Je Virtuele Huis beveiligen, hoe doe je dat?

In het algemeen vinden we het moeilijk om onszelf te beschermen in de virtuele wereld. We weten allemaal dat we lange en complexe wachtwoorden moeten aanmaken en dat we onze wachtwoorden nooit mogen opschrijven. Toch gaat het beheer van onze wachtwoorden ons nog altijd niet zo goed af. Nonchalant omspringen met onze wachtwoorden is zoals het raam van onze wagen openlaten – veel kans dat er iets gestolen wordt!

Ga voor jezelf ook eens na hoeveel accounts je hebt. Welke gebruik je regelmatig? Facebook? Instagram? LinkedIn? Google? Yahoo? En hoeveel ervan heb je maar één keer gebruikt? Ik ben er zeker van dat er heel wat accounts zijn die je vergeten was: de accounts die je tien jaar geleden hebt aangemaakt bijvoorbeeld.
 
Denk nu eens aan de wachtwoorden die je voor die accounts hebt aangemaakt. Ik neem aan dat ze niet allemaal uniek of complex zijn. Wachtwoorden zijn momenteel nog de meest gebruikte methode om ons online te beschermen, maar het is lang niet de perfecte methode. Het gebruik van dubbele authenticatie (two factor authentication of 2FA) kan de veiligheid van onze accounts aanzienlijk verhogen, omdat de toegang tot de account dan niet enkel afhangt van een wachtwoord, maar ook van een unieke code die je moet invoeren telkens je je aanmeldt. Deze code wordt aangemaakt door iets dat je bij de hand hebt: een app op je smartphone of een toestelletje dat gewoonlijk door de bank ter beschikking wordt gesteld voor online bankieren. Deze extra stap maakt het veel moeilijker voor iemand die toegang tot je account wil krijgen, zelfs al kent hij of zij je wachtwoord!
 
Het opzetten van een dubbele authenticatie is niet altijd haalbaar. Soms kunnen we simpelweg niets anders dan onze wachtwoorden sterker maken. Maar de vraag blijft nog altijd: waarom? We weten wat we zouden moeten doen, maar waarom? Dit is het verhaal van Louise…
 
Louise zet de foto's van haar smartphone over op haar laptop en bekijkt ze. Ze zijn nog niet helemaal klaar om op Facebook gepost te worden: ze moet nog de details aanpassen zodat ze er goed uitziet! Louise googelt “fotobewerkingsprogramma” en ziet dat dergelijke programma's nogal duur zijn. Dus googelt ze "gratis fotobewerkingsprogramma".  Et voilà. Ze vind er een. Ze downloadt het. Ze laat het programma lopen. Ze retoucheert de foto’s, meldt zich aan op Facebook en upload de foto’s.
 
De computer is traag, maar ze staat er niet bij stil - er zijn heel wat foto's. Wat er werkelijk gaande is, is dat het gratis fotobewerkingsprogramma dat ze heeft gedownload malware bevatte. Malware staat voor malicious software - kwaadaardige software. Het downloaden van “gratis” versies van software is gevaarlijk, want het is een klassieke manier voor hackers om ongeoorloofde toegang tot je computer te krijgen. Deze specifieke malware, die geactiveerd werd toen het fotobewerkingsprogramma werd geopend, is een zogenaamde toetslogger, die elke toetsaanslag registreert.  Wanneer een e-mailadres wordt ingetypt, zal hoogstwaarschijnlijk een paswoord volgen. Zo kunnen gegevens gestolen worden met behulp van toetsloggers.
 
