Leerlingen die je wachtwoord hacken, het gebeurt. Hoe voorkom je dit?

Geschreven door Thijs Kupers, Software Engineer bij Somtoday.

Let op: je Somtoday wachtwoord is (misschien) gehackt!

Je Somtoday wachtwoord gehackt, dat kan gebeuren. Maar iedereen (ik ook) denkt bij zichzelf: dat zou mij nooit overkomen, dat gebeurt alleen als je heel slordig bent en bijvoorbeeld je wachtwoord op een briefje schrijft, of per ongeluk op het digibord het wachtwoord in het verkeerde veld invult. Het kan niet altijd voorkomen worden, maar gelukkig bieden soft-tokens hierbij een oplossing.

Dit kan iedereen overkomen! Een slimme methode die leerlingen kunnen gebruiken wordt gedemonstreerd in onderstaand filmpje:

 

De docent logt in in Somtoday en zonder dat hij het door heeft wordt hij door een leerling gefilmd. Vervolgens kijkt de leerling thuis het filmpje in slowmotion terug en kan hij precies zien welke toetsen de docent op het toetsenbord gebruikt om in te loggen. Als je in een winkel pint, dan scherm je je pincode af met je hand, maar met je toetsenbord gaat dat wat lastiger.

Voorkomen

Het op deze manier afkijken (het is niet echt hacken, het is meer afkijken) van het wachtwoord is moeilijk te voorkomen. Ja `maar bij mij mogen ze hun mobiel niet in de les gebruiken hoor ik je denken. Maar wellicht heeft de leerling een klein cameraatje in zijn borstzakje verstopt? Of wellicht komen 2 leerlingen je wat vragen in een tussenuur? Of via schadelijke software via een USB-stick of bijlage kan je wachtwoord eenvoudig afgekeken worden, zoals vorig jaar bij 3Lab op NPO 3 te zien was.

Hoe goed je ook oplet, het is dus niet helemaal te voorkomen dat je wachtwoord door kwaadwillenden achterhaald wordt. Maar hoe kun je voorkomen dat iemand meer dan een jaar lang in kan loggen zonder dat je het doorhebt? Je kan natuurlijk om de zoveel tijd je wachtwoord wijzigen. Als iemand dan je wachtwoord heeft weten te ontfutselen kan hij na het wijzigen van het wachtwoord niet meer inloggen. Maar er is een betere manier om je account te beveiligen.

Two-factor authenticatie

Met two-factor authenticatie (ook wel 2FA genoemd) gebruik je naast je wachtwoord ook nog een andere code om in te loggen. Deze code is elke keer anders. Denk hierbij aan TAN-codes of random-readers (apparaatje waar je je pinpas in doet en wat een getal genereert) voor het internetbankieren. Deze apparaatjes worden tokens genoemd. Mocht iemand je wachtwoord in handen krijgen, dan kan hij nog steeds niet inloggen, want hij heeft geen toegang tot je token. Ook met Somtoday is het mogelijk een token te koppelen aan je wachtwoord. Dit kan met een apparaatje (net als een random-reader, in dit geval een VASCO-token of een ENTRUST-token), maar ook met je smartphone. Dit noemen we dan een soft-token. Met zo’n soft-token log je niet alleen in met je wachtwoord maar ook met de code die door je telefoon gegenereerd wordt. Zo weet je zeker dat niet iemand anders met jouw gegevens kan inloggen. Want ze kunnen wel je wachtwoord afkijken, je telefoon hebben ze niet in handen.

Dit gebruiken en koppelen van zo’n soft-token kan je helemaal zelf! Je installeert hiervoor een app op je smartphone die de code genereert. Een bekend voorbeeld van zo’n app is de Google Authenticator. Deze koppel je vervolgens aan je Somtoday account. Onder het tabblad Account staat een knop om je smartphone als soft-token te koppelen. Je krijgt daarna een QR-code te zien die je met je smartphone scant met bijvoorbeeld de Google Authenticator. Je telefoon genereert vervolgens een nummer die je in het scherm invult. Daarna is je telefoon gekoppeld aan je Somtoday account! Nadat je je telefoon gekoppeld hebt, heb je op je telefoon geen internet nodig om de in te voeren code te genereren. Dus zelfs als je ontvangst of wifi niet werkt, kan je je telefoon als soft-token nog gewoon gebruiken!

Voor optimale veiligheid maak je dus gebruik van two-factor authenticatie door middel van tokens of soft-tokens. Wil je meer weten over het gebruik van tokens of soft-tokens, probeer het eens uit, bekijk de handleiding of vraag je applicatiebeheerder om meer informatie.

Wil je meer weten over privacy? Meld je aan voor een webinar!

1.