Wachtwoorden, de zwakste schakel

Vorige week woensdag (1 november) bezocht ik de infosecurity beurs in de Jaarbeurs hallen in Utrecht.

Twee dagen allerlei sessies over beveiliging (ik ben overigens maar één dag geweest). Van alles kwam aan de orde, SSL, hacken via powershell, beveiliging van devices die aan je netwerk gekoppeld zijn etc.

Wachtwoorden

Wat me opviel, was hoe eenvoudig het vaak is om in te breken in systemen. En een erg belangrijk beveiligingslek bleek te zijn: zwakke wachtwoorden.

Je kunt je IT systemen of je website nog zo dichtspijkeren, wanneer wachtwoorden niet sterk genoeg zijn, dan loop je alsnog een behoorlijk beveiligingsrisico.

Verschillende onderzoeken laten verschillende cijfers zien van beveiligingsproblemen veroorzaakt door zwakke wachtwoorden, maar het valt me op dat al deze onderzoeken een minimum van 60% aanhouden als percentage beveiligingsproblemen of hacks veroorzaakt door zwakke wachtwoorden.

En dat terwijl het gebruik van sterke wachtwoorden één van de meest eenvoudige manieren van beveiliging is.

Gestolen wachtwoorden

Niet alleen zwakke wachtwoorden, ook het te lang aanhouden van hetzelfde wachtwoord en het gebruik van het zelfde wachtwoord voor meerdere systemen kan leiden tot beveiligingsproblemen.

Het komt regelmatig voor dat grote hoeveelheden wachtwoorden worden gestolen. Wanneer jouw wachtwoord gestolen wordt, en je gebruikt dat wachtwoord voor meerdere accounts, dan hebben hackers dus toegang tot al deze accounts.

En als je niet regelmatig je wachtwoord vernieuwd, dan houden hackers dus lange tijd toegang tot jouw accounts.

Dit artikel over recente hacks dankzij gestolen wachtwoorden laat zien dat het niet ondenkbaar is dat je wachtwoord eens gestolen wordt (of misschien al eens gestolen is).

Mocht je nu wat zenuwachtig worden, op de website breachalarm.com kun je kijken of er wachtwoorden die gekoppeld zijn aan je email adres gestolen zijn (geweest).

Krijg je van breachalarm een melding dat er bepaalde accounts met je email adres gestolen zijn (geweest) en je gebruikt voor meerdere accounts hetzelfde wachtwoord, dan is het aan te raden deze wachtwoorden te wijzigen.

Social engineering

In principe is het voor hackers veel gemakkelijker om in te breken via gestolen gegevens of via gegevens die op andere manieren zijn ontfutseld, dan via het kraken van beveiligingssystemen.

Wanneer een hacker de inlog gegevens heeft, kan hij of zij dus onder de radar blijven en inloggen met geldige gegevens en dan schade aanrichten.

Het verkrijgen van beveiligingsgevoelige informatie van personen (zoals inlog gegevens) wordt ook wel social engineering genoemd.

Bij social engineering richten hackers zich op het zwakste gedeelte van de IT beveiliging, namelijk de mens. Gebruik maken van het feit dat veel mensen niet de moeite nemen om een sterk wachtwoord te gebruiken, is één vorm van social engineering.

Zie hier de definitie van Social Engineering op Wikipedia.

Wachtwoorden van webmasters

Ik zie ook vaak zwakke wachtwoorden voorbij komen van website eigenaren. Regelmatig krijg ik inlog gegevens van website beheerders, zodat ik ze kan helpen bij een probleem op de website.

En vaak (en dan bedoel ik in meer dan de helft van de gevallen) is het wachtwoord niet sterk en gemakkelijk te raden. En met een zwak beheerderswachtwoord loopt je website dus een duidelijk risico.

Ik ben van mening dat website beheerders echt de verantwoordelijkheid moeten nemen om sterke wachtwoorden te gebruiken. Je kunt dit voor jezelf toepassen, maar in Joomla en Wordpress is het ook mogelijk om het gebruik van sterke wachtwoorden voor alle gebruikers af te dwingen.

In de onderstaande video's zie je hoe je voor zowel Joomla als Wordpress het gebruik van sterke wachtwoorden afdwingt.

Wachtwoord beleid in Joomla

De Password Control plugin voor Joomla kun je hier downloaden.

Wachtwoord beleid in Wordpress

Mijn website is niet interessant

Nu kan het zijn dat je denkt, mijn website is helemaal niet interessant voor hackers. Ik heb een simpele website over mijn hobby, dus wie zal daar nu op willen inbreken?

Dit is een misvatting die leeft bij veel mensen die een kleine website hebben over bijvoorbeeld een hobby. Maar vergis je niet, ook dit soort websites zijn interessant voor hackers.

Wat hackers bijvoorbeeld zouden kunnen doen, is op je website scripts plaatsen die geautomatiseerd enorme hoeveelheden spam versturen. Of je site wordt misbruikt voor de verspreiding van malware (zoals virussen, ransomware, scripts voor het uitvoeren van aanvallen op andere websites of servers).

Ook zie je het regelmatig voorkomen dat op een gehackte website phishing pagina's worden geplaatst. Dus bijvoorbeeld een nagemaakte pagina van een bank, waar mensen naar toe worden gelokt om vervolgens te worden bestolen.

Ook kan je website worden misbruikt om andere websites op dezelfde server (of de server zelf) aan te vallen.

Kortom, het maakt niet uit wat voor website je hebt. Een grote of kleine website, een druk bezochte website of een website met alleen jouzelf als bezoeker. Je website is interessant voor hackers en je hebt dus de verantwoordelijkheid als website beheerder om je website te beveiligen.

Wachtwoord beleid

Er zijn natuurlijk meerdere zaken die je kunt doen ten aanzien van de beveiliging van je website, en een goed wachtwoord beleid is daar absoluut één van. Met een wachtwoord beleid bedoel ik niet alleen sterke wachtwoorden, maar ook een maximale levensduur voor wachtwoorden en het gebruik van slechts één wachtwoord per account.

Wanneer je een goed wachtwoord beleid toepast, dan is dat een erg belangrijke beveiligingsmaatregel voor je website.

You have no rights to post comments