Populaire wachtwoordsterktemeters die aangeven hoe sterk een wachtwoord is zijn nog altijd onbetrouwbaar, zo stelt Mark Stockley aan de hand van onderzoek. Veel websites laten via een meter zien of een wachtwoord veilig is of niet. Anderhalf jaar geleden onderzocht hij ook al dergelijke meters.
Destijds schoten alle onderzochte wachtwoordsterktemeters tekort. Achttien maanden later heeft het kraken van wachtwoorden zich verder ontwikkeld. Stockley wilde dan ook kijken of dit ook geldt voor de meters en de resultaten zijn weer teleurstellend. "Er zit een gat tussen wat wachtwoordsterktemeters ons vertellen en wat we moeten weten", zo laat hij weten.
Stockely noemt een wachtwoordsterktemeter op het eerste gezicht een goed idee, omdat een website op deze manier gebruikers kan helpen bij het kiezen van veilige wachtwoorden. Drie jaar geleden lieten onderzoekers van Microsoft nog zien dat het weergeven van een wachtwoordsterktemeter bij het kiezen van een wachtwoord voor veiligere wachtwoorden zorgt. "Het probleem is alleen dat de meeste wachtwoordsterktemeters de sterkte van het wachtwoord helemaal niet meten", stelt Stockley.
Een sterk wachtwoord is namelijk bestand tegen pogingen om het te kraken, zowel online als offline. De enige goede methode om de sterkte van een wachtwoord te bepalen is dan ook door het proberen te kraken. Dit is een vrij kostbaar en tijdsintensief proces, dus kijken veel wachtwoordsterktemeters naar de entropie van het wachtwoord. Een wachtwoord met veel entropie zou lastiger te kraken moeten zijn via een brute force-aanval. Veel wachtwoordkrakers gebruiken echter woordenboeken die allerlei afgeleiden van woorden gebruiken die mensen bij het kiezen van hun wachtwoord toepassen, zoals het vervangen van een e door een 3. Het meten van de entropie houdt hier geen rekening mee.
Voor zijn test gebruikte Stockley vijf zwakke wachtwoorden, die door een wachtwoordkraker meteen zouden worden gekraakt. Het ging om de wachtwoorden: abc123, trustno1, ncc1701, iloveyou! en primetime21. Wederom faalden alle wachtwoordsterktemeters, aldus de onderzoeker. Daarnaast hekelt hij ook de misleidende en onduidelijke terminologie en kleuren. Hij stelt dan ook dat gebruikers wachtwoordsterktemeters niet kunnen vertrouwen. Websites adviseert hij het gebruik van de wachtwoordsterktemeter zxcvbn, onder andere gebruikt door Dropbox en WordPress, die veel beter dan de vijf populaire wachtwoordsterktemeters blijkt te presteren. Ook wordt het implementeren van twee-factor authenticatie aangeraden.
Deze posting is gelocked. Reageren is niet meer mogelijk.