Gotcha.pw? Wat is dat?

De populaire media berichtten de voorbije dagen uitvoerig over de nieuwe website gotcha.pw.

Waar gaat het over?

In de voorbije maanden en jaren werden grote websites zoals LinkedIN, DropBox, Yahoo, Steam … gehackt.  Of om heel concreet te zijn, hackers zijn erin geslaagd om de databank met gebruikers én hun wachtwoord te bemachtigen. Misschien denk je “Ik lig niet zo wakker van mijn LinkedIN profiel” maar … gebruik je toevallig niet hetzelfde wachtwoord voor bv. LinkedIN én je mailbox?

Of misschien denk je “Welke hacker heeft nu interesse in mijn accounts?“. Die (gestolen) lijsten met gebruikersnamen en wachtwoorden zijn (mits een beetje zoekwerk op de juiste plek) makkelijk en gratis te downloaden. Je ict-vaardige buurman met wie je ruzie hebt over de overhangende azaleaplanten kan dus vrij makkelijk op zoek gaan naar je wachtwoorden én daar misbruik van maken.

Nu denk je misschien “Oei oei, ben ik erbij?”. Om daar een antwoord op te geven publiceerde een geëngageerde IT’er die lijsten in de vorm van een zoekmachine nl. Gotcha.pw.  Je tikt je e-mailadres in én je ziet onmiddellijk of je naam op één van die lijsten voorkomt. Om je te overtuigen dat het echt is toont de zoekmachine ook de eerste twee karakters van je wachtwoord.  Weet dat je volledige wachtwoord gekend is maar dat de maker van deze zoekmachine deze informatie dus bewust niet toont.

En dan zijn er natuurlijk twee mogelijkheden.

Optie 1: Oh nee! Ik ben erbij! Kalmte en een beetje goede raad zullen je redden :).  Wijzig het wachtwoord van je e-mailaccount(s), je Facebook-account, je Twitter-account, je smartschool-account, je Office365-account … en dan ben je weer veilig. Tot ze ergens opnieuw een grote website hacken, want zo gaat dat met die grote websites.

Om wat langer te kunnen genieten van de veiligheid doe je er goed aan om op elke website een achter wachtwoord te gebruiken. Als het wachtwoord van je LinkedIN-profiel dan gepubliceerd wordt dan zijn je Twitter-account, je mailbox, je smartschool-account nog steeds veilig. Om al je wachtwoorden bij te houden kan je gebruik maken van een wachtwoord-manager zoals https://www.lastpass.com/nlhttps://1password.com/ of https://www.dashlane.com/.

Maar nog beter is gebruik maken van 2-factor authentication. Het principe is dat je belangrijke accounts, zoals je e-mailaccount, beveiligt met een tweede vorm van authenticatie. Nadat je het juiste wachtwoord hebt ingetikt vraagt het systeem dan naar een extra code / wachtwoord. Die extra code of wachtwoord (die elke keer anders is) krijg je op je smartphone in de vorm van een SMSje of via een app die je eerder hebt geïnstalleerd. Dat is zo goed als altijd gratis! Ik schreef er enkele jaren geleden al enkele blogposts over.

Optie 2: Gelukkig! Ik ben er niet bij! Fijn! Maar wie weet sta je er morgen wel bij. Het is een goed idee om de tips te lezen bij Optie 1. 😀

Tot slot … vanwaar komt nu al die media-aandacht? De zoekmachine Gotcha.pw is nieuw sinds enkele dagen. De lijsten met gebruikersnamen en wachtwoorden zijn dat helaas niet, die cirkelen al maanden of misschien zelfs jaren rond. De zoekmachine Have I Been Pawned bestaat al vele maanden en heeft net hetzelfde doel als Gotcha.pw.  Omwille van de gebruiksvriendelijkheid én de nabijheid (project van een Nederlander) van Gotcha.pw haalt deze website nu veel media-aandacht. (Wat ik een goede zaak vind).

Heb je vragen over deze blogpost? Problemen om je wachtwoorden te wijzigen of two-factor authentication te configureren? Interesse in een lezing over dit onderwerp? Contacteer mij!