De wachtwoorden die hackersgroep Rex Mundi afgelopen dinsdag bij Philips buitmaakte waren zeer zwak en eenvoudig te kraken, mede dankzij een Nederlands woordenboek. Anti-virusbedrijf Sophos analyseerde met wachtwoordkraker John the Ripper één gestolen database met zo'n 400 wachtwoord-hashes. Met een enkele processor van zijn toch al niet zo snelle laptop wist Paul Ducklin binnen binnen 3 seconden een kwart te kraken.
Zo'n 200 wachtwoorden waren binnen 50 minuten achterhaald terwijl na twee uur de 53% werd gehaald. Ducklin herhaalde het onderzoek alleen gebruikte hij dit keer niet wachtwoorden die John the Ripper genereerde, maar verschillende woordenboeken, onder andere met Nederlandse woorden.
Nederlands
"Philips is een Nederlands bedrijf, en gezien de namen in de database en de wachtwoorden die ik in de eerste poging aantrof, waren ook veel gebruikers Nederlands", aldus Ducklin. Dit keer was 52% van de hashes na 2 minuten gekraakt. De analist telde de resultaten van de twee pogingen met John the Ripper bij elkaar op en wist uiteindelijk binnen twee uur 66% van de hashes te kraken.
"Het is belangrijk dat bedrijven hun eindgebruikers helpen bij het kiezen van een veilig wachtwoord. De beste oplossing is nog steeds het gebruik van een passphrase", zegt Frank van Vliet, CTO van Certified Secure. "Als er daarnaast ook salting en stretching was toegepast, zou het kraken van de hashes duizenden keren langer duren."
Deze posting is gelocked. Reageren is niet meer mogelijk.