Top 10 meest foute admin wachtwoorden
Onderzoekers van de universiteit van Maryland presenteerden onlangs een onderzoek waaruit bleek dat Linux servers met zwakke wachtwoorden eenvoudig te hacken zijn. Tijdens het onderzoek werden vier servers als lokaas gebruikt. De machines kregen in 24 dagen 269.262 aanvallen te verduren, waarvan 824 pogingen succesvol waren. Volgens de onderzoekers worden de volgende wachtwoorden het meest gebruikt in cyberspace:
1. (gebruikersnaam)
2. (gebruikersnaam)123
3. 123456
4. password
5. 1234
6. 12345
7. passwd
8. 123
9. test
10. 1
Naast deze Top10 verdienen wachtwoorden als "admin1," "changeme," "dontforget," en "letmein" ook een eervolle vermelding. Ook het gebruiken van standaard gebruikersnamen en wachtwoorden die door ontwikkelaars, vendors en fabrikanten worden ingesteld is een populaire strategie om systemen binnen te dringen. Het gaat dan om wachtwoorden als: "default," "system," "attack," "cisco," "tiger," "public," en "sun123".
bij routers wordt dit vaak niet veranderd.
user: admin
pass: admin
8 van de 10 keer ben je dan binnen...
Valt me tegen dat 'admin' er nergens tussen staat... vooral
bij routers wordt dit vaak niet veranderd.
user: admin
pass: admin
8 van de 10 keer ben je dan binnen...
Staat die niet op nummer 1?
Valt me tegen dat 'admin' er nergens tussen staat... vooral
bij routers wordt dit vaak niet veranderd.
user: admin
pass: admin
8 van de 10 keer ben je dan binnen...
dachten we van:
(leverancier)(leverancier)
(leverancier) password
(leverancier) <geen password>
en niet alleen bij software, maar ook bij devices (routers
ed) en... BIOS!
lijstjes op het internet zwerven. Die van mij staat er namelijk ook tussen!
volgen alvorens two of zelfs three-factor authenticatie gaat
doorbreken en goedkoper zal worden. Biometrie kan zelfs een
domme gebruiker (en ook admin) niet veel mis mee doen. je
hebt niet zoiets als gemakkelijk te raden vingerafdrukken.
Kraken is altijd mogelijk, maar zo ligt de lat toch weer
ietsje hoger.
ik vind het al een goede evolutie dat er meer en meer
laptops en toetsenborden met fingerprint-readers
verschijnen. Zoveel te rapper dit standaard wordt, zoveel te
beter, en zoveel te sneller de mensen er gewoon aan worden.
ik vraag mij af hoeveel van deze onderzoeken er nog moeten
volgen alvorens two of zelfs three-factor authenticatie gaat
doorbreken en goedkoper zal worden.
Het aantal onderzoeken heeft er niets mee te maken. Helaas
zijn veel bedrijven op dit moment nog net zoals een 10 jaar
geleden. Het moet eerst goed fout gaan voordat de noodzaak
tot verandering ingezien wordt. Daarnaast hoe vaak heb je
nou in het nieuws gehoord dat een bedrijf gehacked is? Ja op
internet zal er voldoende aandacht worden gegeven op sites
zoals deze, maar op het 6 uur nieuws zie je het niet.
Zodra het op een gegeven moment op het 6 uur nieuws regent
van meldingen dat een bedrijf is gehacked (dus niet dat de
website aangepast is) zal het beveiliginsbewustzijn ook
groter worden.
Maw hackers in de wereld strooi eens wat meer naar het nieuws.
Oja ik moet natuurlijk wel bekennen dat er laatst iets in
het nieuws was van die advocaat wiens mailtjes waren
onderschept oid. Maarja het is bijvoorbeeld geen bedrijf dat
failliet gaat door dit soort praktijken.
(gebruikersnaam) (gebruikersnaam) staat er tussen, maar wat
dachten we van:
(leverancier)(leverancier)
(leverancier) password
(leverancier) <geen password>
en niet alleen bij software, maar ook bij devices (routers
ed) en... BIOS!
aanvulling
http://www.governmentsecurity.org/articles/DefaultLoginsandPasswordsfor
NetworkedDevices.php
eens password policy heeft ingesteld, zoiets als wachtwoord neemt
Daarnaast hoe vaak heb je nou in het nieuws gehoord dat een
bedrijf
gehacked is? Ja op internet zal er voldoende aandacht worden
gegeven
op sites zoals deze, maar op het 6 uur nieuws zie je het niet.
Ik denk dat dat inderdaad een hele goede actie zou zijn.
Niet-fysieke beveiliging zoals in de IT gebruikelijk is, is
te onzichtbaar voor de meeste mensen.
Bruteforce woordenboek aanvallen zijn ook ongelooflijk vaak
succesvol. Imho is het belangrijk om een random gegenereerd
wachtword te nemen. Je bent zelfs onveilig als je
p4ss//0rd gebruikt oid.
Ik mis nog grappen als "geheim" enzo ....
Daar maken we natuurlijk 'gehijm' van :-)
natuurlijk verandert.
elk ongewilde gast weet wel dat er ook een admin is voor de
servers.
maar als jij dit gebruikersnaam vervangt, en gebruikt ook
een wachtwoord dat niet eens in de buurt van je
gebruikersnaam komt heb jij al heel wat gedaan om ongewilde
gasten buiten te houden.
dit betekend natuurlijk niet dat je nu geen firewall en
policies hoeft te gebruiken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.