Skip to content

Gestolen gegevens in het Dark Web: een nieuwe wake-up call

Onlangs berichtten de media over veiligheidsonderzoekers die een database ontdekten met 1,4 miljard gehackte toegangsgegevens – naar verluidt de grootste op het Dark Web. Voor ons is dit een nieuw bewijs dat ‘Knowledge Based Authentication’ (KBA) – authenticatie die vraagt naar vertrouwelijke kennis van de gebruiker – en statische wachtwoorden niet meer geschikt zijn om online identiteiten te beschermen.

De mate van verfijning die cybercriminelen op het Dark Web aanbrengen, is ongezien. De gestolen gegevens worden niet alleen samengevoegd, maar ook gecatalogiseerd en gebundeld, zodat zelfs beginners op het Dark Web gemakkelijk specifieke gegevens kunnen zoeken en verzamelen. Vergelijk het met een marketeer die een mailinglijst huurt en zich richt op specifieke demografieën.

Organisaties en individuen die de afgelopen jaren getroffen werden door de vele gegevensschendingen en geen actie hebben ondernomen om wachtwoorden te wijzigen, debet- of kredietkaart te bevriezen,of een nieuwe kredietkaart aan te vragen, gokken met hun digitale veiligheid.

KBA volstaat niet

Onze gegevens liggen daar te grabbel, opgeslagen op het Dark Web in een gigantische, doorzoekbare database, voor criminelen om te verzamelen en te plunderen. De recent ontdekte database is meer dan twee keer zo groot als de Exploit-lijst, die bijna 800 miljoen referenties bevat.

Van wie slachtoffer werd van bijvoorbeeld de Equifax-, Target – of Anthemhack, kan er veel informatie gecombineerd worden, en die info is zeer populair. Wie in tussentijd actie ondernam, kreeg waarschijnlijk een nieuwe kredietkaart. Maar hoe zit het met gezondheidsdossiers die niet veranderd kunnen worden?

De kennisgebaseerde authenticatie (KBA) staat al enige tijd onder toezicht, omdat hackers gemakkelijk antwoorden kunnen vinden op veelgestelde vragen, zoals “Bij welke bank betaalt u uw maandelijkse hypotheek?”

De massa gestolen data herinnert er ons ook aan dat we niet kunnen vertrouwen op statische wachtwoorden – vooral gezien het feit dat mensen vaak hetzelfde wachtwoord gebruiken voor meerdere accounts.

In het Data Breach Investigations Report 2017 van Verizon staat dat 81% van de hacking-overtredingen gebruik heeft gemaakt van gestolen en/of zwakke wachtwoorden en, zoals uit deze laatste ontdekking is gebleken, direct toegankelijk zijn op het Dark Web.

Waarom multifactor-authenticatie van belang is

De tijd is aangebroken dat de overheid met de industrie moet samenwerken om eindelijk te komen tot de best mogelijke strategieën voor identiteitsbeheer en gegevensbescherming.

Naast nationale interventie en handhaving begint cybersecurity echter met het beschermen van identiteiten tegen diefstal. Er zijn vandaag de dag veilige manieren voorhanden om identiteiten te verifiëren en personen die toegang willen tot gevoelige gegevens te authenticeren.

Technologiebedrijven zijn wakker geworden en beseffen dat er een evenwicht moet zijn tussen gemak, bruikbaarheid en veiligheid. De industrie heeft in de afgelopen jaren een lange weg afgelegd met een reeks van gebruiksvriendelijke authenticatieoplossingen die niet vereisen dat gebruikers complexe statische wachtwoorden onthouden, maar gebruik maken van geïntegreerde technologieën in smartphones en andere mobiele apparaten, zoals gezichtsherkenning, vingerafdrukken en adaptieve authenticatie.

Multifactor-authenticatie is een integraal onderdeel van een op risico gebaseerde benadering van cybersecurity en is, temidden van de ontdekking van 1,4 miljard gestolen gegevens, volledig in staat genoeg slagkracht te produceren om de laatste spijker slaan in de kist van de statische wachtwoorden.

Michael Magrath is Director Standards & Regulations bij VASCO Data Security

No comments yet

Leave a Reply

You may use basic HTML in your comments. Your email address will not be published.

Subscribe to this comment feed via RSS

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.