image

Microsoft: Niemand mag hetzelfde wachtwoord

dinsdag 27 juli 2010, 13:41 door Redactie, 11 reacties

Onderzoekers van Microsoft hebben een manier gevonden voor het maken van eenvoudig te herinneren wachtwoorden, zonder dat een systeem kwetsbaarder voor hackers wordt. In plaats van het opdringen van complexe wachtwoorden, zijn slechts een paar gebruikers toegestaan hetzelfde wachtwoord te gebruiken, wat hetzelfde effect op de veiligheid van het systeem zou moeten hebben.

"We versterken door gebruikers gekozen wachtwoorden tegen statistieke-raad aanvallen, door gebruikers van internetschaalsystemen elk wachtwoord te laten kiezen wat ze willen, zolang het niet bij andere gebruikers populair is", aldus de onderzoekers. Door gebruikers gekozen wachtwoorden zouden kwetsbaar voor dit soort aanvallen zijn, een soort van woordenboekaanval. De aanvaller zal hierbij als eerste de populairste wachtwoorden proberen.

Om systemen en gebruikers hier tegen te beschermen, moet het aantal pogingen dat een aanvaller het wachtwoord kan raden worden beperkt. Tevens moet het aantal accounts met dezelfde populaire wachtwoorden worden beperkt.

Wachtwoordmeter
Ook waarschuwen de onderzoekers voor websites waar gebruikers de sterkte van hun wachtwoord kunnen meten. Veel van deze meters gebruikers regels die ook worden gebruikt bij het opstellen van wachtwoordbeleid binnen bedrijven. "Maar het dreigingsmodel waaronder ze deze sterkte berekenen is onduidelijk."

Daardoor kan het zijn dat de meeste wachtwoordmeters een string van 32 letters een "zwak wachtwoord" noemen, terwijl Windows Live ID een wachtwoord zoals "@Aaaaaa" sterk noemt. Yahoo vindt "P@ssword" een sterk wachtwoord. "Het beperken van de populariteit heeft de potentie om zowel de veiligheid als bruikbaarheid te vergroten", aldus de onderzoekers in dit rapport.

Reacties (11)
27-07-2010, 15:44 door Anoniem
Dus als je krijgt 'password allready in use', dan hoef je alleen nog maar door de usernames te itereren omdat daar zeker een aantal tussen zitten die hem hebben?
27-07-2010, 15:53 door mathijsk
terwijl Windows Live ID een wachtwoord zoals "@Aaaaaa" sterk noemt. Yahoo vindt "P@ssword" een sterk wachtwoord.

Dat zijn ook beide sterke wachtwoorden, de eerste is nog de beste van de twee, aangezien de tweede nog best in een dictionary file opgenomen zou kunnen worden.
Maar beide zijn sterk door het vreemde teken en hoofdletter. Je raadt ze niet zomaar en met bruteforce ben je ook wel even bezig.
Dan kun je een wachtwoord nemen als "hottentottententoonstelling", maar wanneer dat in een woordenboek voorkomt, is het minder sterk dan "@Aaaaaa".
27-07-2010, 17:27 door Anoniem
Door mathijsk:
terwijl Windows Live ID een wachtwoord zoals "@Aaaaaa" sterk noemt. Yahoo vindt "P@ssword" een sterk wachtwoord.

Dat zijn ook beide sterke wachtwoorden, de eerste is nog de beste van de twee, aangezien de tweede nog best in een dictionary file opgenomen zou kunnen worden.
Maar beide zijn sterk door het vreemde teken en hoofdletter. Je raadt ze niet zomaar en met bruteforce ben je ook wel even bezig.
Dan kun je een wachtwoord nemen als "hottentottententoonstelling", maar wanneer dat in een woordenboek voorkomt, is het minder sterk dan "@Aaaaaa".
Onderschat bruteforcen niet, tegenwoordig kan men honderden miljoenen (als niet miljarden) wachtwoorden per seconde proberen. @Aaaaaa zal binnen enkele uren gekraakt zijn (rekening mee gehouden dat je per karakter 84 mogelijkheden hebt, namelijk 2x26 + 32 symbolen). Ik ben het er wel met je over eens dat het sterker is dan een veelgebruikte wachtwoord als P@ssword.
27-07-2010, 17:38 door [Account Verwijderd]
Unieke wachtwoorden zijn op zich geen garantie voor sterke wachtwoorden. Als bijvoorbeeld iedereen zijn telefoonnummer als wachtwoord gebruikt, dan is zo'n wachtwoord wel uniek, maar toch eenvoudig te raden.

