image

Meest gebruikte wachtwoorden bij SSH-aanvallen

woensdag 15 mei 2013, 06:30 door Redactie, 9 reacties

Secure Shell (SSH) is een zeer populair protocol voor het inloggen op computers en servers, iets wat ook cybercriminelen weten. Servers die via SSH toegankelijk zijn worden vaak bestookt met wachtwoorden en gebruikersnamen. Aanvallers hopen zo toegang tot de server te krijgen. Onderzoeker Jim Clausing beheerde een Kippo SSH honeypot, bedoeld om hackers te lokken.

Aanvallers probeerden op deze speciaal ingerichte server twee jaar lang in te loggen. In totaal werden meer dan 15 miljoen inlogpogingen genoteerd, waarvan zo'n 47.000 gebruikte wachtwoorden uniek waren.

Complex
Clausing maakte een Top 10 van meest gebruikte wachtwoorden, waarbij 123456 het meest voorkomen. De onderzoeker merkt op dat dit het standaard wachtwoord van Kippo is, waardoor het een vertekend beeld kan geven. Toch komen ook password en variaties hiervan in grote aantallen voor.

Zelf vond Clausing de nummer vier op de lijst '__--_-__-_' een interessant wachtwoord. Al met al concludeert de onderzoeker dat de aanvallers vooral korte en eenvoudige wachtwoorden gebruiken. "Als je je wachtwoorden complex maakt, loop je minder risico om het slachtoffer van dit soort aanvallen te worden waarbij ze je wachtwoord raden."

Top 10 wachtwoorden

  1. 123456 = 167854 (1.09%)
  2. password = 113640 (0.74%)
  3. cacutza = 99492 (0.65%)
  4. __--_-__-_ = 79153 (0.51%)
  5. 123 = 63557 (0.41%)
  6. root = 61560 (0.4%)
  7. 1234 = 58103 (0.38%)
  8. 123456789 = 57270 (0.37%)
  9. 12345 = 53445 (0.35%)
  10. test = 52231 (0.34%)
Reacties (9)
15-05-2013, 08:03 door SphaZ
Hmm, '__--_-__-_ ' doet me denken aan een backdoor/rootkit-password.
15-05-2013, 09:41 door Anoniem
#4 ziet er uit als morse code.
15-05-2013, 09:42 door Anoniem
Bar boeiende resultaten. Welk bedrijf heeft hier een "onderzoek" gedaan en wil daarmee aan zijn naamsbekendheid werken?
15-05-2013, 10:39 door Anoniem
"Als je je wachtwoorden complex maakt, loop je minder risico om het slachtoffer van dit soort aanvallen te worden waarbij ze je wachtwoord raden."

maar als je je zogenaamd complexe wachtwoord hier of elders toont zul je overspoeld worden met reacties dat dit geen complex wachtwoord is en dat het makkelijk te raden en fout gekozen is.
dus of dat nou zoveel oplevert...

een goed mechanisme om te voorkomen dat aanvallers lange reeksen wachtwoorden kunnen uitproberen, en de zaak zo inrichten dat ze in ieder geval nooit aan je hashes kunnen komen, lijkt me beter.
15-05-2013, 10:44 door Anoniem
Zou je er in morse wat mee kunnen?
15-05-2013, 11:46 door hx0r3z
"Als je je wachtwoorden complex maakt, loop je minder risico om het slachtoffer van dit soort aanvallen te worden waarbij ze je wachtwoord raden."

Uhm nou nee. Gewoon geen wachtwoorden gebruiken voor ssh. Gebruik certificaten en je probleem is opgelost..
15-05-2013, 18:52 door Anoniem
Door SphaZ: Hmm, '__--_-__-_ ' doet me denken aan een backdoor/rootkit-password.
Het lijkt mij morse code. Ik moet wat creatief zijn omdat er geen scheiding meer zichtbaar is tussen de individuele tekens, maar ....
__. = G
._. = A
__._ =Y
... en dat lijkt me geen toeval :-)
16-05-2013, 09:23 door Anoniem
Door hx0r3z: "Als je je wachtwoorden complex maakt, loop je minder risico om het slachtoffer van dit soort aanvallen te worden waarbij ze je wachtwoord raden."

Uhm nou nee. Gewoon geen wachtwoorden gebruiken voor ssh. Gebruik certificaten en je probleem is opgelost..

Dat is bijvoorbeeld op appliances niet altijd mogelijk, het afschermen van SSH via een ACL helpt al een stuk, certificaten helpt ook met een goeie passphrase op je private key.
16-05-2013, 11:46 door Anoniem
Nou, een complexer wachtwoord kiezen dan "123" lukt zelfs mijn oude moedertje nog wel. Haar telefoonnumemr is nog complexer dan dat. Kan me niet voorstellen dat dat hier discussie oplevert.

Uiteindelijk kan elk wachtwoord geraden worden maar een zinnetje van woorden, niet logisch en uit verschillende talen ("Ikswimwiemacchina") is goed te onthouden en al een stukje moeilijker te raden met dictionaries of een brute force.

Certificaten kennen overigens ook nadelen. Je moet het goed inrichten, je private keys in software opslaan is een slecht idee en uiteindelijk is het risico van social engineering altijd het grootste (lees Kevin Mitnick).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.