Onverschilligheid met wachtwoorden leidt tot slimme aanval

De aanvalmethodiek is veel efficiënter dan de brute krachtmethode waarbij wordt geprobeerd met het afvuren van veel willekeurige wachtwoordcombinaties een account binnen te komen. Die pogingen worden vaak afgedekt door inlogsystemen die blokkeren nadat enkele keren een foute invoer is gegeven. Password spraying maakt bijvoorbeeld gebruik van wachtwoorden als '123456', '000000', '1qaz2wsx' en 'a123456' en andere voordehandliggende cijfer- en lettercombinaties.

Waarschuwingen genegeerd

Mensen blijken bovendien vaak hun vertrouwde wachtwoorden te blijven gebruiken ook al hebben ze een waarschuwing gekregen dat het betreffende account is gehackt. Vorige week presenteerde Google op een USENIX conferentie een onderzoek waarbij gebruik werd gemaakt Password Checkup, een tooltje dat Google in februari introduceerde om mensen te waarschuwen voor slechte of gehackte wachtwoorden.

Slechts bij 26 procent van waarschuwingen die Password Checkup geeft, neemt de betreffende gebruiker ook actie en kiest een ander wachtwoord. Het bemoedigende resultaat is wel dat degenen die het wachtwoord veranderen vaak ook daadwerkelijk een sterker wachtwoord kiezen: 60 procent zijn beter bestand tegen wachtwoord raden.