In het vorige blog binnen deze serie stonden we stil bij de manieren waarop accountgegevens (op grote schaal) lekken. Daarnaast werd ook duidelijk dat je in sterke mate afhankelijk bent van de toegepaste beveiliging door de betreffende partij waar de gegevens lekten. Waren de wachtwoorden niet op een juiste manier (beveiligd) opgeslagen, dan kan een kwaadwillende jouw accountgegevens eenvoudig achterhalen. Om die reden is het gebruik van unieke wachtwoorden (liefst voor elk account een ander) belangrijk.
Met het gebruik van een sterk wachtwoord verklein je de kans op een geslaagde brute-force aanval. Ook is dit een goede manier om niet de zwakke schakel te zijn wanneer een password-spray wordt uitgevoerd. De aanvallers zijn dan juist op zoek naar gebruikers met eenvoudige (standaard) wachtwoorden, zoals bijvoorbeeld Welkom01. In een vorig blog stonden we al uitgebreid stil bij sterke en unieke wachtwoorden.
Een andere, zeer effectieve, manier om de impact van het uitlekken van je accountgegevens te beperken is het instellen van meerdere beveiligingsfactoren. Dit wordt multi factor authentication (MFA) genoemd, of ook vaak aangeduid als two factor authentication (2FA). Naast je (geheime) wachtwoord, toon je je identiteit aan door iets dat je hebt (je telefoon, pinpas of een eenmalige code die op je telefoon verschijnt). Of door middel van iets dat je bent, zoals een vingerafdruk.
Let op, je wachtwoord kan nog steeds uitgelekt zijn, dus blijft het verstandig om bovenstaande tips ter harte te nemen. Je wachtwoord is nog steeds een van de factoren binnen 2FA die je account dient te beschermen. Hoewel aanvallers door het gebruik van 2FA wellicht niet in je account kunnen wanneer je wachtwoord gelekt is, is het wel van belang om het wachtwoord van dit account aan te passen.
Een manier om erachter te komen dat er gegevens over je zijn buitgemaakt, is het gebruik van e-mailaliassen. Voor iedere dienst kun je een apart e-mailadres opgeven, waarvan de mail wel allemaal handig in één mailbox terecht komt. Wanneer je gegevens uitlekken, hoef je meestal niet lang te wachten tot er spam en phishing berichten naar het betreffende e-mailadres worden verstuurd. Aan het alias kun je dan zien bij welke dienst je gegevens waarschijnlijk zijn gelekt. Ook een effectief middel om bedrijven op te sporen die jouw gegevens onrechtmatig doorverkopen.
Een andere manier om erachter te komen of je e-mailadres of accountgegevens betrokken zijn geweest bij een (grootschalig) datalek, is het gebruik van diensten die gegevens verzamelen over dergelijke lekken. Er zijn verschillende websites beschikbaar waarbij je kunt nagaan of je slachtoffer bent geworden van datadiefstal, phishing of malware. Deze gegevens zijn in de meeste gevallen afkomstig uit analyses van botnetwerken of datalekken.
De Nationale Politie heeft onlangs een nieuwe tool gelanceerd. De gegevens zijn verzameld tijdens operatie “Ladybird” van de computers in het Emotet-botnet. Aan de hand van de checkfunctie kan gecontroleerd worden of jouw e-mailadres betrokken is geweest bij een hackaanval en/of je gegevens zijn buitgemaakt.
De website https://haveibeenpwned.com is een andere website waar je kunt controleren of jouw (persoons)gegevens betrokken zijn geweest bij een datalek. Deze website, gemaakt door de Australische beveiligingsconsultant Troy Hunt, haalt informatie uit verschillende bekende datalekken bij populaire websites. Inmiddels zijn er ruim 11,2 miljard regels in de database opgenomen. Ook de slachtoffers die onlangs getroffen zijn door het datalek bij Facebook, zijn toegevoegd aan de tool.
Komen jouw gegevens hierin voor? Zorg er dan voor dat je direct jouw wachtwoord wijzigt!
Voor het correct functioneren, optimaliseren van deze website en t.b.v. commerciële doeleinden maakt StackSecure gebruik van cookies. Meer hierover kunt u lezen in ons privacy statement