Dynamic Web Service

Wel of niet je wachtwoorden veranderen? 7 vragen over ‘Heartbleed’

Knipsel-484x344.jpg

 

Het zoemt al dagen rond, de term ‘Heartbleed’. En vanaf de zijlijn doen allerlei alarmerende verhalen de ronde: duizenden websites zijn onveilig en de gegevens van mensen liggen op straat. Iedereen moet nú zijn wachtwoorden veranderen. Wat te doen? Vooral niet in paniek raken.

1. Wat is Heartbleed en waarom heet het zo?
Heel veel websites maken gebruik van OpenSSL, encryptietechnologie om het internetverkeer tussen de servers en de site te versleutelen. Als consument wist je bijvoorbeeld dat een website voor online bankieren veilig was, als er een slotje naast de url stond. De versleutelingstechnologie gebruikte hiervoor een bepaalde extensie die door programmeurs ‘Heartbeat’ werd genoemd. Nu is dus gebleken dat heel veel sites, zelfs die met een slotje, een beveiligingslek hebben. Vandaar de naam ‘Heartbleed’.

2. Hoe en wanneer is het gat ontstaan?
Het lijkt onnozel, maar een van de programmeurs die verantwoordelijk is voor OpenSSL heeft in maart twee jaar geleden een foutje gemaakt. De Duitse programmeur heeft in een interview met The Sydney Morning Herald verteld dat hij juist probeerde een aantal bugs in de software op te lossen. De programmeur en zijn collega vergaten vervolgens een bepaalde variabele toe te voegen. Er is dus geen sprake van cyberterrorisme of een groot Trojaans paard. Tja, hoe geavanceerd dit soort software ook is, het blijft mensenwerk.

3. Wat zijn de concrete gevolgen?
Er zitten dan wel geen hackers achter het lek, maar hackers en dieven die online actief zijn, kunnen door het lek wel hun slag slaan en achter allerlei gegevens van mensen komen. Kwaadwillenden kunnen een pakketje naar de server sturen die vervolgens een pakketje data terugstuurt met informatie die normaal beveiligd is. Aangezien het lek er dus al ruim twee jaar is, is het heel goed denkbaar dat er al heel veel wachtwoorden van mensen op straat liggen. In theorie kunnen dieven op deze manier e-mailaccounts hacken en bijvoorbeeld in je mail zoeken naar creditcardgegevens.

4. Is de omvang inderdaad zo rampzalig als gezegd wordt?
Tweederde van alle servers zou onveilig zijn en 66 procent van de sites, ongeveer een half miljoen, zou gebruikmaken van OpenSSL. Expert Bruce Schneier zegt dan ook dat op een schaal van 0 tot 10 dit lek een ’11’ is. Maar we moeten ook weer niet met z’n allen massaal in paniek gaan raken, zegt een beveiligingsonderzoeker tegen Trouw. Volgens hem hebben veel banken de meest recente veilige software inmiddels al geïnstalleerd.

5. Welke sites zijn er getroffen?
Van de duizend grootste sites zouden er slechts 48 kwetsbaar zijn blijkt uit een inventarisatie die twee dagen geleden op Github gepubliceerd werd. Sites die opvallen zijn Yahoo, WeTransfer en Flickr. Grote sites als Yahoo, Amazon, Facebook en Google hadden dinsdag al laten weten dat ze hun beveiligingsprotocol inmiddels gerepareerd hadden.

6. Moet ik nu al mijn wachtwoorden veranderen?
Over de vraag of het nu wel of niet slim is om je wachtwoorden te veranderen, verschillen de experts van mening. Internetexpert Brenno de Winter van Webwereld, zei tegen RTL Nieuws dat je zeker al je wachtwoorden moet veranderen.

Computerworld zegt juist dat je beter even kunt wachten tot je bijvoorbeeld een verzoek van de beheerder van de site zelf krijgt. De kans bestaat namelijk dat als de site nog niet veilig is, ook je nieuwe wachtwoord kan uitlekken. Daar staat tegenover dat niet alle websites openlijk zullen willen toegeven dat hun site onveilig is en dan jou dus ook niet inlichten over het goede moment om een nieuw wachtwoord in te stellen.

Lastig, lastig, maar gelukkig is techsite Mashable zo vriendelijk geweest om de leken wat handvatten te geven. De site heeft een mooie inventarisatie gemaakt van welke sites het aan te raden is om daar je wachtwoord te wijzigen. En helaas raden ze aan om van de meest gebruikte sites je wachtwoord te wijzigen. Gmail? Ja. Facebook? Ja. Dropbox? Ja. Soundcloud? Ja. Amazon? Ja. Vervelend en veel gedoe dus, maar niets aan te doen. Er is inmiddels ook een handig tooltje waar je de url van de site kan invoeren om te bekijken of de site al veilig is of niet.

7. Hoe lang gaat het duren voordat alles weer op orde is?
Ook dat is koffiedik kijken, en het is vooral afwachten wanneer websites zelf aan de slag gaan met de beveiligingsproblemen. Cnet raadt consumenten in ieder geval aan om de komende dagen even extra goed te letten op je bankafschrijvingen. En, zo benadrukt De Winter nog maar even: niet overal hetzelfde wachtwoord voor aanmaken, maar dat deed tot nu toe niemand natuurlijk…

Verder: gebruik een wachtwoordmanager die complexe wachtwoorden bedenkt en kies voor extra authenticatiemanier bij het inloggen op een webdienst (bijvoorbeeld met een sms’je). Dat beperkt de schade als iemand je wachtwoord achterhaalt. Heb je moeite om al die wachtwoorden allemaal te onthouden? Sommige van deze passwordmanagers helpen veilig je wachtwoorden te bewaren.

Bron: nrc.nl

  • Deel bericht

    Submit to FacebookSubmit to Google PlusSubmit to TwitterSubmit to LinkedIn
  •  

    seo-logo