2020 is nog niet voorbij, maar we weten al wat uw favoriete wachtwoorden zijn
Net als elk vorig jaar voltooide de informatiebeveiligingsgemeenschap de eindejaarsevaluatie van wachtwoordpraktijken en gebruikersgewoonten. Helaas is het overzicht voor 2020 niet bepaald bemoedigend.
Er is een grote hoeveelheid advies op internet over wachtwoordbeveiliging. Onze eigen artikelen gaan heel vaak over het onderwerp. Het lijkt er echter op dat mensen bijzonder koppig zijn als het om wachtwoorden gaat en gewoon weigeren te luisteren en te leren.
Geloof het of niet, "123456" is nog steeds het meest voorkomende wachtwoord onder de mensen die ondervraagd zijn in de wachtwoordbeveiligingsenquête. Beveiligingsonderzoekers publiceerden gewoonlijk een statistiek die de geschatte wachtwoordsterkte beschrijft - "tijd tot brute kracht", dat verwijst naar hoe lang een hacker of een groep kwaadwillenden nodig zou hebben om een bepaald wachtwoord te kraken. Die statistiek is zelfs niet van toepassing als het gaat om wachtwoorden zoals "123456", aangezien het wachtwoord te veel wordt gebruikt, gemakkelijk te raden en voor de hand liggend is.
De tweede plek in de wachtwoorden hall of shame is gereserveerd voor "123456789". Het lijkt erop dat mensen nog steeds op de een of andere manier denken dat het beveiligen van hun wachtwoord door meer opeenvolgende nummers achter elkaar te rijgen. Dit is gewoon niet het geval en is het ook nooit geweest.
Andere al lang bestaande hall of shame klassieke wachtwoordreeksen zoals het woord 'wachtwoord' komen nog steeds voor in de top 10 van meest gebruikte wachtwoorden voor het jaar 2020. Het enige wachtwoord in de top 10 lijst dat niet met brute kracht kan worden geraden script binnen enkele seconden is "picture1". Helaas duurt de tijd die een gewone thuiscomputer nodig heeft om een wachtwoord als "picture1" brute kracht te geven, een paar uur, wat nog steeds betekent dat het wachtwoord verre van veilig is.
Het lijkt erop dat mensen sommige principes van goede wachtwoorden bijna begrijpen, maar ze nooit echt goed implementeren, zoals de ham-fisted-poging om letters en cijfers in de string te mengen.
Wat is het verschil tussen een tweede en meerdere eeuwen?
Om een soort perspectief te geven op wachtwoordsterkte, hebben we een testwachtwoord bedacht dat een combinatie van twee ongebruikelijke woorden gebruikt, wat resulteert in een string die niet in een woordenboek voorkomt, met meerdere symbolen en cijfers in de mix, en de resulterende reeks van 18 tekens door middel van een wachtwoordsterkte-checker. Het resultaat was dat het naar schatting honderden en honderden jaren zou kosten om deze string brute kracht te geven, zelfs bij gebruik van een groot computernetwerk, waardoor deze in feite onkraakbaar zou worden.
Er is niet altijd een tekenreeks van 20 tekens nodig om een veilig wachtwoord te hebben, maar alleen letters, symbolen en cijfers moeten goed worden gemengd en nooit eenvoudige woorden worden gebruikt die je in het woordenboek kunt vinden, omdat de meeste brute-force-scripts erop vertrouwen enorme woordenboekdatabases om wachtwoorden te kraken.