De ‘gewone’ burger zet steeds meer gegevens op het internet en daardoor wordt hij voor de cybercrimineel steeds toegankelijker. Er valt steeds meer te halen voor criminelen. Het gevolg: bijna iedere week komen grote organisaties die gehackt zijn in het nieuws. Denk hierbij aan: Twitter, LinkedIn, Adobe, Sony, Dropbox en meer. De kleinere organisaties die slachtoffer zijn, worden niet eens genoemd. Klein of groot, voor alle organisaties kunnen de gevolgen aanzienlijk zijn, zowel op het vlak van imago als op financieel gebied.
Waar echter niet bij stil wordt gestaan, is dat een hack ook aanzienlijke gevolgen heeft voor de gebruikers. Verschillende identificerende gegevens, inclusief de hashes van wachtwoorden komen letterlijk op straat te liggen.
Je bent zelf vaak degene die jouw wachtwoord over het internet heeft verspreid
Op de vraag of jouw wachtwoord nog een geheim is, denk je misschien: Ik ben toch de enige die mijn wachtwoord weet. Helaas blijkt het tegendeel waar. Sterker nog, je bent zelf vaak degene die jouw wachtwoord over het internet heeft verspreid. Dit uiteraard enkel met goede intenties. We vertrouwen namelijk vele partijen onze wachtwoorden toe.
>> LEES OOK: Bescherm jezelf tegen ransomware: 7 tips
De buit van een hack
Tijdens een hack wordt er in de meeste gevallen een database buitgemaakt. Een database kan gezien worden als een grote Excel-sheet die bestaat uit rijen en kolommen met daarin artikelen maar ook gegevens van de gebruikers.
De meeste websites slaan een username (vaak een e-mailadres) in leesbare tekst op. Het wachtwoord wordt niet in leesbare tekst opgeslagen. Over een wachtwoord wordt een zogenaamde hash berekend. Een hash is een soort vingerafdruk van een wachtwoord en bestaat uit een lange reeks nietszeggende tekens. Deze reeks slaat de website wel op. Een hash terugvertalen naar een woord is niet mogelijk. Wat een hacker wél kan doen is een grote hoeveelheid woorden hashen en dan kijken of een hash overeenkomt met de hash uit de gehackte database. Dergelijke lijsten met hashes noemen we rainbow tables.
Een tijdrovend en ingewikkeld proces zal je denken. Dan loop ik niet zoveel risico. Niets is minder waar. Om het hackers gemakkelijk te maken, zijn er websites zoals Crackstation. Hier kan een hash uit een gehackte database in geplaatst worden. Wanneer de hash door de rainbow tables van Crackstation wordt herkend, geeft de website het bijbehorende wachtwoord terug.
Gehackte databases online beschikbaar
Met een username/wachtwoord combinatie in het bezit, is verder weinig tot geen digitale kennis nodig om een account te hacken. Naast de hierboven omschreven methodes, zijn er ook andere manieren om aan deze gegevens te komen. Zo is de Twitter database met daarin de 32 miljoen buitgemaakte Twitter accounts online te koop voor slechts 19 dollar. Daarnaast zwerven er duizenden username/wachtwoord combinaties gewoon online rond en zijn vindbaar met Google.
Voorkom dat je slachtoffer wordt
Om te voorkomen dat je slachtoffer wordt van een gehackt account geef ik je enkele tips:
- Doe regelmatig een onderzoek naar jezelf via Google. Zet daarbij jouw username (vaak je mailadres) tussen haakjes. Bijvoorbeeld: “voornaam.achternaam@dataexpert.nl”.
- Een geweldig initiatief is de website haveibeenpwned.com. Daar kan je bekijken of je in een gehackte database voorkomt.
- Maak een sterk wachtwoord. Een sterk wachtwoord is een lang wachtwoord dat bestaat uit verschillende tekens. Bijvoorbeeld: IkwerkbijDataExpertsinds2016! Zelfs wanneer de hash van dit wachtwoord in een database zit, is de kans nihil dat de rainbow tables deze hash kennen. Op deze manier blijft jouw wachtwoord (voorlopig) geheim.
- Maak gebruik van Twee Factor Authenticatie. Dit is een derde wachtwoord dat je kunt ontvangen op bijvoorbeeld je telefoon en die telkens wijzigt.
- Maak gebruik van een wachtwoordmanager, zoals Lastpass of Keepass. Deze wachtwoordmanagers genereren lange, nietszeggende wachtwoorden en kunnen jouw leven een stuk eenvoudiger maken.
Sjoerd van der Meulen, Cyber Security Specialist bij DataExpert