Man met vinger op laptop toets met waarschuwing op sherm van gevaar

BLOG

10 meeste wachtwoord fouten

10 meeste wachtwoord fouten waardoor uw WordPress site gehackt kan worden

Hoe kan je wachtwoordfouten voorkomen? We hebben al eerder geschreven over de redenen waarom websites worden gehackt.  Bijna elke hack begon met slechte wachtwoordkeuzes. Uit deze veel voorkomende hacks hebben we veel verhalen over site beveiliging die voorkomen hadden kunnen worden. En wel door sterke wachtwoorden en een goede wachtwoord hygiëne als eerste verdedigingslinie te gebruiken. We zetten de 10 meeste wachtwoord fouten op een rij.

10 meeste wachtwoord fouten Nr. 10:
geen wachtwoordmanager gebruiken.

Deze fout komt maar al te vaak voor. Sommigen vertrouwen geen wachtwoord managers, terwijl anderen gewoon niet weten dat ze bestaan. Het is ongelooflijk belangrijk om unieke, sterke en complexe wachtwoorden te gebruiken voor elke account, en er is gewoon geen betere manier om bij te houden van deze wachtwoorden dan een wachtwoord manager.

Veiligheid gaat over het minimaliseren van risico’s, omdat niets ooit 100% veilig zal zijn. Toch is het bewijs duidelijk. Het hergebruiken van hetzelfde wachtwoord voor meerdere accounts brengt uw accounts in groot gevaar. Nu er regelmatig nieuwe inbreuken worden aangekondigd, zoals het recente nieuws dat de gegevens van meer dan 533 miljoen Facebook-accounts werden verkocht op het dark web, is de kans groot dat ten minste één wachtwoord dat u in het verleden hebt gebruikt, al is blootgesteld in een datalek. Als u voor alle accounts hetzelfde wachtwoord gebruikt, ook al is het een sterk en complex wachtwoord, is er maar één account nodig om al uw andere accounts in gevaar te brengen. Als u een wachtwoordmanager gebruikt en unieke, complexe wachtwoorden voor elke account, en één wachtwoord wordt gecompromitteerd, dan wordt alleen dat wachtwoord gecompromitteerd. Het gebruik van een wachtwoordmanager zorgt ervoor dat het beheren van talloze unieke, complexe wachtwoorden veel eenvoudiger is.

Dan is er nog de vraag … Wat als het wachtwoord management platform wordt gecompromitteerd?
Gelukkig slaan wachtwoordmanagers wachtwoorden van klanten op met geavanceerde encryptie-algoritmen zoals AES. Als uw wachtwoorden aan hun kant zouden worden gecompromitteerd, zou het aanvallers nog jaren kosten om de wachtwoorden te kraken die ze zouden kunnen bemachtigen. Dit zou u voldoende tijd geven om alle wachtwoorden opgeslagen in de wachtwoordmanager te wijzigen om uw accounts veilig te houden. We raden ook aan om een zeer sterk en uniek hoofdwachtwoord voor uw account te gebruiken dat duizenden jaren nodig heeft om te kraken, zodat het onwaarschijnlijk is dat een aanvaller toegang tot uw wachtwoordmanager kan krijgen door uw wachtwoord te kraken. Zorg er ook voor dat je twee-factor authenticatie hebt ingeschakeld, zodat als je hoofdwachtwoord op een of andere manier wordt gekraakt, de aanvaller niet in staat zal zijn om zich te authenticeren omdat hij geen toegang heeft tot die tweede factor van authenticatie.

Natuurlijk zal er een risico zijn als u al uw wachtwoorden in één mandje hebt. Echter, afgewogen tegen het gevaar van wachtwoord hergebruik, vinden wij het veel minder riskant om een wachtwoord manager te gebruiken.  Zeker om complexe unieke wachtwoorden te genereren en op te slaan dan om zwakke of soortgelijke wachtwoorden te gebruiken op verschillende platforms.

Er zijn verschillende wachtwoord managers zoals LastPass, Dashlane, 1Password, KeePassX en Enpass die u voorzien van geweldige systemen om uw wachtwoorden te beheren. Elk heeft functies die het beheren van unieke complexe wachtwoorden makkelijker maken. We raden u aan ze te bekijken en er een te kiezen die aan uw persoonlijke eisen voldoet.

