Afgelopen week werden we opgeschrikt door het potentieel grootste beveiligingslek wat het internet kende, de Heartbleed bug in het OpenSSL protocol. Hiermee hebben kwaadwillenden de mogelijkheid om beveiligde informatie zoals creditcardgegevens en wachtwoorden in handen te krijgen en te ontcijferen. Wij zetten op een rij wat je in elk geval moet weten en belangrijker nog, moet doen, om veiliger online te gaan
Het recente nieuws dat de NSA mogelijk al jaren bekend was met de Heartbleed bug en deze heeft gebruikt om data te verzamelen is heftig. De NSA ontkent het tot op heden, en we zullen er het fijne nooit van weten. In dit artikel gaan we niet dieper in op de implicaties van dit nieuws.
Overzicht Heartbleed informatie
Veel tech- en nieuwssites hebben al uitgebreid achtergrondinformatie over de Heartbleed bug gegeven. Het is niet aan ons om dat hier te herhalen. We linken liever naar de goede, volledige en betrouwbare bronnen.
- Heartbleed: wat je moet weten over het ‘grootste internetlek ooit’ | NUtech.nl
- What the “Heartbleed” Security Bug Means For You | Lifehacker.com
- Everything you need to know about the Heartbleed SSL bug | Troy Hunt
- Researchers find thousands of potential targets for Heartbleed OpenSSL bug | Ars Technica
- Cisco finds 13 products (so far) vulnerable to Heartbleed—including phones | Ars Technica
- Goed én slecht nieuws voor je online privacy | Bright
- Whitehat-hackers stelen SSL-sleutels via Heartblead-lek | Webwereld
- Heartbleed Bug
- Heartbleed: Imagine no SSL encryption, it’s scary if you try | Agile Blog
- XKCD explains Heartbleed
Betere wachtwoorden
Het is een goed idee om op een aantal grote en zichtbare sites je wachtwoord te wijzigen. Mashable houdt de Heartbleed Hit List bij, waar je kunt zien of je je wachtwoord moet aanpassen. Wachtwoordmanager LastPass doet hetzelfde met de Heartbleed Checker. Een tip: Pas nog geen wachtwoorden aan op websites die wél open staan met de bug maar nog niet zijn geupdate. Zo maak je het kwaadwillenden wel erg makkelijk om een wachtwoord te ontfutselen. Pas alleen wachtwoorden aan op websites waar een lek aanwezig was én waar het nu is gedicht. Tevens kun je bij de Heartbleed Test zelf URL’s checken op potentieel gevaar en is er Chromebleed, een Chrome extensie die je waarschuwt bij bezoek aan een geïnfecteerde site.
We propageren al langer het gebruik van wachtwoordmanagers en een einde aan de eigen geheugentruuks om een wachtwoord te onthouden. Het beste wachtwoord is een wachtwoord wat je niet kunt onthouden. Een goed wachtwoord is uniek, willekeurig en niet te onthouden.
Een bijkomend probleem is dat de vele wachtwoordlekken er voor hebben gezorgd dat hackers steeds beter de patronen herkennen hoe wachtwoorden worden gemaakt. Een moeilijker wachtwoord is steeds sneller te kraken door deze ontwikkelingen. Ars Technica beschreef deze problematiek al in 2012, een eeuwigheid geleden in de snelheid van technologische ontwikkelingen…
Numrush heeft een mooi overzicht gemaakt van initiatieven die voorbij het geschreven wachtwoord gaan, zoals biometrie en vingerafdrukken. Mogelijk komen deze ontwikkelingen nu in een stroomversnelling.
We kunnen het niet vaak genoeg zeggen:
Stop met het maken van je eigen wachtwoorden, stop met het verzinnen van je eigen “algoritme” en start met het gebruiken van een wachtwoordmanager voor je wachtwoorden. Je laat de wachtwoordmanager unieke en willekeurige wachtwoorden maken en opslaan. Deze beveilig je met een eigen uniek wachtwoord én je zorgt dat de database met wachtwoorden routinematig in je back up mee gaat. Staat je wachtwoord in de lijst met 10.000 slechtste wachtwoorden? Verander hem dan onmiddelijk. De wachtwoorden in die lijst komen in 99,8% van de gevallen voor in gelekte wachtwoord-databases.
