Stelling: Het gebruik van wachtwoorden is een verouderde beveiligingstechniek die zijn langste tijd heeft gehad

Gepubliceerd op 29 juli 2021 om 07:00

Iedere seconde vinden er ergens ter wereld wel nieuwe pogingen plaats van cybercriminelen om websites, diensten, bedrijven of consumenten te hacken. Niet geheel onverwachts is er dus ook een toenemende kans op gelekte wachtwoorden, waardoor cybercriminelen eenvoudig toegang tot bedrijfsgegevens krijgen, aldus Beyond Identity, een leverancier van wachtwoordloze oplossingen voor identiteitsbeheer. Vorige maand meldde CyberNews dat er een bestand met de naam 'RockYou2021.txt' op een populair hackersforum is gezet. Daarbij gaat het om een verzameling van 8,4 miljard wereldwijd gelekte wachtwoorden. Ook in Nederland is het lekken van wachtwoorden schering en inslag.

Het wachtwoord

Wachtwoorden zijn al een geruime tijd in omloop als beveiligingsmaatregel, maar helaas blijkt deze maatregel niet meer te werken. Volgens het ‘Verizon Data Breach Incident Report’ liggen gestolen wachtwoorden ten grondslag aan 81% van alle hacks. Volgens een onderzoek door Google geeft minstens 65% van alle respondenten toe hetzelfde wachtwoord te gebruiken voor verschillende, zo niet alle accounts. De combinatie van het gebruik van zwakke wachtwoorden en steeds slimmere hackers, zorgt voor een vergrote kans op gelekte wachtwoorden en hacks.

Hoe je het ook wendt of keert, wachtwoorden zijn en blijven een beveiligingsrisico. Hoe meer werknemers en dus meer wachtwoorden je organisatie heeft, des te groter de kans op onveilige en gelekte wachtwoorden. Het gebruik van wachtwoorden is een verouderde beveiligingstechniek die zijn langste tijd heeft gehad.

Toch kun je werknemers het gebruik van zwakke wachtwoorden niet verwijten. Zij worden geacht om wachtwoorden te onthouden voor tientallen gebruikersaccounts. In de loop der jaren zijn er een aantal wachtwoordalternatieven ontwikkeld. Common Access Cards (CAC), smartcards en biometrie gezien, maar nog steeds worden er wachtwoorden als back-up voor deze methoden gebruikt. Zolang organisaties wachtwoorden inzetten, blijven ze kwetsbaar voor wachtwoord-gebaseerde bedreigingen, zoals phishing-aanvallen of SIM-swaps.

Vooruitstrevende organisaties gebruiken al passwordless oplossingen of MindYourPass, maar nog lang niet iedereen is daarop overgestapt. Totdat dit moment is aangebroken, is het verstandig de volgende maatregelen toe te passen:

  • Google Password Checkup

Gebruikt je organisatie Google voor het beheer van zakelijke e-mail? Dan heb je ook toegang tot de password manager van Google. En daarvan maakt Password Checkup deel uit. Password Checkup zet de aanmeldingsgegevens van gebruikers af tegen een database van bekende datalekken en een aantal onderdelen van het dark web die actief door Google worden gemonitord. Alle activiteit vindt daarbij plaats op het lokale apparaat, zodat de resultaten van deze controles nergens anders kunnen worden ingezien of opgeslagen. Als gebruikers zich aanmelden met onveilige gebruikersnamen en wachtwoorden, krijgen zij automatisch een waarschuwing op het scherm te zien. Password Checkup biedt echter geen mogelijkheden voor bedrijfsbreed beheer. Je zult werknemers dus moeten vragen om zelf hun verantwoordelijkheid te nemen voor de beveiliging van hun Google-accounts.

  • Databases met informatie over datalekken

Een andere optie is om de aanmeldingsgegevens van je werknemers af te zetten tegen een database met informatie over beveiligingslekken. De beroemdste hiervan is Have I Been Pwned. Kleine organisaties kunnen handmatig e-mailadressen invoeren. Grotere bedrijven doen er goed aan om gebruik te maken van de API (een betaalde functie) voor het controleren van grote aantallen aanmeldingsgegevens. Elke organisatie kan gratis gebruikmaken van de zoekfunctie voor domeinen en meldingsfunctie van Have I Been Pwned.

  • Tools voor monitoring op wachtwoordlekken

Er zijn diverse betaalde, gratis of freemium tools beschikbaar waarmee bedrijven kunnen nagaan of hun e-mailadressen betrokken waren bij bekende datalekken. Veel van deze tools, zoals LastPass, bieden deze mogelijkheid als aanvulling op password management-diensten. De tool van LastPass zet bijvoorbeeld een lijst met e-mailadressen af tegen een database met informatie over datalekken. Je krijgt ook een lijst te zien van websites die door datalekken werden getroffen nadat je je wachtwoord voor het laatst hebt gewijzigd. Deze lijst heeft de titel “Compromised” en geeft aan dat je aanmeldingsgegevens mogelijk betrokken waren bij een datalek, hoewel dat niet per definitie het geval hoeft te zijn.

