We weten dat het kan, maar we kunnen ons er nauwelijks tegen beschermen, zo meende een van onze nieuwe relaties die in praktijk met het misbruik van een Microsoft account werd geconfronteerd. Op een of andere wijze had iemand de hand weten te leggen op de inloggegevens van een medewerker. Omdat deze gegevens niet alleen voor Skype, maar ook voor Windows 8 werden gebruikt, was het eenvoudig mogelijk om ook de inlogcodes voor het netwerk van de organisatie te achterhalen. Deze bevonden zich namelijk in cache op de Windows laptop van de medewerker die op afstand overgenomen werd.

In een aantal gevallen waarschuwt Microsoft voor een mogelijk misbruik van het account. Ben je bijvoorbeeld vanochtend op een Microsoft product ingelogd in Utrecht en log je een uur later ergens in Chicago opnieuw in, dan is er gerede twijfel en dus reden volgens Microsoft om een melding hiervan te maken naar de gebruiker. Maar zijn er niet dergelijke evidente zaken aan de hand, dan is het moeilijk te zien voor Microsoft of echt wel de juiste persoon gebruik maakt van de inloggegevens en moet je zelf dus wakker zijn.

Verschillende inloggegevens

Het is wijs om voor verschillende diensten verschillende wachtwoorden te gebruiken (maar ook lastig, daarom gebruiken nog steeds veel mensen dezelfde combinatie van account en password voor verschillende diensten). Voor wie het lastig vindt om al die verschillende accounts en passwords te onthouden, zijn er tools in omloop. Password Depot is een dergelijke tool waarmee het mogelijk is om alle gebruikte accounts en passwords eenvoudig te beheren. Password Depot kan als toolbar op het scherm worden geplaatst en op een eenvoudige manier voorzien in de benodigde inloggegevens.

Hoewel het gebruik van verschillende inloggegevens de mogelijkheid tot misbruik niet tegen gaan, zorgt het er in ieder geval voor dat als gegevens bekend zijn bij een ander, deze relatief weinig schade aan kan brengen. Men kan dan bijvoorbeeld wel toegang tot de Twitter account krijgen, maar Facebook kan men met deze gegevens niet corrumperen.

Complexe passwords

Natuurlijk kent normaal gesproken niemand jouw password, maar steeds vaker horen we via de media dat de accountgegevens van bijvoorbeeld een webshop zijn gestolen. Omdat mensen dus vaak dezelfde gegevens op verschillende plekken gebruiken, is daarmee het hek van de dam.

Heeft men het op een dergelijke website allemaal netjes voor elkaar, dan kan dat niet zo snel gebeuren en als dat dan toch gebeurt (wat is 100% proof?) dan heeft men hopelijk voorzieningen getroffen om de aanwezige gegevens versleuteld opgeslagen te hebben. Dat dit niet altijd het geval is, vernemen we helaas nog te vaak via de media.

Toch is dit is niet de enige manier waarop men aan gegevens kan komen. Mensen geven elkaar inloggegevens door (handig op het werk of thuis), schrijven ze op blaadjes of soms zelfs op hun computer.  Los van de vele technische ‘trucks’ (zoals het afvangen van karakters die naar een website worden gestuurd) bestaat er ook nog een groot aantal tools dat is staat is om binnen enkele seconden duizenden ‘logische’ combinaties te proberen om in te loggen. De passwords die we als mensen opstellen voldoen vaak aan de eis dat we ze gemakkelijk kunnen onthouden. Juist dit soort passwords zijn voor die systemen nauwelijks een probleem. Testen wijzen uit dat wat wij moeilijke passwords noemen, vaak door dergelijke tools in uiterlijk enkele minuten te achterhalen zijn.

Sterke passwords vandaag de dag bestaan om die reden uit tientallen willekeurige karakters, met hoofd- en kleine letters, bijzondere tekens en cijfers kriskras door elkaar. Dat werkt niet in praktijk, zult u denken, en dat is juist. Daarom zijn er tools als Password Depot die dergelijke complexe passwords maken en beheren of voorzieningen als 2-step verification bij Microsoft waarbij onder andere relatief eenvoudige passwords worden omgezet naar veel complexere passwords zodat de beveiliging ineens een stuk toeneemt.

2-step verification

Om zichzelf nog (veel) beter te beschermen, is het niet alleen verstandig om verschillende inlogcodes voor de verschillende diensten te gebruiken en complexe passwords te gebruiken, maar ook iets als een “2-step verification” te gebruiken. Bekende bedrijven zoals Apple, Facebook, Microsoft, Dropbox en Amazon bieden hiertoe goede mogelijkheden.

Het basisprincipe van een tweestaps-authenticatie is eenvoudig en lijkt sterk op het werken met overschrijvingen via de PC van geld bij een bank. U logt in (eerste authenticatie) en maakt geld over. Op uw mobiele telefoon wordt hiervoor een verificatiecode doorgegeven. Alleen door deze code in te voeren (tweede authenticatie) wordt de overschrijving uitgevoerd. Je moet dan ook voor een degelijke tweestaps-authenticatie een mobiel nummer opgeven dat gebruikt zal worden voor het ontvangen van verificatiecodes.

In bijvoorbeeld het geval van Microsoft, heeft men een andere oplossing bedacht. Je kunt voor deze tweestaps-authenticatie een app downloaden op de smartphone die “Authenticator” wordt genoemd. Wil je als gebruiker met behulp van een nieuw apparaat inloggen op bijvoorbeeld Skype, dan wordt eerst naar een verificatiecode gevraagd die via deze app verkregen kan worden. Pas na het invoeren van deze verificatiecode is het dan mogelijk om in te loggen.

Door deze methode te gebruiken ‘weet’ Microsoft dat de gebruiker echt zelf inlogt op de dienst vanaf dit andere apparaat. Doet deze gebruiker dat daarna nog eens op dat apparaat, dan hoeft hij het niet nog eens toe te laten staan met behulp van een verificatiecode. Microsoft “kent” dit apparaat immers als een eerder goedgekeurd apparaat voor deze dienst. Wordt het apparaat echter een tijd niet voor deze toepassing gebruikt (enkele weken), dan kan opnieuw om een verificatiecode worden gevraagd. De erkenning is dus een beperkte tijd geldig.

In het geval van Microsoft diensten moet je eerst aan Microsoft doorgeven dat je gebruik wilt maken van deze 2-step verification. Dit omdat het gebruik van de tweestaps-authenticatie omslachtiger is dan het gebruik van slechts een accountnaam met password. Dat doorgeven doe je door in te loggen op je account. Het is in je eigen dashboard een optie die je daar in kunt schakelen.

Het is een misverstand om te denken dat deze dienst alleen werkt op alleen Microsoft besturingssystemen. Het is eenvoudig mogelijk om op een Apple iPhone gebruik te maken van Microsoft Skype via deze tweestaps-authenticatie.

Zichzelf beter beveiligen

Voor wie meer wil weten over de 2-step verification kan het beste te raden gaan bij de dienst zelf. Microsoft heeft op haar websites duidelijk beschreven hoe haar methode werkt, net als Google en bijvoorbeeld Dropbox. Ook kunt u, als relatie van Panthera BV, vragen of een van onze technical engineers dit voor u instelt.