Webservicewachtwoorden
Veel webservices willen graag dat gebruikers zich met een gebruikersnaam en wachtwoord registreren. Hoe je een goed wachtwoord bedenkt, hebben we laten zien in c't 13-2016, pagina 61. Een goed wachtwoord moet uit ten minste 10 tekens bestaan.
Beschermt tegen
• aanvallen van derden op persoonlijke gegevens die bij een serviceprovider zijn opgeslagen en het uitbuiten door derden van functies waar je voor moet betalen.
Beschermt niet tegen
• aanvallen die niet op de wachtwoorden
van individuele gebruikers zijn gericht, zoals bij phishing, maar die er op uit zijn om een database van wachtwoorden bij een serviceprovider te onderscheppen. Helaas komt het vaak genoeg voor dat grote diensten zoals Yahoo slachtoffer zijn van dergelijke aanvallen. En wat nog vervelender is, is dat dergelijke aanvallen pas veel later openbaar worden gemaakt. Dat is een reden dat je wachtwoorden regelmatig moet wijzigen. • wachtwoord reset-mechanismen zoals de vraag naar de meisjesnaam van je moeder.
Risico's en bijwerkingen
• Browsers kunnen de inloggegevens van webservices opslaan. Dat is handig, maar betekent wel dat iedereen die de browser kan openen, toegang tot je accounts heeft. • Vaak zijn webservices aan elkaar gekoppeld. Bij talloze services dient het e-mailadres als back-upmethode voor het geval dat je een wachtwoord bent vergeten. Met andere woorden: een e-mailaccount is een achterdeur naar veel andere services. Als een aanvaller er in slaagt om een e-mailaccount te openen, dan kan hij daarmee ook gelijk talloze andere services benaderen. Daarom zou je met name je e-mailaccounts goed moeten beschermen. Dit geldt ook voor accounts bij grote diensten zoals Google of Facebook waarmee je je bij andere aanbieders aanmeldt. Als iemand je Google-account gekaapt heeft, kan hij zich toegang verschaffen tot alle gekoppelde accounts. Diverse diensten zoals Google, Facebook, Microsoft en anderen beveiligen hun aanbod daarom met een zogenaamde twee-factor authenticatie (zie p.72). (ddu)