Het gebruik van uw e-mailadres als gebruikersnaam is de standaard geworden. In veel gevallen vult u eenvoudig uw e-mailadres in en kiest u een wachtwoord. Bij sommige diensten is er helemaal geen wachtwoord meer nodig, waardoor u zich kunt registreren met alleen uw e-mailadres en een eenmalige code die ernaar is verzonden. Anderen bieden de mogelijkheid om uw account rechtstreeks aan uw account te koppelen Googlen of Apple-identiteit.
Terwijl we door verschillende diensten heen scrollen, winkelen, solliciteren en registreren, wordt ons e-mailadres stilletjes onze identiteit, van winkelplatforms tot bankieren en reizen. Na verloop van tijd gaan steeds meer van onze activiteiten terug naar één account.
Hoewel het allemaal handig lijkt, is er een probleem dat we vaak vergeten. Onze e-mail is niet alleen een toegangspunt. Het houdt stand gevoelige informatie over ons – zowel in wat we ontvangen als wat we verzenden – en het is verbonden met veel, zo niet de meeste, van de diensten die we gebruiken.
We vertrouwen erop dat we eenmalige codes ontvangen, acties bevestigen en wachtwoorden opnieuw instellen. Het is ook de plek waar we communiceren met accountants, bankiers, artsen en andere dienstverleners, maar ook voor persoonlijke communicatie.
Na verloop van tijd verandert onze e-mail in meer dan alleen maar een ander account. Het wordt een centraal toegangspunt, verbonden met meerdere delen van ons leven.
Uw e-mailadres is uw identiteit
Elke keer dat u uw e-mailadres gebruikt om u aan te melden bij een dienst, koppelt u er rechtstreeks een ander account aan. In de loop van de tijd raken steeds meer diensten gebonden aan diezelfde identiteit, en wordt uw e-mail de plaats die ze allemaal met elkaar verbindt.
Als gevolg hiervan beheert één e-mailaccount uiteindelijk de toegang tot veel verschillende accounts, voor services die niets met elkaar te maken hebben.
Als iemand toegang krijgt tot uw e-mail, kan hij of zij standaardstromen, wachtwoordresets, aanmeldingsbevestigingen en verificatie-e-mails gebruiken om toegang te krijgen tot die verbonden services.
Bovendien krijgen ze toegang tot een grote hoeveelheid persoonlijke informatie, waaronder medische dossiers, financiële gegevens, adressen, contacten en privécommunicatie. Een gerichte zoekopdracht kan patronen aan het licht brengen, gevoelige gegevens naar boven halen en zelfs helpen bij het identificeren van potentiële wachtwoorden of het bouwen van effectievere aanvalspaden.
De dreiging van een gecompromitteerde e-mail is reëel
Onlangs heeft iemand contact met ons opgenomen nadat de creditcardmaatschappij contact met ons had opgenomen over een frauduleuze afschrijving. Als cybersecurityconsultants assisteren wij vaak bij het onderzoeken van een breed scala aan cyberincidenten.
Dit is niet ongebruikelijk. Creditcardfraude komt voortdurend voor, of de kaart nu fysiek wordt gestolen of de gegevens online openbaar worden gemaakt.
Wat in dit geval opviel, was waar de aanklacht vandaan kwam.
De transactie was gekoppeld aan een stad waar ze ongeveer een jaar eerder hadden gewoond, voor een duur concertkaartje gekocht via een website die ze aanvankelijk niet herkenden. Nadat ze ernaar hadden gekeken, realiseerden ze zich dat ze die site al een keer eerder hadden gebruikt en dat ze hem vergeten waren.
Uiteindelijk ontdekten we dat ze daar eerder hadden ingelogd met hun e-mailadres en een eenmalige code, wat heel gebruikelijk is. Er is geen wachtwoord om te onthouden, geen account om te beheren, alleen een snelle login die direct tot een aankoop leidt.
