Wachtwoorden van miljoenen Nederlanders vindbaar met zoekmachine

Moet ik nu echt gelijk mijn wachtwoord veranderen?

‘Verander je wachtwoord nu. Wachtwoorden van 3,3 miljoen Nederlanders vindbaar met zoekmachine.’ Het AD laat er geen misverstand over bestaan wat Nederlanders te doen staat. Wat is er precies aan de hand en is er reden voor paniek?

Portrait of a man sitting in a darkened room with a desktop PC and laptop, photographed for a feature on internet security and hacking, taken on May 10, 2012. (Photo by Gavin Roberts/PC Format Magazine via Getty Images) Foto GettyImages

AD-journalist Thomas Boeschoten zat naar eigen zeggen rechtop in zijn bed toen hij eerder deze week kort na middernacht een berichtje via Twitter kreeg: deze drie wachtwoorden, zijn die van jou? Dat klopte. Maar hij is niet de enige van wie wachtwoorden rondslingeren op het web, integendeel.

Wat is er precies aan de hand?

Allereerst: er is géén sprake van een nieuw lek. De miljoenen wachtwoorden van Nederlanders waar het AD over schrijft zijn onderdeel van de lijsten met nog veel meer mailadressen en wachtwoorden die al veel langer op internet rondzweven. Wat wel nieuw is, is dat de gegevens van de Nederlanders donderdag en vrijdag beschikbaar zijn geweest via een gemakkelijke zoekmachine - een 'Google voor wachtwoorden', in de woorden van het AD. In eerste instantie was het de bedoeling om de zoekmachine permanent beschikbaar te stellen, maar de maker heeft besloten hier vanaf te zien. 'Het doel is bereikt, dus je moet je afvragen wat het toevoegt om die zoekmachine online te houden', legt AD-journalist Thomas Boeschoten uit. 

Waar komen die gegevens dan vandaan?

Er is in het verleden een aantal grote hacks geweest waar wachtwoorden en mailadressen zijn buitgemaakt. Bekende zijn die van Uber, LinkedIn en Yahoo. Nog steeds vinden dergelijke grote datalekken plaats. Zo werd donderdag nog bekend dat de gegevens van zo'n 150 miljoen gebruikers van de voedings- en fitnessapp MyFitnessPal zijn gestolen. Ook deze data zullen ongetwijfeld weer op internet opduiken.

En waarom zijn ze zo interessant?

Kwaadwillenden kijken likkebaardend naar dit soort databases. Niet eens zozeer om nu eens op het LinkedIn-account van een getroffen gebruiker in te breken, maar omdat veel mensen voor verschillende sites en diensten dezelfde wachtwoorden gebruiken. Via het ene account kan de aanvaller zo naar een volgende, nog interessantere dienst springen. Dat van Gmail bijvoorbeeld, waar nog meer informatie in staat.

Wie zet die zoekmachine online? 

AD-journalist Boeschoten heeft geluk: hij werd getipt door een zogenoemde white hat hacker, een hacker met goede bedoelingen. Deze hacker – die zich d0gberry noemt – wil met zijn actie aandacht voor het probleem dat mensen nog altijd lichtzinnig met hun wachtwoorden omgaan. Zijn boodschap: als ik dit kan, kunnen anderen dit ook.

Hoeveel slachtoffers zijn er?

Dat is onmogelijk te zeggen. De database bestaat weliswaar uit miljoenen gegevens, maar het is onduidelijk hoe actueel die gegevens zijn. Veel mensen zullen in de afgelopen jaren hun wachtwoord hebben gewijzigd, maar dat geldt lang niet voor iedereen. Het AD maakt in ieder geval melding van een aantal slachtoffers dat nog altijd hetzelfde wachtwoord gebruikt. Sommigen gebruiken dit wachtwoord zelfs voor meerdere sites. Een van hen is voormalig SP-Tweede Kamerlid Sharon Gesthuizen. 

Wat kan ik zelf doen?

Iedereen kan al langer op de site HaveIbeenpwned controleren of zijn mailadres ooit buit is gemaakt bij een hack. Die kans is zeker niet ondenkbaar: veel Nederlanders hebben een account bij LinkedIn. Datzelfde LinkedIn is niet zozeer het risico (de site verplichtte zijn gebruikers al lang geleden het wachtwoord te wijzigen). Wat wél een risico is, is dat mensen dezelfde zwakke wachtwoorden blijven gebruiken die ze ooit voor LinkedIn gebruikten. Wachtwoorden als welkom01 of 1234566 worden nog altijd gebruikt, ondanks alle waarschuwingen. 

Een paar concrete tips:

1. Elke twee maanden het wachtwoord veranderen hoeft echt niet, maar gebruik wel een sterk wachtwoord.

2.Ingewikkelde tekens hoeven ook niet. Wel: een zo lang mogelijk wachtwoord. De beginzin van een liedje bijvoorbeeld

3.Gebruik een wachtwoordmanager. Deze onthoudt niet alleen alle wachtwoorden, maar kan ook sterke wachtwoorden genereren

4.Gebruik tweetrapsverificatie als extra verdedigingslinie 

(deze, en meer tips uitgebreider in dit artikel)

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@volkskrant.nl.