Kort wachtwoord soms wel zo veilig
Pc-gebruikers hebben de onuitroeibare neiging om eenvoudig te onthouden wachtwoorden te gebruiken. Bij het uitlekken van 32 miljoen wachtwoorden van de Amerikaanse socialenetwerksite RockYou, eind vorig jaar, bleek de helft van de wachtwoorden te bestaan uit namen of simpele cijfercombinaties. Meest gebruikt – door bijna 10 procent van de uitgelekte wachtwoorden - was ‘123456’.
Shutterstock
Shutterstock
Die situatie bestaat overigens al jaren, constateerde beveiligingsonderzoeker Imperva, die de uitgelekte wachtwoorden analyseerde. Bij een analyse in 1990 van gebruikte wachtwoorden voor toegang tot een Unix-systeem constateerde men een zelfde overmaat aan eenvoudig te raden wachtwoorden, evenals bij een lek van Hotmail-wachtwoorden in 2000.
Dergelijke simpele wachtwoorden geven hackers de kans om met zogeheten woordenboekaanvallen en statistische raadprogramma’s succes te boeken, zelfs op sites die een account na drie mislukte wachtwoorden afsluiten. Op de RockYou-database zou een op de 110 pogingen om een wachtwoord te raden raak zijn, concludeerde Imperva.
Veel websites en systeembeheerders proberen het raden van wachtwoorden met de woordenboek- of een statistische methode tegen te gaan met stringente regels over de lengte van het wachtwoord en het verplicht gebruiken van leestekens en/of symbolen. Dat maakt het er niet per definitie veiliger op. Dergelijke wachtwoorden zijn namelijk moeilijk te onthouden. Gebruikers hebben daarom de neiging om bijvoorbeeld W@chtwoord te kiezen. Veelal schrijft men de inlogcode ook op, bijvoorbeeld op een geeltje dat onder het toetsenbord wordt geplakt – waarmee het risico alleen maar wordt verplaatst.
Stuart Schechter en Cormac Herley van Microsoft en Michael Mitzenmacher van Harvard University Schechter, hebben nu een opzet ontworpen waarbij gebruikers wel kortere, beter te onthouden wachtwoorden mogen gebruiken. Kern van hun systeem is een centrale index die het gebruik verbiedt van wachtwoorden die te populair worden. In hun onderzoeksrapport Popularity is Everything tonen ze daarbij aan, dat daarmee bij websites met voldoende bezoekers afdoende te beveiligen zijn. Simpele maatregelen voorkomen daarbij dat hackers hun voordeel kunnen doen met de informatie in die index door bijvoorbeeld hun wachtwoordenboeken te testen tegen die centrale index.
Voor sites met veel geregistreerde bezoekers lijkt deze aanpak op zijn minst net zo veilig te zijn als het afdwingen van het gebruik van ingewikkelde wachtwoordschema’s. En als wachtwoorden makkelijker te onthouden zijn, worden veel van de onveilige praktijken die nu in zwang zijn overbodig.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee