Deze week was er naar aanleiding van een artikel in het AD veel aandacht voor een online zoekmachine met inloggegevens van 3,3 miljoen Nederlanders. De gegevens zijn afkomstig van verschillende websites die in het verleden te maken hebben gehad met een datalek. Het nieuws bracht een discussie over veilig wachtwoordgebruik op gang. Wat is nu een veilig wachtwoord? En hoe voorkom je dat je gegevens worden misbruikt?
Wat betekent dit?
Hoewel de zoekmachine niet de volledige wachtwoorden en emailadressen toont, zijn deze gegevens wel gelekt en eventueel dus beschikbaar voor kwaadwillenden. Wanneer een persoon zijn of haar wachtwoord niet heeft veranderd sinds het lek, kan een ander kwaadwillende met deze gegevens proberen in te loggen op de betreffende website (bijvoorbeeld LinkedIn of een bedrijfsemailaccount)
Wat is het risico?
Veel mensen gebruiken hetzelfde wachtwoord voor verschillende websites, omdat dit gemakkelijk te onthouden is. Daardoor bestaat ook een risico dat de gevonden combinatie van emailadres en wachtwoord gebruikt kan worden om in te loggen op andere systemen. Afhankelijk van de aard van het systeem kan dit verstrekkende gevolgen hebben. Kwaadwillenden kunnen bijvoorbeeld je account overnemen door eerst in te loggen met je gelekte wachtwoord om daarna je wachtwoord te veranderen.
Wat is er anders aan deze zoekmachine?
De data die de zoekmachine gebruikt is niet nieuw. Voor degenen die weten waar ze moeten zoeken was de data voor het merendeel al enkele jaren te vinden op het internet of het dark web, een laag van het internet die niet publiek toegankelijk is, maar veel wordt gebruikt door hackers en mensen die anoniem willen blijven. De zoekmachine maakt het echter erg makkelijk om de gegevens deels op te vragen.
Wat kan je zelf doen?
Controleer zelf of je gegevens voorkomen in gelekte informatie via bijvoorbeeld Have I Been Pwned? of de Politie
Kies een sterk wachtwoord
Wanneer je een gemakkelijk wachtwoord hebt, welke bijvoorbeeld bestaat uit alleen letters of cijfers of een vaak voorkomend wachtwoord is, is het gemakkelijk voor een hacker om hier achter te komen. De hacker hoeft dan namelijk alleen het gemakkelijke wachtwoord te versleutelen en te vergelijken met het versleutelde wachtwoord uit de gelekte informatie. Dit bleek ook in deze zoekmachine. De meest gebruikte wachtwoorden hieruit waren:
- 123456
- welkom
- welkom01
- wachtwoord
- querty
- amsterdam
- geheim
- 123456789
- Feyenoord
- 12345
Ook als je zelf een wachtwoord hebt bedacht, maar deze heel kort is (zoals kat), kan de hacker dit wachtwoord proberen te raden door verschillende combinaties te proberen. Dan probeert de hacker eerst het wachtwoord ‘aaa’, dan ‘aab’, dan ‘aac’ enzovoorts totdat de combinatie ‘kat’ voor komt. Dit lijkt misschien lang te duren, maar met een moderne computer is dit minutenwerk.
Daarnaast kan een gemakkelijk wachtwoord ook gemakkelijk te raden zijn omdat deze persoonlijke informatie bevat. Als jij als wachtwoord de naam van je hond gebruikt en je op Facebook een foto van je hond hebt staan met zijn of haar naam erbij, kan een hacker deze naam als wachtwoord proberen. Dit geldt ook voor namen van partners of geboortedata.
Een sterker wachtwoord is dus een grote stap in de goede richting om een hack – waarbij gebruik is gemaakt van deze zoekmachine – te voorkomen. Een sterk wachtwoord bestaat uit een combinatie van speciale tekens, letters en cijfers. Je kunt er ook een zin van maken, zoals ‘Gisteren heb ik 2 bananen gegeten!’. Dit wachtwoord bestaat uit een cijfer (2), een hoofdletter (G), een gek teken (! en spatie) en letters. Daarnaast bestaat dit wachtwoord uit 33 tekens én is het lastig voor een hacker om het te raden. (let op, gebruik dit voorbeeld dus niet!)
Gebruik een uniek wachtwoord voor iedere site
Met alleen een sterk wachtwoord is het probleem van hergebruikte wachtwoorden nog niet opgelost. Hiervoor moet je voor iedere website een ander wachtwoord gebruiken. Dit is lastig te onthouden; zeker als je veel accounts hebt. Hiervoor heb je een password manager, een wachtwoordkluis, waarin je al je wachtwoorden kan opslaan. Deze onthoudt de verschillende wachtwoorden voor verschillende websites voor je, zodat je ze zelf niet allemaal uit je hoofd hoeft te leren. Belangrijk hierbij is wel dat je deze wachtwoordkluis zelf goed moet beveiligen. Immers, als een hacker het wachtwoord heeft van je wachtwoordkluis, kan hij alsnog bij al je verschillende wachtwoorden. Een sterk wachtwoord voor de wachtwoordkluis is daarom ook een vereiste.
Gebruik 2 factor authenticatie
Hiernaast kun je ook gebruik maken van extra beveiliging wanneer je je wachtwoord kluis binnen wilt; ook wel ‘tweestapsauthenticatie’ of ‘two factor authentication’ genoemd. Je kent misschien dit voorbeeld wel van banken of bij je DigID. Wanneer je in wilt loggen op een website en je gebruikersnaam en wachtwoord hebt ingevoerd, wil de website nog iets van je weten. Dit kan een code uit een SMS zijn of een code die in een app op je telefoon staat. Dit maakt het aanzienlijk veiliger. Een hacker kan dan wel je wachtwoord hebben, maar deze heeft niet jouw telefoon in zijn of haar bezit. Hierdoor kan hij alsnog niet naar binnen. De optie voor deze tweede factor kun je instellen op de website waar je je account hebt staan, zoals bij Facebook of Gmail.