image

Privacytoezichthouders slaan alarm over hergebruik van wachtwoorden

dinsdag 28 juni 2022, 16:11 door Redactie, 7 reacties

Internationale privacytoezichthouders slaan alarm over het hergebruik van wachtwoorden, aangezien criminelen hierdoor op accounts van internetgebruikers kunnen inloggen. Het gaat specifiek om credential stuffing-aanvallen. Bij dergelijke aanvallen worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen.

Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. Volgens de privacytoezichthouders van Canada, Gibraltar, Jersey, Turkije, het Verenigd Koninkrijk en Zwitserland vormen credential stuffing-aanvallen een groeiende dreiging voor de persoonlijke informatie van internetgebruikers.

Daarom zijn de autoriteiten met een advies gekomen waarin ze eindgebruikers en organisaties laten weten hoe dergelijke aanvallen zijn te voorkomen, detecteren en mitigeren (pdf). Het gaat dan om het niet hergebruiken van wachtwoorden en het vermijden van korte en voorspelbare wachtwoorden. Tevens adviseren de privacytoezichthouders het gebruik van passphrases, wachtwoorden die uit meerdere woorden bestaan. De meest effectieve maatregel tegen credential stuffing is multifactorauthenticatie, zo laten de autoriteiten weten. Dit moet dan ook waar mogelijk worden ingesteld.

Image

Reacties (7)
28-06-2022, 16:28 door Anoniem
2fa 4 president.
28-06-2022, 16:36 door Anoniem
De digitale samenleving vs analoge samenleving.

Waarom verlangen we steeds vaker....naar ? kies maar

NLNU2022
28-06-2022, 17:26 door Anoniem
Heel nuttige onzin. De beveiliging die ik kies hangt samen met hetgeen ik beveiligen wil. Straks moet ik nog bij stemmen op een poll eerst door een hele achtfactorauthentificate heen omdat anders een paar ambtenaren daar wakker van liggen en drie techneuten ruzie krijgen dat negen nòg veel beter is. Vooral als die denken dat ze dat helemaal zelf bedacht hebben maar in feite zelf ook maar gewoon ergens op internet op een forum hebben gelezen.
28-06-2022, 17:29 door Anoniem
In plaats van alle verantwoordelijkheid weer bij de slachtoffers te leggen, had deze coalitie zich beter kunnen richten op website aanbieders.

Dus in plaats van gebruikers te adviseren geen 'zwakke wachtwoorden' te gebruiken, had het website aanbieders moeten aanbevelen om alle wachtwoorden te controleren tegen (bijvoorbeeld) de lijst gehackte wachtwoorden van Have I Been Pwned. En in plaats van gebruikers te adviseren MFA in te schakelen, zouden websites die geen MFA aanbieden of afdwingen als 'onveilig' moeten worden bestempeld.
28-06-2022, 20:07 door Anoniem
Door Anoniem: In plaats van alle verantwoordelijkheid weer bij de slachtoffers te leggen, had deze coalitie zich beter kunnen richten op website aanbieders.

Dus in plaats van gebruikers te adviseren geen 'zwakke wachtwoorden' te gebruiken, had het website aanbieders moeten aanbevelen om alle wachtwoorden te controleren tegen (bijvoorbeeld) de lijst gehackte wachtwoorden van Have I Been Pwned.
Het wachtwoord izonder accountnaam of email adres? Dat is natuurlijk onzin: als een moeilijk te raden wachtwoord buitgemaakt is bij een hack kan dat nog steeds veilig zijn bij een ander account.
En daarnaast: dan weet je alleen dat je op moment van maken een uniek wachtwoord hebt. Het zegt niets over de toekomst...
En in plaats van gebruikers te adviseren MFA in te schakelen, zouden websites die geen MFA aanbieden of afdwingen als 'onveilig' moeten worden bestempeld.
Waarom? Om te reageren op security.nl heb je toch ook alleen een capcha nodig, geen account of MFA? Er zijn voldoende sites waar ik een enkel wachtwoord voldoende vind. Maar op zo'n site laat ik geen persoonlijke gegevens achter.
29-06-2022, 10:31 door Anoniem
Door Anoniem:
Dus in plaats van gebruikers te adviseren geen 'zwakke wachtwoorden' te gebruiken, had het website aanbieders moeten aanbevelen om alle wachtwoorden te controleren tegen (bijvoorbeeld) de lijst gehackte wachtwoorden van Have I Been Pwned..
Of nog beter: websites adviseren om geen e-mail adres als accountnaam te gebruiken. En "globally unique site-onafhankelijke accountnaam" is om allerlei redenen een slecht idee, dat is wel duidelijk.
30-06-2022, 15:23 door karma4
Betere kop: privacytoezichthouders gaan buiten hun boekje en doen aan victim blaming.
Hogg tijd dat dat soort toezichthouders onder toezicht geplaatst worden.n
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.