Deze hackers kraken jouw wachtwoord (om je te helpen)
Een website waar je kunt zien welke wachtwoorden van jou de afgelopen jaren zijn uitgelekt. Het klinkt misschien alsof je je daar zorgen om moet maken, maar de hackers achter de website Scattered Secrets hebben juist goede bedoelingen, beloven ze.
Het gaat om wachtwoorden die de afgelopen jaren zijn uitgelekt bij allerlei datalekken, zoals die van LinkedIn, Dropbox en het ooit succesvolle sociale netwerk MySpace, maar ook porno- en datingsites. Wie goed zoekt, kan die datalekken inclusief wachtwoorden vrij eenvoudig online vinden.
"Een van de grootste problemen is dat mensen wachtwoorden gebruiken die al zijn uitgelekt", zegt een van de initiatiefnemers van de site, beveiligingsonderzoeker Rickey Gevers. "Op onze site kunnen mensen zien welke van hun wachtwoorden al zijn uitgelekt."
Op dit moment zijn er al uitgelekte wachtwoorden van 2,1 miljard e-mailaccounts te vinden in de database. Nog een kwart miljard versleutelde wachtwoorden staan in de rij om nog te worden gekraakt.
Je kunt niet zomaar iemands wachtwoord bekijken, om misbruik te voorkomen. Pas nadat je je e-mailadres hebt ingevuld en hebt bevestigd dat het jouw e-mailadres is - door op een linkje in een mail te klikken - krijg je wachtwoorden te zien.
Het is belangrijk om te weten welke wachtwoorden van jou op internet rondzwerven
"Het is belangrijk om te weten welke wachtwoorden van jou op internet rondzwerven, zodat je weet dat je die niet meer moet gebruiken", zegt Gevers. Controleren welke wachtwoorden zijn uitgelekt, is gratis; bedrijven die hun complete medewerkersbestand door de scanner willen halen, moeten wel betalen.
De website doet denken aan Have I Been Pwned, een website van een Australische beveiligingsonderzoeker waar je kunt zien welke van jouw accounts zijn gehackt. Maar Scattered Secrets gaat een stapje verder, en toont ook de letterlijke wachtwoorden. Zo weet je welke wachtwoorden je in ieder geval nergens meer moet gebruiken, is de gedachte.
Kraken
Dat die lekken zo eenvoudig te vinden zijn, is niet alleen nuttig voor kwaadwillenden, maar ook nuttig voor onderzoekers als Gevers en zijn mede-initiatiefnemer Jeroen van Beek. Zij worden ingehuurd door bedrijven om te onderzoeken of het mogelijk is om in te breken. Dat is immers de beste test voor de beveiliging van een bedrijf of overheidsinstantie.
"Vaak gebruiken we daarbij oudere datalekken om te kijken of mensen hun wachtwoorden hergebruiken en of we daarmee binnen kunnen komen", zegt mede-initatiefnemer Jeroen van Beek. Maar het gaat om grote hoeveelheden data; doorzoeken kan dus lang duren. "En dan vind je na een paar minuten een versleuteld wachtwoord dat nog moet worden gekraakt, en dat kan ook weer een paar dagen of weken duren", zegt Van Beek.
Dus besloten de onderzoekers het serieuzer aan te pakken en zoveel mogelijk wachtwoorden preventief te kraken en die goed doorzoekbaar te maken, zodat ze tijdens het doen van een beveiligingsonderzoek sneller te werk konden gaan. Die wachtwoorden stopten ze in een database. "Later dachten we dat ook het grote publiek er wel wat aan zouden hebben", zegt Van Beek.
Wachtwoorden kraken is altijd al mijn hobby geweest
Het kraken was geen sinecure: er moest dure apparatuur voor worden aangeschaft. "We hebben krachtige computers gekocht van zo'n 45 kilo per stuk, die continu staan te kraken op gelekte wachtwoorden. Als je die nieuw koopt, kost dat je tienduizenden euro's", zegt Van Beek. Ondanks de rekening beleefde hij naar eigen zeggen wel lol aan het project: "Wachtwoorden kraken is altijd al mijn hobby geweest."
Privacy
Mag dat zomaar, wachtwoorden van miljarden internetgebruikers in een database stoppen en doorzoekbaar maken? "Het gaat ook om het doel dat je er mee hebt", zegt ict-advocaat Ot van Daalen, die de twee onderzoekers bijstond. "Als je doel is om een misdrijf te plegen, dan ben je al snel strafbaar."
Maar in dit geval is het doel juist om mensen veiliger te maken, redeneert Van Daalen. "En die wachtwoorden zwerven toch al rond op internet."