Multi Factor Authenticatie, een must!

5 augustus, 2019
Frieda Klomp

Waarom zijn een loginnaam en wachtwoord niet voldoende?

Criminelen maken gebruik steeds vaker gebruik jouw van inloggegevens loggen daarmee geautomatiseerd (met wachtwoord dus) in op verschillende sites. Als het inloggen lukt, kunnen ze bij alle bestanden, maar ook namens jou, of het bedrijf waar je voor werkt, bestellingen doen.

Soms wordt het betreffende account zelfs doorverkocht zodat een collega hacker dit (nog een keer) kan doen.

Maar hoe komen ze dan aan je wachtwoord?

Raden
Online probeert de hacker zoveel mogelijk info over je te krijgen; geboortedatum, je naam, naam van je kinderen, huisdieren, adres, enzovoorts.
Als je de tijd hebt, en creatief bent, maak je hier in een mum van tijd allerlei wachtwoordvariaties van.

Dictionary attack
Hackers gebruiken lijsten met allerlei wachtwoorden en proberen deze (geautomatiseerd) net zolang op jouw mailadres/login, tot ze beet hebben. Is jouw wachtwoord Qwerty123, dan is de kans groot dat die in het rijtje staat. De hacker heeft dan toegang tot al je mails, bestelaccounts EN bestanden.

Brute force attack
Alle mogelijke combinaties worden geprobeerd. Bij een brute-force aanval van alle mogelijke letters en cijfers tot 7 karakters dan worden alle mogelijke combinaties geprobeerd van 0 tot ZZZZZZZ. Deze attack methode is veel langzamer omdat er veel meer combinaties geprobeerd worden. De snelheid is afhankelijk van de hardware configuratie van de hacker en van je wachtwoord; Een 8 karakter wachtwoord zal binnen een aantal uren succesvol gekraakt worden maar een wachtwoord van 10 karakters duurt maanden om te achterhalen.

Er zijn nog vele andere methodes, welke voor nu te technisch zijn om op in te gaan.

Denk verder aan; phishing (zie vorige post), social engineering (Info verkrijgen via social media), keylogging (bespieden van je toesenbordgebruik) en implementatie van malware via een usb-stick. Hierover een volgende keer meer.

En hoe komen ze aan je loginnaam dan?

Dat is niet zo moeilijk; gebruikersnamen worden in veel log-gegevens vermeld. En daarnaast is het natuurlijk meestal een combinatie van je voor-en achternaam en mailadres. Dit is allemaal makkelijk te achterhalen. Bijvoorbeeld via LinkedIn; de hacker ziet waar je werkt, ziet je naam en kan zien wat de mailextensies van het bedrijf zijn.

Hoe bescherm je jezelf en daarmee de organisatie hiertegen?

Je e-mail en bestanden wil je natuurlijk optimaal beschermen. Gebruik daarom naast een sterk wachtwoord ook Multi Factor Authenticatie, oftewel tweestapsverificatie: er wordt tweemaal gecheckt of jij daadwerkelijk degene bent die inlogt. Bijvoorbeeld door een pushmelding op je telefoon te verifiëren.
Ook al is dan iemand in het bezit van je wachtwoord, zonder deze authenticatie kan de hacker niet inloggen, want de telefoon waarop de melding binnenkomt, die heb jij.

Tip
Check je gebruikersnaam en wachtwoord eens op www.haveibeenpwned.com
Op deze betrouwbare site kan je checken of je mailadres al eens is geprobeerd te hacken, en of je wachtwoord voldoende veilig is.

Er is ook een Nederlandse website voor; https://www.politie.nl/themas/controleer-of-mijn-inloggegevens-zijn-gestolen.html

Meer info?

Wil je weten of jouw organisatie veilig genoeg is? Of weten hoe dotXS
Multi Factor Authenticatie voor jouw organisatie kan verzorgen? Neem dan gerust contact op met een van onze medewerkers.

Terug naar overzicht