Interview Internetsecurity

De Robin Hoods van het gehackte wachtwoord

Jeroen van Beek (links) en Rickey Gevers kraken gelekte wachtwoorden om publiek vervolgens te waarschuwen. Beeld Patrick Post

Bij Scattered Secrets kraken ze wachtwoorden. Om mensen te waarschuwen: je gegevens liggen op straat.

Gebruik online sterke wachtwoorden en verzin voor elk account iets unieks. ‘Jaaha’, zullen velen nu denken: dat weten we heus wel. We weten het misschien, maar we doen het lang niet altijd.

Dat merkt ook Jeroen van Beek. Samen met Rickey Gevers lanceerde hij zo’n jaar geleden het bedrijf Scattered Secrets. Op internet verzamelen ze informatie uit zogeheten datadumps: vaak lijsten gebruikersnamen en versleutelde wachtwoorden die op straat liggen door een hack. Bijna vier miljard unieke combinaties van gebruikersnamen, wachtwoorden en oorsprong staan er nu in hun systemen. En de teller loopt.

Met die gegevens kunnen ze in theorie veel kwaad, maar dat is niet wat Van Beek en Gevers voor ogen hebben. Het idee is dat iedereen bij hen kan controleren of ze in de database voorkomen, en dus weet of haar of zijn wachtwoord op straat ligt. Voor individuele gebruikers is dat gratis. Wie een seintje wil krijgen als hij of zij voorkomt in een nieuwe datadump, betaalt twee euro per jaar. Bedrijven kunnen dat doen voor hun hele domein, en betalen meer.

Maar met het enkel verzamelen van datadumps die online rondslingeren, is Van Beek er nog niet. Hij en zijn collega moeten de wachtwoorden eerst ontsleutelen. In het gunstige geval slaat een bedrijf bij wie je een account aanmaakt – denk aan Bol.com, LinkedIn of een willekeurig forum – de inloggegevens namelijk goed beveiligd op. Al komt het ook nog steeds voor dat ze kant en klare lijsten met onversleutelde wachtwoorden tegenkomen, zegt Van Beek. Wat dat betekent? “Dat sommige bedrijven nog in 1990 leven.”

Hoe moeilijk is dat ontsleutelen?

Van Beek: “Gaat het om een dump met slecht beveiligde wachtwoorden, dan kunnen we 90 tot 95 procent van de wachtwoorden in een paar tellen kraken. Als wachtwoorden goed zijn versleuteld, dan kun je maanden of langer bezig zijn om 1 procent te kraken. Onze computers staan continu te rekenen.

“Ook de sterkte van een wachtwoord speelt mee bij de moeite die het kost. Drie jaar nadat miljoenen e-mailadressen en wachtwoorden op internet verschenen na een datalek bij LinkedIn, zijn we nog steeds bezig met het kraken van sommige wachtwoorden. Dan moet je denken aan wachtwoorden van meer dan twintig tekens.”

Een sterk wachtwoord zit dus vooral in de lengte?

“Niet alleen. Het gaat vooral om onvoorspelbaarheid. Alle woorden die in het woordenboek staan, zijn dat dus niet. Variaties gebruiken op hetzelfde wachtwoord, bijvoorbeeld met jaartallen, is ook niet verstandig.”

En de bekende truc om een A te vervangen door een @?

“Ik weet dat veel mensen dat doen en het kost ook duidelijk meer tijd om te kraken. Maar het punt is wel dat ik weet dat het gebeurt. En dus wordt het voorspelbaar. Uiteindelijk zijn ook die wachtwoorden te kraken. Misschien niet bij de eerste 90 procent, maar wel bij de volgende groep die ons een paar weken of maanden kost.”

Waar komen al die datadumps op internet vandaan?

“Dat weten we niet precies. Het kan zijn dat het om jonge jongens gaat die willen laten zien wat ze kunnen. Ze gebruiken de bestanden om te pochen welke systemen ze hebben gehackt. Het gebeurt ook dat de bestanden voor veel geld worden aangeboden. De interessante dumps kunnen meer dan 10.000 dollar kosten. Wie dat koopt? Blijkbaar mensen die denken er meer geld mee terug te kunnen verdienen, of mensen die op zoek zijn naar heel specifieke gegevens, bijvoorbeeld om iemand mee te kunnen chanteren.

“Wij betalen nooit voor datadumps. De rauwe data die in onze systemen staat, waren vrij toegankelijk. Niet alleen voor ons, maar dus ook voor mensen met minder goede bedoelingen.”

Wat kun je er eigenlijk mee als je kwaad wil?

“Van alles. Pesten, bijvoorbeeld. Of iemand kan op jouw account van een webwinkel allerlei bestellingen doen en die ergens laten bezorgen terwijl jij met de rekening blijft zitten. Ook kunnen mensen toegang krijgen tot gevoelige informatie en privégegevens.”

En wat is jullie motivatie? 

“Iedereen weet inmiddels wel dat het onverstandig is om op meerdere plekken hetzelfde wachtwoord te gebruiken, of een variatie ervan. Maar het aantal wachtwoorden en accounts dat mensen gemiddeld hebben, is enorm. En je hebt als gebruiker geen idee of het bedrijf waar je een account aanmaakt, de beveiliging goed op orde heeft. Daarom hopen we mensen te kunnen helpen door in ieder geval te waarschuwen als hun informatie op straat ligt. Dan weten ze dat ze op moeten letten en hun wachtwoorden moeten veranderen in iets sterkers en unieks.”

Niet iedereen maalt om veiligheid

123456 is nog steeds een van de wachtwoorden die Scattered Secrets het vaakst langs ziet komen. Onvoorstelbaar? Jeroen van Beek heeft er wel een verklaring voor.

“Veel datadumps die we zien, zijn van fora die gebruik maken van gedateerde of gebrekkige software. Die sites zijn ooit gemaakt door mensen die interesse hadden in een bepaald onderwerp: baby’s, bier of een band. Wachtwoordeisen waren er niet: 123456 werd geaccepteerd en dus gebruikt. De software wordt al lang niet meer onderhouden, dus kunnen de sites eenvoudig worden gehackt. Dat gebeurt ook op grote schaal.”

Zo kwam Van Beek recent een ‘lokale’ datadump van de fansite van De Dijk tegen. Er stonden zo’n 14.000 mensen ingeschreven, velen waarschijnlijk zonder dat zelf te beseffen, jaren na registratie.

Meer info over veilige wachtwoorden is bijvoorbeeld te vinden op veiliginternetten.nl

Lees ook 

Scheiden? Verander je wachtwoord

Dit jaar hebben zich al zeker 97 slachtoffers gemeld van digitaal ­huiselijk geweld. Dat deden ze bij safetyNed, in 2017 opgericht om de kennis te verzamelen over de rol van technologie bij mishandeling in de relationele sfeer. De organisatie denkt dat het aantal een fractie van het werkelijke aantal slachtoffers is.

Fors meer meldingen van datalekken

De Autoriteit Persoonsgegevens kreeg vorig jaar fors meer meldingen van datalekken. Bijna 21.000 keer klopte een organisatie aan omdat persoonlijke gegevens van mensen mogelijk in de verkeerde handen zijn gevallen. Dat komt neer op zo’n 57 meldingen per dag. En volgens de privacywaakhond zijn dat zeker niet alle lekken.  

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2019 DPG Media B.V. - alle rechten voorbehouden