image

Driekwart populairste websites staat wachtwoord 12345678 toe

donderdag 23 juni 2022, 11:28 door Redactie, 12 reacties

Driekwart van de populairste websites op internet staat zwakke wachtwoorden toe zoals 12345678, abc123456 en P@$$w0rd. Daarnaast belast bijna de helft van deze sites gebruikers door een speciaal karakter in hun wachtwoord te verplichten. Dat blijkt uit onderzoek van de Princeton University naar het wachtwoordbeleid van populaire websites.

Voor het onderzoek keken de onderzoekers of de 120 populairste Engelstalige websites op internet zich aan best practices voor wachtwoorden houden. Het gaat dan om het blokkeren van zwakke wachtwoorden die in datalekken voorkomen of eenvoudig zijn te raden, het gebruik van een sterktemeter om gebruikers real-time feedback te geven over de sterkte van hun wachtwoord en het niet dwingen van gebruikers om speciale karaktertypes in hun wachtwoord te gebruiken. Slechts 15 van de 120 onderzochte topsites, waaronder Google, Adobe, Twitch, GitHub en Grammarly, blijken deze best practices te volgen.

De onderzoekers maakten onder andere gebruik van een lijst met de veertig meest gelekte wachtwoorden. Zo staat de helft van de websites het gebruik van alle veertig zwakke wachtwoorden toe en nog eens negentien sites staan meer dan de helft van deze wachtwoorden toe. Verder maken slechts 23 van de 120 websites gebruik van een sterktemeter en verplicht meer dan de helft het gebruik van bepaalde karakters, zoals speciale karakters en cijfers.

Uit andere onderzoeken blijkt dat het verplichten van langere wachtwoorden en juist geen specifieke karakters te verplichten voor sterkere wachtwoorden zorgt. Het Amerikaanse National Institute of Standards and Technology, een Amerikaanse organisatie die onder andere verantwoordelijk is voor het opstellen van cybersecurityrichtlijnen voor de Amerikaanse overheid, adviseert websites om gebruikers geen bepaalde karakters in hun wachtwoorden te verplichten.

Aangezien wachtwoorden nog altijd een belangrijke rol spelen bij het inloggen op accounts adviseren de onderzoekers websites dan ook om zich te richten op de veiligheid en bruikbaarheid van wachtwoorden. Zo moeten websites zwakke wachtwoorden beter blokkeren, gedateerd wachtwoordbeleid met specifieke karakters afschaffen en verkeerd geconfigureerde sterktemeters aanpassen. "Wachtwoorden zijn uitdrukkelijk onderzocht, maar slechts weinig websites hebben wachtwoordbeleid geïmplementeerd dat de geleerde lessen weergeeft", zegt onderzoeker Kevin Lee.

Image

Reacties (12)
23-06-2022, 12:41 door Anoniem
Ja maar kijk, wat er eerst altijd werd aangeraden als "sterk", zoals dingen als "P@$$w0rd", dat wordt nu weer neergesabeld als "zwak".
En wat er eerst als best practice werd aangeraden, zoals speciale tekens eisen, dat is nu weer een slecht plan.
Dan is het toch niet zo raar dat niet iedereen "in de pas" loopt?
23-06-2022, 14:11 door Briolet
Driekwart populairste websites staat wachtwoord 12345678 toe…

…Daarnaast belast bijna de helft van deze sites gebruikers door een speciaal karakter in hun wachtwoord te verplichten.

Blijkbaar bestaat er een nieuwe soort wiskunde die ik nooit gehad heb. In elk geval zit er in 1234567 geen speciaal karakter.
23-06-2022, 14:25 door Anoniem
Stel, ik neem via een password tool dit wachtwoord:

g380-n3[)NOace75%(_6

Voer dat in als je een account aanmaakt.

Na afloop log je uit, en ga je bij de volgende inlog naar "wachtwoord vergeten" van diezelfde website.
Voer de instructies uit die je toegestuurd krijgt.

Maak met de password tool een nieuw uniek wachtwoord, bijvoorbeeld:

uSt4o2UBm!4Qq75RWTW9

En log weer in.

