Zwakke wachtwoorden nog steeds favoriet

Afgelopen zondag bevestigde Gawker Media dat was ingebroken in zijn servers, waarbij vele duizenden gebruikersnamen, wachtwoorden en e-mailadressen waren buitgemaakt. Gawker heeft inmiddels 1,5 miljoen gebruikers via e-mail op de hoogte gesteld van de computerinbraak. Het bedrijf drukt de gebruikers op het hart hun wachtwoord direct te wijzigen, ook voor andere websites waarvoor ze dezelfde toegangscode hebben gekozen.

Een groepering die zichzelf Gnosis noemt eiste de verantwoordelijkheid voor de hack op. Door middel van ‘brute kracht’ wisten de hackers bij de inbraak naar eigen zeggen de gegevens van meer dan 1,3 miljoen gebruikers buit te maken.

Duo Security, een leverancier van IT-beveiligingsproducten, liet een speciale tool los op de door de hackers gepubliceerde lijst van met DES-hashcodes versleutelde wachtwoorden. Door gebruik te maken van een computer met 8-core Xeonprocessors zag Do Security kans in korte tijd meer dan 400.000 van de 1,3 miljoen wachtwoorden met ‘brute kracht’ te ontcijferen.

Uit de door Duo opgestelde ranglijst van favoriete wachtwoorden komt naar voren dat veel internetgebruikers zich niets aantrekken van alle adviezen om veilige, moeilijk te raden wachtwoorden te kiezen. Favoriet bij de bezoekers van de Gawker-sites is het zeer voor de hand liggende wachtwoord ‘123456’. Een iets langer rijtje cijfers 912345678) staat op de 3e plaats, direct na het eveneens makkelijk te raden ‘password’.

In de top-50 staan nog 9 andere simpele cijfercombinaties, met als dieptepunt het enkele cijfer ‘0’. Sommige andere wachtwoorden zijn kennelijk ontleend aan bekende personages uit de sport, de filmwereld en sciencefiction literatuur. Ook Amerikaanse stopwoordjes als 'whatever' zijn populair.

Duo Security tekent bij de lijst wel aan dat lange, meer complexe wachtwoorden moeilijker te ontcijferen zijn. Daardoor is de nu gepubliceerde lijst waarschijnlijk niet geheel representatief.

Security experts zetten vraagtekens bij de wijze waarop Gawker de wachtwoorden heeft versleuteld. Het gebruikte 56-bits DES-algoritme is immers al in 1998 gekraakt. Sindsdien is de hardware die kan worden ingezet om encryptiesleutels te kraken nog veel krachtiger geworden.

Maar de gebruikers zelf zijn ook niet vrij te pleiten. Een veelgehoord advies is om in wachtwoorden niet alleen letters en cijfers op te nemen, maar ook speciale tekens en zowel kleine letters als kapitalen. Ook zijn lange wachtwoorden veiliger dan korte. Het merendeel van de nu ontmaskerde Gawker-wachtwoorden telde slechts 6 tekens.