In de media wordt gezegd dat wachtwoorden de zwakste schakel zijn bij informatiebeveiliging. Gebruiken u en uw collega’s moeilijk te kraken wachtwoorden om uw data te beveiligen? U weet het niet. Er worden alternatieven ontwikkeld om wachtwoorden te vervangen. Maar is dit echt nodig? Dit artikel beschrijft een aanpak waarbij u geen dure alternatieven hoeft te kopen, maar nog steeds gebruik kunt maken van uw wachtwoorden.
De laatste jaren staat de media vol met hacks waarbij de zwakste schakel het wachtwoord was. Als reactie hierop zijn bedrijven gaan zoeken naar alternatieven voor wachtwoorden: biometrie, two-factor authenticatie, kunstmatige intelligentie,…Maar zijn deze alternatieven echt nodig? Moeten we het wellicht pragmatischer aanpakken? Kunt u de hackers niet voor zijn en alvast hacks simuleren om te zien welke wachtwoorden gevoelig zijn voor hacks, lees makkelijk te hacken? Deze wachtwoorden dienen dan verandert te worden in een format die hetzelfde is als de wachtwoorden die niet door de hack-simulatie achterhaald waren. Door deze simulaties iteratief te laten plaatsvinden kunt u de wachtwoorden steeds sterker maken.
Hoe werkt zo’n hack-simulatie?
De naam suggereert het al, het simuleert een hack. Voor een wachtwoord is dit meestal een dictionary attack. De hacker heeft een dictionary (woordenboek) met een verzameling van alle bekende mogelijke wachtwoorden. Daarnaast kan een hacker ook een rainbow table hebben. Een rainbow table is een eenvoudige tabel met allerlei mogelijke wachtwoorden uitgebreid met de cryptografische hashes van deze wachtwoorden.
Als u nu met behulp van een hackprogramma alle mogelijkheden uit zo’n rainbow table loslaat op de inlogpagina van een bedrijfssysteem kun je een mogelijke hit hebben doordat een van de wachtwoorden (of de hash) uit de rainbow table of dictionary overeenkomt met het wachtwoord voor het bedrijfssysteem. U moet dan natuurlijk wel de gebruikersnaam van een gebruiker weten.
Mooi, nu hebben we een methode om wachtwoorden van een bedrijfssysteem te achterhalen. Maar hoe maken we de wachtwoorden nu sterker oftewel minder gevoelig voor hacking?
Entropie
Dat doen we met behulp van entropie. Een moeilijk woord, het zegt iets over de voorspelbaarheid van een wachtwoord. Die voorspelbaarheid is afhankelijk van onder andere 2 zaken:
1. De willekeurigheid van de tekens die voor het wachtwoord gebruikt worden;
2. Herkenbare patronen in het wachtwoord
Met de volgende voorbeelden wil ik dit illustreren.
Vaak is bij bedrijven het wachtwoordenbeleid gebaseerd op de mate van wiskundige complexiteit, hoe complexer hoe beter.
Een voorbeeld:
Een wachtwoord met dertien tekens, minimaal één uppercase, één lower case, één symbool en één getal. Een wachtwoord wat hieronder valt is: ‘P@$$w0rd2018!’
Dit wachtwoord heeft heel veel rekentijd nodig om te kraken.
Bekijk dit wachtwoord eens vanuit de hacker, en of de mate van entropie een hinder is voor de hacker.
Er is een patroon aanwezig: [Pa][$$][word][2018!]
Combineer deze patronen: [Pa$$][word][20][18][!]
Het wachtwoord is makkelijk te voorspellen: [Pa$$word] [2018] [!]
Dit wachtwoord is een voorbeeld van een wiskundig krachtig wachtwoord, maar makkelijk te voorspellen en dus makkelijk te achterhalen door een hacker.
Laten we nog een voorbeeld nemen, nu van een wachtwoord met een onbekend wachtwoordbeleid: het wachtwoord: ‘Cuffcpr1811!’
Minder complex, maar let eens op de patronen: [C] [u] [f] [f] [f] [p] [f] [1] [8] [1] [1] [!]
Een mogelijk patroon zou zijn: [C] [u] [f] [f] [f] [p] [f] [1811] [!]
1811 zou een datum kunnen zijn, maar meer patronen kunt u er niet uit halen.
Dat zou betekenen dat u de rest van de tekens moet achterhalen met behulp van een Brute force attack. Zeer tijdrovend en het kost veel energie.
Zo ziet u dat u met behulp van entropie een wachtwoordbeleid kan achterhalen, maar ook kan verbeteren.
Toepassing entropie wachtwoordbeveiliging
We gaan weer terug naar de hacksimulatie. We hebben de wachtwoorden achterhaald en gaan nu met behulp van entropie de wachtwoorden sterker maken. Dit doen we door iteratief de hacksimulaties uit te voeren op het bedrijfsnetwerk en de wachtwoorden iedere keer sterker te maken.
Als het goed is hebben we na een aantal iteraties wachtwoorden die (bijna) niet te hacken zijn.
Een leuke oplossing, maar is deze methode al in gebruik bij bedrijfsnetwerken en succesvol? Jawel, het Duitse bedrijf Detack GmbH gebruikt deze methode om klanten te voorzien van krachtige wachtwoorden om zo de informatiebeveiliging te verbeteren. Dit voorkomt dat wachtwoorden in de ban worden gedaan en er duurdere, minder pragmatische alternatieven in de plaats komen.
Wachtwoorden passé, echt niet!