image

Onderzoek: 123456 meestgebruikte 6-cijferige pincode

woensdag 14 maart 2018, 15:55 door Redactie, 10 reacties

123456 is de meestgebruikte 6-cijferige pincode, zo stelt onderzoeker Malte Laukötter aan de hand van onderzoek naar 500 miljoen wachwoordhashes die onlangs door onderzoeker Troy Hunt openbaar werden gemaakt. De wachtwoordhashes zijn afkomstig van echte datalekken waarbij websites werden gehackt.

Met zes posities zijn er 1 miljoen verschillende 6-cijferige pincodes mogelijk. Laukötter ontdekte in de dataset van Hunt alle mogelijke pincodes op 1707 na. 123456 kwam met 13,46 procent het meest voor, gevolgd door 111111 (1,88 procent) en 123123 (1,33 procent). Veel websites, waaronder die van banken, geven gebruikers drie pogingen voordat ze het account blokkeren. "Maar zelfs als dit het geval is zou je nog steeds toegang tot 15 procent moeten krijgen als er geen andere beveiligingsmaatregelen zijn", aldus Laukötter .

Daarnaast lijken veel 6-cijferige pincodes op geboortedata te zijn gebaseerd. Een geboortedatum heeft het formaat DDMMYY of MMDDYY, waarbij er 37200 mogelijke geboortedata zijn. 29,63 procent van de onderzochte pincodes zijn in het formaat DDMMYY en 20,66 procent heeft het formaat MMDDYY. Volgens Laukötter is het dan ook een goed idee als websites geboortedata als pincode blokkeren. "Maar nog beter is om gewoon een lijst van veelgebruikte wachtwoorden te gebruiken of een combinatie van beide", aldus de onderzoeker.

Image

Reacties (10)
14-03-2018, 16:52 door Anoniem
Het principe achter een pincode is dat de opslag ervan volledig ontoegankelijk is voor de inbreker.
Dus ook GEEN toegang tot gehashte waardes!!!
Immers voor een 4 of 6 cijferige pincode maak je in een paar tellen een complete rainbowtable dus als je de hash
weet ben je binnen.
De beveiliging is gebaseerd op het gelimiteerde aantal pogingen, zonder dat is er ook geen beveiliging zeker niet
als het een electronische interface betreft (een website ofzo). Immers alle codes proberen is ook zo gedaan.

Meneer Hunt had vast geen toegang tot daadwerkelijk als pincode aangeboden toegangswachtwoorden/hashes,
maar is er vanuit gegaan dat een password dat puur numeriek is, hetzelfde is als een pincode. Dat is natuurlijk
niet zo.
14-03-2018, 17:31 door Anoniem
Door Anoniem: Het principe achter een pincode is dat de opslag ervan volledig ontoegankelijk is voor de inbreker.
Dus ook GEEN toegang tot gehashte waardes!!!
Immers voor een 4 of 6 cijferige pincode maak je in een paar tellen een complete rainbowtable dus als je de hash
weet ben je binnen.
De beveiliging is gebaseerd op het gelimiteerde aantal pogingen, zonder dat is er ook geen beveiliging zeker niet
als het een electronische interface betreft (een website ofzo). Immers alle codes proberen is ook zo gedaan.

Meneer Hunt had vast geen toegang tot daadwerkelijk als pincode aangeboden toegangswachtwoorden/hashes,
maar is er vanuit gegaan dat een password dat puur numeriek is, hetzelfde is als een pincode. Dat is natuurlijk
niet zo.

Correct, en dan nog moet de combinatie met een username kloppen. Dus een WW van 6 cijfers durf ik voor een bepaald aantal websites nog wel aan.
14-03-2018, 17:58 door Anoniem
Het meest gerecyclede nieuwsbericht ook..... ;-)
14-03-2018, 20:14 door Anoniem
Bij drie pogingen had ik mijn geboortejaar+huisnummer = 6 cijfers bedacht, andersom zou trouwens ook kunnen. Kleine kans dat iemand dat in drie keer raadt.
14-03-2018, 21:38 door Password1234
Door Anoniem: Het principe achter een pincode is dat de opslag ervan volledig ontoegankelijk is voor de inbreker.
Dus ook GEEN toegang tot gehashte waardes!!!
Het principe van ALLE BEVEILIGING is dat gevoelige data (dus ook PIN codes en passwords) volledig ontoegankelijk zijn voor inbrekers.

