Gisteren kreeg ik een mail waar ik in eerste instantie van schrok. Beter gezegd, ik werd weer met mijn neus op de feiten gedrukt. Afzender van de mail is ene William Drager met email adres agphavenurs[AT]outlook.com en bevat niets meer en minder dan een dreigement om allerlei zaken van mij publiek te maken als ik niet binnen 24 uur 2000 USD aan bitcoins zou overmaken. Wat hij allemaal van mij publiek zou maken was voor het overgrote deel onzin.

Wat mij wel direct verontrustte was dat in de mail melding werd gemaakt van een door mijn inderdaad in het verleden gebruikt wachtwoord. Dat was nieuw voor mij. Hoe kon deze man weten wat een eerder gebruikt wachtwoord van mij was? Overigens deed ik direct wat ik altijd doe bij mails als deze: aangifte bij de politie (kan online) en de mail als bijlage doorsturen naar de fraudehelpdesk.
Met dank aan mijn collegae van Aranea bij wie ik altijd advies kan vragen als het gaat om dit soort zaken en die daar veel meer kennis van hebben dan ik kon ik mijn angst die ik toch enigszins voelde snel achter mij laten.

In het verleden zijn bij een aantal (grote) (social media) sites de gebruikersgegevens gelekt dan wel gehackt. De lek van LinkedIn in 2012 is daarbij o.a. groot in het nieuws gekomen. Maar ook de gebruikersgegevens van het veel gebruikte DropBox kwamen in 2016, na de hack van 2012 op straat te liggen.
Deze enorme hoeveelheid aan data met o.a. inlognamen, emailadressen en wachtwoorden zijn opgeslagen op wat mij kennen als het “darkweb”. De krochten van het Internet en de plek waar alles wat illegaal is op het Internet zich afspeelt.

Deze data is op het Internet opgeslagen bekend onder de naam “Collection No 1”. Deze verzameling met bijna 800 miljoen e-mailadressen en 21 miljoen unieke wachtwoorden geeft informatie over 2,7 biljoen combinaties en deze komen uit meer dan 2000 datahacks van voor januari 2019 toen deze dataset “ontdekt” werd. Niet veel later werden andere sets ontdekt die Collection 2 t/m 5 gingen heten. Via de site haveibeenpwned.com kwam ik er achter dat mijn emailadres en wachtwoord combinatie 8x in deze datasets te vinden was.

De hacks die werden genoemd waarin mijn e-mailadres en wachtwoord zitten dateren allemaal van meer dan 4 jaar geleden maar het wijzigen van de wachtwoorden is en blijft uiteraard belangrijk. Vooral het wijzigen van wachtwoorden van andere omgevingen die je gebruikt en waarvoor hetzelfde wachtwoord is gebruikt is belangrijker. Zeker als het omgevingen gaat waar de criminelen die hier achter zitten een groot belang bij hebben, denk hierbij aan je bankgegevens.

De mail was voor mij weer een signaal om nog eens goed na te denken over hoe ik met mijn wachtwoorden om ga en vooral om moet gaan. Enkele tips die wellicht een open deur zijn maar toch goed om die nog eens langs te lopen:

• Gebruik voor verschillende omgevingen een verschillend wachtwoord. Verzin een list hoe je die gaat onthouden;
• Maak gebruik van een sterk wachtwoord: minimaal 8 karakters en een combinatie van hoofd- en kleine letters, cijfers en leestekens.
• Maak bijv. gebruik van een password generator om deze te genereren, sla deze dan op in een password safe, dan kan een beveiligd document of Excel-sheet zijn;
• Worden het er teveel maak dan gebruik een tool die veilig wachtwoorden versleuteld op slaat met 1 master password. Ik maak gebruik van KeePass Safe. Vanuit deze app kan ik beveiligde websites in met de meest ingewikkelde wachtwoorden zonder deze zelf te hoeven onthouden;
• Verander zeer regelmatig je wachtwoorden al zullen veel omgevingen je ook dwingen dat te doen.

Op deze manier ben je net even iets veiliger op het Internet.

Photo by Jason Dent on Unsplash