image

Datalek NVIDIA toont gebruik van zwakke wachtwoorden door personeel

dinsdag 22 maart 2022, 14:42 door Redactie, 8 reacties

Medewerkers van chipgigant NVIDIA maakten voor het beschermen van hun accounts gebruik van zwakke wachtwoorden, zo stelt authenticatieprovider Specops Software op basis van eigen onderzoek. Recentelijk lukte het aanvallers om toegang tot systemen van NVIDIA te krijgen en daar ruim 70.000 e-mailadressen en wachtwoordhashes te stelen.

Eerder stelde beveiligingsonderzoeker Troy Hunt van datalekzoekmachine Have I Been Pwned dat een groot deel van de hashes was gekraakt, waardoor het wachtwoord bekend is. Specops stelt dat het 30.000 van de wachtwoorden in handen heeft. Aan de hand hiervan claimt het bedrijf dat NVIDIA-personeel van zwakke wachtwoorden gebruikmaakte. Zo staat in de top tien van basiswoorden op de eerste plek "nvidia", gevolgd door "nvidia3d" en "mellanox". Mellanox is een door NVIDIA overgenomen bedrijf.

Verder komen in de top tien van Specops ook wachtwoorden voor als "welcome", "password", "mynvidia3d" en "qwerty". "Dat "nvidia" in deze lijst staat laat zien dat de organisatie voor de wachtwoordbeveiliging geen gebruikmaakte van een custom woordenboek", aldus de authenticatieprovider. Naar aanleiding van het incident werden alle NVIDIA-medewerkers verplicht om hun wachtwoord te wijzigen.

Reacties (8)
22-03-2022, 15:57 door Anoniem
Op mijn werk word ik gedwongen om zwakke wachtwoorden te gebruiken. Als ik een wachtwoord in wil vullen met een ingewikkeld patroon, dan word ik terug gefloten met de mededeling dat het door mij geopperde wachtwoord niet voldoet aan de eisen, terwijl dat wachtwoord een entropie heeft van dik over de 200. En dan moet ik uiteindelijk ervoor kiezen om een simpel wachtwoord te nemen, want speciale tekens mogen niet, het mag niet langer zijn dat 12 tekens, en meer van dat soort debiele regels. Ik snap er niks van af en toe...
22-03-2022, 17:24 door Anoniem
Door Anoniem: Op mijn werk word ik gedwongen om zwakke wachtwoorden te gebruiken. Als ik een wachtwoord in wil vullen met een ingewikkeld patroon, dan word ik terug gefloten met de mededeling dat het door mij geopperde wachtwoord niet voldoet aan de eisen, terwijl dat wachtwoord een entropie heeft van dik over de 200. En dan moet ik uiteindelijk ervoor kiezen om een simpel wachtwoord te nemen, want speciale tekens mogen niet, het mag niet langer zijn dat 12 tekens, en meer van dat soort debiele regels. Ik snap er niks van af en toe...

Ok, dat is niet ok. Maar... zonder flauw te zijn, de echte zorg is natuurlijk dat Nvidia (en uw bedrijf kennelijk) nog toegang verlenen op basis van (alleen) wachtwoorden.
Kan echt al lang niet meer. Tenminste niet voor dingen die er toe doen.
22-03-2022, 22:07 door Anoniem
Ok, dat is niet ok. Maar... zonder flauw te zijn, de echte zorg is natuurlijk dat Nvidia (en uw bedrijf kennelijk) nog toegang verlenen op basis van (alleen) wachtwoorden.
Kan echt al lang niet meer. Tenminste niet voor dingen die er toe doen.

Er staat toch niet alleen wachtwoorden.
Zoals je het nu schrijft beweer je min of meer dat wachtwoorden verleden tijd zijn.
Ook als je MFA gebruikt heb je in bijna alle gevallen nog wachtwoorden nodig.
Er bestaat geen enkel bedrijf waar medewerkers geen wachtwoorden hebben.
Dus ook bij NVIDIA en ook bij dat bedrijf waar je geen lange wachtwoorden kunt instellen.
23-03-2022, 08:44 door Anoniem
Je neemt je baan niet echt serieus als je zo'n simpel wachtwoord gaat gebruiken.

Plus een complex wachtwoord verplichten gaat ook iets beter helpen, nog beter in combinatie met MFA.
23-03-2022, 09:30 door Anoniem
Een simpel wachtwoord met MFA is veiliger dan een complex wachtwoord zonder MFA
Tenminste... dit geldt met name voor eindgebruikers.

-FluF
23-03-2022, 10:53 door waterlelie - Bijgewerkt: 23-03-2022, 10:55
Door Anoniem: Op mijn werk word ik gedwongen om zwakke wachtwoorden te gebruiken. Als ik een wachtwoord in wil vullen met een ingewikkeld patroon, dan word ik terug gefloten met de mededeling dat het door mij geopperde wachtwoord niet voldoet aan de eisen, terwijl dat wachtwoord een entropie heeft van dik over de 200. En dan moet ik uiteindelijk ervoor kiezen om een simpel wachtwoord te nemen, want speciale tekens mogen niet, het mag niet langer zijn dat 12 tekens, en meer van dat soort debiele regels. Ik snap er niks van af en toe...

Geef nu eens een reden waarom de lezer dit soort voorspelbare anonieme verhalen zouden moeten geloven.. Het kenmerk van anonieme reacties hier is, dat het een hoog fantasie karakter heeft.
23-03-2022, 11:00 door Anoniem
Door Anoniem: Op mijn werk word ik gedwongen om zwakke wachtwoorden te gebruiken. Als ik een wachtwoord in wil vullen met een ingewikkeld patroon, dan word ik terug gefloten met de mededeling dat het door mij geopperde wachtwoord niet voldoet aan de eisen, terwijl dat wachtwoord een entropie heeft van dik over de 200. En dan moet ik uiteindelijk ervoor kiezen om een simpel wachtwoord te nemen, want speciale tekens mogen niet, het mag niet langer zijn dat 12 tekens, en meer van dat soort debiele regels. Ik snap er niks van af en toe...

Wees blij, een sterk wachtwoord beleid werkt namelijk ook averechts.

Elke 1-3 maanden wijzigen, hoofdletters, cijfers, leestekens en de helft van je personeel heeft Vakantie2022! als wachtwoord, of een variant daarvan.

Er moet echt een beter beleid komen, dat het wachtwoord af en toe gewijzigd moet worden is logisch. Maar voed het personeel op, iedereen kan een randomesque zin bedenken die nergens op slaat behalve voor de gebruiker zelf. Gooi een zin aan elkaar van semi-willekeurige woorden, gooi er her en der een 1337 cijfertje doorheen en eventueel een leestekentje. HoiWieBenIklkBenAn0n!em, D1tW33kendG@IkLekkerSh0pp3n oid en je hebt praktisch niet te kraken wachtwoorden en als je normaal typt, dan zijn het ook wachtwoorden die je niet even makkelijk zo maar even meeleest terwijl ze ingetikt worden.
24-03-2022, 10:05 door Anoniem
Door Anoniem:

Wees blij, een sterk wachtwoord beleid werkt namelijk ook averechts.

Elke 1-3 maanden wijzigen, hoofdletters, cijfers, leestekens en de helft van je personeel heeft Vakantie2022! als wachtwoord, of een variant daarvan.

.....
Precies dit, mensen willen gewoon hun werk kunnen doen zonder al te veel gedoe. Nog te vaak zie ik dat er vanuit IT afdelingen vooral eenzijdig gekeken wordt naar het (potentieel) veiligheidsniveau. Daarbij wordt vaak vergeten dat als het niet werkbaar is, mensen er omheen gaan werken.
Bij de implementatie van beveiligingsmaatregelen moet je kijken naar het veiligheidsniveau dat de maatregel biedt en naar de werkbaarheid voor gebruikers. Pas als je over beide assen je zaken op orde hebt, gaat het werken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.