image

Onderzoek: populaire wachtwoordsterktemeters onbetrouwbaar

donderdag 18 augustus 2016, 11:03 door Redactie, 10 reacties

Populaire wachtwoordsterktemeters die aangeven hoe sterk een wachtwoord is zijn nog altijd onbetrouwbaar, zo stelt Mark Stockley aan de hand van onderzoek. Veel websites laten via een meter zien of een wachtwoord veilig is of niet. Anderhalf jaar geleden onderzocht hij ook al dergelijke meters.

Destijds schoten alle onderzochte wachtwoordsterktemeters tekort. Achttien maanden later heeft het kraken van wachtwoorden zich verder ontwikkeld. Stockley wilde dan ook kijken of dit ook geldt voor de meters en de resultaten zijn weer teleurstellend. "Er zit een gat tussen wat wachtwoordsterktemeters ons vertellen en wat we moeten weten", zo laat hij weten.

Stockely noemt een wachtwoordsterktemeter op het eerste gezicht een goed idee, omdat een website op deze manier gebruikers kan helpen bij het kiezen van veilige wachtwoorden. Drie jaar geleden lieten onderzoekers van Microsoft nog zien dat het weergeven van een wachtwoordsterktemeter bij het kiezen van een wachtwoord voor veiligere wachtwoorden zorgt. "Het probleem is alleen dat de meeste wachtwoordsterktemeters de sterkte van het wachtwoord helemaal niet meten", stelt Stockley.

Een sterk wachtwoord is namelijk bestand tegen pogingen om het te kraken, zowel online als offline. De enige goede methode om de sterkte van een wachtwoord te bepalen is dan ook door het proberen te kraken. Dit is een vrij kostbaar en tijdsintensief proces, dus kijken veel wachtwoordsterktemeters naar de entropie van het wachtwoord. Een wachtwoord met veel entropie zou lastiger te kraken moeten zijn via een brute force-aanval. Veel wachtwoordkrakers gebruiken echter woordenboeken die allerlei afgeleiden van woorden gebruiken die mensen bij het kiezen van hun wachtwoord toepassen, zoals het vervangen van een e door een 3. Het meten van de entropie houdt hier geen rekening mee.

Onderzoek

Voor zijn test gebruikte Stockley vijf zwakke wachtwoorden, die door een wachtwoordkraker meteen zouden worden gekraakt. Het ging om de wachtwoorden: abc123, trustno1, ncc1701, iloveyou! en primetime21. Wederom faalden alle wachtwoordsterktemeters, aldus de onderzoeker. Daarnaast hekelt hij ook de misleidende en onduidelijke terminologie en kleuren. Hij stelt dan ook dat gebruikers wachtwoordsterktemeters niet kunnen vertrouwen. Websites adviseert hij het gebruik van de wachtwoordsterktemeter zxcvbn, onder andere gebruikt door Dropbox en WordPress, die veel beter dan de vijf populaire wachtwoordsterktemeters blijkt te presteren. Ook wordt het implementeren van twee-factor authenticatie aangeraden.

Image

Reacties (10)
18-08-2016, 11:59 door PietdeVries - Bijgewerkt: 18-08-2016, 12:03
Toch jammer dat het probleem van de beveiliging van een site niet bij de site-eigenaar wordt neergelegd maar bij de gebruiker...

Het online kraken van een wachtwoord is relatief eenvoudig tegen te gaan door na een x-tal verkeerde inlog pogingen het user ID te blokkeren. Als x < 10, dan zou zelfs abc123 nog een acceptabel wachtwoord zijn.

Voor offline kraken is het hashing algoritme van groter belang dan de complexiteit van het wachtwoord zelf (*). Als ik als site-eigenaar het wachtwoord niet hash of met een zwak algoritme dan kan de gebruiker nog zo'n complex wachtwoord verzinnen - het kraken is zo gepiept. Als daarentegen een complex hash algoritme wordt gebruikt, dan is brute forcen relatief kostbaar en zijn 'dus' je wachtwoorden sterker...

(*) dan laten we voor 't gemak even de buiten beschouwing dat John voor 't brute-forcen slim de lijst met standaard wachtwoorden en z'n mutaties afwerkt...
18-08-2016, 12:29 door Anoniem
Het online kraken van een wachtwoord is relatief eenvoudig tegen te gaan door na een x-tal verkeerde inlog pogingen het user ID te blokkeren. Als x < 10, dan zou zelfs abc123 nog een acceptabel wachtwoord zijn. ...

