Tip van de week: Veilig wachtwoord deel 2

Gepubliceerd op 27 januari 2023 om 17:29

Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑

In de eerste aflevering van onze serie over 'veilige wachtwoorden' hebben we gekeken naar de oorsprong en evolutie van wachtwoorden. We hebben ook geleerd dat er betrouwbare oplossingen beschikbaar zijn, zoals wachtwoordbeheerders en digitale kluizen, die het veilig opslaan en genereren van wachtwoorden mogelijk maken. Echter, er zijn ook risico's verbonden aan het opslaan van wachtwoorden, zoals het feit dat ze in verkeerde handen kunnen vallen. Wat ik persoonlijk niet zo snel had verwacht is de laatste weken toch vollop gebeurd.

Datalek bij LastPass en moederbedrijf GoTo

Eind augustus van het afgelopen jaar meldde LastPass dat het bedrijf getroffen was door een datalek. Een hacker slaagde erin om de ontwikkelaarsomgeving te infiltreren en "technische gegevens" te stelen, maar er waren geen aanwijzingen dat klantgegevens of wachtwoorden waren buitgemaakt. Later bleek echter dat de aanvaller ook toegang had gekregen tot een third-party cloudopslagdienst die LastPass deelde met moederbedrijf GoTo. Hierdoor werden versleutelde back-ups van klanten, waaronder gebruikersnamen, gesalte en gehashte wachtwoorden en productinstellingen, gestolen. GoTo heeft aangekondigd dat het wachtwoorden van getroffen klanten zal resetten en MFA-instellingen opnieuw zal autoriseren. Er is op dit moment geen bewijs dat andere GoTo-producten zijn getroffen.

NCSC waarschuwt voor beveiligingslek in wachtwoordmanager KeePass

Afgelopen week heeft het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid gewaarschuwd voor een beveiligingslek in wachtwoordmanager KeePass. Volgens het NCSC kan een aanvaller die al toegang heeft tot een systeem, via dit lek gegevens uit de KeePass-database, zoals wachtwoorden, stelen. De ontwikkelaar van KeePass ontkent echter dat het om een kwetsbaarheid gaat en stelt dat de wachtwoorddatabase van KeePass niet ontworpen is om tegen een aanvaller met dergelijke toegang bescherming te bieden. Er zal geen beveiligingsupdate verschijnen. Het NCSC adviseert organisaties om een risicoafweging te maken voor het gebruik van KeePass en maatregelen te nemen, zoals het gebruik van een Enforced Configuration met de parameter "ExportNoKey" op "false", om misbruik te voorkomen. Dit lek wordt aangeduid als CVE-2023-24055, maar is door de ontwikkelaar betwist.

Credential stuffing aanval op Norton Password Manager

Op 12 december ontdekte Gen Digital, het moederbedrijf van NortonLifeLock, een ongebruikelijke hoeveelheid onsuccesvolle inlogpogingen op Norton Password Manager-accounts. Na intern onderzoek bleek dat er op 1 december een aanval had plaatsgevonden via credential stuffing. Aanvallers hadden data van derden gebruikt om in te loggen op de accounts, waarschijnlijk omdat veel gebruikers hetzelfde wachtwoord gebruiken voor verschillende accounts. Het bedrijf waarschuwt dat als aanvallers toegang hebben weten te krijgen tot informatie uit persoonlijke kluizen, dit kan leiden tot meer cyberaanvallen. Het is onbekend hoeveel accounts zijn getroffen, maar gebruikers die hetzelfde wachtwoord gebruiken voor hun Norton-account en Norton Password Manager zijn kwetsbaar.

Wachtwoordmanager recente kwetsbaarheden en lekken

Is het nog steeds aanbevolen om een wachtwoordmanager te gebruiken ondanks de recente kwetsbaarheden en lekken die zijn opgetreden? Het blijft aanbevolen om een wachtwoordmanager te gebruiken, ondanks de recente kwetsbaarheden en lekken die zijn opgetreden. Dit omdat een wachtwoordmanager een veilige manier biedt om wachtwoorden op te slaan en te beheren. Het maakt het gemakkelijk om unieke, sterkwachtwoorden te gebruiken voor elk account in plaats van een enkel wachtwoord voor meerdere accounts. Het is wel belangrijk om een betrouwbare wachtwoordmanager te kiezen die regelmatig beveiligingsupdates uitvoert en goede beveiligingspraktijken te volgen, zoals het gebruik van een sterk hoofdwachtwoord en tweefactorauthenticatie inschakelen.

Een hack of datalek kan grote gevolgen hebben, vooral als er wachtwoorden gestolen worden. Maar stel dat er niets te stelen valt, dan zou dat een groot voordeel zijn. Helaas is het vaak lastig om zowel veiligheid als gebruiksgemak te combineren. Een oplossing die zowel veilig als gebruiksvriendelijk is, zou de ideale oplossing zijn. Zou je zo iets kunnen ontwikkelen?

De wens

Stel dat wachtwoorden niet worden opgeslagen, maar steeds opnieuw worden berekend en dat het resultaat van de berekening het wachtwoord is. Bijvoorbeeld 3+5+1=9 waarbij 9 dan het wachtwoord is. En je kunt het ook veiliger en gebruiksvriendelijker maken door de gebruiker een unieke code toe te laten voegen die elke keer hetzelfde mag zijn om de berekening af te ronden. Dan kom je aardig in de buurt van een veilige en gebruiksvriendelijke oplossing.

De oplossing

Een recente ontwikkeling die hiervoor een oplossing biedt, is om wachtwoorden helemaal niet op te slaan, maar te berekenen aan de hand van een formule. Met een geschikte formule voldoen al uw wachtwoorden automatisch aan de hoogste kwaliteitseisen. Omdat de formule uw wachtwoorden steeds opnieuw kan berekenen, hoeft het resultaat van de berekening - uw wachtwoord - niet te worden opgeslagen. Deze manier van werken is het meest veilig, levert de beste wachtwoorden op en is nog gebruiksvriendelijk ook. Maar volgende week de ontknoping in deze driedelige blog over veilige wachtwoorden. De oplossing!