In een eerdere blogpost hebben we al gekeken naar hoe belangrijk goede wachtwoorden zijn voor online diensten en waarom je een verschillend wachtwoord voor elke site zou moeten gebruiken (en een paar truuks om dat voor elkaar te krijgen).
Verschillende wachtwoorden voor verschillende sites zijn belangrijk. Als een site gekraakt wordt, wordt er dus een lijst met usernames (en/of mailadressen) en bijbehorende wachtwoorden buitgemaakt. Hackers gaan die username/wachtwoord combinaties vervolgens uitproberen op andere websites (voor de hand liggende doelen zijn facebook, gmail, etc. Maar het kan in principe overal natuurlijk). Dat doen ze niet met de hand natuurlijk, maar daar zijn toosl voor die miljoenen wachtwoorden tegelijk hunnen uitproberen op verschillende sites.
Om te checken of je gegevens zijn buitgemaakt, heeft beveiligingsonderzoeker Troy Hunt een website gebouwd: https://haveibeenpwned.com/. Hij verzamelt daarop alle uitgelekte databases die in hackerskringen op het internet de ronde doen. Met een simpele zoekactie kun je daar checken of je gegevens zijn buitgemaakt bij eerdere hacks.
Niet schrikken: de kans is groot dat je er bij staat. Goede reden dus om nog eens kritisch over je wachtwoorden na te denken en ze (in ieder geval voor de belangrijkste sites) te veranderen als ze sinds zo'n hack niet meer zijn gewijzig en je vaak hetzelfde wachtwoord gebruikt.
Voor wat extra diepgang:
- Troy Hunt vertelt zelf hoe hij de site heeft gebouwd (info over honderden miljoenen accounts verzamelen en zoekbaar maken)
- Computerphile filmpje over hoe je als sitebouwer je database met passwords NIET moet inrichten. (Maar wat helaas wel vaak zo gebeurt en dat is dan ook de oorzaak van zo'n datalek)
- Computerphile filmpje over SQL injection. Een veelgebruikte hackertruuk om toegang te krijgen tot de database van een willekeurige website (en daarmee dus ook bij de usernames/passwords van die site). Is goed tegen te beveiligen, maar ook dat gebeurt lang niet altijd...
XKCD heeft er ook een goede strip over:
