Je hoort het steeds vaker: datalekken bij bedrijven en overheid. In de afgelopen maand zijn datalekken van de gemeente Utrecht en de gemeente Almelo vastgesteld. Het vermoeden is dat de persoonsgegevens buit zijn gemaakt met het gebruik van malware. Gelukkig lijkt het bij de twee genoemde datalekken niet te gaan over inloggegevens. Een sterk wachtwoord kan u niet beschermen tegen datalekken, een goede infrastructuur wel.
MFA
We hebben het bij Trusted-ID vaak over multi-factor authenticatie (MFA) en we zien met goedkeurend oog toe dat softwarepakketten steeds vaker de optie aanbieden MFA te gebruiken. Inloggegevens zijn bijzonder gevoelig voor cybercrime en criminelen kunnen vergaande, vaak financiële, schade aanrichten terwijl zij zich voordoen als u. MFA zorgt voor een extra laag van bescherming, een extra factor waarmee uw identiteit gecontroleerd kan worden. Die extra laag is voornamelijk welkom vanwege de komst van steeds geavanceerdere computers die wachtwoorden steeds sneller kunnen kraken.
“LETTER, LETTER, LETTER, LETTER, LETTER, GETAL, GETAL, GETAL, GETAL” – 79 OVEREENKOMENDE WACHTWOORDEN GEVONDEN!
Niet alleen in de nabije toekomst zal quantum computing mogelijke wachtwoorden uitermate snel kunnen achterhalen maar vandaag de dag zijn er applicaties beschikbaar die op commando naar wachtwoorden zoeken. De applicaties werken o.a. op basis van bekende wachtwoordlijstjes, die vaak uitlekken (gebruik o.a. daarom nooit hetzelfde wachtwoord op meerdere locaties). In dergelijke applicaties kan een kwaadwillende (of security expert) naar wachtwoorden zoeken op basis van lengte en het soort karakter dat gebruikt is. Als zoekterm kan het volgende ingevuld worden: “letter,letter,letter,letter,letter,letter,getal,getal,getal,getal.” Het wachtwoord “secure2016” kan op deze manier achterhaald worden. Het engste is wellicht nog dat deze applicaties beschikbaar zijn voor iedereen, als je weet waar je moet zoeken.
TOKENS
Het probleem mag duidelijk zijn. Wachtwoorden, vooral als ze van voorspelbare symboolcombinaties bestaan of herhaaldelijk gebruikt zijn, zijn zwak en brengen steeds grotere risico’s met zich mee zonder additionele beveiliging. Die tweede factor van beveiliging wordt al door de meeste mensen gebruikt. Denk aan internetbankieren, wanneer u een transactie wil uitvoeren is de kans groot dat u een ‘token’ heeft die een eenmalige code voor u produceert die op uw scherm ingevoerd moet worden voordat de transactie verder kan. Een token kan de vorm aannemen van een apparaat die voor elke transactie automatisch een code voor u aanmaakt en speciaal daarvoor in gebruik is. Neem nu twee grote banken in Nederland: de één voorziet elke internetbankieren klant van een apparaat die de pinpas inleest en een eenmalige code doorgeeft aan de gebruiker om een in te loggen of een transactie te voltooien. De andere transformeert de telefoon van een klant in een token door een eenmalig te gebruiken code te versturen naar die smartphone.
In het kort kan dus gezegd worden dat 2FA (two-factor authenticatie) een combinatie is van wat u weet (uw wachtwoord), en wat u heeft (een token). Mocht uw wachtwoord onverhoopt gelekt of gestolen zijn kan door middel van een extra factor de toegang tot uw accounts alsnog ontzegt worden, omdat een indringer geen beschikking heeft over de token.
Niet alleen kan het gaan om wat u weet (uw wachtwoord) en wat u heeft (een fysieke token), maar kan er een derde factor toegevoegd worden: waar u bent (een fysieke locatie). Denk bij een fysieke locatie aan het aanwezig zijn op het kantoor, al dan niet op bepaalde tijden (e.g. negen tot vijf).
Door het gebruik van multi-factor authenticatie worden accounts met minder complexe wachtwoorden toch een stuk veiliger, met al die datalekken tegenwoordig is dat geen overbodige luxe.
Controleer of een van uw accounts is buitgemaakt in een datalek: https://haveibeenpwned.com