Onderzoek: veel internetrouters hebben makkelijk te kraken standaardwachtwoorden

Onderzoekers van de Radboud Universiteit stellen dat het gemakkelijk is om de wachtwoorden voor wifi te achterhalen van een aantal veelgebruikte routers. Dat komt omdat de wachtwoorden zijn gebaseerd op het mac-adres of serienummer van de hardware.

De beveiligingsonderzoekers hebben hun bevindingen aan het televisieprogramma Nieuwsuur laten weten, zo meldt de NOS. Wat zij ontdekten is dat het standaardwachtwoord voor wifi van een aantal veelgebruikte routers is afgeleid uit het mac-adres of het serienummer van het apparaat. Omdat het standaardwachtwoord daarom niet willekeurig is, kan het relatief gemakkelijk worden achterhaald door het als het ware uit te rekenen. Een brute force-aanval zou daarom veel sneller succes op kunnen leveren dan wanneer er willekeurig wachtwoorden worden geraden. Doordat deze methode om wachtwoorden te genereren op verschillende veelgebruikte routers wordt ingezet zijn er potentieel veel internetgebruikers relatief kwetsbaar.

Tijdens een congres over cybercrime in Washington deze week zullen de Nederlandse onderzoekers hun vondst presenteren. Waarschijnlijk wordt dan ook duidelijk hoe een standaardwachtwoord precies wordt berekend en welke routers er precies kwetsbaar zijn. Onder andere KPN, Ziggo en Tele 2 werken met de door de Radboud Universiteit ontdekte methode voor het genereren van het standaardwachtwoord, waarvan de onderzoekers zelf zeggen dat het een 'industriestandaard' is.

De bedrijven hebben bevestigd dat deze methode minder veilig is dan compleet willekeurige wachtwoorden te genereren. In een reactie aan de NOS heeft de Autoriteit Consument en Markt laten weten onderzoek te zullen doen naar de vondsten van de Radboud Universiteit, om te kijken of internetgebruikers voldoende zijn beschermd.

Het is onduidelijk in hoeverre de relatief zwakke manier van het genereren van standaardwachtwoorden voor beveiligingsproblemen heeft gezorgd. Een kwaadwillende moet namelijk eerst een mac-adres uitlezen of een serienummer achterhalen en daarna de rekenmethode toepassen. Daarnaast zou bij nieuwere routers al geen gebruik meer worden gemaakt van deze manier om standaardwachtwoorden te genereren. Of er hackers zijn die wachtwoorden hebben achterhaald door een berekening los te laten op het mac-adres of serienummer is niet duidelijk. Gebruikers die zich zorgen maken kunnen uiteraard het standaardwachtwoord in hun router aanpassen.

Reacties (116)

Lennie 10 augustus 2015 18:48

Heeft iemand uberhaubt gelezen waar het over gaat ? Aan de reacties hierboven te zien krijg ik sterk de indruk van niet.

Op de nieuwere routers die door veel providers worden uitgegeven aan klanten staat een stikker op de onderkant met een passphrase voor de WiFi.

Probleem is dat die passprase meestal worden afgeleid van andere getallen van het apparatuur: serienummer of MAC-adres of beide.

MAC-adres kun je natuurlijk heel makkelijk achterhalen (kijk gewoon naar het verkeer in de lucht) en serienummers zijn vaak redelijk makkelijk te raden. Stel er zijn 100.000 apparaten van het zelfde type van een fabrikant. Dan moet je WPA2 dus zoveel sleutels genereren en dat controleren met een capture van recent WiFi verkeer. Dat kan nooit heel lang duren, zeker niet met een GPU.

M.l. @Lennie • 10 augustus 2015 19:36

Van de Thomson en SpeedTouch (modem)routers weet ik dat alle modellen van voor 2010 hiervoor vatbaar zijn. De SSID en wachtwoord waren gebaseerd op het serienummer en de algoritmes waarmee dat werd gedaan werden achterhaald. Het enige wat je toen nog moest doen was een tooltje gebruiken die alle serienummers genereerde en een database maakte met SSID's en bijbehorende wachtwoorden.

Ik weet nog goed dat ik op mijn gejailbreakte iPod-touch een app had met zo'n database er in. In een latere versie waren de SSID's op volgorde gezet en was het zoeken binnen enkele seconden klaar. Er zijn ook nog tools geweest met een 'wardrive'-modus, die zocht naar alle vatbare netwerken en voegde ieder net werk met bijbehorende wachtwoorden toe. Dat laatste heb ik zelf nooit gebruikt, maar ik heb wel gezien dat het werkte.

Vanaf 2010 zijn de Thomson- en SpeedTouch-modellen hierop aangepast en verder heb ik nooit meer iets gehoord over dergelijke hacks.

ThinkPad @M.l. • 10 augustus 2015 22:22

Ik zie anno 2015 nog steeds een 'ThomsonXXXXXX' netwerk in m'n overzicht. Als ik die cijfers invul op die site van Nick Kusters dan komen er ook twee mogelijke keys terug. Ik ga het alleen niet proberen, want dat mag niet.

ikwilwp8 @ThinkPad • 10 augustus 2015 23:20

Is dat juridisch gezien zo? Mag je niet op een WiFi netwerk inloggen wanneer het wachtwoord redelijk simpel te achterhalen is? Is dit geen nalatigheid van de eigenaar?
Moeilijke kwestie lijkt mij.

ThinkPad @ikwilwp8 • 10 augustus 2015 23:27

Lastige vraag, die discussie wordt al jaren gevoerd, zie ook: nieuws: 'Meeliften op open WiFi-verbinding is illegaal'

Ik denk dat het in deze kwestie te vergelijken is met een deur die op slot zit, maar waar de sleutel in het slot zit en jij hem alleen nog hoeft om te draaien. Volgens mij is het dan nog steeds inbreken (omdat jij je zonder toestemming toegang verschaft tot de woning).

hahaha2223 @ThinkPad • 11 augustus 2015 00:20

Zelfs al staat de deur open is het nog strafbaar

Dennis @ThinkPad • 11 augustus 2015 00:35

Beetje off-topic misschien, maar dan is het geen inbraak maar huisvredebreuk.

ToolBee @Dennis • 11 augustus 2015 07:42

De huisvredebreuk volgt pas NA de inSLUIPING.

Zonder braak dus...

Correct me if I'm wrong, anyone...

On-topic, het bijft "oneigenlijk toeschaffing tot". Wel of geen schade voor de rechtmatige gebruiker.

Blijf van me wiefie af! (Staat hier trouwens uit, nadat ik ook netjes het standaard adminpassword gewijzigd heb, want niet nodig)

Bliksem B

@M.l. • 10 augustus 2015 21:07

Nick Kusters heeft nog steeds zijn "WPA lookup tool" beschikbaar. Nog steeds zie ik veel modems wie te hacken zijn d.m.v. deze site.

Als ik me niet vergis was dit al bekend sinds 2008 ofzo. Anno 2015 genereert KPN zijn routers dmv andere variabelen. Echter, KPN heeft nooit een brief of firmware verstuurd die het probleem moesten oplossen. Sterker nog KPN heeft, nadat het bekend is geworden, de router tot de dag van vandaag geleverd! (ivm legacy en oudere abbo's).

[Reactie gewijzigd door Bliksem B op 22 juli 2024 14:55]

M.l. @Bliksem B • 10 augustus 2015 21:39

Vanaf 2010 is het algoritme voor wachtwoorden veranderd of gewoon wilekeurig gemaakt. De SSID's zien er nog steeds uit alsof ze te hacken zijn, maar daar kom je pas achter als je probeert in te breken. Dit geldt wel alleen voor Thomson en SpeedTouch voor zover ik weet.

Edit: lees nu op de site dat ze doorgaan tot 2015

[Reactie gewijzigd door M.l. op 22 juli 2024 14:55]

bogy @M.l. • 10 augustus 2015 22:20

ik heb vroeger op talloze speedtouch modems kunnen meesurfen omdat die ook met zulk een script paswoorden hadden gegenereerd; sterker nog; in de play store stond vroeger zelfs een app (mss staat ie er nog?) waarmee je gewoon het wachtwoord+wifikey van speedtouch modems op basis van hun mac adres kon genereren, al was dat er pas tegen de tijd dat die speedtouch modems weer stilaan uit het beeld begonnen te verdwijnen.

in de tijd dat ik het gebruikte waren internet abbo's voor mobiel nog duur en zeer beperkt in volume... dus het kwam mij vooral goed uit... ik heb wel nooit gekke dingen gedaan op andere mensen hun netwerk; bv paswoorden veranderd of backdoors in de router gezet want dat vond ik een stap te ver.

Ik heb ook nooit die tool liggen delen met vrienden uit angst dat zij bv op andermans netwerk zouden gaan downloaden en diens datavolume daarmee opgebruiken wanneer hun eigen volume op was (zelf heb ik altijd abo's gehad zonder limiet, dus ik heb het daar nooit voor gebruikt)

intussen worden speedtouch modems ook al jaren niet meer verdeeld door belgacom/proximus; dit was nog ten tijde van het klassieke adsl tijdperk.
Maar ook Telenet gebruikt al jaar en dag een algoritme op basis van kabelmodem-mac voor het lokale wifi wachtwoord; al heb ik daarvoor het juiste algoritme nooit kunnen vinden.

sjongenelen @bogy • 10 augustus 2015 22:46

Ik herken je verhaal helemaal. Is ook precies waar ik aan dacht toen ik op deze headline stuitte op nos.nl. Dit is toch al jaren bekend?

Betekend dit nu dat er nieuwe modellen (post 2011) vatbaar zijn?

Salmon @bogy • 10 augustus 2015 23:35

De Android app om dat te doen was Penetrate

Staat volgens mij niet in de Store, maar de apk slingert nog wel rond op het internet

innerchild @Bliksem B • 11 augustus 2015 00:03

WTF lol in mijn buurt 5 thomson modems....en via die website kon ik op alle 5 de wifi acces points inloggen en internetten.... Gelijk weer uitgelogd maar het werkte zonder problemen... lol

CyberDonky @M.l. • 11 augustus 2015 01:29

Was inderdaad vanaf 2008 M.J. Dat ging om de Thomson Speedtouch 780 router.

"The publication of the Thomson routers [21] had a serious impact for major ISP that is active in The Netherlands. In 2008, the ISP had massively deployed the vulnerable Thomson Speedtouch 780 router. After proactively informing their customers the ISP has now replaced most of these vulnerable routers"

Bron: https://www.usenix.org/sy.../woot15-paper-lorente.pdf
Blz. 3

mjl @Lennie • 10 augustus 2015 19:08

Ja dat is waar iedereen het over heeft ....

mugenmarco @mjl • 10 augustus 2015 19:38

Nou, ik snap het punt van Lennie heel goed. Ik heb een aantal reacties gelezen en veel mensen hebben het over de basic 12345 of admin wachtwoorden, maar de nieuwe routers hebben idd vaak een sticker aan de onderkant.

