image

"Drie wachtwoorden voldoende voor consument"

vrijdag 6 januari 2012, 11:36 door Redactie, 8 reacties

Internetgebruikers hoeven slechts drie wachtwoorden te onthouden om al hun online accounts en gegevens te beschermen, aldus beveiligingsexpert Robert Graham. Hij reageert op het lek van 860.000 wachtwoorden van Stratfor-klanten. Volgens sommige berichten zou dit aantonen dat zelfs experts zwakke wachtwoorden kiezen en dat het verstandig is om lange, complexe wachtwoorden te gebruiken.

"Dat is fout advies. Je wachtwoord voor een gratis of goedkoop Strafor account hoeft niet complex te zijn, omdat er weinig te verliezen valt als hackers het raden", aldus Graham. Het belangrijkste is volgens hem dat het wachtwoord uniek is. "De meeste websites zijn net als Stratfor en zijn slecht beveiligd." Informatie die gebruikers op dit soort sites achterlaten wordt volgens Graham vroeger of later door hackers gestolen. Wordt het hier gebruikte wachtwoord ook voor andere accounts gebruikt, dan zullen de aanvallers ook die accounts kapen.

Drie
Graham verdeelt de websites op het internet in drie lagen. De belangrijkste laag is het e-mailaccount. "Als je e-mailaccount wordt gehackt, kunnen hackers de wachtwoorden van al je andere accounts resetten." Dit wachtwoord moet volgens de expert complex zijn en niets met andere accounts te maken hebben.

De tweede laag zijn grote webwinkels, zoals Amazon.com en Apple.com. "Deze grote websites worden waarschijnlijk niet gehackt. Je kunt waarschijnlijk hetzelfde wachtwoord voor al deze accounts gebruiken."

De laatste en minst belangrijke laag is voor websites zoals Stratfor, merkt Graham op. "Waar het geen ramp is als je wachtwoord verloren raakt. Je zou een eenvoudig wachtwoord zoals passwd1234 voor al deze accounts kunnen kiezen. Het wordt waarschijnlijk binnen een jaar gestolen, maar wat boeit het?"

Uniek
"Je hebt dus echt maar drie wachtwoorden voor elke laag nodig, dus zoveel moeite is het niet." Voor extra bescherming adviseert Graham om het wachtwoord uniek te maken, bijvoorbeeld bij de derde laag. Gebruikers zouden in dit geval de domeinnaam als wachtwoord kunnen gebruiken. "Bijvoorbeeld 'passwdStratfor1'. Als een hacker inbreekt en een geautomatiseerd script draait om te zien of je wachtwoord uniek is, zal het script geen match op andere sites vinden."

Een hacker die het wachtwoord handmatig controleert zal het "schema" ontdekken, maar met een lek van 860.000 wachtwoorden is het onwaarschijnlijk dat iemand elk wachtwoord handmatig naloopt.

"Samengevat, je eerste wachtwoord moet niet complex, maar uniek zijn. Als hackers een website zoals Stratfor hacken en ontdekken dat je wachtwoord 'password1' is, hoef je je niet te schamen. Je moet gewoon zeggen dat je Stratfor account je niets kan schelen en dat het wachtwoord niet bij je belangrijke accounts te gebruiken is."

Reacties (8)
06-01-2012, 11:45 door Anoniem
"Je hebt dus echt maar drie wachtwoorden voor elke laag nodig, dus zoveel moeite is het niet."

Dus indien men Apple hackt, en mijn credentials steelt, dan is het geen probleem indien men vervolgens spullen bestelt met mijn Amazon account ?
06-01-2012, 12:19 door KwukDuck
Wat een 'expert' weer zeg... -.-

Misschien moet ik ook maar een zelfbenoemd expert worden zodat ik overal mijn ondoordachte ideeën op nieuws sites kan krijgen, das nog interessanter als die zelfde ideeën in een reply op een bericht van een andere zelfbenoemde expert natuurlijk.
06-01-2012, 12:50 door lucb1e
@reacties hierboven: Jullie hebben gelijk dat het niet het meest schitterende advies is, maar wat is de praktijk? De meeste mensen hebben een wachtwoord voor alles, en hooguit een tweede voor bankaccounts e.d. Als gebruikers dit advies zouden opvolgen denk ik dat de beveiliging er zelfs op vooruit gaat. Maar er zit inderdaad een verschil tussen gebruikers en professionals.

