Kraak dwingt bedrijven tot aanscherping wachtwoordregels

Gosney maakte gebruik van het Virtual OpenCL clusterplatform om vijf servers met elk vijf grafische kaarten van AMD Radeon als één systeem aan de brute-krachtaanval te laten werken. Dat systeem kan 350 miljard gissingen per seconde genereren bij het ontcijferen van wachtwoordhashes die gegenereerd zijn door het NTLM-algoritme. Microsoft levert dat versleutelingsalgoritme mee met bijna alle Windows-versies sinds Windows Server 2003.

Redactie AG ConnectMeer van deze auteur

Die 350 miljard gissingen per seconde maakt het mogelijk 95 tot de macht 8 combinaties in 5,5 uur te proberen. Dat is voldoende om ieder denkbaar achtcijferig wachtwoord te proberen met hoofdletters, kleine letters, cijfers en symbolen. Het LM-algoritme, dat voor oudere versies van Windows wordt gebruikt, valt overigens al binnen 7 minuten.

Niet bruikbaar voor online-aanvallen

Gosney's machine is niet bruikbaar voor online-aanvallen, tenzij een beheerder zo dom is geweest om geen grens te stellen aan het aantal pogingen dat een rechtmatige gebruiker mag doen om in te loggen. Maar als een hacker erin slaagt om wachtwoordlijsten te bemachtigen, kan hij zonder grote investeringen binnen een werkdag de inlogcodes ontcijferen. Dat geeft bedrijven wel erg weinig tijd om op zo'n diefstal te reageren, zelfs als die meteen wordt opgemerkt.

Het lijkt op grond van de snelle progressie die dankzij de inzet van krachtige grafische kaarten bij het kraken van sleutels wordt geboekt dan ook raadzaam om langere wachtwoorden verplicht te stellen. Het minimum is door Gosney's prestatie feitelijk op 9 karakters komen te liggen; om wat ademruimte te houden kan men wellicht beter meteen langere wachtwoorden voorschrijven.

Gosney presenteerde zijn bevindingen op de Passwords^12-conferentie in Oslo. De slides van zijn presentatie staan online.

AI-geïntegreerde applicaties: de nieuwe standaard in softwareontwikkeling

AI is geen toekomstmuziek meer. Ontdek hoe AI-applicaties softwareontwikkeling vandaag al ingrijpend veranderen.

2 min

Blog Maatschappij en IT Partner

Bijdragen aan de maatschappij via IT? Dit is hoe David het doet.

We spraken met David over zijn reis van de psychologie naar de IT-consultancy, zijn nieuwe rol en wat zijn werk zo interessant maakt.

4 min

Achtergrond IT-landschap Partner

De brug tussen development & operatie

Van migraties tot monitoring: als DevOps Engineer bouwt Valerie bij Cegeka aan applicaties die écht waarde leveren. Lees haar verhaal!

1 min

Meer whitepapers

Whitepaper Artificial Intelligence Partner

The challenge of information asymmetry

In many organizations, decision-making is hindered by information asymmetry, where critical data is unevenly distributed

Whitepaper Marketing Partner

High impact business stories creëren

De route naar de zakelijke beslisser.

Whitepaper Cloud Partner

Ontdek best practices voor het beveiligen van containerized apps en Kubernetes-clusters

Implementeer en voer veilige container-gebaseerde applicaties een stuk eenvoudiger uit.

MEER WHITEPAPERS

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee