image

Onderzoeker: aanvallers bruteforcen geen lange wachtwoorden

dinsdag 23 november 2021, 09:26 door Redactie, 17 reacties

Aanvallers die bruteforce-aanvallen uitvoeren om toegang tot systemen en servers te krijgen proberen alleen korte wachtwoorden, zo stelt Ross Bevington, een beveiligingsonderzoeker bij Microsoft. Bevington analyseerde meer dan 25 miljoen bruteforce-aanvallen via SSH op een honeypot-systeem.

77 procent van deze aanvallen probeerde een wachtwoord van van tussen de één en zeven karakters. Bij slechts zes procent van de aanvallen werd een wachtwoord van meer dan tien karakters geprobeerd. Dertig procent van alle wachtwoorden gebruikt bij de onderzochte bruteforce-aanvallen is zes karakters lang.

Verder ontdekte Bevington dat slechts zeven procent van de bruteforce-aanvallen een speciaal teken bevatte. Het gebruik van tenminste één cijfer kwam bij 39 procent van de aanvallen voor. Tevens laat Bevington weten dat geen van de wachtwoorden die aanvallers gebruikten een spatie bevatte.

Naast het analyseren van wachtwoorden zag de onderzoeker dat het aantal bruteforce-aanvallen op de honeypot-systemen van Microsoft dit jaar met 325 procent is toegenomen ten opzichte van vorig jaar. "Statistieken van SSH en VNC zijn net zo erg", aldus Bevington tegenover The Record.

Image

Reacties (17)
23-11-2021, 10:11 door linuxpro
Een passphrase heeft dus kennelijk zin i.p.v. een wachtwoord... nu nog zorgen dat je ook daadwerkelijk overal dat kan gebruiken i.p.v. gelimiteerd te worden op 7 of 8 tekens zoals je nu nog maar al te vaak ziet
23-11-2021, 10:14 door Anoniem
Dat komt omdat het leeuwendeel van die brute force "aanvallen" scriptkiddies zijn die een tooltje gebruiken en een gedownloade lijst met wachtwoorden. Hoewel het je logs vervuilt, is het verder eigenlijk geen bedreiging als je je zaakjes op orde hebt.

Dit is natuurlijk geen reden om je wachtwoorden te vereenvoudigen. Echte bedreigingen zijn gerichte aanvallen waarbij ook fishing en social engineering worden toegepast.
23-11-2021, 11:15 door Anoniem
Door linuxpro: Een passphrase heeft dus kennelijk zin i.p.v. een wachtwoord... nu nog zorgen dat je ook daadwerkelijk overal dat kan gebruiken i.p.v. gelimiteerd te worden op 7 of 8 tekens zoals je nu nog maar al te vaak ziet
Een passphrase is ook makkelijker te onthouden. Zelf gebruik ik "wachtwoord vergeten" optie. Hierdoor hoef je nooit je wachtwoord of passphrase te onthouden en bij elke inlog is dit dus anders. Groot voordeel is dat je een zeer sterk en uniek wachtwoord of passpharse kunt kiezen. Daardoor vervallen alle wachtwoord-managers en hoef je het nergens op te slaan. Dus 5 vliegen in 1 klap, om het maar zo te zeggen.
23-11-2021, 11:28 door Anoniem
Het heeft ook allemaal te maken met de sterkte van je wachtwoord, niet alleen de lengte. We hebben onze wachtwoorden wel eens laten testen op een dictionary attack door ze door een speciaal daarvoor geschikt cluster heen te halen. Binnen 4 uur waren meer dan 6k wachtwoorden 'gekraakt' waaronder ook 23 karakter wachtwoorden. Dus als je wachtwoordzin 1:1 te vinden is in de wereld (en dus mogelijk in een woordenlijst staat) maakte lengte natuurlijk niet uit.
23-11-2021, 11:35 door Anoniem
Door Anoniem: Dat komt omdat het leeuwendeel van die brute force "aanvallen" scriptkiddies zijn die een tooltje gebruiken en een gedownloade lijst met wachtwoorden. Hoewel het je logs vervuilt, is het verder eigenlijk geen bedreiging als je je zaakjes op orde hebt.

Dit is natuurlijk geen reden om je wachtwoorden te vereenvoudigen. Echte bedreigingen zijn gerichte aanvallen waarbij ook fishing en social engineering worden toegepast.

De laatste twee zijn inderdaad het grootste deel van 'hacks'.

