Microsoft: Wachtwoord met 20 karakters onvoldoende
Wachtwoorden die uit 20 karakters bestaan zijn niet voldoende om aanvallen door hackers af te slaan, zo blijkt uit onderzoek van Microsoft, maar het advies dat de softwaregigant voor het samenstellen van een wachtwoord geeft is op z'n minst dubieus te noemen. Een jaar geleden begon Microsoft met het monitoren van aanvallen tegen FTP-servers. Het ging dan voornamelijk om woordenboekaanvallen. Uit de verzamelde statistieken blijkt dat de gemiddelde lengte van een wachtwoord 8 karakters is. "En dat ligt dicht in de buurt van de wachtwoorden die veel mensen voor hun internet accounts kiezen", aldus Francis Allan van het Microsoft Malware Protection Center.
Het langste wachtwoord dat de aanvallers probeerden was 29 karakters. Bij de gebruikte gebruikersnamen ging het gemiddeld om 6 karakters en was de langste naam 15 karakters. Eén aanvaller probeerde zelfs meer dan 400.000 verschillende namen en wachtwoord combinaties. De aanvallen vinden voornamelijk plaats vanaf al gehackte computers, die via IRC-kanalen de opdrachten voor de aanval krijgen.
Lengte
"We willen gebruikers alleen bewust maken dat wachtwoorden van zo'n acht a tien karakters, de gemiddelde lengte van wachtwoorden voor internet accounts, in aanvallen worden gebruikt." Daarbij zijn zelfs wachtwoorden van 20 karakters niet voldoende, zolang die op een woordenboek zijn gebaseerd, merkt Allan op. Gebruikers krijgen dan ook het advies om een goede gebruikersnaam en wachtwoord te kiezen. Voor het maken van een sterk wachtwoord adviseert de softwaregigant de combinatie van letters, cijfers, speciale karakters, kleine en hoofdletters en de nodige lengte. Daarnaast moeten gebruikers regelmatig hun wachtwoord wijzigen en voor verschillende accounts verschillende wachtwoorden kiezen.
Dubieus
Microsoft ontwikkelde zelfs een wachtwoordmeter om te bepalen hoe sterk een wachtwoord is. Het advies lijkt haaks te staan op onderzoek dat twee jaar geleden werd uitgevoerd. Toen bewees een onderzoeker, die zijn account door echte hackers liet aanvallen, dat lange makkelijke wachtwoorden veel beter zijn dan complexe korte wachtwoorden. Voor het kraken van het wachtwoord "S10wDr1v3r" hadden aanvallers vier maanden nodig. Het wachtwoord "myengagingwives" sneuvelde pas na een jaar. Opmerkelijk genoeg vindt de wachtwoordmeter van Microsoft dat "S10wDr1v3r" een sterk wachtwoord is, terwijl "myengagingwives" als zwak wordt bestempeld.
Hieronder de 10 meest geprobeerde wachtwoorden en gebruikersnamen:
brute force versus dictionary
Tegen brute force heeft de lengte van het wachtwoord een voordeel. Tegen dictionary hebben rare tekens/hoofdletters/kleine letters en het feit dat een woord niet in een woordenlijst voor mag komen voordeel.
Ik denk dat Microsoft probeert om dictionary attacks moeilijker te maken en dat het onderzoek van twee jaar geleden zich richtte op brute force.
maar niet heus
Het grootste probleem is dat Windows een login paswoord opslaat in hash blokken van 8 karakters.
Dus het eerste hash blok van paswoord 'JoepiedePoepie' is gelijk aan 'JoepiedeDrol', daar 'Joepiede' in beide gelijk is.
L0phtCrack (van L0phtIndustries) kan daarom snel een 20-karakter paswoord (onder Windows) vinden als de hash blokken bekend zijn.
Andere systemen hebben dit probleem niet.
Dit gevaar met wachtwoorden is al jaren bekend, maar omdat Microsoft het zegt is het opeens weer nieuws.
"myengagingwives" LOL :')
Omdat ik veel te veel wachtwoorden heb, voor veel te veel websites en applicaties, heb ik een passwordmanager applicatie, universeel te bereiken, altijd online. Elk wachtwoord is tussen de 12 en 20 karakters, en/ of alfanumeriek, en/ of upper en lower case, etc.
1. Genereer een goed wachtwoord, of een random wachtwoord en een die je zelf kan samenstellen,
copy/ paste deze URL in je browser:
https://www.goodpassword.com/passwordgenerator.htm
2. Selecteer de opties:
- 20 karakters
- Speciale tekens
- Numerieke tekens
- Lower Case
- Upper Case
3. Ik begrijp niet waarom niet alle websites 20 karakters ondersteunen. Mijn suggestie is dat websites zelfs wachtwoorden met 100 karakters en alfanumeriek mogelijk maken.
Het grootste probleem is dat Windows een login paswoord opslaat in hash blokken van 8 karakters.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.