FBI adviseert gebruik van unieke passphrases voor elk account
De FBI adviseert dat gebruikers al hun accounts met unieke passphrases beschermen. Voorheen werd nog expliciet het gebruik van sterke wachtwoorden aangeraden, maar dat is nu veranderd in passphrases. Een passphrase is een wachtwoord dat uit meerdere woorden bestaat. Vanwege zijn lengte is een passphrase lastig voor een aanvaller te raden en te kraken, maar eenvoudig voor de gebruiker om te onthouden.
Het advies staat in een nieuwe waarschuwing van de Amerikaanse opsporingsdienst over phishingaanvallen tegen verkiezingsfunctionarissen. Vorig jaar oktober zijn verkiezingsfunctionarissen in negen Amerikaanse staten het doelwit geworden van phishingaanvallen waarbij nepfacturen werden gebruikt, zo claimt de FBI. De malafide e-mails hadden onder andere pdf- en docx-bestanden als bijlage. Deze documenten linkten naar een website waar gebruikers werd gevraagd om in te loggen.
De phishingmails leken afkomstig van Amerikaanse bedrijven, maar bij één van de aanvallen werd het officiële e-mailaccount van een Amerikaanse overheidsfunctionaris gebruikt. Volgens de FBI zullen aanvallers in aanloop naar de tussentijdse verkiezingen in de Verenigde Staten hun aanvallen tegen verkiezingsfunctionarissen opvoeren.
De FBI doet in dergelijke waarschuwingen ook altijd verschillende aanbevelingen hoe gebruikers zich kunnen beschermen. Vorige waarschuwingen adviseerden het gebruik van sterke wachtwoorden om accounts te beveiligen, maar in een gisteren verschenen advies wordt voor het eerst het gebruik van passphrases aangeraden. Daarnaast adviseert de FBI het trainen van personeel om phishingmails te herkennen, het gebruik van multifactorauthenticatie en het resetten van alle getroffen wachtwoorden bij een succesvolle aanval (pdf).
Altijd word je weer gedwongen tot combinaties van hoofdletters, getallen en vreemde tekens die ingevoerd moeten worden omdat anders het wachtwoord niet geaccepteerd wordt.
Het is ook veel makkelijker om te onthouden zoals bijv. hetideredagweerlentepretis dan $%yeT345
Altijd word je weer gedwongen tot combinaties van hoofdletters, getallen en vreemde tekens die ingevoerd moeten worden omdat anders het wachtwoord niet geaccepteerd wordt.
Het is ook veel makkelijker om te onthouden zoals bijv. hetideredagweerlentepretis dan $%yeT345
Je kunt redelijk makkelijk een passphrase maken die aan dergelijke eisen voldoet:
Security=goedvoormoedervan84
Peter
Dat zou iedereen moeten doen want het hergebruiken van wachtwoorden is zoals bekend een erg gevaarlijke praktijk. Maar hoe maak je een wat ouder iemand, die niet uit de IT komt, vertrouwd met een passwordmanager?
Voor accounts die online toegankelijk zijn gebruik ik wel sterke unieke wachtwoorden.
Voor dingen als PGP sleutels gebruik ik wachtwoordzinnen, omdat dat wel weer interessant is voor een lokale aanvaller die bijvoorbeeld een backup in zijn handen krijgt.
Backups krijgen bij mij geen wachtwoord omdat dan eigenlijk elke nieuwe backup een nieuw wachtwoord zou moeten krijgen en dat is te veel administratie voor mij. Ook moeten backups altijd uit te pakken zijn en moet niet de corruptie van een block in het begin de hele backup onbruikbaar maken.
Voor WiFi gebruik ik wachtwoorden met 128 bits entropie, omdat je die per device maar een keer hoeft in te tikken. Dus het is geen extra moeite om die supersterk te maken.
Altijd word je weer gedwongen tot combinaties van hoofdletters, getallen en vreemde tekens die ingevoerd moeten worden omdat anders het wachtwoord niet geaccepteerd wordt.
Het is ook veel makkelijker om te onthouden zoals bijv. hetideredagweerlentepretis dan $%yeT345
Je kunt redelijk makkelijk een passphrase maken die aan dergelijke eisen voldoet:
Security=goedvoormoedervan84
Peter
Vreemde tekens leiden ook heel vaak tot inlogproblemen als weer eens blijkt dat de toetsenbord instellingen gewijzigd zijn en jouw passphrase gaat echt niet werken als je niet meer dan 15 karakters mag gebruiken.
De wereld is echt niet klaar voor passphrases die langer dan 15 karakters mogen zijn en zonder verplichting voor vreemde tekens.
Een wachtwoord van 8 á 10 karakters is heden ten dagen te kort.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
