Het kan iedereen overkomen; hoezeer we onszelf er ook van proberen te overtuigen dat niemand in staat zal zijn onze wachtwoorden te raden, professionele hackers kunnen ze in luttele seconden ontcijferen. Zelfs als je een sterk wachtwoord hebt, moet je het om de paar maanden veranderen. Op die manier kan je, zelfs als je wachtwoorden uitlekken, een hoop ellende voorkomen.
Helaas is het in de praktijk, vooral voor niet-technisch onderlegde mensen, steeds ingewikkelder geworden om zich te wapenen tegen cyberdreiging. Het gebrek aan kennis en bewustzijn maakt ons kwetsbaar. De gedachte; “ik heb niets te verbergen” is ouderwets, een gestolen identiteit kan ernstige gevolgen hebben, ook voor je omgeving, zoals je gezin of je werkgever.
Gemakzucht maakt wachtwoorden kwetsbaar
Uit onderzoek blijkt dat 52% een wachtwoord opnieuw gebruikt. Hergebruik vergroot onze kwetsbaarheid, gegevens die door hackers zijn verzameld worden verspreid en gebruikt bij hacks op andere diensten.
Hergebruik van wachtwoorden is een gevolg van het feit dat we in ons digitale leven te veel wachtwoorden moeten beheren. Het komt vaak voor dat iemand een wachtwoord opnieuw gebruikt zodra er één is bedacht die de complexiteitstest van een wachtwoordsterktemeter doorstaat. Aan basiswoorden wordt complexiteit toegevoegd in voorspelbare patronen, zoals het plaatsen van een hoofdletter aan het begin en cijfers aan het eind van het wachtwoord. We kiezen vaak voor standaard patronen. Onderzoek laat de verontrustende cijfers zien;
- 13% gebruikt hetzelfde wachtwoord voor meerdere accounts
- 93% van de wachtwoorden die bij cyber-aanvallen worden gebruikt, bevat 8 of meer tekens. Bij 41% is dat 12 tekens
- Van professionele organisaties heeft 54% geen tool om wachtwoorden te beheren
- 48% van de ondervraagde organisaties beschikt niet over gebruikersverificatie voor telefoontjes naar de IT-servicedesk
Bron: Google Online Security Survey
Een gebrek aan moderne technologie in combinatie met menselijk falen
Hoe het mis kan gaan bewijst de case van EA Games in 2021. EA-games is een belangrijke speler in de game industrie. Een groep hackers wist toegang te krijgen tot interne systemen en gegevens te stelen van EA, onder meer door een werknemer via Slack te misleiden om een inlogtoken te verstrekken.
Het proces begon met het kopen van gestolen cookies die online voor $10 werden verkocht. Die werden gebruikt om toegang te krijgen tot een Slack-kanaal dat door EA werd gebruikt. Omdat EA Games geen software had om eindgebruikers te verifiëren, slaagden de hackers erin de servicedesk te misleiden. Toen ze eenmaal toegang hadden, stalen de hackers de broncode. De hackers beweren in totaal 780 GB aan gegevens te hebben, en bieden deze te koop aan op verschillende forums. De gevolgen kunnen voor een organisatie als EA verwoestend zijn.
Een toekomst zonder wachtwoorden
Het wachtwoord is oude technologie die veel zwakheden bevat. Het is dan ook begrijpelijk dat de tech-industrie een wachtwoordloze toekomst voorspelt. Het vervangen van wachtwoorden is mogelijk, maar een wereld zonder wachtwoorden is nog ver weg. Multi-factor authenticatiediensten vertrouwen nog op wachtwoorden als eerste factor, of als failsafe wanneer het misgaat. Deze authenticatiediensten hebben al bewezen kwetsbaar te zijn voor aanvallen, zoals de SIM-swapaanval of de MFA-exploit die authenticatietokens naar cybercriminelen stuurt.
Hoe ga je er professioneel mee om?
Iedere organisatie die vertrouwt op wachtwoorden, nu en in de toekomst, zou de volgende regels moeten volgen:
- Voer regelmatig een wachtwoord-audit uit om inzicht te krijgen in kwetsbaarheden
- Dwing het aanmaken van sterkere wachtwoorden af
- Maak het veranderen van wachtwoorden verplicht
- Detecteer en blokkeer het hergebruik van wachtwoorden
- Zorg voor verificatie bij communicatie tussen medewerkers
- Combineer het gebruik van een wachtwoord altijd met een tweede authenticatie methode (MFA)
Het belangrijkste is echter voorlichting, zorg dat medewerkers beter begrijpen wat een slecht wachtwoord is. Een stuk bewustwording van wat er allemaal mis kan gaan zal ook zeker helpen. Zorg als laatste dat collega’s toegang hebben tot een passwordmanager en weten hoe ze ermee moeten werken.
Wil je graag meer weten over security en informatiebeveiliging neem dan contact op met Innvolve. We delen graag onze kennis over dit onderwerp. Lees ook zeker de tips van Microsoft.
Wereld wachtwoord dag (World Password Day)
Intel heeft World Password Day in het leven geroepen – de eerste donderdag van mei (5 mei 2022) – om de kritieke behoefte aan solide wachtwoorden aan de orde te stellen. Het doel is simpel, World Password Day maakt mensen bewust van het belang van sterke wachtwoorden en waarom wachtwoorden eens in de paar weken moeten veranderen.
Meer innformatie?
Wil je meer weten over Wachtwoorden, waar moeten IT-managers nu op sturen?, neem dan contact met ons op.