Beheer

Security
wachtwoord

Moscow4

Kremlin-officier had geen benul van wachtwoordregels.

© CC0,  geralt
11 juli 2022

Een term die Navalny gebruikte om gemakkelijk te raden wachtwoorden aan te duiden is 'Moscow4'. Het verhaal gaat dat een account van een hoog geplaatste legerofficier werd gekraakt, die zijn wachtwoord van Moscow1 naar 2, 3 en 4 ophoogde. Zo bleef het account te kraken.

Inderdaad komt de term 'moscow' 56 keer voor in de lijst van 14 miljoen bekende wachtwoorden, en allemaal redelijk voor de hand liggend. Soms moet je wel weten dat een v als een b wordt gespeld, dus obechkin4moscow gaat natuurlijk over ijshockeyer Alex Ovechkin, maar daar heb je dan ook een lijst voor.

Zulke wachtwoorden zijn natuurlijk simpel te kraken, en daarom is het goed dat er wachtwoordnormen en -richtlijnen zijn. De verplichte hoofdletter is bekend, net als de eis dat er cijfers en leestekens in staan. In de praktijk betekent dit vaak dat mensen die eigenlijk 'password' hadden willen gebruiken nu kiezen voor Password1! En als het wachtwoord regelmatig ververst moet worden, wordt het Password2! En als je voor verschillende diensten of op verschillende apparaten ook weer verschillende wachtwoorden moet hebben, dan worden het voorspelbare varianten zoals Pasword1! of Paswordd1! of iphone3g.

Aanvallers anticiperen op dit soort richtlijnen, ze proberen op grond van bovenstaande vrij voorspelbare strategieën van gebruikers een voorschot te nemen op het kraken van de wachtwoorden. Het lijkt erop dat sommige richtlijnen contraproductief werken. Ze maken het juist makkelijker om wachtwoorden te raden of te kraken.

De keuze van een wachtwoord helemaal vrij laten kan ook niet. Dan vallen mensen al snel terug op alleen kleine letters en woorden die bestaan, of dingen als zxcvbn. Daar ben je met een dictionary attack plus veelgebruikte passwords al snel uit als hacker.

Daarom is het verfrissend om te zien dat de laatste wachtwoorden-richtlijn voor de Amerikaanse overheid inspeelt op deze praktijk. De norm, officieel de 'NIST Special Publication 800-63 Revision 3', is van juni 2017, met updates tot in 2020. In het onderdeel 'Authentication and Lifecycle Management' staan de nieuwste inzichten.

In ieder geval moeten door gebruikers gekozen wachtwoorden minstens acht karakters lang zijn. Wachtwoordlengte is de belangrijkste factor om een sterk wachtwoord te krijgen. Dus niet complexiteit door onder- en bovenkasten, cijfers, leestekens en speciale karakters.

Wachtwoord-verificatoren moeten alles uitsluiten dat al in bekende wachtwoordlijsten staat, dat in woordenboeken voorkomt of te veel herhaling bevat zoals aaaaaa, 1234abcd, qwerty. Ook context-specifieke woorden zoals 'Veere' als wachtwoord voor het gemaal bij Veere, moeten ze uitsluiten.

Verder stelt de NIST-norm dat wachtwoord-verificatoren geen samenstellingsregels moeten afdwingen, zoals mengsels van verschillende karaktertypes of het verbieden van herhaling van tekens. En ze moeten niet afdwingen dat wachtwoorden periodiek moeten worden vervangen. Natuurlijk wel als daar aanleiding toe is, maar niet standaard om de drie maanden of iets dergelijks.

Die aanbevelingen verwijzen dus naar de menselijke neiging om een normaal woord aan te kleden door met een hoofdletter te beginnen, en af te sluiten met het cijfer 1 en een uitroepteken.

Maar voor Navalny is het natuurlijk fijn dat deze richtlijn het Kremlin nog niet heeft bereikt.

Magazine AG Connect

Dit artikel is ook gepubliceerd in het magazine van AG Connect (juni 2022). Wil je alle artikelen uit dit nummer lezen, zie dan de inhoudsopgave.

Reactie toevoegen
1
Reacties
Jacques 15 augustus 2022 13:32

Een teken is het Nederlandse woord voor het Engelse woord character.
Het Nederlandse woord karakter lijkt hier erg op, maar heeft een andere betekenis, tot nu toe.