Duizenden kilometer verder in een Oost-Europees land is Johan in zijn nopjes omdat nog maar eens een sukkel gratis software heeft gedownload. Hij heeft de logingegevens van Louise bemachtigd. Een van de eerste dingen die hij doet, is haar zoeken op LinkdIn, want haar gebruikersnaam op Facebook is haar e-mailadres, louise [dot] adams [at] gmail [dot] com. Hij vindt haar. Ze werkt bij een gerenommeerde internationale fabrikant van stofzuigers. Hij probeert met haar Facebookgegevens in te loggen op Outlook – de e-mailprovider voor ondernemingen. Het lukt hem. Waarom? Omdat ze hetzelfde wachtwoord heeft gebruikt! Hij heeft nu toegang tot haar professionele e-mailaccount. Hij doorloopt haar inbox op zoek naar iets dat hem van nut kan zijn. Hij vindt het: een e-mailbericht met een (niet gecodeerd) zip-bestand dat alle informatie bevat over de revolutionaire nieuwe stofzuiger die de stofzuigerindustrie op zijn kop moet zetten. Deze informatie is zeer interessant voor concurrenten. En wat blijkt?  Een Chinese onderneming was er als de kippen bij om een pak geld neer te tellen voor informatie over het innoverende ontwerp voor een geavanceerde stofzuiger!
 
Dit verhaal is slechts een van de vele voorbeelden van hoe het gebruik van hetzelfde wachtwoord voor meerdere accounts grote gevolgen kan hebben. Johan heeft het grote lot gewonnen: niet alleen heeft hij zeer waardevolle informatie bemachtigd, die hij op de zwarte markt heeft verkocht, maar hij heeft ook toegang gekregen tot haar accounts op de sociale media (die op de zwarte markt meer geld opbrengen dan een credit card) en vooral… tot haar persoonlijke e-mail. Je e-mail account is waar alles om draait. Al je online accounts werden aangemaakt met je primaire e-mailadres. Nu Johan toegang heeft tot dat adres, is het voor hem heel gemakkelijk alle online accounts van Louise te vinden en het wachtwoord te veranderen, zodat ze zelf geen toegang meer heeft tot haar accounts. Bovendien, Johan kan heel wat doen met de identiteit van Louise: het openen van een bankrekening, het verkrijgen van een hypotheek…
 
De oplossing? Gebruik een wachtwoordmanager om unieke en complexe wachtwoorden aan te maken en op te slaan. Je hebt nog altijd een hoofdwachtwoord nodig dat uniek en complex moet zijn en dat je moet onthouden.  De factor “geheugen” is dus nog niet volledig geëlimineerd, maar wel aanzienlijk beperkt!
 
Het heeft geen zin om 200 unieke wachtwoorden te hebben zoals gelukkig, boos, ikhouvanje, ikhouvanmijnhond, ikhouvanmijnmama, enz.  Deze wachtwoorden zijn heel gemakkelijk te kraken door, om het simpel te houden, het bestaan van lijsten met meest frequent gebruikte wachtwoorden die hackers gebruiken om toegang te krijgen tot accounts.
 
Ik zou nog kunnen doorgaan, maar ik denk dat de wachtwoordbeheer al voldoende zal zijn om je beveiligingsgewoonten aanzienlijk te verbeteren. Samengevat:
- Gebruik een wachtwoordmanager om unieke en complexe wachtwoorden aan te maken en op te slaan voor al je online accounts. Lastpass of IPassword zijn gerenommeerde wachtwoordbeheerders.
- Baseer je hoofdwachtwoord op een zin die betrekking heeft op je privéleven en gebruik dan de eerste letter van elk woord om de complexiteit te verhogen. Een voorbeeld: de zin “ik leerde mijn man kennen in Costa Rica in 2016” wordt het wachtwoord ilmmkiCRitd16.
- Voer eens verschillende wachtwoorden in op https://howsecureismypassword.net/.  Zo zie je welke wachtwoorden het gemakkelijkst te kraken zijn.
- Controleer op https://haveibeenpwned.com of je e-mailadres voorkomt in een database van gelekte gebruikersnamen of wachtwoorden. Verander je wachtwoord onmiddellijk als dat het geval is!
- Maak er een gewoonte van je scherm te vergrendelen.
 
Lauren Chiesa
: PreventActio 11/2017