Je Wifi Beveiligen: van een Sterk Wachtwoord tot Encryptie

Jaren geleden zat ik na een dag studeren in de trein naar huis. Ik moest nog wat overmaken, dus verbond mijn telefoon met de wifi in de trein en opende mijn bank-app. Wat ik niet wist, is dat er iemand meekeek en mijn gegevens hackte. Toen ik daar achterkwam, wist ik dat het hoog tijd was dat ik leerde hoe ik mijn wifi-verbinding kon beveiligen.

In dit artikel deel ik de kennis met je die ik in die zoektocht heb opgedaan en sindsdien heb uitgebreid gedurende mijn tijd bij Wifiwijs. Ik ben in gesprek gegaan met een expert in systeemmanagement, en vertel je hier hoe je een sterk wachtwoord kiest, hoe je je router bijwerkt, wat netwerkencryptie is en hoe je een VPN gebruikt!

Waarom is wifi-beveiliging zo belangrijk?

Wifi-beveiliging is geen luxe, het is een noodzaak. In onze steeds meer verbonden wereld, waarin we voor meer en meer zaken vertrouwen op onze wifi-verbinding, is een onbeveiligde verbinding een groot risico met mogelijk rampzalige gevolgen.

Onbeveiligde wifi is een open uitnodiging voor cybercriminelen. Ze hebben op die manier gemakkelijke toegang tot je persoonlijke gegevens, je financiële informatie en je online activiteiten. Zo installeren ze bijvoorbeeld malware zonder dat je het doorhebt, voeren ze phishingaanvallen uit of stelen ze je identiteit. 😨

Maar de pret stopt niet bij particulieren. Ook bedrijven dienen op hun hoede te zijn en zich zo goed mogelijk voor te bereiden op kwaadwillenden.

Zo moest Tomra afgelopen zomer meer dan vierduizend statiegeldmachines (alleen al in Nederland) offline halen, omdat ze het slachtoffer waren van een cyberaanval. Hierdoor moesten sommige klanten weer terug naar huis met hun verzameling lege flessen en blikjes, en zat Tomra met financiële- en reputatieschade.¹Sebastiaan Quekel, Parool (2023). 'Honderden statiegeldmachines in supermarkten defect door cyberaanval'

Een sterk wachtwoord is het begin

Begin met een sterk wachtwoord instellen voor de configuratiepagina van je router. Een sterk wachtwoord is je eerste verdedigingslinie tegen ongeautoriseerde toegang. Het wachtwoord moet uniek zijn, moeilijk te raden en een combinatie van letters, cijfers en speciale tekens bevatten. Hoe sterker je wachtwoord, hoe veiliger je wifi-verbinding.

Een onkraakbaar wachtwoord maken is niet zo moeilijk als het klinkt. Maak een combinatie van minstens 12 tekens lang met een wirwar aan hoofdletters, kleine letters, cijfers en speciale tekens. Vermijd voor de hand liggende keuzes zoals "123456" of "wachtwoord". Je wilt niet weten hoe vaak zoiets naar voren komt in een pentest.

In je eigen huishouden is een nieuw wachtwoord instellen makkelijk te doen binnen de configuratiepagina van je router zelf, maar binnen een bedrijf is het goed mogelijk dat je hiervoor bij de netwerkbeheerder moet aankloppen.

Overweeg een wachtwoordmanager voor extra beveiliging. Ze genereren sterke wachtwoorden voor je en slaan ze veilig op.

Of, als je echt zeker wilt weten dat je wachtwoorden in de virtuele zin veilig zijn, noteer ze in een persoonlijk notitieboekje, idealiter met een slotje erop, of in een lade met een goed slot erop. Papier is immers niet hackbaar, maar wel fysiek te stelen. 📄

Het belang van het updaten van je routerfirmware

Je router up-to-date houden is net zo belangrijk als een sterk wachtwoord. Cybercriminelen buiten vaak beveiligingslekken in oudere routers uit. Als je je router regelmatig update, dicht je deze beveiligingslekken.

