OpenSSL is lek. Het is een technisch verhaal dat mij eerlijk gezegd een beetje boven de pet gaat, maar het komt erop neer dat er een heleboel websites en webshops (sommigen gaan uit van 50%) jouw inloggegevens lekken. Zij hebben OpenSSL gebruikt om je inloggegevens te versleutelen. Maar door het ontdekte lek, dat de dramatische naam Heartbleed heeft meegekregen, blijkt het dus mogelijk om die gegevens gemakkelijk te ontsleutelen en gewoon uit te lezen. Er liggen dus miljarden wachtwoorden op straat.
Inmiddels is er een patch voor het lek, dus nu is het wachten op het moment dat alle webmasters ter wereld de update uitrollen en daarmee hun website weer veilig maken. Daarna moet elk wachtwoord worden veranderd. Uit eigen onderzoek weten wij dat webmasters hier niet altijd heel vlot mee zijn. In oktober 2009 meldden wij aan 100 webmasters dat hun website malware verspreidde. Slechts 55% van hen had binnen een week de malware uit de code verwijderd. Twintig procent had er twee weken voor nodig om in actie te komen en nog eens twintig procent nam een maand de tijd. De overige 5% had zelfs na drie maanden nog niets gedaan om te situatie te veranderen.
Ik twijfel er niet aan dat grote partijen die door dit OpenSSL-lek getroffen zijn, waaronder Facebook, Google, Tumblr, SoundCloud en Dropbox, zeer snel zullen handelen om de problemen op te lossen. Maar de meeste websites behoren niet toe aan zulke ervaren professionals en dus kan het maanden of zelfs jaren duren voordat inloggegevens weer echt veilig zijn. En als gebruiker weet je niet of de site de patch al heeft uitgerold, laat staan dat je er invloed op uit kunt oefenen. Maar toch kun je iets doen om je online identiteit veilig te stellen. Het is één van de oudste tips uit het boekje, maar hij is nog altijd zeer actueel: gebruik voor iedere online account een uniek wachtwoord.
Ik ben, net als de meeste mensen hier, ook een fervent internetter. Ik kom op vele sites, heb inmiddels meer dan honderd accounts voor mail, sociale netwerken, nieuwssites, opleidingsinstituten, webshops, netwerkcommunities en ga zo maar door. Dus ik weet hoe vervelend het is om te moeten horen dat je voor al die accounts een nieuw wachtwoord moet bedenken en, belangrijker nog, moet onthouden. Dat is menselijk onmogelijk, toch? Niet echt. Natuurlijk kun je gebruik maken van een wachtwoordkluis als LastPass of KeePass om al je wachtwoorden voor je te onthouden. Je kunt ook zelf thuis een lijst maken (met de hand, aub!) met al je inloggegevens en dit briefje op een veilige plek, niet al te dicht bij de computer, bewaren. Maar je kunt ook een slim systeem hanteren voor een sterk wachtwoord dat makkelijk te onthouden is en toch allemaal anders. Dit stappenplan helpt je op weg:
1) Maak een paar basiscategorieën die voor jezelf logisch zijn. Bijvoorbeeld: categorie sociaal (voor sociale netwerken, netwerkcommunitiesites, datingsites, etc.), categorie entertainment (voor Youtube, Tumblr, Soundcloud, Spotify, Netflix, etc.), categorie mail, categorie geld (voor internetbankieren, credit cards, DigiD, etc.), categorie shops (voor Bol, Amazon, Coolblue, etc.) en een categorie Allegaartje, met alles wat niet in de andere categorieën past.
2) Voor elke categorie verzin je een zin die je gemakkelijk letterlijk kunt onthouden. Bijvoorbeeld voor de categorie sociaal: Eens kijken of mijn kennissen nog interessante zaken hebben meegemaakt vandaag. Van de woorden in de zin neem je de eerste letter. Maak van de zelfstandig naamwoorden een hoofdletter. Dan wordt het: ekomKniZhmv.
3) Zorg ervoor dat je altijd wat cijfers en speciale tekens gebruikt. Een gemakkelijke manier is om gebruik te maken van leetspeak, waarbij je een letter vervangt door een cijfer of teken dat daarop lijkt. Je maakt dan bijvoorbeeld van je sociale wachtwoord 3k0mKn1Zhm\/
4) ‘Personaliseer’ nu je categoriewachtwoord voor elke site, maar doe dat niet op al te opzichtige wijze. Kies een plek in je wachtwoord waar je informatie over de afzonderlijke sites gaat plaatsen. Bijvoorbeeld: na elke hoofdletter van je wachtwoord plaats je een letter van de naam van de dienst (eerste de eerste, daarna de tweede, daarna de derde, etc.). Besluit of je hiervoor hoofdletters of kleine letters gebruikt. Ik zou kiezen voor alleen hoofdletters, voor de duidelijkheid. Als we van ons sociale wachtwoord nu een Facebook-wachtwoord willen maken, zou dat er als volgt uitzien: 3k0mKFn1ZAhm\/. Voor de datingsite Lexa zou het wachtwoord zijn: 3k0mKLn1ZEhm\/.
Het voordeel van deze tactiek is duidelijk: je hebt sterke wachtwoorden, die je kunt onthouden en die voor elke site uniek zijn. Dus als één site je wachtwoord onverhoopt lekt, kunnen identiteitsdieven niet direct ontdekken hoe ze je andere accounts ook kunnen benaderen. En dan hoef je niet al je wachtwoorden te wijzigingen als zich een datalek voordoet.
Dan nog even een paar woorden over het vaak gehoorde advies om wachtwoorden regelmatig te wijzigen. Dat advies gaat uit van suboptimaal wachtwoordgebruik. Het is inderdaad handig om je wachtwoord regelmatig aan te passen als je hetzelfde wachtwoord op verschillende plaatsen gebruikt, omdat dan bij datadiefstal de houdbaarheid van de buit beperkt is. Ook is het goed als je je wachtwoord her en der laat rondslingeren (bijvoorbeeld met een gele post-it aan je beeldscherm, zichtbaar voor alle voorbijgangers) of als je hebt gekozen voor een wachtwoord dat bijvoorbeeld alleen letters of cijfers gebruikt. In dat laatste geval kunnen hackers namelijk met een brute force-aanval na enkele weken (soms zelfs al na minuten) je wachtwoord ‘raden’. Elke keer dat jij het wachtwoord verandert, moeten ze weer opnieuw beginnen. Maar bij een goed wachtwoordgebruik is het juist niet verstandig om je wachtwoord te wijzigen. Het zorgt er namelijk alleen maar voor dat je gaat kiezen voor minder complexe wachtwoorden (of wachtwoordsystemen) om ze nog te kunnen onthouden. Mijn advies is dus: kies sterke, unieke wachtwoorden en houd die totdat je verneemt dat dat specifieke wachtwoord op de één of andere manier in verkeerde handen is gevallen. En verander dan alleen dat ene gelekte wachtwoord.
Tot slot nog even een reminder voor het aspect dat alle noeste arbeid kan verwoesten: het gemakkelijk te achterhalen antwoord op de geheime vraag. Hier heb ik een tijd geleden al iets over geschreven en dat geldt nog altijd. Dus lees dat vooral ook nog even door!
Jan Van Haver, Country Manager G Data Benelux
