Driekwart populairste websites staat wachtwoord 12345678 toe
Driekwart van de populairste websites op internet staat zwakke wachtwoorden toe zoals 12345678, abc123456 en P@$$w0rd. Daarnaast belast bijna de helft van deze sites gebruikers door een speciaal karakter in hun wachtwoord te verplichten. Dat blijkt uit onderzoek van de Princeton University naar het wachtwoordbeleid van populaire websites.
Voor het onderzoek keken de onderzoekers of de 120 populairste Engelstalige websites op internet zich aan best practices voor wachtwoorden houden. Het gaat dan om het blokkeren van zwakke wachtwoorden die in datalekken voorkomen of eenvoudig zijn te raden, het gebruik van een sterktemeter om gebruikers real-time feedback te geven over de sterkte van hun wachtwoord en het niet dwingen van gebruikers om speciale karaktertypes in hun wachtwoord te gebruiken. Slechts 15 van de 120 onderzochte topsites, waaronder Google, Adobe, Twitch, GitHub en Grammarly, blijken deze best practices te volgen.
De onderzoekers maakten onder andere gebruik van een lijst met de veertig meest gelekte wachtwoorden. Zo staat de helft van de websites het gebruik van alle veertig zwakke wachtwoorden toe en nog eens negentien sites staan meer dan de helft van deze wachtwoorden toe. Verder maken slechts 23 van de 120 websites gebruik van een sterktemeter en verplicht meer dan de helft het gebruik van bepaalde karakters, zoals speciale karakters en cijfers.
Uit andere onderzoeken blijkt dat het verplichten van langere wachtwoorden en juist geen specifieke karakters te verplichten voor sterkere wachtwoorden zorgt. Het Amerikaanse National Institute of Standards and Technology, een Amerikaanse organisatie die onder andere verantwoordelijk is voor het opstellen van cybersecurityrichtlijnen voor de Amerikaanse overheid, adviseert websites om gebruikers geen bepaalde karakters in hun wachtwoorden te verplichten.
Aangezien wachtwoorden nog altijd een belangrijke rol spelen bij het inloggen op accounts adviseren de onderzoekers websites dan ook om zich te richten op de veiligheid en bruikbaarheid van wachtwoorden. Zo moeten websites zwakke wachtwoorden beter blokkeren, gedateerd wachtwoordbeleid met specifieke karakters afschaffen en verkeerd geconfigureerde sterktemeters aanpassen. "Wachtwoorden zijn uitdrukkelijk onderzocht, maar slechts weinig websites hebben wachtwoordbeleid geïmplementeerd dat de geleerde lessen weergeeft", zegt onderzoeker Kevin Lee.
En wat er eerst als best practice werd aangeraden, zoals speciale tekens eisen, dat is nu weer een slecht plan.
Dan is het toch niet zo raar dat niet iedereen "in de pas" loopt?
…Daarnaast belast bijna de helft van deze sites gebruikers door een speciaal karakter in hun wachtwoord te verplichten.
Blijkbaar bestaat er een nieuwe soort wiskunde die ik nooit gehad heb. In elk geval zit er in 1234567 geen speciaal karakter.
g380-n3[)NOace75%(_6
Voer dat in als je een account aanmaakt.
Na afloop log je uit, en ga je bij de volgende inlog naar "wachtwoord vergeten" van diezelfde website.
Voer de instructies uit die je toegestuurd krijgt.
Maak met de password tool een nieuw uniek wachtwoord, bijvoorbeeld:
uSt4o2UBm!4Qq75RWTW9
En log weer in.
Zo heb je altijd een zeer sterk password/passphrase, je hoeft je wachtwoorden nooit meer op te slaan of te onthouden en je maakt een niet te kraken wachtwoord aan dat steeds uniek is en waar hackers niets aan hebben. Zo voorkom je ook hergebruik van oude wachtwoorden.
beperkt. In het geval wachtwoordhashes niet lekken en het aantal inlogpogingen beperkt is, is ieder wachtwoord in
principe even goed, net zoals iedere pincode even goed is. Als aanvaller kun je niet weten wat het wachtwoord is, dus
of het 12345678 of 87654321 is.
Niet voor niets checken steeds meer sites of jouw wachtwoord voorkomt in een lijst met veelgebruikte wachtwoorden, en vragen jou het wachtwoord te wijzigen als dit zo is.
Maar ook als jouw geboortedatum of de naam van jouw hond niet op die lijsten voorkomt, is het stom om dat als wachtwoord te gebruiken, omdat een aanvaller dat soort informatie vaak eenvoudig kan achterhalen en gokken dat jij dat als wachtwoord gebruikt.
De aanname dat het aantal inlogpogingen beperkt zal zijn is ook onverstandig, want meestal weet je dit niet, het kan veranderen en het is te bypassen (door, als aanvaller, lang te wachten met een of enkele volgende inlogpogingen op een specifiek account).
Een wachtwoordmanager gebruiken met per site een random gegenereerd lang wachtwoord is het minst onveilig (en maak, na elke wijziging, een back-up van de bijbehorende versleutelde database roulerend op 1 van minstens 2 onafhankelijke opslagmedia - bij voorkeur offline bewaard). Een wachtwoordmanager is ook handig om overzicht te houden op waar je allemaal accounts hebt.
En gebruik zeker geen zwak wachtwoord voor je e-mail account, want als een aanvaller daarop in kan loggen, kan hij of zij via "wachtwoord vergeten" inloggen op de meeste van jouw andere accounts.
dat snappen de mensen zo 123 niet......
Zelfs de koning gebruikt dat op z'n koffer.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.