In oktober 2020 werd onthuld dat de populaire dienst Gravatar was gehackt en de gebruikersnamen en gehashte e-mailadressen waren gelekt. In mei 2014 leed Bitly aan een datalek waardoor de e-mailadressen en gehashte wachtwoorden van bijna 10 miljoen gebruikers werden gelekt. Dit zijn slechts enkele voorbeelden van datalekken. Wat kunt u doen als uw e-mailadres, uw wachtwoorden en uw gehashte wachtwoorden deel hebben uitgemaakt van dergelijke inbreuken?
Een zeer populaire methode om erachter te komen of uw gebruikersnaam, e-mailadres of wachtwoord deel heeft uitgemaakt van een datalek, is door een zoekopdracht uit te voeren op https://haveibeenpwned.com/. Daar kunt u onmiddellijk informatie vinden over of uw telefoonnummer of uw e-mailadres deel heeft uitgemaakt van dergelijke inbreuken. Ook kan het interessant zijn om bij https://haveibeenpwned.com/Passwords naar je wachtwoord te zoeken.
Ik gebruik ook een service genaamd Surfshark Alert, een onderdeel van mijn Surfshark-abonnement. Ik heb daar een aantal van mijn IP-adressen geregistreerd en als een van hen is opgenomen in een nieuw gemeld datalek, ontvang ik onmiddellijk een melding. Je kunt ook een vergelijkbare functie vinden in de wachtwoordmanager van NordVPN met de naam NordPass.
Is uw e-mailadres en wachtwoord gelekt? Wat te doen?
Heb je de status van je e-mailadres gecontroleerd? Is het adres onderdeel geweest van datalekken? Het feit dat uw e-mailadres is gelekt, is op zich misschien niet erg gevaarlijk. Maar werd het e-mailadres gecombineerd met meer informatie? Is het e-mailadres gelekt samen met een 100% leesbaar wachtwoord? Wijzig dan zo snel mogelijk uw wachtwoord. Heb je hetzelfde e-mailadres en wachtwoord op verschillende platforms gebruikt? U moet het wachtwoord op elk wachtwoord wijzigen en de gelekte wachtwoorden zo snel mogelijk verwijderen.
Ben je op veel websites geregistreerd? Hoe kunt u elk wachtwoord onthouden als u overal verschillende wachtwoorden gebruikt?
Het is geen toeval dat wachtwoordmanagers erg populair (en noodzakelijk) zijn. Deze helpen u bij het genereren van veilige wachtwoorden en deze op een veilige plaats op te slaan. Als gevolg hiervan is het enige wachtwoord dat u moet onthouden uw zeer veilige hoofdwachtwoord in combinatie met uw e-mailadres. De rest is het werk van de wachtwoordmanager. Er zijn veel geweldige wachtwoordmanagers die er zijn. Persoonlijk kan ik NordPass en LastPass van harte aanbevelen.
Deze wachtwoordmanagers worden geleverd met browserextensies en mobiele applicaties. Als gevolg hiervan heeft u al uw wachtwoorden gemakkelijk toegankelijk wanneer u ze nodig hebt.
Maar wat als u een waarschuwing hebt ontvangen dat uw wachtwoordhash is gelekt? Is dat gevaarlijk? Wat betekent het dat uw wachtwoordhash is gelekt?
Mijn wachtwoordhash is gelekt. Is het gevaarlijk? Wat betekent het?
Misschien is uw wachtwoord niet gelekt, maar is uw wachtwoordhash gelekt. Wat moet dat betekenen? Moet je je zorgen maken?
Wat is een wachtwoordhash?
Veel serviceproviders voegen een extra beveiligingslaag toe terwijl ze hun gebruikersgegevens opslaan. In plaats van uw wachtwoord in normale woorden en letters op te slaan, coderen ze het met behulp van verschillende hashing-technologieën. Stel dat u een nieuwe gebruiker registreert bij mynewwebsite.com met de volgende gegevens.
- E-mail: [email protected].
- Wachtwoord: 12345678
Omdat de provider deze informatie hashes, wordt deze op deze manier opgeslagen in hun database.
- E-mail: [email protected] (als ze het zouden hashen met MD5, zou het zijn: 4dec7aa05010e30721aa8714e9339a9e)
- Wachtwoord: 25d55ad283aa400af464c76d713c07ad (MD5), 7c222fb2927d828af22f592134e8932480637c0d (SHA1)
Hierboven zie je mijn wachtwoord 12345678 gecodeerd met de MD5 en het SHA1 hashing algoritme.
