Bij Tozetta krijgen wij veel vragen over hoe cybercriminelen binnendringen bij organisaties. Hier zijn talloze manieren voor te bedenken en de ingang bij iedere organisatie kan anders zijn. Toch zien wij één aspect dat vaak over het hoofd wordt gezien, maar cruciaal is voor de bescherming tegen cyberaanvallen. Wij hebben het over het gebruik van slechte wachtwoorden en het ontbreken van een wachtwoordbeleid.
Als hackers weten wij als geen ander dat slechte wachtwoorden het erg gemakkelijk kunnen maken voor cybercriminelen om een hack uit te voeren. Daarom duiken wij dieper in op het creëren van een sterk wachtwoordbeleid bij jullie organisatie. Mocht je eerst benieuwd zijn hoe cybercriminelen je wachtwoord kunnen kraken? Lees hier meer over hoe cybercriminelen achter je wachtwoord kunnen komen.
Het probleem van zwakke wachtwoorden
Een veelvoorkomend probleem in de wereld van cybersecurity is het gebruik van zwakke wachtwoorden. Mensen kiezen vaak wachtwoorden die gemakkelijk te raden zijn, zoals “Bedrijfsnaam123!” of “Lente2024”, of ze gebruiken persoonlijke informatie zoals namen van familieleden of verjaardagen (Deze informatie is gemakkelijk te vinden op alle verschillende social media kanalen).
Deze wachtwoorden zijn uiterst kwetsbaar voor brute force-aanvallen, waarbij hackers geautomatiseerde tools gebruiken om duizenden mogelijke wachtwoord combinaties uit te proberen totdat ze er een vinden die werkt. Deze worden vaak gebaseerd op gigantische databases met veelvoorkomende of eerder gelekte wachtwoorden.
Het probleem van een slecht wachtwoordbeleid
Naast zwakke wachtwoorden wordt het probleem verergerd door onveilig wachtwoordbeleid binnen organisaties. Te vaak zien we dat hergebruik van wachtwoorden is toegestaan, en dat simpele wachtwoord variaties worden geaccepteerd… Een voorbeeld van een wachtwoord variatie zie je hieronder. Middels brute forcing zijn dit soort wachtwoorden extreem makkelijk te raden.
In combinatie met een gebrek aan regelmatige wachtwoord wijzigingen, geen multifactorauthenticatie (MFA) en dat er geen mogelijkheid is voor medewerkers om voor alle accounts unieke wachtwoorden te genereren en onthouden (passwordmanager) zorgt voor een kwetsbare situatie. Dit opent een deur voor cybercriminelen die wij juist zo graag willen weren.
Hoe maak je een sterk wachtwoord?
Een sterk wachtwoord creeren kan het beste worden uitgevoerd door een wachtwoorden generator. Vaak zit dit in passwordmanager tools verwerkt. bij Tozetta hebben wij ervaring met BitWarden, KeePassXC en 1Password, doe ook vooral zelf onderzoek naar de password managing tool die bij jullie organisatie past. Wij geven hier geen advies in!
Het prettige aan een tool is, dat je voor ieder account een uniek wachtwoord kan creëren, zonder dat de gebruiker deze hoeft te onthouden. Het probleem van overal dezelfde wachtwoorden gebruiken is dat cybercriminelen na een datalek gemakkelijk ook op andere accounts kunnen inloggen met je gelekte wachtwoord (mits je geen Multifactorauthenticatie hebt).
De tool genereert en onthoud het wachtwoord voor de medewerkers, deze hoeft enkel nog één uniek ”master wachtwoord” te onthouden om de wachtwoord managing tool in te komen. Hieronder een voorbeeld van de wachtwoord generator verwerkt in BitWarden.
Uniek master wachtwoord
Om de password managing tool in te komen heb je ook een wachtwoord nodig. Zorg dat dit voldoet aan de criteria hierboven. Hoe meer tekens, des te lastiger het wordt om het wachtwoord te kraken. Persoonlijk adviseren wij een wachtwoordzin. Let wel op dat de woorden niks met jou te maken hebben. Voorbeelden kunnen zijn:
- Kasteel6-berg-stars*
- autoweg_live5_werken
Nadat je kort de tijd neemt om dit te onthouden en het wachtwoord vervolgens een paar keer gebruikt, heb je in ieder geval een makkelijk te onthouden wachtwoord dat je toegang geeft tot je wachtwoorden manager. Dit is extreem lastig om te kraken voor een cybercrimineel. Combineer dit met MFA en je hebt twee goede sloten op je digitale kluis.
Hoe zorg je voor sterke wachtwoorden binnen jullie organisatie?
Een goed wachtwoordbeleid! Als jullie organisatie een aantal punten op orde heeft, dan zullen medewerkers worden verplicht, maar zich ook bewust zijn van de risico’s van zwakke wachtwoorden. Het is zoeken naar de juiste balans tussen veiligheid en functionaliteit, maar middels de volgende punten hopen wij jullie cybersecurity alvast iets te verbeteren:
- Train personeel middels cyber security awareness trainingen. Breng inzichtelijk wat de cyberrisico’s zijn en informeer over het creëren van een veilige digitale werkomgeving.
- Bedenk dat jullie medewerkers een password managing tool nodig hebben om unieke wachtwoorden te creëren en onthouden voor alle accounts.
- Zorg dat Multi Factor Authenticatie verplicht is waar dit mogelijk is, zie dit als een extra slot op de digitale deur!
- Zorg indien mogelijk ervoor dat wachtwoord variaties niet zijn toegestaan, of het personeel op de hoogte is van brute forcing en het gemak om deze wachtwoord variaties te raden.
- Zorg ervoor dat de wachtwoorden om de paar maanden gewijzigd worden.
Hoe zit het met de Leaked Credentials van onze organisatie?
Bijna iedere organisatie is wel eens slachtoffer geworden van cybercrime, is het niet direct? Dan heeft er hoogstwaarschijnlijk indirect wel eens iets plaatsgevonden. Je kan hierbij denken aan een account op een platform dat een medewerker met zijn werkmail heeft aangemaakt. Dit platform wordt slachtoffer van cybercrime en het mailadres + wachtwoord van jullie medewerker wordt buitgemaakt. De informatie wordt online doorverkocht en verschijnt zo in (darkweb)databases.
Wat kan ik hier tegen doen?
Bij Tozetta hebben wij de afgelopen jaren enorm veel van dit soort databases gevonden en gebruiken wij dit in onze ethical hacking opdracht. Nu zetten wij deze kennis en informatie ook in om jullie te helpen. Dit doen wij middels een Leaked Credentials Scan.
Dit houdt in dat wij onderzoek doen naar jullie bedrijf in deze databases. Wellicht zijn er leaked credentials van medewerkers bekend en kunnen deze wachtwoorden worden uitgesloten in jullie software en systemen. Daarnaast kunnen medewerkers op de hoogte worden gebracht, want wachtwoorden worden zowel prive als zakelijk vaak hergebruikt…
Na een leaked credentials scan krijg je een rapportage met daarin onze bevindingen. Vinden wij niks? Dan berekenen wij ook geen kosten! De kosten voor een leaked credentials scan bedraagt 250,- excl. btw.
Kosteloos 1 uur pentesten?
Bij Tozetta kun je vrijblijvend een Pentest Quickscan aanvragen. Tijdens de Quickscan gaat een ethisch hacker kosteloos één uur een pentest uitvoeren. In dit uur maakt de ethisch hacker het aanvalsoppervlak inzichtelijk. Op basis hiervan kan een urenindicatie voor jullie vraagstuk worden bepaald en krijgen jullie inzicht in de mogelijke pentest kosten. Interesse in een pentest uitvoeren? Vul vrijblijvend onderstaand formulier in!
Vraag een Quickscan aan
- Gratis advies
- Vrijblijvend
- Vernieuwde inzichten