Beheer

Security
slechte wachtwoorden

Dit zijn de slechtste wachtwoorden aller tijden

Straks zijn ze gelukkig verleden tijd.

23 november 2018

Een gewetensvraag: heeft u enig idee hoeveel accounts u her en der heeft? En hoeveel wachtwoorden daarbij horen?

Ik wist het niet. Ik dacht aan een totaal van dertig tot veertig accounts voor belangrijke zaken (e-mailen en bankieren) en minder belangrijke zaken (gadgets bestellen bij Coolblue). Daar horen dan dertig tot veertig wachtwoorden bij, die wachtwoordbeheerder 1 Password voor mij onthoudt.

Gemiddeld 191 wachtwoorden

Maar mijn gedachte van dertig tot veertig wachtwoorden blijkt een wel heel conservatieve schatting. Uit onderzoek van een andere wachtwoordbeheerder, LastPass, komt naar voren dat een gemiddeld personeelslid maar liefst 191 wachtwoorden(!) heeft om toegang te verkrijgen tot allerlei accounts. Het aantal unieke wachtwoorden ligt lager: 61% procent van de medewerkers gebruikt voor meerdere accounts (een variant op) hetzelfde wachtwoord. Maar dan nog gaat een gemiddeld personeelslid over mijn geschatte dertig tot veertig wachtwoorden heen.

Als je zoveel wachtwoorden moet onthouden (en geen wachtwoordbeheerder gebruikt) is het niet gek dat er medewerkers zijn die voor eenvoudige opties kiezen. Of voor ronduit slechte opties. Technologiebedrijf SplashData publiceert ieder jaar een lijst met de 100 meest voorkomende wachtwoorden ter wereld. Daarop staan altijd een paar klassiekers, maar er komen ook ieder jaar nieuwe slechte wachtwoorden bij. De top 25 van vorig jaar zag er zo uit:

  • 123456
  • Password
  • 12345678
  • qwerty
  • 12345
  • 123456789
  • letmein
  • 1234567
  • football
  • iloveyou
  • admin
  • welcome
  • monkey
  • login
  • abc123
  • starwars
  • 123123
  • dragon
  • passw0rd
  • maste
  • hello
  • freedom
  • whatever
  • qazwsx
  • trustno1

Welke er met stip binnenkwamen? De zogenaamd slimme wachtwoorden ‘letmein’ (‘let me in’) en ‘trustno1’. Maar ook ‘starwars’ was nieuw, net als 123456789.

Tijd voor verandering

Om dit soort veelgebruikte en veel te makkelijke wachtwoorden uit de wereld te helpen riep techwebsite Tweakers in 2014 een Nationale Verander Je Wachtwoorden Dag in het leven. Op 24 november is het weer zover. Ik raad IT-afdelingen aan om deze dag binnen hun organisaties te promoten. Personeelsleden moeten weliswaar met enige regelmaat het wachtwoord van hun Windows-account wijzigen, maar al die andere wachtwoorden gaan soms jarenlang mee. Dat vergroot het risico op hacks en datalekken.

Uit onderzoek van Verizon blijkt dat 81 procent van de hacks en datalekken is te wijten aan gestolen en/of zwakke wachtwoorden. IT’ers kunnen in aanloop naar 24 november ook zelf checken hoe sterk of zwak de wachtwoorden zijn die in hun organisatie gebruikt worden. Een middel daarvoor is de gratis Weak Password Test die we bij KnowBe4 ontwikkeld hebben.

Biometrie + wachtwoord/pincode

U en ik kunnen ons ook afvragen of we niet beter helemaal van wachtwoorden af moeten stappen. Ik denk dat het antwoord ‘ja’ is, en dat we daar als sector de komende jaren naartoe zullen bewegen. Biometrische toegangsmethoden worden al volop toegepast, maar zijn nog niet geperfectioneerd (Face ID op de iPhone X en de irisscanner op de Samsung Galaxy S9 zijn geen doorslaand succes). Combinaties van biometrische toegangsmethoden en wachtwoorden/pincodes zullen daarom in mijn optiek een eerste stap zijn naar betere beveiliging.

Reactie toevoegen
5
Reacties
Bas Zwart 02 december 2018 23:09

Dé oplossing voor biometrische inlog is enkele maanden geleden gelanceerd door het Nederlands/Spaanse Biocryptology. Biocryptology is een gecertificeerd en gepatenteerd platform dat met biometrie een eind maakt aan identiteitsfraude, wachtwoorden overbodig maakt en diefstal van gegevens onmogelijk maakt.

Biocryptology kan gebruikt worden voor veilige toegang tot websites, e-mail en apps, maar ook voor het doen van betalingen, het huren van een auto, toegang tot gebouwen en auto’s en het tekenen van officiële documenten.

Meer info op www.biocryptology.com of mail mij op bas.zwart@biocryptology.com

Bert Verhees 01 december 2018 11:14

Als we nu eens beginnen met een online password dienst voor alle passwords die er niet toe doen. Chrome heeft zoiets, het genereert een password dat niemand kan onthouden, en op iedere computer en phone waarop Chrome draait is het password beschikbaar, en zelfs zonder Chrome, maar dan moet je naar je Google account toe, is het password beschikbaar.

Ik heb honderden van dergelijke passwords, bij hotel-boekingen, vliegtuigboekingen, bol.com, vele online diensten, discussie-fora, noem maar op. Ik onthoud nooit een wachtwoord.

Maar er zijn ook enkele diensten waar ik wel zelf een wachtwoord voor verzin, Paypal, bijvoorbeeld. De dingen die met geld hebben te maken. En die passwords zijn moeilijk te raden, maar makkelijk te onthouden, ook na wijziging.

Lex van der Linden 26 november 2018 17:57

Biometrische toegangsmethoden lijkt misschien het ultieme maar is toch een probleem. Voor bedrijven is dit misschien een goede oplossing maar in de privé sfeer niet, in een gezin worden vaak computers door meerdere personen gebruikt en maken zij gezamenlijk gebruik van programma's, Wat nu als het alleen maar toegankelijk wordt met een iris scan of vingerafdruk en die persoon komt in een ziekenhuis terecht of komt te overlijden, dan kan de ander er meteen niet meer bij. Er zijn vast wel slimmere zaken te verzinnen dan een password of biometrie.

Mark van der Horst 23 november 2018 16:44

Jammer dat er nog altijd gepleit wordt voor verplicht periodiek wijzigen van wachtwoorden. Het is een antipattern dat juist leidt tot steeds zwakkere werkwoorden.

Verplichte minimum lengte is ook een antipattern: bijna alle wachtwoorden worden even lang en repetitief.

Vreemde tekens gebruiken is eveneens een slecht idee: de substituties liggen voor de hand en het belemmert normaal geschreven, goed te onthouden, sterkere wachtwoorden.

Ik raad elke verplichting die het de gebruiker moeilijker maakt dus af. Mijn advies: Wijs op risico hergebruik, gebruik een password blacklist, dwing MFA af waar nodig.

Peter Mul 23 november 2018 15:06

Maak een app "verander mijn keybord"

De gebruikers kiest dan de naam of symbool van één van de honderden door de app gegenereerde kunstmatige keyboarden en type op zijn/haar gewone keyboard het eenvoudig te onthouden wachtwoord in.

Het digitale kunstmatige keyboard gebruikt dan deze toetsaanslagen om het onuitspreekbare wachtwoord te genereren.

Een nieuw wachtwoord is dan slechts de keuze voor een ander kunstmatig keyboard.

De layout van het kunstmatig keyboard is niet zichtbaar voor de gebruiker.