Sponsored content
Sponsored content

90 seconden, zo snel heeft een hacker je wachtwoord


Vorig jaar werd onthuld dat Russische hackers 1,2 miljard wachtwoorden hebben buitgemaakt. Dat zijn er zoveel, dat ook jij een keer aan de beurt kunt zijn. Het wachtwoord, ons belangrijkste online identificatiesysteem, lijkt aan een grondige update toe.

Dat criminelen op grote schaal wachtwoorden stelen, is op zich geen nieuws. En dat het daarbij om enorme aantallen kan gaan, weten we sinds de diefstallen bij Sony (77 miljoen), Adobe (152 miljoen) en eBay (145 miljoen) ook. Echter het astronomische aantal van 1,2 miljard wachtwoorden maakte de ‘Russische’ diefstal uitzonderlijk. De buit was zo groot, daardat de wachtwoorden niet voortkwamen uit een aanval op één enkele website; de criminelen hadden een omvangrijk botnet opgetuigd dat het hele internet afspeurde naar kwetsbare websites, 420 duizend in totaal.

Hoe onveilig is het systeem?

De belangrijkste les die hieruit getrokken kan worden, is dat de combinatie van een gebruikersnaam en een wachtwoord simpelweg geen goede bescherming biedt voor online accounts. Dat is problematisch, omdat het grootste deel van de websites geen enkele andere vorm van beveiliging biedt. Om de ernst van de situatie te schetsen: van de wachtwoorden die zijn bedacht door computergebruikers – zelfs de wachtwoorden die door systeembeheerders als veilig worden verondersteld – is 90 procent binnen enkele seconden te hacken.

Hoe komt dit?

Ondanks dat iedereen inmiddels vele accounts heeft, wil een gemiddelde gebruiker niet meer dan 3 tot 5 verschillende wachtwoorden onthouden. In de praktijk betekent dit dat een incidentele, gelekte combinatie van gebruikersnaam en wachtwoord door een hacker meteen te gebruiken is om bij een hele reeks andere websites in te breken.

Bovendien kiezen mensen een wachtwoord niet willekeurig; iedereen gebruikt trucjes, zoals ‘P@$$1234’. Hackers en hun software weten dit (door het analyseren van datasets met eerder gelekte wachtwoorden) en zoeken eerst slim naar de meest voor de hand liggende combinaties. Daarbij is de computerkracht die hackers tot hun beschikking hebben de laatste paar jaar dusdanig toegenomen dat de miljoenen combinaties razendsnel geprobeerd kunnen worden. Zodoende zijn digitale diensten die slechts beschermd zijn met een gebruikersnaam en wachtwoord simpel te kraken. Het gevolg: een mogelijke miljardenstrop, dalend vertrouwen van klanten in digitale transacties en een forse reputatieschade voor de betrokken bedrijven van dien.

Beveiligingsinnovatie is hard nodig

Software, smartphones en andere apparaten worden steeds fraaier en gemakkelijker te bedienen. Echter, de veiligheid lijkt daarbij van een ondergeschikt belang te zijn. Het tegenovergestelde is echter nodig: de beveiliging van persoonlijke informatie moet vanaf het prilste begin worden meegenomen in het ontwerp. Software moet secure by design zijn. Hier ligt een belangrijke opdracht voor bedrijven.

Verder is er dringend security-innovatie nodig. Biometrische toepassingen of met speciale tokens? Er is behoefte aan een snel, slim en gebruikersvriendelijk alternatief voor de ouderwetse gebruikersnaam en wachtwoord. Maar zelfs dan moet ieder zich bewust blijven van het feit dat vroeg of laat ook die oplossing gehackt wordt. Zo is cyber security in de toekomst een aanjager van de innovatie.

Wat kunnen we tot die tijd doen?

Het aantal buitgemaakte wachtwoorden bij de ‘Russische’ hack was ongekend groot, iedereen kan dus een keer aan de beurt zijn. Omdat het onthouden van verschillende wachtwoorden voor alle gebruikte diensten geen sinecure is, bestaan gelukkig zogenaamde password managers. Software die voor al je accounts verschillende sterke wachtwoorden kan aanmaken en opslaan. Op deze manier heb je altijd veilig toegang tot alle diensten en leidt een gelekt wachtwoord bij één dienst niet direct tot de mogelijkheid voor een aanvaller om hiermee in te loggen bij andere diensten. Uiteraard worden de wachtwoorden opgeslagen in een versleutelde database, waarvoor je wel nog één sterk en lang wachtwoord moet blijven onthouden.

 Ivo Noppen is junior manager Risk Services bij Deloitte. Wil je met hem van gedachten wisselen? Neem dan contact met hem op.