Skip to main Content
Artikel

Waarom een wachtwoord niet zo veilig is als je denkt

Global Knowledge
  • Datum: 06 May, 2021

De meest gebruikte vorm van authenticatie is het invoeren van een wachtwoord. Maar zo veilig is jouw wachtwoord niet. Hoe dat komt, leer je in dit artikel.

Als je een goed security beleid hebt, wil je iemand verantwoordelijk kunnen stellen voor zijn of haar daden. Maar daarvoor moet je als organisatie wel een sterk authenticatie-systeem hebben. Door middel van authenticatie geef je een gebruiker toegang tot je omgeving.

In dit artikel leer je waarom het niet voldoende is om gebruik te maken van 1 factor authenticatie. Maar, voordat we daarop ingaan, leggen we eerst het verschil tussen een audit, authenticatie en autorisatie uit.

Audit

Een audit houdt in dat je een registratie maakt van alle activiteit die op je systemen en bij je gebruikers plaatsvindt. Je stelt een log op van alle activiteit die plaatsvond in de IT-omgeving van jouw organisatie. Die log maak je over een bepaalde periode, want je kunt alleen evalueren als je gegevens over een bepaalde periode hebt.

Authenticatie

Met authenticatie bedoelen we dat je vaststelt dat iemand is wij hij of zij zegt te zijn. Als je iemand hebt geauthentiseerd, koppel je deze identiteit aan een gebruikersaccount op je netwerk. Dat zit zo: een gebruiker die inlogt, claimt een identiteit doordat ze bij een gebruikersnaam een wachtwoord invoeren.

Autorisatie

Als je iemand autoriseert ken je haar of hem rechten, toestemming en privileges toe. Met behulp van die rechten kan de gebruiker haar of zijn taken uitvoeren. Met autorisatie kun je ook de toegang voor gebruikers beperken. Zo heeft elke gebruiker zijn eigen unieke rechten en beperkingen.

Het draait om authenticatie

Van deze drie security diensten is authenticatie de belangrijkste. Als je er niet in slaagt om een connectie te maken tussen de gebruikersaccount en de persoon, is het onmogelijk om iemand verantwoordelijk te maken voor haar of zijn daden binnen jouw IT-omgeving.

Kortom: zonder authenticatie is het heel moeilijk om iemand aansprakelijk te stellen – want wie zegt dat het écht de persoon achter de gebruikersaccount is die jouw IT-omgeving ontregelt?

De meeste organisaties en diensten zijn voor authenticatie afhankelijk van wachtwoorden. Als je alleen gebruik maakt van een wachtwoord en niet van multi-factor authenticatie, maak je het een hacker wel heel eenvoudig. Na 1 succesvolle aanval op 1 account heeft hij dan al genoeg in handen om zich voor te doen als die gebruiker en zo nog meer schade toe te brengen aan jouw organisatie.

Hoe komt een hacker aan je wachtwoord?

De hacker kan verschillende methodes inzetten om aan een wachtwoord te komen. Bijvoorbeeld:

  • Een wachtwoord raden
  • Ontdekken dat wachtwoorden opnieuw worden gebruikt (bijvoorbeeld door gebruik te maken van een wachtwoord database)
  • Brute force attacks
  • Plain tekst user database diefstal
  • Credential spraying
  • Een back-up in handen krijgen
  • Social engineering
  • Shoulder surfing (letterlijk over de schouder van de gebruiker meekijken)
  • Hittedetectie met behulp van infrarood op toetsenborden
  • Phishing
  • Spoofing
  • DNS pharming aanvallen
  • Sessies kapen
  • Network traffic sniffing (het monitoren en vangen van data op een computer netwerk met behulp van packet sniffers)
  • On-path attacks

Door middel van deze aanvallen kan een kwaadwillende altijd aan je wachtwoord komen. Het doet er dan niet meer toe of je een lang of kort wachtwoord hebt. Een wachtwoord waarmee je alle hacks kunt vermijden bestaat niet – daarom is authenticatie door middel van een wachtwoord gevaarlijk en problematisch.

Verantwoordelijkheid voor het wachtwoord ligt teveel bij de eindgebruiker

De meeste organisaties leggen de verantwoordelijkheid voor het wachtwoord bij de eindgebruiker. Eindgebruikers kiezen voor een wachtwoord wat ze makkelijk kunnen onthouden – maar dat maakt zo’n wachtwoord automatisch ook eenvoudiger te raden of te kraken.

Ook als je organisatie goede aanbevelingen voor het maken van een wachtwoord hebt gedaan, kiezen de meeste gebruikers er nog steeds voor om met minimale inspanning een wachtwoord te maken. Daarbij nemen ze niet alle regels in acht. Maar ook als ze wel aan al die regels voldoen, is dat mooi meegenomen voor de hacker.

