Naar inhoud springen

Veilig op het internet/Wachtwoorden

Uit Wikibooks

Veilig op het internet

Een wachtwoord of paswoord, (in computerjargon ook wel password (uit het Engels)), is een geheim woord dat aan degene die het kent, toegang verschaft tot een locatie of tot informatie. In de ICT is een wachtwoord of toegangscode een rijtje met letters, cijfers of andere tekens waarmee toegang tot informatie kan worden verkregen. Een wachtwoord is normaliter gekoppeld aan een gebruikersnaam, die identificeert wie of wat er toegang krijgt. De gebruikersnaam is openbaar - althans niet geheim - het wachtwoord is geheim. Het invoeren van gebruikersnaam en wachtwoord om toegang te krijgen wordt 'aanmelden' of 'inloggen' genoemd.

Wachtwoorden worden zowel lokaal als op internet gebruikt om gegevens af te schermen voor onbevoegden (bv. e-mail, sociale netwerksite, je eigen computer, internetbankieren,...). Dat kan zijn om redenen van privacy (anderen gaat het niets aan) en/of om misbruik te voorkomen (anderen kunnen je schade berokkenen). Kortom als je een wachtwoord gebruikt, doe je dat niet voor je lol en wil je dat de gegevens daadwerkelijk afgeschermd worden.

Voorbeelden van problemen

[bewerken]

Hieronder worden enkele situaties geschetst, die in het reële leven kunnen voorkomen. Onder het kader wordt steeds extra uitleg gegeven:

Voor het gemak gebruik ik als wachtwoord de initialen van voornaam-achternaam: makkelijk te onthouden en snel in te tikken.

  • Er zijn te weinig mogelijkheden, nl. slechts 26 * 26 = 26^2 = 676. Weliswaar veel om in te tikken door een mens, maar een hacker zal een programma schrijven dat alle mogelijke wachtwoorden genereert en uittest. Vervolgens laat hij een computer het 'domme' rekenwerk uitvoeren en 676 wachtwoorden kan hij héél, héél snel genereren. Deze techniek noemt met brute force, waarbij men eerst die wachtwoorden zal uitproberen, die de grootste kans op slagen hebben.[1] Ook voor een telefoon kan men dit principe gebruiken.[2]
  • Het is gemakkelijk te achterhalen wat je voornaam en achternaam is, waardoor het zelfs zonder computer snel te kraken is. Het overkwam het Brussels parlement. [3]

Daarnet belde me iemand op mijn bureau van de IT-dienst. Omwille van een probleem met de servers moest ik mijn login en wachtwoord geven, zodat ik snel terug kon verderwerken. Ik had net veel werk en heb het dan maar snel gegeven. Vriendelijke IT-gast trouwens! Heb zelfs niet eens gemerkt dat er een probleem met de servers was.

  • Dit zou kunnen een voorbeeld zijn van social engineering. Het is een techniek waarbij de computerkraker een aanval op computersystemen tracht te ondernemen door de zwakste schakel in de computerbeveiliging, namelijk de mens, te kraken. De aanval is erop gericht om vertrouwelijke of geheime informatie los te krijgen, waarmee de hacker dichter bij het aan te vallen object kan komen.[4]
  • Via e-mail kan je ook een vraag krijgen om je wachtwoord van bv. je bank te wijzigen, omwille van verbeterde beveiliging. Dit zou echter ook een hacker kunnen zijn. Men heeft het dan over phishing, zoals eerder besproken.

Mijn wachtwoord is !74ç£{}2@&@@.:,+=+zipAep en je kan het dus heel moeilijk achterhalen. Maar omdat ik het zelf niet kan onthouden, schrijf ik het op een post-it, dat ik onder mijn toetsenbord verberg. Misschien moet ik het in een bestand wachtwoord.txt op mijn bureaublad plaatsen, zodat ik het enkel moet kopiëren en plakken.

  • Dit is de digitale variant van de sleutel-onder-de-deurmat. Je wachtwoord zal veilig zijn voor iemand die jou probeert te hacken vanop afstand, maar voor iemand die toegang heeft tot jouw bureau maak je het wel heel gemakkelijk. Net omdat het zo lang is, bestaat bovendien het gevaar dat je het in een bestand wachtwoord.txt op je bureaublad zal plaatsen, om het te kopiëren en plakken. Voor een hacker-op-afstand ben je dan weeral niet veilig.

Voor mijn wachtwoord gebruik ik de naam van mijn hond. Toch iets wat je niet snel vergeet hé.

  • Denk eens goed na wie de naam van je hond zou kunnen weten... je zal verrast zijn hoeveel personen dat wel niet zijn. In onze Facebook-wereld staat ook énorm veel informatie over onszelf open en bloot te lezen door je honderden vrienden. Andere vaak voorkomende, maar makkelijk te kraken wachtwoorden zijn naam van familieleden, huisdieren, geboortedatum,...
  • Let ook op bij het gebruik van de geheime vraag: je wachtwoord mag dan nog bijzonder complex zijn, als je geheime vraag eenvoudig te beantwoorden is, dan is ook je (complex) wachtwoord niet veilig. Zo was de geheime vraag van Sarah Palin Waar ontmoette je je echtgenoot?, wat na enig onderzoek op het internet blijkbaar beantwoord kon worden[5].

Voor mijn wachtwoord gebruik ik piëzoëlektrisch... wie zal dat nu raden.

  • Wat door hackers ook vaak wordt gebruikt is een woordenlijstaanval (en: dictionary attack). Men zal dan niet zoals bij een brute force techniek álle mogelijke combinaties van wachtwoorden gebruiken, maar wel een samengestelde (en daardoor beperkte) lijst van mogelijkheden. Dit hoeft niet noodzakelijk een gewoon woordenboek te zijn, maar dit kan ook de Bijbel zijn, de Koran, een lijst van merken,...

Ik heb mijn eigen systeem bedacht om een complex wachtwoord te maken en ben daar heel tevreden over. Ik ben er zelfs zodanig tevreden over, dat ik hetzelfde wachtwoord gebruik voor álles.

  • Een systeem is maar zo sterk als de zwakste schakel. Als het een hacker lukt om je e-mailwachtwoord te achterhalen, dan zal hij het zeker niet nalaten om ook dat wachtwoord uit te testen bij andere e-mailaccounts in jouw bezit, je Facebook, je bank, enkele websites,...[6] Het achterhalen van één wachtwoord kan behoorlijk eenvoudig zijn, omdat sommige programma's wachtwoorden bewaren op je computer (bv. je browser). Als je eventjes je werkplek verlaat, kan iemand anders dit achterhalen. Maak er een gewoonte van om je computer elke keer te vergrendelen wanneer je er even niet bent. Onder Windows kan dit eenvoudig met Windows+L.
  • Wat je dan natuurlijk ook niet doet, is voor álles een ander wachtwoord verzinnen, om dan vervolgens een tekstbestand wachtwoorden.txt op je bureaublad te plaatsen, met daarin website, login en wachtwoord!

Het gevoel afgesneden te zijn van de rest van de wereld vind ik maar beangstigd. Gelukkig was er op reis een cybercafé in de buurt: dagelijks kon ik mijn Facebook en e-mail bekijken. Super!

  • Als je een publieke computer gebruikt - bv. op vakantie - dan ben je niet zeker welke programma's op de achtergrond draaien. Een keylogger houdt misschien al je wachtwoorden bij. Na gebruik van de publieke computer ga je best achteraf op een veilige computer je wachtwoord wijzigen. Er wordt alvast gezocht naar veiliger methoden bij gebruik van een publieke computer.[7]
  • Naast een keylogger kan het ook zijn dat je netwerkverkeer wordt afgetapt. De meeste webpagina's worden verstuurd over een gewone http-verbinding, bv. http://nl.wikibooks.org. Iemand die erin slaagt om je netwerkverkeer af te luisteren kan dan gewoon meevolgen welke je allemaal verstuurd en ontvangt. Dus ook je login en wachtwoord kan hij zien passeren. Dat kan natuurlijk niet de bedoeling zijn, waardoor men https heeft ontwikkeld. Hier wordt een wachtwoord eerst geëncrypteerd (de s in https staat dan ook voor secure) en dán pas verstuurd. Diegene die afluistert kan het geëncrypteerde wachtwoord wel onderscheppen, maar hij heeft geen mogelijkheid om het terug om te zetten naar de gewone vorm. Enkele de ontvangende webserver kan deze omgekeerde bewerking nog uitvoeren. Je herkent https vaak in de adresbalk van de browser. Bovendien zal de browser dit visueel vaak nog benadrukken, zoals je hieronder kan zien.

hoi

jullie kregen misschien de voorbije weken af en toe een spam-bericht van mij omdat mijn hotmail vanzelf mails rondstuurt naar mijn contactpersonen. iets ivm msnfoto's ofzo. ik weet er niets van, daarom heb ik mijn hotmailadres nu afgesloten- ik zal het niet meer openen - en zou jullie willen vragen alle berichten vanaf nu naar mijn ander e-mailadres te sturen.

