Hoe je voorkomt dat hackers je digitale leven volledig kapotmaken

Afgelopen week werd duidelijk hoe fouten bij grote bedrijven als Apple en Amazon het leven van iemand zuur hebben gemaakt. Het laat zien hoe één of meerdere zwakke (menselijke) schakels cruciaal kunnen zijn in het verliezen van controle over jouw digitale leven. Het is helaas geen op zichzelf staand verhaal. Identiteitsdiefstal is aan de orde van de dag en van verschillende mensen zijn bijvoorbeeld al e-mailaccounts gegijzeld. Als je niet uitkijkt, ben jij misschien wel de volgende!

In dit deel van deze driedelige serie vertel ik je daarom hoe jij ervoor kunt zorgen dat jij niet het volgende slachtoffer wordt van identiteitsdiefstal, hoe jij je accounts en wachtwoorden veilig kunt houden en hoe je jezelf wapent tegen het volgende lek bij een groot bedrijf.

De basis van een goed wachtwoord
Hoe goed je wachtwoord ook is opgeslagen, een slecht wachtwoord wordt zo geraden door een aanvaller. Het meestgebruikte wachtwoord van Yahoo!-gebruikers is bijvoorbeeld ’123456′. Verder bleek dat zo’n 20% van de wachtwoorden uit 6 tekens of korter bestond en is een derde opgebouwd uit alleen kleine letters. Als je dan uitgaat van een computer die 1.000.000 wachtwoorden per seconde kan uitproberen, dan duurt het zo’n 5 minuten om 7% van de wachtwoorden te kraken.

Het is dus altijd zaak om een lang wachtwoord te gebruiken; zeker 8 tekens, maar het liefst minimaal het dubbele. Een wachtwoord moet vaak speciale tekens bevatten en het is ook verstandig om dit toe te voegen. Merk echter op dat het wachtwoord ‘v31l!g‘ niet heel veilig is, gezien de vervangingen voorspelbaar zijn.

Beter is het om als basis iets te gebruiken dat niet in het woordenboek of in een paspoort voorkomt en niet uit te spreken is. Neem bijvoorbeeld ‘ds6CqazrWbquUzA‘: dat is volledig willekeurig en niet te vinden in een woordenboek. Dit soort wachtwoorden kun je online genereren.

Een goed te onthouden wachtwoord
Helaas is het heel moeilijk om een sterk wachtwoord te onthouden. Zeker als je voor iedere dienst een nieuw wachtwoord wilt gebruiken.

Mensen vergeten vaak welke tekens in het wachtwoord zijn toegestaan. Je kunt er natuurlijk letters en cijfers in kwijt, maar ook spaties mogen meestal. Je kunt dan de veilige wacht-zin “Een appel is gezond en mijn moeder neemt er twee per dag!” instellen. Gebruik alleen geen veelgebruikte zinnen of spreekwoorden, want dat is dan weer vrij eenvoudig te raden.

Wil je het typen eenvoudig houden? Neem dan een wachtwoord als “juist paard batterij nietjes“. De wachtwoordsterkte (entropie) is net zo hoog en dus moeilijk te raden door een computer, terwijl het wachtwoord vrij eenvoudig te onthouden is.

Vind je een hele zin typen teveel werk, maak je vaak typfouten of mogen spaties niet, dan kun je ook de zin als basis voor een ander wachtwoord nemen. De bovenstaande wachtzin kan ik bijvoorbeeld omschrijven tot “1a=g+mMne2pd!“. Met weinig oefening heb ik die zo onthouden.

password_strength
De wachtwoordsterkte (entropie) van vier willekeurige woroden is hoger dan van een woord omgebouwd tot sterk wachtwoord. Bron: XKCD

Een verschillend wachtwoord voor elke dienst
De tip die beveiligingsexperts altijd geven is om voor verschillende diensten, verschillende wachtwoorden in te stellen. Dat is ook logisch, want als je LinkedIn-wachtwoord lekt, wil je voorkomen dat men via dat wachtwoord bij je Google-account kan komen. Helaas is het heel moeilijk om verschillende wachtwoorden te onthouden, zeker als het lange reeksen van willekeurige tekens zijn.

Je kunt relatief eenvoudig je wachtwoord echter per dienst anders maken door (een deel van) de naam van de dienst in je wachtwoord te verwerken. Neem bijvoorbeeld de vierde letter en de laatste klinker, zodat je voor LinkedIn van het wachtwoord “ih1aidh!” het wachtwoord ”kh1aidI!” maakt en je voor Google ”gh1aide!” gaat gebruiken. Een simpele aanvaller zal de tijd niet nemen om jouw wachtwoordenstructuur uit te vissen en als bonus is jouw wachtwoordenhash elke keer anders (zie deel 1 voor meer informatie over hashes).

Gebruik wel voor belangrijke zaken een ander basiswachtwoord. Stel dat een aanvaller achter jouw structuur komt, dan wil je niet dat hij meteen toegang heeft tot jouw bankrekening, e-mail en website.

Ik ga er daarbij echter van uit dat je graag je wachtwoorden wilt onthouden. Maar dat is helemaal niet nodig. Je wilt graag een zo moeilijk en zo lang mogelijk wachtwoord, dat niet te raden is. Maar dat is dan weer niet te onthouden. Daarom bestaan er diensten die verschillende wachtwoorden voor verschillende diensten instellen. Een voorbeeld daarvan is LastPass; alleen het wachtwoord van je LastPass-account hoef je nog maar te onthouden – de rest wordt willekeurig gegenereerd en is moeilijk te raden.