Dit geeft Zoë Nowak, derdejaarsstudente ICT Expert Systems and Devices en Netwerkbeheer aan het VISTA college, ook aan. Zij zegt: "[een van de meest voorkomende oorzaken van een cyberaanval is] het niet up-to-date houden van besturingssystemen, firmware en software, waardoor beveiligingslekken kunnen ontstaan en worden uitgebuit."

Als je een router gebruikt die je van je provider hebt gekregen na het afsluiten van een abonnement, doet je provider dit voor je. Gebruik je een router die je zelf hebt gekocht? Dan update de router zich in de meeste gevallen ook automatisch, maar loop dit voor de zekerheid na in de instellingen van je router.

De instellingen vind je in de bijbehorende app of als je inlogt in de configuratiepagina van je router. Voer hiervoor het IP-adres van de router in bij je browser en log in met de gebruikersnaam en wachtwoord. Het IP-adres, wachtwoord en de gebruikersnaam vind je op een sticker die op de router zit (mits je de gebruikersnaam en het wachtwoord niet veranderd hebt).

Zoek binnen de instellingen naar een updatemenu en klik op 'Update'. En terwijl je bezig bent: stel automatische updates in. Wil je het toch handmatig blijven doen of kan het niet anders, dan raad ik je aan dat je elk half jaar controleert of er nieuwe updates zijn.

Netwerkencryptie: een essentiële maatregel tegen cybercriminelen

Encryptie is een proces waarbij informatie wordt omgezet in onleesbare code en voorkomt zo ongeautoriseerde toegang. Het is een onmisbare laag van beveiliging voor je wifi-netwerk.

Er zijn verschillende soorten netwerkencryptie, elk met hun eigen voordelen en beperkingen. De vier hoofdtypen zijn:

1. WEP
2. WPA
3. WPA2
4. WPA3.

WEP is het oudste en onveiligste, terwijl WPA3 het nieuwste en veiligste is. WEP en WPA zijn zwaar verouderd en zeer vatbaar voor cyberaanvallen. Daarom raad ik je aan alleen apparaten met WPA2 of WPA3 te gebruiken.

WPA 2 in detail

WPA2 (Wi-Fi Protected Access 2) is de officiële standaard voor wifi-beveiliging. Het gebruikt AES (advanced encryption standard) dat het wifi-verkeer versleutelt met een 256-bits-sleutel.

Dit krijgt meteen de voorkeur boven de 'zwakkere' equivalent, end-to-end-encryptie (zoals WhatsApp bijvoorbeeld gebruikt), als het gaat om het versleutelen van internetverkeer van bedrijven. Waardevolle gegevens en vertrouwelijke informatie zijn met AES veel beter beschermd tegen kwaadwillenden.

WPA2 biedt daarbij twee modi voor gebruikersverificatie: persoonlijk en zakelijk:

• de persoonlijke modus gebruikt een wachtwoord (ook wel een vooraf gedeelde sleutel of PSK genoemd) voor toegang tot het netwerk;
• de zakelijke modus wisselt certificaten uit middels een server (ook wel extensible authentication protocol of EAP genoemd).

Het voordeel van WPA2 in vergelijking met WEP en WPA, is dat het veel beter bestand is tegen brute-force-aanvallen, waarbij men middels willekeurige pogingen bijvoorbeeld een wachtwoord probeert te achterhalen; man-in-the-middle-aanvallen, waarbij een kwaadwillende zichzelf positioneert tussen jou en de app waarmee je communiceert; en andere vormen van hacking.

Het nadeel van WPA2 is dat het nog steeds niet volledig waterdicht is, omdat er in de loop der jaren enkele kwetsbaarheden zijn ontdekt, waaronder de kwetsbaarheid voor KRACK-aanvallen.

KRACK-aanvallen: een zwaktepunt van WPA2

Zoals gezegd zijn updates cruciaal voor de veiligheid van je router. Ze houden bijvoorbeeld kwetsbaarheden in het WiFi Protected Access-protocol 2 (WPA2) zo goed mogelijk afgeschermd tegen een KRACK-aanval.

