Hoe kun je controleren of je bij een wachtwoordlek zit?

Het rapport “the mother of all breaches” beschrijft een enorm datalek waarin gegevens van verschillende bedrijven en online diensten, zoals LinkedIn en Twitter (nu X), zijn gestolen. De datacache bevatte maar liefst 26 miljard records vol gevoelige informatie, waaronder overheidsgegevens en inloggegevens van gebruikers.

Zelfs als je strenge maatregelen voor bedrijfsveiligheid toepast, kunnen accountgegevens nog steeds in dergelijke collecties terechtkomen, voornamelijk als gevolg van inbreuken bij grote bedrijven. Dit roept de vraag op: hoe kun je erachter komen of je gegevens zijn gecompromitteerd?

Bedrijfsopenbaarmakingen

Bedrijven kunnen onderworpen zijn aan specifieke wettelijke vereisten die hen verplichten om beveiligingsincidenten en kwetsbaarheden openbaar te maken. Wanneer je slachtoffer bent van cybercrime kun je direct aangifte doen bij de politie.  

Dergelijke transparantie kan niet alleen helpen om vertrouwen op te bouwen bij klanten, maar informeert hen ook als hun accounts of gegevens zijn gecompromitteerd. Bedrijven stellen gebruikers meestal via e-mail op de hoogte van datalekken, maar omdat SEC-dossiers openbaar zijn, kun je ook via andere bronnen, zoals nieuwsberichten, op de hoogte worden gesteld.

Webbrowsers

Sommige webbrowsers, waaronder Google Chrome en Firefox, kunnen controleren of je wachtwoorden zijn opgenomen in een bekend datalek. Chrome kan ook sterkere wachtwoorden aanbevelen via de wachtwoordbeheermodule of andere functies bieden om je wachtwoordbeveiliging te verbeteren.

Misschien wil je echter nog een stapje verder gaan en een speciale, betrouwbare wachtwoordmanager gebruiken die bewezen heeft gegevensbeveiliging serieus te nemen, onder andere via encryptie. Deze tools worden vaak ook gebundeld met gerenommeerde meerlaagse beveiligingssoftware.

Wachtwoordmanagers

Wachtwoordmanagers zijn van onschatbare waarde als het aankomt op het beheren van een grote verzameling inloggegevens. Ze kunnen niet alleen veilig wachtwoorden opslaan, maar ook complexe en unieke wachtwoorden genereren voor elk van je online accounts. Zorg ervoor dat je een sterk, maar goed te onthouden hoofdwachtwoord gebruikt, omdat dit de toegang tot al je opgeslagen wachtwoorden beschermt.

Aan de andere kant zijn deze wachtwoordmanagers niet immuun voor compromittering en blijven ze een aantrekkelijk doelwit voor kwaadwillenden. Toch wegen de voordelen, zoals ingebouwde controles op uitgelekte wachtwoorden en integratie met twee factor authenticatie (2FA), op tegen de risico's.

Hoe voorkom je (de gevolgen van) het lekken van inloggegevens?

Hoe zit het met het voorkomen van lekken? Kan een gemiddelde internetgebruiker zichzelf beschermen tegen het lekken van inloggegevens? Zo ja, hoe? Sterker nog, hoe kun je je accounts veilig houden?

• Gebruik twee factor authenticatie (2FA)
  Vertrouw niet alleen op wachtwoorden. Gebruik twee factor authenticatie (2FA) op elke service die dit mogelijk maakt, idealiter in de vorm van een speciale beveiligingssleutel of een authenticatie-app zoals Microsoft Authenticator of Google Authenticator. Dit maakt het aanzienlijk moeilijker voor aanvallers om ongeautoriseerde toegang te krijgen tot je accounts - zelfs als ze op de één of andere manier je wachtwoord(en) in handen hebben gekregen. Laat aan medewerkers het belang hiervan inzien en moedig medewerkers aan om dezelfde maatregelen te nemen.
  
  
• Vermijd het opschrijven van logins op papier of het opslaan ervan in een notitie-app
  Wat betreft wachtwoordbeveiliging, vermijd het opschrijven van je logins op papier of het opslaan ervan in een notitie-app. Het is ook beter om je accountgegevens niet op te slaan in webbrowsers, die ze meestal als eenvoudige tekstbestanden opslaan, waardoor ze kwetsbaar zijn voor ex filtratie door malware. Zorg ervoor dat je het voor je medewerkers makkelijk maakt om wachtwoorden veilig op te slaan, door een veilige en gebruiksvriendelijke wachtwoordmanager aan te bieden.
  
  
• Maak gebruik van sterke wachtwoorden
  Andere basistips voor accountbeveiliging zijn het gebruik van sterke wachtwoorden, die het voor oplichters moeilijker maken om brute-force aanvallen uit te voeren. Gebruik geen eenvoudige en korte wachtwoorden, zoals een woord en een cijfer. Het is ook een goede gewoonte om wachtzinnen te gebruiken, die zowel veiliger als makkelijker te onthouden zijn. Gebruik ook een verschillend wachtwoord voor elk van je accounts om aanvallen zoals credential stuffing te voorkomen.
  
  
• Pas op voor phishing
  Phishing is één van de meest voorkomende manieren waarop inloggegevens worden gestolen. Wees altijd op je hoede voor verdachte e-mails, sms’jes of telefoontjes die je vragen op persoonlijk informatie of om op een link te klikken. Controleer de afzender en de inhoud grondig voordat je actie onderneemt. Voor medewerkers is het belangrijk om regelmatig trainingen te volgen over hoe phishing te herkennen en te vermijden.
  
  
• Werknemers die uit dienst treden
  Het beheren van inloggegevens van medewerkers die het bedrijf verlaten is cruciaal om beveiligingslekken te voorkomen. Zorg ervoor dat je direct de toegang tot bedrijfsaccounts intrekt zodra iemand uit dienst treedt. Dit omvat het deactiveren van hun accounts en het veranderen van gedeelde wachtwoorden. Voer regelmatig audits uit om ervoor te zorgen dat alleen de huidige medewerkers toegang hebben tot de systemen. Hierdoor verklein je de kans dat ex-medewerkers misbruik maken van hun oude inloggegevens.

‘Have I been pwned’?

De eenvoudigste manier om te controleren of sommige van je gegevens, zoals e-mailadressen of wachtwoorden, zijn blootgesteld in een datalek, is een bezoek aan haveibeenpwned.com. Deze site heeft een gratis tool die je kan vertellen wanneer en waar je gegevens zijn opgedoken. Voer  je e-mailadres in en klik op "pwned?". Je krijgt een bericht dat je informeert over de beveiligingsstatus van je gegevens en het exacte lek waarin ze terecht zijn gekomen.