10 meeste wachtwoord fouten Nr. 9: Wachtwoorden delen.

Deel nooit je wachtwoorden met iemand als je er iets aan kunt doen. Door een wachtwoord met iemand anders te delen, geeft u hem de mogelijkheid om in uw naam te handelen voor die account. Elke persoon met wie u uw wachtwoord deelt, kan met succes uw identiteit opeisen voor de site waar ze zich authenticeren. De meeste organisaties hebben alternatieve methoden om uw identiteit te verifiëren via de telefoon waarvoor geen wachtwoorden hoeven te worden gedeeld, zoals PIN-nummers, geheime zinnen en andere middelen. En elk verzoek om uw wachtwoord moet als verdacht worden beschouwd.

Een beter alternatief wanneer u de toegang tot uw WordPress site met iemand moet delen, is het aanmaken van een tweede gebruikersaccount met de juiste privileges voor hen om het werk uit te voeren. Als u bijvoorbeeld een schrijver inhuurt om inhoud voor uw WordPress site te creëren, maak dan een apart gebruikersaccount aan op het niveau van schrijver, auteur of redacteur, zodat zij hun werk kunnen uitvoeren. Maar trek vervolgens ook de rechten in en verwijder het account als ze klaar zijn. Het doel is om de gebruiker zo weinig mogelijk privileges te geven om het werk uit te voeren en er tegelijkertijd voor te zorgen dat u geen credentials voor uw account deelt.

Een alternatief voorbeeld is dat u een supportmedewerker van een gerenommeerd bedrijf nodig heeft om uw site te bekijken voor enkele problemen die u ondervindt. Een manier om dit te doen is door een tweede gebruikersaccount aan te maken met de minimaal benodigde rechten. Als ze geen toegang hebben tot wat ze nodig hebben om u ondersteuning te bieden, verhoog dan de rechten voor die gebruiker tot administratief.  Zodra het werk is voltooid, moet u ervoor zorgen dat het gebruikersaccount wordt verwijderd, zodat de ondersteuning geen toegang meer heeft tot de site.

De beste optie is om tijdelijk de plug-in Temporary Login Without Password te installeren. Dan kunt u een tijdelijke login link  creëren met een rol waarmee iemand voor een beperkte periode toegang kan krijgen tot uw systeem zonder gebruikersnaam en wachtwoord.  Ook Yoast en Elementor adviseren deze plug-in als zij support willen doen op uw site.

Als het op WordPress aankomt, kunt u zoveel aparte gebruikersaccounts aanmaken als u nodig hebt en ze eenvoudig verwijderen zodra de toegang niet langer nodig is. Het is dus nooit nodig om wachtwoorden voor uw WordPress site te delen.

Voor andere accounts buiten WordPress die een enkele account vereisen voor het uitvoeren van een activiteit, moet u ervoor zorgen dat u de persoon vertrouwt met wie u het wachtwoord deelt. Zorg er ook voor dat u het wachtwoord onmiddellijk wijzigt nadat het werk is voltooid.

10 meeste wachtwoord fouten Nr. 8:
Niet bewust zijn van de omgeving bij het gebruik van wachtwoorden.

Wanneer u inlogt op een website in een openbare ruimte via open WiFi, wordt uw wachtwoord verzonden in pakketten die kunnen worden onderschept en gelezen door aanvallers. Veel mensen zijn zich er gewoon niet van bewust dat dit mogelijk is, dus nemen ze niet de juiste maatregelen om zichzelf te beschermen als ze hun computer of apparaten in openbare ruimtes gebruiken.

Hoewel de meeste populaire websites TLS/SSL gebruiken om de informatie te versleutelen die wordt verzonden en ontvangen van uw computer of apparaat naar hun servers, raden wij toch aan een virtueel privénetwerk te gebruiken, ook bekend als een VPN, wanneer u inlogt op gevoelige sites in openbare ruimten. De VPN versleutelt al uw gegevens tijdens het transport. Dit maakt het voor een aanvaller aanzienlijk moeilijker om gevoelige informatie zoals wachtwoorden of persoonlijk identificeerbare informatie te stelen wanneer u inlogt op gevoelige websites in openbare ruimtes via een openbaar netwerk.