Als er in jouw wachtwoordbeleid staat dat wachtwoorden 2 hoofdletters moeten hebben, gebruiken gebruikers er niet meer dan twee. Dat is handige info voor de hacker – ze houden het gedrag van je medewerkers in de gaten en voeren op basis daarvan succesvolle aanvallen uit.

Een wachtwoord beschermt niet tegen de nieuwste tools en technieken

Veelgebruikt wachtwoordbeleid beschermt niet tegen de nieuwste tools en technieken die de hacker gebruikt om jouw wachtwoord te kraken. Als je gebruikers verplicht tot het gebruik van twee hoofdletters, nummers of leestekens in hun wachtwoord, maak je het werk van de hacker eenvoudiger.

En zodra een hacker weet wat jouw wachtwoord beleid is, kunnen ze automatisch ieder wachtwoord uitsluiten wat niet voldoet aan de vereisten van jouw organisatie.

Teveel bestaande wachtwoorden zijn gehackt

Hackers hebben een brede algemene ontwikkeling op het gebied van wachtwoorden en wachtwoordbeleid. Met behulp van die ‘best practices’, lukt het hackers om duizenden bedrijfsnetwerken of online diensten binnen te dringen. Hackers kunnen directe of uitgestelde toegang krijgen. Hieronder lees je wat het verschil tussen die twee is.

Als we het over directe toegang hebben, bedoelen we dat alle gegevens van de account meteen toegankelijk zijn. Bijvoorbeeld een wachtwoord is opgeslagen in een tekstdocument, en de hacker toegang krijgt tot dat document. Als de hacker toegang heeft tot zo’n database, zijn alle wachtwoorden meteen beschikbaar.

Een hacker heeft uitgestelde toegang als de accountsgegevens beschermd zijn met encryption, of gehashed zijn. Hackers moeten dan eerst de wachtwoorden kraken. Soms hebben hackers na enkele uren of dagen toegang. Kortom: de hacker krijgt alsnog toegang, maar dan iets later.

Wachtwoord databases

Hackers hebben miljarden wachtwoorden buitgemaakt. Veel van die wachtwoorden zijn veelgebruikt, zoals 1234567 of P@ssw0rd, of een wachtwoord dat bestaat uit een combinatie van je naam en je geboortedatum. Deze wachtwoorden worden opgeslagen in een database.

Er zijn miljarden unieke wachtwoorden beschikbaar – bijna elke combinatie die je kunt bedenken. Er staan niet alleen korte, maar ook lange wachtwoorden in deze databases.

Deze wachtwoord databases worden gebruikt in een aanval die we ‘credential stuffing’ noemen. Die gestolen wachtwoorden worden dan gebruikt om in te loggen op een nieuw doelwit, zoals een website. Als je wachtwoord in zo’n database staat, maak je geen schijn van kans. (Een goede tool om te checken hoe veilig je gegevens zijn is Have I been Pwned?)

De databases zijn erg belangrijk omdat hackers er elke wachtwoordtruc die gebruikers ooit hebben gebruikt uit kunnen halen. Hackers weten dat gebruikers die een sterk wachtwoord willen maken vaak de volgende dingen doen:

  • Om en om hoofdletters gebruiken
  • Een patroon maken op je toetsenbord
  • Een woord achterstevoren spellen
  • Letters vervangen door cijfers
  • Van de eerste letter een hoofdletter maken
  • Leestekens of cijfers aan het eind van je wachtwoord zetten

Hackers weten dus hoe we onze wachtwoorden opbouwen – daardoor is het bijna onmogelijk om als gebruiker een sterk wachtwoord te bedenken. Daarom is het niet alleen belangrijk om je gebruiker te helpen bij het verzinnen van een wachtwoord, maar ook om multi-factor authenticatie in te stellen.

Meer leren?

Meer leren over wachtwoordbeveiliging en andere security uitdagingen? Bekijk onze trainingspagina Security! Daarop vind je een passende training voor bijna al je security dilemma’s.

LEER MEER OVER SECURITY
Bekijk gerelateerde onderwerpen:

Gerelateerde artikelen
29 Jan 2020 White Paper

Hackers verzinnen steeds nieuwe manieren om achter je gegevens te komen. Hoe ben jij ze te slim af? Global Knowledge vertelt je in dit interactieve e-...Lees meer

09 Nov 2016 White Paper

If you are in any way interested in computers, security, the Internet, smartphones, or how businesses operate in the modern world, you are already a p...Lees meer

06 Sep 2021 Video

In deze video’s verkent Global Knowledge-instructeur en cyberbeveiligingsdeskundige James Michael Stewart veel voorkomende mythes over cybersecurity e...Lees meer