"Google adviseert zwakke wachtwoorden"
Google is onlangs een nieuwe campagne over veilig internet gestart, maar daarin adviseert het internetgebruikers zwakke wachtwoorden. Dat zegt beveiligingsonderzoeker Joseph Bonneau. Tijdes de "Good to Know" campagne wordt als sterk wachtwoord "2bon2btitq" geadviseerd, wat van "To be or not to be, that is the question" is afgeleid. "Dit is geen sterk wachtwoord, het is bijna precies doorsnee!", merkt Bonneau op.,
Hij verwijst naar een in 2009 gelekte database van RockYou. Vier van de 32 miljoen mensen gebruikten "2bon2btitq" als wachtwoord, en vijf hadden "2bon2b" gekozen.
Advies
In de RockYou database waren 500.000 wachtwoorden die vaker voorkwamen. Het wachtwoord "bon2btitq" zal daardoor niet zo snel worden geraden, maar het zal bijna meteen worden gekraakt als het in gehashte vorm wordt gelekt. "Een echt sterk wachtwoord is er één die nog nooit iemand heeft gebruikt", adviseert Bonneau
Wat je moet hebben is een wachtwoord wat niet geraden kan worden door iemand die met jouw gegevens bij Google probeert in te loggen. Ik weet niet hoe vaak je met een verkeerd wachtwoord aan kan komen voordat je een timeout krijgt, maar een wachtwoord zoals het bovenstaande moet hier zeker goed genoeg zijn, hoewel ik liever een regel uit een liedje zou gebruiken dan een superbekende van Shakespeare.
Dus omdat 4 van de 32.000.000 mensen het kiest is het doorsnee? Dat is 0,00001%.
Hiernaast is het altijd nog wenselijk dat websites salt gebruiken zodat gehashte wachtwoorden niet zomaar te lezen zijn.
Verder adviseert hij een wachtwoord, die nog nooit iemand heeft gebruikt. Slecht advies. Het klinkt een beetje flauw, maar voordat je weet of een wachtwoord nog nooit is gebruikt, moet je eerst alle gebruikte wachtwoorden checken.
Een computer kan miljoenen passwords raden per seconden. Door een wachtwoord 2 x zo lang te maken (14 tekens of meer) kan je volstaan met een standaard alfabet in plaats van al die klungelige extended tekens. Plak 4 woorden die voor jou zinnig zijn aan elkaar en de kans dat het wachtwoord ge-brute-forced wordt is erg klein. Blijf rommelen met allemaal afkortingen en de kans is groot dat je bij elk systeem hetzelfde wachtwoord gebruikt of het nooit meer wijzigt.
Xkcd heeft er een leuke over: http://xkcd.com/936/
---
One idea that you can try is to choose a line from your favourite song, film or play, like “To be or not to be: That is the question”. Then use numbers, symbols and mixed-case letters to recreate it: “2bon2bT1tq” is a password with quadrillions of variations. The more unusual the phrase you choose, the better!
---
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
