Category Archives: wachtwoord

42 MILJOEN WACHTWOORDEN GESTOLEN BIJ INBRAAK DATINGSITE

Hackers hebben eerder dit jaar de datingsite Cupid Media gehackt waarbij de gegevens van 42 miljoen klanten zijn gestolen, waaronder namen, e-mailadressen, onversleutelde wachtwoorden en geboortedata, zo beweert IT-journalist Brian Krebs.

De gestolen database werd op dezelfde server aangetroffen waar ook de gestolen data van Adobe, PR Newswire en het National White Collar Crime Center (NW3C) werd ontdekt. Cupid Media directeur Andrew Bolton laat weten dat de gegevens waarschijnlijk in januari van dit jaar zijn buitgemaakt.

Destijds werd er “verdachte activiteit” op het netwerk van de datingsite ontdekt. Aan de hand van de informatie die toen beschikbaar was besloot Cupid Media de wachtwoorden van een bepaalde groep gebruikers te resetten en die vervolgens in te lichten. Krebs merkt op dat er in de media niets over deze melding van de datingsite in januari of de inbraak zelf is te vinden.

Doordat de wachtwoorden niet waren gehasht kon Krebs eenvoudig een Top 10 van meest gebruikte wachtwoorden maken. Dan blijkt dat ‘123456’ met 1,9 miljoen keer het meest werd gebruikt, gevolgd door ‘111111’ met 1,2 miljoen vermeldingen in de database. Opmerkelijk is dat bij een analyse van de database die bij Adobe werd gestolen ook bleek dat 1,9 miljoen gebruikers ‘123456’ als wachtwoord gebruikten.

1,9 MILJOEN ADOBE-GEBRUIKERS HADDEN ‘123456’ ALS WACHTWOORD

Ongeveer 1,9 miljoen Adobe-gebruikers van wie de gegevens onlangs door aanvallers van Adobe’s netwerk werden gestolen, gebruikten als wachtwoord ‘123456’. Dit was de uitslag van een analyse van de versleutelde wachtwoorden. De encryptie voor de opslag van de wachtwoorden was erg zwak.

Hierdoor is het mogelijk om alle versleutelde wachtwoorden te ontsleutelen door één encryptiesleutel te achterhalen. Hoewel deze sleutel nog niet is achterhaald, kunnen onderzoekers aan de hand van de versleutelde weergave van de wachtwoorden wel afleiden welk wachtwoord een deel van de gebruikers gebruikten.

De data wordt met het Triple DES encryptiealgoritme beschermd. Voor de encryptie gebruikt Adobe een mode genaamd ECB. ECB lekt vaak informatie over wachtwoorden, zoals de paar laatste karakters en de lengte van de wachtwoorden. Hiermee konden de onderzoekers van de Stricture Consulting Group een mooi overzicht maken van de 100 meest gebruikte wachtwoorden.

Daaruit blijkt dat 1,9 miljoen accounts het wachtwoord 123456 gebruikten, gevolgd door 123456789, dat 446.000 keer werd aangetroffen. De analyse van de onderzoekers is gebaseerd op 130 miljoen accounts.

BEVEILIGING VAN WACHTWOORDEN MET LOKWACHTWOORDEN

Onderzoekers Ari Juels en Ronald Rivest hebben honeywords bedacht – lokwachtwoorden. Het idee is om per gebruiker meerdere wachtwoorden op te gaan slaan – het echte wachtwoord van de gebruiker en de lokwachtwoorden, alle natuurlijk onder encryptie. Een aparte authenticatieserver moet vervolgens nagaan of een gebruiker het eigen wachtwoord opgeeft bij het inloggen of een lokwachtwoord.

De gebruiker weet niet welke lokwachtwoorden er bestaan en zal altijd met het eigen wachtwoord inloggen. Echter, een hacker die een systeem gekraakt heeft, moet nu kiezen welk wachtwoord uit de lijst te gebruiken om in te loggen als ge gebruiker, echter zonder te weten welk wachtwoord het juiste is. Indien de hacker foutief een lokwachtwoord kiest, wordt er door de authenticatieserver alarm geslagen.