We hebben al eerder laten zien hoe je veilige wachtwoorden in Keepass maakt en de mogelijheden van Lastpass. In het verleden gaven we 6 manieren om je wachtwoorden te onthouden. Niels Gouman heeft een prima artikel geschreven waarin hij eveneens 1Password laat zien én je tips geeft voor een veilig wachtwoord. Vanaf heden is er wat ons betreft nog maar één: Gebruik een wachtwoordmanager.
Cesar
Je reageert onder je Twitter accnout. ( / ) Je reageert onder je Facebook accnout. ( / )Verbinden met %sjQuery(document).ready(function(){var input = document.createElement( ‘input’ ), comment = jQuery( ‘#comment’ );if ( ‘placeholder’ in input ) {comment.attr( ‘placeholder’, jQuery( ‘.comment-textarea label’ ).remove().text() );}// Expando Mode: start small, then auto-resize on first click + text lengthjQuery( ‘#comment-form-identity’ ).hide();jQuery( ‘#comment-form-subscribe’ ).hide();jQuery( ‘#commentform .form-submit’ ).hide();comment.css( { ‘height’:’10px’ } ).one( ‘focus’, function() {var timer = setInterval( HighlanderComments.resizeCallback, 10 )jQuery( this ).animate( { ‘height’: HighlanderComments.initialHeight } ).delay( 100 ).queue( function(n) { clearInterval( timer ); HighlanderComments.resizeCallback(); n(); } );jQuery( ‘#comment-form-identity’ ).slideDown();jQuery( ‘#comment-form-subscribe’ ).slideDown();jQuery( ‘#commentform .form-submit’ ).slideDown();});}); Houd me via e-mail op de hoogte van nieuwe reacties.Peter TefferPeter Teffer is freelance journalist en politicoloog. Hij heeft onder meer verhalen gepubliceerd in NRC Handelsblad, nrc.next, Bright en de International Herald Tribune
Michel
Om te zeggen dat al je wachtwoorden random gegenereerd moeten zijn én heel lang, vind ik een beetje kort door de bocht.
Om in te loggen op mijn Chromebook moet ik toch echt iedere keer mijn Google wachtwoord invullen. Een heel lang en ingewikkeld wachtwoord is dan niet te doen. Idem voor mijn WIndows 8 desktop, alwaar ik moet inloggen met mijn Windows Live account.
Tenslotte komt LastPass bij mijn huidige klant niet door de firewall heen, dus kan ik niet via mijn workstation bij mijn LastPass vault. Dat wordt dus opzoeken op mijn telefoon en overtypen…
Een wachtwoord van 10 posities met niet al te veel verschillende tekens komt overeen met ongeveer 60 bits. 2^60 combinaties zijn echt ruim voldoende. Eventueel maak je er 11 of 12 posities van, maar meer is echt niet nodig.
Zie vooral ook dit filmpje met Steve Gibson : http://blog.lastpass.com/2010/07/lastpass-gets-green-light-from-security.html (wel een lange zit).
Jacques
Een kennis van me heeft dit opgelopen bij het downloaden van Whatsapp op iPad
Bij hem is er momenteel nog geen geld van de rekening en dergelijke gehaald.
Hij heeft geluk gehad!
Patrick
Denk ook eens na over het gebruik van 2-factor authenticatie. Nog steeds moet je zorgen voor een veilig wachtwoord, maar omdat je ook nog een tijdgebaseerde code moet invullen (hetzij via een app als Google Authenticator, hetzij via een toegezonden SMS-bericht), kun iemand niet zonder meer inloggen als hij/zij je wachtwoord achterhaald heeft.
Je kunt 2-factor authenticatie gebruiken op sites als Twitter, Google (Gmail e.d.), Facebook, Github, Tumblr.
Frank Meeuwsen
We zijn bezig met een artikel over 2-factor want dat is inderdaad een prima alternatief!
