Zo wordt je Microsoft-account niet gehackt: 7 tips
Er is weinig meer gênant dan als technologiejournalist de bron zijn van een berg Skype-spamberichtjes naar je Microsoft-contacten. Tot mijn schaamte overkwam het ondergetekende. Wanneer iemand bij jou komt klagen over de inhoud van een verdachte Baidu-link die je beslist niet zelf stuurde, is het tijd om actie te ondernemen.
Iets of iemand had toegang tot de Skype Preview. Die zit standaard in Windows 10 en is gelinkt aan je Microsoft-account. Alle contacten die bij je Microsoft ID horen en Windows 10 met de Skype Preview hebben, zitten al netjes in je contactenlijst. Wie binnen raakt op een Microsoft-account, kan dus naar believen spam uitsturen.
Tip 1: Ga voor een lang wachtwoord
De eerste reactie is het uitvoeren van de nodige beveiligingsscans op je lokaal systeem. Het heeft geen zin om je wachtwoord te veranderen als het lek op je pc zelf zit. Als er geen malware op je computer staat, dan is de onvermijdelijke conclusie dat je wachtwoord gekraakt is. Mijn systeem bleek helemaal clean, dus mijn wachtwoord moest op een of andere manier ontfutseld zijn.
[related_article id=”161626″]Was mijn wachtwoord niet sterk genoeg? Het was nochtans een nonsensicale opeenvolging van grote en kleine letters, cijfers en speciale tekens. Het probleem: het wachtwoord telde slechts acht tekens. “Een brute force-aanval op een wachtwoord van acht tekens is niet meer zo moeilijk”, bevestigt Karel Dekyvere, Chief Security Officer bij Microsoft. Een gemiddeld systeem knaagt maximaal tien jaar aan een dergelijk wachtwoord als het complex genoeg is, maar een combinatie van systemen in een botnet kan die tijd flink inkorten. Hoe langer je hetzelfde wachtwoord gebruikt, hoe groter de kans dat er iemand prijs heeft.
In mijn geval was het dus niet ondenkbaar dat een brute force-aanval resulteerde in de hack, maar het kan natuurlijk ook dat mijn wachtwoord op een andere manier werd gestolen. Feit is dat de lengte van het complexe wachtwoord in ieder geval nauwelijks veiligheid bood.
Bij het kiezen van een nieuw wachtwoord ging ik voor een langer exemplaar. Een wachtwoord bestaande uit tien grote en kleine letters zal vandaag een aanval weerstaan gedurende enkele eeuwen. Maak je er vijftien tekens van, dan spreken we over enkele honderden millennia. Een ezel stoot zich geen twee keer aan dezelfde steen, dus mijn Microsoft-account is beveiligd met een sequentie tekens die nog een stuk langer is. Zolang de kwantumcomputer niet wordt uitgevonden, moet ik in principe niet meer vrezen voor een brute force-aanval.
Tip 2: Ga in op beveiligingswaarschuwingen
Niet lang na de ontdekking van de spamberichten en nog voor ik m’n wachtwoord daadwerkelijk gewijzigd had, kreeg ik een vriendelijk mailtje van Microsoft zelf. “Iemand anders heeft mogelijk toegang tot het Microsoft-account *****@******.com. Wanneer dit gebeurt, moet je je identiteit bevestigen met een beveiligingsvraag en je wachtwoord wijzigen wanneer je je weer aanmeldt.” Handig van Microsoft, en niet gelogen.
“In de gratis diensten van Microsoft zitten security services geïntegreerd”, legt Dekyvere uit. “Het gaat om een geautomatiseerd systeem dat zoekt naar anomalieën aan de hand van verschillende parameters.” Denk daarbij bijvoorbeeld aan een inlogsessie in Wit-Rusland enkele minuten nadat je nog op je pc bezig was in Antwerpen. “Je privacy wordt niet geschonden en er zijn geen mensen die je gedrag in het oog houden”, benadrukt Dekyvere wel.
Een dergelijk systeem is broodnodig volgens de beveiligingsexpert. “De trieste waarheid is dat het hacken van wachtwoorden vaker en vaker voorkomt”, betreurt hij. Dekyvere ziet een duidelijke reden. “Als je vandaag iemands naam opzoekt, vind je dankzij sociale media heel wat informatie. Een zeven jaar oude Facebookfoto van je hond kan per ongeluk wel eens het antwoord op je beveiligingsvraag vandaag weggeven.” De steeds verder evoluerende computerkracht speelt natuurlijk ook een rol.