Helaas is de praktijk zeer weerbarstig en liggen er dagelijks nieuwe gevoelige gegevens op straat.
Dus, waar is het misgegaan?
15-03-2018, 09:53 door Anoniem
Door Password1234:
Door Anoniem: Het principe achter een pincode is dat de opslag ervan volledig ontoegankelijk is voor de inbreker.
Dus ook GEEN toegang tot gehashte waardes!!!
Het principe van ALLE BEVEILIGING is dat gevoelige data (dus ook PIN codes en passwords) volledig ontoegankelijk zijn voor inbrekers.
Nou nee dat klopt niet helemaal hoor.
Het is wel het beste, maar al dat gedoe over "een sterk password" dat is er alleen maar op gebaseerd dat je een
dergelijk password dan niet zou kunnen raden zelfs al heb je de password hash in handen.
Als de hashes niet lekken en er is een beperking aan het aantal wachtwoorden wat je kunt "proberen" (harde limiet
of sterk toenemende tijd tussen twee pogingen) dan is er ook geen reden om een "sterk" password te hoeven nemen!
En een PIN kan nooit "sterk" zijn dus daar is het heel belangrijk dat de opslag niet lekt.
Volgens mij zijn er ook geen gevallen bekend waar inbrekers de hele lijst pincodes van bijvoorbeeld de uitgegeven
bankpassen van een bepaalde bank wisten te downloaden. Dus het KAN wel. De gevallen waarin het wel lukt zijn
veelal de kansloze webshops waar directe database toegang is.
15-03-2018, 09:55 door Anoniem
Door Anoniem: Het meest gerecyclede nieuwsbericht ook..... ;-)
Nou nee dat is volgens mij "er is een update voor Flash Player die kritische veiligheidslekken oplost en die je meteen
moet installeren"... of misschien scoort hetzelfde bericht voor Java nog wel hoger, maar daar hoor je de laatste tijd
niet veel meer van, wellicht omdat ze het zowat onbruikbaar gemaakt hebben voor zowel goede als kwaadaardige
toepassingen.
15-03-2018, 13:48 door Anoniem
123456 kwam met 13,46 procent het meest voor, gevolgd door 111111 (1,88 procent) en 123123 (1,33 procent).

Programmeurs/beheerders, die dergelijke passwords toestaan, die moeten zich kapot schamen. Het moet technisch *onmogelijk* zijn voor gebruikers dergelijke zwakke wachtwoorden te kiezen.
15-03-2018, 23:59 door [Account Verwijderd]
Door Anoniem:
123456 kwam met 13,46 procent het meest voor, gevolgd door 111111 (1,88 procent) en 123123 (1,33 procent).

Programmeurs/beheerders, die dergelijke passwords toestaan, die moeten zich kapot schamen. Het moet technisch *onmogelijk* zijn voor gebruikers dergelijke zwakke wachtwoorden te kiezen.

En de managers die die programmeurs en beheerders dwingen om het simpel te maken zouden zich ook moeten schamen.

Of misschien is het de schuld van die IT handelaar die beloftes maakt die niet kunnen. Tuurlijk meneer ABN wij maken een super veilig en makkelijk systeem.. gaat wel wat kosten hoor kerel.
19-03-2018, 09:28 door Anoniem
Door iCQ:
Door Anoniem:
123456 kwam met 13,46 procent het meest voor, gevolgd door 111111 (1,88 procent) en 123123 (1,33 procent).

Programmeurs/beheerders, die dergelijke passwords toestaan, die moeten zich kapot schamen. Het moet technisch *onmogelijk* zijn voor gebruikers dergelijke zwakke wachtwoorden te kiezen.

En de managers die die programmeurs en beheerders dwingen om het simpel te maken zouden zich ook moeten schamen.

Als ethical hacker in een DevSecOps-team heb ik vrij veel veel inbreng over wat er geïmplementeerd wordt aan beveiliging. Mijn management probeert uiteraard het evenwicht dussen "veilig" en "gebruiksvriendelijk" te bewaren, maar als ik hen zeg dat iets zo-en-zo vrij eenvoudig te kraken is, dan geloven ze dat wel en wordt de UI waar de user ermee geconfronteerd wordt, ook duidelijk voorzien van een tekst die omschrijft waarom we het hen net ietsjes lastiger maken.

Daarnaast, als ik pentests doe van web-apps waar geen security-specialist bij het software-ontwerp is betrokken, merk je dat die programmeurs vaak omvergeluld worden door hun management, omdat zij vaak niet weten hoe ze een security-aspect moeten verdedigen. Tegelijk wordt er stilzwijgend vanuitgegaan dat programmeurs "wel weten wat ze doen" en dat is meer fictie dan feit. Programmeurs zijn goed in oplossingen bedenken en mensentaal omzetten in computertaal. Beveiliging is een compleet ander vak.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.