Hergebruik van (zwakke) wachtwoorden is niet exclusief voor digibeten. Dit is de discussiestelling die Computable-lezers vandaag krijgen voorgelegd.
Leedvermaak, verbazing en sarcasme zijn gevolgd op het nieuws dat de Twitter- en Pinterest-accounts van Facebook-ceo Mark Zuckerberg zijn gehackt. De technische topman blijkt namelijk zijn wachtwoord voor zakelijk sociaal netwerk LinkedIn te hebben hergebruikt voor microblogdienst Twitter en prikbordsite Pinterest. Of andersom.
Feit is dat de grote wachtwoorddiefstal bij LinkedIn in 2012 nu nog een flinke staart heeft gekregen. De toen gestolen miljoenen accountinlogs zijn namelijk in mei her en der op internet openbaar uitgelekt. In die vervolgens vlot doorgespitte buit zit ook Zuckerbergs (nogal zwakke) wachtwoord voor de genoemde online-diensten. Hij zal voor zijn eigen Facebook vast een uniek (en krachtiger) wachtwoord hebben, maar het is duidelijk dat echt iedereen wachtwoordfouten maakt. Ook Computable-lezers. Wat vind jij?
Er zijn meerdere factoren die leiden tot slechte wachtwoorden.
– Overal moet je een wachtwoord voor aanmaken.
– Slecht beleid laat je om de haverklap dien je wachtwoorden te veranderen.
Dit leidt tot slechte wachtwoorden; want wat moet je nu weer bedenken? En sleutelkluis oplossingen (single point of failure) die andere risico’s met zich mee brengen.
Aan de andere kant van het verhaal is natuurlijk het wachtwoord dat Zuckerberg gebruikte wel erg dom. John de Ripper heeft in brute-force mode op 26 letters een wachtwoord zoals ‘dadada’ gelijk te pakken.
Gewoon LastPass gebruiken. Probleem opgelost.
Schelden met vreemde tekens is makkelijk te onthouden.
CL00t24K bijvoorbeeld, dan nog wat !#$%& erin wat voor jouw te onthouden is en je vergeet het gegarandeerd niet.
Wat een onzin verhaal, de informatie die je in de sociale kanalen plaatst is per definitie niet geheim. Dat er wachtwoorden gebruikt worden heeft alleen maar met de authenticatie te maken en niet de autorisatie. Als organisaties de authenticatie van sociale media gebruiken voor de autorisatie tot gevoelige bedrijfsgegevens dan zijn ze digitaal hopeloos naïef.
Veel interessanter is het verhaal dat wachtwoorden tot allerlei service accounts gewoon te vinden zijn in de documentatie, dat je Google kunt gebruiken om deze makkelijk te vinden en het probleem dan opeens een hele andere dimensie krijgt. Vraag aan de lezer:
Hoe vaak wisselen de wachtwoorden van ‘privileged’ service accounts?
A. Om de 6 maanden
B. Om de 12 maanden
C. Om de 36 maanden
D. Nooit
En het juiste antwoord is….. D!
Het is een terugkerend topic onder menig IT professional en nog steeds, heden ten dage, zie je dat er geen eenduidig protocol word gehanteerd waar het het gebruiken van wachtwoorden betreft, hoogstens een wat ‘vaag’ advies. Mensen zijn in wezen gewoontedieren die al helemaal niet zoveel moeten hebben van het gebruik van talloze wachtwoorden voor tal van applicaties en toegangen.
Natuurlijk kun je allerlei foefjes gebruiken om al die wachtwoorden te onthouden en als je mensen dan al zo ver hebt dan nog zie je dat men niet zo snel geneigd is eenmaal vaste wachtwoorden dan ook nog eens te wijzigen. Wat wel helpt zie je bijvoorbeeld banken al doen, het gebruik van cryptische hardware bijvoorbeeld.
Uiteindelijk is wat wachtwoorden en toegang weinig echt zaligmakend. Dus ja, vrijwel iedereen maakt wachtwoordfouten.