Nieuws

Deze man weet (waarschijnlijk) jouw wachtwoord

1 juni 2016 16:53

De website Have I Been Pwned toont of jouw e-mailadres en wachtwoord zijn gestolen door hackers. De man erachter is Troy Hunt.

In de donkere krochten van het internet speurt Troy Hunt naar gehackte websites. De gestolen gegevens zet hij online, maar niet om te misbruiken. Elke dag worden websites gehackt. De ene keer is het een klein forum voor Minecraft-gamers, de andere keer gaat het om een grote website waarmee je stiekem vreemd kunt gaan. De gestolen gegevens worden soms verkocht, maar duiken ook regelmatig ergens op het internet op. Iemand - meestal de hacker - dumpt dan de gestolen database met alle e-mailadressen en wachtwoorden.

Beveilingsonderzoeker Troy Hunt is juist op zoek naar deze zogeheten 'dumps'. Hij verzamelt de gegevens, verifieert of de data klopt en - als dat het geval is - voegt hij de gehackte website toe aan het systeem van Have I Been Pwned. Bij de website kun je checken of jouw e-mailadres en wachtwoord door hackers zijn buitgemaakt.

Veel mensen weten niet eens dat ze zijn gehackt

"Bij elke nieuwe hack stijgt het aantal bezoekers van enkele tienduizenden naar meer dan een miljoen", aldus Hunt. Hij richtte de website drie jaar geleden op om mensen te helpen hun 'online identiteit te begrijpen': "De meeste mensen realiseren zich niet dat hun data is gestolen en dat dit regelmatig gebeurt." Hunt is zelf ook slachtoffer: hij komt in maar liefst zes databases voor.

Zodra je jouw e-mailadres op Have I Been Pwned invoert, checkt het systeem of het adres in één van de door Troy toegevoegde 110 databases voorkomt. Als dat het geval is, laat Have I Been Pwned zien bij welke websites de data is gestolen. Denk bijvoorbeeld aan LinkedIn en Adobe, maar ook aan vreemdgangerssite Ashley Madison en 'sexting-app' Fling. Ze zijn allemaal de afgelopen jaren gehackt.

Miniatuurvoorbeeld

Omdat het bij diensten als Ashley Madison en Fling om gevoelige data gaat, moest Troy eerst maatregelen nemen om mensen niet te schaden. Je zou bijvoorbeeld het e-mailadres van je partner kunnen invoeren om te kijken of degene een Ashley Madison-account heeft. Have I Been Pwned toont wel dat een e-mailadres bij een 'gevoelige hack' is buitgemaakt, maar om te zien om welke hack het gaat moet degene eerst zijn e-mail verifiëren.

Het kraken van wachtwoorden

De gehackte databases van Linkedin en Adobe behoren tot de grootste hacks die op Have I Been Pwned te vinden zijn: daar zijn respectievelijk 164 en 152 miljoen accounts gestolen. Naast e-mailadressen gaan het dan om wachtwoorden in een hash-vorm. Bij een hash verandert het wachtwoord 'hallo' in 'fd4cef7a4e607f1fcc920ad6329a6df2df99a4e8'.

Als er meerdere mensen zijn die 'hallo' als wachtwoord gebruiken, komt de hash vaker voor. De hacker hoeft dan maar één hash te kraken om achter het wachtwoord van al die mensen te komen. Simpele wachtwoorden met weinig tekens zijn gemakkelijk te kraken, lange wachtwoorden met meer dan twintig tekens maken het voor hackers zeer lastig.

Als je hetzelfde gestolen wachtwoord ook voor andere diensten gebruikt, is het verstandig om bij alle diensten het wachtwoord te wijzigen. Hunt ziet wel dat websites de hashes steeds beter beveiligen, door bijvoorbeeld een extra encryptielaag toe te voegen waardoor het wachtwoord 'hallo' bij Facebook voor een andere hashcode zorgt dan bij bijvoorbeeld Gmail. "Veel wachtwoorden zijn nu zodanig goed beveiligd dat ze bijna waardeloos zijn", aldus Hunt.

Een dienst naar het publiek

Hunt verdient geen geld met Have I Been Pwned. "Soms ontvang ik een donatie waar ik een gedeelte van de kosten van de website mee betaal", aldus de beveiligingsonderzoeker. "Maar de website biedt me een uitstekend platform om verschillende technologieën samen te brengen." Ook de reacties zorgen er volgens Hunt voor dat Have I Been Pwned 'een enorm bevredigend project' is.

Inmiddels bevat de database van Have I Been Pwned maar liefst 977 miljoen gehackte accounts. Is Hunt dan niet bang om zelf slachtoffer te worden van een hack? "Ik ben altijd bewust van de risico's, maar de informatie is al op het internet te vinden. De risico's zijn gelukkig beperkt, want ik heb alleen een lijst met e-mailadressen. De wachtwoorden gebruik ik niet."

Als je voor elke website een ander wachtwoord gebruikt, loop je volgens Hunt veel minder gevaar. Wachtwoordbeheerders als 1Password en https://lastpass.com/nl/LastPass bieden deze mogelijkheid door per website een nieuw sterk wachtwoord te genereren. Je krijgt toegang tot al die wachtwoorden met één wachtwoord - het laatste dat je hoeft te onthouden. Zorg dat je wachtwoord sterk is, raadt Hunt aan: "Want het enige veilige wachtwoord is eigenlijk degene die je je niet kunt herinneren."