Nederlanders hoeven zich geen grote zorgen te maken over de database met naar schatting 3,3 miljoen Nederlandse wachtwoorden, die sinds afgelopen vrijdag door iedereen te doorzoeken is. Dat stelt Eset Nederland. Volgens de ict-beveiliger bestaat de database nagenoeg volledig uit reeds bekende datalekken, waaronder die van LinkedIn uit 2012.
Deze lekken zijn al meermalen online verschenen en Nederlanders zijn er sindsdien al verschillende keren op geattendeerd om de ontdekte wachtwoorden aan te passen. Eset stelt dat daarom nu geen acuut verhoogde dreiging is en vindt de ontstane paniek over die database met miljoenen Nederlandse wachtwoorden onnodig.
Sterker nog, het bedrijf vindt dat de zoekmachine het mogelijk maakt wachtwoorden te achterhalen om er vervolgens misbruik van te maken. De zoekmachine toont de eerste twee karakters van het wachtwoord, waardoor het eenvoudiger is om de wachtwoorden te raden, aldus Eset. Het bedrijf adviseert Nederlanders die hun email-adres in de zoekmachine terugvinden én waarvan het gelekte wachtwoord nog steeds in gebruik is, deze wachtwoorden allemaal te wijzigingen.
Adviezen
Om misbruik van wachtwoorden te voorkomen, raadt Eset aan om een wachtwoordkluis en sterke, het liefst lange, wachtwoorden te gebruiken. Bovendien moeten beveiligingsvragen voor het herstel of het veranderen van wachtwoorden van hoog niveau zijn. Ook moeten wachtwoorden niet worden hergebruikt. Daarnaast is het noodzakelijk om meldingen van verdachte of vreemde activiteiten – zoals externe inlogpogingen – goed in de gaten te houden. Het regelmatig updaten van beveiligingssoftware en het organiseren van trainingen voor het personeel helpen ook bij het bestrijden van wachtwoorddiefstal, adviseert het bedrijf.
Leuk om zo’n artikel de wereld in te storten, maar bij de zoektocht naar de volledige lijsten met wachtwoorden (zonder de sterretjes…) kwamen wij toch een bestand van rond de 40GB tegen met wachtwoorden van gebruikers die van dit jaar waren.
Bovenstaand artikel is dus beslist niet correct!
Actie is nog steeds nodig.
Of Eset gelijk heeft of niet, kan ik niet beoordelen. Ik vraag me wel af hoe ik mijn opoe van 80, met afnemende geheugencapaciteit, ga uitleggen om een wachtwoordkluis en sterke, het liefst lange, wachtwoorden te gebruiken, die ze niet mag opschrijven en zeker niet aan de buurman die haar helpt, mag geven. Laat staan dat beveiligingsvragen voor het herstel of het veranderen van wachtwoorden van hoog niveau moeten zijn.
Ja, ik hergebruik soms wel eens wachtwoorden, met name bij webstekken waar ik het vermoeden heb dat ze toch niet goed beveiligd zijn of waarvan ik het belang niet zo hoog acht.
Ik kom zeker in verschillende hoedanigheden en met verschillende accounts en wachtwoorden in verschillende hacklijsten voor. Helaas is alleen een username en een wachtwoord niet voldoende om te achterhalen bij welke van de duizenden webstekken ik dat dat wachtwoord gebruikt heb. Ergo: ik kan er niet zo veel mee.
Ik denk dus ook dat Eset gedeeltelijk gelijk heeft… “Paniek om niks”.
En dan daarbij: Ik heb toch niks te verbergen ? Wat voor belang zou iemand er bij kunnen hebben om bijvoorbeeld bij Computable een comment uit mijn naam te schrijven ? Heb ik dit wel zelf geschreven ?
Overigens leert dit wel dat het handig is om wachtwoorden te gebruiken die terug te leiden zijn naar de webstek waar ze gebruikt zijn. Dan is tenminste makkelijk na te gaan waar het lek zit.