In dit digitale tijdperk, waarin vrijwel elk aspect van ons leven online wordt opgeslagen, blijven wachtwoorden een van de meest toegepaste manieren om gegevens te beveiligen. In 3 nieuwsbrieven bekijken we waarom wachtwoorden zo belangrijk zijn en geven we tips hoe je je databeveiliging op een praktisch bruikbare manier kan instellen.
In een eerste deel geven we meer uitleg over wat nu precies een sterk wachtwoord inhoudt.
Wachtwoorden fungeren als de eerste verdedigingslinie tegen ongeautoriseerde toegang tot onze accounts en gegevens. Door een sterk wachtwoord te gebruiken, dat uniek en moeilijk te raden is, kunnen we voorkomen dat hackers toegang krijgen tot onze persoonlijke informatie, zoals financiële gegevens, medische dossiers en communicatie. Maar hoe ingewikkelder je wachtwoord, hoe moeilijker dit is om te onthouden. En meestal heb je heel wat wachtwoorden nodig voor verschillende toepassingen.
Maar wat precies maakt een wachtwoord sterk? Om dit te begrijpen, bekijken we wachtwoorden vanuit het perspectief van een computercrimineel.
Voor een hacker spelen de benodigde tijd en kosten voor het kraken van een wachtwoord de belangrijkste rol. Hoe langer het duurt, hoe lager de rendabiliteit! Wachtwoorden worden versleuteld opgeslagen. Hierbij is het meest gebruikelijk om hashes te gebruiken. Hashes zijn onomkeerbare versleutelingen die met algoritmes worden gecreëerd, dit noemt men de hashwaarde van een wachtwoord. Hierdoor wordt het heel moeilijk (zo niet onmogelijk) om de oorspronkelijke tekst terug te vinden. Het moet dus moeilijk zijn om het oorspronkelijke wachtwoord weer terug te halen en het moet moeilijk zijn om een wachtwoord te vinden dat dezelfde hash oplevert.
Brute Force- aanvallen
Met computers die niets anders doet dan hashes berekenen worden brute force-aanvallen uitgevoerd. Via miljarden inlogpogingen worden alle mogelijkheden uitgeprobeerd. Het blijft zoeken naar een speld in een hooiberg en dit kan heel lang duren mits het sterke wachtwoorden betreft. Maar met almaar betere computers worden nog veel hogere snelheden gehaald en dit zal in de toekomst alleen nog maar toenemen. Met dergelijke methodes is het dus alleen nog een kwestie van tijd vooraleer het wachtwoord wordt gekraakt.
Het maakt niet zoveel uit welke ingewikkelde combinatie van cijfers, letters en tekens je gebruikt in een wachtwoord, vooral de lengte is van cruciaal belang. Enkele voorbeelden:
- Een wachtwoord van 6 tekens bestaande uit hoofdletters, kleine letters en getallen kan na 13 seconden worden gekraakt.
- Voor een paswoord met 9 tekens maar enkel bestaande uit kleine letters en hoofdletters duurt het toch ca 8 dagen vooraleer het wordt achterhaald.
- Voor eenzelfde lengte van 9 tekens bestaande uit hoofdletters, kleine letters aangevuld met getallen en leestekens hebben zelfs sterke computers ca 5 jaar nodig om het te achterhalen.
Een lang wachtwoord is dus duidelijk beter dan eentje met veel speciale tekens. Het verlengen van een wachtwoord met slechts 2 kleine letters van 7 naar 9, maakt het kraken wel 600 keer langzamer. Een combinatie van lengte én speciale tekens is uiteraard het sterkst.
Maar er zijn ook slimmere methodes dan Brute Force-aanvallen.
Hackers hebben een grote trukendoos en rekenen op onze voorspelbaarheid bij het kiezen van wachtwoorden. Veel mensen kiezen voor een makkelijk te onthouden woord of favoriet thema (een jaartal, de naam van je sportclub, partner, kind, etc…) en hergebruiken dit wachtwoord met een simpele aanpassing of een variatie voor hun verschillende accounts. Het zal duidelijk zijn dat “Welkom2024!!”, ondanks de lengte, geen goed wachtwoord is!
Nu moet je weten dat er veel wachtwoorden worden gekraakt, en dat sets met gestolen aanmeldingsgegevens voor een cybercrimineel vlot te vinden of aan te kopen zijn. Criminelen maken hier dankbaar gebruik van. Zo hoeven ze het overgrote deel van alle mogelijkheden niet eens te proberen. Ze beginnen dus met eerder gekraakte wachtwoorden (omdat veel mensen die hergebruiken), en proberen daarna dezelfde lijst nog eens, aangepast met courant toegepaste variaties. Dit heet ‘credential stuffing’. De gestolen en/of aangepaste aanmeldingsgegevens worden in duizenden websites ingevoerd en binnen een paar minuten of een paar uur worden een hoog aantal accounts, gaande van social media tot bedrijfssoftware gecompromitteerd.
Met zoveel mensen die hun wachtwoorden voor meerdere accounts hergebruiken, is maar één set met aanmeldingsgegevens genoeg om de meeste of al hun accounts te kraken. Met softwarerobots die automatisch en zelfstandig opereren worden aanvallen op meerdere fronten uitgevoerd op meerdere apparaten, waarmee ze hun aanvalsmogelijkheden uitbreiden, en dit nog steeds met maar één set aanmeldingsgegevens.
De enige methode hiertegen is willekeur toepassen in je wachtwoorden en frequent voorkomende patronen vermijden.
Conclusie
Gebruik lange wachtwoorden die zo willekeurig zijn dat het voor hackers zeer moeilijk wordt of zeer veel tijd kost om dit te achterhalen en zorg ook voor heel diverse wachtwoorden voor je verschillende accounts.
Dit is voor ons allemaal echter moeilijk te onthouden. Gelukkig zijn er methodes om dit in de praktijk toe te passen.
In de volgende nieuwsbrief gaan we dieper in hoe je op een praktische manier sterke wachtwoorden kan genereren en gebruiken.
Rolf Vermeulen
Privacy-expert
+32 475 96 01 18
Bart Ocket
Privacy-expert
+32 491 08 37 84
Karel Mol
Privacy-expert
+32 476 30 91 47