Sfeerfoto van Kassa
Kassa
Kassa

Kassa zie je weer live op maandag 22 augustus, om 20.30 uur op NPO1!

Het consumentenplatform van BNNVARA met Vraag & Beantwoord, dossiers en actuele artikelen. Bekijk de Kassa-uitzending online!
Kassa

Veilig blurren van wachtwoorden en persoonsgegevens: hoe maak je ze onleesbaar?

21-02-2022
  •  
leestijd 3 minuten
  •  
4020 keer bekeken
  •  
20220218_tekst_blurren

De wereld digitaliseert in rap tempo en veel vertrouwelijke of gevoelige informatie wordt online gedeeld en uitgewisseld. Uit privacy- of veiligheidsoverwegingen ligt het voor de hand om bepaalde tekst in documenten te blurren, wat inhoudt dat je de tekst vervaagt en onleesbaar maakt. Helaas is dat niet altijd even verstandig: er zijn manieren waarop je geblurde tekst tóch leesbaar kunt maken. Hoe zit dat? En hoe kun je gevoelige informatie wél permanent onleesbaar maken? In dit artikel leggen we het uit.

Aanleiding voor dit stuk is een nieuw hulpmiddel waarvan de broncode door de ontwikkelaar aan iedere geïnteresseerde ter beschikking is gesteld. Deze zogenaamde 'Unredacter'-tool is in staat om geblurde tekstdelen te ontcijferen. Techblog The Hacker News publiceerde hier onlangs een artikel over om consumenten op de potentiële gevaren te wijzen.

Wat is blurren eigenlijk?

Zonder in al te technische details te treden, door tekst of een afbeelding te blurren, maak je een (gedeelte van) de afbeelding of een stuk tekst simpelweg minder scherp.

Daardoor wordt de betreffende tekst dus minder goed leesbaar. Dat zie je aan het aantal pixels: geblurde tekst is veel ruwer, korreliger en minder gedetailleerd dan tekst waar geen filter overheen zit. Je kunt op deze manier tekst vervagen tot het punt waarop het onleesbaar wordt, en zie dat vervolgens maar eens te ontcijferen.

"Geschikte manier om wachtwoorden onleesbaar te maken", denk je wellicht. Maar helaas: dat is verkeerd gedacht, want geheel zonder risico is dat namelijk niet. Hoe zit dat?

Hulpmiddel maakt geblurde tekst leesbaar

Unredacter komt uit de koker van een cybersecurity-expert van het Amerikaanse bedrijf Bishop Fox en is ontwikkeld met als doel om te demonstreren hoe geblurde tekst tóch leesbaar kan worden gemaakt.

Dat concept is op zich niet nieuw: er zijn in het verleden wel vaker zulke hulpmiddelen gemaakt. Ze worden echter wél steeds beter, en de kans dat mensen met verkeerde bedoelingen hier misbruik van maken door op deze manier te proberen om wachtwoorden, financiële informatie en andere gevoelige (inlog)gegevens te bemachtigen, neemt daardoor toe.

Wie interesse heeft in de theoretische, technische kant van het verhaal, raden we aan om het artikel op het blog van Bishop Fox eens te lezen. Ondertussen buigen wij ons over een aantal praktische zaken.

Wat heeft een aanvaller nodig om geblurde tekst leesbaar te maken?

Waar het kort gezegd op neerkomt, is dat kwaadwillenden – naast het document waar de geblurde informatie in staat, uiteraard – over de volgende informatie moeten beschikken om geblurde tekst leesbaar te kunnen maken:

1. De aanvaller moet weten welk lettertype er wordt gebruikt;
2. De aanvaller moet weten wat de lettergrootte is;
3. De aanvaller moet zeker weten dat het überhaupt om tekst gaat

Nog afgezien van deze gegevens is er sprake van een groot aantal variabelen en voorwaarden waar de aanvaller aan moet voldoen, wil diegene in staat zijn om een stuk geblurde tekst weer leesbaar te maken.

Het is voor aanvallers namelijk mogelijk om een database aan vergelijkingsmateriaal te raadplegen, en dat gebeurt door op pixelniveau te kijken op welke punten het te ontcijferen stuk tekst overeenkomt met eerder gegenereerde proefmonsters van tekst in hetzelfde lettertype en met dezelfde lettergrootte. Dat is een kwestie van veel uitproberen en vergelijken tot je weet dat je met de goede set gegevens werkt.

Het proces is enigszins bewerkelijk en foutgevoelig, maar wordt met behulp van de tool wél geautomatiseerd: een zekere mate van geduld is voor een aanvaller dan ook het allerbelangrijkste. De kans is groot dat het op een gegeven moment raak is, en dat kan – afhankelijk van de precieze aard van de informatie – grote gevolgen hebben.

Het is binnen de context van dit artikel niet zo relevant om alle mitsen en maren stuk voor stuk te bespreken, de achterliggende gedachte is dat aanvallers die écht kwaad willen over meer mogelijkheden beschikken om vervaagde tekstdelen te ontcijferen dan je denkt. En dat brengt ons bij het volgende punt.

Hoe kun je vertrouwelijke en gevoelige informatie wél goed blurren?

Werk jij regelmatig met documenten die vertrouwelijke en gevoelige gegevens bevatten? Als het niet mogelijk is om dergelijke informatie überhaupt niet op te nemen in het document, dan kun je écht belangrijke informatie beter helemaal niet blurren, maar volledig onleesbaar maken door er een zwarte balk overheen te plakken.

Om dat te visualiseren, verwijzen we je graag naar de afbeelding bovenaan dit artikel. Van alle voorbeelden is er maar ééntje honderd procent veilig, en dat is de onderste optie waarbij de volledige tekst wordt afgedekt met een zwarte balk. Alleen op die manier valt deze informatie achteraf onmogelijk te ontcijferen.

Lees ook

Bron: Bishop Fox The Hacker News

Praat mee

Heb je een vraag, suggestie of wil je gewoon iets kwijt? Dat kan hier. Lees onze spelregels.

avatar

Reacties (5)

harrybre
harrybre22 mrt. 2022 - 11:56

Ik importeer altijd de boel in een fotobewerkingsprogramma, en haal dan alles, wat NIET doorgegeven moet worden, met een dikke streep weg. Vervolgens tik ik - bij paspoort e.d. - in rode letters DOOR de pasfoto voor wie en waarom deze scan gemaakt is. Dan opslaan als jpg-file. Knappe kop, die dat weer weet om te buigen. En als er hier nu miljoenen €uro's te halen waren... Overigens: toen ik in 1993 in Thailand een identificatie moest achterlaten, MOEST er met blauwe pen een handtekening opgezet worden, samen met die van een getuige. ( idem Vietnam , Cambodia en China). Zonder echte blauwe pen ondertekening was die pitprint gewoon een stuk papier. In de Kenniseconomie NL denkt men nog steeds, dat enkel een print voldoende is als legitimatie of zo.

Bessel Dekker
Bessel Dekker21 feb. 2022 - 23:21

Ik heb altijd begrepen dat de app van de overheid veilig is: https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/veilige-kopie-identiteitsbewijs.

Helen 66
Helen 6621 feb. 2022 - 14:03

Leuk artikel, maar onvolledig. Laat dan ook zien HOE je zo'n zwarte balk maakt! Anders heeft een dergelijk artikel weinig zin.

cornouws
cornouws21 feb. 2022 - 13:09

Leuk om te melden: het vrije, opensource officepakket LibreOffice heeft een redigeer-functie. Delen uit documenten kunnen worden verborgen voor een export naar PDF wordt gemaakt. Dat proces kan ook deels worden geautomatiseerd. En omdat het export naar PDF is, zijn de documenten nog wel doorzoekbaar.

9665
966521 feb. 2022 - 12:53

Hoe maak ik de zwarte balk