Onderzoek: populaire wachtwoordsterktemeters onbetrouwbaar
Populaire wachtwoordsterktemeters die aangeven hoe sterk een wachtwoord is zijn nog altijd onbetrouwbaar, zo stelt Mark Stockley aan de hand van onderzoek. Veel websites laten via een meter zien of een wachtwoord veilig is of niet. Anderhalf jaar geleden onderzocht hij ook al dergelijke meters.
Destijds schoten alle onderzochte wachtwoordsterktemeters tekort. Achttien maanden later heeft het kraken van wachtwoorden zich verder ontwikkeld. Stockley wilde dan ook kijken of dit ook geldt voor de meters en de resultaten zijn weer teleurstellend. "Er zit een gat tussen wat wachtwoordsterktemeters ons vertellen en wat we moeten weten", zo laat hij weten.
Stockely noemt een wachtwoordsterktemeter op het eerste gezicht een goed idee, omdat een website op deze manier gebruikers kan helpen bij het kiezen van veilige wachtwoorden. Drie jaar geleden lieten onderzoekers van Microsoft nog zien dat het weergeven van een wachtwoordsterktemeter bij het kiezen van een wachtwoord voor veiligere wachtwoorden zorgt. "Het probleem is alleen dat de meeste wachtwoordsterktemeters de sterkte van het wachtwoord helemaal niet meten", stelt Stockley.
Een sterk wachtwoord is namelijk bestand tegen pogingen om het te kraken, zowel online als offline. De enige goede methode om de sterkte van een wachtwoord te bepalen is dan ook door het proberen te kraken. Dit is een vrij kostbaar en tijdsintensief proces, dus kijken veel wachtwoordsterktemeters naar de entropie van het wachtwoord. Een wachtwoord met veel entropie zou lastiger te kraken moeten zijn via een brute force-aanval. Veel wachtwoordkrakers gebruiken echter woordenboeken die allerlei afgeleiden van woorden gebruiken die mensen bij het kiezen van hun wachtwoord toepassen, zoals het vervangen van een e door een 3. Het meten van de entropie houdt hier geen rekening mee.
Onderzoek
Voor zijn test gebruikte Stockley vijf zwakke wachtwoorden, die door een wachtwoordkraker meteen zouden worden gekraakt. Het ging om de wachtwoorden: abc123, trustno1, ncc1701, iloveyou! en primetime21. Wederom faalden alle wachtwoordsterktemeters, aldus de onderzoeker. Daarnaast hekelt hij ook de misleidende en onduidelijke terminologie en kleuren. Hij stelt dan ook dat gebruikers wachtwoordsterktemeters niet kunnen vertrouwen. Websites adviseert hij het gebruik van de wachtwoordsterktemeter zxcvbn, onder andere gebruikt door Dropbox en WordPress, die veel beter dan de vijf populaire wachtwoordsterktemeters blijkt te presteren. Ook wordt het implementeren van twee-factor authenticatie aangeraden.
Het online kraken van een wachtwoord is relatief eenvoudig tegen te gaan door na een x-tal verkeerde inlog pogingen het user ID te blokkeren. Als x < 10, dan zou zelfs abc123 nog een acceptabel wachtwoord zijn.
Voor offline kraken is het hashing algoritme van groter belang dan de complexiteit van het wachtwoord zelf (*). Als ik als site-eigenaar het wachtwoord niet hash of met een zwak algoritme dan kan de gebruiker nog zo'n complex wachtwoord verzinnen - het kraken is zo gepiept. Als daarentegen een complex hash algoritme wordt gebruikt, dan is brute forcen relatief kostbaar en zijn 'dus' je wachtwoorden sterker...
(*) dan laten we voor 't gemak even de buiten beschouwing dat John voor 't brute-forcen slim de lijst met standaard wachtwoorden en z'n mutaties afwerkt...
Ja? En, hoe wordt het dan weer gedeblokkeerd? Je maakt nu weer een soort van DOS mogelijk op dat account. Vervelend als iemand zijn account snel moet kunnen benaderen. Mogelijk ook problematisch als (honderd)duizenden gebruikers hun account moeten resetten. Je maakt je site dan weer kwetsbaar voor andere aanvallen.
[...]
Voor offline kraken is het hashing algoritme van groter belang dan de complexiteit van het wachtwoord zelf (*). Als ik als site-eigenaar het wachtwoord niet hash of met een zwak algoritme dan kan de gebruiker nog zo'n complex wachtwoord verzinnen - het kraken is zo gepiept. Als daarentegen een complex hash algoritme wordt gebruikt, dan is brute forcen relatief kostbaar en zijn 'dus' je wachtwoorden sterker...
Ja? En, hoe wordt het dan weer gedeblokkeerd? Je maakt nu weer een soort van DOS mogelijk op dat account. Vervelend als iemand zijn account snel moet kunnen benaderen. Mogelijk ook problematisch als (honderd)duizenden gebruikers hun account moeten resetten. Je maakt je site dan weer kwetsbaar voor andere aanvallen.
