Beveiliging van Internet in Nederland was onvoldoende

AMSTERDAM, 28 OKT. NL-Net, een van de grootste Internet-toegangsaanbieders van Nederland, is tekortgeschoten in de beveiliging van de wachtwoorden van zijn abonnees. Hierdoor hebben onbevoegden meer dan honderd wachtwoorden kunnen bemachtigen, aldus het computerblad Modem Magazine deze week.

De redactie van het blad had kapen en kraken van de wachtwoorden bij wijze van test uitgevoerd, met medeweten van NL-Net. Inmiddels heeft de organisatie haar bestand beter beveiligd.

Wanneer een particuliere gebruiker verbinding wil maken met Internet, moet hij zijn gebruikersnaam en wachtwoord intikken. Als het wachtwoord klopt, wordt de gebruiker binnengelaten. Technisch gezien gaat dat als volgt: het ingetikte wachtwoord wordt door de computer van de toegangsaanbieder gecodeerd en dit gecodeerde wachtwoord wordt vergeleken met het eerder in een bestand opgeslagen gecodeerde wachtwoord. Als beide gecodeerde wachtwoorden hetzelfde zijn, zijn de wachtwoorden zelf dat dus ook, en mag de gebruiker naar binnen.

De redactie van Modem Magazine was er in geslaagd het hele wachtwoordenbestand van NL-Net te kopiëren. Dat klinkt erger dan het is. Een gecodeerd wachtwoord biedt op zich geen toegang tot Internet. Vervolgens is echter een speciaal programma op het wachtwoordenbestand losgelaten om de codes te kraken.

Pag.3: Post van 107 gebruikers lag open

Op Internet zijn verscheidene programma's voorhanden om deze codes te kraken. De meeste proberen gewoon een heleboel voor de hand liggende wachtwoorden, zoals alle woorden uit een woordenboek en duizenden eigennamen. In zes uur tijd wist het programma 107 van de ruim vijfduizend wachtwoorden te kraken. De privépost van die 107 gebruikers lag vanaf dat moment desgewenst voor de redactie open.

Het lijkt misschien vreemd dat iedereen zomaar aan het wachtwoordenbestand kan komen. Maar bij het besturingssysteem Unix - dat op veel Internetcomputers wordt gebruikt - is het noodzakelijk dat gebruikers leesbevoegdheid hebben in het wachtwoordenbestand. Anders kan de computer immers het gecodeerde geldige wachtwoord niet uit het bestand lezen om het te vergelijken met het - gecodeerde - ingetikte wachtwoord.

Inmiddels heeft NL-Net de situatie zodanig gewijzigd dat het wachtwoordenbestand voor gewone gebruikers 'onzichtbaar' is gemaakt, een beveiligingsmethode die wel vaker wordt toegepast, aldus Fred Blom van NL-Net. Daardoor is het vrijwel onmogelijk geworden om het hele bestand te kopiëren. Een goed wachtwoord, dat bijvoorbeeld zowel hoofdletters, als kleine letters, als cijfers en andere tekens bevat, is overigens heel moeilijk te kraken.