Onderzoeker: aanvallers bruteforcen geen lange wachtwoorden
Aanvallers die bruteforce-aanvallen uitvoeren om toegang tot systemen en servers te krijgen proberen alleen korte wachtwoorden, zo stelt Ross Bevington, een beveiligingsonderzoeker bij Microsoft. Bevington analyseerde meer dan 25 miljoen bruteforce-aanvallen via SSH op een honeypot-systeem.
77 procent van deze aanvallen probeerde een wachtwoord van van tussen de één en zeven karakters. Bij slechts zes procent van de aanvallen werd een wachtwoord van meer dan tien karakters geprobeerd. Dertig procent van alle wachtwoorden gebruikt bij de onderzochte bruteforce-aanvallen is zes karakters lang.
Verder ontdekte Bevington dat slechts zeven procent van de bruteforce-aanvallen een speciaal teken bevatte. Het gebruik van tenminste één cijfer kwam bij 39 procent van de aanvallen voor. Tevens laat Bevington weten dat geen van de wachtwoorden die aanvallers gebruikten een spatie bevatte.
Naast het analyseren van wachtwoorden zag de onderzoeker dat het aantal bruteforce-aanvallen op de honeypot-systemen van Microsoft dit jaar met 325 procent is toegenomen ten opzichte van vorig jaar. "Statistieken van SSH en VNC zijn net zo erg", aldus Bevington tegenover The Record.
Reacties (17)
23-11-2021, 10:11 door
linuxpro
Een passphrase heeft dus kennelijk zin i.p.v. een wachtwoord... nu nog zorgen dat je ook daadwerkelijk overal dat kan gebruiken i.p.v. gelimiteerd te worden op 7 of 8 tekens zoals je nu nog maar al te vaak ziet
Dat komt omdat het leeuwendeel van die brute force "aanvallen" scriptkiddies zijn die een tooltje gebruiken en een gedownloade lijst met wachtwoorden. Hoewel het je logs vervuilt, is het verder eigenlijk geen bedreiging als je je zaakjes op orde hebt.
Dit is natuurlijk geen reden om je wachtwoorden te vereenvoudigen. Echte bedreigingen zijn gerichte aanvallen waarbij ook fishing en social engineering worden toegepast.
Dit is natuurlijk geen reden om je wachtwoorden te vereenvoudigen. Echte bedreigingen zijn gerichte aanvallen waarbij ook fishing en social engineering worden toegepast.
Door linuxpro: Een passphrase heeft dus kennelijk zin i.p.v. een wachtwoord... nu nog zorgen dat je ook daadwerkelijk overal dat kan gebruiken i.p.v. gelimiteerd te worden op 7 of 8 tekens zoals je nu nog maar al te vaak ziet
Een passphrase is ook makkelijker te onthouden. Zelf gebruik ik "wachtwoord vergeten" optie. Hierdoor hoef je nooit je wachtwoord of passphrase te onthouden en bij elke inlog is dit dus anders. Groot voordeel is dat je een zeer sterk en uniek wachtwoord of passpharse kunt kiezen. Daardoor vervallen alle wachtwoord-managers en hoef je het nergens op te slaan. Dus 5 vliegen in 1 klap, om het maar zo te zeggen.Het heeft ook allemaal te maken met de sterkte van je wachtwoord, niet alleen de lengte. We hebben onze wachtwoorden wel eens laten testen op een dictionary attack door ze door een speciaal daarvoor geschikt cluster heen te halen. Binnen 4 uur waren meer dan 6k wachtwoorden 'gekraakt' waaronder ook 23 karakter wachtwoorden. Dus als je wachtwoordzin 1:1 te vinden is in de wereld (en dus mogelijk in een woordenlijst staat) maakte lengte natuurlijk niet uit.
Door Anoniem: Dat komt omdat het leeuwendeel van die brute force "aanvallen" scriptkiddies zijn die een tooltje gebruiken en een gedownloade lijst met wachtwoorden. Hoewel het je logs vervuilt, is het verder eigenlijk geen bedreiging als je je zaakjes op orde hebt.
Dit is natuurlijk geen reden om je wachtwoorden te vereenvoudigen. Echte bedreigingen zijn gerichte aanvallen waarbij ook fishing en social engineering worden toegepast.
Dit is natuurlijk geen reden om je wachtwoorden te vereenvoudigen. Echte bedreigingen zijn gerichte aanvallen waarbij ook fishing en social engineering worden toegepast.
De laatste twee zijn inderdaad het grootste deel van 'hacks'.