Bovendien weet u nooit wie er over uw schouder meekijkt en een aanvaller kan gemakkelijk uw wachtwoord of andere gevoelige informatie stelen terwijl u inlogt op een website. Wij raden u aan een privacyscherm te gebruiken als u in openbare ruimten werkt waar het voor iemand gemakkelijk kan zijn om op uw scherm mee te kijken. We raden u ook aan uw omgeving in de gaten te houden en achter u te kijken wanneer u wachtwoorden invoert of gevoelige informatie verwerkt die op het scherm zichtbaar kan zijn.

Als u zich moet aanmelden bij een account op een openbare computer, moet u zich ervan bewust zijn dat de computer waarop u zich aanmeldt een keylogger of andere malware kan hebben geïnstalleerd. Bescherm uw accounts door niet in te loggen op openbare computers, en als u toch moet inloggen, zorg er dan voor dat u uitlogt zodra u uw taken op die computer hebt voltooid en wijzig uw wachtwoorden de volgende keer dat u op een computer bent waarvan u weet dat deze schoon is.

10 meeste wachtwoord fouten Nr. 7:
wachtwoorden niet regelmatig controleren en auditen.

Dit is een veelgemaakte fout, die vaak over het hoofd wordt gezien en verwaarloosd. Wachtwoorden moeten regelmatig worden gecontroleerd en geaudit. Soms kunnen wachtwoorden worden gecompromitteerd in datalekken, daarom is het belangrijk om uw wachtwoorden en accounts te controleren, zodat als ze worden gevonden in een datalek ze onmiddellijk kunnen worden gewijzigd.

Have I been Pwned? is een goede bron om na te gaan of een wachtwoord is gecompromitteerd of bij een inbreuk is aangetroffen. U kunt zich aanmelden voor “Notify Me”, dat u een e-mail zal sturen als wachtwoorden of andere persoonlijke gegevens in verband met uw e-mail zijn aangetroffen in een inbreuk. Onlangs is ook de controle van telefoonnummers toegevoegd. Door snel te reageren op de gegevens van deze gratis dienst kunt u aanvallers een stap voor blijven.

Vandaag de dag is het makkelijker dan ooit om uw wachtwoorden te controleren, dus er is geen excuus om het niet te doen. Veel browsers, waaronder Chrome, Safari, Firefox en Edge, hebben functies geïmplementeerd waarmee wachtwoorden kunnen worden geanalyseerd om te bepalen of deze onderdeel zijn geweest van een datalek. Bovendien hebben sommige wachtwoordbeheerders zoals 1Password en Enpass wachtwoordcheckers in hun beheerplatforms geïntegreerd. Hierdoor kunt u eenvoudig bepalen of een van uw wachtwoorden of accountgegevens mogelijk is aangetroffen in een inbreuk. Dit is nog een reden waarom u een wachtwoordbeheerder zou moeten gebruiken.

Voor WordPress site-eigenaren is het controleren van wachtwoorden om ervoor te zorgen dat uw sitegebruikers geen zwakke wachtwoorden gebruiken ook ongelooflijk belangrijk om ervoor te zorgen dat ze geen inbraakvector op de site creëren. Wordfence heeft een ingebouwde gratis functie om te controleren op zwakke wachtwoorden en te voorkomen dat ze worden gebruikt.

Het wordt beschouwd als een best practice om uw wachtwoorden zo nu en dan te veranderen, dus we raden u ten zeerste aan om de tijd te nemen om uw meest kritische wachtwoorden eens in de 90 dagen te veranderen. Dit is aanzienlijk belangrijker dan dat u geen multifactorauthenticatie gebruikt. Als u WordPress gebruikt en gebruikers op uw site hebt, raden wij aan om ongeveer elke 180-365 dagen  wachtwoordupdates te forceren, omdat u niet kunt weten welke wachtwoorden zij op uw site gebruiken. Een groot aantal recent ontdekte kwetsbaarheden vereisen privileges op abonneeniveau, dus zelfs ervoor zorgen dat abonnees van WordPress-sites sterke en unieke wachtwoorden gebruiken, is belangrijk om uw site te beschermen tegen aanvallen die escaleren vanuit gecompromitteerde toegang op abonneeniveau.

10 meeste wachtwoord fouten NR. 6:
Wachtwoorden gebruiken die te eenvoudig zijn of woorden uit het woordenboek.

