logo-bns-app.png



« Home, sweet home: namen of nummers? | Index | Weg met push, leve pull »

March 25, 1998, by Léon Krijnen

Passwords, van aapmens tot zulthoofd   

Het was een weekje van hackers die de publiciteit zochten en vonden. Een club slaagde er kennelijk in om bezoekers van de Rabobank op slinkse wijze naar een eigen domein te loodsen, alwaar hun rekeningnummers en/of toegangscodes ingepikt werden. Andere grappenmakers in cyberspace kraakten de site van Albert Heijn, en transporteerden argeloze bezoekers, heel ludiek, verder naar de site van de goedkopere concurrent Edah.

Hackers die de publiciteit zoeken, die vormen geen probleem, lijkt mij. Die zijn erop uit om de zwakke plekken in de beveiliging van een site te vinden, en als ze erin slagen om een slot open te krijgen dan willen ze het weten ook. 'Kijk mij nou', roepen ze dan luidkeels, waarna ze gevleid willen worden door de rest van de wereld die niet snapt waar het om gaat, en liefst ook door het beheer van de site dat ze voor rampen behoed hebben.

Ik kan me de lol van die liefhebberij levendig voorstellen, en zolang er geen misbruik van gemaakt wordt en het systeembeheer in kwestie tegelijkertijd, of, nog beter, kort voor de bekendmaking op het gat gewezen wordt, dan mogen ze van mij. Overigens viel me de volwassen reactie van de Rabo-woordvoerder op. Weliswaar ging hij niet zover om de hackers publiekelijk voor de door hen bewezen diensten te danken, maar hij zei de aanwijzingen zeer serieus te nemen, en dat er alle aandacht aan geschonken zou worden.

Of zoiets. Dat klinkt in ieder geval een stuk handiger dan die provider wiens bestanden gekraakt werden en die in zeer venijnige bewoordingen alles ontkende. Wat alleen maar om meer moeilijkheden vragen bleek, temeer daar hij wel zeker gekraakt bleek te zijn.

Ik moet bekennen dat ik te weinig van de beveiliging van computersystemen weet om mezelf een oordeel over de Rabo-kraak aan te kunnen matigen. Als ik het zo lees dan werden de bezoekers naar een kopie van de Rabo-site geloodst.

'Hmmmm, denk ik dan,' maar dan zie je toch ook een ander adres in het venster van je browser?' Net zoiets als dat een handige oplichter een pandje zou huren, daar een lichtbak van de Rabo boven de voordeur zou hangen, en vervolgens maar gaan zitten wachten op buurtbewoners die hun aow in komen leveren, blij dat ze niet meer zo ver hoeven te lopen.

Er schijnen spinnensoorten te zijn die ongeveer hetzelfde uithalen. Maken een mooie voordeur naast het nest van wat ze het liefste eten en zitten de rest van hun leven doodgemoedereerd te wachten op de dagelijkse onnozelaar die de verkeerde deur inloopt.

Maar verder realiseer ik me dat ik het daarmee allemaal te simpel voorstel en dat er een gedegen kennis van systemen bij komt kijken om uit te halen wat uitgehaald is bij Albert Heijn en de Rabobank. Of verzwijgen de hackers in kwestie misschien dat ze het alweer gelapt hebben op de manier waarop het misschien wel negen van de tien keer gaat?

Slordigheid dus, met het laten slingeren van passwords en toegangscodes. Ik heb makkelijk praten want ik onthoud ze gemakkelijk, dus ik heb nog nooit een user-id en/of password op hoeven te schrijven. Ik zeg er maar gelijk bij, en dat schijnt mettertijd vanzelf te komen, dat als dat binnenkort wel nodig mocht zijn, ik ze in ieder geval niet aan de onderkant van mijn toetsenbord zou plakken, zoals voor schijnt te komen. En ieder geval nooit voor de hand liggende codes zou kiezen.

Ik vind het iedere keer weer verbazingwekkend wat mensen voor codes durven te kiezen. Je zal ze de kost moeten geven die nog steeds geboortedata of voornamen van vrouw-, kind- of hondlief, of hun eigen bijnaam als inlognaam of password gebruiken. Ik houd mijn e-mail passwords simpel, omdat ik er een goede gewoonte van gemaakt heb om geen enkele computer, en ik gebruik er een paar door elkaar, toesta om mijn password te onthouden. Dus moet ik dat password een aantal keren per dag intikken, en dan is het wat gemakkelijker als het een string is die gemakkelijk wegtikt.

Iets anders zijn de passwords die ik gebruik voor de dingen die wat meer beveiliging nodig hebben zoals de FTP-servers waarover de productie van BN/DeStem Online zich afspeelt. Die passwords zouden niet misstaan in het taalgebruik van Kapitein Haddock als Bianca Castafiore in de buurt omt. Zoiets als #6@Ss$!. Staat in geen enkel woordenboek.

Vanmorgen nog maar eens even aangelogd bij Hotmail om mijn gelijk te testen. Hotmail is een van die florerende diensten waar iedereen een gratis e-mail-adres kan inrichten. Wat je ervoor betaalt is dat je altijd een beetje reclame op de koop toe moet nemen als je je postvakkie leegt.

Als je jezelf aanmeldt als nieuw lid van HotMail, word je om te beginnen om je voor- en achternaam gevraagd, waarna het systeem je als eerste keuze een aantal combinaties van voorletter en achternaam, en andersom, presenteert. Als je daar een keuze uit gemaakt hebt, word je om het password gevraagd, waarvan je in het vervolg gebruik van zal blijven maken, tot je het zelf weer verandert.

Van drie mensen wist ik dat die gebruik maken van een Hotmail account. Eens even proberen. De eerste geprobeerd op voorletter achternaam, aan elkaar, en als password de bijnaam waarmee-ie heel vaak aangesproken wordt. Raak! Bij nummer twee was het na twee keer proberen kassa, want die gebruikte in plaats van de voorletter-achternaam de voornaam-eerste letter achternaam-combinatie en als password gewoon zijn voornaam. Bij nummer drie kwam ik er na twintig pogingen nog niet achter, maar ik weet dan ook niet hoe zijn hond heet. Dat moet ik hem nog eens vragen.

De moraal van het verhaal? Als u een goed password zoekt, pak dan een oud boek van Kuifje, en blader dat door tot Kapitein Haddock een woede-aanval krijgt. Dat kan nooit lang duren, zeker niet als u De Zaak Zonnebloem neemt, en Slagerij van Kampen weer eens aan de verkeerde lijn hangt. 'Honderdduizend bommen en granaten' zou ik persoonlijk niet als password nemen, maar in de door de censuur gehaalde woede-uitingen van de bebaarde kapitien zijn genoeg kortere en passende te vinden.

Posted: March 25, 1998 09:58 AM (1011 words).   

Comment over here or on my Facebook wall . . .