Microsoft: Niemand mag hetzelfde wachtwoord
Onderzoekers van Microsoft hebben een manier gevonden voor het maken van eenvoudig te herinneren wachtwoorden, zonder dat een systeem kwetsbaarder voor hackers wordt. In plaats van het opdringen van complexe wachtwoorden, zijn slechts een paar gebruikers toegestaan hetzelfde wachtwoord te gebruiken, wat hetzelfde effect op de veiligheid van het systeem zou moeten hebben.
"We versterken door gebruikers gekozen wachtwoorden tegen statistieke-raad aanvallen, door gebruikers van internetschaalsystemen elk wachtwoord te laten kiezen wat ze willen, zolang het niet bij andere gebruikers populair is", aldus de onderzoekers. Door gebruikers gekozen wachtwoorden zouden kwetsbaar voor dit soort aanvallen zijn, een soort van woordenboekaanval. De aanvaller zal hierbij als eerste de populairste wachtwoorden proberen.
Om systemen en gebruikers hier tegen te beschermen, moet het aantal pogingen dat een aanvaller het wachtwoord kan raden worden beperkt. Tevens moet het aantal accounts met dezelfde populaire wachtwoorden worden beperkt.
Wachtwoordmeter
Ook waarschuwen de onderzoekers voor websites waar gebruikers de sterkte van hun wachtwoord kunnen meten. Veel van deze meters gebruikers regels die ook worden gebruikt bij het opstellen van wachtwoordbeleid binnen bedrijven. "Maar het dreigingsmodel waaronder ze deze sterkte berekenen is onduidelijk."
Daardoor kan het zijn dat de meeste wachtwoordmeters een string van 32 letters een "zwak wachtwoord" noemen, terwijl Windows Live ID een wachtwoord zoals "@Aaaaaa" sterk noemt. Yahoo vindt "P@ssword" een sterk wachtwoord. "Het beperken van de populariteit heeft de potentie om zowel de veiligheid als bruikbaarheid te vergroten", aldus de onderzoekers in dit rapport.
Dat zijn ook beide sterke wachtwoorden, de eerste is nog de beste van de twee, aangezien de tweede nog best in een dictionary file opgenomen zou kunnen worden.
Maar beide zijn sterk door het vreemde teken en hoofdletter. Je raadt ze niet zomaar en met bruteforce ben je ook wel even bezig.
Dan kun je een wachtwoord nemen als "hottentottententoonstelling", maar wanneer dat in een woordenboek voorkomt, is het minder sterk dan "@Aaaaaa".
Dat zijn ook beide sterke wachtwoorden, de eerste is nog de beste van de twee, aangezien de tweede nog best in een dictionary file opgenomen zou kunnen worden.
Maar beide zijn sterk door het vreemde teken en hoofdletter. Je raadt ze niet zomaar en met bruteforce ben je ook wel even bezig.
Dan kun je een wachtwoord nemen als "hottentottententoonstelling", maar wanneer dat in een woordenboek voorkomt, is het minder sterk dan "@Aaaaaa".
Vrijwel elk wachtwoordenrecept dat uitgaat van voorspelbare gegevens levert per definitie zwakke wachtwoorden op.
hee ik heb een dell pc => HeY|khe81De77Pc#
Nu drie bier => N0w3B1eAh!%
Op deze manier onthoud ik tientallen wachtwoorden en verzin er ook zo tientallen nieuwe bij. Zeker als je je zinnetje kan associëren met waar je wachtwoord voor dient (eerste voor je dell laptop, tweede voor je hyves ofzo).
Je kan ook "pwgen -nycB 10 100" gebruiken en er eentje kiezen die ergens op lijkt.
Stiekum alle wachtwoorden - via internet - upoaden om CENTRAAL (door microsoft) te laten beoordelen of je wachtwoord wel sterkt genoeg is! Gooi dan meteen alle wachtwoorden van je accounts af :-P
Elke keer blijk dat de meest eenvoudige te bedenken wachtwoord (voor mensen die je wachtwoord willen kraken) ook het meest gebruikt wordt. Door dit soort wachtwoorden niet meer toegestaan. Moet en meer moeite gedaan worden en is de kans op een eenvoudig wachtwoord kleiner.
Ondanks dat ik geen MS fan ben is het misschien wel goed om mensen op te voeden.
Gebruikers zullen er ALTIJD - ALLES aan doen om het zo makkelijk mogelijk te maken voor zichzelf. Als ze wegkomen met @Aaaaaaa dan doen ze dat. Als ze weg zouden komen met een 1-karakter lang wachtwoord dan zou dat gebruikt worden. Deze maatregel zal ongetwijfeld ook tot zwakke wachtwoorden kunnen leiden en ik ben benieuwd hoe creatief-dom mensen kunnen zijn.
Serieus nu. Het dilemma tussen gebruiksvriendelijkheid en beveiliging is al tientallen jaren oud. Vroeger hadden we bij het bedrijf waar ik mijn ICT-carrière begon een systeem dat wachtwoorden genereerde en dat zelfs afdrukte!
Weliswaar werden ze in gesloten enveloppen verspreid, maar identiteitsfraude en controle door ons waren een groot nadeel.
Ik ben er nooit voor geweest, maar kreeg geen poot aan de grond. Het systeem is pas veranderd op aanraden van een inhuurkracht...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.