Eenvoudige wachtwoorden zijn één van de meest voorkomende inbraakvectoren voor gehackte accounts. Wachtwoordcomplexiteit is zeer belangrijk als het gaat om het beschermen van uw wachtwoorden tegen brute force attacks en andere wachtwoordkraakaanvallen. Wachtwoordcomplexiteit verwijst naar de toevoeging van verschillende tekens in een wachtwoord, waardoor ze aanzienlijk moeilijker te raden zijn. Dit betekent het toevoegen van numerieke tekens en speciale tekens (bijv. $, %, #) samen met een mix van hoofdletters en kleine letters. Hoe complexer u uw wachtwoord maakt, hoe langer het duurt voordat een brute-force aanval succesvol is.

• Hier is een voorbeeld van een niet-complex wachtwoord dat een computer 46 microseconden kost om te kraken: susy

• Hetzelfde wachtwoord dat net iets complexer is door een speciaal teken toe te voegen en een computer 12 milliseconden kost om te kraken: susy!

• En hier is hetzelfde wachtwoord dat nog complexer is door een hoofdletter toe te voegen en een computer 1 honderd milliseconden zou kosten om te kraken: Susy!

• En een nog complexer wachtwoord met alle kenmerken dat een computer 21 seconden zou kosten om te kraken: Susy3!

Via deze site kunt u e.e.a. testen: www.comparitech.com

Nu is het je misschien opgevallen dat dit voorbeeldwachtwoord ongelooflijk kort is en persoonlijke informatie bevat die heel gemakkelijk te raden zou kunnen zijn, daarom is de geschatte tijd om te kraken nog steeds ongelooflijk kort. Het belangrijkste is echter dat u kunt zien dat de tijd om het wachtwoord te kraken een beetje toeneemt met elk toegevoegd karakter, wat aantoont waarom wachtwoord complexiteit een ongelooflijk belangrijk verdedigingsmechanisme is tegen wachtwoord krakende technieken. De meeste aanvallers voeren ook woordenboekaanvallen uit, wat betekent dat als uw wachtwoord veelgebruikte woorden bevat, het aanzienlijk minder tijd kost om het te raden.

10 meeste wachtwoord fouten Nr. 5:
Persoonlijke informatie gebruiken in wachtwoorden.

Dit is een veelgemaakte fout omdat het veel makkelijker is om wachtwoorden met persoonlijke gegevens te onthouden. Als de naam van uw hond bijvoorbeeld Charlie is en uw lievelingsgetal 3, dan bent u geneigd om Charlie3 te gebruiken als wachtwoord voor al uw sites. Dat is echter een grote fout.

In de wereld van vandaag is het voor een aanvaller ongelooflijk eenvoudig om uw persoonlijke informatie, inclusief uw voorkeuren, te vinden op sociale media, of om deze te verkrijgen via social engineering. Alle persoonlijk identificeerbare informatie van uw social media-accounts, zoals combinaties van namen van huisdieren, namen van kinderen, straatnamen of zelfs postcodes kunnen allemaal voer zijn voor brute krachtaanvallen door een aanvaller die uw accounts viseert. Deze wachtwoorden kunnen ook ongelooflijk gemakkelijk te kraken zijn gezien hun eenvoud, wat nog een component is dat het gebruik van persoonlijke informatie in wachtwoorden gevaarlijk maakt.

Lange en complexe wachtwoorden zonder persoonlijke informatie zijn misschien moeilijk te onthouden, maar uw favoriete wachtwoordmanager kan ervoor zorgen dat ze gemakkelijk toegankelijk zijn.

10 meeste wachtwoord fouten Nr. 4:
De gebruikersgegevens van ex-werknemers, ontwikkelaars of support medewerkers niet verwijderen.

Het actief laten van de account van een werknemer op uw WordPress site nadat deze is ontslagen, kan een vector zijn voor defacement van de site als de werknemer ontevreden is over het ontslag.