Bij zo'n aanval maken hackers gebruik van die WPA2-kwetsbaarheden en herbruiken ze beveiligingssleutels. Zo omzeilen de hackers de beveiliging van je wifi-verbinding en kruipen ze in je netwerk. Tegenwoordig komt dit een stuk minder vaak voor dan voorheen, dankzij beveiligingsupdates, maar hackers stoppen nooit met proberen, dus houd alles up-to-date.

"Wanneer alle apparaten binnen het netwerk voorzien blijven van up-to-date firmware en software, wordt het risico [op KRACK-aanvallen] al enorm beperkt door uitgebrachte patches die bescherming bieden."
Zoë Nowak

Over het algemeen raden experts hoe dan ook aan dat je elke drie à vijf jaar een nieuwe router aanschaft (of zelfs om de twee à drie jaar als je veel slimme apparaten gebruikt). Dit brengt de nieuwste wifi-technologieën met zich mee, die weer zorgen voor de beste beveiliging die verkrijgbaar is.²Jason Fitzpatrick, How-To Geek (2023). 'How Often Should You Upgrade Your Wi-Fi Router?'

WPA3: een waardige opvolger van WPA2

Om al deze redenen kwam in 2018 WPA3 (Wi-Fi Protected Access 3) de wereld in, het nieuwste en veiligste protocol. Deze upgrade van WPA2 gebruikt een verbeterde versie van AES, genaamd SAE (simultaneous authentication of equals). Het SAE-protocol versleutelt het wifi-verkeer met een 192-bits sleutel. Dit maakt het nog moeilijker voor hackers.

Hè? Het protocol gebruikt een kleinere sleutel, maar is lastiger te kraken? Hoe kan dat? AES zorgt dat het wifi-verkeer onleesbaar en niet te wijzigen is door onbevoegden. SAE garandeert dat het wifi-verkeer überhaupt niet terecht komt bij ongeautoriseerde partijen. Daardoor is het een stuk veiliger.

WPA3 biedt ook nieuwe functies, zoals forward secrecy. Dit voorkomt dat oude versleutelde gegevens te ontcijferen zijn als de huidige sleutel wordt gekraakt. Een bijkomende nieuwe functie is protected management frames, die voorkomen dat hackers de verbinding verstoren of vervalsen.

WPA3 heeft eveneens twee modi voor gebruikersverificatie: persoonlijk en zakelijk. De persoonlijke modus gebruikt nog steeds een wachtwoord, maar met een methode genaamd Dragonfly.

Dragonfly is bestand tegen brute-force-aanvallen en offline dictionary attacks, waarmee hackers door veelgebruikte woorden in te voeren als (delen van) een wachtwoord, je wachtwoord proberen te kraken.

De zakelijke modus gebruikt (net als WPA2) een server, maar met een verbeterd protocol. OWE (opportunistic wireless encryption) genereert voor elke gebruiker en sessie een unieke encryptiesleutel. Hierdoor vervallen oudere sleutels continu, die daardoor niet meer bruikbaar zijn voor hackers. 🗑️

Het voordeel van WPA3 is dat het de hoogste mate van wifi-beveiliging biedt die momenteel beschikbaar is. Het is daarnaast compatibel met oudere apparaten die WPA2 ondersteunen. Het nadeel van WPA3 is dat het nog niet universeel wordt inzet, omdat het relatief nieuw is en nog steeds enkele bugs en problemen kent.³Okta (2023) 'WPA3 Security: Benefits, Vulnerabilities & Comparison to WPA2'

MAC address filtering: een nuttige optie voor bedrijven

Niet dat dit betekent dat het geen optie is voor particulieren, maar ik zie dit vooral terug in bedrijfsnetwerken.

MAC-adresfiltering stelt bedrijven in staat om te bepalen welke specifieke apparaten toegang hebben tot hun draadloze netwerk, wat een extra beveiligingslaag biedt. Het helpt ook bij het behouden van een overzicht van alle verbonden apparaten.

Echter, deze methode kent zo zijn eigen uitdagingen. Kwaadwillenden met genoeg expertise kunnen MAC-adressen nabootsen, wat het hele doel van deze methode teniet doet.

Bovendien is het beheren van een lijst met toegestane MAC-adressen tijdrovend als het om veel verbonden apparaten gaat, en leidt het soms zelfs tot connectiviteitsproblemen voor legitieme gebruikers.

Terwijl MAC-adres filtering voordelen biedt, is het belangrijk om het te zien als een aanvullende beveiligingsmaatregel en niet als de enige verdedigingslinie.

Een gastnetwerk opzetten voor bezoekers

Een gastnetwerk is een apart wifi-netwerk die je bezoekers toegang geeft tot het internet, zonder dat ze toegang hebben tot jouw verbonden apparaten en bestanden. Je hebt dit soort netwerken vast wel eens gezien in winkels, hotels, horeca en andere bedrijfssettings. Meestal zie je dan 'GUEST' of 'GAST' in de naam staan.

Een gastnetwerk heeft een aantal voordelen, zoals:

• Een toename in de veiligheid van je netwerk, omdat je voorkomt dat hackers, malware of ongewenste gasten je persoonlijke of zakelijke gegevens stelen of beschadigen.
• Een verlaagde belasting van je netwerk, omdat je de snelheid en de bandbreedte van je gastnetwerk kunt beperken of aanpassen aan de behoeften van je bezoekers.
• Voor bedrijven is een bijkomend voordeel dat bezoekers en anderen die niets te zoeken hebben in de technische en virtuele van je bedrijf, en zo ook niet in de waardevolle activa ervan, simpelweg geen toegang hiertoe krijgen, punt.

Als je een gastnetwerk wilt opzetten, heb je een router nodig die deze functie ondersteunt. De meeste moderne routers hebben deze mogelijkheid, maar het verschilt per merk en model hoe je het gastnetwerk instelt. Hieronder vind je een algemeen stappenplan waarmee je in de meeste gevallen gemakkelijk een gastnetwerk opzet:

• Voer het IP-adres van je router in, in de adresbalk van je browser.
• Log in op de webinterface van je router met de gebruikersnaam en het wachtwoord van je router.
• Ga naar het gedeelte waar je de wifi-instellingen kunt wijzigen.
• Activeer een gastnetwerk en kies een naam (SSID) en wachtwoord voor dat netwerk.
• Stel hier ook andere opties in, zoals de toegangsduur, het maximum aantal gebruikers of de toegangsrechten van je gasten.

Je netwerk onzichtbaar maken: verborgen SSID's

Je SSID is de naam van je wifi-netwerk. Wanneer je de SSID verbergt, wordt het iets moeilijker voor kwaadwillenden om je netwerk te vinden en te klonen. Dit is voor de ervaren hackers echter een lage drempel.️‍ Er bestaan op het internet gratis tools waarmee je in een mum van tijd de namen van verborgen netwerken te pakken hebt.

Je zit jezelf er echter ook mee in de weg. Bij het toevoegen van apparaten, zoals laptops, smartphones en printers moet je in ieder apparaat naar de geavanceerde netwerkinstellingen navigeren, omdat je de netwerknaam dan handmatig moet invoeren.

Een hoop extra moeite, voor een klein effect – maar wie weet wat voor problemen je ermee buiten de deur houdt. Als je écht serieus bent over het zo goed mogelijk beveiligen van je netwerk en je niet continu nieuwe apparaten hieraan toevoegt, raad ik je aan deze optie te overwegen.

Je verbinding versleutelen met een VPN

Een VPN, ofwel virtual private network, is een handig hulpmiddel in de beveiliging van je wifi-verbinding. Het creëert een privétunnel tussen je apparaat en de internetserver, waardoor je online activiteiten onzichtbaar worden voor buitenstaanders. 🫥

Een VPN versleutelt je gegevens en verbergt je IP-adres. Dit betekent dat niemand – ook je internetprovider niet – ziet wat je online doet. Het gebruik van een VPN verbetert daarmee je online privacy en veiligheid aanzienlijk, vooral op openbare wifi-netwerken.

Echter, uit recent onderzoek is gebleken dat zelfs VPN's vatbaar zijn voor hackers. Dit gaat slechts om enkele kwetsbaarheden die erin zitten sinds de ontwikkeling van VPN's in 1996. Hierbij gebruikt de hacker onbetrouwbare wifi-netwerken en kwaadwillende websites om je gegevens te onderscheppen.

Sinds dat bekend is, hebben enkele VPN-aanbieders een update doorgevoerd die dit lek dicht, waaronder: Mozilla VPN, SurfShark, Malwarebytes, Windscribe en Cloudflare WARP.

In veel gevallen vermijd je deze kwetsbaarheden wanneer je toegang tot het lokale netwerk uitschakelt, alleen verbinding maakt met betrouwbare netwerken en enkel gebruikmaakt van websites die https gebruiken (wat veel websites doen tegenwoordig), in plaats van http.

Een VPN is dus nog steeds een van de veiligste manieren om ongestoord te surfen op het internet.⁴KU Leuven, NYU & NYU Abu Dhabi (2023). 'TunnelCrack'

Via een zakelijke VPN verbinden met een bedrijfsnetwerk: niet zonder risico's

Een zakelijke VPN werkt in de basis hetzelfde als een particuliere VPN: het is een internetbeveiligingsdienst die een versleutelde verbinding creëert tussen gebruikersapparaten en één of meerdere servers.

Bedrijven gebruiken VPN's voornamelijk om:

• externe medewerkers toegang te geven tot interne applicaties en gegevens
• of om een enkel gedeeld netwerk te creëren tussen meerdere kantoorlocaties.

Het doel is om webverkeer, vooral dat met bedrijfsgevoelige gegevens, te beschermen tegen blootstelling op het openbare internet.

Hoewel VPN's doorgaans effectief zijn in het versleutelen van verkeer, hebben ze ook hun beperkingen als het gaat om de veiligheid. Als een aanvaller toegang krijgt tot de VPN-gegevens van een externe medewerker, kan deze aanvaller toegang krijgen tot alle applicaties en gegevens op het bijbehorende netwerk.

Dit kan komen door een slecht beveiligde router thuis, of gebruik van een openbare verbinding die niet goed is beveiligd, zoals een openbaar netwerk in een hotel tijdens een zakenreis.

Schakel WPS uit op je router

WPS, of Wi-Fi Protected Setup, is een functie die de koppeling van apparaten aan je netwerk makkelijk maakt: schakel WPS op je router en een te verbinden apparaat in, en de verbinding tussen de twee komt vanzelf tot stand. Handig, maar het vormt ook een beveiligingsrisico, omdat je er een deur tot je wifi-verbinding wagenwijd mee openzet.

Ook als de router gebruikmaakt van een WPS-pincode, is de router zeer vatbaar voor brute-force-aanvallen. De pincode bestaat uit acht cijfers die worden behandeld als twee paar van vier cijfers. Voor vier cijfers zijn er slechts 11.000 mogelijke combinaties.

Bij brute-force-aanvallen " [...] worden alle mogelijke WPS-pincodes uitgeprobeerd," bevestigt ook Zoë Nowak. Met de juiste software blaast een hacker in een mum van tijd door dat paar van 11.000 combinaties heen en zit hij zo binnen een dag in je netwerk.⁵Viehböck, S. (2011). 'Brute forcing Wi-Fi Protected Setup'

Een router met een fysieke of virtuele WPS-knop is wat dat betreft een stuk veiliger. Dit komt doordat het netwerk slechts een paar minuten open is nadat de knop wordt ingedrukt. Hackers hebben daardoor niet constant vrije toegang tot je netwerk en hebben fysieke toegang tot de knop nodig, willen ze dit zelf in schakelen.⁶Jennifer Allen Lifewire (2020). 'What Is WPS and How Does It Work?'

Data cabling

Hierbij gaat het om de fysieke bekabeling van je netwerk. Bedrijven met een uitgebreide infrastructuur hebben hier extra veel baat bij.

Waar ik net twee ethernetkabels vanaf mijn router naar een pc en een set-top-box heb lopen, heeft een groot bedrijf al snel tientallen tot honderden kabels door het gebouw lopen, van routers en access points naar computers, printers, en dataservers.

Het is daarom zo dat als jij of je netwerkbeheerder alle bovenstaande tips heeft toegepast, er nog één open deur overblijft: de fysieke. Daarom is een van de beste garanties tegen datalekken dat je kwaadwillenden überhaupt niet toelaat op computers met gevoelige gegevens.

Als hackers toegang krijgen tot zelfs maar één van de computers in je bedrijfsnetwerk, kunnen ze uiteindelijk hun weg vinden naar de eenheid waar een aanzienlijk deel van je belangrijke gegevens zijn opgeslagen – of zelfs alle belangrijke gegevens, als je niet voorzichtig bent. Dat is waar data cabling om de hoek komt kijken.

Met de juiste, op beveiliging gerichte databekabeling zijn de netwerkbeheerders van je bedrijf in staat je indringers te detecteren, zodra ze je lokale netwerk binnenkomen. Ze eruit schoppen is daarna zo simpel als een kabel verwijderen.

De menselijke factor: investeer tijd in je wifi-beveiliging

Binnen je bedrijf is het eveneens een serieuze kwestie. Je wilt niet dat je systemen worden gekaapt, je financiële informatie op straat komt te liggen of dat de privacy van je klanten in het geding komt.

"Zijn alle mensen die gebruikmaken van het netwerk voldoende geïnformeerd over risico's van bepaald gedrag, zoals [de risico's van het] openen van bepaalde bestanden of het klikken op een link in een mail?" Dit was een van de punten die Zoë Nowak noemde toen ik haar vroeg hoe goed een beveiligde wifi-verbinding bescherming biedt tegen hackers.

Ze geeft ook aan dat "[...] menselijke fouten, zoals het niet herkennen van phishingmail, het openen van bestanden die schadelijke data bevatten, en te simpele wachtwoorden gebruiken en/of hetzelfde wachtwoord gebruiken voor meerdere accounts" de meest voorkomende oorzaken van succesvolle cyberaanvallen zijn.

Het is dus duidelijk dat je van alles in kunt stellen qua technologie, maar dat de mens uiteindelijk de eindverantwoordelijke is. Maak daarom jezelf en je medewerkers bestendig tegen zwakke plekken in je systeem en overweeg een security awareness training.

In zo'n training krijg je bewustwording van online veiligheid en preventie van veiligheidsrisico's bijgebracht, zodat je in het vervolg met een gerust hart – maar ook met de nodige alertheid – aan het werk kunt.

Conclusie

Wifi-beveiliging is een noodzaak in deze digitale wereld. Het beschermt je privacy en geeft je gemoedsrust. Het is een continue strijd die een constante inspanning vereist, maar ik hoop dat je deze strijd aankan met de tips en technieken die ik in dit artikel met je heb gedeeld.

Wifi-beveiliging is geen eenmalige taak. Het vereist constante waakzaamheid en regelmatige controles. Zorg dat je de laatste updates installeert, je wachtwoorden regelmatig wijzigt en dat je alle beveiligingsmaatregelen hebt genomen. Neem je wifi-beveiliging serieus – je privacy hangt ervan af!

Voor meer tips en uitleg, nodig ik je uit onze andere artikelen te bekijken. Laat ons vooral ook even hieronder weten of voor jou nu duidelijk is welke stappen je moet ondernemen om je wifi-verbinding zo goed mogelijk te beveiligen! 👇

Bronnen

• 1
  Sebastiaan Quekel, Parool (2023). 'Honderden statiegeldmachines in supermarkten defect door cyberaanval'
• 2
  Jason Fitzpatrick, How-To Geek (2023). 'How Often Should You Upgrade Your Wi-Fi Router?'
• 3
  Okta (2023) 'WPA3 Security: Benefits, Vulnerabilities & Comparison to WPA2'
• 4
  KU Leuven, NYU & NYU Abu Dhabi (2023). 'TunnelCrack'
• 5
  Viehböck, S. (2011). 'Brute forcing Wi-Fi Protected Setup'
• 6
  Jennifer Allen Lifewire (2020). 'What Is WPS and How Does It Work?'