Nilton
Je reageert onder je WordPress.com acnucot. ( / ) Je reageert onder je Twitter acnucot. ( / ) Je reageert onder je Facebook acnucot. ( / )Verbinden met %sjQuery(document).ready(function(){var input = document.createElement( ‘input’ ), comment = jQuery( ‘#comment’ );if ( ‘placeholder’ in input ) {comment.attr( ‘placeholder’, jQuery( ‘.comment-textarea label’ ).remove().text() );}// Expando Mode: start small, then auto-resize on first click + text lengthjQuery( ‘#comment-form-identity’ ).hide();jQuery( ‘#comment-form-subscribe’ ).hide();jQuery( ‘#commentform .form-submit’ ).hide();comment.css( { ‘height’:’10px’ } ).one( ‘focus’, function() {var timer = setInterval( HighlanderComments.resizeCallback, 10 )jQuery( this ).animate( { ‘height’: HighlanderComments.initialHeight } ).delay( 100 ).queue( function(n) { clearInterval( timer ); HighlanderComments.resizeCallback(); n(); } );jQuery( ‘#comment-form-identity’ ).slideDown();jQuery( ‘#comment-form-subscribe’ ).slideDown();jQuery( ‘#commentform .form-submit’ ).slideDown();});}); Houd me via e-mail op de hoogte van nieuwe reacties.Peter TefferPeter Teffer is freelance journalist en politicoloog. Hij heeft onder meer verhalen gepubliceerd in NRC Handelsblad, nrc.next, Bright en de International Herald Tribune
Egbert Oldengarm
Nog even in aanvulling op de vraag van Gerd-Jan: Dashlane is een password-manager die op meerdere platforms bruikbaar is, tussen al je apparaten synchroniseert, en autofill kent voor username-password combinaties, maar ook voor webformulieren (https://www.dashlane.com/). Wordt vaak vergeten bij een opsomming van password-managers.
Een irritant feit, ook bij het gebruik van een password-manager (unieke, willekeurige, lange passwords): heel veel websites accepteren veel bijzondere karakters in een password gewoon niet, en stellen een maximum aan de lengte van een password. Dan voer je een password in van 32 karakters, inclusief alle “vreemde” karakters, krijg je eerst de melding dat er niet-toegestanen karakters in je password voorkomen. Na vervanging van die karakters door “gangbare” (Hoofd- en kleine letters, cijfers) bied je je gewijzigde password nogmaals aan, krijg je als foutmelding dat het niet langer mag zijn dan 12 karakters.
Tenslotte, wat ook regelmatig voorkomt: meld je je aan op een site, heb je een gebruikersnaam en een password opgegeven, en dan krijg je de bevestiging van je aanmelding, INCLUSIEF het password dat je hebt opgegeven. Zo’n website moet je dus meteen verlaten, en nooit weer bezoeken!
Frank Meeuwsen
Dashlane kende ik nog niet, dank je voor de aanvulling! Je opmerking over de acceptatie bij websites is correct, heel irritant. Sterker nog, een site als ICSCards voor je creditcard, accepteert (ik meen) maximaal 10 karakters, alleen letters en cijfers. Heel kwalijk voor een financiele instelling!
Basebi
Dag Corinne,Ik kan niet meer op mijn account omdat ik niet meer wekaazm ben voor dit bedrijf en dit bedrijf failliet is hoekan ik mijn gegevens verwijderen van Linkedin.Hgrt, Hans
Raoul Teeuwen
Goed artikel! Puntje van aandacht: mensen die hetzelfde wachtwoord op meerdere sites gebruiken, moeten dus op AL die sites hun wachtwoord wijzigen (en idealiter pas, zoals je schrijft, nadat elk van die sites de juiste acties heeft genomen). Dat is (1-malig) veel werk, EN gelijk HET moment om een password-manager te gaan gebruiken en daarmee voor elke site een uniek complex wachtwoord te gaan gebruiken.
