Niemand wil dat de beveiliging van zijn online gegevens in gevaar komt. Helaas zijn spraakmakende datalekken bij grote en gerenommeerde bedrijven niet ongebruikelijk. Deze lekken kunnen de veiligheid in gevaar brengen van uw e-mailadressen en alle andere informatie die u heeft opgeslagen. Sommige klanten hebben hun SuperSaaS-account jaren geleden aangemaakt en gebruiken nog steeds hetzelfde wachtwoord op SuperSaaS als op een andere website. Er zijn twee manieren waarop wij ons proberen te verdedigen tegen hackers die lijsten met gehackte wachtwoorden willen gebruiken om toegang te krijgen.
We voorkomen het massaal uitproberen van wachtwoorden, maar dat biedt geen volledige bescherming
Allereerst hebben we een systeem opgezet om iedereen tegen te houden die in één keer een groot aantal wachtwoorden uitprobeert. Die IP-adressen worden automatisch geblokkeerd en onze monitoringsoftware waarschuwt ons. Dit type monitoring is echter niet volledig effectief, omdat hackers veel IP-adressen kunnen inzetten en vanaf elk daarvan een paar wachtwoorden kunnen uitproberen.
We controleren of uw wachtwoord voorkomt op een lijst met gelekte wachtwoorden
Als tweede verdedigingslinie nemen we de lijsten met gecompromitteerde accounts die online beschikbaar zijn bij beveiligingsonderzoeksbureaus en controleren of een van onze klanten erop voorkomt. Op de site have i been pwned? kunt u controleren of uw account op de lijst staat. Als we een overeenkomend wachtwoord vinden, controleren we of het bijbehorende e-mailadres ook op die lijst staat, en als beide voorkomen, resetten we het wachtwoord.
We kunnen uw wachtwoord controleren zonder daadwerkelijk te weten wat het is
Het is belangrijk om op te merken dat we uw wachtwoord niet naar iemand anders hoeven te sturen voor deze verificatie; in feite verlaat uw wachtwoord onze servers nooit. In plaats daarvan gebruiken we een wiskundige vingerafdruk van uw wachtwoord, een zogenaamde cryptografische hash, en controleren we of die hash op de lijst voorkomt. De vingerafdrukken worden veilig bewaard op een aparte lijst die ons kantoor niet verlaat; hoewel de vingerafdrukken op zichzelf onschadelijk zijn, want ze kunnen niet worden teruggerekend tot een wachtwoord. Op deze manier hoeft niemand de daadwerkelijke wachtwoorden te verwerken en weten we zelfs niet welk wachtwoord u heeft gebruikt als we een match op de lijst vinden. Het enige wat we dan weten, is dat het op een lijst met gelekte wachtwoorden staat en dat het belangrijk is om het te resetten.
We resetten de wachtwoorden die we op de lijst aantreffen
Als de hash van uw wachtwoord daadwerkelijk wordt gevonden op de lijst met gehashte wachtwoorden, verwijderen we uw wachtwoord uit voorzorg. De volgende keer dat u probeert in te loggen, wordt u doorgestuurd naar het scherm “wachtwoord vergeten”, zodat u uzelf een resetlink kunt e-mailen.
Voor de duidelijkheid: dit betekent niet dat uw account is gecompromitteerd. Het betekent alleen dat we uw wachtwoord uit voorzorg hebben gereset om te voorkomen dat het in de toekomst wordt gecompromitteerd. We vinden dat het ongemak van een gewist wachtwoord opweegt tegen het enorme probleem dat een gehackt account zou opleveren. U mag altijd contact met ons op te nemen als u vragen heeft over dit proces.
Dit testproces wordt met regelmatige tussenpozen herhaald, bijvoorbeeld wanneer zich opnieuw een groot datalek voordoet en er nieuwe lijsten online verschijnen. We praten zelden over onze beveiliging, want zolang we ons werk goed doen, valt er weinig te communiceren. Dit is een van de weinige zichtbare manieren waarop we proberen u een veilige ervaring te bieden bij het gebruik van SuperSaaS. U kunt erop vertrouwen dat wij als team elke dag achter de schermen hard werken aan cybersecurity.
Oorspronkelijk gepubliceerd in februari 2019.