Wanneer u toegang verleent aan een werknemer, aannemer of ontwikkelaar, houd dan een gedetailleerd overzicht bij van de toegang die u hen verleent. Als ze admin toegang hebben tot uw WordPress site en hosting account, bewaar dan de gegevens van hun toegangsniveau op een veilige plaats, zoals een intern document of zelfs een spreadsheet met de details van de verleende toegang. Zorg ervoor dat u uw administratie bijwerkt met alle extra verkregen toegang gedurende de duur van hun dienstverband of contract, zodat dit in de toekomst gemakkelijk kan worden herzien. Zodra een contract of dienstverband is beëindigd, moeten de accounts worden verwijderd. Het is het beste om dit als een regelmatig protocol te doen onmiddellijk voor of tijdens de beëindiging van het contract. U moet nooit wachten tot na de beëindiging van iemand om hun toegang in te trekken. 

10 meeste wachtwoord fouten Nr. 3:
Te korte wachtwoorden gebruiken.

Deze fout sluit aan bij enkele van de andere fouten die we al besproken hebben over wachtwoord complexiteit en het gebruik van een wachtwoord manager. Wachtwoorden die te kort zijn kunnen gemakkelijk worden gekraakt, net als een wachtwoord met een lage complexiteit.

Een algemene vuistregel is om een wachtwoord te gebruiken van minimaal 10 tekens, maar als u een wachtwoordmanager gebruikt, raden wij aan om zoveel tekens te gebruiken als elke account toestaat. Sommige wachtwoordbeheerders kunnen wachtwoorden van wel 100 tekens genereren, dus waarom zou u die niet gebruiken? Het maakt het brute forcen van wachtwoorden alleen maar moeilijker. In het onwaarschijnlijke geval dat de wachtwoordmanager die uw wachtwoorden bewaart, wordt gecompromitteerd, zou het ook ongelooflijk moeilijk zijn voor een aanvaller om het opgeslagen wachtwoord te ontcijferen en het wachtwoord in onbewerkte tekst te verkrijgen.

wachtwoordfouten

10 meeste wachtwoord fouten Nr. 2:
Geen multi-factor authenticatie gebruiken.

Niemand vindt het leuk om multi-factor authenticatie te gebruiken, maar het is een belangrijke beschermingslaag. Wachtwoorden fungeren als de eerste authenticatielaag en als uw wachtwoord op de een of andere manier wordt gecompromitteerd, maakt het hebben van een tweede authenticatielaag het veel moeilijker voor een aanvaller om succesvol de authenticiteit van uw identiteit te “spoofen”. Het gebruik van bepaalde authenticatiemethodes kan het voor een aanvaller bijna onmogelijk maken om binnen te komen.

Er zijn 5 basis authenticatiemethodes:

  • Iets wat je weet: Dit is de meest voorkomende vorm van authenticatie en is iets wat alleen u weet. Dit zal meestal uw wachtwoord zijn of een pincode die u kent.
  • Iets wat u bent. Dit verwijst naar biometrische gegevens, zoals een vingerafdruk, een netvliesscan of een andere fysieke eigenschap die uniek is voor u. Dit is minder gebruikelijk als het gaat om online authenticatie, maar het is een geldige vorm van authenticatie en moeilijk te compromitteren.
  • Ergens waar u bent. Deze vorm van authenticatie is gebaseerd op uw locatie. Het is meestal geen uitdrukkelijk gekozen vorm van authenticatie, maar verschillende diensten houden uw locatie in de gaten wanneer u inlogt en waarschuwen u, of blokkeren u, als een inlog afkomstig is van een ongebruikelijke of nieuwe locatie.
  • Iets wat u hebt. Dit is de meest gebruikte tweede vorm van authenticatie voor Online-sites. Het is authenticatie met iets wat je hebt, zoals een authenticatie app op je mobiele telefoon die een tijd-gebaseerde eenmalige passcode genereert. Er zijn ook fysieke tokenapparaten die willekeurige getallen genereren of een cryptografisch certificaat gebruiken om uw identiteit te verifiëren.
  • Iets wat u doet. Deze vorm van authenticatie is gebaseerd op iets wat u doet. Dit zou het vegen van een patroon op uw telefoonscherm inhouden of de analyse van patronen op basis van uw persoonlijk typegedrag. Dit wordt meestal gebruikt om menselijke activiteiten te onderscheiden van pogingen van bots, zoals bij reCaptcha.

