door Martijn » 09 jan 2011 23:17
Beveilig je account met een veilig wachtwoord!
In deze belangrijke mededeling ga ik in op het belang van een veilig wachtwoord, na aanleiding van een incident eerder deze avond.
Vanavond was het een hacker gelukt om het wachtwoord van een van onze gebruikers te raden. Eerder vandaag had ze (de eigenaresse) om bepaalde redenen tijdelijk even het 'moeilijke' wachtwoord voor het gebruikersgemak veranderd in een 'makkelijk' wachtwoord. Met alle gevolgen van dien. De hacker maakte gebruik van haar account door forumberichten te plaatsen.
Van diverse mensen ontving ik daar meldingen over via diverse wegen zoals de meldknop en pb, waarvoor hartelijk dank. Ik startte meteen een onderzoek. Daarbij was het van belang dat de hacker dat niet in de gaten had, dus het leek of er niets aan werd gedaan. Dat heeft vruchten afgeworpen en ik heb alle informatie die ik nodig had kunnen verzamelen.
De hacker plaatste Engelstalige berichten gericht naar andere gebruikers die deelnamen aan de discussie. De hacker was de Nederlandse taal niet machtig, en gebruikte een vertaalmachine om de reacties te lezen, maar ook om te begrijpen welke instellingen hij aan het wijzigen was. Voorts was hij op zoek naar een functie om het account te verwijderen. Deze functie is uitgeschakeld, dus het was hem niet gelukt om het account te verwijderen. Hij had natuurlijk ook toegang tot de priveberichten, de persoonlijke foruminstellingen waren in ieder geval allemaal veranderd.
Op 7 januari had de hacker tevergeefs nog geprobeerd een account te registreren.
Aan de hand van de verzamelde informatie is het zeer aannemelijk dat het gaat om een echt persoon en geen geautomatiseerde bot. De verbinding liep via servers in landen die als opkomende economieën worden beschouwd.
Veilig wachtwoord
Trek hier een les uit, en ga na of je wel een veilig wachtwoord gebruikt. Sta er even bij stil. Jij zou ook slachtoffer kunnen worden. Maar wat is een veilig wachtwoord? Het antwoord is simpel, een willekeurige mix van letters en cijfers. Lastig te onthouden, maar wel extreem veilig. Heb je interesse in een dergelijk wachtwoord, maar kan je deze niet zelf bedenken? Gebruik dan de functie 'wachtwoord vergeten'. Je krijgt dan een nieuw veilig wachtwoord in je mailbox. Wat is onveilig? Bestaande woorden, merken, dieren, bands, namen, jaartallen, leeftijden, en al het voorgaand achterstevoren. Er zijn geautomatiseerde systemen of hackers die enorme databases hanteren bij een hackpoging. Maar denk het ook dichter bij huis. Als iemand je googled, kan hij de gevonden informatie vormen tot mogelijke wachtwoorden.
Maatregelen
Hoe veilig is het forum, en wat doe ik om jullie te beschermen? Allereerst kan ik je natuurlijk niet beschermen tegen je makkelijke wachtwoord zoals baardagaam1986 enz. Er komt dus wat eigen verantwoordelijkheid bij kijken. Zelf bied ik jullie maximale bescherming door het gebruik van de beste software en het uitvoeren van de nieuwste updates en dichten van lekken. Gegevens worden versleuteld opgeslagen. Het forum is zeer goed beschermd tegen automatische hackpogingen. Het is vrijwel onmogelijk om daar een koevoet tussen te krijgen. De zwakke schakel ligt bij de makkelijk te raden wachtwoorden.
Tot besluit, de hacker was reeds bekend en aangemeld op blacklists. Hij had nog veel meer activiteiten op de kerfstok staan. Als tijdelijke extra maatregel heb ik een verbinding geactiveerd met drie blacklistservers, waarmee actief en continue gecontroleerd wordt of iemand op een blacklist staat. Hierdoor kan het forum wel iets langzamer worden.
Met vriendelijke groet,
Martijn (beheerder)
Reptielenforum - Voor als je (van) reptielen houdt