Mijn mailbox is gehackt!

Nee, niet die van mezelf, maar van menig vraagsteller die wil weten wat hij of zij eraan kan doen. Meestal lijkt het te gaan om derden die het wachtwoord geraden hebben maar ongewijzigd laten, zodat het slachtoffer zelf niets doorheeft. De meeste mensen wijzigen hun wachtwoord immers zelden, en kijken ook niet in de map Verzonden items om te zien of iemand anders mee zit te mailen.

Nou ja, dat is dus ook precies wat je regelmatig moet doen. Ik raad aan wachtwoorden te maken met Strong password generator (maar er zijn er vast meer) en deze niet met anderen te delen. Als je je browser het wachtwoord laat onthouden, zet dan een schermbeveiliging met slotje op je computer. Of installeer iets als Keepass om wachtwoorden veilig te onthouden.

Ook regelmatig kijken of er gekke mails ontvangen of verzonden zijn is geen gek idee. Maar goed, je moet ook elke maand kijken of er rare afboekingen van je bankrekening zijn geweest en dat doet ook vrijwel geen hond.

Kun je juridisch iets doen? Ja, in theorie wel. Het is strafbaar als computervredebreuk om binnen te dringen in iemands mailbox, dus je kunt aangifte doen. Maar zonder IP-adres of andere bron van de dader is het wel héél lastig opsporen. Bovendien, als er niets stukgemaakt of gekopieerd is dat waarde heeft, zal het weinig prioriteit krijgen. Zeker omdat ook een rechtshulpverzoek naar de VS nodig is om Google of Hotmail te bewegen IP-adressen of andere login-informatie af te geven.

Ik vraag me al een tijd af waarom je niet bij zulke systemen gewoon ergens het IP-adres van de laatste vijf logins zou kunnen inzien. Zo moeilijk moet dat toch niet te maken zijn?

Jullie nog tips?

Arnoud

10 reacties

  1. Als je echt wilt dat niemand bij je spullen kan, kun je “two-factor authenticatie” opzetten. Dan is een wachtwoord alleen niet meer genoeg, maar moet je ook een code weten die door een kleine sleutelhanger of je telefoon wordt gegenereerd en elke loginpoging anders is.

    Google heeft hiervoor een optie (die kunnen ook de laatste 10 IPs laten zien waarmee ingelogd is, overigens), bij Dropbox kan het, XS4ALL experimenteert ermee, etc.

  2. Ik vraag me al een tijd af waarom je niet bij zulke systemen gewoon ergens het IP-adres van de laatste vijf logins zou kunnen inzien. Zo moeilijk moet dat toch niet te maken zijn?

    Dat is dan ook wat Google doet. Rechtsonderaan in Gmail: Last account activity: 6 minutes ago

    Als je daar op klikt krijg je een lijst met de afgelopen X sessies, inclusief locatie, tijd, soort browser en ip adres.

    Treedt daar een abnormaal patroon bij op dan zal google je daar ook van notifyen (die notification blijft een week staan om te voorkomen dat een eventuele intruder hem alvast als extra dienst voor je wegklikt). Al met al heeft Google dit stukje dus redelijk op orde. Zeker als je het combineert met een twofactor login die zij ook al enige tijd ondersteunen. Overigens heeft google deze stappen pas ondernomen nadat de Chinese overheid allerlei accounts ging aanwenden voor eigen gebruik.

    Tegelijkertijd zijn dit allemaal prachtige technische middelen, maar ik denk dat je er weinig aan hebt. Het echte probleem zit hem in de gebruiker. In de gebruiker welke weigert een complex wachtwoord te selecteren en op iedere site een ander wachtwoord te gebruiken. Vervolgens weigert diezelfde gebruiker om met regelmaat z’n wachtwoorden te wijzigen, z’n systeem schoon te houden en te upgraden, en klikt ‘ie alle notificaties ongelezen weg. Dat is ook het jammere van bijvoorbeeld OpenID: een prachtoplossing om er voor te zorgen dat niet iedere site je inloggegevens hoeft te hebben. Toch is het nooit aangeslagen, the average John Doe bleek er geen behoefte aan te hebben. OpenID was een oplossing voor een probleem wat de gemiddelde consument nog nooit zo ervaren had.

    WBP eist een fatsoenlijke beveiliging van gegevens, zonder deze verder te specificeren. Misschien moeten we als maatschappij ook maar met z’n alle constateren dat als iemand

  3. Een online wachtwoordgenerator is per definitie onveilig. Bovendien kan een programma als Keepass zelf wachtwoorden genereren. Maar dat zijn altijd wachtwoorden die je als normaal mens niet kunt onthouden. Bruce Schneier adviseert om wachtwoorden die je moet kunnen onthouden te maken op basis van een zin die je met wat creativiteit vervormt naar een onbekend woord.

    Relevante humor: XKCD

  4. Ongeacht welk wachtwoord als je geen two facor hebt dan ben je het bokkie zodra je een bot client op je pc hebt of als iemand echt z’n best doet en een keylogger in aansluit.