Het is wel zo dat voor veel mensen wachtwoordzinnetjes stukken makkelijker te onthouden zijn.

l / p Anoniem / LekkeRKletseNOveRSecurtyNL is toch echt makkelijker te onthouden dan Anoniem / 1&gIu*65^^,)lK
En hoogstwaarschijnlijk net zo veilig.
23-11-2021, 11:46 door Anoniem
/s/ Maar meer dan 6 tekens intypen duurt zo lang /s
23-11-2021, 12:24 door Anoniem
Door linuxpro: Een passphrase heeft dus kennelijk zin i.p.v. een wachtwoord... nu nog zorgen dat je ook daadwerkelijk overal dat kan gebruiken i.p.v. gelimiteerd te worden op 7 of 8 tekens zoals je nu nog maar al te vaak ziet

Kun je vertellen waar ongeveer je een limiet op 7 of 8 tekens "maar al te vaak" tegenkomt ?

Mij is dat namelijk al heel lang niet meer overkomen.
23-11-2021, 12:25 door Anoniem
Door Anoniem: Een passphrase is ook makkelijker te onthouden. Zelf gebruik ik "wachtwoord vergeten" optie. Hierdoor hoef je nooit je wachtwoord of passphrase te onthouden en bij elke inlog is dit dus anders. Groot voordeel is dat je een zeer sterk en uniek wachtwoord of passpharse kunt kiezen. Daardoor vervallen alle wachtwoord-managers en hoef je het nergens op te slaan. Dus 5 vliegen in 1 klap, om het maar zo te zeggen.

Nu hopen dat je een sterk wachtwoord hebt voor je email en 2FA aan hebt staan...
23-11-2021, 15:28 door [Account Verwijderd]
Door Anoniem:
Door Anoniem: Een passphrase is ook makkelijker te onthouden. Zelf gebruik ik "wachtwoord vergeten" optie. Hierdoor hoef je nooit je wachtwoord of passphrase te onthouden en bij elke inlog is dit dus anders. Groot voordeel is dat je een zeer sterk en uniek wachtwoord of passpharse kunt kiezen. Daardoor vervallen alle wachtwoord-managers en hoef je het nergens op te slaan. Dus 5 vliegen in 1 klap, om het maar zo te zeggen.

Nu hopen dat je een sterk wachtwoord hebt voor je email en 2FA aan hebt staan...

Inderdaad maar dat geldt ook als je wel wachtwoorden gebruikt op sites en die opslaat in bv. een password manager. Want met je e-mailadres kan men jouw wachtwoord veranderen bij de site en dan is je opgeslagen wachtwoord onbruikbaar.
23-11-2021, 18:05 door Anoniem
Het overflowen van je logs door bruteforce logging van zowel applicatie als firewall als security omgeving kan an sich ook nog een probleem worden. In het verleden heb ik bij een bank omgeving geconstateerd dat een brute force aanval ten tijde van een zomertijd->normale tijd wisseling zorgde voor een overloop van loghing op een firewall die daardoor over de zeik ging en de extra logging op de secondaire firewall het hele systeem over de zeik hielp... Dus bruteforce aanvallen kunnen wel degelijk een 'seconds from disaster' effect hebben.. (in de trend van pietje deed dit, klaasje deed daardoor dat en truusje storte neer)
23-11-2021, 19:00 door Anoniem
Door Anoniem:Maar meer dan 6 tekens intypen duurt zo lang /s
Met copy/pasten uit je paswordsafe maakt de lengte eigenlijk niet uit voor de moeite om em 'in te voeren'.
23-11-2021, 23:52 door Anoniem
Waarom niet gewoon een maximaal aantal pogingen instellen? Net als met de pincode, maximaal 3 x proberen. Geen probleem voor wie het password kent, voor onbevoegden een heel groot probleem, bruteforcen kan dan niet meer.
24-11-2021, 17:33 door -Peter-
Door Anoniem: Dat komt omdat het leeuwendeel van die brute force "aanvallen" scriptkiddies zijn die een tooltje gebruiken en een gedownloade lijst met wachtwoorden. Hoewel het je logs vervuilt, is het verder eigenlijk geen bedreiging als je je zaakjes op orde hebt.

Als je het goed hebt geregeld, wordt het account geblokkeerd bij X aantal verkeerde pogingen. Dus de gebruiker heeft er wel last van. Het is tegenwoordig een vaak geziene DoS methode.

Door Anoniem:
Door linuxpro: Een passphrase heeft dus kennelijk zin i.p.v. een wachtwoord... nu nog zorgen dat je ook daadwerkelijk overal dat kan gebruiken i.p.v. gelimiteerd te worden op 7 of 8 tekens zoals je nu nog maar al te vaak ziet

Kun je vertellen waar ongeveer je een limiet op 7 of 8 tekens "maar al te vaak" tegenkomt ?

Een jaar geleden zag ik het nog bij sommige sites. Welke dat waren, weet ik niet meer. Ik ben daar natuurlijk niet verder mee gegaan. Als ze al zo slecht zijn op dit gebied, heb ik geen vertrouwen op hun kwaliteiten op andere gebieden.

Daarnaast gebruiken die scriptkiddies ook niet echt recente wachtwoordlijsten. Mijn ervaring is dat dergelijke lijsten wel 10 of meer jaar oud kunnen zijn.

Peter
24-11-2021, 20:21 door [Account Verwijderd]
Niet dat het zo belangrijk is maar de meeste halen brute force en dict-attact door elkaar. Ze zijn toch wezenlijk verschillend!
25-11-2021, 09:13 door Anoniem
ING hanteert ook een max lengte op het wachtwoord bij hun internetbankier omgeving... Tja..
25-11-2021, 15:52 door Anoniem
Door Anoniem: ING hanteert ook een max lengte op het wachtwoord bij hun internetbankier omgeving... Tja..

De limiet bij ING is 20 karakters. EN na 7(? in elk geval beperkt aantal) foute pogingen wordt het account gelocked.
Plus dat ze nu echt die tweede factor (app of scanner) vereisen.

Je "Tja...' alsof er daar iets mis is, is totaal niet terecht .
25-11-2021, 16:04 door Anoniem
Door -Peter-:
Door Anoniem: Dat komt omdat het leeuwendeel van die brute force "aanvallen" scriptkiddies zijn die een tooltje gebruiken en een gedownloade lijst met wachtwoorden. Hoewel het je logs vervuilt, is het verder eigenlijk geen bedreiging als je je zaakjes op orde hebt.

Als je het goed hebt geregeld, wordt het account geblokkeerd bij X aantal verkeerde pogingen. Dus de gebruiker heeft er wel last van. Het is tegenwoordig een vaak geziene DoS methode.

Door Anoniem:
Door linuxpro: Een passphrase heeft dus kennelijk zin i.p.v. een wachtwoord... nu nog zorgen dat je ook daadwerkelijk overal dat kan gebruiken i.p.v. gelimiteerd te worden op 7 of 8 tekens zoals je nu nog maar al te vaak ziet

Kun je vertellen waar ongeveer je een limiet op 7 of 8 tekens "maar al te vaak" tegenkomt ?

Een jaar geleden zag ik het nog bij sommige sites. Welke dat waren, weet ik niet meer. Ik ben daar natuurlijk niet verder mee gegaan. Als ze al zo slecht zijn op dit gebied, heb ik geen vertrouwen op hun kwaliteiten op andere gebieden.

Inderdaad zou ik er dan ook weinig vertrouwen in hebben.
Het zal vast wel bestaan, en mijn eigen set accounts/sites waar ik ervaring mee heb hoeft ook geen heel representatieve steekproef te zijn.
Aan de andere kant : de stelling van de anonieme poster "maar al te vaak" zou betekenen dat er makkelijk meer voorbeelden van te vinden zouden zijn dan iemand (anders) die het vrij recent bij "sommige" sites nog wel zag.

Als ik _ergens_ een device opduikel dat klassiek Unix crypt(3) gebruikt spreek ik niet over "maar al te vaak" .


Daarnaast gebruiken die scriptkiddies ook niet echt recente wachtwoordlijsten. Mijn ervaring is dat dergelijke lijsten wel 10 of meer jaar oud kunnen zijn.

Zou dan veel uitmaken ?
Het zou een aardig hoofdstukje in het een of andere paper kunnen zijn, wijzigende frequenties van top wachtwoorden in de loop van de tijd.
Met de heel natte vinger kan ik speculeren dat opkomende filmsterren/artiesten/songteksten/modewoorden wel iets doen in password dictionaries - maar ik durf niet heel hard te gokken wat voor percentages je gaat missen met een oudere dictionary.


Peter
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.