In het kader van de European Cyber Security Month lanceren het Centrum voor Cybersecurity België (CCB) en de Cyber Security Coalition voor de zesde keer samen een sensibiliseringscampagne rond cyberveiligheid. Dit jaar willen we de internetgebruiker aanmoedigen om accounts sterk te beveiligen met tweestapsverificatie.
Online accounts (bv. e-mail, sociale netwerken, internetbankieren en online webwinkels) worden meestal beveiligd met een gebruikersnaam en een wachtwoord. Gebruikers kiezen helaas vaak wachtwoorden die gemakkelijk te onthouden zijn en ze gebruiken bovendien voor verschillende accounts hetzelfde wachtwoord. Dit maakt het eenvoudig voor hackers om toegang te krijgen tot die accounts. Als een buitenstaander toegang krijgt tot een account, kan die zich voordoen als de eigenaar en dit misbruiken.
“Daarom raden wij gebruikers aan om zoveel mogelijk tweestapsverificatie in te stellen, verschillende wachtwoorden te gebruiken en deze te laten beheren door een online wachtwoordkluis. Ikzelf ken maar één wachtwoord! Dat is het wachtwoord van mijn wachtwoordkluis. In die kluis worden al mijn wachtwoorden bewaard. De wachtwoordkluis maakte bovendien voor al mijn accounts sterke wachtwoorden van meer dan 20 tekens, die ik zelf nooit hoef te kennen, laat staan onthouden.” (Miguel De Bruycker, directeur van het CCB)
“Ook in een professionele context raden wij aan om van tweestapsverificatie de regel te maken voor medewerkers, zodat cybercriminelen de interne netwerken niet door een eenvoudige phishingaanval kunnen binnen dringen.” (Jan Deblauwe, voorzitter Cyber Security Coalition)
In cijfers
- Zwakke wachtwoorden waren in 2019 verantwoordelijk voor zo'n dertig procent van alle ransomware-infecties. (https://www.precisesecurity.com/articles/weak-passwords-caused-30-of-ransomware-infections-in-2019/)
- 1 seconde: is de tijd nodig om een wachtwoord met vier tekens te kraken
- 1 week: is de tijd nodig om een sterk wachtwoord met tien tekens te kraken.
- Om een wachtwoord met dertien tekens te kraken heb je als hacker met de huidige technologie vele eeuwen tijd nodig. Daarom proberen hackers wachtwoorden te stelen, of ze via een smoes te achterhalen (phishing, smishing, scam…)
- 15% gebruikt hetzelfde wachtwoord voor elk account en 53% gebruikt enkele wachtwoorden. Slechts 32% gebruikt veel verschillende wachtwoorden. (Digitale Gezondheidsindex, nov 2019)
Resultaten survey over het gebruik van tweestapsverificatie, augustus 2020
- 30% maakt gebruik van een wachtwoordkluis en 40% gebruikt tweestapsverificatie waar mogelijk.
- 33% heeft nog nooit gehoord over tweestapsverificatie of 2FA.
- Mensen die tweestapsverificatie wel kennen, gebruiken het vaak toch niet omdat ze niet weten dat de mogelijkheid bestaat. Bv. 57% van de Facebookgebruikers weet niet dat tweestapsverificatie mogelijk is of hoe dat moet op Facebook. Hetzelfde geldt voor gebruikers van Twitter en Instagram.
- De meest gebruikte methode voor tweestapsverificatie is en sms-bericht met code (89%) gevolgd door een authenticatie-App zoals bv. Itsme of Google Authenticator (80%) en een token (70%) of biometrische methode (digitale vingerafdruk of gezichtsherkenning) (56%).
Vergeet dat wachtwoord!
We vinden het frustrerend om wachtwoorden te gebruiken. Je moet steeds nieuwe wachtwoorden zoeken, ze moeten van alles en nog wat bevatten (speciale tekens, hoofdletters, kleine letters, cijfers) en ze moeten lang zijn. Zo lang dat je steevast moet herbeginnen door een typefoutje. En ga zo maar verder. Zucht.
De meeste internetgebruikers beseffen wel dat een kort en eenvoudig wachtwoord niet pluis is, toch merken we dat zwakke wachtwoorden nog steeds gebruikt worden. 123456, azerty, wachtwoord, een voornaam, een lievelingsploeg, ‘bolleke’ of ‘sloeber’, het is maar een kleine greep uit de top 30 van meest gebruikte wachtwoorden in België. Hoe korter en eenvoudiger een wachtwoord is, hoe sneller het zelfs door beginnende hacker gekraakt kan worden.
“Wachtwoorden zijn de sleutels van je virtuele woning die zelfs naar je kluis kunnen leiden. Bewaar ze dus zorgvuldig” (Olivier Bogaert, Federal Computer Crime Unit)
Frustrerend, en ook niet helemaal veilig
Sterke wachtwoorden gebruiken is absoluut een must, maar ook dan kan je nog niet op beide oren slapen. Ook sterke wachtwoorden kunnen gestolen worden:
- Criminelen proberen je wachtwoord te stelen door je om de tuin te leiden met een phishingmail. Op die manier proberen ze je bijvoorbeeld te overhalen om je wachtwoord in te voeren in een vervalste website waardoor ze je wachtwoord gewoon kunnen lezen.
- Datalekken komen ook voor. Het kan gebeuren dat een platform dat jij gebruikt, zoals bv. LinkedIn of Facebook gehackt wordt en dat alle gegevens van de gebruikers worden gestolen, waaronder ook de wachtwoorden.
Soms maken we het de hackers wel heel gemakkelijk:
- je wachtwoorden staan op een Post-itje dat aan je scherm hangt,
- je geeft je wachtwoorden prijs aan de telefoon, als je opgebeld wordt door een zogezegde medewerker van Microsoft,
- je hebt je gegevens ingegeven om deel te nemen aan één of andere prijsvraag of wedstrijd,
- je bewaart je wachtwoorden in een document op je computer met de naam ‘wachtwoorden’
Sterke wachtwoorden gebruiken is absoluut belangrijk, maar wij raden aan om er nog een beveiligingslaag boven op te doen: namelijk tweestapsverificatie (2FA).
Tweestapsverificatie (2FA): de oplossing!
Tweestapsverificatie of 2FA is een eenvoudige oplossing om je gegevens nog beter te beschermen.
Om toegang te krijgen tot je account moet je bewijzen dat je bent wie je beweert te zijn. Dat kan op drie verschillende manieren, of factoren:
- met iets dat jij alleen weet (jouw wachtwoord of pincode);
- met iets dat jij alleen hebt (jouw telefoon of token);
- met iets dat jij bent (jouw vingerafdruk, gelaat, iris…).
Meestal gebruik je één van deze factoren om te bewijzen wie je bent, maar het is beter om 2 of meer factoren te gebruiken: dit is twee- of meerstapsverificatie (2FA of MFA). Je gebruikt dan bv. een wachtwoord en je laat daar bovenop ook een code naar je GSM sturen, of je gebruikt je vingerafdruk en een code om toegang te krijgen.
“Niets is zo frustrerend als hacker om na de euforie van het kraken van een wachtwoord vast te stellen dat het doelwit 2FA heeft geïnstalleerd” (Inti De Ceukelaire, Ethical Hacker)
