Zou je me geloven als ik zou beweren dat tegenwoordig minder dan 1 procent van alle wachtwoorden die in gebruik zijn werkelijk willekeurige wachtwoorden zijn? Dit is helaas waar. Een recent onderzoek laat zien dat minder dan 1 procent van de in gebruik genomen wachtwoorden willekeurig of aselect zijn. Deze informatie is alarmerend voor alle netwerk- en securitybeheerders in alle branches.
Zou je me geloven als ik zou beweren dat tegenwoordig minder dan 1 procent van alle wachtwoorden die in gebruik zijn werkelijk willekeurige wachtwoorden zijn? Dit is helaas waar. Een recent onderzoek laat zien dat minder dan één op de honderd wachtwoorden die op dit moment in gebruik zijn willekeurig of aselect zijn. In feite laat dit onderzoek zien hoe mensen hun wachtwoorden samenstellen.
De resultaten uit het onderzoek zijn:
• 14 procent van alle wachtwoorden zijn afgeleid van een naam (JanSmit),
• 8 procent van alle wachtwoorden zijn een afgeleide van een plaatsnaam – vaak een naam van een stad of een dorp waar de persoon in kwestie woont of geboren is (Utrecht),
• 14 procent van wachtwoorden zijn zuiver numeriek van aard en soms zijn het opeenvolgende nummers (12345),
• 25 procent van wachtwoorden zijn willekeurige wachtwoorden uit het woordenboek (computer),
• Nog eens 8 procent zijn samengesteld uit toetsenbordpatronen, korte uitdrukkingen, woorden in het e-mail adres en herhalende woorden (asdf, zwartekat, @apple, roodrood – respectievelijk),
• De resterende 31 procent van wachtwoorden kon tijdens dit onderzoek niet in kaart worden gebracht.
Deze informatie is alarmerend voor alle netwerk- en securitybeheerders in alle branches. Hoewel wachtwoordcomplexiteitsregels steeds vaker worden toegepast, geldt dit zeker nog niet voor alle organisaties. En zelf met wachtwoordcomplexiteit, zullen er werknemers zijn die wachtwoorden gebruiken die makkelijk te raden zijn. Dus om inbreuken op het netwerk te voorkomen, zullen organisaties moeten overwegen om password management serieuzer te nemen om het netwerk beter te beschermen. Er zijn diverse software oplossingen die organisaties kunnen implementeren om de risico’s op hun netwerkbeveiliging te reduceren.
Een mogelijkheid waar ik me graag op wil focussen is de implementatie van een oplossing met zogenaamde ‘two-factor authenticatie’. Deze oplossing omvat het veiligstellen van de primaire login door middel van een gebruikerspas of biometrie. In plaats van het invoeren van een gebruikersnaam of wachtwoord, kunnen gebruikers inloggen door gebruik te maken van een gebruikerspas/biometrie in combinatie met een lezer en het invoeren van hun pincode. Het combineren van een gebruikerspas/biometrie en een pincode zorgt voor een sterke authenticatie. Dit is een sterke combinatie omdat two-factor authenticatie gebaseerd is op iets wat de gebruikers bezitten (gebruikerspas/biometrie) en iets wat ze weten (pincode).
Ik ben benieuwd hoe de bewering gedaan kan worden dat ’tegenwoordig minder dan 1 procent van alle wachtwoorden die in gebruik zijn werkelijk willekeurige wachtwoorden zijn’ terwijl even later gesteld wordt dat ‘de resterende 31 procent van wachtwoorden kon tijdens dit onderzoek niet in kaart worden gebracht.’
Daarnaast de is (dure) methode die de auteur voorstelt niet nodig: verplicht een passphrase (woorden met spaties) als wachtwoord en al rap worden de wachtwoorden vrijwel onkraakbaar.
Jammer dat hier gedacht wordt in een oplossing, en het probleem niet bij de bron aangepakt wordt: waarom hebben we in ons dagelijks leven zoveel wachtwoorden nodig, dat we ze of simpel moeten houden, of op moeten schrijven om ze te onthouden?
Als ik even naar mezelf kijk: voor mijn dagelijks werk heb ik 5 verschillende accounts met in totaal 13 verschillende wachtwoorden nodig (gekoppelde systemen via bijvoorbeeld active directory als 1 account/wachtwoord gerekend). Een aantal van die wachtwoorden hebben hun eigen vereisten qua samenstelling, en uiteraard hebben ze allemaal een verschillende levenscyclus.
Om over privé nog maar te zwijgen. Het aantal accounts op allerhande fora, webwinkels, ticketbureaus, verzekeraars, abonnementen enz enz loopt richting 100 ….
Deels is het een keuze (de privé-lijst), deels wordt het opgelegd (vanuit werkomgeving) maar in beide gevallen blijven het het (te) veel wachtwoorden om te beheren en te onthouden
Zelf heb ik op mijn werk 5 omgevingen met wachtwoorden en daarbinnen ook weer diverse omgevingen met wachtwoorden. Bij die div. omgevingen moeten de ww’s aan allerlei eisen voldoen. Die staan bij mij dus op de desbetreffende desktop.
We zitten namelijk achter een firewal en daarbinnen alweer een virtuele desktop.
Mochten de evt. inbrekers daar al binnen zijn dan zullen ze de laatste horde ook wel slechten..
@Marcel Hang dan gewoon een memo op je voorhoofd met je wachtwoorden. Fijn beleid.
Ik heb een wachtwoord dat eindigt op een vaste string dat ik ooit uit mijn hoofd geleerd heb. Voor die string komt een woord die ik haal uit een woordenboek door zomaar een bladzijde te kiezen. Dit woord verbaster ik een beetje. Wel een vast patroon. Het woord kan ik opschrijven omdat ik het anders vergeet, maar wie denkt dat dat mijn wachtwoord is, heeft het dus mis. Waarom o waarom kunnen we niet gewoon op elke computer onze persoonlijke kaart gebruiken? Voor mijn part daarop een pincode. Ik word gék van al die inlognamen en wachtwoorden. Maar ja, als je dan weer op twee computers tegelijk wil werken zit je weer te kijken…
@PaVaKe:
Wat is de bron dan? dat we teveel wachtwoorden hebben? En dan?
We hebben zoveel wachtwoorden (nodig) omdat er geen eenduidige manier is om jezelf kenbaar te maken in de virtuele wereld. Een oplossing zoals door de auteur geschetst is niet automatisch een ei van columbus, maar zal binnen een beheerde (bedrijfs)omgeving geimplementeerd moeten worden. En dan ben je nog steeds prive aan het rommelen met je tekstbestandje met wachtwoorden.
Wat we eigenlijk nodig hebben is een door de (PKI)overheid gefaciliteerd digitaal paspoort.