Hackers kunnen vrij gemakkelijk je wachtwoord stelen en gebruiken om in te loggen op al je andere universitaire systemen. Een nieuw, uniek wachtwoord voorkomt het tweede, maar niet het eerste probleem.

Alle Eduroam-gebruikers moeten hun wachtwoord wijzigen. Onlangs bleek dat hackers gemakkelijk de wachtwoorden van het wifi-netwerk voor onderwijsinstellingen konden onderscheppen, waarmee ze ook konden inloggen op al je andere ICT-voorzieningen.

Je merkt het vaak pas als je in een ver land vlakbij een universiteit bent en ineens gratis wifi hebt zonder in te loggen: Eduroam. Honderdduizenden studenten en docenten maken dagelijks gebruik van het netwerk, zonder er echt bij na te denken. Daarom is het des te opmerkelijker dat ethische hackers onlangs een zeer ernstig beveiligingsprobleem in Eduroam hebben ontdekt.

Als een hacker een wifi-spot instelt met de naam Eduroam, kunnen nietsvermoedende gebruikers er per ongeluk verbinding mee maken en hun gebruikersnaam en wachtwoord naar de hacker sturen. Dat is op zich al een serieus beveiligingsprobleem, maar nog erger is dat de inloggegevens van Eduroam overeenkomen met de inloggegevens van bijna alle andere ICT-voorzieningen die studenten en medewerkers gebruiken, zoals de computers, e-mail en MyEUR-intranet.

Onlangs heeft de Erasmus Universiteit alle Eduroam-gebruikers gevraagd hun wachtwoord te wijzigen. Ze kunnen niet meer zomaar een nieuw wachtwoord kiezen. Chief Information Security Officer Rory O'Connor legt uit wat er precies is gebeurd.

Hoe konden hackers wachtwoorden van Eduroam-gebruikers herstellen?

“Hackers konden Eduroam spoofen en zo de gebruikersnamen en wachtwoorden stelen. Goed beveiligde telefoons en laptops moeten de geldigheid van het certificaat controleren om er zeker van te zijn dat het een echte EUR Eduroam wifi-spot is. Maar om dit te doen, is een internetverbinding vereist. Dat plaatst je in een catch-22: je moet een werkende netwerkverbinding hebben om een ​​certificaat te krijgen, wat je nodig hebt voor een werkende verbinding. Vooral bij Android-telefoons ontbreken allerlei veiligheidscontroles.”

Zijn, voor zover u weet, medewerkers of studenten van de EUR, of andere wetenschappers over de hele wereld, echt slachtoffer geworden van identiteitsdiefstal?

"We hebben geen bewijs dat iemand EUR-wachtwoorden op deze manier heeft gestolen, maar er zijn gedetailleerde beschrijvingen van ethische hackers die uitleggen hoe gebruikersgegevens kunnen worden gestolen."

Stel dat die inloggegevens daadwerkelijk zijn gestolen, kunt u dan beschrijven wat de mogelijke gevolgen zouden zijn geweest?

“Gestolen inloggegevens worden gebruikt voor phishing-aanvallen, gegevensdiefstal en imitatie. Sommige internetdiensten die gratis zijn voor studenten zijn erg handig voor hackers.”

De universiteit genereert nu unieke wachtwoorden voor je Eduroam-account, waardoor hackers niet langer met gestolen wachtwoorden kunnen inloggen op universiteitsaccounts. Maar zijn de Eduroam-wachtwoorden nog steeds zo makkelijk te stelen als voorheen, of is dat opgelost?

“Na een zeer grondige studie van het gevonden beveiligingsprobleem en mogelijke oplossingen, kwamen we tot de conclusie dat het veel veiliger maken van Eduroam de service moeilijk te configureren zou maken, het aantal ondersteunde apparaten zou beperken en Eduroam zou beëindigen als een service die je in het onderwijs kunt gebruiken. instellingen wereldwijd. Door gebruik te maken van aparte wachtwoorden heeft het hacken nog steeds een zeer beperkte waarde. Ze hebben geen toegang tot de ERNA-accounts met het wachtwoord dat uniek is voor Eduroam.”

Gaat de EUR diceware introduceren op meer plekken waar wachtwoorden nodig zijn, zoals bij ERNA?

“We zullen in de nabije toekomst geen diceware gebruiken met ERNA-accounts, omdat de ERNA-inlogsystemen dit niet ondersteunen. We zijn bezig met het upgraden van deze systemen en werken aan modernere wachtwoordstandaarden.”

De EUR gebruikt nu diceware om het wachtwoord te genereren ('passphrases' van vier willekeurige woorden in plaats van de gebruikelijke wachtwoorden van letters, cijfers en tekens). Diceware wordt door veel experts gezien als een veiligere en meer gedenkwaardige methode. U kunt uw wachtwoord wijzigen via MyEUR. Doe je dat niet, dan zit je vanaf 10 december niet meer op Eduroam.

Twee weken geleden bereikte een grootschalige phishing-aanval op de EUR ongeveer...

Lees a.u.b. de huisregels voordat u reageert.

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden hebben een *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe uw reactiegegevens worden verwerkt.

Kyra maakt meestal gebruik van een rolstoel. Maar campus Woudestein is zo onbereikbaar dat ze…

Xavier Moors promoveerde vorige maand op de inzet van het traumateam bij kinderen.

Hackers kunnen vrij gemakkelijk uw wachtwoord stelen en gebruiken om in te loggen op al uw andere...

Voor het tweede jaar International Business Administration, alle opleidingen de komende…

E-mail: erasmusmagazine@em.eur.nl