Het is wel zo dat voor veel mensen wachtwoordzinnetjes stukken makkelijker te onthouden zijn.
l / p Anoniem / LekkeRKletseNOveRSecurtyNL is toch echt makkelijker te onthouden dan Anoniem / 1&gIu*65^^,)lK
En hoogstwaarschijnlijk net zo veilig.
Door linuxpro: Een passphrase heeft dus kennelijk zin i.p.v. een wachtwoord... nu nog zorgen dat je ook daadwerkelijk overal dat kan gebruiken i.p.v. gelimiteerd te worden op 7 of 8 tekens zoals je nu nog maar al te vaak ziet
Kun je vertellen waar ongeveer je een limiet op 7 of 8 tekens "maar al te vaak" tegenkomt ?
Mij is dat namelijk al heel lang niet meer overkomen.
Door Anoniem: Een passphrase is ook makkelijker te onthouden. Zelf gebruik ik "wachtwoord vergeten" optie. Hierdoor hoef je nooit je wachtwoord of passphrase te onthouden en bij elke inlog is dit dus anders. Groot voordeel is dat je een zeer sterk en uniek wachtwoord of passpharse kunt kiezen. Daardoor vervallen alle wachtwoord-managers en hoef je het nergens op te slaan. Dus 5 vliegen in 1 klap, om het maar zo te zeggen.
Nu hopen dat je een sterk wachtwoord hebt voor je email en 2FA aan hebt staan...
Door Anoniem:
Nu hopen dat je een sterk wachtwoord hebt voor je email en 2FA aan hebt staan...
Door Anoniem: Een passphrase is ook makkelijker te onthouden. Zelf gebruik ik "wachtwoord vergeten" optie. Hierdoor hoef je nooit je wachtwoord of passphrase te onthouden en bij elke inlog is dit dus anders. Groot voordeel is dat je een zeer sterk en uniek wachtwoord of passpharse kunt kiezen. Daardoor vervallen alle wachtwoord-managers en hoef je het nergens op te slaan. Dus 5 vliegen in 1 klap, om het maar zo te zeggen.
Nu hopen dat je een sterk wachtwoord hebt voor je email en 2FA aan hebt staan...
Inderdaad maar dat geldt ook als je wel wachtwoorden gebruikt op sites en die opslaat in bv. een password manager. Want met je e-mailadres kan men jouw wachtwoord veranderen bij de site en dan is je opgeslagen wachtwoord onbruikbaar.
Het overflowen van je logs door bruteforce logging van zowel applicatie als firewall als security omgeving kan an sich ook nog een probleem worden. In het verleden heb ik bij een bank omgeving geconstateerd dat een brute force aanval ten tijde van een zomertijd->normale tijd wisseling zorgde voor een overloop van loghing op een firewall die daardoor over de zeik ging en de extra logging op de secondaire firewall het hele systeem over de zeik hielp... Dus bruteforce aanvallen kunnen wel degelijk een 'seconds from disaster' effect hebben.. (in de trend van pietje deed dit, klaasje deed daardoor dat en truusje storte neer)
Door Anoniem:Maar meer dan 6 tekens intypen duurt zo lang /s
Met copy/pasten uit je paswordsafe maakt de lengte eigenlijk niet uit voor de moeite om em 'in te voeren'.Waarom niet gewoon een maximaal aantal pogingen instellen? Net als met de pincode, maximaal 3 x proberen. Geen probleem voor wie het password kent, voor onbevoegden een heel groot probleem, bruteforcen kan dan niet meer.
24-11-2021, 17:33 door
-Peter-
Door Anoniem: Dat komt omdat het leeuwendeel van die brute force "aanvallen" scriptkiddies zijn die een tooltje gebruiken en een gedownloade lijst met wachtwoorden. Hoewel het je logs vervuilt, is het verder eigenlijk geen bedreiging als je je zaakjes op orde hebt.
Als je het goed hebt geregeld, wordt het account geblokkeerd bij X aantal verkeerde pogingen. Dus de gebruiker heeft er wel last van. Het is tegenwoordig een vaak geziene DoS methode.
Door Anoniem:
Kun je vertellen waar ongeveer je een limiet op 7 of 8 tekens "maar al te vaak" tegenkomt ?
Door linuxpro: Een passphrase heeft dus kennelijk zin i.p.v. een wachtwoord... nu nog zorgen dat je ook daadwerkelijk overal dat kan gebruiken i.p.v. gelimiteerd te worden op 7 of 8 tekens zoals je nu nog maar al te vaak ziet
Kun je vertellen waar ongeveer je een limiet op 7 of 8 tekens "maar al te vaak" tegenkomt ?
