Ooit volstond een wachtwoord om uw account te beveiligen. Vandaag zijn cyberaanvallen via uw wachtwoord echter schering en inslag. Op welke manieren worden wachtwoorden zoal gekraakt en hoe kunt u zich ertegen wapenen?
Als u ergens inlogt, hebt u bijna altijd een wachtwoord nodig. Enerzijds is een wachtwoord een vereiste om toegang te krijgen tot uw profielen, anderzijds vormt het vaak de zwakste schakel in de beveiliging. Recente cijfers van Microsoft liegen er niet om: elk jaar worden er miljarden pogingen gedaan om wachtwoorden te kraken en te misbruiken. Bovendien liggen de cijfers van 2022 fors hoger dan die van 2018. Microsoft noteert een stijging van alle vormen van wachtwoordmisbruik, al springt de verdertienvoudiging (x13!) van password spray attacks (zie verder) het meest in het oog.
Soorten aanvallen
Qua wachtwoordaanvallen onderscheiden we drie verschillende, vaak voorkomende praktijken: password spray attacks, password breach replay attacks en phishing:
- Password spray attacks zijn aanvallen waarbij cybercriminelen veelgebruikte wachtwoorden uitproberen op een hoog volume accounts tegelijk. Daarom is het uiterst belangrijk om al te voor de hand liggende wachtwoorden te vermijden. Wie bijvoorbeeld kiest voor “azerty” of “wachtwoord123” wordt sowieso gehackt, en wellicht eerder vroeg dan laat. Niet doen, dus!
- Password breach replay attacks is een hackmethode waarbij cybercriminelen achter uw wachtwoord trachten te komen door wachtwoorden uit te proberen die ze eerder al onderschepten op uw andere accounts. Als bijvoorbeeld uw Facebookwachtwoord in een datalek terechtkomt, gebruiken hackers dat wachtwoord ook om op andere websites in te loggen. Daarom is het sterk aanbevolen dat u wachtwoorden niet hergebruikt voor verschillende accounts. Doet u dat toch, dan loopt u het risico om na een datalek of hack meer dan één account te verliezen.
- Bij phishing hoeven cybercriminelen niet meer te raden naar gebruikersnamen of wachtwoorden. Die kennen ze namelijk al. Ze sturen vervalste berichten (bijvoorbeeld via mail of sms) naar hun potentiële slachtoffers waarin ze inloggegevens proberen te ontfutselen. U wordt bijvoorbeeld gevraagd om in te loggen op een nagebouwde website. Zodra u in de val loopt en effectief uw inloggegevens achterlaat, gaan de hackers met uw gegevens aan de haal en kraken ze uw profiel.
Gemiddeld aantal maandelijks vastgestelde aanvallen door Microsoft tussen 2018 en 2022
Moderniseer uw identiteits- en toegangsbeheer met Azure Active Directory
Enkel een wachtwoord houdt cybercriminelen niet langer tegen. Daarom is een doordacht identiteits- en accesmanagement geen overbodige luxe. Identiteiten en toegangen beheren is bijvoorbeeld mogelijk met Azure Active Directory (Azure AD). Azure AD combineert verschillende mechanismen om u te beschermen tegen de stortvloed aan cyberaanvallen. Multifactorauthenticatie (MFA) is er daar een van. Verder omvat Azure AD features zoals Single Sign-On (SSO) en Conditional Acces om uw accounts veilig te houden.
MFA: broodnodig
Multifactorauthenticatie (MFA) is een simpele, maar broodnodige stap om uw accounts beter te beveiligen. Meestal wordt er een tweede verificatiestap toegevoegd aan het inlogproces. Dan spreken we over tweefactorauthenticatie (2FA).
Bij 2FA krijgt u een extra inlogmelding die u moet bevestigen vooraleer u toegang krijgt. Dat kan bijvoorbeeld via een specifieke app, zoals Microsoft Authenticator. Om MFA of 2FA extra te beveiligen, kunt u nummermatching toevoegen. Bij aanmelding verschijnt dan een cijfer op uw computerscherm dat u vervolgens moet ingeven in de app. Verder kan er extra context toegevoegd worden aan een bevestigingsmelding. Zo kunnen de locatie waar u inlogt en de app waarop u inlogt getoond worden. Op die manier weet u zeker dat u alvast niets moet bevestigen als iemand vanuit bijvoorbeeld Duitsland, Turkije of Thailand tracht in te loggen terwijl u zelf in België vertoeft. Ga sowieso nooit in op een inlogbevestiging als u niet aan het inloggen bent.
Nummermatching met extra info bij MFA
SSO: snel en eenvoudig
Single Sign-On is de ideale manier om wachtwoordhergebruik te vermijden. SSO of eenmalig inloggen is een populaire inlogmethode waarbij u maar één profiel nodig hebt voor meerdere applicaties. Veelgebruikte SSO’s zijn die van Google en Facebook. Websites en apps bieden namelijk vaak de mogelijkheid om in te loggen met een Google- of Facebookaccount. Ook bedrijven maken intern gebruik van SSO. Zo krijgen medewerkers vaak toegang tot verschillende bedrijfsapplicaties met één inlogprofiel. De grote voordelen van SSO zijn de snelheid en gebruiksvriendelijkheid.
Conditional Access: de juiste signalen
Conditional Access baseert zich op verschillende signalen om een gebruiker die wil inloggen al dan niet toegang te geven. Enkele voorbeelden van zulke signalen:
- Welke gebruiker wil inloggen? Bepaalde gebruikers hebben meer toegangsrechten dan andere.
- Welk IP-adres wordt er gebruikt? Beheerders kunnen inlogpogingen uit bepaalde regio’s en landen blokkeren op basis van het IP-adres.
- Via welke app wordt er ingelogd? Afhankelijk van hun profiel hebben gebruikers wel of geen toegang tot bepaalde apps.
Enkel als een gebruiker voldoet aan alle signalen zal Conditional Access de toegang goedkeuren. Zo gaat u frauduleuze inlogpogingen tegen.
Conclusie: neem geen enkel risico
Vanwege het stijgende aantal cyberaanvallen wordt het steeds lastiger om accounts te beveiligen. Toch beschikken we over voldoende afweermiddelen. Een doordacht wachtwoordbeleid is een goed vertrekpunt, maar alleen als u het combineert met technologieën zoals MFA en Azure AD.