Nadat we de activiteit aan die inlogmethode hadden gekoppeld, verschoof de focus naar hun e-mail. Als iemand toegang zou kunnen krijgen tot zijn e-mail (via een gecompromitteerd wachtwoord of door dit te omzeilen met behulp van standaard herstelprocessen), zou hij of zij een inlogcode kunnen aanvragen en toegang kunnen krijgen tot het account zonder dat hij verder iets nodig heeft. We vroegen of op hun e-mailaccount multifactor-authenticatie was ingeschakeld, maar ze waren niet bekend met het concept. Op dat moment ging het niet langer alleen om de creditcard.
Hun e-mail bevatte jarenlange informatie, eerdere adressen, financiële gegevens, diensten waarvan ze gebruik hadden gemaakt en voortdurende communicatie. Het was voldoende om hun activiteiten in kaart te brengen en aanvullende doelwitten te identificeren.
Het is ook zeer waarschijnlijk dat hun e-mailadres bij eerdere datalekken is verschenen. Dit is gebruikelijk en stelt aanvallers in staat een e-mailadres aan meerdere services te koppelen en hun inspanningen te concentreren.
Volg deze praktische tips om uw accounts veilig te houden.
Gebruik meervoudige authenticatie
Cybersecurity-professionals kunnen het belang van multifactor-authenticatie (MFA) niet genoeg benadrukken. Dit geldt in de eerste plaats voor uw e-mailaccount, maar daar mag het niet bij blijven. Voor elk account waarop u vertrouwt, vooral voor accounts die verband houden met financiële, persoonlijke of gevoelige informatie, moet dit zijn ingeschakeld.
Veel mensen aarzelen om MFA in te schakelen omdat ze hun telefoonnummer niet aan hun account willen koppelen. Dat is een terechte zorg.
De aanbevolen aanpak is om een authenticator-app te gebruiken, zoals Google Authenticator, Microsoft Authenticator of soortgelijke apps. Het genereert eenmalige codes op uw apparaat en is niet afhankelijk van uw telefoonnummer. Hoewel de installatie in eerste instantie misschien onbekend aanvoelt, is het een eenmalig proces en zijn er veel eenvoudige handleidingen die er stap voor stap doorheen lopen. Een eenvoudige zoekopdracht, zoals ‘hoe u een authenticator-app instelt’, leidt u door het proces en legt de logica erachter uit. Als u het één keer doet, kunt u het overal gemakkelijk toepassen.
Gebruik meerdere e-mailaccounts
Door overal hetzelfde e-mailadres te gebruiken, wordt alles één identiteit, ook al zijn de diensten die u gebruikt niet allemaal hetzelfde. Sommige diensten hebben echt gewicht, andere zijn minder duidelijk en sommige zijn eenvoudigweg wegwerpbaar.
De beste praktijk is om verschillende e-mailaccounts te gebruiken op basis van gevoeligheid, waarbij u uw eigen systeem creëert van welke e-mail u gebruikt, afhankelijk van de service.
Ongeacht hoe u dit wilt structureren, u moet multifactor-authenticatie voor alle accounts inschakelen.
Wees doelgericht met inloggen met één klik
Met opties als ‘Doorgaan met Google’ of ‘Doorgaan met Apple’ kunt u uw identiteit direct koppelen en het aanmaken van een account helemaal overslaan. Hoewel ze handig zijn, mogen ze niet de standaard voor elke service zijn.
Wanneer u deze opties gebruikt, logt u niet alleen in. U verleent de service toegang tot delen van uw account. Dat kunnen uw naam, e-mailadres, profielfoto en soms uw contacten of andere profielgegevens zijn. Sla het toestemmingsscherm niet over; Neem even de tijd om te bekijken welke informatie wordt gevraagd voordat u de verbinding goedkeurt.
