Privacytoezichthouders slaan alarm over hergebruik van wachtwoorden

[Captain Kirk]

Internationale privacytoezichthouders slaan alarm over het hergebruik van wachtwoorden, aangezien criminelen hierdoor op accounts van internetgebruikers kunnen inloggen. Het gaat specifiek om credential stuffing-aanvallen. Bij dergelijke aanvallen worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen.

Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. Volgens de privacytoezichthouders van Canada, Gibraltar, Jersey, Turkije, het Verenigd Koninkrijk en Zwitserland vormen credential stuffing-aanvallen een groeiende dreiging voor de persoonlijke informatie van internetgebruikers.

Daarom zijn de autoriteiten met een advies gekomen waarin ze eindgebruikers en organisaties laten weten hoe dergelijke aanvallen zijn te voorkomen, detecteren en mitigeren (pdf). Het gaat dan om het niet hergebruiken van wachtwoorden en het vermijden van korte en voorspelbare wachtwoorden. Tevens adviseren de privacytoezichthouders het gebruik van passphrases, wachtwoorden die uit meerdere woorden bestaan. De meest effectieve maatregel tegen credential stuffing is multifactorauthenticatie, zo laten de autoriteiten weten. Dit moet dan ook waar mogelijk worden ingesteld.

 

bron: https://www.security.nl