Zo heb je altijd een zeer sterk password/passphrase, je hoeft je wachtwoorden nooit meer op te slaan of te onthouden en je maakt een niet te kraken wachtwoord aan dat steeds uniek is en waar hackers niets aan hebben. Zo voorkom je ook hergebruik van oude wachtwoorden.
23-06-2022, 14:58 door Anoniem
Tsja, waar leg je de verantwoordelijkheid? Als je nu nog niet snapt dat 12345678 een goed wachtwoord is..
23-06-2022, 17:52 door Anoniem
Door Anoniem: Tsja, waar leg je de verantwoordelijkheid? Als je nu nog niet snapt dat 12345678 een goed wachtwoord is..
Als je nu nog niet snapt dat inloggen met wachtwoorden veel onveiliger is dan inloggen met FIDO2 beveiligingssleutels...
23-06-2022, 17:57 door Anoniem
Door Anoniem: Tsja, waar leg je de verantwoordelijkheid? Als je nu nog niet snapt dat 12345678 een goed wachtwoord is..
Of dat een goed wachtwoord is hangt er vanaf hoe de website wachtwoorden bewaart, en hoe het brute force inlogpogingen
beperkt. In het geval wachtwoordhashes niet lekken en het aantal inlogpogingen beperkt is, is ieder wachtwoord in
principe even goed, net zoals iedere pincode even goed is. Als aanvaller kun je niet weten wat het wachtwoord is, dus
of het 12345678 of 87654321 is.
23-06-2022, 21:08 door Anoniem
Door Anoniem: Of dat een goed wachtwoord is hangt er vanaf hoe de website wachtwoorden bewaart, en hoe het brute force inlogpogingen beperkt. In het geval wachtwoordhashes niet lekken en het aantal inlogpogingen beperkt is, is ieder wachtwoord in principe even goed, net zoals iedere pincode even goed is. Als aanvaller kun je niet weten wat het wachtwoord is, dus of het 12345678 of 87654321 is.
Dat klopt, zolang je het over een individueel account hebt. Gegarandeerd dat als je '12345678' als wachtwoord probeert op enkele honderden accounts, dat er wel een paar tussen zullen zitten waarbij je succes hebt. Als er 50 zwakke wachtwoorden zijn die veel gebruikt worden en 20% van de mensen een zwak wachtwoord gebruikt, dan heb je met 500 medewerkers al een redelijke (50%) kan dat je in 1x zo'n zwak wachtwoord weet te raden. Tip: rond deze tijd wil je 'Zomer2022!' proberen
23-06-2022, 21:24 door Anoniem
Door Anoniem:
Door Anoniem: Tsja, waar leg je de verantwoordelijkheid? Als je nu nog niet snapt dat 12345678 een goed wachtwoord is..
Als je nu nog niet snapt dat inloggen met wachtwoorden veel onveiliger is dan inloggen met FIDO2 beveiligingssleutels...
Paranoïde gebruiker?
23-06-2022, 22:00 door Anoniem
Als het is om een twee millimeter diepe put te beveiligen dan kan daar toch geen kalf in verzuipen.
24-06-2022, 00:41 door Erik van Straten
Door Anoniem: In het geval wachtwoordhashes niet lekken en het aantal inlogpogingen beperkt is, is ieder wachtwoord in principe even goed, net zoals iedere pincode even goed is.
In "principe" misschien wel, maar in de praktijk niet. Want als aanvaller begin je met het meest gebruikte wachtwoord te proberen: 12345 (of pincode: 0000), daarna het op een na meest gebruikte etc.

Niet voor niets checken steeds meer sites of jouw wachtwoord voorkomt in een lijst met veelgebruikte wachtwoorden, en vragen jou het wachtwoord te wijzigen als dit zo is.

Maar ook als jouw geboortedatum of de naam van jouw hond niet op die lijsten voorkomt, is het stom om dat als wachtwoord te gebruiken, omdat een aanvaller dat soort informatie vaak eenvoudig kan achterhalen en gokken dat jij dat als wachtwoord gebruikt.

De aanname dat het aantal inlogpogingen beperkt zal zijn is ook onverstandig, want meestal weet je dit niet, het kan veranderen en het is te bypassen (door, als aanvaller, lang te wachten met een of enkele volgende inlogpogingen op een specifiek account).

Een wachtwoordmanager gebruiken met per site een random gegenereerd lang wachtwoord is het minst onveilig (en maak, na elke wijziging, een back-up van de bijbehorende versleutelde database roulerend op 1 van minstens 2 onafhankelijke opslagmedia - bij voorkeur offline bewaard). Een wachtwoordmanager is ook handig om overzicht te houden op waar je allemaal accounts hebt.

En gebruik zeker geen zwak wachtwoord voor je e-mail account, want als een aanvaller daarop in kan loggen, kan hij of zij via "wachtwoord vergeten" inloggen op de meeste van jouw andere accounts.
24-06-2022, 06:24 door spatieman
Door Anoniem: Tsja, waar leg je de verantwoordelijkheid? Als je nu nog niet snapt dat 12345678 een goed wachtwoord is..

dat snappen de mensen zo 123 niet......
24-06-2022, 22:45 door Anoniem
Driekwart populairste websites staat wachtwoord 12345678 toe.
Bwah, wat een lang wachtwoord. Iedereen weet toch dat je gewoon 12345 moet gebruiken.
Zelfs de koning gebruikt dat op z'n koffer.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.