Ja? En, hoe wordt het dan weer gedeblokkeerd? Je maakt nu weer een soort van DOS mogelijk op dat account. Vervelend als iemand zijn account snel moet kunnen benaderen. Mogelijk ook problematisch als (honderd)duizenden gebruikers hun account moeten resetten. Je maakt je site dan weer kwetsbaar voor andere aanvallen.
18-08-2016, 13:26 door Dick99999
Door PietdeVries: Toch jammer dat het probleem van de beveiliging van een site niet bij de site-eigenaar wordt neergelegd maar bij de gebruiker...

[...]

Voor offline kraken is het hashing algoritme van groter belang dan de complexiteit van het wachtwoord zelf (*). Als ik als site-eigenaar het wachtwoord niet hash of met een zwak algoritme dan kan de gebruiker nog zo'n complex wachtwoord verzinnen - het kraken is zo gepiept. Als daarentegen een complex hash algoritme wordt gebruikt, dan is brute forcen relatief kostbaar en zijn 'dus' je wachtwoorden sterker...

Ook bij een zwakke hash is een sterk wachtwooord NIET te kraken , tenzij er een bug in het hash algorithme zit. Het is dus niet zo gepiept ,... Als er niet gehashd wordt, hoef je niet te kraken off line.
18-08-2016, 15:08 door PietdeVries
Door Anoniem:
Het online kraken van een wachtwoord is relatief eenvoudig tegen te gaan door na een x-tal verkeerde inlog pogingen het user ID te blokkeren. Als x < 10, dan zou zelfs abc123 nog een acceptabel wachtwoord zijn. ...

Ja? En, hoe wordt het dan weer gedeblokkeerd? Je maakt nu weer een soort van DOS mogelijk op dat account. Vervelend als iemand zijn account snel moet kunnen benaderen. Mogelijk ook problematisch als (honderd)duizenden gebruikers hun account moeten resetten. Je maakt je site dan weer kwetsbaar voor andere aanvallen.

Hmm... Dus jij hebt liever dat hackers oneindig lang/vaak mogen proberen binnen te komen, dan dat je de hackers buiten houdt en eventueel de valide gebruiker ook? Het blokkeren van een user (of eventueel het IP adres waar vanaf de inlog gedaan wordt) is toch net zoiets als het populaire Fail2Ban? 5 x fout inloggen: block in de iptables. Na een uur/dag weer opnieuw proberen.
Was The Fappening niet mede mogelijk gemaakt doordat hackers onbeperkt wachtwoord konden gokken via een test/dev server van Apple?
18-08-2016, 15:12 door Anoniem
Door PietdeVries:
Door Anoniem:
Het online kraken van een wachtwoord is relatief eenvoudig tegen te gaan door na een x-tal verkeerde inlog pogingen het user ID te blokkeren. Als x < 10, dan zou zelfs abc123 nog een acceptabel wachtwoord zijn. ...

Ja? En, hoe wordt het dan weer gedeblokkeerd? Je maakt nu weer een soort van DOS mogelijk op dat account. Vervelend als iemand zijn account snel moet kunnen benaderen. Mogelijk ook problematisch als (honderd)duizenden gebruikers hun account moeten resetten. Je maakt je site dan weer kwetsbaar voor andere aanvallen.

Hmm... Dus jij hebt liever dat hackers oneindig lang/vaak mogen proberen binnen te komen, dan dat je de hackers buiten houdt en eventueel de valide gebruiker ook? Het blokkeren van een user (of eventueel het IP adres waar vanaf de inlog gedaan wordt) is toch net zoiets als het populaire Fail2Ban? 5 x fout inloggen: block in de iptables. Na een uur/dag weer opnieuw proberen.
Was The Fappening niet mede mogelijk gemaakt doordat hackers onbeperkt wachtwoord konden gokken via een test/dev server van Apple?

The Fappening kwam door hollywoodsterretjes die in phishing trapten...
18-08-2016, 15:38 door Anoniem
Op https://www.zsoft.nl/ staat een tester die gebruik maakt van entropie en opsplitsing van het wachtwoord in delen en wijzigen van letters in cijfers e.d. Volgens die tester zijn ze allemaal zwak. De achterliggende methode wordt volgens mij ook in Safe in Cloud gebruikt.