Meerfactorauthenticatie maakt gebruik van twee of meer combinaties van de bovenstaande authenticatiemethoden. De meest gebruikelijke vorm van dubbele authenticatie is het gebruik van iets wat je weet, zoals een wachtwoord, en iets wat je hebt, wat meestal je telefoon is die een authenticatie app heeft of sms-berichten gebruikt om een speciale code te ontvangen. Let op: “beveiligingsvragen” zijn eigenlijk geen vorm van multifactorauthenticatie, omdat ze iets zijn wat u weet, net als uw wachtwoord.

Wij raden u ten zeerste aan om twee-factor authenticatie op uw WordPress site in te schakelen met o.a.  Wordfence’s ingebouwde twee-factor authenticatie en twee-factor authenticatie in te schakelen op al uw persoonlijke accounts indien beschikbaar. Als uw wachtwoorden ooit worden gecompromitteerd, zal deze beveiligingslaag het veel moeilijker maken voor een aanvaller om binnen te komen, aangezien ze meestal geen toegang hebben tot de tweede vorm van authenticatie.

10 meeste wachtwoord fouten Nr. 1: wachtwoorden hergebruiken.

Het hergebruiken van wachtwoorden komt maar al te vaak voor. Jaren geleden, voordat gegevensinbreuken vaak voorkwamen, was het hergebruiken van wachtwoorden een gangbare praktijk. We hebben waarschijnlijk allemaal wel eens wachtwoorden hergebruikt. De tijden zijn echter veranderd en het hergebruiken van wachtwoorden is nu de grootste fout die we zien. Dit heeft geleid tot enkele zeer opvallende inbraken, samen met verdere gegevensinbreuken, en het heeft een cascade-effect gehad op ons digitale leven. Uit een enquête van LastPass bleek dat 91% van de ondervraagden wist dat het hergebruiken van wachtwoorden slecht was, maar toch gaf 66% van de 3.250 respondenten aan dat ze wachtwoorden hergebruikten.

Het hergebruiken van wachtwoorden betekent dat als uw wachtwoord op een site wordt gecompromitteerd, een aanvaller met toegang tot uw wachtwoord dit kan gebruiken om in te loggen op uw accounts op andere sites. Ze kunnen gevoelige informatie stelen die in bepaalde accounts is opgeslagen of creditcards gebruiken via uw gecompromitteerde accounts als u die in winkelsites hebt opgeslagen. Het ergste van alles is dat als uw e-mail is gecompromitteerd, ze gebruik kunnen maken van de wachtwoordresetfunctionaliteit op alle accounts die dat e-mailadres gebruiken en uw hele digitale identiteit kunnen overnemen.

Het Wordfence site opschoningsteam ontdekt vaak dat aangetaste WordPress sites hetzelfde wachtwoord gebruiken voor hun hosting account, FTP credentials, en WordPress dashboard gebied, wat kan leiden tot een complexe aantasting. Er zijn veel gevallen geweest waarin een aanvaller toegang had kunnen krijgen tot het wp-admin gedeelte van een site, hetzij via een gecompromitteerd en hergebruikt wachtwoord, hetzij via het brute-forcen van het wachtwoord, en vervolgens diezelfde gegevens had gebruikt om in te loggen op de hostingaccount van de gecompromitteerde site omdat ze dezelfde gegevens deelden.

Conclusie

In deze blog hebben we besproken hoe belangrijk het is om ervoor te zorgen dat u de meest optimale praktijk voor wachtwoorden volgt om wachtwoordfouten te voorkomen. Dit geldt niet alleen voor uw WordPress site, maar ook voor uw gehele digitale aanwezigheid, met inbegrip van bank- en financiële rekeningen, sociale media-accounts, e-mailaccounts en elke account van een leverancier die een gebruikersnaam en wachtwoord vereist. Als u de beste praktijken volgt en deze fouten vermijdt, bent u snel op weg om ervoor te zorgen dat uw onlinewereld veilig blijft.

Met deze blog is het duidelijk dat de beste praktijken voor wachtwoorden ons allemaal aangaan. Dus aarzel niet dit bericht te delen.

Bron(nen):

Wordfence.com


Bewerkt/vertaald naar het Nederlands.

Wellicht ook interessant:
Gehackt. Er is altijd 1 kans dat het jou overkomt.

Leuk of leerzaam artikel? Deel het!

Cees van Stam

Wordpress onderhoud & Design