Ook Ziggo klant en dagen niet kunnen internetten door de DDOS-puber-aanval ? Naast het lamleggen van onze verbindingen proberen kwajongens en dito meisjes ook onze gebruikersnamen, e-mailadressen en passwords te achterhalen.  Op zich kunnen de gevolgen al beschamend genoeg zijn zoals het bekend worden van duizenden gebruikersgegevens na de inbraak van Ashley Madison. Waar we onvoldoende  bij stil staan is het aanzienlijke risico van follow-up aanvallen op accounts die nog niet gehackt zijn.
Gebruik je ook wel eens hetzelfde password om toegang te krijgen tot  meerdere websites of accounts ? Makkelijker om te onthouden toch dan allemaal verschillende wachtwoorden? Als een gekraakt password van een account gecombineerd wordt met je persoonsinformatie zoals voor- en achternaam, inlog namen of e-mailadressen loop je best wel risico.  Daarbij zien we twee typen aanvallen:

In het eerste scenario gaan aanvallers op zoek naar je andere accounts en proberen daarop in te loggen met het gejatte password.  Accounts van LinkedIn, Google+, Facebook, Twitter, en elektronisch bankieren zijn target. Indien ze je accounts hebben achterhaald en het ze gelukt is het password te hergebruiken kunnen ze net zoals jij inloggen op jouw account. Ook proberen ze te achterhalen waar je werkt en van afstand toegang te verkrijgen tot je zakelijke e-mail of extranet.

Een andere werkwijze is het gebruik van een kwaadaardige website. Hierbij lokt de aanvaller je in de val met een nep website die precies lijkt op de website waarop je normaal gesproken inlogt met je e-mail adres, password, en ander informatie (spoofing). Je hoeft dit maar één keer in een onbewaakt ogenblik te doen en ze gaan met de buitgemaakte inloggegevens op zoek naar nog meer accounts waar je hetzelfde password gebruikt. Kortom:

Gebruik een zelfde Password niet voor meerdere accounts!

Hoe dan wel ?

Gebruik een goede passwordmanager om ieder uniek password te onthouden. Passwordmanagers zijn programmaatjes die draaien op je computer, smartphone, of in de cloud, en die er voor zorgen dat je passwords veilig worden vastgelegd en gebruikt. De meeste passwordmanagers kunnen ook complexe random passwords generen.  Zo lang het password om toegang te krijgen tot de passwordmanager complex genoeg is, is deze techniek veilig. Ten minste totdat het bedrijf dat jouw passwordmanager beheert wordt gehackt. Dan is het mogelijk dat al je passwords gecompromitteerd zijn. Als je voor een passwordmanager kiest die lokaal op je computer of smartphone staat dan kan die informatie worden achterhaald als je computer besmet raakt met mallware of als je je smartphone verliest. Indien je een passwordmanager selecteert verzeker je er dan van dat het van een bekende betrouwbare leverancier afkomstig is.

De tweede oplossing is om een herhaalbaar patroon te kiezen voor je password zoals een zin met iets unieks over je website of account en dan de eerste letter van elk woord als je password te gebruiken. Bijvoorbeeld: Dit is mijn september password voor de Cyber en Center website.” wordt “Dimsp4dC&Cw.” Dit een sterk password aangezien het hoofd en kleine letters, cijfers en symbolen combineert, het woord “voor” vervangt door het cijfer 4 en een periode bevat. Het nadeel van deze techniek is dat het patroon kan worden herkend indien ze meerdere passwords van jou onderscheppen.

Succes !