Veilig op het internet/Wachtwoorden: verschil tussen versies

(Typo: voorbeeeld => voorbeeld)
Wachtwoorden worden zowel lokaal als op internet gebruikt om gegevens af te schermen voor onbevoegden (bv. e-mail, sociale netwerksite, je eigen computer, internetbankieren,...). Dat kan zijn om redenen van privacy (anderen gaat het niets aan) en/of om misbruik te voorkomen (anderen kunnen je schade berokkenen). Kortom als je een wachtwoord gebruikt, doe je dat niet voor je lol en wil je dat de gegevens daadwerkelijk afgeschermd worden.
 
==
== Voorbeelden van problemen ==
Hieronder worden enkele situaties geschetst, die in het reële leven kunnen voorkomen. Onder het kader wordt steeds extra uitleg gegeven:
 
<blockquote style='border: 1px solid blue; padding: 0.5em; background-color: #DDDDDD;'>
''Voor het gemak gebruik ik als wachtwoord de initialen van voornaam-achternaam: makkelijk te onthouden en snel in te tikken.''
</blockquote>
* Er zijn te weinig mogelijkheden, nl. slechts 26 * 26 = 26^2 = 676. Weliswaar veel om in te tikken door een mens, maar een hacker zal een programma schrijven dat alle mogelijke wachtwoorden genereert en uittest. Vervolgens laat hij een computer het 'domme' rekenwerk uitvoeren en 676 wachtwoorden kan hij héél, héél snel genereren. Deze techniek noemt met [[w:Brute_kracht|brute force]], waarbij men eerst die wachtwoorden zal uitproberen, die de grootste kans op slagen hebben.<ref>ZDNet.be: [http://www.zdnet.be/news/133357/de-slechtste-wachtwoorden-van-2011/ De slechtste wachtwoorden van 2011]</ref> Ook voor een telefoon kan men dit principe gebruiken.<ref>ZDNet.be: [http://www.zdnet.be/news/128696/de%2dtien%2dmeest%2dgekozen%2diphone%2dwachtwoorden/ De tien meest gekozen iPhone-wachtwoorden]</ref>
* Het is gemakkelijk te achterhalen wat je voornaam en achternaam is, waardoor het zelfs zonder computer snel te kraken is. Het overkwam het Brussels parlement. <ref>Tweakers.NET: [http://tweakers.net/nieuws/78896/wachtwoorden-brussels-parlement-waren-makkelijk-te-raden.html Wachtwoorden Brussels parlement waren makkelijk te raden]</ref>
 
<blockquote style='border: 1px solid blue; padding: 0.5em; background-color: #DDDDDD;'>
''Daarnet belde me iemand op mijn bureau van de IT-dienst. Omwille van een probleem met de servers moest ik mijn login en wachtwoord geven, zodat ik snel terug kon verderwerken. Ik had net veel werk en heb het dan maar snel gegeven. Vriendelijke IT-gast trouwens! Heb zelfs niet eens gemerkt dat er een probleem met de servers was.''
</blockquote>
* Dit zou kunnen een voorbeeld zijn van [[w:Social_engineering_(informatica)|social engineering]]. Het is een techniek waarbij de computerkraker een aanval op computersystemen tracht te ondernemen door de zwakste schakel in de computerbeveiliging, namelijk de mens, te kraken. De aanval is erop gericht om vertrouwelijke of geheime informatie los te krijgen, waarmee de hacker dichter bij het aan te vallen object kan komen.<ref>Uitgeled voorbeeld van social engineering op Tweakers.net: [http://tweakers.net/nieuws/83587/ook-amazon-faalde-bij-social-engineering-aanval.html Ook Amazon faalde bij social engineering-aanval]</ref>
* Via e-mail kan je ook een vraag krijgen om je wachtwoord van bv. je bank te wijzigen, omwille van verbeterde beveiliging. Dit zou echter ook een hacker kunnen zijn. Men heeft het dan over [[Veilig_op_het_internet/Phishing|phishing]], zoals eerder besproken.
 
<blockquote style='border: 1px solid blue; padding: 0.5em; background-color: #DDDDDD;'>
''Mijn wachtwoord is !74ç£{}2@&@@.:,+=+zipAep en je kan het dus heel moeilijk achterhalen. Maar omdat ik het zelf niet kan onthouden, schrijf ik het op een post-it, dat ik onder mijn toetsenbord verberg. Misschien moet ik het in een bestand wachtwoord.txt op mijn bureaublad plaatsen, zodat ik het enkel moet kopiëren en plakken.''
</blockquote>
* Dit is de digitale variant van de sleutel-onder-de-deurmat. Je wachtwoord zal veilig zijn voor iemand die jou probeert te hacken vanop afstand, maar voor iemand die toegang heeft tot jouw bureau maak je het wel heel gemakkelijk. Net omdat het zo lang is, bestaat bovendien het gevaar dat je het in een bestand wachtwoord.txt op je bureaublad zal plaatsen, om het te kopiëren en plakken. Voor een hacker-op-afstand ben je dan weeral niet veilig.
 