Veel routers (laat ik zeggen heel veel) van +5 jaar oud zijn erg vatbaar.

eymey

Modems en routers

@Lennie • 11 augustus 2015 08:41

Ik weet dat WPA (dus de vorige versie) inderdaad zeer makkelijk te kraken was door een capture van het WIFI verkeer te maken (met een aanmelding door een legitieme client erin) en daar an een dictionary op los te laten.

Ik dacht dat dat met WPA2 inmiddels is opgelost doordat daar op de passphrase exchange ook een sterkere versleuteling zou zitten.

Maar ik kan het mis hebben

Titusvh @eymey • 11 augustus 2015 16:59

Je mis het punt volgens mij: Het heeft niks met WPA/WPA2 te maken.

Het probleem is dat je uit de SSID (gegenereerd af fabriek) het serienummer (of mac of andere unieke identificatie) kan achterhalen als je het algoritme kent. En hieruit met het juiste algoritme weer het default password.

eymey

Modems en routers

@Titusvh • 11 augustus 2015 17:03

Uhm, volgens mij mis jij juist mijn punt door niet te zien dat ik, in plaats van op het hoofdartikel, reageer op een andere reactie

Titusvh @eymey • 11 augustus 2015 17:05

In het artikel waarop jij reageert wordt ook over de wifi passphrase gesproken...
(klik op de @lenny)

efari @Lennie • 11 augustus 2015 13:08

Ik heb er nooit bij stilgestaan dat het serienummer zo 'gemakkelijk' te achterhalen is...

Dat vormt een extra risico bij bijvoorbeeld Belgacom's B-Box routers.
Om aan te melden op die router (om te configureren) moet je (default) het serienummer ervoor ingeven. Ik veronderstelde dat dit veilig was omdat je sowieso fysieke toegang nodig had om daarin te kunnen.
Dus maar snel die login aanpassen met een degelijk wachtwoord (als dit mogelijk is...)

[Reactie gewijzigd door efari op 22 juli 2024 14:55]

Lennie @efari • 12 augustus 2015 09:20

Ik heb er nooit bij stilgestaan dat het serienummer zo 'gemakkelijk' te achterhalen is...

Blijkbaar de makers van de routers of ISPs ook niet. :-)

Ik zou uberhaubt oppassen met default passwords voor routers, soms weten security researchers veiligheidslekken te vinden die dan toegang geven tot de router:
http://media.ccc.de/brows..._packet_tricks.html#video

[Reactie gewijzigd door Lennie op 22 juli 2024 14:55]

Kek 10 augustus 2015 22:35

het daadwekelijke onderzoek: https://www.usenix.org/sy.../woot15-paper-lorente.pdf

CyberDonky @Kek • 11 augustus 2015 01:25

Bedankt voor de link naar het onderzoek Kek!

Om terug te komen op het verslag dat Eduardo Novella Lorente, Carlo Meijer en Roel Verdult hebben geschreven:

1)

With this course of action we hope to motivate vulnerable users to change their weak default WPA2 key.

Dit moet gewoon standaard aan staan in de router, vind ik. Als je inlogt op het systeem of verbinding maakt dat je überhaupt geen internet mag krijgen. Het is begrijpelijk voor de gebruikers die een standaard WPA key meekrijgen aan de modem/router dat het een gezeur wordt met wachtwoorden, aangezien de meeste het opschrijven en iedereen zat verschillende wachtwoorden heeft.

2)

Although, we focused our research solely on the analysis of Dutch wireless routers, we have reason to believe that this issue is an industry-wide problem and applies to many routers deployed in several countries. We noticed that some vendors reuse their WPA2 password generating algorithms with small modifications in other countries. This suggests that many more routers are vulnerable to practical password recovery attacks.

Ik kan hier niks over vinden, dit is puur gissen of mis ik een deel qua tekst waar ik over heen heb gelezen?

En nog wel het belangrijkste: Stack Buffer Overflow!

3)

5.1.4 Stack buffer overflow
During our study we also identified a (indirect) remote executable exploit. A malicious website can redirect the client’s web browser to send specifically crafted HTTP requests to the router. We found a stack-based buffer overflow vulnerability by lookinginto code that references strcpy in /bin/cfm, which holds the web server, with IDA Pro and subsequently checking the source and destination pointers.

The vulnerable function is cgiOpt60Add, it can be triggered by requesting /dhcpOption60.cmd?action=add&VendorID=input1&IpStart=input2&ipEnd=input3.

En toch vraag ik me nog af welke 'login schermen' dit zijn

[Reactie gewijzigd door CyberDonky op 22 juli 2024 14:55]

Juup @CyberDonky • 11 augustus 2015 15:52

http://192.168.1.1/weblogin.htm b.v.?

ceun92 @Kek • 10 augustus 2015 23:50

Thanks voor de link, interessant artikel!

mjl 10 augustus 2015 18:36

Dat is toch al oud nieuws??? Dit was toch al een issue met het standaard WPA passwords voor WiFi... En meestal is Admin/Admin voor de ui voldoende...

[edit] typo..

[Reactie gewijzigd door mjl op 22 juli 2024 14:55]

WokeBroke @mjl • 10 augustus 2015 18:38

Admin admin is toch niks mis mee zolang je niet met het WiFi kan verbinden?

demonic @WokeBroke • 10 augustus 2015 18:42

En juist die wifi wachtwoorden lijk nu makkelijk achterhaald te kunnen worden doormiddel van MAC-adressen en/of serienummers.

mjl @demonic • 10 augustus 2015 18:45

Ja, en een paar jaar terug had KPN hetzelfde probleem, op basis van het Ssid werd het wachtwoord gegenereerd...

het is blijkbaar te moeilijk voor de providers om dit goed te regelen. Simpelweg verplicht stellen om bij de installatie zelf een sterk wachtwoord in te stellen zou al een hoop schelen.

