Veilig online... Hoe dan? #veranderjewachtwoorddag
IT Security
Alweer bijna tien jaar geleden, in 2014, riep de populaire technologiewebsite Tweakers 24 november uit tot Verander-Je-Wachtwoord-Dag. Het is sindsdien een jaarlijks terugkerend fenomeen geworden – en altijd weer een mooie aanleiding om even stil te staan bij wat je zelf kunt doen om veilig online te zijn.
In de loop der jaren zijn hackers steeds handiger geworden. Daardoor zou je misschien denken dat beveiliging met alleen een gebruikersnaam en wachtwoord ondertussen niet meer voorkomt. Maar in de praktijk valt dat tegen. Vooral particulieren gebruiken vaak nog geen enkele vorm van aanvullende beveiliging. Voor hen is het dan ook extra verstandig om wachtwoorden regelmatig te verversen. Databases met wachtwoorden worden massaal aangeboden op het darkweb en cybercriminelen gebruiken die gegevens graag om bijvoorbeeld mensen te chanteren.
Zomaar wat cijfers
- 98% van de cyberincidenten (datalekken en ransomware) wordt veroorzaakt door menselijk handelen.
- 20% van alle datalakken ontstaat door gestolen of verloren inloggegevens.
- 75% van het MKB krijgt te maken met een ransomware-aanval.
- 25% van alle datalekken komt voor uit phishing.
- 96% van de phishing-aanvallen komt per e-mail binnen.
Hoe ontvreemden cybercriminelen wachtwoorden?
Er zijn verschillende technieken die gebruikt worden om wachtwoorden te bemachtigen. Zo heb je een brute force-aanval waarbij op een specifieke gebruikersnaam een zeer groot aantal wachtwoorden wordt uitgeprobeerd. Andere methodes zijn dictionary en rule-based aanvallen. Bij dictionary worden een zeer groot aantal standaardwachtwoorden, op basis van veelgebruikte woorden, uitgeprobeerd. Bij rule-based gaan ze nog een stapje verder. Daarbij worden karakters uit standaard woorden vervangen door cijfers of andere karakters. En dan zijn er nog de phishingtechnieken, waarbij wachtwoorden bemachtigd worden door mensen te laten inloggen op malafide inlogschermen die eruitzien als betrouwbaar, zoals een Microsoft-inlogscherm.
Wat maakt een wachtwoord zwak?
Simpel gezegd: eenvoud. 'Aardappelsalade' is bijvoorbeeld lang maar ordelijk, 'Mustang1965!' is “ complex” met hoofdletters en cijfers. Echter is 'mustang' een van de meest gebruikte wachtwoorden en een combinatie van woord + jaar is voor de hand liggend. Een hoofdletter aan het begin biedt geen toegevoegde waarde, iedereen gebruikt immers een hoofdletter als eerste letter. Je kunt dan beter een hoofdletter gebruiken op een andere plek van het woord. Dit geldt ook voor een uitroepteken. Bijna iedereen gebruikt een uitroepteken als laatste speciale karakter. Ook letters vervangen door een cijfer is nutteloos, mu5tang bijvoorbeeld.
Wat maakt een wachtwoord sterk?
Creëer wanorde in je wachtwoord. Veel mensen denken dat je zoveel mogelijk combinaties moet maken van cijfers, letters, leestekens en andere symbolen. Maar het is eerder de lengte van een wachtwoord die het hacken moeilijker maakt dan de complexiteit aan karakters. Wachtwoordrichtlijnen van bekende instituten (zoals NCSC en NIST) zijn hierop al sinds 2017 aangepast. Ook wachtwoordzinnen zie je steeds vaker geadviseerd worden. Makkelijker te onthouden en qua lengte altijd veilig.
MFA als aanvulling
In zakelijke omgevingen zijn er sinds 2014 natuurlijk veel ontwikkelingen geweest op beveiligingsgebied. Zo is MFA (Multi-Factor Authentication) gemeengoed geworden bij veel bedrijven en instanties. Wanneer je als klant bijvoorbeeld wilt inloggen bij je bank, heb je meer nodig dan alleen een gebruikersnaam en wachtwoord. Je moet je nader identificeren, bijvoorbeeld met een vingerafdruk, een eID of een authenticator op je smartphone.
Wat kun je nog meer doen?
Er zijn intussen ook allerlei andere oplossingen ontwikkeld om inloggen extra te beveiligen. Deze oplossingen vallen onder de noemers RBAC (Role Based Access), IAM: Identity & Access Management en PIM/PAM (Privileged Identity/Access Management). Ze koppelen onder meer een identiteit direct aan de rechten van de gebruiker, zoals lees- en schrijfrechten en (tijdelijke) toegang tot bepaalde data of applicaties.
Wees voorbereid op NIS2
Aanvullende beveiligingsmaatregelen worden voor veel sectoren vanaf volgend jaar verplicht op grond van de nieuwe Europese NIS2 wet- en regelgeving. NIS2 geldt met name voor bepaalde profielen binnen organisaties – denk aan beheerders, administratieve en financiële medewerkers – en zal net zo streng worden gehandhaafd als de AVG.
Previder helpt
Als Previder kunnen we met onze afdeling Security Operations (SecOps) invulling geven aan het beveiligingsniveau dat past bij jouw organisatie. Daarbij kunnen we monitoren op afwijkend gedrag van identiteiten. Wat is het inloggedrag van individuele medewerkers? Wordt er ingelogd op locaties en/of momenten die niet passen bij het profiel van die specifieke gebruiker? Zien we brute force-aanvallen waarbij meerdere inlogpogingen worden gedaan en gebruikers vervolgens worden geblokkeerd? Hier kunnen we dan proactief op anticiperen door bijvoorbeeld gebruikersaccounts te blokkeren of wachtwoorden te resetten. Verder bieden we awareness-trainingen en phishingcampagnes om medewerkers te wapenen tegen de gevaren van cybercriminaliteit.
Lees meer:
- Informatiebeveiliging & IT security
- Blog: NIS2 - wie moet er wat mee?
- Blog: Cyberverzekering: de investering waard?
- Blog: Informatiebeveiliging: verantwoordelijkheden en aansprakelijkheid. Ben jij in control?
Dit blog is geschreven door Marco Vader, CISM bij Previder, en Loek Oorthuis, IT-specialist bij Previder.