Overslaan en naar de inhoud gaan

Moscow4

Een term die Navalny gebruikte om gemakkelijk te raden wachtwoorden aan te duiden is 'Moscow4'. Het verhaal gaat dat een account van een hoog geplaatste legerofficier werd gekraakt, die zijn wachtwoord van Moscow1 naar 2, 3 en 4 ophoogde. Zo bleef het account te kraken.
wachtwoorden
© CC0
CC0

Inderdaad komt de term 'moscow' 56 keer voor in de lijst van 14 miljoen bekende wachtwoorden, en allemaal redelijk voor de hand liggend. Soms moet je wel weten dat een v als een b wordt gespeld, dus obechkin4moscow gaat natuurlijk over ijshockeyer Alex Ovechkin, maar daar heb je dan ook een lijst voor.

Zulke wachtwoorden zijn natuurlijk simpel te kraken, en daarom is het goed dat er wachtwoordnormen en -richtlijnen zijn. De verplichte hoofdletter is bekend, net als de eis dat er cijfers en leestekens in staan. In de praktijk betekent dit vaak dat mensen die eigenlijk 'password' hadden willen gebruiken nu kiezen voor Password1! En als het wachtwoord regelmatig ververst moet worden, wordt het Password2! En als je voor verschillende diensten of op verschillende apparaten ook weer verschillende wachtwoorden moet hebben, dan worden het voorspelbare varianten zoals Pasword1! of Paswordd1! of iphone3g.

Aanvallers anticiperen op dit soort richtlijnen, ze proberen op grond van bovenstaande vrij voorspelbare strategieën van gebruikers een voorschot te nemen op het kraken van de wachtwoorden. Het lijkt erop dat sommige richtlijnen contraproductief werken. Ze maken het juist makkelijker om wachtwoorden te raden of te kraken.

De keuze van een wachtwoord helemaal vrij laten kan ook niet. Dan vallen mensen al snel terug op alleen kleine letters en woorden die bestaan, of dingen als zxcvbn. Daar ben je met een dictionary attack plus veelgebruikte passwords al snel uit als hacker.

Daarom is het verfrissend om te zien dat de laatste wachtwoorden-richtlijn voor de Amerikaanse overheid inspeelt op deze praktijk. De norm, officieel de 'NIST Special Publication 800-63 Revision 3', is van juni 2017, met updates tot in 2020. In het onderdeel 'Authentication and Lifecycle Management' staan de nieuwste inzichten.

In ieder geval moeten door gebruikers gekozen wachtwoorden minstens acht karakters lang zijn. Wachtwoordlengte is de belangrijkste factor om een sterk wachtwoord te krijgen. Dus niet complexiteit door onder- en bovenkasten, cijfers, leestekens en speciale karakters.

Wachtwoord-verificatoren moeten alles uitsluiten dat al in bekende wachtwoordlijsten staat, dat in woordenboeken voorkomt of te veel herhaling bevat zoals aaaaaa, 1234abcd, qwerty. Ook context-specifieke woorden zoals 'Veere' als wachtwoord voor het gemaal bij Veere, moeten ze uitsluiten.

Verder stelt de NIST-norm dat wachtwoord-verificatoren geen samenstellingsregels moeten afdwingen, zoals mengsels van verschillende karaktertypes of het verbieden van herhaling van tekens. En ze moeten niet afdwingen dat wachtwoorden periodiek moeten worden vervangen. Natuurlijk wel als daar aanleiding toe is, maar niet standaard om de drie maanden of iets dergelijks.

Die aanbevelingen verwijzen dus naar de menselijke neiging om een normaal woord aan te kleden door met een hoofdletter te beginnen, en af te sluiten met het cijfer 1 en een uitroepteken.

Maar voor Navalny is het natuurlijk fijn dat deze richtlijn het Kremlin nog niet heeft bereikt.

Magazine AG Connect

Dit artikel is ook gepubliceerd in het magazine van AG Connect (juni 2022). Wil je alle artikelen uit dit nummer lezen, zie dan de inhoudsopgave.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in