De nieuwe persvoorlichter van het Witte Huis Sean Spicer verstuurde gisteren twee tweets met wat volgens sommige mensen wachtwoorden zijn, maar een bekende beveiligingsexpert stelt dat het geen slechte wachtwoorden zouden zijn zoals sommige critici claimen.
Het gaat om tweets met de boodschap: n9y25ah7 en Aqenbpuu. Volgens beveiligingsexpert Robert Graham, ontwikkelaar van de BlackICE firewall en expert op het gebied van deep packet inspection (DPI), gaat het om adequate wachtwoorden. "Misschien niet de beste, maar zeker niet 'shitty'", zo laat hij op zijn eigen blog weten. Volgens de expert hangt het af van het dreigingsmodel. Veelvoorkomende dreigingen zijn het hergebruik van wachtwoorden en phishing, waar de sterkte van het wachtwoord niet uitmaakt.
Waar de sterke wel uitmaakt is als Twitter wordt gehackt en de wachtwoordhashes worden gestolen. Twitter maakt gebruik van het bcrypt-algoritme voor het hashen van wachtwoorden. Dit is een vrij sterk hashing-algoritme dat het lastig maakt voor aanvallers om de wachtwoordhashes te kraken en zo de oorspronkelijke wachtwoorden te achterhalen. Met een standaard computer zou het kraken van het wachtwoord volgens Graham 20 jaar duren. Een botnet of cloudcomputers zouden het wachtwoord echter in dagen kunnen kraken. "Het is geen goed wachtwoord, maar ook geen slecht wachtwoord." Het hacken van het Twitter-account zou een klein incident zijn. Iemand zou er niet veel middelen in investeren om het te kraken, gaat de expert verder.
Volgens Graham is security een afweging. "Een berg goud zou je met Fort Knox-achtige maatregelen beschermen, maar dat zou je niet doen bij een berg hout. Hetzelfde geldt voor wachtwoorden. Zolang je wachtwoorden niet hergebruikt of slachtoffer van phishing wordt is een wachtwoord van acht karakters met kleine letters voldoende." Dit geldt helemaal als tweefactorauthenticatie is ingeschakeld. "In dat soort gevallen is een dergelijk wachtwoord meer dan voldoende", laat de expert weten. Spicer heeft de tweets inmiddels verwijderd en nog geen uitleg gegeven wat ze betekenden.
Deze posting is gelocked. Reageren is niet meer mogelijk.