herzlichen Dank! Anne

  • Bovenstaande is een voorbeeld uit-het-leven-gegrepen. In dit bericht gebruikt de hacker het feit dat als je een e-mail krijgt van iemand die je kent, je dit als betrouwbaarder zal beschouwen, dan van iemand die je niet kent. De vraag is hoe hij dit zomaar kan doen? Er kunnen hiervoor meerdere oorzaken zijn en gezien dit onderdeel focust op wachtwoorden:
    • Haar wachtwoord is gekraakt en/of ze had een eenvoudig te beantwoorden geheime vraag. In dit geval zou het terug wijzigen van wachtwoord/geheime vraag het moeten oplossen.
    • Misschien heeft Anne ooit op een publieke computer haar Hotmail gecontroleerd en werd haar netwerkverkeer afgeluisterd of was er een keylogger geïnstalleerd. In dit geval zou het terug wijzigen van wachtwoord/geheime vraag het moeten oplossen, wat natuurlijk moet gebeuren op een veilige (private?) computer.
    • Misschien is de keylogger op haar eigen pc geïnstalleerd, waardoor het gebruiken van een ander e-mailadres niet noodzakelijk het probleem oplost, maar het gewoon verplaatst. Anne zou best eens kijken of ze een virusscanner heeft en of deze up-to-date is. Bij twijfel wordt deze pc best binnengebracht in de pc-winkel.
  • Merk op dat er een verschil is tussen een hotmailadres niet meer gebruiken t.o.v. het effectief afsluiten. In het eerste geval kan jíj het dan wel niet meer gebruiken, maar de hacker zal daar niet om malen: die kan blijven spam versturen naar jouw contactpersonen. Als je het effectief afsluit [8] kan de hacker het misschien deblokkeren (vooral als je wachtwoord nog hetzelfde is). Na een tijdje zal je account ook terug beschikbaar komen, waardoor de hacker een account in jouw naam kan registreren. Tenslotte kan een hacker ook jouw gegevens gebruiken om een account aan te maken op een andere mailserver, om vervolgens mails te versturen naar jouw contactpersonen.

Hoe worden wachtwoorden achterhaald?

[bewerken]

In het voorgaande stukje werden enkele manieren aangehaald voor het achterhalen van een wachtwoord. Een opsomming:

  • Raden
  • Het gebruik van een woordenlijst
  • Keylogger
  • Afluisteren van het netwerkverkeer
  • Het genereren van alle mogelijke wachtwoorden[9]
  • Social engineering

Een mooie illustratie van enkele onderwerpen uit bovenstaande opsomming werd gegeven in het onderzoeksprogramma Basta op de Vlaamse zender Eén [10]. Kan je ze herkennen?

Eisen en richtlijnen

[bewerken]

Belangrijk is dan dat je wachtwoord voldoet aan een aantal eisen:

  1. het wachtwoord moet geheim zijn en blijven.
  2. het wachtwoord mag niet gemakkelijk te raden zijn (maar toch gemakkelijk te onthouden).
  3. het wachtwoord moet voldoen aan de eisen van het systeem (veel systemen eisen bijvoorbeeld een wachtwoord van minstens 5 karakters).

Deze eisen worden vervolgens uitgewerkt met enkele richtlijnen, die je helpen om die eis te bekomen. Een wachtwoord (bijvoorbeeld: fk83PS%$), dat aan dergelijke richtlijnen voldoet, wordt een sterk wachtwoord genoemd.

Het wachtwoord moet geheim zijn én blijven

[bewerken]
  1. het wachtwoord moet liefst elke 3 maanden compleet gewijzigd worden.
  2. het wachtwoord moet liefst onderling verschillend zijn, wanneer je op meerdere plaatsen een wachtwoord nodig hebt.
  3. geef nooit je wachtwoord door, zelfs als het lijkt alsof je bank het jouw vraagt. Banken vragen immers geen logingegevens via e-mail, dus in zo'n geval heb je hoogst waarschijnlijk te maken met phishing.
  4. schrijf je wachtwoord niet op, bv. in agenda, op post-it,... een goed wachtwoord onthou je en schrijf je nergens op.
  5. bezint eer je begint als je een publieke computer gebruikt. Er kan een keylogger geïnstalleerd zijn die wachtwoord tracht te achterhalen.
  6. een hacker zal bekijken als je wachtwoorden niet ergens zijn opgeslagen op de pc. Een tekstbestand met passwords.txt zal deze hacker dan ook bijzonder interesseren.
  7. Let op met het gebruik van de geheime vraag om je wachtwoord terug te halen mocht je het zijn vergeten. Soms heb je een zodanig eenvoudige vraag gekozen dat anderen het antwoord ervan weten of het kunnen terugvinden op Google. Beter is het om een alternatief e-mailadres te gebruiken, bijvoorbeeld dat van je ouders of je echtgenoot.

