November 2, 2015

Alert Online: Security Awareness workshop over wachtwoorden

Door: Jeroen Egmond | Categorie: IT Beveiliging

Zojuist heeft Menno van Zaanen een workshop gegeven over wachtwoorden. Allereerst werd een introductie gegeven waarin werd ingegaan op communicatie en hoe dit werkt tussen een zender en een ontvanger. De zender converteert informatie waarna dit wordt verzonden. Dit wordt vervolgens opgepikt door de Ontvanger die de boodschap weer converteert naar informatie.

In voorkomende gevallen wil je dat de boodschap niet bij anderen terecht komt en daarvoor is een codering nodig. Voor codering zijn verschillende methoden beschikbaar. In vroeger tijden werd hiervoor bijvoorbeeld natuurlijke taal gebruikt waarvan je redelijk zeker wist dat de andere partij dit niet sprak. Hierbij moet je dan denken aan indianen die hun moedertaal spraken. Uiteraard heeft die methode ook (vele) nadelen, en daarom zijn ook andere methoden in gebruik. Zo kan je in een aantal cryptosystemen de lettervolgorde volgens een van te voren overeengekomen methode wisselen. Daarnaast zou je ook letters kunnen vervangen door andere letters (een zogenaamde substitutie). ROT13 is hiervan een zeer bekende waarbij de letters van het alfabet in twee gelijke delen onder elkaar worden gezet en zo een boodschap kunnen coderen en decoderen.

Naast deze methoden kan ook informatie verborgen worden. Zo zou je informatie in bijvoorbeeld plaatjes, muziek, en video kunnen verstoppen.

In alle gevallen waarin je informatie gaat versleutelen is het van belang om enige informatie uit te wisselen. De methode om dit te doen kan omslachtig lijken maar is wel nodig om er zeker van te zijn dat de informatie in het tussentraject niet af te luisteren is. Een goede analogie die hierbij gegeven kan worden is het gebruik van een kistje en een paar sloten. Je stopt de boodschap in een kistje en hangt jouw eigen hangslot eraan, vervolgens stuur je het kistje naar de tegenpartij die op zijn beurt zijn eigen slot eraan hangt. Het kistje waar nu twee sloten aan hangen wordt dan weer teruggestuurd naar de originele verzender en deze haalt zijn eigen slot weer van het kistje af. Tenslotte wordt het kistje weer gestuurd naar de ontvanger en deze haalt zijn slot eraf en kan de boodschap lezen.

In de IT werkt dit vaak met een vergelijkbaar systeem met publieke en private sleutels. Het probleem hierbij is een vertrouwenskwestie. Hoe weet je zeker dat de publieke sleutel van de tegenpartij inderdaad van die persoon is.

Het tweede deel van de presentatie ging dieper in op het gebruik van wachtwoorden. We hebben al gehoord dat het erg belangrijk om die geheim te houden. Er zijn manieren om je wachtwoord te onthouden. Tijdens de presentatie kwam ook nog de optie boven tafel om het wachtwoord gewoon niet te onthouden maar dit steeds te laten resetten als je het nodig hebt. Een betere oplossing is natuurlijk om goede passwords te gebruiken en deze niet te hergebruiken. Om dit werkbaar te maken is het gebruik van een password manager aan te bevelen. In zo’n tool sla je alle wachtwoorden op en de tool zelf heeft een hoofdwachtwoord (waarvan je dus ook moet zorgen dat niemand dat ooit kan achterhalen).

Hierna heeft Menno laten zien dat in de hele keten de mens ook een belangrijke (zwakke) rol speelt. Tijdens experimenten tijdens colleges zijn phishing acties uitgevoerd en ook mensen die aangeven phishings (nagenoeg) altijd te herkennen blijken in de praktijk ook verleidbaar om toch hun username en wachtwoorden prijs te geven. Hiervoor kunnen verschillende technieken uit de gereedschapskoffer van de Social Engineer gebruikt worden. Zo zijn daar mogelijkheden via HTML mails, via uitgeprinte mails en gewoon door brutaalweg informatie op te vragen.

De conclusie is dat als je twijfelt je nog eens een keertje extra goed moet kijken of het allemaal wel klopt, en je beter een keer extra om hulp kan vragen als je het niet zeker weet.

Comments are closed.

Recent Posts

Recent Comments

Archives

Categories

Meta