En als je dan dus door de wifi beveiliging heen bent met behulp van het mac adres is het inloggen op de router met admin/admin of router/1234

natuurlijk appletje-eitje

[Reactie gewijzigd door mjl op 22 juli 2024 14:55]

ApexAlpha @mjl • 10 augustus 2015 18:59

Zou ook een hoop werk opleveren voor de helpdesk van dat bedrijf dat dat doet.

Bovendien heb je hier het serienummer nodig. Als je al toegang hebt om dat af te lezen kun je ook de standaard code net zo goed lezen of even op de WPS knop drukken denk ik dan.

mjl @ApexAlpha • 10 augustus 2015 19:12

Ja en dat het extra werk is zal ook de redden zijn dat ze het zichzelf makkelijk maken door weer iets generieks te doen.

mddd @ApexAlpha • 11 augustus 2015 12:32

Bovendien heb je hier het serienummer nodig.

Zou het SSID niet ook op basis van het serienummer worden gegenereerd? Lijkt mij goed mogelijk.

Blokker_1999

Netwerk en systeembeheer

@mjl • 10 augustus 2015 19:14

Ook Telenet heeft dit probleem al gehad geloof ik. Het is niet moeilijk, het grote probleem is dat gebruikers namelijk gebruiksgemak willen en aan de andere kant verwachten dat de helpdesk alles weet. De eenvoudigste manier om dat te bekomen is door een systematiek op te nemen in de wachtwoordgeneratie.

En het kan nog eenvoudiger: bij mijn vader heeft de persoon die vorig jaar zijn Scarlet is komen installeren de WPA2 key ingesteld op zijn telefoonnummer. Als dat de gangbare praktijk is, dan is het ook niet moeilijk om massaal sleutels te gaan opzoeken.

[Reactie gewijzigd door Blokker_1999 op 22 juli 2024 14:55]

Snake @Blokker_1999 • 10 augustus 2015 19:46

Bij Telenet is dat nu opgelost door alles via de website van Telenet (!) te moeten doen. Je kan dus niets meer zelf op de router (ie luistert zelfs niet naar poort 80).

Je kan zelfs de DNS servers niet meer instellen.

sjongenelen @mjl • 10 augustus 2015 22:53

Ik snap dat ook totaal niet. Als je ook kijkt naar de kwaliteit van de driver apps voor bijvoorbeeld wifi apparaten;dat is ook ontzettend crappy gedaan (Windows) . Gelukkig kun je bijna altijd uit door gewoon de inf te installeren, maar echt volwassen en straks qua interface is het nooit.
Ik hoop dat Windows 10 dat veranderd. Één strakke regels interface waaraan een driver moet voldoen.
Vervolgstap zou dus kunnen zijn dat Windows je over je netwerk kan vertellen. bijvoorbeeld dat je wifi config lijkt op een default config (ssid) staat en cortana je hierover kan vertellen middels de Microsoft Cortana NoobProtextor API

Anoniem: 612425 @mjl • 11 augustus 2015 00:27

Sterke wachtwoorden hebben ook geen zin als je WPS zo lek als een mandje is, en dat is toch ook nog aan de hand bij sommige routers die ik in de lucht om me heen zie. Maar het zou inderdaad al wel goed zijn als consumenten verplicht worden een totaal random wachtwoord te laten nemen of zoals Snake al zegt, het door de providers te laten doen. Die kunnen dan meteen je DNS in de gaten houden.

erikmeuk3 @mjl • 11 augustus 2015 10:24

Het is mogelijk om de firmware zo te maken dat het default wachtwoord maar 24 uur geldig is. Dan moet je wijzigen.
Doe je dat niet, gaat de WiFi gewoon uit.

[Reactie gewijzigd door erikmeuk3 op 22 juli 2024 14:55]

Anoniem: 633773 @WokeBroke • 10 augustus 2015 18:44

Vroeger kun je zo remote inloggen op e-tech routers. Je hoefde alleen het ip-adres te weten. Leuk grapjes met het ssid uithalen

svennd @WokeBroke • 10 augustus 2015 18:59

Zelfs met Wifi is dat toch geen ramp, zolang je het "intern" houd ... of je moet naast de lokale -black hat- hacker gemeenschap wonen. Maar beveiliging is in laagjes, natuurlijk ...

zvbhvb @WokeBroke • 10 augustus 2015 19:28

Nee het is voor de helft minder erg.Als je netwerk node(pc,tablet,laptop,etc) wordt overgenomen dan kan men van daaruit de router met de publiek toegankelijke gebruikersnaam/wachtwoord combo overnemen en de router flashen met custom firmware.Voor de meeste routers zijn gebruikers handleidingen te vinden waarin het standaard wachtwoord en gebruikersnaam staan.En als router admin kun je ook de dns instellingen aanpassen.Al zou je het standaard wachtwoord hebben veranderd dan nog kan er via verschillende upnp kwetsbaarheden en een verleide klick op een geprepareerde link in een e-mailtje de router alsnog overgenomen worden.Ja inderdaad veiligheid opgebouwt uit lagen.

Niets doen legt de lat wel heel laag.

djunicron @WokeBroke • 10 augustus 2015 19:39

Iedere Admin inlog over WiFi is een probleem naar mijn mening...

