Het gebruik van zwakke wachtwoorden is een hardnekkig probleem. Veel mensen verkiezen gebruiksgemak boven veiligheid en onderschatten de risico’s. ‘Waarom zou een hacker mijn inloggegevens willen hebben?’ Het antwoord is simpel: omdat jouw wachtwoorden en data geld waard zijn op de zwarte markt. Hoe ziet dit verdienmodel eruit?

Vandaag 3 mei is het weer World Password Day. Deze dag is een uitstekend moment om kritisch te kijken naar het gebruik van wachtwoorden binnen je organisatie. Veel Nederlanders hebben dat recent al gedaan, want begin april kwam dit onderwerp uitgebreid in het nieuws. Aanleiding was het online verschijnen van Gotcha.pw, een zoekmachine met miljoenen gelekte Nederlandse wachtwoorden. Gotcha toonde gelukkig alleen de eerste twee tekens.

Slechte wachtwoordhygiëne

Toch heeft het nieuws tot de nodige paniek geleid. Een goede wachtwoordhygiëne is namelijk niet de norm. Zeer zwakke wachtwoorden als ‘123456’, ‘password’ en ‘qwerty’ blijven populair. Volgens securityleverancier SplashData gebruikt 1 op de 10 mensen minstens één wachtwoord uit de top 25 van meest gekozen wachtwoorden. En uit onderzoek van softwarebedrijf Keeper blijkt dat ruim 80 procent van de smartphonegebruikers hetzelfde wachtwoord voor meerdere toepassingen gebruikt.

Gemakzucht is een belangrijke oorzaak. Unieke, complexe en lange wachtwoorden zijn nou eenmaal moeilijker te onthouden. Maar ik denk dat veel gebruikers zich ook niet voldoende bewust zijn van de gevaren. Cybercriminelen kunnen met een gestolen wachtwoord forse schade aanrichten. Vijf manieren waarop een hacker geld verdient met inloggegevens:

1. Verkoop van persoonsgegevens

Nadat een aanvaller toegang krijgt tot bijvoorbeeld een zakelijk e-mailadres of een Facebook-account, volgt een inventarisatie van de buit. Persoonsgegevens zoals namen, adressen, telefoonnummers en e-mailadressen worden vaak gebundeld en in bulk verkocht. Hoe recenter de gegevens zijn, hoe meer geld ze opleveren. Deze informatie kan bijvoorbeeld via tussenpartijen worden aangeboden bij marketingbedrijven en adverteerders. Hiermee kunnen zij mensen heel gericht benaderen.

2. Aankopen doen met creditcardgegevens

Met wachtwoorden van werknemers kunnen hackers mogelijk creditcardgegevens van klanten in handen krijgen, waarvoor in de duistere krochten van het web grof geld wordt betaald. Normaal gesproken koopt een ‘broker’ tientallen of honderden kaartgegevens en verkoopt deze door aan een ‘carder’. Die gebruikt ze om cadeaukaarten aan te schaffen voor winkels zoals Amazon. Daarmee koopt de carder spullen, bijvoorbeeld elektronica, om ze vervolgens weer te verkopen via een website als eBay. Deze stappen helpen criminelen onder de radar te blijven.

3. Handel in inloggegevens

Hergebruik van wachtwoorden geeft aanvallers meer mogelijkheden om een gestolen wachtwoord te verzilveren. Hetzelfde wachtwoord biedt misschien ook toegang tot allerlei andere accounts van het slachtoffer, zowel zakelijk als privé. Hackers gokken erop dat werknemers een wachtwoord opnieuw gebruiken bij een volgende werkgever. Dit maakt vooral (oude) accounts van mensen die nu een topfunctie in het bedrijfsleven of bij een overheidsinstelling hebben interessant.

