Hoe kunt u uw database beschermen tegen het lekken van wachtwoorden?

Wachtwoorden zijn de sleutels die alles wat we online bezitten beveiligen. Maar als je de recente inbreuken op gegevens analyseert, lijkt het erop dat de meeste mensen wachtwoorden als huissleutels behandelen: ze denken er niet over na tot ze ze kwijtraken - of tot ze worden beroofd. Helaas weten de slechteriken dat.

Het stelen van wachtwoorden is de populairste manier waarop cybercriminelen inbreken in systemen en databases. Acht van de tien inbraken in 2020 hadden te maken met gestolen inloggegevens of een brute-force inbraak waarbij meerdere wachtwoorden werden geprobeerd, zo blijkt uit het jaarlijkse datalekonderzoek van Verizon.[1]

Bedreigers kunnen gemakkelijk gelekte wachtwoorden vinden, en één set referenties kan soms de deur openen naar honderden andere. Dit is hoe het werkt: Wanneer een gebruiker een wachtwoord aanmaakt, wordt de tekst "gehasht", oftewel vervormd tot getallen en als een code in een database opgeslagen. In theorie is het zo dat zelfs als cybercriminelen de wachtwoorddatabase kraken, deze nutteloos is zonder het algoritme waarmee de wachtwoorden zijn gehasht. Maar met een geldig wachtwoord in de hand kunnen ze het algoritme omkeren - wat neerkomt op het knippen van een hoofdsleutel voor al die wachtwoorden. Daarom werden bijvoorbeeld begin 2021 2,3 miljoen records die waren opgeslagen in de gebruikersdatabase van de datingsite MeetMindful gratis op het Dark Web gedumpt voor elke bedreigingsactor - inclusief alles van versleutelde wachtwoorden en Facebook ID's tot datingvoorkeuren.[2]

Hoe slechte wachtwoordinbreuken goede bedrijven overkomen

Bij een groot deel van de inbreuken op databases wandelt een cybercrimineel gewoon de voordeur binnen met een legitiem wachtwoord. Dit is bijzonder gevaarlijk omdat geldige inloggegevens een slechte actor de indruk geven een echte gebruiker te zijn die aan het werk is, terwijl hij de wachtwoorden van andere gebruikers achterhaalt.

Dit zijn enkele van de meest voorkomende manieren waarop cybercriminelen wachtwoorden kraken:

• E-mail phishing met social engineering: Bij deze aanvallen - die bijna altijd met een phishing-e-mail worden gelanceerd - misleiden cybercriminelen gebruikers om hun inloggegevens vrijwillig af te staan, bijvoorbeeld door zich aan te melden op een nepwebsite. Om dit te doen, doen ze eerst voldoende onderzoek om kennis over de gebruiker en zijn organisatie te vergaren, waardoor de phishing-e-mail legitiem lijkt (dat is het social engineering-gedeelte).
• Brute kracht: Zoals het klinkt, gebruikt een cybercrimineel geautomatiseerde tools om zoveel mogelijk tekencombinaties te proberen om het slot te "kraken". Ze beginnen meestal met zwakke standaardwachtwoorden zoals "0000" of "pasw0rd" en nemen het vanaf daar over - indien nodig.
• Woordenboekaanvallen: Met een beetje denkwerk en een beetje brute kracht zal een cybercrimineel de gebruikersnamen van een organisatie achterhalen (vaak hebben bedrijven een standaardstructuur), en vervolgens een bot gebruiken om veelvoorkomende woord/nummer-combinaties uit te voeren tot hij het wachtwoord kraakt.
• Key loggers: Dit gebeurt wanneer een gebruikersaccount wordt geïnfecteerd met malware die hun online handelingen bijhoudt. De malware verzamelt niet alleen wachtwoorden, maar ook de websites waarmee ze corresponderen, om later op die sites in te breken.
• "Man in the middle"-aanvallen (MITM): Bij MITM-aanvallen onderscheppen dreigingsactoren de communicatie tussen twee partijen die denken dat ze rechtstreeks met elkaar communiceren, wijzigen deze mogelijk en sturen ze de communicatie vervolgens door. Hierdoor kan een bedreiger allerlei potentieel nuttige informatie verzamelen, waaronder wachtwoorden.
• Traffic Interceptors: Met behulp van technologie zoals pakketsniffers - programma's die pakketjes informatie analyseren die online stromen - kunnen cybercriminelen onversleutelde wachtwoorden of zelfs wachtwoorden met zwakke encryptie oppikken. Openbare Wi-Fi-netwerken bieden slechte actoren een goede gelegenheid voor dit soort aanvallen.

Uit het onderzoek van Verizon blijkt dat "password dumpers" - malware die systemen doorzoekt om er met inloggegevens vandoor te gaan - de populairste malwarevariant onder cybercriminelen is geworden. Het stelen van wat in het Verizon-onderzoek "die zoete, zoete credentials" worden genoemd, is big business. Uitgelekte wachtwoorddatabases zijn beschikbaar in het dark web en kunnen door cybercriminelen worden gebruikt voor hun aanvallen.