Anoniem: 612425 @djunicron • 11 augustus 2015 00:51

+3 Hier ben ik het dus zo mee eens! Alleen ben ik nog geen router tegengekomen die die optie heeft. Heb ze daarintegen ook nog niet allemaal in de hand gehad en sta open voor suggesties...

iceheart @Anoniem: 612425 • 11 augustus 2015 04:19

Dd-wrt laat het je voor zover ik mee kan herinneren uitschakelen. Mikrotik routertjes hebben de optie uiteraard ook (als je weet wat je doet

) al zou ik die optie sterk afraden als je niet specifiek weet dat je een dergelijk apparaat zoekt

Makkelijkste is denk ik om gewoon een dd-wrt compatibele router te kopen en te flashen als je die optie belangrijk vindt.

Eerlijk gezegd vind ik het niet zo van belang; je moet al op het wifi netwerk kunnen om op de admin interface in te kunnen loggen. Iemand die dat kan heeft op je passphrase van je gekregen en kan dus ook vaak wel even bij een draadje komen als ze echt willen, of zo iemand kan ook al andere dingetjes op je netwerk flikken waardoor het goeddeels schijnveiligheid is.

Geen bugs hebben waarmee je de webinterface kunt kraken is dan belangrijker/zinniger.

(Als je écht geen geetter op je wifi wil hebben is verificatie via 802.1x en dan iets van AD met verplichte device certificates als credentials pas echt een serieuze optie - maar dan moet je dat voor thuis wel heel graag willen

)

Snake @mjl • 10 augustus 2015 19:47

I disagree, krijg je een virus, dan kan die gaan proberen en krijg je situaties zoals deze: http://blog.codinghorror....et-of-compromised-things/

Een compromised router die dingen injecteert in jouw browser.

mjl @Snake • 10 augustus 2015 21:30

Disagree on what exactly, precies het probleem dat ik aangaf, routers die geleverd worden met standaard wachtwoorden is onverantwoord!

Oh wacht, misschien reageer je op yousql?

[Reactie gewijzigd door mjl op 22 juli 2024 14:55]

Snake @mjl • 10 augustus 2015 23:26

Whoops, dat moest @yousql zijn inderdaad!

Vulcanic 10 augustus 2015 18:37

Het betreft hier de wachtwoorden voor de draadloze verbinding toch? Veel routers die ik gezien heb staan op de webinterface gewoon nog op admin/admin, daar hoeft geen onderzoek aan gewijd te worden.

mjl @Vulcanic • 10 augustus 2015 18:45

Ja het gaat over het WiFi wachtwoord.

280562 @mjl • 10 augustus 2015 19:25

Waar heb je dat gelezen ? URL ?

mrdemc @280562 • 10 augustus 2015 19:39

Staat gewoon in het artikel

280562 @mrdemc • 10 augustus 2015 19:49

Ah, bedankt. Nu zie ik het.

Ik weet 99% zeker dat Tweakers dat er later in-ge-edit heeft.

Ik weet bijna zeker dat toen ik het artikel las, het er nog niet in stond.

Dvyss @Vulcanic • 11 augustus 2015 08:46

Op alle de modems van Tele2 is ook in te loggen met alleen user/user. Bij navraag aan de klantenservice blijkt dit niet aan te passen. Dat vind ik persoonlijk ook erg vervelend.

280562 @Vulcanic • 10 augustus 2015 18:44

Ik zou het ook denken.

Wachtwoord voor de router zelf maakt niet veel uit. Dat kun je alleen gebruiken om in te loggen op de router (web, of ssh of telnet). En dat kan alleen vanaf een ip-adres aan de *binnenkant* van het netwerk. Niet vanaf het Internet. Met andere woorden, iemand moet bij jou thuis zijn, en zijn laptop met kabeltje in een switch of de router zelf steken, en dan kan hij er bij. Dat zal niet vaak voorkomen.

Of hij moet het WiFi wachtwoord hebben. Dan kunnen je buren, of iemand voor op de stoep, bij je router komen. Je WiFi watchwoord moet dus wel goed zijn. Het NOS-artikel is lekker vaag, schreeuwt BRAND!. Maar wat er precies aan de hand is ?

Ik heb op mijn Fritzbox van xs4all zelf een WiFi-wachtwoord moeten instellen. Er was er geen al ingesteld. Prima dus. Bij x4all is er dus geen probleem.

Marctraider @280562 • 10 augustus 2015 19:17

Onzin, een degelijke router heeft ook een optie om hem van buitenaf te kunnen benaderen. (WAN)

Meestal staat dit default uit, maar toch.

[Reactie gewijzigd door Marctraider op 22 juli 2024 14:55]

RobinF @Marctraider • 10 augustus 2015 21:25

De meeste ISP geleverde routers niet. Deze hebben dan wel weer een techniek zodat de ISP er in kan, maar is niet openbaar toegankelijk.

En juist de mensen die zomaar de ISP router gebruiken (dus niet de echte Tweaker) verandert vaak het wachtwoord niet.

280562 @Marctraider • 10 augustus 2015 19:25

Inderdaad, die staat meestal default uit.

En daar gaat het hier om. Default passwords, default instellingen. Als ISPs slechte wachtwoorden kiezen voor hun klant, is dat geen probleem, als ze zelf maar het wachtwoord veranderen. Met zelf instellen kun je alle problemen voorkomen (nou ja, een hoop problemen). Als klanten zelf ssh/telnet/web access naar het Internet open zetten, ja, daar doe je niks tegen.

mrlammers 10 augustus 2015 19:05

veel internetrouters hebben makkelijk te kraken standaardwachtwoorden

Dit heeft echt niets met routers te maken. Dit heeft te maken met gebruikers.

...door het als het ware uit te rekenen.

