Beheer

Security
wachtwoord

Meeste wachtwoordmeters zijn zinloos

Sterktemeters voor wachtwoorden zijn over het algemeen bijzonder slecht, een uitzondering daargelaten.

© pixabay
26 augustus 2016

Sterktemeters voor wachtwoorden zijn over het algemeen bijzonder slecht, een uitzondering daargelaten.

Sterktemeters voor wachtwoorden, die automatisch meten of een wachtwoord aan de veiligheidseisen voldoen, zijn nog altijd tamelijk gebrekkig. Erkend slechte wachtwoorden merken ze niet als zodanig aan waardoor gebruikers het risico lopen toch die onveilige wachtwoorden te blijven gebruiken.

Dat vindt Mark Stockley, onafhankelijk web consultant. Hij publiceerde hierover een artikel op het nakedsecurity-blog van Sophos.

De simpelste versies van deze meters controleren de sterkte van een wachtwoord aan de hand van criteria als de lengte ervan en het gebruik van soorten karakters, hoofdletters en cijfers.  Een onderzoek uit 2014 van de Universiteit van Concordia in Montreal toonde vorig jaar al aan dat ze bepaald niet effectief zijn en soms zelfs ronduit slecht functioneren. Bezwaren zijn dat ze inconsistente resultaten opleveren wat gebruikers in verwarring brengt. Ook werken ze vaak met een abstracte en ontoereikende set van regels.

Zó gekraakt

Stockley testte anderhalf jaar geleden 5 wachtwoorden die veel gebruikt werden. Met een tool wist hij de wachtwoorden in minder dan een seconde te kraken. Maar de 5 sterktemeters waar hij ze vervolgens mee testte, vonden ze van zwak tot goed. Nooit werden ze volledig afgekeurd. Wat toch echt had moeten gebeuren gezien het feit dat ze binnen een seconde werden gekraakt door kraaktool.

Onlangs heeft hij dezelfde 5 wachtwoorden door een kraker gehaald, die ze allemaal wederom binnen een seconde kraakte. En weer gaven de meeste sterktemeters niet aan dat de wachtwoorden te zwak waren. Dit keer werkte hij echter ook met de geavanceerde open source sterktemeter zxcvbn. Deze wordt ook gebruikt door Dropbos en WordPress. Die gaf wel aan dat de wachtwoorden zeer zwak waren.

ECP.nl

VeiligInternetten.nl is een website die tips geeft over veilig omgaan met onder meer online privacy en sociale media. Het is een gezamenlijk intiatief van onder meer de ministeries van Economische Zaken, Veiligheid en Justitie, het Nationaal Cybersecurity Centrum en ECP. Met behulp van een sterktemeter kunnen bezoekers hun wachtwoord laten beoordelen. Vier van de vijf wachtwoorden die Stockley testte, werden als te zwak beoordeeld door de deze meter. Maar het vijfde wachtwoord, primetime21, beoordeelt deze meter als goed. Is daarmee deze meter gediskwalificeerd? ECP ziet dat niet zo. Een woordvoerder noemt het artikel van Stockley steekhoudend. Maar “het probleem dat wordt behandeld, ligt echter niet aan de sterkte van wachtwoorden. In werkelijkheid is “primetime21” cryptografisch gezien een redelijk sterk wachtwoord (hij scoort op VI “Ok, maar kan beter”). Waarom het toch een slecht wachtwoord is, ligt aan het feit dat het op een lijst met veelvoorkomende wachtwoorden staat waardoor het sneller geraden wordt. Als het wachtwoord gHu8y45hce7*P_IEdGH:p09&$2sfUiL[pigyRy_H$oiOutyTT7^R%$FUJt% veel wordt gebruikt en op die lijst terechtkomt, zal het ook een slecht wachtwoord worden ondanks dat het supersterk is.

 

De wachtwoordsterktemeter van VI kan dit sowieso niet tegenhouden, want die controleert het wachtwoord zelf niet. Een belangrijke les hieruit is dat de sterkte (of cryptografisch gezegd: de entropie) van een wachtwoord niet zaligmakend is. Het is ook belangrijk dat je wachtwoord niet veel gebruikt wordt. De kans op een uniek (of op zijn minst zeldzaam) wachtwoord is groter als het wachtwoord langer is, en dat is precies de belangrijkste boodschap van de VI-meter.”

 

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.