TWITTER ADVISEERT OVER WACHTWOORDEN EN VEILIGHEID

Bob Lord, hoofd Information Security bij Twitter, adviseert Twitter-gebruikers over veiligheidsaspecten verbonden met het wachtwoord:

– Het wachtwoord dient te bestaan uit tenminste 10 tekens, waaronder hoodletters, kleine letters, cijfers en symbolen

– Ditt wachtwoord dient alleen voor Twitter gebruikt te worden

– Kijk uit voor verdachte links

– Wees er zeker van dat je daadwerkelijk op Twitter aanwezig bent als je je wachtwoord ingeeft

– Deel je inloggegevens nooit met derden

– Zorg ervoor dat je voor dat je de meest recente versie van je besturingssysteem en software hebt draaien

GEEN GRAMMATICA IN WACHTWOORD

Een aantal zaken om te vermijden in je wachtwoord is: makkelijk op te sporen namen (zoals van je huisdier), makkelijk op re sporen informatie (zoals je geboortedatum), veel voorkomende wachtwoorden (zoals “wachtwoord”of “geheim”), oplopende of aflopende nummerreeksen (“1234″) en nu ook: grammatica (“mijnnaamisjohn”). Carnegie Mellon University heeft een algoritme ontwikkeld dat grammaticale wachtwoorden kan kraken.

Authenticatie met wat ik weet

Alle veilige plekken online vragen om authenticatie – om te bewijzen dat je bent wie je zegt dat je bent. Er zijn diverse manieren om jezelf te authenticeren – door iets wat alleen jij weet (bijvoorbeeld een gebruikersnaam/ wachtwoord-combinatie), door iets wat alleen jij hebt (bijvoorbeeld een certificaat), door iets wat alleen jij bent (bijvoorbeeld je vingerafdruk of je iris) of door daar te zijn waar alleen jij kunt zijn (bijvoorbeeld een terminal).

Het meest voorkomend – en het meest problematisch – is je te authenticeren door iets wat jij weet. Het gaat dan om data die alleen jij weet en niemand anders. Immers als een ander deze data ook kent, kan die zich als jou authenticeren.

De meest voorkomende informatie die alleen jij weet is je wachtwoord of je PIN. Om er voor te zorgen dat alleen jij deze PIN of dat wachtwoord kent, is het zaak deze niet te delen. Dat lijkt voor de hand te liggen, maar uit onderzoek blijkt dat Britse werknemers al voor gemiddels 5 pond bereid zijn hun bedrijfswachtwoorden te verkopen. Hun Facebook-wachtwoord zouden ze ook verkopen, maar dan voor tien maal de prijs – 50 pond.

Vervolgens moet je wachtwoord ook niet teveel voor de hand liggen. Ook dat is niet eenvoudig getuige lijstjes met de Top-X wachtwoorden. In 2012 stond op nummer 1 het wachtwoord “password”. Op plaatsen 2 tot en met 5 vinden we de volgende wachtwoorden terug: “123456”, “12345678”, “abc123”, “qwerty”. In 2011 was de top-vijf bijna hetzelfde, met dien verstande dat “qwerty” vaker gebruikt werd dan “abc123”.

Met de keuze van onze PIN is het niet veel beter gesteld: bijna 11% van ons heeft de nummer 1 PIN-keuze als PIN: “1234”. 6% koos voor de op-een-na-populairste PIN: “1111” en bijna 2% pint met geheim nummer “0000”. De minst gekozen PIN is “8086” – 0,0007% gebruikt deze cijfercombinatie.

Niet alleen gebruikers zijn niet altijd even handig met de data die alleen zij behoren te weten. Ook professionals maken het soms derden gemakkelijker om deze informatie te achterhalen. Zo maken veel applicaties nog gebruikt van de zogenaamde controlevraag. Bijvoorbeeld Mastercard vroeg mij laatst naar de naam van de straat waar ik geboren ben. Dat is niet echt informatie waar alleen ik toegang toe heb, maar met behulp van het antwoord op deze vraag komt iemand wel bij de beheeromgeving van mijn creditcard. Andere online omgevingen vragen om de meisjesnaam van mijn moeder of de naam van mijn huisdier. Al deze informatie, net als de vragen naar mijn geboortedatum of huisadres die banken standaard stellen bij telefonische authenticatie, is bepaald geen geheime informatie. Mijn advies dan ook is om, als dat kan, flink te liegen bij het opgeven van de te controleren informatie, zodat alleen jij weet wat je gelogen hebt – die informatie is wel uniek.

Het meest recente voorbeeld van professionele onhandigheid komt van Facebook en Google. Die geven niet alleen aan of een ingegeven wachtwoord juist of onjuist is, maar ook of het wachtwoord ooit eens het actuele wachtwoord van de gebruiker is geweest. Aangezien gebruikers gemiddeld 6,5 wachtwoorden gebruiken om binnen te komen bij gemiddeld 25 webomgevingen, ligt het voor de hand dat een oud wachtwoord van deze gebruiker bij een andere applicatie nog wel actueel is. Daarmee is wat Google en Facebook doen meer dan het alleen melden dat het wachtwoord ooit gebruikt is. Eigenlijk zeggen ze: “Dit password had kunnen werken. Probeer nu LinkedIn.”