Tip 3: Splits je wachtwoorden op in categorieën
“Vroeger stelde een account niet zo veel voor. Nu linken gebruikers kredietkaarten aan belangrijke digitale identiteiten, en die maken het aantrekkelijker voor hackers om zich een weg naar binnen te forceren.” Gelukkig kan je de nodige maatregelen nemen.
“Het is eerst en vooral belangrijk om te beslissen welke digitale identiteiten je wil beschermen”, legt Dekyvere uit. Hij ziet drie verschillende categorieën. De eerste categorie is die van de identiteiten waar een hack een beperkte impact heeft. “Denk bijvoorbeeld aan Twitter. Het ergste wat er kan gebeuren is dat iemand een tweet in jouw naam stuurt. Vervelend, maar een hacker gaat je leven niet meteen overnemen.” Voor dergelijke accounts kies je volgens de expert best een goed wachtwoord dat je vervolgens alleen hoeft te veranderen wanneer er problemen zijn.
“Accounts in de tweede categorie brengen financiële repercussies met zich mee wanneer ze gehackt worden.” Voor deze accounts moet je zeker een verschillend wachtwoord kiezen. “Het eerste wat hackers doen wanneer ze zo’n wachtwoord kraken is nagaan waar het nog gebruikt wordt”, weet Dekyvere.
Tip 4: Schrijf wachtwoorden desnoods op
Tot slot zijn er de digitale identiteiten waarvan het verlies een erg grote impact heeft op je leven. Denk aan je Tax on Web-gegevens, je Microsoft-account, je Apple ID of je Google-identiteit. “Voor die diensten kies je best een totaal ander en degelijk wachtwoord”, vindt onze expert. “Je mag dat wachtwoord gerust op een papiertje noteren en in een map bewaren. Dat is veiliger dan een eenvoudig wachtwoord kiezen uit vrees dat je het zou vergeten.” Die raad klinkt niet echt intuïtief, maar Dekyvere heeft een punt. Een inbreker is heus niet op zoek naar het mapje met daarin de gegevens van je Microsoft-account. De criminelen die daarop azen, zitten meer wel dan niet aan de andere kant van Europa of verder.
Tip 5: Wijzig je belangrijke wachtwoorden regelmatig
Voor de laatste categorie helpt het om gedisciplineerd te werk te gaan en je wachtwoord geregeld te veranderen. “Op het werk moet je je wachtwoord vaak om de drie maanden wijzigen. Privé hebben mensen veel meer te verliezen, maar gaan ze vaak minder veilig te werk.”
[related_article id=”187756″]Om de belangrijkste digitale identiteiten veilig te houden moet je dus af en toe wat actie ondernemen. Daarom is het belangrijk om je accounts in categorieën onder te verdelen. Het is niet nodig om iedere drie maanden twee uur uit te rekken om elk denkbaar wachtwoord nog eens te wijzigen. Voor het gros van je inloggegevens is een wachtwoordmanager trouwens een goed idee. “De wachtwoorden voor de belangrijkste accounts beheer je echter beter zelf”, meent Dekyvere wel.
In mijn geval ben ik dus gesteld met een splinternieuw lang en complex wachtwoord, dat ik idealiter binnen drie maanden al eens verander. Dekyvere betwijfelt echter of die strategie nog lang houdbaar zal blijven. “Wachtwoorden gaan 2025 niet halen”, voorspelt hij. Microsofts beveiligingsexpert denkt dat het beveiligingssysteem inherent onveilig geworden is gezien de beschikbare computerkracht. Betrouwbare biometrische beveiliging biedt een veel beter alternatief.
Tip 6: Schakel waar mogelijk tweestapsverificatie in
In afwachting is er natuurlijk een eenvoudige oplossing waarmee je hackers succesvol de toegang tot een account kan ontzeggen: activeer tweestapsverificatie met de hulp van je smartphone. De kans dat een hacker je wachtwoord kent én je smartphone bij de hand heeft, is immers heel erg klein.
Tip 7: Neem nu actie
Bovenstaande raad is niet nieuw. Ik kende de meeste tips voor mijn account gehackt werd, maar ging er net als veel mensen van uit dat goed genoeg wel goed genoeg zou zijn. Dat is ook zo, tot een akkefietje het tegendeel bewijst. Wees slimmer dan ik, en beveilig je accounts nu meteen goed, en niet op een momentje in de toekomst dat er toch nooit aankomt.