Vrijwel elk wachtwoordenrecept dat uitgaat van voorspelbare gegevens levert per definitie zwakke wachtwoorden op.
27-07-2010, 20:20 door soeperees
Wat doen mensen toch moeilijk over wachtwoorden. Je verzint iets dat je gemakkelijk kunt onthouden en verbastert dat met hoofdletters leestekens en cijfers.

hee ik heb een dell pc => HeY|khe81De77Pc#
Nu drie bier => N0w3B1eAh!%

Op deze manier onthoud ik tientallen wachtwoorden en verzin er ook zo tientallen nieuwe bij. Zeker als je je zinnetje kan associëren met waar je wachtwoord voor dient (eerste voor je dell laptop, tweede voor je hyves ofzo).

Je kan ook "pwgen -nycB 10 100" gebruiken en er eentje kiezen die ergens op lijkt.
28-07-2010, 06:31 door Dev_Null
door gebruikers van internetschaalsystemen elk wachtwoord te laten kiezen wat ze willen
Ja die zijn gek bij Microsoft!
Stiekum alle wachtwoorden - via internet - upoaden om CENTRAAL (door microsoft) te laten beoordelen of je wachtwoord wel sterkt genoeg is! Gooi dan meteen alle wachtwoorden van je accounts af :-P
28-07-2010, 10:07 door Anoniem
Of je krijgt een mededeling: dit wachtwoord is al in gebruik bij account van piet. kies een wachtwoord dat niet in gebruik is.
28-07-2010, 10:18 door Anoniem
Op zich geen slecht idee om mensen op te voeden met sterke wacht woorden. Af en toe komt er een lijstje met meest gebruikte wacht woorden en dan springen de tranen in je ogen.
Elke keer blijk dat de meest eenvoudige te bedenken wachtwoord (voor mensen die je wachtwoord willen kraken) ook het meest gebruikt wordt. Door dit soort wachtwoorden niet meer toegestaan. Moet en meer moeite gedaan worden en is de kans op een eenvoudig wachtwoord kleiner.
Ondanks dat ik geen MS fan ben is het misschien wel goed om mensen op te voeden.
28-07-2010, 11:20 door Silver
Er is 1 principe wat desondanks gewoon overeind zal blijven, ook met deze nieuwe maatregel (die hier overigens te vaag wordt uitgelegd om duidelijk te maken hoe het nou precies zal werken):

Gebruikers zullen er ALTIJD - ALLES aan doen om het zo makkelijk mogelijk te maken voor zichzelf. Als ze wegkomen met @Aaaaaaa dan doen ze dat. Als ze weg zouden komen met een 1-karakter lang wachtwoord dan zou dat gebruikt worden. Deze maatregel zal ongetwijfeld ook tot zwakke wachtwoorden kunnen leiden en ik ben benieuwd hoe creatief-dom mensen kunnen zijn.
28-07-2010, 12:07 door Patio
Mickey$oft wil invloed uitoefenen op je wachtwoordkeuze? Maakt me nog blijer dan ik al was met een Mac...

Serieus nu. Het dilemma tussen gebruiksvriendelijkheid en beveiliging is al tientallen jaren oud. Vroeger hadden we bij het bedrijf waar ik mijn ICT-carrière begon een systeem dat wachtwoorden genereerde en dat zelfs afdrukte!
Weliswaar werden ze in gesloten enveloppen verspreid, maar identiteitsfraude en controle door ons waren een groot nadeel.
Ik ben er nooit voor geweest, maar kreeg geen poot aan de grond. Het systeem is pas veranderd op aanraden van een inhuurkracht...
28-07-2010, 14:19 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.