Beveiligingsonderzoekers zeggen nu dat de lengte, sterkte en complexiteit van wachtwoorden onbelangrijk zijn.
Al jaren geven technische sites dezelfde wachtwoordtips, waaronder het gebruik lange en complexe wachtwoorden. De schande is dat al dit advies gedurende vele jaren weinig tot geen effect heeft gehad op hoe de gemiddelde thuisgebruiker zijn wachtwoord kiest. In wat alleen kan worden beschreven als een complete ommekeer, is de huidige consensus onder beveiligingsonderzoekers dat in de echte wereld hoe sterk, lang of complex een wachtwoord bijna altijd is, het er nooit toe doet.
Volledig. openbaarmaking: delen van dit artikel zijn hierop gebaseerd Malwarebytes-blogartikel
Het meest voorkomende type wachtwoordaanval is credential stuffing, waarbij wachtwoorden worden gebruikt die zijn gestolen bij datalekken. Het werkt omdat het zo gewoon is dat mensen hetzelfde wachtwoord op twee plaatsen hergebruiken en het wordt volledig niet beïnvloed door de wachtwoordsterkte. De op één na meest voorkomende aanval is wachtwoord-spraying, waarbij criminelen korte lijsten met zeer eenvoudige wachtwoorden op zoveel mogelijk computers gebruiken. In beide situaties is een lachwekkend eenvoudig maar uniek wachtwoord goed genoeg om de aanval af te slaan.
Er zijn zeldzame soorten aanvallen-offline wachtwoord raden-waarbij een sterk wachtwoord kan helpen, maar de wisselwerking is dat sterke wachtwoorden zijn voor mensen veel moeilijker te onthouden, waardoor ze voor alles hetzelfde wachtwoord gebruiken, waardoor ze veel kwetsbaarder zijn voor het opslokken van referenties ~ <bron>
Natuurlijk vormen wachtwoordmanagers een geldige oplossing, maar de realiteit is dat ondanks alle jaren van lovende recensies en aanbevelingen, de meeste van uw gemiddelde thuisgebruikers ze nog steeds niet gebruiken. Dus wat is het antwoord?
Two-Factor Authentication (2FA)
Ik begin met het citeren van een fragment uit een artikel uit 2019 geschreven door Microsoft’s Alex Weinert, die zegt…” Op basis van onze onderzoeken is de kans dat uw account wordt gecompromitteerd met meer dan 99,9% kleiner als u MFA gebruikt“.
Alex noemt het MFA (multi-factor authenticatie) en Google noemt het 2SV (tweestapsverificatie), maar ze betekenen allemaal precies hetzelfde: uw identiteit op meer dan één manier bewijzen.
Een wachtwoord is natuurlijk altijd vereist, plus een secundair identificatiemiddel, namelijk meestal in de vorm van een unieke 6-cijferige code die naar uw telefoon wordt verzonden. Nu, wanneer ik in het verleden 2FA heb aanbevolen, heb ik bijna altijd een opmerking ontvangen van iemand die sceptisch is over het geven van zijn mobiele telefoonnummer, en ik kan niet zeggen dat ik het hem kwalijk neem. Ik heb echter enige tijd geleden 2FA (via mijn mobiele telefoonnummer) op meerdere accounts ingesteld en heb NOOIT enige vorm van spam of ongewenste berichten/oproepen ontvangen. De enige keer dat ik ooit iets van die accounts hoor, is wanneer ik inlog en 2FA in werking treedt.
Mijn mobiele telefoon is altijd in mijn bezit en de toegang is beveiligd, dus het is naar mijn mening een extreem veilige methode om ervoor te zorgen dat niemand anders toegang heeft tot mijn accounts. Ik ben altijd terughoudend geweest om de telefoon of mijn iPad te gebruiken voor financiële transacties, maar met 2FA heb ik daar geen moeite mee. Als ik bijvoorbeeld een betaling via PayPal doe, word ik gevraagd om verder te gaan door een verificatiecode in te voeren. Ik ben blij om hieraan te voldoen, veilig in de wetenschap dat, hoe veilig de verbinding ook is, alleen ik die code kan ontvangen en invoeren.
KORTOM:
Blijkbaar was 4 mei Wereldwachtwoorddag, iets waar ik me niet van bewust was. Als je dit jaar echter niets anders doet, overweeg dan om 2FA zo snel mogelijk op zoveel mogelijk accounts in te stellen. 2FA, MFA, 2SV, hoe ze het ook willen noemen, is absoluut de allerbeste methode om uw accounts te beschermen, veel effectiever dan alleen een wachtwoord, ongeacht de sterkte of complexiteit ervan.
Sommige accounts bieden 2FA aan als optioneel, andere helemaal niet, maar naar mijn bescheiden mening zou 2FA een verplichte vereiste moeten zijn voor alle online accounts.
—
