Hoe voorkom je dat hackers inbreken op jouw accounts?

De afgelopen maanden zaten vol grote datalekken, waarbij wachtwoorden van grote sociale media op straat kwamen te liggen. Hoewel het vaak om gegevens van jaren oud gaat, zijn de lekken niet minder gevaarlijk. Waar zit het gevaar en hoe voorkom je dat hackers inbreken op jouw online accounts?

De inloggegevens van zo’n 32 miljoen Twitteraars worden te koop aangeboden door een hacker die die data in 2015 zou hebben verzameld via malware.

Eind mei werd ook al bekend dat er in 2012 maar liefst 167 miljoen logingegevens zijn buitgemaakt bij Linkedin. Begin juni kwamen ook nog eens 100 miljoen inloggegevens van het grootste sociale netwerk van Rusland, VK.com, op straat te liggen.

Hackers komen soms aan die gegevens door een grote database te kraken, maar veel vaker via malware die ingetypte wachtwoorden registreren, of via oplichtingsmails (phishing) die veel lijken op mails van een bank of een online dienst, maar in werkelijkheid de wachtwoorden doorsturen naar hackers. 

Onze inloggegevens blijken dus verre van veilig te zijn. Het zijn bovendien niet alleen onhandige computergebruikers die hierdoor worden getroffen, bleek maar toen een aantal socialmediaprofielen van Facebook-oprichter Mark Zuckerberg werden gehackt.

Je wachtwoord veranderen is niet voldoende

Wanneer een dienst bekendmaakt dat er gegevens zijn gestolen is het veranderen van je wachtwoord doorgaans niet voldoende. Die gestolen databases zijn vaak pas het begin van een hoop ellende.

Omdat veel mensen gebruikmaken van dezelfde combinatie van e-mailadres, gebruikersnaam en wachtwoord kunnen grote datasets als die van LinkedIn ook gebruikt worden om in te breken bij andere sites.

Zo kan het bijvoorbeeld zijn dat een hacker zich richt op een slecht beveiligde, amateuristische site om gegevens te kapen. Vervolgens worden die gegevens doorverkocht aan mensen die diezelfde gegevens weer uit te proberen bij andere diensten.

Zo kan gebeuren dat een hacker toegang tot je PayPal-account krijgt door gegevens die zijn gestolen van, bijvoorbeeld, een eenvoudig discussieforum of een spelletjessite.

De hackers die de profielen van Mark Zuckerberg wisten te kraken hebben dat waarschijnlijk gedaan via het grote hack bij LinkedIn in 2012.

Zelfs Zuckerberg, die toch moet weten hoe gevaarlijk het is om overal hetzelfde wachtwoord te gebruiken, gebruikte op Twitter vermoedelijk hetzelfde wachtwoord als dat hij in 2012 op LinkedIn gebruikte. Het wachtwoord was bovendien nogal eenvoudig: dadada.

Wat moet je wel doen?

De minst ingewikkelde manier om je hier tegen te verdedigen is overal een ander wachtwoord te gebruiken. Op die manier kunnen hackers gestolen wachtwoorden en gebruikersnamen niet opnieuw gebruiken bij andere sites.

In de praktijk is dat alleen makkelijker gezegd dan gedaan. Anno 2016 beschikt de gemiddelde internetgebruiker over tientallen profielen op verschillende sites. Het is simpelweg niet zo eenvoudig om voor elke dienst een nieuw wachtwoord te gebruiken en die vervolgens ook nog eens te onthouden.

Om dat probleem te voorkomen gebruiken veel mensen steeds vaker wachtwoordmanagers zoals LastPass of 1Password. Dat zijn apps waarin wachtwoorden kunnen worden opgeslagen en ingewikkelde wachtwoorden kunnen worden gegenereerd. Sommige mensen voelen zich daar echter niet veilig bij omdat op die manier alle wachtwoorden op één plaats staan opgeslagen: de servers van de wachtwoordmanagers.

Steeds meer diensten bieden ook de mogelijkheid om ‘tweestapsverificatie’ (of ‘two step authentication’) aan te zetten. Daarmee wordt er na het invullen van het wachtwoord om een unieke code gevraagd die per sms wordt gestuurd of via een speciale app (Google doet het op die manier) wordt gegenereerd.

Deze methode wordt vaak gebruikt bij internetbankieren, via het speciale kastje, of het sms’je dat de ING verstuurt. Je moet dan dus wel altijd je telefoon of het benodigde apparaatje bij de hand hebben

Het voordeel van tweestapsverificatie is dat hackers niets hebben aan alleen je wachtwoord en gebruikersnaam. Willen ze inbreken op je account, dan hebben ze dus ook je telefoon of je raboreader nodig.

Biometrische oplossingen

In de techsector wordt het probleem van het vrij ouderwetse wachtwoord al langer herkend. Er kan simpelweg niet meer van mensen worden verwacht dat ze voor elke dienst een apart wachtwoord gebruiken, omdat er zoveel zijn.

Er is daarom al langer een nieuwe standaard in ontwikkeling, FIDO. Die nieuwe methode werkt met meerdere vormen van autorisatie, waaronder tweestapsverficiatie (zoals hierboven uitgelegd), maar ook via andere methoden zoals stemherkenning, irisscanners en vingerafdrukscanners.

Wanneer de code, vingerafdruk of andere autorisatiemethode wordt herkend, wordt er achter de schermen een eenmalig wachtwoord gegenereerd dat naar de internetdienst wordt verstuurd.

Die biometrische gegevens worden bovendien versleuteld op het apparaat zelf opgeslagen, en niet op de servers van de internetdiensten. Zo hoeven mensen dus niet bang te zijn dat hun vingerafdrukken worden gestolen bij een hack.

Helaas is deze nieuwe vorm van inloggen nog niet breed beschikbaar, en moeten we tot die tijd vooral verstandig zijn bij het aanmaken van nieuwe accounts.

Tip de redactie