Peter
18-08-2016, 19:03 door Anoniem
Opvallend dat bijna geen 1 site de juiste info verstrekt over werkelijk moeilijk kraakbare wachtwoorden en ook uitlegt waarom. Deze wel: https://sites.google.com/site/easylinuxtipsproject/password

Lees en leer

A.Niem
18-08-2016, 21:58 door Anoniem
Door Anoniem: Opvallend dat bijna geen 1 site de juiste info verstrekt over werkelijk moeilijk kraakbare wachtwoorden en ook uitlegt waarom. Deze wel: https://sites.google.com/site/easylinuxtipsproject/password

Lees en leer

A.Niem

Dus wat je wil zeggen is dat je voor iedere site Correct-Horse-Battery-Staple gaat onthouden? Want dat is "bijna niet te raden, dus overal hetzelfde wachtwoord is te gebruiken"? Of bedoel je dat iedereen voor elke site apart weer een nieuwe zin moet gaan onthouden, want als je password hash op de ene site is gekraakt, dan kunnen ze ook bij de rest? En ja, Correct-Horse-Battery-Staple heeft (theoretisch) heel lang om te kraken. Aan de andere kant kan deze hash ook al in de eerste minuten gekraakt worden (theoretisch). Even afhankelijk van welke hash wordt gegenereerd.

Deze site legt het vrij uitgebreid uit waarom ook complete zinnen als password eigenlijk onzin zijn: https://www.diogomonica.com/posts/password-security-why-the-horse-battery-staple-is-not-correct/

Gr. Rene Freauger
19-08-2016, 08:35 door SPlid
Door Anoniem:
Het online kraken van een wachtwoord is relatief eenvoudig tegen te gaan door na een x-tal verkeerde inlog pogingen het user ID te blokkeren. Als x < 10, dan zou zelfs abc123 nog een acceptabel wachtwoord zijn. ...

Ja? En, hoe wordt het dan weer gedeblokkeerd? Je maakt nu weer een soort van DOS mogelijk op dat account. Vervelend als iemand zijn account snel moet kunnen benaderen. Mogelijk ook problematisch als (honderd)duizenden gebruikers hun account moeten resetten. Je maakt je site dan weer kwetsbaar voor andere aanvallen.

Klopt , je kunt na een uur de blokkade ongedaan maken , dan neem je in ieder geval de wind uit de zeilen van enthousiaste brute forcers. Voor dit soort attaks is het wel noodzakelijk dat je de id's weet. Als daar een enumereerbaar algoritme achter zit is een DOS aanval voor zelfs een heel bedrijf mogelijk .
Alternatieven: progressievere inlogtijd die toeneemt naar gelang het aantal foute inlog pogingen.
Een chapta na de derde foute inligcode.
19-08-2016, 17:00 door Anoniem
Door PietdeVries: Toch jammer dat het probleem van de beveiliging van een site niet bij de site-eigenaar wordt neergelegd maar bij de gebruiker...


Hallo,

Ik ben dit niet helemaal met je eens.

Er zijn namelijk wel meer factoren.

1) Er zijn veel website's die me beperken in de lengte en bepaalde caracters kan ik niet eens gebruiken bijv. /_#.
2) Dan zijn er nog steeds mensen die nog steeds 123456 gebruiken of iets anders.
3) Dan zijn er veel website's die doorlinken naar een wachtwoordsterkte meter.

De maker van de wachtwoordmeter moet dus in eerste plaats worden benaderd.

Vaak is het met deze sites copie en past, dus.........


Ik denk dat je het probleem ook zou kunnen oplossen door een foto als wachtwoord te kunnen gebruiken.
Stel ik maak met mijn mobiel een foto van mijn hagedis of lamp, Dan is die uniek kwa MD5 of Hash.
Ik zou bij bijvoorbeeld bol.com kunnen inloggen met die foto klaar is kees. (Als dit zou kunnen)
Ik kan net zo goed van ieder account dus even een foto-tje maken. Is voor mensen veel makkelijker toch?

Nu zeggen mensen is niet veilig want die foto kan worden misbruikt, maar mijn wachtwoorden op de PC kunnen
ja ook worden misbruikt, gehackt of whatever.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.