Bij het bezoek aan een website wil de eigenaar van de website graag weten wie je bent. Omdat je wellicht een potentiële klant bent. Daar heeft hij zo zijn middelen voor. Denk aan tracking cookies, Google Analytics en Facebook Pixel. Sommige methodieken verzamelen meta-data, andere verzamelen gegevens die daadwerkelijk aan een gebruiker te koppelen zijn. Deze data wordt in deze industrie gebruikt om jouw “digitale voetafdruk” te verrijken. En daarmee een beter beeld van jou te krijgen. Wat je profiel-informatie weer waardevoller maakt om te verkopen.
Big Tech
Maar de Big Tech industrie heeft meerdere pijlen op hun boog. Zo is daar de mogelijkheid om Big Tech als een ID-provider te laten fungeren. Wat is dat?
Bij veel websites of apps wordt er gevraagd om een account aan te maken om zo de voor jou relevante informatie te kunnen presenteren. Denk daarbij aan een virtueel winkelmandje, je adres gegevens voor je bestelling of om een verzoek tot contact achter te laten. Hierdoor krijgt de actieve Internet gebruiker een grote voorraad aan login gegevens. De meeste van ons hebben daar in toenemende mate moeite mee. Zeker als je jezelf aan de basisregels op het gebied van wachtwoorden wil houden, zoals bijvoorbeeld geen wachtwoorden hergebruiken, wachtwoorden complex genoeg maken of zogenaamde passphrases gebruiken.
Als ogenschijnlijk handig hulpmiddel voor deze uitdaging wordt je steeds vaker geconfronteerd met de mogelijkheid om in te loggen met een account van een Big Tech bedrijf. Dan hoef je geen eigen account aan te maken; je logt eenvoudig in met bijvoorbeeld je Facebook account of je Apple-ID.
Nadelen
Aan deze functie kleeft wel een aantal nadelen. Omdat het zo’n populaire functie is die voor veel mensen de nadelen van gezonde wachtwoord gewoontes weg kan nemen, zijn deze inlogmethodes een interessant doelwit voor cybercriminelen. Ik noem er 3 belangrijke:
-
Bij de Big Tech bedrijven voegt elk gebruik van deze functie data toe aan je profiel, wat jouw “digitale voetafdruk” vergroot. Google, Apple of Facebook weten door dit gebruik nog meer van jouw online gedrag.
-
Door het koppelen van verschillende accounts aan 1 Big Tech account, ontstaat een zogenaamd “Single Point Of Failure”. Dat wil zeggen, als je Big Tech account om wat voor een reden wordt gekraakt, zijn al je gekoppelde accounts ook in principe gekraakt. Een crimineel kan met jouw Big Tech ID bij alle gekoppelde websites inloggen en daar jouw account misbruiken.
-
Omdat het zo’n populaire functie is, met in potentie toegang tot veel verschillende online accounts, is het extra aantrekkelijk voor phishing websites om deze inlogmethode aan te bieden en daarmee je accountgegevens afhandig te maken.
Het verliezen van (een deel van) je online identiteit kan verstrekkende gevolgen hebben. Van in jouw naam uitgevoerde online aankopen tot volledige identiteitsdiefstal.
Aanbevelingen
Het is verstandig om jezelf af te vragen of je kiest voor gemak met risico’s of voor iets meer moeite en je PC, laptop en telefoon te voorzien van een wachtwoordmanager. Natuurlijk kleven er aan wachtwoordmanagers ook nadelen; daar geef ik aandacht aan in 1 van de volgende blogposts. Daarnaast is het gebruik van 2-factor authenticatie sterk aan te bevelen.
Het belangrijkste is dat je je bewust bent van deze risico’s en dat je daarvoor passende maatregelen neemt om deze risico’s te verkleinen of weg te nemen.
Bewustwording op het gebied van informatieverwerking en de risico’s die daarbij kunnen ontstaan, is het belangrijkste aandachtspunt in de trainingen van BewustSecure.
Wilt u meer weten over deze trainingen, neem dan contact met ons op.