Als iemand deze gegevens zou zien en zou proberen in te loggen met uw account op mynewwebsite.com met behulp van het e-mailadres en de hash, zou het niet werken. Ze kunnen zich niet aanmelden bij uw account. Betekent dit dat je je geen zorgen hoeft te maken?
Hoeft u zich zorgen te maken als uw wachtwoordhash is gelekt?
Er zijn hier problemen waar u zich bewust van moet zijn. Als u hetzelfde hash-algoritme gebruikt en hetzelfde wachtwoord codeert, is de uitkomsthash altijd hetzelfde. Wat betekent dit? Als je hetzelfde wachtwoord gebruikt als ik (12345678) en hetzelfde hashing algoritme gebruikt, krijg je hetzelfde resultaat (hash). Hierdoor vindt u databases die hashes verbinden met veelgebruikte wachtwoorden.
Als u naar https://crackstation.net/ gaat en de twee bovenstaande hashes invoert, ziet u de volgende resultaten.
Zie je wat ik zie? Ik heb gewoon de hashes op de bovenstaande website toegevoegd en het liet me meteen zien welk type algoritme werd gebruikt en wat het oorspronkelijke wachtwoord was. In eerste instantie lijkt de hash misschien heel veilig, maar in werkelijkheid hoeft dat niet zo te zijn. Is uw wachtwoordhash onderdeel geweest van een datalek? Ik raad je aan om de bovenstaande site te bezoeken en te controleren of je hash is blootgesteld in zogenaamde regenboogtabellen.
Wat zout geeft je misschien extra bescherming!
Zoals u hierboven kunt zien, beschermt een wachtwoordhash u mogelijk niet veel (als het basiswachtwoord een bekend wachtwoord was). Hackers hebben voldoende rekenkracht beschikbaar, wat betekent dat ze uw hash snel kunnen testen op miljoenen wachtwoorden (met behulp van woordenboeken en willekeurige letters en cijfers), waardoor het nog enger wordt.
Om ons te beschermen tegen dergelijke brute force-aanvallen is het normaal geworden om zout aan de hasj toe te voegen. Wat betekent dit?
In cryptografie is een salt willekeurige gegevens die worden gebruikt als extra invoer voor een eenrichtingsfunctie die gegevens, een wachtwoord of wachtwoordzin hashes.
WikiPedia
Salt is hier extra data die aan de hash wordt toegevoegd. Als gevolg hiervan wordt uw wachtwoord niet langer vernietigd als 12345678, maar krijgt u daarnaast een heleboel andere tekens aan het wachtwoord toegevoegd. Hieronder zie je een voorbeeld van hoe ik mijn wachtwoord codeer met behulp van het SHA256-algoritme, met en zonder zout.
- 12345678 (SHA256, zonder zout) = ef797c8118f02dfb649607dd5d3f8c7623048c9c063d532cc95c5ed7a898a64f
- 12345678 (SHA256, met zout 1DoNtKn0w;-.,) = 9076e087e4a4da347685ee9ecc7b2b739cd3770ec3c9e8b703968c99d496200f
Zoals je kunt zien, zijn de hashes compleet anders en zal het voor iedereen veel moeilijker zijn om de tweede hasj te decoderen vanwege het zout dat aan de hasj wordt toegevoegd. Het wordt steeds normaler om zout toe te voegen aan gehashte wachtwoorden, maar niet overal.
- Als je wilt spelen met wachtwoordhashes en zout, kijk dan eens naar de volgende SHA256 hash creator.
Het maakt niet uit of een service zout toevoegt aan uw wachtwoordhash of niet, u moet altijd veilige wachtwoorden gebruiken die letters, cijfers en speciale tekens combineren, want dat is de basis van alles. Mocht zo’n wachtwoord nog steeds deel uitmaken van een datalek, verander het dan snel. Omdat u verschillende wachtwoorden gebruikt voor al uw accounts, bent u nog steeds veilig!
Ik hoop dat dit artikel erin geslaagd is om de vragen te beantwoorden die je had voordat je het artikel kwam lezen. Als uw wachtwoord en/of uw wachtwoordhash deel hebben uitgemaakt van datalekken, wees dan voorzichtig en neem de nodige stappen om uw accounts in de toekomst te beschermen.
Als u nog opmerkingen of vragen heeft, gebruik dan het onderstaande opmerkingenveld.