Dit is niet uit te rekenen. Uiteraard kun je rekenen aan waarschijnlijkheden en die met behulp van een bot aanbieden aan de router. Maar dat is een geavanceerde manier van gokken.

Onder andere KPN, Ziggo en Tele 2

...hebben allemaal richtlijnen voor veilige wachtwoorden:
Regel #1: Wijzig het standaard wachtwoord.

Gebruik minimaal 8 karakters
Gebruik minimaal 2 cijfers (0-9)
Gebruik minimaal 1 hoofdletter (A-Z)
Gebruik minimaal 1 kleine letter (a-z)
Zorg dat elk teken maximaal 2 keer opeenvolgend voorkomt (aa of 11 is dus prima, aaa of 111 niet)
Gebruik geen logisch opeenvolgende reeksen (dus niet 123 of abc)
Zorg dat het wachtwoord, of een gedeelte daarvan, niet overeenkomt met de gebruikersnaam
Gebruik geen wachtwoord dat naar jou te herleiden is, zoals je naam of geboortedatum
Gebruik geen wachtwoord dat te maken heeft met de dienst waarvoor je het gebruikt
Ververs je wachtwoord elke 30 dagen
Gebruik geen wachtwoord dat je de afgelopen 12 maanden al hebt gebruikt

Maar zelfs als je deze 'regels' volgt, kun je slechte wachwoorden maken. Gebruik nooit logica in je wachtwoorden. Gebruik geen woorden die aan jouw persoon te linken zijn. Gebruik geen hoofdletters aan het begin van woorden. Vervang geen a door @, etc. Dat maakt een wachtwoord niet veiliger.
Met oog op brute forcen is het beter om een reeks korte woorden te gebruiken die niets met elkaar te maken hebben, dan bijvoorbeeld één woord met substituties.

Misschien als beheerders van routers deze ter harte zouden nemen, dat er dan íets minder ingebroken zal worden?

[Reactie gewijzigd door mrlammers op 22 juli 2024 14:55]

Dick99999 @mrlammers • 11 augustus 2015 09:51

Een goed WiFi wachtwoord bestaat uit 14 willekeurig gekozen kleine letters en cijfers of uit een wachtzin met 5 willekeurig gekozen woorden. Bijvoorbeeld:
GalopHakenStandsSpoortProoi
m0e2g1hefpzc67
Zie mijn uitgebreide reactie met berekningen op https://www.security.nl/posting/439170#posting439246

[Reactie gewijzigd door Dick99999 op 22 juli 2024 14:55]

JustRoy @mrlammers • 10 augustus 2015 19:23

Doet mij hieraan denken.

https://xkcd.com/936/

Armin

Netwerk en systeembeheer

@JustRoy • 10 augustus 2015 21:53

https://xkcd.com/936/

Ipv een link posten kun je beter ook even in een regel uitleggen wat er in de link staat.

Immers dan zou ik meteen kunnen reagereen dat de fabel om lange zinnen te gebruiken niet klopt aangezien de bitsterkte gelimiteerd is door het aantal bits van het hashalgorithme. Dus een lange zin wordt uiteindelijk nog steeds gereduceert tot 160 bits aka 20 tekens entropie.

De zwakheid zit hem verder in patronen en niet het aantal tekens. Daarvoor is 12 a 14 tekens doorgaans al meer dan genoeg. Lange zinnen kunnen echter patronen hebben,z eker als het makkelijk is voor een mens te onthouden.

Dick99999 @Armin • 11 augustus 2015 09:59

Bij Wifi is de limiet toch 64 hex tekens * 4 bits = 256 bits? Helpen lange zinnen t/m 63 tekens dan dus wel voor een sterke sleutel?

--- toegevoegd
Ik neem aan dat deWiFi hash dan ook 256 bits sterket opleverd. Bij 64 hex tekens wordt de hash overigens niet gebruikt bij WiFi.

De zwakheid zit juist wel in het aantal tekens. Juist die korte wachtwoorden (<9 tekens, of minder dan 4 woorden) zijn gemakkelijk te kraken, ook als ze willekeurig worden gekozen. Vanaf 13 tekens of 5 woorden is dat bij WiFi ondoenlijk, mits de tekens/woorden willekeurig gekozen zijn.

[Reactie gewijzigd door Dick99999 op 22 juli 2024 14:55]

Titusvh @mrlammers • 11 augustus 2015 17:02

Het artikel gaat over WIFI AP wachtwoorden, en die zijn dus soms wél " uit te rekenen".

Verstekbakker 10 augustus 2015 18:46

Dit is toch wel een beetje oud nieuws... Jaren geleden (2008) kon je dat al bij de door KPN geleverde Speedtouch routers. Daar werd uiteindelijk ook nooit iets mee gedaan.

http://www.mentalpitstop....pa2_password_by_ssid.html

Blijkbaar is het voor mensen te moeilijk of gewoonweg niet belangrijk om je internetverkeer te versleutelen. Mensen denken dan vaak, wat maakt het uit dat iemand mijn internet steelt, ik merk er niets van. Maar ze vergeten dat je met het wachtwoord van de wifi ook meteen kunt zien welke zoekopdracht ze doen op xhamster.com of wat hun account op secondlove.nl voor berichtjes heeft ontvangen.

Het zou misschien een idee zijn voor providers om de routers bij de installatie te laten verplichten om ZELF een wachtwoord te laten aanmaken. Volgens mij moet je bij de eerste installatie van zo'n ding een heel stappen-menu doorlopen, kleine moeite om dan ook even een WW te wijzigen. En dan een waarschuwing erbij dat mensen het moeten opschrijven op een bijgeleverde wachtwoordenkaart.