<blockquote style='border: 1px solid blue; padding: 0.5em; background-color: #DDDDDD;'>
''Voor mijn wachtwoord gebruik ik de naam van mijn hond. Toch iets wat je niet snel vergeet hé.''
</blockquote>
* Denk eens goed na wie de naam van je hond zou kunnen weten... je zal verrast zijn hoeveel personen dat wel niet zijn. In onze Facebook-wereld staat ook énorm veel informatie over onszelf open en bloot te lezen door je honderden vrienden. Andere vaak voorkomende, maar makkelijk te kraken wachtwoorden zijn naam van familieleden, huisdieren, geboortedatum,...
* Let ook op bij het gebruik van de geheime vraag: je wachtwoord mag dan nog bijzonder complex zijn, als je geheime vraag eenvoudig te beantwoorden is, dan is ook je (complex) wachtwoord niet veilig. Zo was de geheime vraag van Sarah Palin ''Waar ontmoette je je echtgenoot?'', wat na enig onderzoek op het internet blijkbaar beantwoord kon worden<ref>ZDNet.be: [http://www.zdnet.be/news/91721/student-verdacht-van-hacken-e-mail-sarah-palin/ Student verdacht van hacken e-mail Sarah Palin]</ref>.
 
<blockquote style='border: 1px solid blue; padding: 0.5em; background-color: #DDDDDD;'>
''Voor mijn wachtwoord gebruik ik piëzoëlektrisch... wie zal dat nu raden.''
</blockquote>
* Wat door hackers ook vaak wordt gebruikt is een [[w:Woordenlijstaanval|woordenlijstaanval (en: dictionary attack)]]. Men zal dan niet zoals bij een brute force techniek álle mogelijke combinaties van wachtwoorden gebruiken, maar wel een samengestelde (en daardoor beperkte) lijst van mogelijkheden. Dit hoeft niet noodzakelijk een gewoon woordenboek te zijn, maar dit kan ook de Bijbel zijn, de Koran, een lijst van merken,...
 
<blockquote style='border: 1px solid blue; padding: 0.5em; background-color: #DDDDDD;'>
''Ik heb mijn eigen systeem bedacht om een complex wachtwoord te maken en ben daar heel tevreden over. Ik ben er zelfs zodanig tevreden over, dat ik hetzelfde wachtwoord gebruik voor álles.''
</blockquote>
* Een systeem is maar zo sterk als de zwakste schakel. Als het een hacker lukt om je e-mailwachtwoord te achterhalen, dan zal hij het zeker niet nalaten om ook dat wachtwoord uit te testen bij andere e-mailaccounts in jouw bezit, je Facebook, je bank, enkele websites,...<ref>[http://tweakers.net/nieuws/77351/kwaadwillenden-kraken-wachtwoorden-93000-psn-accounts.html Tweakers.net: Kwaadwillenden kraken wachtwoorden 93.000 PSN-accounts]</ref> Het achterhalen van één wachtwoord kan behoorlijk eenvoudig zijn, omdat sommige programma's wachtwoorden bewaren op je computer (bv. je browser). Als je eventjes je werkplek verlaat, kan iemand anders dit achterhalen. Maak er een gewoonte van om je computer elke keer te vergrendelen wanneer je er even niet bent. Onder Windows kan dit eenvoudig met Windows+L.
* Wat je dan natuurlijk ook niet doet, is voor álles een ander wachtwoord verzinnen, om dan vervolgens een tekstbestand wachtwoorden.txt op je bureaublad te plaatsen, met daarin website, login en wachtwoord!
 
