert dat hij contacten heeft met deze groep van Russische criminelen. Het is in de hacking wereld niet ongebruikelijk dat beveiligingsbedrijven contacten hebben met de cyber-onderwereld. Maar hij heeft ook de database te pakken gekregen met gestolen gegevens. Hoe hij zijn handen heeft kunnen leggen op deze database, vertelt hij niet. Wat schieten de Russische hackers op met de publiciteit voor deze database? Wellicht heeft hij de server van deze groep gehacked? In dat geval mogen we Holden Security typeren als “grey hat” hacker.

Wat we hiervan kunnen leren
De belangrijkste les die we hieruit moeten trekken is dat gebruikersnaam en wachtwoord geen, of niet langer een, goede beveiliging is. Het grootste deel van de websites op het internet wordt nog steeds beveiligd met een gebruikersnaam en wachtwoord. En dat is niet langer houdbaar. Van alle wachtwoorden bedacht door computergebruikers – zelfs wachtwoorden die systeembeheerders veilig achten – valt 90 procent te hacken binnen enkele seconden.

Hoe komt dat? Een wachtwoord van acht cijfers heeft met een standaard qwerty toetsenbord immers meer dan 6 qaudriljoen mogelijke combinaties!

Inmiddels heeft iedere persoon tientallen accounts op het internet en een gemiddelde gebruiker onthoudt niet meer dan drie tot vijf wachtwoorden. In de praktijk betekent dit dat een gelekte combinatie van gebruikersnaam en wachtwoord mogelijk ook in gebruik is op een andere website. Hierdoor is het mogelijk om met de gelekte gegevens op sites in te loggen die niet gehackt zijn. Bovendien kies je de karakters van een wachtwoord niet helemaal willekeurig omdat dit niet te onthouden is; iedereen gebruikt hiervoor trucjes, zoiets als P@$$1234. Hackers en hun software weten dat (onder andere door eerder gelekte wachtwoorden te analyseren) en zoeken slim naar dergelijke combinaties. Daarbij is de kracht van de hardware die hackers gebruiken om wachtwoorden te kraken dusdanig toegenomen dat deze mogelijke combinaties snel doorlopen kunnen worden.

Hiermee zijn digitale diensten die slechts zijn beschermd met een gebruikerswachtwoord simpel te kraken. Dat kan miljardenschade opleveren, een dalend vertrouwen in digitale transacties en forse reputatieschade voor betrokken bedrijven.

Volle aandacht én innovatie is nodig
Software, smartphones en andere apparaten worden steeds gemakkelijker te bedienen en zien er steeds mooier uit, maar de veiligheid is hieraan vaak van ondergeschikt belang. Dat begint onhoudbaar te worden. De beveiliging van persoonlijke informatie moet vanaf het begin worden meegenomen in het ontwerp. Een applicatie moet secure by design zijn.

Er is innovatie op het gebied van security nodig. Biometrie of tokens? De smartphone? Er moet snel een slim en gebruikersvriendelijk alternatief komen voor de ouderwetse gebruikersnaam en wachtwoord. En als we dan een goed alternatief hebben moeten we ons bewust blijven van het feit dat vroeg of laat iedere oplossing gehackt zal worden. Security zal daarom in de toekomst een driver blijven van innovatie in cyberspace.

Vervolgstappen
Omdat het aantal gebruikersnamen en wachtwoorden dat in deze hack is blootgelegd ongekend groot is kunnen we niets anders dan aannemen dat er een mogelijkheid is dat deze database één of meerdere van onze eigen tientallen accounts bevat. Maar wat kunnen we hier nu op dit moment aan doen als bedrijf of individu?

Bedrijven zullen goed moeten nagaan of de websites en applicaties die zij beheren geen kwetsbaarheden bevatten waardoor hackers gemakkelijk bij de database met gevoelige gegevens kunnen komen. Daarnaast is dit de tijd om na te denken over de toevoeging van security zo vroeg mogelijk in nieuw te ontwikkelen applicaties of producten: secure by design.

Omdat we niet weten welke sites gecompromitteerd zijn is het verstandig al je wachtwoorden te veranderen en zoveel mogelijk verschillende wachtwoorden per site te gebruiken. Daarnaast bieden enkele grote websites ook de mogelijkheid om via 2-factor authenticatie in te loggen door middel van een Sms’je als je inlogt, of via het gebruik van een app op de smartphone. Een goed idee om aan te zetten gezien de Russische hackers hopelijk geen toegang hebben tot je telefoon en daardoor niets aan je inloggegevens op deze sites hebben.

*) Dit artikel is mede geschreven door Ivo Noppen, Consultant Risk Services bij Deloitte.

Gerelateerd event

Emerce E-commerce Live!

E-commerce reuzen als RTL, Asics en Centraal Beheer over the next step | Emerce E-commerce Live!

Bestel je ticket
  • Locatie: Beurs van Berlage, Amsterdam
  • Datum: Woensdag 7 juni 2024
Bestel je ticket

Deel dit bericht

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond

Gerelateerde items
Hosting

Cybersecurity is nu echt een boardroom issue

Cybercriminaliteit is niet langer een probleem van de IT-afdeling maar is veranderd in een boardroom issue. Online businesses worden bedreigd door moderne cybercrime-aanvallen. Oude en nieuwe technieken bieden geen...

Top-5 Internetsecurity

Internetsecurity
Hosting

Cybersecurity begint bij jezelf

Veel bedrijven onderschatten de risico’s van cyberaanvallen op hun bedrijfssystemen. Een virusscanner, een firewall en af en toe een update voldoen niet meer. Preventie zonder echte maatregelen is zinloos....