Video: Zo maak je een sterk wachtwoord (November 2024)
Er gaat nauwelijks een week voorbij zonder nieuws over een datalek met miljoenen of miljarden wachtwoorden. In de meeste gevallen is wat daadwerkelijk wordt weergegeven een versie van het wachtwoord die wordt uitgevoerd via een hashing-algoritme, niet het wachtwoord zelf. Het laatste rapport van Trustwave laat zien dat hashing niet helpt wanneer gebruikers domme wachtwoorden maken, en dat lengte belangrijker is dan complexiteit in wachtwoorden.
Hackers zullen @ u8vRj & R3 * 4h kraken voordat ze StatelyPlumpBuckMulligan of ItWasTheBestOfTimes kraken.
Hashing It Out
Het idee achter hashing is dat de beveiligde website nooit het wachtwoord van een gebruiker opslaat. Het slaat eerder het resultaat op van het uitvoeren van het wachtwoord via een hashing-algoritme. Hashing is een soort eenrichtingsversleuteling. Dezelfde invoer genereert altijd hetzelfde resultaat, maar er is geen manier om van het resultaat terug te gaan naar het oorspronkelijke wachtwoord. Wanneer u zich aanmeldt, hash de server-side software wat u heeft ingevoerd. Als het overeenkomt met de opgeslagen hash, doe je mee.
Het probleem met deze aanpak is dat de slechteriken ook toegang hebben tot hashing-algoritmen. Ze kunnen elke combinatie van tekens voor een bepaalde wachtwoordlengte door het algoritme laten lopen en de resultaten vergelijken met een lijst met gestolen hashwachtwoorden. Voor elke overeenkomende hash hebben ze één wachtwoord gedecodeerd.
In de loop van duizenden netwerkpenetratietests in 2013 en begin 2014 hebben Trustwave-onderzoekers meer dan 600.000 gehashte wachtwoorden verzameld. Met hashcracking-code op krachtige GPU's hebben ze binnen enkele minuten meer dan de helft van de wachtwoorden gekraakt. De test duurde een maand, waarna ze meer dan 90 procent van de monsters hadden gekraakt.
Wachtwoorden - u doet het verkeerd
Veel voorkomende wijsheid is dat een wachtwoord met hoofdletters, kleine letters, cijfers en leestekens moeilijk te kraken is. Dat blijkt niet helemaal waar te zijn. Ja, het zou moeilijk zijn voor een kwaadwillende persoon om een wachtwoord als N ^ a & $ 1nG te raden, maar volgens Trustwave zou een aanvaller dat wachtwoord in minder dan vier dagen kunnen kraken. Voor het kraken van een lang wachtwoord zoals GoodLuckGuessingThisPassword zou daarentegen bijna 18 jaar verwerking nodig zijn.
Veel IT-afdelingen hebben wachtwoorden van minimaal acht tekens nodig, die hoofdletters, kleine letters en cijfers bevatten. Het rapport wijst erop dat "Wachtwoord1" helaas aan deze vereisten voldoet. Niet toevallig was Password1 het meest voorkomende wachtwoord in de verzameling die werd onderzocht.
De onderzoekers van TrustWave ontdekten ook dat gebruikers precies doen wat ze moeten doen, niet meer. Bij het opsplitsen van hun wachtwoordverzameling vonden ze dat bijna de helft exact acht tekens waren.
Maak ze lang
We hebben dit al eerder gezegd, maar het moet worden herhaald. Hoe langer je wachtwoord (of wachtwoordzin), hoe moeilijker het is voor hackers om het te kraken. Typ een favoriete quote of zin, zonder spaties, en je hebt een fatsoenlijke wachtwoordzin.
Ja, er zijn andere soorten kraakaanvallen. In plaats van elke afzonderlijke combinatie van tekens te hashen, hasheert een woordenboekaanval combinaties van bekende woorden, waardoor de reikwijdte van de zoekopdracht aanzienlijk wordt beperkt. Maar met een wachtwoord dat lang genoeg was, zou bruut geweld kraken nog eeuwen duren.
Het volledige rapport snijdt en snijdt de gegevens op verschillende manieren. Meer dan 100.000 gekraakte wachtwoorden bestonden bijvoorbeeld uit zes kleine letters en twee cijfers, zoals monkey12. Als u wachtwoordbeleid beheert, of als u gewoon geïnteresseerd bent om betere wachtwoorden voor uzelf te maken, is het zeker de moeite waard om te lezen.
