Eerder deze week heeft de Australische security researcher Troy Hunt 711 miljoen records in Have I Been Pwned geladen. Have I Been Pwned is een zoekmachine om te controleren of je gegevens gestolen zijn bij hacks van online applicaties. Je kan je e-mailadres registreren zodat je op de hoogte wordt gebracht wanneer het wordt terug gevonden in een datalek.
Ik was deze keer helaas ook weer bij de (on)gelukkigen.
In dit geval gaat het om e-mailadressen en vaak ook bijhorende wachtwoorden. Deze gegevens werden door een botnet gebruikt om via e-mailbijlagen een Trojan (virus) te verspreiden.
Als je te weten komt dat je login gegevens van een bepaalde applicatie gelekt zijn, is de logische volgende stap om het wachtwoord voor die account te veranderen. In dit geval liggen de zaken anders. Je weet nu dat je e-mailadres en/of wachtwoord gelekt is, maar je weet niet welke account aan de oorsprong lag. Dus er is niet veel dat je kan doen. Of toch?
Je zou de wachtwoorden voor al je online accounts kunnen resetten. Ik — en ik denk velen met mij — weet niet meer iedere applicatie waarvoor ik ooit een account heb gemaakt. Dit is bovendien een vervelend, tijdsintensief werkje en biedt geen sluitende oplossing. Het is volgens mij een overdreven reactie, tenminste als je een doordachte strategie toepast om je online accounts te beheren en te beveiligen.
Enkele tips om je online accounts veilig te beheren
Gebruik voor iedere online applicatie een verschillend wachtwoord. Op die manier voorkom je dat iemand met een gelekte gebruikersnaam en wachtwoord kan inloggen op je andere accounts. Activeer ook 2 factor authentication (2FA) voor alle applicaties die deze optie aanbieden. Zo verklein je verder de kans op misbruik van je account.
Als je dit doet is het worst-case scenario dat cybercriminelen een gehackte account zonder 2FA kunnen misbruiken. Het blijft een oncomfortabel gevoel dat je niet weet om welke account het gaat, maar je kan tenminste al een aantal accounts uitsluiten.
Maar je kan nog een stap verder gaan. E-mail providers, bv. Gmail bieden de mogelijkheid om aliassen aan te maken voor een e-mailadres. Als je e-mailadres “[email protected]” is, kan je bij registratie van een Facebook account bijvoorbeeld “[email protected]” gebruiken. De e-mails komen dan gewoon in je “[email protected]” mailbox terecht. Voor je bestaande accounts kan je eveneens het e-mailadres veranderen in een applicatie specifieke alias.
Indien je dit consistent toepast, kan je via het e-mailadres achterhalen welke applicatie gehackt is en dus ook het wachtwoord veranderen.
Is het wel altijd nodig om je ‘echte’ e-mailadres te gebruiken?
Toevallig ontving ik vandaag een e-mail van Radio 1 terwijl ik hen nooit mijn e-mailadres heb gegeven.
Waarschijnlijk omdat ik ooit een account heb aangemaakt op de website van de vrt?
Het stoort me enorm dat ik ongevraagd dergelijke e-mails ontvang en meer nog dat ik niet weet hoe ze aan mijn e-mailadres zijn geraakt. Had ik me destijds voor de applicatie in kwestie geregistreerd met een specifieke, unieke e-mail alias dan had ik dit tenminste kunnen achterhalen…
Anderzijds kunnen we zelf ook verstandiger omspringen met het aanmaken van accounts. Stel dat je een account wil aanmaken op de website van Het Laatste Nieuws. Je zou het e-mailadres kunnen gebruiken dat je ook voor andere, belangrijke accounts gebruikt. Maar je zou hier net zo goed een ‘wegwerp’ e-mailadres kunnen gebruiken, zoals bijvoorbeeld mailinator.
Je bedenkt een naam voor een mailbox bijvoorbeeld “[email protected]”, surft naar de website en geeft dit e-mail adres in.
Je hebt dan onmiddellijk toegang tot deze mailbox. Je hoeft dus geen registratie proces te doorlopen om een mailinator account aan te maken.
De berichten in een mailinator inbox worden slechts enkele uren bijgehouden en zijn te lezen door iedereen die dit e-mailadres kan achterhalen. Gebruik mailinator (of alternatieven) dus enkel voor scenario’s zoals account activatie op sites waar je verder ook geen persoonlijke informatie achterlaat.
Je geeft zo een beetje minder persoonlijke gegevens vrij en als bijkomend voordeel blijft je ‘echte’ e-mail account gespaard van spam, euhm ik bedoel “marketing” e-mails.