Identity theft in de ICT - Mylex

More documents

Recommendations

Info

ONDERZOEK NAAR DE WENSELIJKHEID VAN EEN BELGISCHE EN/OF EUROPESE REGELGEVING OVER "IDENTITY THEFT”. DEEL 3: HUIDIGE EN TOEKOMSTIGE BEVEILIGINGSMECHANISMEN Hierna worden de meest voorkomende online beveiligingsmechanismen behandeld. Vanzelfsprekend kan niet elke methode op elk mogelijk platform of situatie worden toegepast. HOOFDSTUK 1: PASWOORDEN Paswoorden en pincodes domineren reeds lang het online gebeuren en zelfs het dagelijkse leven. De graad van beveiliging die gewone paswoorden of pincodes bieden is daarentegen bedroevend laag. Gewone paswoorden bestaan uit letters, cijfers en eventueel enkele tekens. In het slechtste geval bestaat het paswoord enkel uit letters. Deze zijn dan wel makkelijk te herinneren voor de gebruiker (eigennamen, persoonsnamen, figuren, etc.) maar leveren een enorm risico op diefstal of hacking op. Gezien het kraken van dergelijke wachtwoorden met brute force 103 kinderspel is, wordt het gebruik ervan dan ook sterk afgeraden. De meeste websites en diensten vereisen bij het instellen van een paswoord zowel cijfers en letters. Ook wordt meestal een minimum lengte voorgeschreven, immers hoe langer het paswoord, hoe moeilijker het te kraken is met brute force methodes. 104 Een andere voor de hand liggende raad is dat het paswoord niet beschrijvend mag zijn. Vaak bevat een paswoord persoonlijke informatie zoals de naam van een partner, kinderen, huisdieren enzovoort. Er bestaat weinig gevaarlijker uiteraard. Aangeraden is dan ook een mix van letters, cijfers en speciale karakters, hoe willekeuriger, hoe moeilijker te kraken. Dikwijls veranderen is de laatste tip die vaak wordt meegegeven. Ter illustratie: met een brute force aanval zal een paswoord van vijf karakters binnen enkele uren worden achterhaald. Een teken met zes karakters neemt snel enkele dagen in beslag (op voorwaarde dat het paswoord geen woord is dat voorkomt in een woordenboek, gezien het dan veel sneller opduikt). 103 J. ERICKSON, Hacking: the art of exploitation, San Francisco, No Starch Press, 2003, 214. 104 I. VANSTEENKISTE, “Tips voor veilige en sterke wachtwoorden”, MindWell Megazine, 2010, (te consulteren via http://www.mindwell.be/management_workplace/tips-voor-veilige-en-sterke-wachtwoorden/). © 2010 Matthias Dobbelaere 62
ONDERZOEK NAAR DE WENSELIJKHEID VAN EEN BELGISCHE EN/OF EUROPESE REGELGEVING OVER "IDENTITY THEFT”. Over het web worden paswoorden meestal vervormd opgeslagen, met behulp van een algoritme. Dat proces wordt hashen 105 genoemd. In plaats van het originele wachtwoord op te slaan of tussen processen of systemen door te geven, wordt de versleutelde hashwaarde van het wachtwoord doorgestuurd. Een frequent gebruikte hashfunctie is de MD5 (Message Digest Algorithm 5) 106 . Gezien een uitleg hiervan de beoogde techniciteit van deze uiteenzetting ver zou overschrijden, wordt hier niet verder op ingegaan. Belangrijk is wel te onthouden dat een persoon die eventueel toegang zou hebben tot het bestand (database) waar de wachtwoorden zijn opgeslagen én het algoritme kent, het wachtwoord (normaliter) niet kan achterhalen (decodering). Men kan immers uit het wachtwoord de gehashte vorm berekenen maar niet andersom. Dat dit alles geen maat voor niks is bewijzen de veelvuldige hacks die gebruik maken van SQL injecties. Vaak kunnen hackers zich door een fout in de websoftware toegang verschaffen tot de database van websites (waar gebruikers en hun paswoorden zijn opgeslagen). Wanneer dit voorvalt, zoals recentelijk met de uiterst bekende Nederlandse websites FOK, GeenStijl en Tweakers 107 , kan de hacker een hele reeks md5-hashes bemachtigen. Het kost echter bijzonder veel moeite, zoals hierboven reeds gesteld, om deze per algoritme terug te laten berekenen (dit kan via enkele websites, zoals http://tools.benramsey.com/md5/). Mochten deze paswoorden echter niet gehasht worden (platte data) zouden de paswoorden uiteraard vrijelijk consulteerbaar zijn voor de hacker. Paswoorden zijn inherent onveilig. Niet alleen door de talrijke technische tekortkomingen, maar nog veel meer door de menselijke tekortkomingen. Niet alleen zijn de meeste mensen niet in staat meerdere wachtwoorden te onthouden, vaak gebruikt men een eigennaam, of een stukje persoonlijke informatie die voor bekenden of identiteitsdieven al snel te achterhalen valt. Het zou te eenvoudig zijn om de inherente onveiligheid enkel toe te schrijven aan de techniek. Laksheid en onwetendheid maken van paswoorden een ongeschikt beveiligingsmiddel, zodat dergelijke beveiliging op termijn onverbiddelijk dient te verdwijnen. 105 T. CORMEN, C.E. LEISERSON, R. RIVEST, C. STEIN, Introduction to Algorithms, Massachusetts, MIT Press, 2001, 245. 106 S. BUNTING, EnCase Computer Forensics, Indiana, Wiley, 2008, 360. 107 P. MOLENAAR, “Website FOK gehackt en onder vuur van ddos-aanval”, Tweakers.net, 2009, (te consulteren via http://tweakers.net/nieuws/62003/website-fok-gehackt-en-onder-vuur-van-ddos-aanval.html). © 2010 Matthias Dobbelaere 63
Page 2:
ONDERZOEK NAAR DE WENSELIJKHEID VAN
Page 5 and 6:
§ 1. Privacy. ....................
Page 7 and 8:
AFDELING 1: Federal Identity Theft
Page 10 and 11:
Page 12 and 13: ONDERZOEK NAAR DE WENSELIJKHEID VAN
Page 112 and 113:
Page 114 and 115:
Page 116 and 117:
Page 118 and 119:
Page 120 and 121:
Page 122 and 123:
Page 124 and 125:
Page 126 and 127:
Page 128 and 129:
Page 130 and 131:
Page 132 and 133:
Page 134 and 135:
Page 136 and 137:
Page 138 and 139:
Page 140 and 141:
Page 142 and 143:
Page 144 and 145:
show all

Identity theft in de ICT - Mylex

Create successful ePaper yourself

Delete template?

Save as template?