Je zal gehackt worden

0

Mijn account werd gehackt. Nog maar eens. Mijn e-mailadres, IP-adres, gebruikersnaam en mijn versleutelde paswoord zijn ergens beschikbaar voor mensen met niet al te goede bedoelingen. Maar maak ik me zorgen? Nee, niet echt.

have i been pwned? hack

Altijd leuk dit soort mailtjes

Ik was zelfs vergeten dat ik een account had op de site van Minecraft World Map tot de site Have I been pwned?, een project van Australisch cybersecurity-expert Troy Hunt, me erop wees. Dankzij een kort mailtje kwam ik zo te weten dat voor de zesde keer een website waar ik een account heb, gehackt is geweest. De site gaat door de tot nu toe 1 320 197 874 accounts die in databases zaten van gehackte internetbedrijven. Dat het er zoveel zijn, toont aan dat online bedrijven niet bestand zijn tegen mensen die uit zijn op het stelen van gegevens. De oorzaken hiervan gaan van het niet serieus nemen van hun beveiliging tot niet veel meer dan een menselijke fout.

Het ergste voorbeeld van dat probleem is het gigantische lek van LinkedIn-gegevens uit 2012. Het bedrijf dat voor 26,2 miljard dollar werd overgekocht door Microsoft was zodanig laks met het beveiligen van de paswoorden, dat mensen die niet anders doen dan het kraken van de versleuteling van paswoorden dat nu veel gemakkelijker kunnen. Jeremi M Gosney vertelde aan Ars Technica hoe zijn team erin sloeg om op zes dagen 98 procent van de paswoorden uit dat lek te ontcijferen. Als zij dat kunnen, is het anderen ook zeker gelukt. Ze hadden er namelijk 4 jaar voor. Hierdoor hebben hackers een grote hoeveelheid aan paswoorden om als basis te dienen voor geavanceerde berekeningen waarmee ze ook andere versleutelde paswoorden kunnen achterhalen.

Bovendien heeft de LinkedIn-hack tot vandaag verregaande gevolgen. Dezelfde Troy Hunt kon namelijk bewijzen dat de database met meer dan 60 miljoen paswoorden en e-mailadressen die bij Dropbox werden gestolen in 2012 wel degelijk op het internet te vinden is. De ene link tussen beide hacks is één werknemer van Dropbox die voor z’n werkaccount hetzelfde paswoord gebruikte als voor z’n LinkedIn-account.

hack

HACKING

En toch maak ik me niet echt zorgen. Niet omdat ik mezelf wijs maak dat ik niets te verbergen heb, want dat doen we allemaal. Ik heb er namelijk sinds het lezen van het nieuws over de LinkedIn-paswoorden voor gezorgd dat al mijn belangrijke profielen stevig beveiligd zijn. Alle accounts die ik ooit aanmaakte onder andere van een goed paswoord voorzien was onbegonnen werk. Dat is nogal moeilijk als je vergeet waar allemaal op het internet je ooit actief was. Daarom koos ik ervoor om mij te focussen op sociale media, e-mailaccounts en clouddiensten. Die heb ik voorzien van een dubbele laag aan beveiliging. Lastig en veel werk, maar meer dan essentieel in deze tijd van bedrijven die constant gehackt worden.

Een eerste is het gebruik maken van een paswoordbeheerder. Dit is de basis van alles. Hierin kan je namelijk al je wachtwoorden opslaan. Zie het als een digitale kluis met daarin de code voor het slot van je schatkist. Door hier gebruik van te maken, is er maar één paswoord dat je moet kennen, namelijk dat van de paswoordbeheerder. Dit maakt het ook mogelijk om je wachtwoorden allemaal te veranderen. De meeste kunnen voor jou een random password generen, dat veilig is omwille van de willekeur en omdat elk profiel dan een ander paswoord zal hebben beperkt het ook de schade van een mogelijke hack.

xkcd paswoorden

Als je echt geen zin hebt om met paswoordbeheerders te werken, kan je altijd deze comic van xkcd gebruiken als leidraad.

Zelf gebruik ik Enpass en LastPass, maar ook 1Password en Dashlane zijn erg goed. Bij PCMag deden ze begin deze maand een uitstekende vergelijking tussen verschillende betalende en gratis opties. Aan jou om te beslissen welke voor jou het beste is.

two factor authentication

Dit is hoe 2FA werkt

Daarnaast heb ik voor alle accounts waar dat mogelijk is een two-factor authentication (2FA). Dat is een manier om te verzekeren dat de persoon die inlogt jij zelf bent en niet iemand die op één of andere manier aan je paswoord is geraakt. Dit controleren kan op verschillende manieren, maar gewoonlijk gebeurt dit door een sms te sturen met een code in of via een app die een soortgelijke code genereert. Hierdoor heb je een extra paswoord voor je account. Als iemand bijvoorbeeld op Facebook wilt inloggen op een andere computer, zal die toegang tot je smartphone moeten hebben om de code in te voeren die daarop wordt gegenereerd.

Deze website verzamelt alle websites die 2FA ondersteunen, wat het gemakkelijker maakt om te weten waar je het kan inschakelen. De meeste ondersteunen controle via sms, maar als je voor de zekerheid ook een app wil gebruiken, raad ik sterk Authy of Google Authenticator aan. Die eerste kan je op verschillende mobiele toestellen gebruiken, wat soms van pas kan komen. Bij de tweede is dat niet mogelijk, waardoor je de 2FA-mogelijkheden verliest als je je smartphone verliest of reset.

Ik besef volledig dat dit alles erg veel werk is en niet altijd even handig. Als je zeker wil zijn dat niemand in accounts en bestanden zit waar die niet moet zitten, zit er echter niets anders op. Hoewel je nooit veilig zal zijn, is dit wel een eerst stap richting het beperken van de eventuele schade. Want op het internet ben je nooit veilig. Je zal gehackt worden.

Share.

About Author

Yorick Dupon

Vraag me welke smartphone je moet kopen.

Reacties