Een jaar geleden zag ik het nog bij sommige sites. Welke dat waren, weet ik niet meer. Ik ben daar natuurlijk niet verder mee gegaan. Als ze al zo slecht zijn op dit gebied, heb ik geen vertrouwen op hun kwaliteiten op andere gebieden.
Daarnaast gebruiken die scriptkiddies ook niet echt recente wachtwoordlijsten. Mijn ervaring is dat dergelijke lijsten wel 10 of meer jaar oud kunnen zijn.
Peter
Niet dat het zo belangrijk is maar de meeste halen brute force en dict-attact door elkaar. Ze zijn toch wezenlijk verschillend!
ING hanteert ook een max lengte op het wachtwoord bij hun internetbankier omgeving... Tja..
Door Anoniem: ING hanteert ook een max lengte op het wachtwoord bij hun internetbankier omgeving... Tja..
De limiet bij ING is 20 karakters. EN na 7(? in elk geval beperkt aantal) foute pogingen wordt het account gelocked.
Plus dat ze nu echt die tweede factor (app of scanner) vereisen.
Je "Tja...' alsof er daar iets mis is, is totaal niet terecht .
Door -Peter-:
Als je het goed hebt geregeld, wordt het account geblokkeerd bij X aantal verkeerde pogingen. Dus de gebruiker heeft er wel last van. Het is tegenwoordig een vaak geziene DoS methode.
Een jaar geleden zag ik het nog bij sommige sites. Welke dat waren, weet ik niet meer. Ik ben daar natuurlijk niet verder mee gegaan. Als ze al zo slecht zijn op dit gebied, heb ik geen vertrouwen op hun kwaliteiten op andere gebieden.
Door Anoniem: Dat komt omdat het leeuwendeel van die brute force "aanvallen" scriptkiddies zijn die een tooltje gebruiken en een gedownloade lijst met wachtwoorden. Hoewel het je logs vervuilt, is het verder eigenlijk geen bedreiging als je je zaakjes op orde hebt.
Als je het goed hebt geregeld, wordt het account geblokkeerd bij X aantal verkeerde pogingen. Dus de gebruiker heeft er wel last van. Het is tegenwoordig een vaak geziene DoS methode.
Door Anoniem:
Kun je vertellen waar ongeveer je een limiet op 7 of 8 tekens "maar al te vaak" tegenkomt ?
Door linuxpro: Een passphrase heeft dus kennelijk zin i.p.v. een wachtwoord... nu nog zorgen dat je ook daadwerkelijk overal dat kan gebruiken i.p.v. gelimiteerd te worden op 7 of 8 tekens zoals je nu nog maar al te vaak ziet
Kun je vertellen waar ongeveer je een limiet op 7 of 8 tekens "maar al te vaak" tegenkomt ?
Een jaar geleden zag ik het nog bij sommige sites. Welke dat waren, weet ik niet meer. Ik ben daar natuurlijk niet verder mee gegaan. Als ze al zo slecht zijn op dit gebied, heb ik geen vertrouwen op hun kwaliteiten op andere gebieden.
Inderdaad zou ik er dan ook weinig vertrouwen in hebben.
Het zal vast wel bestaan, en mijn eigen set accounts/sites waar ik ervaring mee heb hoeft ook geen heel representatieve steekproef te zijn.
Aan de andere kant : de stelling van de anonieme poster "maar al te vaak" zou betekenen dat er makkelijk meer voorbeelden van te vinden zouden zijn dan iemand (anders) die het vrij recent bij "sommige" sites nog wel zag.
Als ik _ergens_ een device opduikel dat klassiek Unix crypt(3) gebruikt spreek ik niet over "maar al te vaak" .
Daarnaast gebruiken die scriptkiddies ook niet echt recente wachtwoordlijsten. Mijn ervaring is dat dergelijke lijsten wel 10 of meer jaar oud kunnen zijn.
Zou dan veel uitmaken ?
Het zou een aardig hoofdstukje in het een of andere paper kunnen zijn, wijzigende frequenties van top wachtwoorden in de loop van de tijd.
Met de heel natte vinger kan ik speculeren dat opkomende filmsterren/artiesten/songteksten/modewoorden wel iets doen in password dictionaries - maar ik durf niet heel hard te gokken wat voor percentages je gaat missen met een oudere dictionary.
Peter
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