Frank Meeuwsen
Helemaal eens Raoul. Het vervelende is dat je vaak niet meer weet wáár je die wachtwoorden hebt gebruikt. Ik gebruik al een paar jaar een wachtwoordmanager en ik schrik van de hoeveelheid sites waar ik ooit een wachtwoord heb gemaakt, meer dan 500… Nu ben ik misschien wel een edge-case die alles test en probeert, maar toch…
Gerd-Jan
Misschien een domme vraag over het gebruik van de password managers. Ik gebruik veel apps op IOS (Iphone, Ipad) en die hebben de wachtwoorden opgeslagen in apps of native. Als ik een wachtwoordmanager gebruik moet ik daar dan steeds die wachtwoorden opnieuw invulen (Twitter, facebook, mail)
Frank Meeuwsen
Zeker geen domme vraag, want dergelijke lekken roepen veel vragen op. Dus blijf ze stellen! Als jij een wachtwoord opslaat in een app of in de browser van je telefoon, dan kun je die apps blijven gebruiken. Het is inderdaad veiliger om steeds uit te loggen bij een app of website maar de realiteit is anders, dan doen we niet zo snel. Een wachtwoordmanager is in principe voor tweeledig gebruik:
1. Het genereren van unieke, willekeurige en niet te onthouden wachtwoorden voor je apps en sites
2. Het opslaan en opvragen van deze wachtwoorden als je ze nodig hebt.
Besluit je om een wachtwoord in de app op te slaan, zorg er dan in elk geval voor dat het uniek, willekeurig en niet te onthouden is. Mocht er dan een lek zijn, dan is jouw wachtwoord alleen op die site bruikbaar én moeilijker te kraken.
Henri
Patrice8 juni 2010Ik ben helemaal Google mdined. En ik heb (uiteraard) een Android toestel (HTC Desire). Helemaal top!Ben de laptop nog aan het inrichten, maar het duurt bij mij 5 sec. voordat ik het OS heb geladen (ik heb expressgate versie 2.0). Daarna klikken op de browser en dat duurt weer een seconde of 15. Misschien doe ik iets fout? Ik kan volgens mij niet instellen dat hij standaard de browser moet opstarten. Daarnaast heb ik nog een issue dat ik wel de browser heb, maar hij wil nog niet automatisch connecten met mijn wireless. Als ik op het wireless icoontje klik, doet hij het wel, maar is toch weer een extra stap. Moet nog even Googlen daaromtrent.Als tip wil ik nog roboform.com geven voor het opslaan van al je inlogcodes en wachtwoorden. Werkt echt heel goed en je kan het op meerdere PCś installeren. Gecombineerd met dropbox gaat synchroniseren ook nog eens automatisch.
Henri Koppen
Wat betreft wachtwoorden…. wat nauwelijks wordt vermeld is dat websites niet alleen hun OpenSSL moeten patchen, maar ook hun certificaat opnieuw moeten aanvragen. Het is in principe mogelijk dat de private keys van het huidige certificaat al in handen is van anderen. Hiermee is het mogelijk dat je versleutelde wachtwoord toch nog opgevangen kan worden.
Wat ik schokkend vind is dat dit stukje open source software ook door Google wordt gebruikt en dat zij nooit echt de moeite hebben genomen dit te unit testen, dan was dit lek er namelijk uit gekomen.
OpenSSL is geschreven in C. Gecompileerde C ligt heel dicht op het hart van je computer is mag vrij lezen en schrijven in het geheugen van een server en is dus heel vatbaar voor fouten die geheugen kunnen lekken.
Als laatste is de fout vrij simpel te begrijpen, in feite werd input van een functie de waarde door de aanroeper opgegeven. Data van een gebruiker moet nooit vertrouwd worden en dat was hier niet gebeurd. Juist omdat OpenSSL zo’n hoog profiel heeft (miljoenen servers op het internet) vind ik het slecht te verteren dat dit lek er nu pas uit komt.
Ik heb zelf ook nog een blog geschreven over heartbleed.
http://www.henrikoppen.nl/2014/04/waarom-heartbleed-schokkend-is.html
Frank Meeuwsen
Dank voor de extra achtergrondinfo Henri!
Jos v.d. Voort v.d. kleij
Naast Keepass en Lastpass is er natuurlijk ook 1password: Mac, Windows en iOS.
Frank Meeuwsen
Ik heb 1Password nog even toegevoegd aan het artikel.
Comments are closed.