Expert: Aqenbpuu geen slecht wachtwoord
De nieuwe persvoorlichter van het Witte Huis Sean Spicer verstuurde gisteren twee tweets met wat volgens sommige mensen wachtwoorden zijn, maar een bekende beveiligingsexpert stelt dat het geen slechte wachtwoorden zouden zijn zoals sommige critici claimen.
Het gaat om tweets met de boodschap: n9y25ah7 en Aqenbpuu. Volgens beveiligingsexpert Robert Graham, ontwikkelaar van de BlackICE firewall en expert op het gebied van deep packet inspection (DPI), gaat het om adequate wachtwoorden. "Misschien niet de beste, maar zeker niet 'shitty'", zo laat hij op zijn eigen blog weten. Volgens de expert hangt het af van het dreigingsmodel. Veelvoorkomende dreigingen zijn het hergebruik van wachtwoorden en phishing, waar de sterkte van het wachtwoord niet uitmaakt.
Waar de sterke wel uitmaakt is als Twitter wordt gehackt en de wachtwoordhashes worden gestolen. Twitter maakt gebruik van het bcrypt-algoritme voor het hashen van wachtwoorden. Dit is een vrij sterk hashing-algoritme dat het lastig maakt voor aanvallers om de wachtwoordhashes te kraken en zo de oorspronkelijke wachtwoorden te achterhalen. Met een standaard computer zou het kraken van het wachtwoord volgens Graham 20 jaar duren. Een botnet of cloudcomputers zouden het wachtwoord echter in dagen kunnen kraken. "Het is geen goed wachtwoord, maar ook geen slecht wachtwoord." Het hacken van het Twitter-account zou een klein incident zijn. Iemand zou er niet veel middelen in investeren om het te kraken, gaat de expert verder.
Acht karakters voldoende
Volgens Graham is security een afweging. "Een berg goud zou je met Fort Knox-achtige maatregelen beschermen, maar dat zou je niet doen bij een berg hout. Hetzelfde geldt voor wachtwoorden. Zolang je wachtwoorden niet hergebruikt of slachtoffer van phishing wordt is een wachtwoord van acht karakters met kleine letters voldoende." Dit geldt helemaal als tweefactorauthenticatie is ingeschakeld. "In dat soort gevallen is een dergelijk wachtwoord meer dan voldoende", laat de expert weten. Spicer heeft de tweets inmiddels verwijderd en nog geen uitleg gegeven wat ze betekenden.
Hoofdletters, Kleine letters, cijfers en speciaal teken. Super sterk.... maar dan wel vooral buiten Nederland :P.
Wat ik zelf ook wel een belangrijke overweging vindt, is of de service bruteforceable is. Een ftp account waarbij de ftp server is ingericht om een account te blokken na x aantal mislukte pogingen, daarvoor is wellicht een kort 6-8 char (random) password afdoende. Vooral als dit geen ftps is.
Wat ik zelf ook wel een belangrijke overweging vindt, is of de service bruteforceable is. Een ftp account waarbij de ftp server is ingericht om een account te blokken na x aantal mislukte pogingen, daarvoor is wellicht een kort 6-8 char (random) password afdoende. Vooral als dit geen ftps is.
Volgens mij maakt het bij brute force niet uit of je wel of geen hoofdletters/cijfers combinatie gebruikt. Hoe langer hoe beter, meer combinaties om te proberen. Maar misschien zit ik ernaast...
Ftp is sowieso uit den boze. Sftp is wel het minimum.
Bijvoorbeeld in geval van een Wifi-wachtwoord is een wachtwoord van 8 karakters tegenwoordig toch echt te weinig.
Hoe weet jij mijn wachtwoord ? Ik ga nu aangifte doen !
Volgens mij moet dat veel sneller kunnen omdat deze woorden in een Tweet staan. Zulke wachtwoorden zijn waarschijnlijk met een uitgebreide woordenboek aanval te kraken. Als je op "Aqenbpuu" googled vind je al bijna 3000 treffers.
Met een berg hout kan je je verwarmen en desnoods kan je het opeten, met goud kan je niets, dat is alleen dood gewicht.
Niet dat ik een fan ben van Sphincter, maar hoeveel treffers had je vorige week op "Aqenbpuu", ik gok heel wat minder.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