    Je moet niet alleen je mapjes bekijken maar ook je hardware (dus op de knietjes tussen de stofpluizen 😉

    ps “Maar goed, je moet ook elke maand kijken of er rare afboekingen van je bankrekening zijn geweest en dat doet ook vrijwel geen hond.”

    Ik zei de gek! Ook “two factor” bankier zowel op pc als app op de mobiel. Kans dat die beide aangevallen worden is (op dit moment) klein.

  5. @3: Grappig die comic, ik gebruik dus een combinatie van de eerste en de laatste methode. Ik heb overigens geen enkele moeite om die substituties te onthouden 😉

    En al mijn e-mail is voorzien van 2-factor beveiliging. Mijn forum accounts etc… kunnen mij verder getolen worden. De wachtwoorden zijn per forum uniek (en ja dat kan ik ook onthouden) dus ze komen er niet verder mee.

    Alleen Amazon ben ik niet heel blij mee, die bieden geen 2-factor, maar onthouden wel je credit card. Daar zou dus misbruik van kunnen worden gemaakt. De andere online shopping sites die ik gebruik vereisen iedere keer dat ik mijn cc gegevens opnieuw invoer.

  6. “Ik vraag me al een tijd af waarom je niet bij zulke systemen gewoon ergens het IP-adres van de laatste vijf logins zou kunnen inzien. Zo moeilijk moet dat toch niet te maken zijn?”

    Dat is bij Gmail al jaren heel gewoon. Rechts onderaan de pagina staat “Last account activity: xxx” -> details. Klik op de link en je krijgt precies die lijst waar je om vraagt.

    Daarenboven springt gmail op rood als je ineens van heel ver weg inlogt (bijvoorbeeld na een intercontinentale vlucht) en vraagt om verdere identificatie.

    • Sterke en unieke wachtwoorden gebruiken (KeePass, LastPass, e.d.),
    • two-factor authentication waar mogelijk,
    • apart emailadres voor services zodat wachtwoord resetten naar een apart emailadres gaat,
    • https gebruiken waar mogelijk,
    • goede virusscanner/anti malware/anti spyware software gebruiken en regelmatig updaten/controleren,
    • nergens (alle gegevens van) je creditcard laten opslaan,
    • IPs controleren die gebruikt zijn (waar mogelijk)…

    dat is het wel zo’n beetje, denk ik 🙂

  7. Ik gebruik Google Apps maar ook bij een normale GMail account is het mogelijk om de laatste 10 logins te zien, inclusief IP adres. (Zoals Freeaqingme al aangaf, maar werkt ook bij Google Apps op je eigen domeinnaam.) Je kunt daarnaast een waarschuwing opzetten voor als er verdachte toegang lijkt te zijn. Je kunt deze rechts-onder in je webmail van Google terugvinden. Verder kun je bij Google Account Activity kijken of er andere, bijzondere dingen gebeurd zijn met je account. Bij Google Apps heeft de domeinbeheerder ook enig inzicht in de gebruikers-activiteiten. Je kan dan zien wanneer iemand voor het laatst heeft ingelogd en je kunt gebruikers dwingen hun wachtwoord aan te passen. Bijvoormeeld omdat het wachtwoord volgens Google niet sterk genoeg is. (Je ziet het wachtwoord niet, maar ziet wel een indicatie van de sterkte ervan.) En je kunt een logboek inkijken van verzonden en ontvangen emails waarbij je ook weer niet teveel ziet van het emailtje. (Onderwerp, afzender, ontvanger, ID-nummer, mail grootte en een tijdstip.) Als beheerder zou je zo expliciet naar verdachte zaken kunnen zoeken binnen alle accounts van je domein. En verder biedt Google diverse rapporten aan waarin informatie staat over email-gebruik en andere gebruikers-activiteiten. Maar ook informatie over gebruik van mobiele (Android) apparaten. Maar voor zover ik kan beoordelen zie ik niet dat er privacy-schendingen plaats vinden, op hooguit het email log na. (Want afzender, ontvanger en onderwerp kan al erg prive zijn!) Voor gezinnen zou een Google Apps account dan ook best handig kunnen zijn, indien je als gezin maar een domein hebt. Ze hebben een gratis versie, maar ikzelf heb 7 accounts bij Google, die ieder 40 dollar per jaar kosten. Beetje prijzig, dat wel. Zie Google voor informatie.

    Yahoo.com heeft een vergelijkbare variant, waarbij je je login acties kunt terugbekijken van je account. Dus niet alleen wanneer je je email leest maar ook b.v. wanneer je bij Flickr inlogt of andere acties uitvoert. Alleen zie je hier weer geen IP informatie en die zou je juist wel willen zien.

    Verder, betreffende wachtwoorden: Kies een hoofdletter, een kleine letter, een cijfer en een speciaal teken en neem daarnaast de naam van de website als basis van je wachtwoord. Die vier tekens zijn een vaste waarde en de rest is site-afhankelijk en dus makkelijk te onthouden. Voor dit blog zou ik b.v. “Wa3%iusmentis” gebruiken, als er wachtwoorden waren. 🙂 Heb je toch verschillende wachtwoorden zonder de moeite van het onthouden. Maar goed, ook die methode is uiteindelijk niet al te veilig, zodra hackers daar opeens rekening mee gaan houden…

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.