Tips over wachtwoorden, spam en hoaxes

by Karel Thönissen

Dit artikel bevat een aantal aanwijzingen hoe iedereen zijn eigen PC beter kan beschermen tegen aanvallen van virussen, hackers, spyware en trojaanse paarden. Ik claim niet dat dit volledig is, maar het dicht een paar van de grootste gaten.

disclaimer

Ik noch mijn ondernemingen aanvaarden enige aansprakelijkheid voor gratis verstrekte adviezen.

hoaxes

Hoaxes zijn berichten waarmee mensen bang gemaakt worden. De maker hoopt zo mensen te verleiden dingen te doen die ze beter niet kunnen doen. Bijna alle hoaxes proberen geloofwaardig over te komen door te melden dat een aantal belangrijke software-leveranciers iedereen vraagt een hoop andere mensen te waarschuwen voor een bepaald (niet-bestaand) gevaar en iedereen aan te zetten wijzigingen aan te brengen op zijn computer. Soms worden mensen verleid om

• essentiële delen van het bedrijfssysteem te verwijderen zodat het daarna niet meer werkt
• essentiële delen van een virus scanner te verwijderen zodat die niet meer werkt
• een attachment te openen waarin een virus zit verstopt of een trojaans paard

Maar zelfs als de gebruiker niet gevraagd worden om zijn eigen machine te verminken zijn er nog twee problemen. Omdat iedereen gevraagd wordt de berichten aan zoveel mogelijk mensen door te sturen raakt het netwerk verstopt en vallen servers uit met alle kwalijke gevolgen van dien. Het andere probleem is de berichten worden door gestuurd om een zodanige wijze dat alle ontvangers daarna alle email adressen van alle eerdere ontvangers kunnen zien. Met andere woorden, spammers kunnen deze berichten eenvoudig gebruiken om lijsten met email adressen te maken voor het versturen van spam.

Reageer nooit op hoaxes. Voer de aanwijzingen niet uit en OPEN GEEN ATTACHMENTS. Verspreid het bericht ook niet en stuur in het algemeen zelfs geen bericht terug, want de lawine moet ergens gestopt worden.

Als je het werkelijk niet vertrouwd surf dan naar vertrouwde bedrijven, mogelijk zelfs naar de bedrijven die genoemd zijn in de hoax. Maar niet door het klikken op een link die genoemd is in de hoax, want de kans is groot dat het adres vals is. Zoek dus zelf het adres op via een vertrouwd medium en kijk wat het bedrijf er zelf van zegt.

spam

Reageer nooit op spam al is de verleiding nog zo groot. Door te reageren verraad je eigen e-adres als ze het nog niet wisten (vaak wordt door de spammer gewoon gegokt) of je laat impliciet weten dat het adres nog klopt.

Vul op websites zo min mogelijk persoonlijke informatie in en vul flauwekul als men niet ter zake doende vragen stelt waarop geantwoord moet worden om verder te kunnen. Vul ook elke keer iets anders in zodat men de gegevens niet aan elkaar kan leggen. Realiseer je dat er een heuse markt is waarop in persoonsgegevens gehandeld wordt.

Wees extra alert bij Amerikaanse websites, omdat de Amerikaanse privacy-wetgeving weinig voorstelt. Amerikaanse bedrijven beloven vaak wel veel, maar houden zich het recht voor de voorwaarden zonder mededeling aan te passen. Lees daarom altijd de voorwaarden door!!

Als een website niet vertrouwt neem dan een weggooi-adres dat je tijdelijk gebruikt, bijvoorbeeld bij Yahoo. Doe het vooral niet bij Hotmail, want Microsoft (de eigenaar) gebruikt Hotmail zelf voor het versturen van spam.

wachtwoorden

Kies voor onveilige systemen nooit wachtwoorden die ook gebruikt worden voor belangrijke gegevens of sites: gebruik bijvoorbeeld het wachtwoord voor elektronisch betalen niet voor een site van Yahoo, Hotmail of iets anders wat mogelijk gekraakt zou kunnen worden. Voorkom daarmee dat een cracker door middel van een eenvoudige kraak op een slechtbeveiligde site op het Internet bij de dingen kan komen die echt belangrijk zijn.

Kies nooit namen, telefoonnummers, kentekens, geboortedata of enig ander persoonlijk gegevens als wachtwoord. Dit ligt zo voor de hand dat elke cracker onmiddellijk zal proberen om door middel van social engineering deze gegevens te achterhalen. Het zal je verbazen, maar sommigen claimen dat door het natrekken van deze eenvoudig te verkrijgen gegevens 50% van de komputers gekraakt kan worden. Ook de meisjesnaam van je moeder is veel te simpel. Kies trouwens zonder meer geen data of namen, want een cracker kan met een simpel programmaatje alle dagen van de 20ste eeuw of alle Nederlandse voornamen proberen.

Kies nooit korrekte woorden (dus gewone woorden die ook in het woordenboek staan). Hiervan zijn er weliswaar heel veel, maar een cracker kan met een elektronisch woordenboek met een druk op de knop alle 300_000 woorden uit het woordenboek proberen.

Er zijn een aantal geschikte manieren om wachtwoorden te maken die niet te social engineeren zijn en niet te raden zijn. De eerste manier is met behulp van afkorten, de tweede manier is met behulp van aan elkaar plakken.

1) Neem een gezegde, een titel, een liedtekst, een psalm, maakt niet uit, als het maar redelijk groot is en je het goed kunt onthouden. Hieruit wordt het wachtwoord afgeleid door bijvoorbeeld alleen de eerste letters te nemen, de klinkers weg te laten, enz. Deze wachtwoorden zijn goed te onthouden, maar komen niet in een woordenlijst voor. Daarmee is het niet mogelijk om deze woorden te genereren tijdens een dictionary attack.

• davnvvdb: De appel valt niet ver van de boom (eerste letter van elk woord)
• eehemoalaldo: Een heer moet alles alleen doen (eerste twee letters)
• d1zd=dazb: De een zijn dood is de ander zijn brood

Verander regelmatig van wachtwoord(zin), maar gebruik liefst wel altijd dezelfde methode om het wachtwoord uit de zin af te leiden. Anders moet ook nog eens de afleidingsmethode onthouden worden.

2) Neem twee of drie gewone woorden en plak ze achter elkaar. Eenvoudig te onthouden en leent zich niet voor een dictionary attack:

• brieftafelkoord
• glaswegstempel

Als de wachtwoorden op bovenstaande manier worden gemaakt, dan is het vanuit veiligheidsoogpunt niet nodig hoofdletters en kleine letters door elkaar te gebruiken of om cijfers te gebruiken. Dit wordt vaak geadviseerd om te voorkomen dat mensen woordenboekwoorden kiezen. Maar als je dat toch al niet doet, zoals door mij geadviseerd, is het gebruik van kapitalisatie en cijfers niet nodig en alleen maar lastig, omdat dan niet alleen het woord onthouden moet worden, maar ook nog eens de plek van de hoofdletters. Ons geheugen kan goed woorden onthouden, maar ook nog eens een niet normale kapitalisatie onthouden is andere koek.