Enorme dataset: 1,3 miljard wachtwoorden gelekt: Zit er een van jou tussen?
De querydatabase "Haveibeenpwned.com" heeft meer dan een miljard gehackte wachtwoorden aan zijn dataset toegevoegd. Zo controleert u of uw inloggegevens nog veilig zijn.
De bekende website Haveibeenpwned.com, die zoekt naar gelekte inloggegevens, heeft zijn database uitgebreid met een enorme dataset. Deze bevat 1,3 miljard nieuwe wachtwoorden en 2 miljard e-mailadressen die IT-beveiligingsbedrijf Synthient vrij toegankelijk online heeft gevonden.
De betreffende wachtwoorden worden voornamelijk gebruikt voor twee of meer logins, in strijd met alle beveiligingsrichtlijnen. Wachtwoorden moeten voor elk doel uniek zijn.
Heel eenvoudige vraag: voer gewoon uw e-mailadres in.Om erachter te komen of ze getroffen zijn door de huidige of andere lekken, kunnen gebruikers eenvoudig en gratis hun e-mailadres invoeren op Haveibeenpwned.com. Ze krijgen dan direct te zien of er voor het ingevoerde e-mailadres gecompromitteerde wachtwoorden zijn gevonden of niet.
"Ben ik gepwned?" (HIBP) betekent in feite: "Ben ik gecompromitteerd?" Om deze vraag echt te beantwoorden, is het de moeite waard om regelmatig je eigen e-mailadressen te controleren. De beheerder van HIBP, Troy Hunt, een Australische IT-beveiligingsonderzoeker, voegt namelijk voortdurend nieuwe gegevens toe aan de database, die online lekken en hacks weerspiegelen.
Dubbele bescherming: gebruik ook de Identity Leak Checker.Hoewel er overlappingen in de datasets zullen zijn, is het raadzaam om parallel daaraan een andere gratis querydienst te gebruiken: de Identity Leak Checker van het Hasso Plattner Institute (HPI). Deze checker maakt ook gebruik van een database met talloze gelekte identiteitsgegevens. Als de zoekopdrachten op beide sites een match opleveren, moet het gecompromitteerde wachtwoord voor de betreffende dienst zo snel mogelijk worden vervangen door een nieuw, veilig wachtwoord.
Belangrijk: Elke dienst moet een uniek wachtwoord hebben. Het gebruik van hetzelfde wachtwoord voor veel of zelfs alle diensten is riskant, omdat aanvallers hiermee in een handomdraai veel of alle accounts kunnen overnemen.
Omdat niemand tientallen ingewikkelde wachtwoorden kan onthouden, raadt het Duitse Bundesamt für Informationsschutz (BSI) het gebruik van wachtwoordmanagers aan. Als alternatief kunt u online ook veiliger zijn met behulp van een wachtwoordherinneringsblad – het BSI legt de methode hierachter uit op haar website.
Activeer bovendien tweefactorauthenticatie (2FA) voor online diensten waar deze beschikbaar is. Dankzij een tweede code die tijdens het inloggen wordt gevraagd, hebben aanvallers geen toegang tot het account, zelfs niet als ze het wachtwoord hebben verkregen.
Gebruikers kunnen nu al overstappen op Passkeys, de opvolger van wachtwoorden. Passkeys maken wachtwoordloos inloggen mogelijk met behulp van een cryptografisch sleutelpaar.
Voor nog meer veiligheid: gebruik toegangscodes in plaats van wachtwoorden.De dienst vraagt om een cryptografische sleutel die is opgeslagen op het apparaat van de gebruiker om in te loggen. Het verzoek hoeft vervolgens alleen nog maar geautoriseerd te worden – handig via een vingerafdruk of pincode. Deze sleutel wordt vervolgens vergeleken met zijn tegenhanger, de openbare cryptografische sleutel, die bij de dienst wordt bewaard – en de gebruiker logt in.
U kunt uw wachtwoorden opslaan op een beveiligde USB-stick (FIDO2), in een (mobiel) besturingssysteem zoals Android, iOS/MacOS of Windows, of in compatibele wachtwoordmanagers. Als uw huidige wachtwoordmanager ook compatibel is met wachtwoorden, kunt u uw bestaande wachtwoorden probleemloos naast de nieuwe wachtwoorden blijven gebruiken.
Bron: ntv.de, awi/dpa
n-tv.de