4. Bedrijfsgeheimen doorverkopen

Een cybercrimineel kan inloggegevens van een werknemer gebruiken om bedrijfsgeheimen te stelen en deze (eventueel via een tussenpartij) door te verkopen aan concurrenten. Wanneer een aanvaller bijvoorbeeld toegang heeft tot het CRM-systeem ligt het gehele klantenbestand voor het oprapen. Via de cloudopslag zijn mogelijk strategische plannen en designs van prototypes in te zien. Zelfs met een gekaapt e-mailadres of LinkedIn-profiel kan een crimineel al proberen gevoelige informatie los te peuteren bij nietsvermoedende collega’s…

5. Identiteitsfraude plegen

…of de financiële afdeling verzoeken om snel een bedrag over te maken. Het is slechts één vorm van fraude die te herleiden is naar diefstal van wachtwoorden. Zo wordt in de Verenigde Staten op grote schaal gefraudeerd met de zorgverzekering Medicare. Cybercriminelen gebruiken gestolen medische gegevens onder andere voor het indienen van valse claims en het bestellen van medicijnen die ze kunnen doorverkopen. Een vergelijkbare truc is om met gestolen gegevens valse belastingaangiftes te doen.

Tips voor veilig inloggen

Kortom, een slechte wachtwoordhygiëne kan ingrijpende gevolgen hebben. Daarom is het goed om het belang van sterke wachtwoorden nog eens te benadrukken op World Password Day. Deze best practices om het misbruik van wachtwoorden tegen te gaan:

Dwing het gebruik van sterke wachtwoorden af en slaat deze versleuteld op. Een goed wachtwoord bestaat uit een mix van kleine en hoofdletters, getallen en speciale tekens. 12 tekens is het minimum. Hierbij geldt: hoe langer, hoe beter. Ideaal is een moeilijk te raden wachtzin. Stel ook in dat gebruikers hun wachtwoorden periodiek moeten veranderen.

Zorg ervoor dat werknemers weten welke wachtwoorden simpel te kraken zijn. Zo vormen gewone woorden of variaties daarop – bijvoorbeeld met een 3 in plaats van een e – een makkelijke prooi voor hackers. Dat geldt eveneens voor wachtwoorden met persoonlijke informatie zoals verjaardagen, jubilea of namen van vrienden en familieleden.

Bescherm gevoelige gegevens met een oplossing voor multifactorauthenticatie (MFA). Bij het inloggen moeten gebruikers dan niet alleen hun gebruikersnaam en wachtwoord invullen, maar ook een of meerdere extra identificatiemiddelen. MFA werkt bijvoorbeeld met een speciale smartphoneapp die een eenmalig wachtwoord of een QR-code genereert.

Maak het gebruikers zo eenvoudig mogelijk. Als zij tientallen verschillende wachtwoorden moeten onthouden om hun werk te doen, nodig je ze uit om voor de snelle optie te gaan. Met Single Sign-On (SSO) hoeven ze slechts één keer in te loggen (met MFA) om toegang te krijgen tot alle applicaties. Alternatief is een wachtwoordmanager als LastPass.

Ondersteun je wachtwoordbeleid met Identity & Access Management. Maak de toegang tot applicaties en gegevens bijvoorbeeld rolgebaseerd en geef gebruikers niet meer rechten dan nodig. Ook is het belangrijk om een proces in te richten voor medewerkers die uit dienst treden. Zij mogen na vertrek geen toegang meer hebben tot bedrijfssystemen.

Geavanceerde securityfuncties zoals MFA en SSO waren tot nu toe vooral weggelegd voor grote, kapitaalkrachtige bedrijven. Dat verandert met de komst van AuthPoint. Deze toegankelijke en betaalbare authenticatieoplossing van WatchGuard is vanaf juni beschikbaar.

Mike Wilde werkt als regional sales manager Benelux bij securityspecialist WatchGuard Technologies.

LAAT EEN REACTIE ACHTER

Laat alsjeblieft een reactie achter!
Laat hier je naam achter