Ernstig lek in OpenSSL

Of het lek echt misbruikt is, is nog maar de vraag. Consumenten kunnen zich maar op één manier wapenen tegen dergelijke beveiligingsproblemen: gebruik goede, vooral unieke wachtwoorden en wijzig die regelmatig.

Veel kleine en grote websites (ook Google, Facebook, DropBox ) maakten gebruiken van de versie van OpenSSL die kwetsbaar is, inclusief de extensie (uitbreiding) die het sinds de introductie in 2012 kwetsbaar maakt: Heartbeat (vandaar de naam van het lek: Heartbleed). Het risico bestaat er - onder andere - uit dat wachtwoorden van internetgebruikers zijn gestolen.

Het lek is inmiddels bij de meeste websites wel gedicht. Maar in veel internet-hardware in huis (routers, netwerkschijven) zit het lek nog altijd, omdat die vaak niet automatisch wordt ge-update met een 'patch', als die er al is. Het advies bij deze hardware is om in ieder geval de beheermogelijkheden op afstand uit te schakelen.

Advies: meer aandacht voor wachtwoorden 

Wat kunnen internetgebruikers doen? Eigenlijk wat ze standaard al moeten doen: goede, vooral unieke wachtwoorden bedenken (uniek per gebruikersaccount). Want als één website gehackt is, wil je niet dat het daar gevonden wachtwoord ook toegang geeft tot andere websites. Het is in het algemeen raadzaam de wachtwoorden van belangrijke webdiensten (webmail, bankieren) wat vaker te veranderen (bijvoorbeeld 1 x per maand). Bij Heartbleed bleek immers de beveiliging van webmaildiensten Gmail en Yahoo kwetsbaar.

Wachtwoord-managers

Met al die webdiensten is het bijna niet te doen om al die verschillende wachtwoorden te onthouden. Gelukkig zijn er wachtwoordmanagers die dat werk voor je uit handen nemen door al je wachtwoorden en wachtzinnen voor jou te onthouden. De bekendste zijn KeePass, dat je op de pc installeert, zie onze workshop over Keepass, en LastPass en 1Pass die in je browser werken, maar ook op je smartphone en tablet.