Anoniem: 76151 @Verstekbakker • 10 augustus 2015 18:54

"Mensen denken dan vaak, wat maakt het uit dat iemand mijn internet steelt, ik merk er niets van. Maar ze vergeten dat je met het wachtwoord van de wifi ook meteen kunt zien welke zoekopdracht ze doen op xhamster.com of wat hun account op secondlove.nl voor berichtjes heeft ontvangen."

Dit is nog te overzien. Maar als er iemand via jouw verbinding kinderporno gaat kijken/downloaden heb je echt een probleem. Je bent namelijk verantwoordelijk voor het verkeer dat over jouw verbinding gaat.

mjl @Anoniem: 76151 • 10 augustus 2015 19:13

Of je NAS gaan encrypten en dan losgeld gaan vragen.... is ook niet fijn

Iedereen maar klagen over de privacy stings van Microsoft maar een fatsoenlijke wifi beveiliging is niet belangrijk ???

[Reactie gewijzigd door mjl op 22 juli 2024 14:55]

Verstekbakker @Anoniem: 76151 • 10 augustus 2015 20:18

Dan zijn jouw zoekopdrachten op xhamster.com vast anders dan die van mij

eymey

Modems en routers

@Anoniem: 76151 • 11 augustus 2015 08:43

Dat laatste lijkt me inderdaad het grootste risico.

Mee lezen met sites en mail zal op zich nog wel meevallen. Zelfs de Google zoekmachine schotelt me al een HTTPS verbinding voor en de secondlife e.d. van Verstekbakker zullen ook wel HTTPS gebruiken.

svennd @Verstekbakker • 10 augustus 2015 19:02

Want PASWOORD123/WIFIPASWOORD/.... is veel beter ...

neuh laat het maar over aan de providers, kunnen we tenminste nog met onze vinger wijzen ...

pe1dnn @svennd • 10 augustus 2015 19:36

Als jij "PASWOORD123/WIFIPASWOORD/...." gebruikt dan lijkt met dat behoorlijk veilig (die hele string dus, inclusief slashes en puntjes op het eind).

djunicron @svennd • 10 augustus 2015 19:45

Liever iets simpels dat lang is en rare leestekens bevat dan een wachtwoord dat "complex" lijkt en uiteindelijk uit een pre-gen database te plukken valt waarmee je kan inloggen.

PASWOORD123/WIFIPASWOORD/....

Is beter dan:

327eab493cedff98932. Simpwelweg omdat het caps, tekens en een semi onlogische opbouw heeft.

Fitzboxes komen ook met betere wachtwoorden; zo heeft die van mij standaard het wachtwoord "sleepLEssgiants888910" als wachtwoord. Dat kan je zelf onthouden en is evenlang en in batches toegewezen, waarbij Mac / serie nummer niet onderdeel waren van de generatie.
Daarnaast staan ze standaard op WPA2 AES only.

En ik durf dit hier rustig neer te gooien omdat ik het "reset to defaults" wachtwoord heb overschreven met m'n eigen.
Geloof daarnaast dat de SSID wel enigsinds gerelateerd is aan het wachtwoord.

Dick99999 @djunicron • 11 augustus 2015 13:30

De SSID wordt als zout/salt gebruikt bij de hash in WiFi die de uiteindelijke sleutel genereert (behalve als je 64 hex characters gebruikt als wachtwoord). Als je een standaard SSID als 'merkX' niet verandert, kunnen aanvallers rainbow tables (vooraf berekende hashes met snelle zoek mogelijkheid) gebruiken bij het kraken. Als de SSID standaard is, maar uniek voor jouw router hoeft de SSID niet veranderd te worden.

[Reactie gewijzigd door Dick99999 op 22 juli 2024 14:55]

mrlammers @djunicron • 11 augustus 2015 17:43

Dat is maar de halve waarheid. Ik weet vrij zeker dat "penbiefstukkathx" veiliger is dan "W|f|W@chtw00rd", omdat veel (heuristische) methoden werken met woordenboeken en veelvoorkomende substituties. Daar gaat ie nat.
Brute forcen is een methode die geen gebruik maakt van algoritmen of heuristieken, maar systemeatisch alle character space afloopt, totdat de juiste string gevonden is. "penbiefstukkathx" heeft 16 karakters. "W|f|W@chtw00rd" heeft er 14. Vooropgesteld dat er nagedacht is over de hash methode, salting, evt. keystretching en het aantal mogelijke inlogpogingen per uur, duurt het achterhalen van "penbiefstukkathex" zeker langer.

[Reactie gewijzigd door mrlammers op 22 juli 2024 14:55]

Terrestrial 10 augustus 2015 21:26

Het is allemaal harstikke leuk dit soort berichten maar mensen zelf een wachtwoord laten kiezen, nee dat is een goed plan. Krijg je helemaal van die zwakke wachtwoorden.

Bovendien alle consumenten WPA2 is te hacken als men werkelijk wil. En wat ik persoonlijk erger vindt is dat 90% van de consumenten routers vol zitten met lekken die nooit door de fabrikant zullen worden opgelost (hey het ding is verkocht.. hoezo support of firmware update?) maar daar hoor je die onderzoekers natuurlijk niet over.

R4gnax @Terrestrial • 10 augustus 2015 22:45

Het is allemaal harstikke leuk dit soort berichten maar mensen zelf een wachtwoord laten kiezen, nee dat is een goed plan. Krijg je helemaal van die zwakke wachtwoorden.