Beveilig je accounts met tweewegsauthenticatie
Als je online bankiert, ken je waarschijnlijk de Random Reader of de e-dentifier wel. Je wordt gevraagd om met je pas en pincode een unieke code te genereren. Deze methode is gebaseerd op de drie manieren hoe je erachter kunt komen of iemand is wie hij zegt dat hij is:

  • Iets dat je weet
    Als iemand iets weet, wat anderen niet kunnen weten, kun je er al vrij zeker van zijn dat iemand is wie hij zegt dat hij is. Je kunt bijvoorbeeld vragen naar een wachtwoord, de naam van de moeder of hoe iemand zijn lasagne eet.
  • Iets dat je hebt
    Veel bedrijven ‘legitimeren’ mensen aan de hand van een paslezer bij de deur. Het bezit van het pasje is dus de legitimatie. Ook je bankpas, je mobiele telefoon en een usb-apparaat kunnen dienen als legitimatie.
  • Iets dat je bent
    Eén ding dat je niet kunt omzeilen, is jezelf. Jij bent altijd degene die zich probeert te legitimeren en jij bent de enige met jouw vingerafdruk, met jouw gezicht en jouw ogen. Met behulp van retina-scans (oog), vingerafdruklezers en gezichtscans worden al veel mensen geïdentificeerd, maar ook je pasfoto valt hieronder.

Het combineren van meerdere manieren verzekert je er meer van dat je de juiste persoon te pakken hebt. Een wachtwoord kan worden geraden, een bankpas kan worden gejat en een retina-scan kan worden omzeild met een foto, maar het is heel moeilijk om alledrie goed te omzeilen in één aanval.

Bij Google kun je bijvoorbeeld tweewegsauthenticatie aanzetten, waarna je bij het inloggen steeds een code op moet geven die je op je telefoon te zien krijgt. Veel diensten ondersteunen overigens de manier waarop Google dat doet en bijvoorbeeld bij LastPass kun je met dezelfde app inloggen. Overigens biedt Facebook deze mogelijkheid ook. Soms is het onhandig als je snel in wilt loggen, maar je bent wel beschermd tegen het raden (of stelen) van wachtwoorden.

Bescherm jezelf
Nu we een heel sterk wachtwoord hebben en we voor elke dienst een ander wachtwoord gebruiken, is het zaak om het wachtwoord ook geheim te houden. Het opslaan van wachtwoorden in je browser (zonder hoofdwachtwoord), maakt het voor hackers aanlokkelijk om gewoon je browser te hacken. Ook als je een FTP- of e-mail-programma gebruikt, is het belangrijk om niet zomaar het ‘Onthoud mij’-vinkje aan te zetten.

Gebruik ook waar mogelijk beveiligde verbindingen. Jouw bank gebruikt HTTPS en deze blog bezoek je ook via een beveiligde verbinding. Overal waar je jouw wachtwoord invoert, wordt het wachtwoord over het internet verstuurd. Gaat dat niet over een beveiligde verbinding, dan kunnen aanvallers je wachtwoord afluisteren en heb je niets aan een veilig wachtwoord. Installeer bijvoorbeeld de HTTPS Everywhere-plugin, zeker als je op een publiek wifi-netwerk zit.

Helaas gebeurt het nog wel eens dat wachtwoorden worden vergeten. Je hebt dan bijvoorbeeld beveiligingsvragen waarmee jij aan kunt tonen dat je bent wie je zegt dat je bent. Probleem is alleen dat de meisjesnaam van je moeder, je eerste automerk of de naam van je hond vrij eenvoudig te achterhalen zijn. Zo is bijvoorbeeld ook de e-mail van Sarah Palin gehackt. Kies dus voor creatieve antwoorden, draai antwoorden op vragen om of kies gewoon voor een andere herstel-optie.

Een laatste redmiddel
Waarschijnlijk heb je heel veel dierbare foto’s of belangrijke documenten op jouw computer staan. Hackers zullen deze gewoon wissen om hun eigen sporen te verhullen. Het maken van backups op een andere computer of bijvoorbeeld in Dropbox of Google Drive is daarom uiterst belangrijk. Zelfs als het ergste gebeurt, heb je in elk geval nog je eigen bestanden.

Als je de mogelijkheid hebt, versleutel dan ook je harde schijf. Dan kunnen aanvallers niet bij jouw documenten mochten ze je laptop of computer weten te bemachtigen. Je bent dan nog steeds je data kwijt, maar je weet in elk geval zeker dat de gegevens niet zijn gelekt.

Beter dan je best kun je niet doen
Als je al mijn tips opvolgt, heb je je accounts beschermd zodat een aanvaller je niet snel zal kiezen om het leven zuur te maken. Maar een doelgerichte aanval zal je leven nog altijd zwaar kunnen maken. Een klein lek in accountherstel bij een groot bedrijf, een gelekte database of een kleine programmeerfout in je favoriete website, en je hele leven kan op straat liggen.

In het laatste deel van deze serie zal ik uitleggen hoe jij als website-eigenaar je bezoekers zo goed mogelijk kunt beschermen. Mocht je vragen hebben naar aanleiding van dit artikel, laat het dan hieronder weten.



Ralph Broenink
is sinds begin 2008 werkzaam bij Antagonist. Hij begon op de support-afdeling, maar inmiddels is hij hoofd-ontwikkelaar van het systeem ‘Mijn Antagonist’. Daarnaast studeert hij momenteel aan het Kerckhoffs Institute in de richting Computer Security.

Dit artikel verscheen op 13 augustus 2012 op de blog van Antagonist en is met toestemming overgenomen op deze website.

Over Ralph Broenink