Hmm... Dus jij hebt liever dat hackers oneindig lang/vaak mogen proberen binnen te komen, dan dat je de hackers buiten houdt en eventueel de valide gebruiker ook? Het blokkeren van een user (of eventueel het IP adres waar vanaf de inlog gedaan wordt) is toch net zoiets als het populaire Fail2Ban? 5 x fout inloggen: block in de iptables. Na een uur/dag weer opnieuw proberen.
Was The Fappening niet mede mogelijk gemaakt doordat hackers onbeperkt wachtwoord konden gokken via een test/dev server van Apple?
Ja? En, hoe wordt het dan weer gedeblokkeerd? Je maakt nu weer een soort van DOS mogelijk op dat account. Vervelend als iemand zijn account snel moet kunnen benaderen. Mogelijk ook problematisch als (honderd)duizenden gebruikers hun account moeten resetten. Je maakt je site dan weer kwetsbaar voor andere aanvallen.
Hmm... Dus jij hebt liever dat hackers oneindig lang/vaak mogen proberen binnen te komen, dan dat je de hackers buiten houdt en eventueel de valide gebruiker ook? Het blokkeren van een user (of eventueel het IP adres waar vanaf de inlog gedaan wordt) is toch net zoiets als het populaire Fail2Ban? 5 x fout inloggen: block in de iptables. Na een uur/dag weer opnieuw proberen.
Was The Fappening niet mede mogelijk gemaakt doordat hackers onbeperkt wachtwoord konden gokken via een test/dev server van Apple?
The Fappening kwam door hollywoodsterretjes die in phishing trapten...
Peter
Lees en leer
A.Niem
Lees en leer
A.Niem
Dus wat je wil zeggen is dat je voor iedere site Correct-Horse-Battery-Staple gaat onthouden? Want dat is "bijna niet te raden, dus overal hetzelfde wachtwoord is te gebruiken"? Of bedoel je dat iedereen voor elke site apart weer een nieuwe zin moet gaan onthouden, want als je password hash op de ene site is gekraakt, dan kunnen ze ook bij de rest? En ja, Correct-Horse-Battery-Staple heeft (theoretisch) heel lang om te kraken. Aan de andere kant kan deze hash ook al in de eerste minuten gekraakt worden (theoretisch). Even afhankelijk van welke hash wordt gegenereerd.
Deze site legt het vrij uitgebreid uit waarom ook complete zinnen als password eigenlijk onzin zijn: https://www.diogomonica.com/posts/password-security-why-the-horse-battery-staple-is-not-correct/
Gr. Rene Freauger
Ja? En, hoe wordt het dan weer gedeblokkeerd? Je maakt nu weer een soort van DOS mogelijk op dat account. Vervelend als iemand zijn account snel moet kunnen benaderen. Mogelijk ook problematisch als (honderd)duizenden gebruikers hun account moeten resetten. Je maakt je site dan weer kwetsbaar voor andere aanvallen.
Klopt , je kunt na een uur de blokkade ongedaan maken , dan neem je in ieder geval de wind uit de zeilen van enthousiaste brute forcers. Voor dit soort attaks is het wel noodzakelijk dat je de id's weet. Als daar een enumereerbaar algoritme achter zit is een DOS aanval voor zelfs een heel bedrijf mogelijk .
Alternatieven: progressievere inlogtijd die toeneemt naar gelang het aantal foute inlog pogingen.
Een chapta na de derde foute inligcode.
Hallo,
Ik ben dit niet helemaal met je eens.
Er zijn namelijk wel meer factoren.
1) Er zijn veel website's die me beperken in de lengte en bepaalde caracters kan ik niet eens gebruiken bijv. /_#.
2) Dan zijn er nog steeds mensen die nog steeds 123456 gebruiken of iets anders.
3) Dan zijn er veel website's die doorlinken naar een wachtwoordsterkte meter.
De maker van de wachtwoordmeter moet dus in eerste plaats worden benaderd.
Vaak is het met deze sites copie en past, dus.........
Ik denk dat je het probleem ook zou kunnen oplossen door een foto als wachtwoord te kunnen gebruiken.
Stel ik maak met mijn mobiel een foto van mijn hagedis of lamp, Dan is die uniek kwa MD5 of Hash.
Ik zou bij bijvoorbeeld bol.com kunnen inloggen met die foto klaar is kees. (Als dit zou kunnen)
Ik kan net zo goed van ieder account dus even een foto-tje maken. Is voor mensen veel makkelijker toch?
Nu zeggen mensen is niet veilig want die foto kan worden misbruikt, maar mijn wachtwoorden op de PC kunnen
ja ook worden misbruikt, gehackt of whatever.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
