Zeker 500 wachtwoorden van HvA’ers liggen op straat
In elk geval vijfhonderd wachtwoorden van HvA-accounts liggen op straat. Dat blijkt uit een eerste zoekactie op de website gotcha.pw, een zoekmachine met 1,4 miljard wachtwoorden die ooit gehackt zijn.
De e-mailadressen en wachtwoorden zijn te vinden als je de domeinnaam ‘@hva.nl’ invult als zoekopdracht. De zoekmachine toont dan accounts waarvan de wachtwoorden ooit zijn gestolen door hackers. De website toont niet het gehele e-mailadres en alleen de eerste twee letters van de wachtwoorden.
De website is gepubliceerd door een programmeur die zichzelf D0gberry noemt. Hij wil dat mensen zich bewust worden van het feit dat er misbruik kan worden gemaakt van hun wachtwoorden. Veel mensen gebruiken hetzelfde wachtwoord voor verschillende accounts op internet. Adressen en wachtwoorden van zo’n 1,4 miljard gehackte accounts zwerven over het internet, aldus de programmeur.
(De tekst loopt verder onder de video.)
De HvA heeft naar aanleiding van de website een onderzoek gedaan en zegt dat het om oude accounts gaat. Die zijn buitgemaakt bij hacks bij Dropbox en Linkedin in 2012, meldt een woordvoerder. Op dit moment wordt bekeken of er ook actieve HvA-accounts in de lijst op gotcha.pw voorkomen. ‘Als blijkt dat er ook actieve adressen in de database staan, zal met de gebruikers van die adressen contact worden gezocht om ze te vragen het wachtwoord te wijzigen,’ zegt de HvA in een reactie.
Jaarlijks veranderen
De hogeschool raadt studenten en medewerkers aan om hun wachtwoord voor MijnHvA en hun e-mail jaarlijks te veranderen. Daarnaast is het advies om een wachtwoord niet voor meerdere internetaccounts te gebruiken.
Er loopt sinds enkele maanden een pilot op de hogeschool waarin het verplicht wordt om wachtwoorden jaarlijks te wijzigen. Binnenkort wordt die pilot tussentijds geëvalueerd, maar facilitair coördinator Mark van der Horst laat weten tevreden te zijn over de eerste resultaten. ‘Het is straks de bedoeling dat je account zelfs wordt geblokkeerd als je je wachtwoord niet op tijd verandert,’ zegt Van der Horst.
Op privacygevoelige afdelingen, zoals de ICT-afdeling en servicepunten voor studenten wordt gewerkt met een zogenoemde tweestapsverificatie met scans van een vingerafdruk. Van der Horst: ‘Dat is natuurlijk reteveilig.’