Door cijfers toe te voegen, woorden achterstevoren te spellen of 'l33t-speak' te gebruiken, kun je hetzelfde wachtwoord hergebruiken voor verschillende webdiensten. Maar hackers zal je er er niet mee misleiden.

Advertentie

Iedere internetgebruiker weet het ondertussen wel: je gebruikt het best verschillende wachtwoorden voor verschillende accounts.

Om die wachtwoorden te onthouden, gebruiken veel mensen echter één basiswachtwoord, waar ze dan licht afwijkende versies van maken. En daarmee maken ze hackers het leven een stuk gemakkelijker dan ze zouden denken.

Overal hetzelfde wachtwoord gebruiken is uiteraard niet de bedoeling. Als een wachtwoord voor één webdienst gestolen wordt, ligt meteen je hele onlineleven op straat en kunnen de dieven in al je accounts inloggen. Precies daarom verplichtte Facebook laatst, na de beruchte computerkraak bij Adobe begin oktober, al zijn gebruikers die dezelfde log-in en wachtwoord gebruikten als op de Adobe-site, dat te veranderen.

Wachtwoord wordt wachtwoord1234
Maar ook dan gebruik je maar beter wachtwoorden die niets met elkaar te maken hebben. En dat is een boodschap die veel surfers blijkbaar nog niet hebben begrepen.

Een nieuw onderzoek toont immers aan dat er een vrij grote kans is dat wachtwoorden van dezelfde gebruikers maar lichtjes van elkaar afwijken voor verschillende accounts. En dat ze waarschijnlijk gecreëerd zijn volgens één van een handvol modellen om tot een nieuw wachtwoord te komen.

In zijn paper The Tangled Web of Password Reuse (pdf), onderzochten Anupas Das, doctoraalstudent computerwetenschappen van de Universiteit van Illinois, en zijn collega’s de wachtwoorden van zesduizend e-mailadressen die meer dan één keer voorkwamen in gekraakte databases van Gawker, Facebook, Hotmail, Yahoo, CSDN.net, militarysingles.com, myspace, youporn.com en porn.com.

Bij de adressen die minstens één keer opdoken, was 43% van de wachtwoorden identiek. Voor de hackers die in het bezit zijn van zo’n gestolen database is het dus een eitje om met alle accounts aan de slag te gaan. 

Substring
Maar ook bijna een derde van de 57% andere gebruikers liep gevaar. Negentien procent van de onderzochte wachtwoorden waren een ‘substring’ van elkaar: er werden gewoon enkele karakters aan toegevoegd of weggelaten. ‘Paswoord’ op het ene account werd dus ‘1234Paswoord’ op een ander account. Slechts 38% van de wachtwoorden waren compleet verschillend.

“Toen we begonnen, waren we niet zeker of de wachtwoorden compleet hetzelfde, compleet verschillend of lichtjes aangepast zouden zijn”, zegt Joseph Bonneau, een veiligheidsonderzoeker en Google-werknemer die meewerkte aan het rapport. “Maar het bleek dat lichte afwijkingen met 19% een belangrijke categorie vormden.”

“Dat is een behoorlijk aantal en de meeste afwijkingen volgen één van een klein aantal voorspelbare aanpassingen”, legt Bonneau uit. “De meeste gebruikers zeiden dat ze dit deden om te voldoen aan de regels van de sites, maar veel anderen voegden ook karakters toe aan wachtwoorden om veiliger te surfen. Dat werkt echter lang niet zo goed als men wel zou denken.”

Serieuze impact
Om dat aan te tonen, ontwikkelden de onderzoekers een algoritme dat probeert wachtwoorden te raden op basis van bestaande wachtwoorden, door letters toe te voegen, weg te laten, hoofdletters te gebruiken, leet-speak (‘paswoord’ wordt ‘pa$$w00rd’) en het aanpassen van woorddelen (‘jankoekepan’ wordt ‘janKoekepan’).

Ze wilden ook aantonen dat het algoritme gebruikt kon worden voor een online-aanval. De meeste websites zetten immers geen limiet op het aantal keren dat je een wachtwoord opnieuw mag invullen wanneer je inlogt. Ook op sites als Google en Facebook mag je in bepaalde gevallen meer dan tien keer proberen om een wachtpaswoord in te geven.

Het prototype van het algoritme kon volgens de onderzoekers ongeveer 10% van de niet-identieke wachtwoorden raden in minder dan tien pogingen. Dat steeg naar 30% met minder dan honderd pogingen.

“Dit vormt een serieuze impact op de veiligheid”, schrijft Das. “Een hacker die over een gelekt wachtwoord beschikt heeft veel meer kans op succes dan een aanvaller die hier niet over beschikt.”

De onderzoekers zullen hun proefschrift voorstellen op de NDSS-conferentie in San Diego in februari 2014.

Advertentie