Passwords, van aapmens tot zulthoofd
Het was een weekje van hackers die de publiciteit zochten en vonden. Een
club slaagde er kennelijk in om bezoekers van de Rabobank op slinkse wijze naar
een eigen domein te loodsen, alwaar hun rekeningnummers en/of toegangscodes
ingepikt werden. Andere grappenmakers in cyberspace kraakten de site van Albert
Heijn, en transporteerden argeloze bezoekers, heel ludiek, verder naar de site
van de goedkopere concurrent Edah.
Hackers die de publiciteit zoeken, die vormen geen probleem, lijkt mij. Die
zijn erop uit om de zwakke plekken in de beveiliging van een site te vinden, en
als ze erin slagen om een slot open te krijgen dan willen ze het weten ook.
'Kijk mij nou', roepen ze dan luidkeels, waarna ze gevleid willen worden door
de rest van de wereld die niet snapt waar het om gaat, en liefst ook door het
beheer van de site dat ze voor rampen behoed hebben.
Ik kan me de lol van die liefhebberij levendig voorstellen, en
zolang er
geen misbruik van gemaakt wordt en het systeembeheer in kwestie tegelijkertijd,
of, nog beter, kort voor de bekendmaking op het gat gewezen wordt, dan mogen ze
van mij. Overigens viel me de volwassen reactie van de Rabo-woordvoerder op.
Weliswaar ging hij niet zover om de hackers publiekelijk voor de door hen
bewezen diensten te danken, maar hij zei de aanwijzingen zeer serieus te nemen,
en dat er alle aandacht aan geschonken zou worden.
Of zoiets. Dat klinkt in ieder geval een stuk handiger dan die
provider
wiens bestanden gekraakt werden en die in zeer venijnige bewoordingen alles
ontkende. Wat alleen maar om meer moeilijkheden vragen bleek, temeer daar hij
wel zeker gekraakt bleek te zijn.
Ik moet bekennen dat ik te weinig van de beveiliging van computersystemen
weet om mezelf een oordeel over de Rabo-kraak aan te kunnen matigen. Als ik het
zo lees dan werden de bezoekers naar een kopie van de Rabo-site geloodst.
'Hmmmm, denk ik dan,' maar dan zie je toch
ook een ander adres in het
venster van je browser?' Net zoiets als dat een handige oplichter een pandje
zou huren, daar een lichtbak van de Rabo boven de voordeur zou hangen, en
vervolgens maar gaan zitten wachten op buurtbewoners die hun aow in komen
leveren, blij dat ze niet meer zo ver hoeven te lopen.
Er schijnen spinnensoorten te zijn die ongeveer hetzelfde
uithalen. Maken
een mooie voordeur naast het nest van wat ze het liefste eten en zitten de rest
van hun leven doodgemoedereerd te wachten op de dagelijkse onnozelaar die de
verkeerde deur inloopt.
Maar verder realiseer ik me dat ik het daarmee allemaal te simpel voorstel
en dat er een gedegen kennis van systemen bij komt kijken om uit te halen wat
uitgehaald is bij Albert Heijn en de Rabobank. Of verzwijgen de hackers in
kwestie misschien dat ze het alweer gelapt hebben op de manier waarop het
misschien wel negen van de tien keer gaat?
Slordigheid dus, met het laten slingeren van passwords en toegangscodes. Ik
heb makkelijk praten want ik onthoud ze gemakkelijk, dus ik heb nog nooit een
user-id en/of password op hoeven te schrijven. Ik zeg er maar gelijk bij, en
dat schijnt mettertijd vanzelf te komen, dat als dat binnenkort wel nodig mocht
zijn, ik ze in ieder geval niet aan de onderkant van mijn toetsenbord zou
plakken, zoals voor schijnt te komen. En ieder geval nooit voor de hand
liggende codes zou kiezen.
Ik vind het iedere keer weer verbazingwekkend wat mensen voor codes durven
te kiezen. Je zal ze de kost moeten geven die nog steeds geboortedata of
voornamen van vrouw-, kind- of hondlief, of hun eigen bijnaam als inlognaam of
password gebruiken. Ik houd mijn e-mail passwords simpel, omdat ik er een goede
gewoonte van gemaakt heb om geen enkele computer, en ik gebruik er een paar
door elkaar, toesta om mijn password te onthouden. Dus moet ik dat password een
aantal keren per dag intikken, en dan is het wat gemakkelijker als het een
string is die gemakkelijk wegtikt.
Iets anders zijn de passwords die ik gebruik voor de dingen die wat meer
beveiliging nodig hebben zoals de FTP-servers waarover de productie van
BN/DeStem Online zich afspeelt. Die passwords zouden niet misstaan in het
taalgebruik van Kapitein Haddock als Bianca Castafiore in de buurt omt. Zoiets
als #6@Ss$!. Staat in geen enkel woordenboek.
Vanmorgen nog maar eens even aangelogd bij Hotmail om mijn gelijk te
testen.
Hotmail is een van die florerende diensten waar iedereen een gratis
e-mail-adres kan inrichten. Wat je ervoor betaalt is dat je altijd een beetje
reclame op de koop toe moet nemen als je je postvakkie leegt.
Als je jezelf aanmeldt als nieuw lid van HotMail, word je
om te beginnen om
je voor- en achternaam gevraagd, waarna het systeem je als eerste keuze een
aantal combinaties van voorletter en achternaam, en andersom, presenteert. Als
je daar een keuze uit gemaakt hebt, word je om het password gevraagd, waarvan
je in het vervolg gebruik van zal blijven maken, tot je het zelf weer
verandert.
Van drie mensen wist ik dat die gebruik maken van een Hotmail account. Eens
even proberen. De eerste geprobeerd op voorletter achternaam, aan elkaar, en
als password de bijnaam waarmee-ie heel vaak aangesproken wordt. Raak! Bij
nummer twee was het na twee keer proberen kassa, want die gebruikte in plaats
van de voorletter-achternaam de voornaam-eerste letter achternaam-combinatie en
als password gewoon zijn voornaam. Bij nummer drie kwam ik er na twintig
pogingen nog niet achter, maar ik weet dan ook niet hoe zijn hond heet. Dat
moet ik hem nog eens vragen.
De moraal van het verhaal? Als u een goed password zoekt, pak dan een oud
boek van Kuifje, en blader dat door tot Kapitein Haddock een woede-aanval
krijgt. Dat kan nooit lang duren, zeker niet als u De Zaak Zonnebloem neemt, en
Slagerij van Kampen weer eens aan de verkeerde lijn hangt. 'Honderdduizend
bommen en granaten' zou ik persoonlijk niet als password nemen, maar in de door
de censuur gehaalde woede-uitingen van de bebaarde kapitien zijn genoeg kortere
en passende te vinden.
© KC 2005
Publishing Platform: Movable Type 3.121
Type Key Profile
Photo Albums: ImageFolio 3.1 Pro
Host: Verio
OS: HP-UX 11i
Webserver: Rapidsite/Apache 1.3.33
Perl: 5.8.6
CGI: CGI/1.1
Database: MySQL 4.0.24-
PHP MyAdmin: 2.6.0-pl3
Syndicate: RSS 1.0
Syndicate: RSS 2.0
Bloglines: Subscription
Spam: Poison
Comment Spam: Captcha!
Creative Commons License
Check Unix Time
Desktop Clock
Check the Color Picker
|