Het wachtwoord mag niet gemakkelijk te raden zijn (maar toch gemakkelijk te onthouden)

[bewerken]
  1. het wachtwoord bevat geen gemakkelijk te raden wachtwoorden zoals je eigen voornaam, je loginnaam, woorden uit een woordenboek,...
  2. het wachtwoord moet voldoende lang zijn, liefst minimaal 8 karakters.
  3. het wachtwoord moet voldoende complex zijn, liefst 2 kleine letters [a-z], 2 cijfers [0-9], 2 hoofdletters [A-Z] en 2 andere tekens bevatten (~ ! @ # $ % ^ & * ( ) _ + - = { } | [ ] \ : “ ‘ ; < > ? , . / enz.). Ook speciale letters behoren tot de mogelijkheden (é è à ç µ £ enz.)

Het wachtwoord moet voldoen aan de eisen van het systeem

[bewerken]

Veel systemen eisen bijvoorbeeld een wachtwoord van minstens 5 karakters.

  1. benut deze eisen zo ruim als mogelijk. Als je bv. enkel letters mag gebruiken, gebruik dan een mix van grote en kleine letters.

Hoe zorg je voor een sterk wachtwoord dat je kan onthouden?

[bewerken]

Het is steeds een afweging tussen enerzijds een sterk wachtwoord, waardoor een ander het niet snel kan raden en anderzijds een wachtwoord dat je zelf makkelijk kan onthouden. Uit onderzoek van Joseph Bonneau, een it-wetenschapper die is verbonden aan de universiteit van Cambridge, blijkt dat een gebruiker gemiddeld een wachtwoord kiest met een 10bit-veiligheidsniveau. Gemiddeld zou een dergelijk wachtwoord na slechts duizend pogingen zijn te achterhalen[11]. Twee vaak voorkomende hulpmiddelen om sterke, maar makkelijk te onthouden wachtwoorden te maken, worden hieronder besproken.

Zin als basis

[bewerken]

Een mogelijke hulp kan het volgende zijn:

  • Begin met het zoeken van een voldoende lange zin die je makkelijk kan onthouden, bv. "11 kippen leggen elk 17 eieren".
  • Neem van elk woord de eerste letter (of de eerste twee letters). De zin "11 kippen leggen elk 17 eieren" levert zo het wachtwoord 11kle17e (of 11kileel17ei).
  • Voeg complexiteit toe door het toevoegen van een paar tekens, zodat echt niemand het kan raden. Je kunt bijvoorbeeld een uitroepteken (!) achter je woord zetten (om het woord lekker hardop in je hoofd te kunnen roepen) of een hekje (#) voor je cijfer (als jouw geheime code voor het nummer). Bv. 1#1kle1#7e!
  • Spreek met jezelf af dat je bepaalde karakters vervangt door andere tekens. Bijvoorbeeld: vervang de k door een @ en de tweede e door een 3. Het hierboven gemaakte wachtwoord wordt dan 1#1@le1#73!, een supersterk, maar relatief eenvoudig te onthouden wachtwoord.

Om nog eens de complexiteit van het wachtwoord te bekijken. Stel dus dat we weten dat een wachtwoord bestaat uit elf karakters, en ieder karakter kan een hoofdletter (26 mogelijkheden), een kleine letter (26 mogelijkheden), een cijfer (10 mogelijkheden) of een symbool (31 mogelijkheden) zijn, dan zijn er per positie 93 mogelijke karakters. Om alle mogelijke wachtwoorden te genereren, moeten er 93 tot de 11e mogelijkheden gegenereerd worden, oftewel ongeveer 4501035457000000000000, dus ongeveer 4,5 triljard!!! Als een computer er één per seconde kan uitproberen (wat optimistisch is), heeft de computer er 142726898000000 of 142,7 biljoen jaar voor nodig. Tegen dan heb je je wachtwoord toch al lang veranderd?

Combinatie van willekeurige woorden

[bewerken]

Het nadeel van de manier met een zin als basis wordt geïllustreerd in deze xkcd-cartoon. Wanneer we enkele karakters vervangen door tekens, dan kan het zijn dat we vergeten welke karakters we weeral vervangen hadden. Bovendien typt het wachtwoord niet al te snel, net door het gebruik van de speciale tekens.

