5 redenen om te kappen met wachtwoorden

5 redenen om te kappen met wachtwoorden

DearBytesBlog5 redenen om te kappen met wachtwoorden

donderdag 23 november 2017

WachtwoordenOp vrijdag 24 november is het weer Nationale Check Je Wachtwoorden Dag. Een prima initiatief, maar tegelijkertijd is het een kansloze missie. Het gebruik van wachtwoorden is namelijk een kwetsbaar en achterhaald beveiligingssysteem. In dit blog lees je waarom.

Wachtwoorden stammen letterlijk uit de oudheid. Ze werden al door het Romeinse leger ingezet om vrienden van vijanden te onderscheiden. Ook in de tijd van Shakespeare was het wachtwoord een gangbare identificatiemethode. Zo begint het toneelstuk Hamlet met soldaat Bernardo die ‘Long live the King’ zegt om te bewijzen dat hij trouw is aan de Deense koning.

Fast forward naar 2017. Het Romeinse rijk bestaat niet meer en Shakespeare is dood, maar wachtwoorden beleven juist hun glorietijd. Smartphones, laptops, social media, e-maildiensten, apps en websites: zo’n beetje al onze technologie is beveiligd met een wachtwoord. Dan moet het wel een geweldig beveiligingssysteem zijn, toch?

Het antwoord op deze vraag is helaas een overtuigende nee.

Vijf redenen waarom de wereld beter af zou zijn zonder wachtwoorden:

1. Zwakke wachtwoorden
SplashData stelt elk jaar een lijst met de 25 zwakste wachtwoorden op. Daarin staan steevast toppers als ‘123456’, ‘password’, ‘qwerty’ en ‘login’. Naar schatting 10 procent van de mensen gebruikt één of meer wachtwoorden uit de top 25. Voor hackers is het een koud kunstje om dit soort wachtwoorden te raden. Ze laten er gewoon code op los die alle veelgebruikte wachtwoorden uitprobeert, een zogeheten bruteforce-aanval.

Onderzoek van Verizon wees uit dat 63 procent van de bevestigde datalekken in 2016 te herleiden was naar zwakke of gestolen wachtwoorden. Zijn wachtzinnen dan de oplossing? Niet echt: veel mensen kiezen dan alsnog voor zinnen die makkelijk te onthouden zijn.

2. Hergebruik van wachtwoorden
IT-afdelingen kunnen het gebruik van sterke wachtwoorden afdwingen, maar dat biedt nog geen garanties. Uit onderzoek van LastPass blijkt dat 61 procent van de werknemers wachtwoorden hergebruikt. Dat terwijl 91 procent van de werknemers heus wel weet dat dit gevaarlijk is. Want als zo’n wachtwoord één keer uitlekt, ben je meteen op meerdere fronten kwetsbaar.

Wachtwoordmanagers, applicaties die sterke wachtwoorden genereren en ze veilig opslaan, kennen een vergelijkbaar manco. Je kiest dan een masterwachtwoord en als dat in verkeerde handen valt, liggen al je wachtwoorden voor het oprapen. Bovendien moet je ze toevertrouwen aan een derde partij, die ook zomaar gehackt kan worden.

3. Hackers azen op wachtwoorden
Wachtwoorden zijn een begeerde buit voor criminele hackers. De afgelopen jaren werden bij grote bedrijven als eBay, Adobe en JP Morgan Chase miljoenen inloggegevens ontvreemd. Vaak gaat het dan om een database van ‘gehashte’ wachtwoorden, wat betekent dat ze door een algoritme onleesbaar zijn gemaakt. In de theorie blijft de schade dan redelijk beperkt.

Helaas is de praktijk wat minder rooskleurig. Het komt regelmatig voor dat websites hierbij niet zorgvuldig te werk gaan, waardoor het alsnog makkelijk is om hashes om te zetten naar wachtwoorden. Of hashing wordt zelfs helemaal achterwege gelaten.

4. Perfect voor phishing
Er is nog een goede reden waarom cybercriminelen gek zijn op beveiliging met wachtwoorden. Met gerichte phishingaanvallen, ook wel spear phishing genoemd, is het namelijk vrij simpel om inloggegevens te ontfutselen. Het maakt dan niet uit hoe sterk een wachtwoord is. En het kan de beste overkomen: even niet opletten en je bent de pineut.

Een bekend slachtoffer van spear phishing is John Podesta, de campagneleider van Hillary Clinton. Podesta voerde zijn gegevens in op een nagemaakte Google-loginpagina. Hierdoor kregen hackers toegang tot zijn Gmail en een schat aan gevoelige informatie. Een paar maanden later stonden duizenden mails van Podesta op WikiLeaks.

5. Er zijn betere alternatieven
Wachtwoorden worden al sinds de jaren 60 gebruikt om computersystemen te beveiligen. Vroeger waren er geen goede alternatieven, maar nu wel. Denk bijvoorbeeld aan biometrische beveiligingsmethoden als vingerafdruk- en irisscanners. Deze bieden veel meer zekerheid over de identiteit van de persoon die inlogt. Biometrische kenmerken zijn namelijk moeilijker op grote schaal te stelen en vervalsen.

Check je wachtwoorden

Net als elk ander systeem kent ook biometrische beveiliging zwakke plekken. Toch kan dit wel een onderdeel zijn van twee- of multifactorauthenticatie. Juist de combinatie tussen ‘iets dat je weet’ en ‘iets dat je bent’ of ‘iets dat je hebt’ (zoals een sms-code of een smartcard) maakt een inlogsysteem veilig.

Wachtwoorden zullen voorlopig niet verdwijnen. Een goede wachtwoordhygiëne blijft belangrijk. Check op 24 november dus vooral je wachtwoorden, maar maak je geen illusies. Zelfs de meest unieke wachtzin kan in verkeerde handen terechtkomen. Kies waar mogelijk voor een inlogmethode die uit meerdere stappen bestaat. Dan maak je het cybercriminelen een stuk lastiger.


Hoe voorkom je dat jouw wachtwoorden in handen komen van hackers door middel van spear phishing? 
Veilig omgaan met e-mail en wachtwoorden
| Download onze tips