Overigens, als je kijkt naar de kwaliteit van gebruikerswachtwoorden sta je soms versteld. Mensen die 4 cijfers gebruiken (wat ooit een oude inlogcode was bijvoorbeeld), of iets als "muziek" ofzo. Als ze daar eens vanaf stapten en 3 xkcd.com/936 wachtwoorden gebruikten waren er heel veel hacks de wereld uit.

Persoonlijk pas ik ongeveer hetzelfde toe als hierboven beschreven staat, maar dan met een stuk of 11 wachtwoorden. Simpele sites zonder https-login krijgen simpele wachtwoorden, de wat zwaarder beveiligde sites wat beters en bijv. mijn eigen server weer wat beters.
06-01-2012, 13:00 door Anoniem
Slecht advies. Behalve e-mail adressen en wachtwoorden zijn er ook dingen als creditcard nummers en telefoonnummers gestolen. Bovendien, kunnen die van andere 'onbelangrijke' sites gestolen worden als je het advies van R. Graham volgt. Dus dan kan je de gegevens die je over iemand hebt compleet maken voor een betere aanval.

En de personen waarvan de accounts gehackt zijn, zijn ook nu niet echt oninteressante mensen. Best handig om daar bijvoorbeeld een e-mail adres van te hebben. Journalist, politicus, hoge ambtenaar. Ook al weet je het wachtwoord van hun e-mail adres dan weer niet omdat die dan weer wel veilig is.

Gebruik dan liever een password manager. Zoals die standaard in OS X zit. Of schrijf het op en stop het in een kluis bij je andere waardevolle spullen. Zo vaak hoef je ook weer niet overal in te loggen. Dan heb je tenminste een overzicht van al je accounts.
06-01-2012, 14:01 door Anoniem
Het lagen principe is leuk bedacht alleen hoe wil een persoon die nooit heeft nagedacht over zijn internet veiligheid inschatten wat wel of niet binnen laag 1/2/3 valt?

Als ze nu gewoon eens keychains/managers gaan promoten op dat het gebruiksgemak geeft (laat het hele veiligheid verhaal voor wat het is voor de leek) dan zien gebruikers vanzelf dat dit hun tijd bespaart omdat ze geen wachtwoorden meer hoeven te onthouden (op de keychain pw na dan) en zijn ze onbewust hun eigen en andermans veiligheid op het web aan het versterken. Keyloggers wordt een stuk lastiger wachtwoorden zijn niet meer gebonden aan iets wat onthouden moet worden.
De enige dwarsbomer dan zijn nog de sites/diensten die vaak belachelijk simpele wachtwoordbeleids hanteren. Zoals Strafor klaarblijkelijk.

Nee dank je ik hou het bij mijn 80+ wachtwoorden met gezondverstand. Hoef ik teminste als er weer een bedrijf is dat blundert niet alle sites handmatig een wachtwoord te veranderen uit het risico dat ze het kapen.
06-01-2012, 14:42 door nicosc
Gewoon 1 sterk wachtwoord en de rest laten onthouden door lastpass, Werkt al jaren goed: https://lastpass.com/
07-01-2012, 14:50 door Anoniem
Of als je Fx gebruikt een hoofdwachtwoord instellen.
08-01-2012, 13:13 door Anoniem
Ik gebruik nu nog een vergelijkbare strategie als de auteur. Ik zorg er echter wel voor dat in de onderste laag geen enkel tot mij herleidbaar persoonsgegeven terecht komt, inclusief naam en (bezorg)adres. Bezorgadres is een postbus die eens in de twee jaar wijzigt.

In de praktijk merk ik wel dat het soms moeilijk is een strakke scheiding tussen de lagen aan te brengen. Dit leidt er soms toe dat ik bij het uitproberen van het juiste wachtwoord uiteindelijk ook wachtwoorden van een hogere laag ga proberen. (mede) Om die reden wil ik in elk geval voor de onderste laag gaan overstappen op een programma als keypass.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.