Een combinatie van enkele willekeurige woorden die "in het echte leven" eigenlijk niets met elkaar te maken hebben, maar die wel gemakkelijk te onthouden zijn kan dan efficiënter zijn. Vooral als je het wachtwoord langer maakt, dan dat je zou doen met de vorige methode, waar we elf karakters hadden gebruikt. Wat dacht je van wikipediahaaivinmotormuts? Hoe gekker, hoe beter.

Laten we ook hier de complexiteit van het wachtwoord bekijken. Dit wordt 26^25 = 236773830000000000000000000000000000 = 236773830000000 triljard mogelijkheden!!

Voor de IT-beheerder

[bewerken]

Dit boek 'veilig op het internet' is vooral bedoeld voor de eindgebruiker, maar toch moet ook gewezen worden op de verantwoordelijkheid van de IT-beheerder:

  • Betreffende een beheerder die zelf een login-wachtwoordcombinatie aanmaakt:
    • Zorg dat dit niet zodanig eenvoudig is (bv. loginGeboortejaar) dat een hacker heel eenvoudig álle accounts kan hacken.
    • Zorg er ook niet voor dat het een zodanig complex wachtwoord is, dat de eindgebruiker dat ergens post-it gewijs noteert.
    • Vaak wordt de login en wachtwoord via e-mail of op papier kenbaar gemaakt. Vele gebruikers zullen dit wachtwoord misschien niet wijzigen en het papier bijhouden (wat door anderen kan worden ingekeken of wat de gebruiker kan verliezen). Verplicht hen om bij het eerste inloggen hun wachtwoord te wijzigen, waarbij je hen tips heeft rond hoe ze een complex wachtwoord kunnen maken, dat ze toch gemakkelijk kunnen onthouden (cfr. hoger). Die tekst hou je best kort en krachtig, of ze zullen het niet lezen.
  • Betreffende het aanmaken of wijzigen van een wachtwoord:
    • Laat niet toe dat gebruikers een te kort wachtwoord kiezen.
    • Laat niet toe dat gebruikers een eenvoudig wachtwoord kiezen, dat bv. enkel uit letters bestaat.
    • Laat niet toe dat gebruikers een wachtwoord kiezen waarin bv. hun naam, geboortedatum of loginnaam voorkomt.
  • Betreffende het hacken moeilijk te maken:
    • Een persoon (en dus ook een eventuele hacker) kan slechts drie keer proberen in te loggen, daarna wordt een account geblokkeerd. Om het te deblokkeren moet de persoon de beheerder contacteren.
    • Als het de eerste twee keer niet lukt om in te loggen, moet de gebruiker 30 seconden wachten, voordat hij opnieuw kan proberen. Bij de vierde keer wordt het 1 minuut,... Dit zorgt ervoor dat de hacker (of zijn computerprogramma) niet snel wachtwoorden kan uittesten.

Let op! Teveel wachtwoordeisen kunnen de wachtwoorden echter ook zwakker maken[12].

Nog een tip voor beheerders die zelf een login-wachtwoordcombinatie maken: bij sommige lettertypes is het verschil tussen het cijfer 0 en de letter O niet altijd even duidelijk, zo ook met de kleine letter l, de grote letter I en het cijfer 1. Bekijk dus goed het lettertype dat je eventueel gebruikt in je brief naar de eindgebruiker toe.

[bewerken]
Wikipedia
Wikipedia heeft een encyclopedisch artikel over Wachtwoord


  1. ZDNet.be: De slechtste wachtwoorden van 2011
  2. ZDNet.be: De tien meest gekozen iPhone-wachtwoorden
  3. Tweakers.NET: Wachtwoorden Brussels parlement waren makkelijk te raden
  4. Uitgeled voorbeeld van social engineering op Tweakers.net: Ook Amazon faalde bij social engineering-aanval
  5. ZDNet.be: Student verdacht van hacken e-mail Sarah Palin
  6. Tweakers.net: Kwaadwillenden kraken wachtwoorden 93.000 PSN-accounts
  7. Tweakers.NET: Google laat gebruikers inloggen zonder wachtwoord in te typen
  8. Afsluiten van een Hotmailaccount
  9. Achtergrondinformatie over het kraken van informatie kan je oa. nalezen in het Tweakers.net-artikel Forumgebruikers kraken oude wachtwoorden van Unix-grondleggers
  10. Eén - Basta - wachtwoord, alstublieft?
  11. Tweakers.net: 'Wachtwoorden van 55+'ers dubbel zo veilig als die van jongeren'
  12. Knudde.be: Password checkers
Informatie afkomstig van https://nl.wikibooks.org Wikibooks NL.
Wikibooks NL is onderdeel van de wikimediafoundation.