image

Algoritme raadt wachtwoord 73% doorsnee internetgebruikers

zondag 6 november 2016, 08:06 door Redactie, 3 reacties

Internetgebruikers kiezen nog altijd onveilige en eenvoudig te raden wachtwoorden voor hun accounts, zo hebben onderzoekers van Britse en Chinese universiteiten aangetoond. Volgens de onderzoekers is er veel onderzoek gedaan naar het raden van zowel online als offline wachtwoorden, maar is de dreiging van het gericht raden van iemands inloggegevens op basis van persoonlijke informatie nog onvoldoende belicht.

Ze besloten daarom verschillende algoritmes te ontwikkelen die, op basis van een ander wachtwoord van het slachtoffer en wat persoonlijke informatie, online het wachtwoord raden. Dit is een uitdaging, aangezien veel internetdiensten het aantal inlogpogingen beperken. Veel gebruikers kiezen echter onveilige wachtwoorden of hergebruiken hetzelfde wachtwoord voor meerdere websites, waardoor het toch mogelijk blijkt om succesvol online wachtwoorden te raden en zo toegang tot accounts te krijgen.

Om de algoritmes te ontwikkelen bedachten de onderzoekers eerst een framework genaamd TarGuess, dat verschillende scenario's voor het raden van wachtwoorden onderbouwt met wiskundige modellen, waarbij de aanvaller verschillende soorten gegevens van het slachtoffer heeft. Deze modellen werden vervolgens gebruikt voor het ontwikkelen van nieuwe algoritmes voor het raden van wachtwoorden en getest op 10 grote datasets van gelekte wachtwoorden, zoals die van Yahoo en RockYou, maar ook het gehackte hackerforum Rootkit.

Twee van de algoritmes wisten uiteindelijk 73% van de wachtwoorden van doorsnee internetgebruikers binnen 100 keer te raden, terwijl dit bij meer securitybewuste gebruikers 32% was. Zelfs als het wachtwoord van een andere website niet beschikbaar is blijkt dat menig internetgebruiker persoonlijke informatie voor het wachtwoord gebruikt. Zonder beschikbaar wachtwoord maar met persoonlijke informatie konden de algoritmes nog altijd 20% van de wachtwoorden van doorsnee internetgebruikers raden. Meer informatie is te vinden in het onderzoeksrapport: Targeted Online Password Guessing: An Underestimated Threat (pdf).

Image

Reacties (3)
06-11-2016, 09:53 door karma4
ik gebruik altijd heel voor de hand liggende wachtwoorden voor sites/omgevingen waar de informatie er niet toe doet.
Is die dataclassificatie inschatting ook meegenomen. Nee voor kritische zaken geen admin:admin vanilla installatie.
06-11-2016, 16:27 door Briolet
binnen 100 keer te raden, terwijl dit bij meer securitybewuste gebruikers 32% was.

Dat onderzoek kan nooit kloppen. Een security bewuste gebruiker, gebruikt een random wachtwoord, dus daar is niets uit af te leiden voor een volgend wachtwoord. Dan is het onmogelijk dat een sterk wachtwoord in 32% van de gevallen binnen 100 keer geraden wordt.
06-11-2016, 16:57 door Anoniem
Door Briolet:
binnen 100 keer te raden, terwijl dit bij meer securitybewuste gebruikers 32% was.

Dat onderzoek kan nooit kloppen. Een security bewuste gebruiker, gebruikt een random wachtwoord, dus daar is niets uit af te leiden voor een volgend wachtwoord. Dan is het onmogelijk dat een sterk wachtwoord in 32% van de gevallen binnen 100 keer geraden wordt.
Met een rapport van maar liefst 3,5MB over dit onderwerp kan alles. ;-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.