Start today, secure tomorrow.

Houdbaarheid van wachtwoorden verstreken

By Barry Sep 02, 2014

Gisteren werd bekend dat er naaktfoto’s van meer dan honderd celebrities op het wereldwijde web terechtgekomen zijn (bekijk ook het fragment op NOS op 3). Hackers claimen gebruik te hebben gemaakt van een beveiligingslek in Apple’s iCloud. Apple laat weten de privacy van gebruikers erg serieus te nemen en de kwestie te onderzoeken.

De kwetsbaarheid van Apple

Een fout in het “Find my device” systeem zorgde ervoor dat er onbeperkt login pogingen gedaan konden worden. Hierdoor werd het mogelijk om wachtwoorden te raden op basis van “brute force” (het botweg uitproberen van alle mogelijke opties) of door zogenaamde woordenlijst aanvallen. Door structureel wachtwoorden te blijven proberen kan een wachtwoord worden geraden, al wordt die kans kleiner wanneer gebruik wordt gemaakt van complexe wachtwoorden. Maar niet alleen het systeem is kwetsbaar; de mens is meestal de zwakste schakel in computersystemen. Vandaar dat middels social engineering onbedoeld toegang kan worden verschaft tot vertrouwelijke informatie. Via beveiligingsvragen kan het relatief eenvoudig zijn om ongeautoriseerd toegang te verkrijgen tot accounts, zeker wanneer het gaat om mensen van wie veel persoonlijke informatie op internet te vinden is.

Wachtwoorden over datum

Het beschermen van wachtwoorden is in toenemende mate een probleem. Steeds vaker zorgt het er voor dat mensen “gehacked” worden omdat hun wachtwoord niet complex genoeg is of omdat andere mechanismen falen.
In essentie is een wachtwoord een flexibele reeks parameters en, mits goed gebruikt, een goed middel ter beveiliging.
Echter, we komen wel op een moment dat aanvullende maatregelen hard nodig zijn.
Enkele “wenselijke” aanvullende maatregelen zijn:

  • het gebruik van een tweede factor (2f-actor authentication): hierbij wordt een extra afhankelijkheid ingebouwd om toegang tot een dienst te krijgen. Een goed voorbeeld is Google Authenticator. Hierbij moet na het inloggen een reeks getallen ingevuld worden die tijdsafhankelijk wordt gegenereerd. Als een kwaadwillende het tijdelijke wachtwoord bemachtigd, kan hij hier slechts in een beperkte tijd gebruik van maken, wat de kans op inbraak verkleint.
  • het detecteren van misbruik: in dit geval detecteerde Apple het misbruik van accounts niet en werd er geen actie ondernomen. Een voorbeeld van actie ondernemen kan zijn het tijdelijk blokkeren van het account. Het nadeel hiervan is dat kwaadwillenden hiervan misbruik kunnen maken door accounts onbruikbaar te maken.
  • maatregelen op basis van reputatie: Dit betekent dat de account nog wel beschikbaar is vanaf bekende netwerken (vanaf welke eerder gebruik gemaakt is van de dienst) of er een extra “toegangsfactor” gevraagd wordt indien hieraan niet wordt voldaan.
  • het beter opslaan van wachtwoorden: Veel wachtwoorden worden als ‘hash‘ waarde opgeslagen. Als deze “hash” wordt gestolen dan kan door het gebruik van supercomputers het wachtwoord geraden worden. Het toevoegen van een “salt” waarde maakt het ingewikkelder maar nog steeds niet onmogelijk. Een salt is een verlenging van het wachtwoord: de cryptografische sleutel wordt daarom moeilijker te brute-forcen omdat ook de salt-waarde meegenomen moet worden. Bovendien kan de  salt-waarde bescherming bieden tegen aanvallen met “rainbow-tables“. Dit zijn tabellen waarin alle mogelijke combinaties van cryptografische sleutels met het bijhorende wachtwoord worden opgeslagen. Echter, wanneer deze “salt” ook gestolen wordt dan is de toegevoegde waarde minimaal.
  • Het stellen van eisen aan wachtwoorden: Een complex wachtwoord van 8 karakters kan zo’n 18 uur kosten om te kraken (afhankelijk van de rekenkracht; veiligheidsdiensten zouden het in 1.12 minuten kunnen).
    Test hier zelf je wachtwoord.

Wachtwoord check

En nu?

Gebruikers

Apple heeft inmiddels de kwetsbaarheid verholpen. Dit neemt niet weg dat je wachtwoord misschien al is geraden.
Gebruik je geen complex wachtwoord (langer dan 8 karakters met hoofd en kleine letters, cijfers en tekens en niet gebaseerd op een “woord”), dan is het verstandig je wachtwoord de wijzigen.
Realiseer je ook dat dit wachtwoord in deze combinatie misschien voor andere diensten gebruikt is. Verander in dat geval ook op deze diensten je wachtwoord en gebruik het liefst per dienst een andere.

Online dienstverleners vragen regelmatig om “beveiligingsvragen”. Deze vragen kunnen gebruikt worden om de identiteit vast te stellen tijdens een telefoongesprek of wanneer u geen toegang meer heeft tot de dienst (bijv. email). Geef bij voorkeur geen “eerlijk” antwoord op de beveiligingsvragen, maar geef een waarde op die voor een ander moeilijk te raden is. Ook kan men een wachtwoord kluis gebruiken waarmee sterke wachtwoorden worden gegenereerd en opgeslagen om te dienen als antwoorden op de beveiligingsvragen. Een wachtwoordkluis kan gebruiksvriendelijker zijn, omdat er slechts één of enkele wachtwoorden onthouden moeten worden in plaats van tientallen of zelfs honderden. Wel wordt het van extra groot belang om voldoende complexiteit toe te voegen aan het wachtwoord voor de wachtwoordkluis en deze regelmatig te veranderen. Denk aan wachtwoord zinnen, ook wel “pass phrases” genaamd.

Bedrijven en aanbieders van diensten

Hierboven beschreven we al enkele maatregelen die getroffen kunnen worden om het omgaan met wachtwoorden te beveiligen. Het risico van een gerichte aanval op een dienst of website is afhankelijk van hoe toegankelijk deze is en hoe waardevol de beoogde informatie is. Uit onderzoek blijkt dat bedrijven de risico’s die ze lopen structureel onderschatten. Dat betekent dat de kans op inbraak, informatiediefstal, kosten en bovendien imagoschade veel groter is dan acceptabel wordt bevonden.

Zorg dat u op de hoogte bent van de risico’s die u neemt. Neem contact op met de security experts van The S-Unit

Security