Als u een bedrijf runt, overweeg dan om dit te doen
Voor bedrijfseigenaren raad ik ten zeerste aan om werknemers op te leiden om hun bedrijfsaccounts niet te gebruiken voor iets dat niets met hun werk te maken heeft. We hebben veel gevallen gezien waarin zakelijke e-mailadressen voorkomen in populaire gehackte databases. Medewerkers gebruiken ze vaak voor persoonlijke dienstverlening, waardoor uw bedrijfsdomein extra onder de aandacht kan worden gebracht.
Gebruik een wachtwoordbeheerder
Een wachtwoordbeheerder is een hulpmiddel dat wachtwoorden voor uw accounts opslaat en genereert. Het gebruik ervan helpt het registratieproces te vereenvoudigen. U hoeft geen unieke wachtwoorden te bedenken of deze te onthouden, terwijl u toch de best practices volgt om voor elk account een ander, sterk wachtwoord te gebruiken.
De meeste wachtwoordmanagers werken op dezelfde manier. U maakt één sterk hoofdwachtwoord en de tool slaat de rest voor u op. Wanneer u inlogt op een website, kan deze automatisch uw inloggegevens invullen of een nieuw sterk wachtwoord voorstellen wanneer u een account aanmaakt. De ingebouwde Wachtwoorden-app van Apple is een voorbeeld waar veel gebruikers al bekend mee zijn, naast andere veelgebruikte wachtwoordmanagers.
Het instellen is eenvoudig: kies een gerenommeerde wachtwoordbeheerder, installeer deze in uw browser en telefoon en maak uw hoofdwachtwoord. Vanaf daar kunt u beginnen met het opslaan van uw bestaande aanmeldingsgegevens en het bijwerken van zwakke of hergebruikte wachtwoorden.
Zoals elk hulpmiddel vergt het een korte aanpassingsperiode, maar als het eenmaal is geïnstalleerd, hoeft u geen wachtwoorden meer te onthouden en wordt uw algehele veiligheid aanzienlijk verbeterd. Misschien ga je er zelfs van houden.
Voor bedrijfseigenaren: er zijn bedrijfsabonnementen waarmee u de juiste wachtwoordpraktijken binnen uw teams kunt beheren en afdwingen. Dit is een praktische manier om werknemers te trainen in het veilig gebruik van wachtwoorden en om de risico’s voor uw bedrijf te verminderen.
Wees voorzichtig met wat u via e-mail verzendt
E-mail wordt vaak gebruikt om zonder veel nadenken gevoelige informatie, documenten, financiële gegevens, identificatiegegevens of persoonlijke gegevens te verzenden. Dit creëert aanzienlijke risico’s op meerdere niveaus.
Het risico ligt niet alleen aan uw kant. Zodra je iets verzendt, verlies je de controle erover. Als uw account of het account van de ontvanger wordt gehackt, wordt die informatie openbaar gemaakt.
Als het om gevoelige informatie gaat, vermijd dan het verzenden ervan in gewone tekst of als gewone bijlage.
Gebruik in plaats daarvan een beveiligde link die door de organisatie wordt aangeboden, zoals een portaal voor medische, financiële of andere gevoelige documenten, of vraag hoe zij het liefst gecodeerde bestanden ontvangen.
Als die optie niet wordt aangeboden, is het de moeite waard om ernaar te vragen.
Uw e-mail is waarschijnlijk een van uw meest waardevolle bezittingen. Behandel het met het beschermingsniveau dat het nodig heeft.
—Door Reut Hackmon, oprichter, Guidance Group
Dit artikel verscheen oorspronkelijk op Snel bedrijf’s zusterwebsite, Inc.com.
Inc. is de stem van de Amerikaanse ondernemer. We inspireren, informeren en documenteren de meest fascinerende mensen in het bedrijfsleven: de risiconemers, de innovators en de ultragedreven doorzetters die de meest dynamische kracht in de Amerikaanse economie vertegenwoordigen.
