Tips om wachtwoordaanvallen te voorkomen

5 mei 2022

Veel mensen blijven in de voor­zien­bare toekomst thuis­werken of hybride werken. Dat betekent dat zij niet over dezelfde mate van lokale onder­steu­ning op IT- en security-gebied beschikken als op kantoor. Daarom is het van cruciaal om voor gebrui­kers­ac­counts een uniek en sterk wacht­woord te gebruiken. World Password Day is bedoeld om compu­ter­ge­brui­kers eraan te herin­neren dat ze zwakke of oude wacht­woorden moeten vervangen door sterke wacht­woorden om hun zakelijke en privé­ge­ge­vens veilig te houden. 

Meest gebruikte wachtwoordaanvallen door cybercriminelen

Een van de belang­rijkste manieren om bevei­li­gings­in­ci­denten te voorkomen is om inzicht te verwerven in de tactieken die cyber­cri­mi­nelen hanteren om toegang tot gevoelige infor­matie te krijgen, zoals:

  • Social engi­nee­ring-aanvallen, zoals phishing: Hierbij sturen cyber­cri­mi­nelen gebrui­kers e‑mails en sms-berichten om hen onder valse voor­wend­selen aan te zetten tot het prijs­geven van hun aanmel­dings­ge­ge­vens of het klikken op kwaad­aar­dige links of bijlagen.
  • Woor­den­lijst­aan­vallen: Cyber­cri­mi­nelen maken soms gebruik van een lijst met vaak gebruikte wacht­woorden om toegang te krijgen tot accounts. Veel gebrui­kers denken daarnaast onterecht dat een paar extra getallen of tekens het moei­lijker maakt om hun wacht­woord te raden, maar cyber­cri­mi­nelen voegen ook vaak getallen en tekens aan deze stan­daard­wacht­woorden toe. 
  • Brute force-aanvallen: Bij deze aanval genereren cyber­cri­mi­nelen wille­keu­rige teken­reeksen die ze herhaal­de­lijk in aanmel­dings­schermen invoeren om wacht­woorden te raden.
  • Password spraying: Bij een tradi­ti­o­nele brute force-aanval doen cyber­cri­mi­nelen meerdere pogingen om het wacht­woord voor één account te raden. Het probleem is alleen dat veel accounts na een paar mislukte aanmel­dings­po­gingen auto­ma­tisch worden geblok­keerd. Bij password spraying proberen cyber­cri­mi­nelen enkele meest voor­ko­mende wacht­woorden uit op verschil­lende gebrui­kers­ac­counts tegelijk.
  • Key logging-aanval: In dit geval instal­leren cyber­cri­mi­nelen key logging-software op het compu­ter­sys­teem van een slacht­offer, meestal op basis van een succes­volle phishing-aanval. Die software stelt hen in staat om via de toets­aan­slagen van hun slacht­offer de aanmel­dings­ge­ge­vens voor verschil­lende accounts te kennen.
  • Onder­schep­ping van netwerk­ver­keer: Cyber­cri­mi­nelen maken daarnaast gebruik van soft­wa­ret­ools voor het monitoren en vast­leggen van een (vaak niet versleu­teld of zwak) netwerk­ver­keer dat wacht­woord­in­for­matie bevat. 
  • Man in the middle-aanvallen: Hierbij onder­scheppen cyber­cri­mi­nelen het verkeer tussen een gebruiker en een appli­catie of website. Daartoe maken ze bijvoor­beeld via e‑mailgebaseerde phishing-aanvallen meestal gebruik van een nage­bootste website of appli­catie, waar de niets­ver­moe­dende gebruiker vervol­gens zijn gebrui­kers­naam en wacht­woord invoert.

Een sterk wachtwoord instellen

Het is belang­rijk om gebruik te maken van wacht­woorden die onmo­ge­lijk te vergeten zijn, maar moeilijk te raden, zelfs voor iemand die bekend is met details van je leven. Vermijd daarom het gebruik van geboor­te­da­tums, tele­foon­num­mers, bedrijfs­ge­ge­vens en namen van films of sportteams.

Enkele tips voor een sterk wacht­woord zijn:

  • Gebruik wacht­woorden van minimaal tien tekens met een wille­keu­rige combi­natie van hoofd­let­ters en kleine letters, getallen en symbolen. 
  • Deel wacht­woorden met niemand en wijzig je wacht­woorden elke drie maanden.
  • Gebruik nooit hetzelfde wacht­woord voor verschil­lende accounts, want anders krijgen cyber­cri­mi­nelen gemak­ke­lijker toegang tot meer gevoelige informatie.
  • Gebruik een password manager voor het genereren van unieke, lange en complexe wacht­woorden voor alle accounts. Hierbij hoef je alleen maar het hoofd­wacht­woord voor je password manager te onthouden. Password managers bieden daarnaast toegang tot een digitale kluis op je apparaat of in de cloud waarin je wacht­woorden in veilige versleu­telde vorm worden opgeslagen. 

Aanvullende beveiligingsmaatregelen voor World Password Day

Effec­tieve bevei­li­ging vraagt om een combi­natie van bescher­mings­me­cha­nismen. Overweeg daarom het gebruik van de volgende maatregelen:

  • Multi-facto­r­au­then­ti­catie (MFA): MFA voegt een extra stap aan het aanmel­dings­proces toe om je iden­ti­teit te beves­tigen, bijvoor­beeld via gezichts­her­ken­ning. Als cyber­cri­mi­nelen dan een wacht­woord buitmaken, krijgen ze dankzij MFA nog steeds geen toegang tot informatie.
  • Single Sign-On (SSO): Single Sign-On biedt gebrui­kers de moge­lijk­heid om op basis van één combi­natie van een gebrui­kers­naam en sterk wacht­woord toegang te krijgen tot verschil­lende applicaties.
  • Training en voor­lich­ting op het gebied van cyber­se­cu­rity: Cyber­cri­mi­nelen ontwik­kelen voort­du­rend nieuwe aanvals­tech­nieken. Daarom is het belang­rijk dat iedere gebruiker op de hoogte blijft van het huidige bedreigingslandschap. 

Aller­hande recente ontwik­ke­lingen dwingen mensen om meer tijd op het internet door te brengen voor werk, e‑learning en de commu­ni­catie met vrienden en fami­lie­leden. Cyber­cri­mi­nelen zien hun kans en voeren hun aanvallen op. Daarom is het belang­rijk om de bevei­li­ging van al je accounts onder de loep te nemen en zwakke en verou­derde wacht­woorden door sterke wacht­woorden te vervangen.

Renee Tarun

Deputy CISO/Vice President Information Security bij Fortinet

Pin It on Pinterest

Share This