Zo pak je slechte wachtwoorden effectief aan

We zijn aan de slag gegaan met gelekte databases en Hashcat om te kijken wat er precies mis is met wachtwoorden van nu. Daarna kijken we naar wat we moeten veranderen om sterkere wachtwoorden te krijgen.

Dit zal je inmiddels bekend zijn: elk jaar wordt er een lijst gepubliceerd met 's werelds slechtste wachtwoorden en daarin verandert in de regel niet veel. Het wachtwoord 123456 staat al jaren op de eerste plek. Het is amusant om de lijst van SplashData even door te lopen, maar het belangrijke zit er niet in dát er foute wachtwoorden bestaan, maar waarom ze bestaan.

De situatie anno 2016

We hebben wat ruwe data verzameld om een paar van deze issues toe te lichten. Na het kraken van een wachtwoordlijst die gehasht verscheen op het darknet vorig jaar, werden twee dingen onmiddellijk duidelijk. Ten eerste: mensen nemen klassiek wachtwoordadviezen inmiddels ter harte, maar niemand heeft ze vertelt dat die inmiddels zijn ingehaald door de technologie.

Ten tweede: de mens is niet uitgerust om 'willekeurig' toe te passen. Het zit niet in ons systeem om een echt willekeurig wachtwoord te gebruiken die iemand met de juiste set tools niet kan kraken. Laten we even kijken naar dé voorbeelden van slechte wachtwoorden. Dit is de top 25 van SplashData:

Elk voorbeeld in het tabelletje hierboven is een voorbeeld van een slecht wachtwoord. Het slechte nieuws is dat je met een paar kleine wijzigingen deze woorden kunt binnenloodsen langs het wachtwoordbeleid van grote bedrijven. Zulke wachtwoordeisen komen je vast bekend voor: tenminste X tekens lang, minstens één hoofdletter, een cijfer en/of een speciaal teken.

Dit soort beleid is ingevoerd om te beschermen tegen 123456 als toegangscode op belangrijke bedrijfssystemen, maar het is eenvoudig te voorspellen hoe deze wachtwoorden worden aangepast, zodat een slecht wachtwoord als 'sterk' wordt gezien. Dergelijke wachtwoordeisen worden ook buiten de kantooromgeving toegepast om 'sterke' wachtwoorden te maken en ze zijn kwetsbaar om dezelfde reden.

Database bekeken

Een paar maanden geleden lekte de database van MMO Kings online, Die bevatte MD5-hashes van wachtwoorden zonder salt, wat op platte tekst na de slechtste manier is om wachtwoorden op te slaan in een database. Voor de mensen die het niet kennen, MMO Kings is een site waar gamers van massively multiplayer online-games (MMO's) in-game valuta inruilen voor echt geld of waar ze leveling-diensten kunnen gebruiken.

We hebben deze hashes gepakt en een korte tijd besteed aan het kraken van de wachtwoorden met Hashcat op Kali Linux. Nadat de wachtwoorden waren gekraakt, gebruikten we Pipal en Passpal om wat statistieken te genereren. De lijst bevatte 89.872 accounts en nadat we 22.324 duplicaten van hashes hadden verwijderd, bleef een lijst over van 67.547 wachtwoordhashes.

Hierna: Het parsen van Hashcat-gegevens en enkele conclusies.

Related:
1 2 3 4 Page 1
Page 1 of 4
  
Shop Tech Products at Amazon