De betekenis van het woord wachtwoord – Pieter Derks

The Da Vinci Code – Security awareness filmposter

Oktober is sinds 2012 uitgeroepen tot Europese Cybersecurity maand. Tijdens deze maand wordt er door middel van verschillende campagnes extra aandacht besteedt aan het bewust omgaan met informatie en de alsmaar groeiende dreiging van cybercriminaliteit.

BeveiligMij.nl kan hierin natuurlijk niet bij achterblijven. Tijdens deze maand lanceren wij elke week twee posters die ‘offline’ de security awareness binnen een organisatie bevorderen. Voor deze posterserie hebben we gekozen voor afbeeldingen van bekende films.

The Da Vinci Code_Mijndert_BeveiligMij.nl

The Da Vinci Code

Deze poster is afgeleid van The Da Vinci Code, een verfilming uit 2006 van het gelijknamige boek, geschreven door Dan Brown. Geregisseerd door Ron Howard met in de hoofdrollen Tom Hanks (Robert Langdon) en Audrey Tautou (Sophie Neveu).

In deze film maken we kennis met Robert Langdon, een Amerikaanse hoogleraar religieuze symboliek. Hij is bezig met een nieuw boek over de heilige graal en de symbolen daaromheen. Langdon is in Parijs om een presentatie te geven over heidense symbolen die verborgen zijn in de stenen van de Kathedraal van Chartres. Op hetzelfde moment wordt in het Louvre diens museumbewaarder, Jacques Saunière, vermoord door een sektelid. In zijn laatste minuten maakt Saunière een afbeelding met gebruik van zijn lichaam en bloed die een schets van Leonardo Da Vinci vormt. Zodra professor Robert Langdon in het Louvre arriveert, maakt hij kennis met Sophie, de kleindochter van Saunière. Samen proberen zij de mysterieuze moord en de cryptische aanwijzing die Saunière probeerde te geven te achterhalen.

Bekijk hier de trailer:

Security awareness en The Da Vinci Code

In The Da Vinci Code wordt al eeuwen lang een groot geheim verborgen gehouden. Door verschillende cryptische aanwijzingen samen te voegen, kan de ‘sleutel’ gevonden worden. De aanwijzingen zijn moeilijk te herkennen en bieden enkel gezamenlijk toegang tot het geheim. Een simpele verwijzing kan je hier natuurlijk maken met wachtwoorden. Des te simpeler je wachtwoord, des te eerder kan het worden achterhaald. Cybercriminelen zijn namelijk ook goede puzzelaars, die verschillende informatie aan elkaar koppelen. En als je slechts één wachtwoord gebruikt als sleutel voor meerdere accounts wordt het wel heel eenvoudig bij jou ‘in te breken’, jouw gegevens te stelen of erger nog je identiteit over te nemen. En zoals in de film is het verstandig om meerdere stappen toe te passen om toegang te krijgen tot jouw persoonlijke accounts, dit kan met ‘Twee-factor-Authenticatie’. Maar hoe maak je nu een goed wachtwoord, dat je ook nog makkelijk kan onthouden? Je leest het op onze tippagina over wachtwoorden.

Gratis posters

Download deze unieke poster als PDF en hang ‘m op, zodat je collega’s ook “onbewust” geconfronteerd worden met security awareness. Door de hoge kwaliteit zijn onze posters op elk gewenst formaat af te drukken.

Mijndert at the Movies - The Da Vinci Code

Bekijk ook eens onze andere posterseries:

Download poster serie 1Poster wachtwoorden

SMS “ikke” voor een andere identiteit

Is SMS-authenticatie verleden tijd?

Vertelt een sms bericht eigenlijk wel de waarheid? Weet je zeker dat een sms-bericht van de juiste persoon of instantie komt of dat je eigen bericht uiteindelijk wel op de juiste plaats belandt? De geleerden zijn het er inmiddels allemaal wel over eens dat het gebruik van alleen een gebruikersnaam en wachtwoord onveilig is. Voor toegang tot belangrijke gegevens, je bankgegevens, de HR-portal van het bedrijf of misschien wel gewoon je Facebook-account. Het voorkomen van misbruik van persoonlijke gegevens of identiteit is een cruciaal doel van iedere IT-security professional en SMS kan daar een belangrijke rol bij spelen.

Twee-factor authenticatie of sterke authenticatie vormt hierbij een belangrijke schakel. Een extra factor wordt toegevoegd die misbruik moeilijker maakt en sinds jaren is de Short Message Service (SMS) via het mobiele telecom netwerk een heel populair en succesvol middel gebleken als extra authenticatie-middel. Gebruikersnaam, wachtwoord en een eenmalige autorisatie-code via SMS vormen een schijnbaar onbreekbare combinatie.

sms-two-factor-authentication

Telecom vs. datacom

Dat het SMS-verkeer niet via een datanetwerk maar via het mobiele telecomnetwerk verloopt is hierbij een belangrijke factor. IP-gebaseerde datanetwerken zijn gevoeliger voor inbraak, voor malware en voor allerlei andere manieren waarmee hackers zich toegang proberen te verschaffen tot systemen van consumenten, overheden en bedrijven. Ondanks dat het niet onmogelijk is, is het veel moeilijker om in te breken op de communicatie binnen de vaak gesloten netwerken (GSM, UMTS) van mobiele telecomproviders. Het is niet onmogelijk, maar er zijn meer en grote investeringen nodig om in te breken op deze netwerken, zeker in vergelijking tot de relatief eenvoudige toegang tot IP-netwerken middels vrij verkrijgbare malware-scripts en andere hacking-tools.

Een ander belangrijk feit dat spreekt voor SMS is dat het mobiele bereik van GSM/UMTS beter is dan dat van 3G/4G datanetwerken. Vooral op afgelegen plaatsen en in gebouwen is het ontvangen van een SMS vaak geen probleem, terwijl een mobiele internetverbinding dan niet altijd beschikbaar is. De combinatie van naam, wachtwoord en een SMS-code lijkt dus alleen maar voordelen te hebben.

Exit SMS?

Desondanks heeft het Amerikaanse NIST (National Institute of Standards and Technology) onlangs aangegeven SMS voor authenticatiedoeleinden minder geschikt te gaan beoordelen en op termijn zelfs af te raden. Een van de belangrijke redenen hiervoor is dat SMS-diensten tegenwoordig ook via VoIP-netwerken mogelijk zijn, welke (zoals andere IP-netwerken) makkelijker zijn te hacken dan de eerder genoemde telecomnetwerken. SMS-authenticatie zou alleen moeten worden toegestaan wanneer deze gegarandeerd over deze telecom netwerken zou verlopen en niet via VoIP-diensten, zegt het NIST.

Van tweefactor naar multifactor SMS authenticatie

Toonaangevend fabrikant Censornet ondersteunt het betoog van het NIST maar zet ook enkele kanttekeningen: “SMS-authenticatie is een succesvolle en een relatief eenvoudige technologie die al jarenlang trouwe diensten verleent en wellicht daarom alleen al door sommigen uitgefaseerd zou moeten worden. Nieuwere technologieën zijn beschikbaar, sommige zijn eenvoudig te implementeren, de meeste zijn meer complex, maar allemaal streven ze hetzelfde doel na: veilige authenticatie door een gebruiker die is wie hij/zij zegt te zijn. SMS is hierbij vooralsnog de meest effectieve en efficiënte manier.”

sms inlogcode

Bewezen en betrouwbaar

Authenticatie via SMS is op dit moment de veilige en vertrouwde manier voor het bepalen van de gebruikersidentiteit, zeker wanneer dit wordt aangevuld met multifactor authenticatie. Wanneer andere manieren, zoals smartphone apps, irisscans of vingerafdrukken, in de praktijk en op lange termijn voldoende betrouwbaar blijken te zijn en minder gevoelig zijn voor misbruik, dan zal deze “oude technologie” wellicht zijn plaats kunnen gaan afstaan aan zijn opvolger. Maar tot die tijd is gebruikersauthenticatie via SMS gewoon de beste oplossing.

Dit blog is eerder geplaatst op de website van SECWATCH.

Wachtwoorden van Oranje

Een stel vrienden van mij, Mario Ruiz en Peter de Jong, zijn beginnende filmers. Onlangs heb ik ze gevraagd een productie te maken over wachtwoorden. Het is een filmpje geworden met een oranje tintje! Ik ben erg benieuwd wat jullie ervan vinden!

Meer informatie: www.studio9photography.nl

Wachtwoorden in de keukenmachine

Kan jij van een smoothie een aardbei maken?

Hashing is een term die wel eens wordt gebruikt wanneer wachtwoorden gestolen zijn bij een hack. Dit komt omdat hashing gebruikt wordt voor het veilig opslaan van wachtwoorden. Saai…. maar wat heeft dit met smoothie’s the maken?

De volgende video (Engelstalig) kwam ik tegen op internet, gemaakt door de 10-jarige Reuben Paul. Hij legt hierin uit wat hashing is en doet dit aan de hand van aardbeien, een keukenmachine en een smoothie.

Aangezien ik zelf ook graag paralellen trek om ingewikkelde zaken eenvoudig uit te leggen wilde ik jullie dit niet onthouden.