  • Beveiligingsconsultants en externe leveranciers

Als jij en je team over onvoldoende tijd en middelen beschikken om e-mailadressen af te zetten tegen databases of gebruik te maken van andere tools, kan het een goed idee zijn om deze onontbeerlijke controle uit te besteden. Sommige consultants en leveranciers zullen tools met je aanmeldproces integreren die proactief wachtwoorden blokkeren als die op basis van eerdere datalekken zwak blijken te zijn.

  • Betrek het personeel bij het proces

Bij uitstek de beste manier om het hergebruik van wachtwoorden te voorkomen en beveiligingsincidenten tot een minimum te beperken is om af te stappen van wachtwoorden. Als dat geen directe optie voor je is, is de op een na beste maatregel om over wachtwoorden te praten met de eindgebruikers zelf. Prent hen de noodzaak in van onberispelijke wachtwoordhygiëne. Dat is geen overbodige luxe, want 45% van alle werknemers ziet het hergebruik van wachtwoorden niet eens als een serieus probleem. Moedig je teams aan om op websites zoals Have I Been Pwned te controleren of hun e-mailadressen en wachtwoorden (zowel zakelijk als privé) zijn gelekt. Op die manier kunnen ze zich een goed idee vormen van de ernst van het probleem. Draagvlak voor wachtwoordhygiëne creëren bij het personeel is van cruciaal belang voor de netwerkbeveiliging als er gebruik wordt gemaakt van deelbare aanmeldingsgegevens.

Stelling

Het gebruik van wachtwoorden is een verouderde beveiligingstechniek die zijn langste tijd heeft gehad

Bekijk resultaten

Bron: haveibeenpwned.com, google.com, mindyourpass.io, beyondidentity.com, govexec.com, cybernews.com, dutchcowboys.nl | Jeroen de Hooge

Meer info over cybercrime

Tips of verdachte activiteiten gezien? Meld het hier.

Cybercrime gerelateerde berichten

Autoriteit Persoonsgegevens luidt de noodklok

De Autoriteit Persoonsgegevens luidt de noodklok. In 2020 steeg het aantal hackaanvallen met 30 procent ten opzichte van 2019. Het aantal meldingen van datalekken kwam afgelopen jaar uit op 1.173. Een groot deel van dit soort cyberincidenten is eenvoudig te voorkomen door de beveiliging op te schroeven.

Lees meer »

We verwachten in de toekomst meer van 'ThreatNeedle' te zien

Cybersecurity onderzoekers hebben een nieuwe campagne geïdentificeerd van Lazarus, een zeer productieve geavanceerde dreigingsactor. Lazarus is actief vanaf ten minste 2009 en is betrokken geweest bij grootschalige cyberspionage campagnes, ransomware-campagnes en zelfs aanvallen op de cryptocurrency-markt. Waar het zich de afgelopen jaren op financiële instellingen richtte, valt Lazarus sinds begin 2020 de defensie-industrie aan via een aangepaste backdoor genaamd 'ThreatNeedle'.

Lees meer »

"Er kan niet worden gewacht met het delen van incident informatie"

De 'Cyber Security Raad (CSR)' wil versneld incidentinformatie met het bedrijfsleven en burgers delen. In de ogen van de raad is dit ‘een van de belangrijkste instrumenten’ om de cyberweerbaarheid van de samenleving te verhogen. De CSR adviseert minister Grapperhaus om te onderzoeken of het Landelijk Dekkend Stelsel (LDS) van informatieknooppunten via een ‘spoedreparatie’ sneller kan worden doorgevoerd.

Lees meer »

Geruchten WhatsApp, hoe zit dat nu?

WhatsApp gebruikers, dit moet je weten. De app is na 15 mei 2021 nauwelijks meer te gebruiken als je de nieuwe gebruiksvoorwaarden niet hebt geaccepteerd. Nieuwe berichten lezen of versturen is dan niet langer mogelijk: het beleid voor inactieve accounts treedt vanaf die datum in werking.

Lees meer »

‘Iedereen maakt fouten. Wij wachten op die van jullie’

De Nederlandse politie neemt een opvallende stap in de bestrijding van cybercriminaliteit. Op een forum waar veel hackers actief zijn, hebben agenten een waarschuwing geplaatst. Daarin adviseert de politie hen dat ze beter geen gebruik kunnen maken van onze IT-infrastructuur, omdat ze deze goed in de gaten houdt.

Lees meer »

Cyberaanval treft Hogeschool en Universiteit van Amsterdam

De Hogeschool en Universiteit van Amsterdam (HvA en UvA) zijn allebei het slachtoffer van een cyberaanval. Het Security and Operations Centre (SOC) heeft geconstateerd dat ‘onbekende derden’ zichzelf toegang hebben verschaft tot de ICT-omgevingen. Maatregelen zijn en worden genomen om de gevolgen van de aanval te beperken.

Lees meer »

«   »