Wachtwoorden, het blijft maar moeilijk. Ondanks alle wijze adviezen maken gebruikers én beheerders nog altijd fouten, basisfouten. Hier vijf stuks, afgelopen week nog voorgekomen.
Hacks, inbraken en accountkapingen zijn te voorkomen – of in ieder geval te beperken. Door bijvoorbeeld krachtige wachtwoorden te nemen, en die geregeld te wijzigen. Maar ook door deze vijf basisfails te vermijden. Leer van de fouten van een ander!
Briefje aan de monitor
Ja, dit gebeurt anno 2011 nog altijd. Misschien zelfs wel doordat wachtwoorden krachtig moeten zijn en dus moeilijk te onthouden. Dus opschrijven of printen op een briefje en dat aan je monitor hangen. Maar dat doen dan toch alleen domme eindgebruikers die geen besef hebben van beveiliging of veiligheid? Niet mensen bij de politie, zoals bijvoorbeeld woordvoerders. Toch? Helaas, toch wel.
Maar gelukkig was dit "uiteraard niet een password van onze gevoelige politiesystemen(die plak je natuurlijk niet op je computer)", aldus de lekkende politiewoordvoerder in een latere tweet. Die corrigerende verklaring is getweet nadat er aan Nu.nl is gemeld dat het onthulde wachtwoord is gewijzigd en nadat zowel de foto als de oorspronkelijke 'lektweet' offline zijn gehaald. "Was niet slim om media om het verkeerde been te zetten in deze komkommertijd. Bericht verwijderd om de canard te stoppen", aldus de verklaringstweet daarna.
Je collega's vertrouwen
Maar eigenlijk moet je dat ook niet doen. Het zijn je collega's die een foto kunnen nemen, en die gelijk tweeten. Of het is je ontevreden, vertrekkende of bijna-ontslagen collega die je wachtwoord noteert. En dat risico is niet weggenomen als je de eerste van deze vijf basisfails vermijdt. Vaak weten collega's elkaars wachtwoord, om bijvoorbeeld even een document te kunnen oproepen, om het te bewerken of door te mailen.
Het systeem vertrouwen
Niet om nou helemaal paranoia te zaaien, maar eigenlijk moet je naast je collega's ook de eigenlijke site of dienst waarop je inlogt wantrouwen. Want wat als die nou gehackt wordt doordat het verouderde software draait. Of doordat het een foute configuratie-instelling heeft? Of nog fraaier: door een eigen fout wachtwoorden lekt? Hoe complex en veilig jouw eigen wachtwoord ook is, het ligt dan wel op straat.
Het vertrouwen in zo'n aanbieder kan nog verder beschaamd worden, bijvoorbeeld door een enigszins laconieke reactie op een cyberinbraak. Zoals de mededeling dat de hack niet zo serieus is omdat "de wachtwoorden immers gecodeerd zijn", wat de Nederlandse Politiebond – op basis van uitspraken van de eigen technici – liet weten aan Webwereld. Alleen bleek die codering zwak te zijn: met één druk op de knop waren de eenvoudige exemplaren onder de geopenbaarde wachtwoorden in enkele seconden gekraakt.
Vervolgens heeft een tweede anonieme tipgever aan Webwereld laten weten dat hij zonder enige moeite 614 van de 773 wachtwoorden in de gelekte database heeft weten te kraken. Deze tipgever, die geen lid is van Anonymous en ook geen hacker genoemd wil worden, heeft de gegevens online geplaatst. In afwachting van een oplossing voor het probleem heeft de Nederlandse Politiebond inmiddels haar hele website offline gehaald.
Advies voor beheerders tegen deze basisfail: wachtwoorden nooit in plaintext opslaan, of in plaintext mailen aan gebruikers. Encrypten – en niet met een achterhaalde versleuteling als MD5 – en dan hashen, salten, enzovoorts. Pekelen die hap, leg op alle wachtwoorden zout.
Woorden als wachtwoorden
De volgende klassieke wachtwoordfail: woorden gebruiken. In plaats van nummers, leestekens en daarmee dan niet toch stiekem weer woorden vormen. Zoals w4chtw00rd. Kijk wat dat nog eens goed naar het hierboven genoemde voorbeeld van de politie Utrecht. Op het briefje dat onderaan de pc-monitor is geplakt, staat een wachtwoord dat geen bestaand woordenboek-woord is: reyqfabf.
Neem dat dan wel als een gedeeltelijk voorbeeld. Want het is niet echt een veilig wachtwoord. Het zijn namelijk allemaal kleine letters (onderkast), het bevat geen cijfers en geen leestekens. Kortom, niet bepaald volgens de 4 vuistregels voor veilige wachtwoorden. Neem die nog maar eens door.
Alleen is een wachtwoord met grote én kleine letters, cijfers, en dan ook nog eens leestekens weer niet makkelijk te onthouden. Waardoor mensen terugvallen op basisfail 1: noteren op een briefje, al dan niet aan de monitor of in de portemonne.
Maar wanhoop niet! Er is een oplossing, die niet eens technisch hoeft te zijn met dan weer vertrouwen in een aanbieder zoals RSA. Er is een menselijke oplossing, die de zegen heeft security-experts: wachtzinnen, lange wachtzinnen. Goed te onthouden, wel bestaand uit woordenboek-woorden maar door de lengte exponentieel moeilijker te kraken.
Hergebruik
Wat bovenstaande basisfails nog eens versterkt, is het feit dat veel mensen hun wachtwoorden hergebruiken. Of zelfs: hun wachtwoord, enkelvoud, hergebruiken. Dat erkent ook de deze week gehackte politiebond. De woordvoerder vertelde Webwereld dat hij het vooral vervelend vindt omdat veel mensen wachtwoorden toch hergebruiken. Een meevaller bij deze digitale diefstal was nog wel dat de vakbond als inlognaam een anoniem nummer gebruikt. Cybercriminelen moeten dan een extra stap zetten om een e-mailadres aan een wachtwoord te koppelen.
Die extra moeite hoeft helaas vaak niet gedaan te worden. Kijk maar naar het geval van de gedupeerde Nederlander die via de cyberinbraak bij een site of online-winkel ineens zijn PayPal-account geplunderd zag worden. Wie gebruikt er nou hetzelfde wachtwoord voor iets als boekenschrijverssite Writerspace.com, een online-winkel als Amazon.com en een betaaldienst als PayPal? Meer mensen dan je denkt. Heb jij voor elke inlog een ander wachtwoord, en eventueel ook een andere gebruikersnaam? Echt, dus geen variatie op een elders of eerder gebruikt wachtwoord?
Webwereld