En daarom dus echt random voor-gegenereerde wachtwoorden; gebaseerd op echte entropie. En dus niet wachtwoorden die via een vast recept gebouwd worden uit data die niet random is feitelijk nul-komma-nul entropie bij dragen als de factoren waaruit ze opgebouwd zijn bekend zijn.

Daarbij de webinterface zo inrichten dat deze alleen resetbaar is naar een ander sterk random gegenereerd wachtwoord en niet resetbaar is via handingevoerde wachtwoorden en je bent voor 99.99% klaar.

[Reactie gewijzigd door R4gnax op 22 juli 2024 14:55]

drijfhout 10 augustus 2015 23:22

Voor de veiligheid wijzig ik ook altijd meteen het SSID, de key en uiteraard het wachtwoord van de router zelf, na dat bijvoorbeeld KPN deze heeft geplaatst.

Ik vond het wel bijzonder dat KPN zelf weinig kaas heeft gegeten van wat er nodig is voor een veilige verbinding.
Maak regelmatig mee dat ze bij mensen op afstand hun router resetten (vanwege een storing) en dat daarna het router wachtwoord leeg is ( dus alleen user:admin en geen wachtwoord ) en de WIFI instellingen ook op standaard staan.
Wat logisch is na een reset, maar medewerkers vergeten vaak dat er nog een router wachtwoord moet worden ingesteld en dat ze hun klanten dat goed duidelijk moeten maken.
Omdat de gemiddelde gebruiker dat vaak niet doorheeft.

MadEgg @drijfhout • 11 augustus 2015 08:18

Tja, ik vind het sowieso een kwalijke zaak dat KPN of Ziggo op afstand je router kan resetten. Ik ga er vanuit dat dat is omwille van kostenbesparing bij klantenservice, om bezoeken van een monteur te voorkomen, maar het laat wel enorme beveiligingsproblemen open.

Één van de redenen dat ik mijn Ziggo-modem in bridge heb gezet. Ze kunnen nu uitsluitend mijn bridge remote managen maar alle WiFi- en routerfunctionaliteit wordt door mijn eigen router geregeld waar ik alleen toegang toe heb.

Sowieso is het genereren van WPA2-passwords op basis van SSID, MAC of serienummer natuurlijk een slecht idee. Als ze dan toch klanten hun password willen kunnen vertellen zouden ze beter gewoon een database met die info kunnen bijhouden, in plaats van het voorspelbaar maken.

cdwave 11 augustus 2015 07:44

"Een brute force-aanval zou daarom veel sneller succes op kunnen leveren dan wanneer er willekeurig wachtwoorden worden geraden"

Uh, "willekeurig raden" is een vorm van brute-force.

Wat bedoeld werd is vast: "Een aanval gebaseerd op lijsten met serienummers en daaruit gegenereerde wachtwoorden heeft veel kans van slagen..." of iets van die strekking.

[Reactie gewijzigd door cdwave op 22 juli 2024 14:55]

MadEgg @cdwave • 11 augustus 2015 08:10

Brute force is niet willekeurig raden. Brute force is gestructureerd alle mogelijke combinaties langsgaan, een belangrijk verschil. Bij willekeurig raden heb je een aardige kans om combinaties te proberen die je al eerder geprobeerd hebt en weet je nooit wanneer je alles gehad hebt en kun je dus ook geen inschatting maken van hoe lang het gaat duren.

Bastien 10 augustus 2015 18:45

Mja, ik kan het wachtwoord niet eens aanpassen (bij een Cisco EPC3925), als men het wachtwoord bedoelt om in de router in te kunnen loggen. Dat ding hier staat in bridge. Kan er wel in om gegevens uit te lezen over de kwaliteit van de verbinding maar meer ook niet.

Dat laatste trouwens met een wachtwoord van ziggo (middels een sticker op modem) welke echt nergens op slaat.

Toch Ziggo maar eens lastig gaan vallen over hoe dat te wijzigen. Zal wel weer niet kunnen.

Over toegang middels WIFI hoef ik mij geen zorgen te maken in bridge.

mrdemc @Bastien • 10 augustus 2015 19:38

Die modem heb ik ook. Zowel weblogin als wifiwachtwoord kan veranderd worden. Even zoeken

is niet heel lastig.

Bastien @mrdemc • 10 augustus 2015 19:39

In bridge? Of ik kan weer naar de opticien of jij hebt 'm niet in bridge staan. Ik heb enkel een login pagina (kan het niet op) en twee statuspagina's (kan het ook niet op). Meer smaken zijn er niet.

mrdemc @Bastien • 11 augustus 2015 11:04

Ik heb m niet in bridge. Maar als ik inlog en dan onder setup->quick setup kijk kan ik het weblogin ww wijzigen. Mss een idee om m uit bridge te halen, het aan te passen en dan weer in bridge te zetten?

mdj84nl @Bastien • 10 augustus 2015 22:01

klopt. Heb dat modem zonder wifi gehad, 3212? en je kon inderdaad niets instellen of wijzigen.

mjl @Bastien • 10 augustus 2015 19:15

Ht gaat inderdaad om het wifi password, waar je je met de bridge wel zorgen om zou kunnen maken als de router van ziggo een kraakbaar wachtwoord gebruikt.

Bastien @mjl • 10 augustus 2015 19:17

Hoe bedoel je dat? Ziggo gebruikt mijn router niet voor hun eigen WIFI netwerk want dat werkt niet als ik mijn modem in bridge heb staan. Vandaar dat ik ook geen gebruik mag maken van hun WIFI netwerk.

Op dit item kan niet meer gereageerd worden.

Onderzoek: veel internetrouters hebben makkelijk te kraken standaardwachtwoorden

Lees meer

Reacties (116)

Sorteer op:

Weergave: