We weten allemaal hoe belangrijk veilige wachtwoorden zijn, maar verkiezen te vaak gebruiksgemak boven veiligheid. Volgens het Trustwave 2012 Global Security Report heeft liefst 80% van alle incidenten te maken met zwakke administratieve credentials. De studie bekeek meer dan driehonderd data-inbreuken in 18 verschillende landen in 2011. Variaties op “password” beslaan 5% van alle bekeken […]


Hoe heeft technologie een impact op je business?
Ontvang elke week het zakelijk IT-nieuws rechtstreeks in je inbox!



We weten allemaal hoe belangrijk veilige wachtwoorden zijn, maar verkiezen te vaak gebruiksgemak boven veiligheid. Volgens het Trustwave 2012 Global Security Report heeft liefst 80% van alle incidenten te maken met zwakke administratieve credentials.

De studie bekeek meer dan driehonderd data-inbreuken in 18 verschillende landen in 2011. Variaties op “password” beslaan 5% van alle bekeken wachtwoorden.

Varianten op “welcome” 1,3%. Het meest gebruikte wachtwoord is “Password1”, aangezien dit voldoet aan de minimumeisen van Active Directory. Zelfs voor ICT-beheer blijken heel wat standaardwachtwoorden à la “admin” onveranderd.

Yourock.com
Imperva publiceerde in december 2009 een rapport naar aanleiding van het lekken van 32 miljoen wachtwoorden van de site YouRock.com. Nooit eerder was een verzameling van zoveel effectief gebruikte wachtwoorden beschikbaar.

De bevindingen zijn beangstigend: 30% van de gebruikers koos wachtwoorden met 6 of minder karakters. 42% van de wachtwoorden bestond uit enkel kleine letters, 16% bestond uit enkel cijfers. Slechts 4% bevatte niet alfa-numerieke karakters.

De impact op de veiligheid is enorm: er zijn ongeveer 32.000 keer minder combinaties mogelijk voor wachtwoorden bestaande uit 8 kleine letters dan voor diezelfde lengte met 95 standaard ASCII-karakters. Bijna 50% van de wachtwoorden bestond uit namen, spreektaal, woorden uit woordenboeken of was triviaal (zoals “qwerty”).

Het meest gebruikte wachtwoord op yourock.com was “123456”.

Yahoo.com
Yahoo! werkte zelf mee aan een onderzoek van de universiteit van Cambridge door geheel anoniem 70 miljoen wachtwoord vrij te geven aan onderzoeker Joseph Bonneau. Zijn conclusies:

  • Oudere gebruikers gebruiken veiligere wachtwoorden dan jongere. 
  • Gebruikers met Koreaans of Duits als voorkeurtaal gebruiken gemiddeld de veiligste wachtwoorden.
  • Wachtwoorden die kredietkaartgegevens beschermen, zijn amper veiliger dan deze voor minder belangrijke zaken. Volgens verschillende studies (1, 2 , 3) gebruikt ongeveer de helft van de gebruikers overal hetzelfde of een sterk gelijkend wachtwoorden.
  • Nadat een persoon gehackt werd, blijken zijn/haar wachtwoorden meestal niet merkelijk veiliger dan voorheen.
  • Een hacker die per account tien keer kan raden naar het wachtwoord, zal zo ongeveer 1% van de accounts kunnen hacken.
  • Liefst 126 uit een steekproef van 150 grote websites doet geen enkele moeite om een account te blokkeren na een reeks mislukte pogingen.

Geen verbetering
Wanneer we de resultaten van een studie uit 1990 naast die van de YouRock-hack leggen, dan zijn er opvallende gelijkenissen, aldus Imperva.

In vergelijking met een rapport uit 2000, dat gehackte Hotmail-wachtwoorden bekeek, is er doorheen al die jaren bitter weinig veranderd. De situatie is dus niet eens stabiel gebleven, maar eerder verslechterd, aangezien de aanvallen nu intelligenter geworden zijn.

Op internet zijn uitgebreide wachtwoordlijsten vlot te vinden, net als lijsten met populaire voornamen, statistische informatie over wachtwoorden en linguistieke eigenschappen. Verder zijn er steeds meer toestellen met camera’s waarmee iemand snel een foto kan nemen van een bureau, een onbewaakt scherm of allerlei post-its.

Werk aan de winkel
Het probleem is allerminst triviaal. Op lange termijn komt er hopelijk een echt alternatief, maar voorlopig zijn Wachtwoorden alomtegenwoordig. Dit zijn enkele mogelijke maatregelen.

Passphrase: Een sequentie van woorden, als variant op een wachtwoord. Uit een onderzoek blijkt dat deze niet zo sterk zijn als algemeen wordt aangenomen. Met een woordenboek van 20.656 records werd 1,13% van de bekeken Amazon accounts gehackt.

Mnemotechisch wachtwoord: Denk aan “IhbB&S,mmzLn.” – een afleiding uit de zin “Ik hou van brood & spelen, maar mijn zoon Lucas niet.” – blijkt veiliger. Toch blijkt uit een studie van 2006 dat 4% gekraakt kon worden op basis van filmtitels, liedjesteksten… Het is alvast een verbetering en vrij makkelijk te onthouden voor een doorsnee gebruiker.

Hebben de overheid, het bedrijfsleven, het onderwijs en de pers een rol te spelen in het verhogen van het bewustzijn rond de problematiek? Moet er regelgeving komen die het gebruik van de meest triviale wachtwoorden verhindert?

Een verificatie of een gekozen wachtwoord dat voldoende sterk is, is onontbeerlijk. We moeten daarbij verder gaan dan het verifiëren van de lengte van het wachtwoord en enkele standaardregels zoals het gebruik van minstens 1 cijfer en 1 hoofdletter.

Kristof Verslype is sinds 2011 research consultant bij Smals vzw, de gemeenschappelijke ICT-organisatie van onze publieke instellingen in de sociale zekerheid en gezondheidszorg. Voordien was hij onderzoeker aan de KULeuven, waar hij een doctoraat behaalde in de Computerwetenschappen met een proefschrift over Privacy in ICT-toepassingen. Meer info: www.smals.be