De kosten van het lekken van een wachtwoorddatabank

De schade van deze wachtwoordlekken kan ontzagwekkend zijn. De gemiddelde kosten van één datalek voor een bedrijf bedragen 3,86 miljoen dollar, volgens het jaarlijkse rapport Cost of a Data Breach van het Ponemon Institute.[3]

En dat zijn nog maar de kosten van herstel en bedrijfsonderbrekingsverliezen. Een inbreuk kan ook leiden tot reputatieverlies bij klanten en leveranciers. Uit een studie van openbare bedrijven bleek dat hun aandelenkoersen daalden in de maanden na een datalek.[4]

Vroege opsporing en snelle reactie zijn cruciaal om de schade te beperken. Volgens het onderzoek van het Ponemon Institute kost het bedrijven gemiddeld 280 dagen om een datalek op te sporen en in te dammen - ruim voldoende tijd voor bedreigers om met gelekte wachtwoorden veel schade aan te richten. Ondertussen vereisen nieuwe voorschriften, zoals de General Data Protection Regulation (GDPR) van de Europese Unie en de California Consumer Privacy Act (CCPA), een snelle melding aan gebruikers wanneer er sprake is van een inbreuk, en zijn er boetes vastgesteld voor niet-naleving. Onder de GDPR hebben bedrijven 72 uur de tijd om de getroffen gebruikers op de hoogte te stellen van een datalek.

Bescherming van uw database tegen het lekken van wachtwoorden

Er zijn veel goede praktijken die kunnen helpen om het lekken van wachtwoorden te voorkomen. Het Open Web Application Security Project (OWASP) stelt voor om onvoorspelbaar gedrag in uw website in te bouwen om cybercriminelen te ontmoedigen en hun bots te blokkeren.[5] Bijvoorbeeld, het gebruik van verschillende berichten telkens wanneer er een mislukte login is, zou bots doen struikelen die op zoek zijn naar hetzelfde bericht "verkeerde gebruikersnaam of wachtwoord" als trigger voor een nieuwe gok. Het OWASP Testing Project, een open-source inspanning, heeft een reeks Testing Guides die cybersecurity professionals kunnen helpen bij het beoordelen van kwetsbaarheden, zoals een zwak wachtwoordbeleid of wachtwoordwisselfuncties.[6]

Tools voor beveiligingscontrole, zoals wachtwoordbeheerders, kunnen gebruikers helpen bij het inloggen op meerdere apps en cloudservices en tegelijkertijd wachtwoorden veilig houden. Ze kunnen ook de basispraktijken voor wachtwoordhygiëne onder de gebruikers van uw systeem operationaliseren.

SIEM-systemen (Security Information and Event Management) kunnen een ongebruikelijk aantal aanmeldingen signaleren die zouden kunnen wijzen op een brute-force-aanval die gaande is. Veel SIEM programma's blokkeren de gebruiker ook na een bepaald aantal inlogpogingen. Het blokkeren van gebruikers na een aantal mislukte aanmeldingspogingen kan "credential stuffing" tegengaan, maar pas op voor onbedoelde gevolgen, want sommige denial-of-service (DoS) aanvallen kunnen die tactiek gebruiken om al uw gebruikers te blokkeren. Captcha's kunnen ook helpen bij het blokkeren van dictionary- en brute-force-aanvallen en andere pogingen waarbij bots worden gebruikt.

Multifactorauthenticatie kan de beveiliging rond uw wachtwoorden versterken, net als biometrische identificatie, zoals de vingerafdrukscan of gezichtsherkenning op uw mobiele telefoon.

Ga terug naar de basis

Uit een onderzoek van Google is gebleken dat 52% van de gebruikers nog steeds wachtwoorden recycleert en nog eens 13% dezelfde wachtwoorden gebruikt voor al hun accounts.[7] Een paar basisstappen kunnen helpen voorkomen dat uw gebruikers bijdragen aan het lekken van wachtwoorden:

• Eis sterke wachtwoorden: De Electronic Frontier Foundation beveelt het gebruik van dobbelstenen en een lijst van woorden aan om echt willekeurige "passphrases" te genereren. [8]
• Wachtwoorden wijzigen: IT-professionals verschillen van mening over de vraag of gebruikers wachtwoorden elke 30, 60 of 90 dagen moeten wijzigen, maar die vraag is betwistbaar omdat de meeste gebruikers ze helemaal niet wijzigen. Uit een onderzoek van de Carnegie Mellon University bleek zelfs dat slechts 33% van de onderzochte gebruikers de moeite nam om hun wachtwoorden te wijzigen na een datalek - en zelfs dan veranderden de meesten in wachtwoorden die niet sterker of zwakker waren dan voorheen.[9]
• Houd wachtwoorden in de gaten: Sommige browsers, zoals Chrome, waarschuwen nu individuele gebruikers als hun wachtwoorden zijn gecompromitteerd. U kunt ook de website "Have I Been Pwned?" controleren om te zien of er e-mailadressen of wachtwoorden zijn gecompromitteerd.[10]

De kern van de zaak

Er is geen andere manier om uw database volledig te beveiligen dan door terug te gaan naar archiefkasten. Maar door met uw gebruikers samen te werken, kunt u een sterk wachtwoord gebruiken om de veiligheid te verhogen door uw database te beschermen tegen het lekken van wachtwoorden en de deur te sluiten voor slechte actoren.

[1] 2020 Data Breach Investigations Report , Verizon

[2] "Hacker lekt gegevens van 2,28 miljoen gebruikers van datingsites," ZDNet

[3] Cost of a Data Breach Report 2020 , Ponemon Institute

[4] "Wat zijn de kosten van een datalek?," CSO Online

[5] "Blokkeren van brute-force aanvallen," Open Web Application Security Project

[6] "Testen op zwak wachtwoordbeleid" en "Testen op zwakke wachtwoordwijzigings- of -resetfunctionaliteiten," OWASP

[7] "Online Veiligheidsonderzoek," Google/Harris Poll

[8] "Sterke wachtwoorden maken," Electronic Frontier Foundation

[9] (Hoe) veranderen mensen hun wachtwoorden na een inbraak? Bhagavatula, Bauer & Kapadia, Carnegie Mellon University

[10] "Have I Been Pwned?," Troy Hunt