Een analyse van 32 miljoen gelekte wachtwoorden leert dat ‘123456’ het meest populaire wachtwoord is. Wachtwoorden kunnen echt wel veiliger.
Eind 2009 werd de gebruikersdatabase van RockYou, producent van ‘widgets’ voor persoonlijke websites en sociale netwerkomgevingen, gehackt. De wachtwoorden en e-mailadressen van niet minder dan 32 miljoen gebruikers werden vervolgens in het internet gepubliceerd, waar ze onder meer door experten van securityspecialist Imperva werden bestudeerd.
Daaruit blijkt dat nog steeds de meest banale wachtwoorden worden gebruikt, die zo goed als geen bescherming bieden. Zo bleek haast 1 procent van de gebruikers ‘123456’ als wachtwoord te gebruiken. Op rang twee stond dan… ‘12345’, twintig jaar geleden al het meest populaire wachtwoord. De top 5 wordt voorts vervolledigd met juweeltjes als ‘123456789’, ‘password’ en ‘iloveyou’. Verontrustend is dat 20 procent van de 32 miljoen gebruikers een wachtwoord uit een lijst van 5.000 meest gebruikte (en ook door hackers gekende) woorden kozen. Kortom, het is bizar hoezeer gebruikers het de hackers nog steeds erg makkelijk maken, ondanks alle waarschuwingen in de voorbije jaren.
Tips voor beter wachtwoordgebruik
– Kies een wachtwoord met minstens 8 tekens.
– Meng letter-, cijfer- en andere tekens. Als het wachtwoordsysteem een onderscheid maakt tussen hoofd- en kleine letters, maak daar gebruik van. Een mogelijke ‘inspiratiebron’ kunnen (chemische of wiskunde-)formules zijn, die je dan wel nog moet aanpassen (zo kan je makkelijk stevige paswoorden van 10 en meer tekens creëren).
– Gebruik geen woorden zoals je in woordenboeken vindt. Hackers maken gebruik van elektronische woorden- en naamlijsten om wachtwoordsystemen te belagen.
– Gebruik geen namen of informatie die hackers kunnen leren op je persoonlijke website, blog, sociale netwerkpagina’s. Dat is in het bijzonder van belang voor ‘ben je je wachtwoord vergeten?’-vragen.
Privé:
– Kies een sterk wachtwoord voor de echt belangrijke toepassingen (zoals thuisbankieren) en eventueel een ‘standaard’-wachtwoord voor minder belangrijke sites. Dit kan wellicht een factor zijn in het hoge ‘123456’-percentage op RockYou, als personen die site inderdaad als niet belangrijk zien. Het probleem was wel dat RockYou de gebruikersdatabase niet encrypteerde, waardoor ook andere informatie vrij kwam.
Bedrijf:
– Maak voor belangrijke toepassingen naast een paswoord ook gebruik van een tweede authenticatiemiddel (smartcard, token…)
– Overweeg het gebruik van een ‘single sign on’-toepassing, in combinatie met een wachtwoord-‘brandkast’.
– Verplicht gebruikers regelmatig van wachtwoord te veranderen
Imperva heeft een aantal conclusies en aanbevelingen in een klein rapportje samengebracht, met een duidelijke titel: ‘Consumer Password Worst Practices’.
Waarom zou ik al die moeite doen om een sterk wachtwoord te maken als deze vervolgens geheel niet-encrypted op een website te lezen valt?
“Verplicht gebruikers regelmatig van wachtwoord te veranderen”
Dit werkt juist averechts. Stel, iemand heeft als wachtwoord Wachtwoord1, hij word geforceerd zijn wachtwoord te wijzigen. Wat mensen dan vaak doen is het wachtwoord wijzigen naar Wachtwoord2.
Het werkt dus juist averechts, wat je beter kunt doen is mensen een lang sterk wachtwoord laten gebruiken voor een langere periode.
Op websites pak ik ook altijd makkelijke wachtwoorden, zoals “wachtwoord” , “qwerty”.
Juist om de reden dat men vaak in de database het wachtwoord kan achterhalen, beter dat dan dan 1 complex wachtwoord welke je overal gebruikt…..
Waarom zou je een moelijk wachtwoord gebruiken voor zaken die er toch niet toe doen mochten deze gehackt worden.