Microsoft: Wachtwoord met 20 karakters onvoldoende
Wachtwoorden die uit 20 karakters bestaan zijn niet voldoende om aanvallen door hackers af te slaan, zo blijkt uit onderzoek van Microsoft, maar het advies dat de softwaregigant voor het samenstellen van een wachtwoord geeft is op z'n minst dubieus te noemen. Een jaar geleden begon Microsoft met het monitoren van aanvallen tegen FTP-servers. Het ging dan voornamelijk om woordenboekaanvallen. Uit de verzamelde statistieken blijkt dat de gemiddelde lengte van een wachtwoord 8 karakters is. "En dat ligt dicht in de buurt van de wachtwoorden die veel mensen voor hun internet accounts kiezen", aldus Francis Allan van het Microsoft Malware Protection Center.
Het langste wachtwoord dat de aanvallers probeerden was 29 karakters. Bij de gebruikte gebruikersnamen ging het gemiddeld om 6 karakters en was de langste naam 15 karakters. Eén aanvaller probeerde zelfs meer dan 400.000 verschillende namen en wachtwoord combinaties. De aanvallen vinden voornamelijk plaats vanaf al gehackte computers, die via IRC-kanalen de opdrachten voor de aanval krijgen.
Lengte
"We willen gebruikers alleen bewust maken dat wachtwoorden van zo'n acht a tien karakters, de gemiddelde lengte van wachtwoorden voor internet accounts, in aanvallen worden gebruikt." Daarbij zijn zelfs wachtwoorden van 20 karakters niet voldoende, zolang die op een woordenboek zijn gebaseerd, merkt Allan op. Gebruikers krijgen dan ook het advies om een goede gebruikersnaam en wachtwoord te kiezen. Voor het maken van een sterk wachtwoord adviseert de softwaregigant de combinatie van letters, cijfers, speciale karakters, kleine en hoofdletters en de nodige lengte. Daarnaast moeten gebruikers regelmatig hun wachtwoord wijzigen en voor verschillende accounts verschillende wachtwoorden kiezen.
Dubieus
Microsoft ontwikkelde zelfs een wachtwoordmeter om te bepalen hoe sterk een wachtwoord is. Het advies lijkt haaks te staan op onderzoek dat twee jaar geleden werd uitgevoerd. Toen bewees een onderzoeker, die zijn account door echte hackers liet aanvallen, dat lange makkelijke wachtwoorden veel beter zijn dan complexe korte wachtwoorden. Voor het kraken van het wachtwoord "S10wDr1v3r" hadden aanvallers vier maanden nodig. Het wachtwoord "myengagingwives" sneuvelde pas na een jaar. Opmerkelijk genoeg vindt de wachtwoordmeter van Microsoft dat "S10wDr1v3r" een sterk wachtwoord is, terwijl "myengagingwives" als zwak wordt bestempeld.
Hieronder de 10 meest geprobeerde wachtwoorden en gebruikersnamen:
brute force versus dictionary
Tegen brute force heeft de lengte van het wachtwoord een voordeel. Tegen dictionary hebben rare tekens/hoofdletters/kleine letters en het feit dat een woord niet in een woordenlijst voor mag komen voordeel.
Ik denk dat Microsoft probeert om dictionary attacks moeilijker te maken en dat het onderzoek van twee jaar geleden zich richtte op brute force.
maar niet heus
Het grootste probleem is dat Windows een login paswoord opslaat in hash blokken van 8 karakters.
Dus het eerste hash blok van paswoord 'JoepiedePoepie' is gelijk aan 'JoepiedeDrol', daar 'Joepiede' in beide gelijk is.
L0phtCrack (van L0phtIndustries) kan daarom snel een 20-karakter paswoord (onder Windows) vinden als de hash blokken bekend zijn.
Andere systemen hebben dit probleem niet.
Dit gevaar met wachtwoorden is al jaren bekend, maar omdat Microsoft het zegt is het opeens weer nieuws.
"myengagingwives" LOL :')
Omdat ik veel te veel wachtwoorden heb, voor veel te veel websites en applicaties, heb ik een passwordmanager applicatie, universeel te bereiken, altijd online. Elk wachtwoord is tussen de 12 en 20 karakters, en/ of alfanumeriek, en/ of upper en lower case, etc.
1. Genereer een goed wachtwoord, of een random wachtwoord en een die je zelf kan samenstellen,
copy/ paste deze URL in je browser:
https://www.goodpassword.com/passwordgenerator.htm
2. Selecteer de opties:
- 20 karakters
- Speciale tekens
- Numerieke tekens
- Lower Case
- Upper Case
3. Ik begrijp niet waarom niet alle websites 20 karakters ondersteunen. Mijn suggestie is dat websites zelfs wachtwoorden met 100 karakters en alfanumeriek mogelijk maken.
Het grootste probleem is dat Windows een login paswoord opslaat in hash blokken van 8 karakters.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