Hashing van wachtwoorden

Zoals in de video wordt aangegeven wordt hashing gebruikt om wachtwoorden op te slaan. Omdat het een éénrichtingsweg is kan een wachtwoord niet herleid worden uit het resultaat. Van een smoothie kun je ook geen aardbei meer maken. Dan rijst natuurlijk de vraag;

Hoe weet een programma of website dan of ik het juiste wachtwoord aanbied wanneer ik opnieuw inlog als deze zelf mijn wachtwoord niet kan achterhalen?

Simpel, door jouw wachtwoord opnieuw in de keukenmachine te doen (te hashen). Wanneer het resultaat hetzelfde is als de eerste keer, is het wachtwoord hetzelfde en dus goed. Wanneer er wederom een aardbeien smoothie uitkomt weet je dat er wederom aardbeien in de keukenmachines zijn gedaan.

Reuben Paul (@RAPst4r) is oprichter en eigenaar van CyberShaolin, een Amerikaans bedrijf dat zich ook richt op security awareness bij de huidige en toekomstige generaties.

LastPass gehackt! En nu?

Het overkomt iedereen

Afgelopen vrijdag zijn hackers erin geslaagd om in te breken bij LastPass, een ontwikkelaar van een cloud gebaseerde passwordmanager. De hackers hebben onder andere e-mailadressen en wachtwoorden buitgemaakt zo schrijft LastPass op haar eigen blog

De kluizen, waarin gebruikers al hun gebruikersnamen en wachtwoorden kunnen opslaan, zijn niet in het bezit gekomen van de hackers. Tevens is de beveiliging daarvan zo sterk dat de inhoud sowieso niet gelezen en dus misbruikt kan worden. Er is dus geen reden om de wachtwoorden die in de kluis zijn opgeslagen aan te passen.

LastPass passwordmanager gehackt

LastPass is ervan overtuigd dat de wachtwoorden dermate goed versleuteld zijn dat cybercriminelen deze niet binnen de gewenste tijd kunnen ontcijferen. Wanneer het criminelen bijvoorbeeld 10 jaar kost om een wachtwoord te ontcijferen is het wachtwoord allang niet meer in gebruik.

Voor gebruikers die een standaard en/of eenvoudig wachtwoord hebben gekozen wordt aangeraden deze te wijzigen. De cybercriminelen hebben namelijk alle gebruikersnamen en zullen in ieder geval proberen om het bijbehorende wachtwoord te “raden”. Kunnen ze aanmelden, dan hebben ze toegang tot de gehele kluis van de LastPass-gebruiker. LastPass heeft wel acties ondernomen om dit te blokkeren.

Gebruikers die vanaf een nieuw apparaat of IP-adres inloggen moeten eerst hun account via e-mail verifiëren, tenzij multifactor-authenticatie staat ingeschakeld. Ook worden gebruikers geadviseerd om hun hoofdwachtwoord te wijzigen. Dit advies geldt zeker voor gebruikers die een eenvoudig wachtwoord gebruiken of hetzelfde wachtwoord op andere sites gebruiken.

2-Factor Authentication

Dit voorval geeft maar weer eens het belang van een tweede factor aan. LastPass gebruikers die 2-Factor Authentication geactiveerd hadden voorkomen hiermee dat de cybercriminelen toegang hebben tot hun kluis wanneer ze het wachtwoord geraden hebben. Ze beschikken namelijk niet over de vereiste code die alleen de betreffende LastPass-gebruiker kan genereren.

Kaspersky Lab

Ook het gerenommeerde anti-malware bedrijf Kaspersky Lab is eerder dit jaar slachtoffer geworden van een aanval via internet. In een persbericht bracht Kaspersky Lab afgelopen week zelf naar buiten dat cybercriminelen erin geslaagd waren om malware op computers binnen het netwerk van Kaspersky Lab te installeren.

Kaspersky Internet Security 2015Ook hier zijn de alarmbellen op tijd gaan rinkelen en is voorkomen dat informatie van klanten is gestolen. Ook is het  beveiligingsniveau van de klanten van Kaspersky Lab niet in het geding geweest. Het geeft wel aan dat ook bedrijven die dagelijks zeer actief zijn in de strijd tegen cybercriminaliteit zelf ook slachtoffer kunnen worden, dus waarom zou jouw bedrijf of jouw computer thuis niet geïnfecteerd kunnen worden….

 

 

De manier om wachtwoorden te bedenken

Wachtwoorden geven ons toegang tot veel van onze informatie; e-mail, Facebook, LinkedIn. Maar ook banken maken nog gebruik van wachtwoorden en/of pincodes. We moeten inmiddels zoveel wachtwoorden hebben dat ze worden opgeschreven of hergebruikt, ondanks dat we weten dat beide niet verstandig zijn, toch? Kijk hier voor meer tips over een goed wachtwoord.