<blockquote style='border: 1px solid blue; padding: 0.5em; background-color: #DDDDDD;'>
''Het gevoel afgesneden te zijn van de rest van de wereld vind ik maar beangstigd. Gelukkig was er op reis een cybercafé in de buurt: dagelijks kon ik mijn Facebook en e-mail bekijken. Super! ''
</blockquote>
* Als je een publieke computer gebruikt - bv. op vakantie - dan ben je niet zeker welke programma's op de achtergrond draaien. Een [[w:Keylogger|keylogger]] houdt misschien al je wachtwoorden bij. Na gebruik van de publieke computer ga je best achteraf op een veilige computer je wachtwoord wijzigen. Er wordt alvast gezocht naar veiliger methoden bij gebruik van een publieke computer.<ref>Tweakers.NET: [http://tweakers.net/nieuws/79393/google-laat-gebruikers-inloggen-zonder-wachtwoord-in-te-typen.html Google laat gebruikers inloggen zonder wachtwoord in te typen]</ref>
* Naast een keylogger kan het ook zijn dat je netwerkverkeer wordt afgetapt. De meeste webpagina's worden verstuurd over een gewone http-verbinding, bv. http://nl.wikibooks.org. Iemand die erin slaagt om je netwerkverkeer af te luisteren kan dan gewoon meevolgen welke je allemaal verstuurd en ontvangt. Dus ook je login en wachtwoord kan hij zien passeren. Dat kan natuurlijk niet de bedoeling zijn, waardoor men http'''s''' heeft ontwikkeld. Hier wordt een wachtwoord eerst geëncrypteerd (de ''s'' in https staat dan ook voor ''secure'') en dán pas verstuurd. Diegene die afluistert kan het geëncrypteerde wachtwoord wel onderscheppen, maar hij heeft geen mogelijkheid om het terug om te zetten naar de gewone vorm. Enkele de ontvangende webserver kan deze omgekeerde bewerking nog uitvoeren. Je herkent https vaak in de adresbalk van de browser. Bovendien zal de browser dit visueel vaak nog benadrukken, zoals je hieronder kan zien.
[[Bestand:HTTPS_adresni_radek_1.PNG]]
[[Bestand:Https.jpg]]
 
<blockquote style='border: 1px solid blue; padding: 0.5em; background-color: #DDDDDD;'>
hoi<br/>
<br />
jullie kregen misschien de voorbije weken af en toe een spam-bericht van mij omdat mijn hotmail vanzelf mails rondstuurt naar mijn contactpersonen. iets ivm msnfoto's ofzo. ik weet er niets van, daarom heb ik mijn hotmailadres nu afgesloten- ik zal het niet meer openen - en zou jullie willen vragen alle berichten vanaf nu naar mijn ander e-mailadres te sturen.
<br/><br/>
herzlichen Dank!
Anne
</blockquote>
* Bovenstaande is een voorbeeld uit-het-leven-gegrepen. In dit bericht gebruikt de hacker het feit dat als je een e-mail krijgt van iemand die je kent, je dit als betrouwbaarder zal beschouwen, dan van iemand die je niet kent. De vraag is hoe hij dit zomaar kan doen? Er kunnen hiervoor meerdere oorzaken zijn en gezien dit onderdeel focust op wachtwoorden:
** Haar wachtwoord is gekraakt en/of ze had een eenvoudig te beantwoorden geheime vraag. In dit geval zou het terug wijzigen van wachtwoord/geheime vraag het moeten oplossen.
** Misschien heeft Anne ooit op een publieke computer haar Hotmail gecontroleerd en werd haar netwerkverkeer afgeluisterd of was er een keylogger geïnstalleerd. In dit geval zou het terug wijzigen van wachtwoord/geheime vraag het moeten oplossen, wat natuurlijk moet gebeuren op een veilige (private?) computer.
** Misschien is de keylogger op haar eigen pc geïnstalleerd, waardoor het gebruiken van een ander e-mailadres niet noodzakelijk het probleem oplost, maar het gewoon verplaatst. Anne zou best eens kijken of ze een virusscanner heeft en of deze up-to-date is. Bij twijfel wordt deze pc best binnengebracht in de pc-winkel.
* Merk op dat er een verschil is tussen een hotmailadres niet meer gebruiken t.o.v. het effectief afsluiten. In het eerste geval kan jíj het dan wel niet meer gebruiken, maar de hacker zal daar niet om malen: die kan blijven spam versturen naar jouw contactpersonen. Als je het effectief afsluit <ref>[http://www.hoemoetje.com/hotmail-verwijderen/ Afsluiten van een Hotmailaccount]</ref> kan de hacker het misschien deblokkeren (vooral als je wachtwoord nog hetzelfde is). Na een tijdje zal je account ook terug beschikbaar komen, waardoor de hacker een account in jouw naam kan registreren. Tenslotte kan een hacker ook jouw gegevens gebruiken om een account aan te maken op een andere mailserver, om vervolgens mails te versturen naar jouw contactpersonen.
 
== Hoe worden wachtwoorden achterhaald? ==
Anonieme gebruiker
Informatie afkomstig van https://nl.wikibooks.org Wikibooks NL.
Wikibooks NL is onderdeel van de wikimediafoundation.