'Internetgebruikers kiezen betere wachtwoorden'

Op basis van onderzoek van de logingegevens van 34.000 MySpace-gebruiker is duidelijk geworden dat internetgebruikers steeds betere wachtwoorden kiezen: het gemiddelde wachtwoord is acht karakters lang en tachtig procent bevat alfanumerieke tekens.

De logingegevens die door Bruce Schneier, cto van Counterpane Internet Security, zijn onderzocht, zijn verkregen uit een eind oktober uitgevoerde phishingaanval op MySpace. Vanzelfsprekend was die aanval niet door Schneier geïnitieerd, maar was hij voor het onderzoek wel geïntereseerd in de resultaten. Daaruit blijkt dat 65 procent van de wachtwoorden acht of minder karakters omvat, en dat 17 procent uit zes of minder tekens bestaat. Het gemiddelde wachtwoord is acht tekens lang, aldus Schneier. Er was slechts één gebruiker met een wachtwoord van 32 tekens: '1ancheste23nite41ancheste23nite4'. Ruim tachtig procent van de wachtwoorden is opgebouwd uit alfanumerieke tekens, maar dat cijfer lijkt mooier dan het is: 28 procent van alle passwords bestaat namelijk uit een aantal letters en alleen het laatste karakter is dan een cijfer.

De tien meest voorkomende MySpace-wachtwoorden zijn: password1, abc123, myspace1, password, blink182, qwerty1, fuckyou, 123abc, baseball1 en football1. Het wachtwoord 'password1' is door 0,22 procent van de gebruikers toegepast, en 'abc123' en 'myspace' in 0,11 procent van de gevallen. Hierna wordt de frequentie snel lager. Enkele jaren geleden was 'password' het wachtwoord dat gebruikers het vaakst kozen, maar inmiddels heeft men geleerd om zowel letters als cijfers in een wachtwoord te hebben, wat dus 'password1' als resultaat heeft. Verder blijkt uit dit onderzoek dat ten opzichte van 1989 wachtwoorden gemiddeld twee tekens langer zijn geworden en dat slechts vier procent bestaat uit een woordenboekwoord. Ondanks deze goede resultaten, is Schneier niet tevreden, omdat het kraken van wachtwoorden tegenwoordig ook sneller gaat. Voor bepaalde gegevens is het daarom noodzakelijk niet meer te vertrouwen op alleen maar wachtwoorden.

IT-banen

Reacties (69)

Verwijderd 16 december 2006 11:48

Goh, wat een opmerkelijke conclusie. Veel providers eisen tegenwoordig een wachtwoord van een bepaalde minimale lengte en een mix van letters en cijfers.

Doorsnee internetgebruikers kiezen geen betere wachtwoorden, maar worden daartoe gedwogen.

Verwijderd @Verwijderd • 16 december 2006 12:13

Klopt, ik werk dan bij een ISP daar moet het wachtwoord minimaal 6 tekens lang zijn en uit 2 van de 3 volgende dingen bestaan: kleine letters, hoofdletters, cijfers.

Gister nog een klant, was zijn wachtwoord vergeten, dus ik samen met hem een nieuwe instellen (met zijn eigen activatiecode uiteraard)

>> Wat wilt u voor een wachtwoord meneer Jansen?
<< Oh doe maar iets makkelijks: wachtwoord
>> Dat kan niet, mr. *bovenstaande uitgelegd*.
<< Ow doe maar 'wachtwoord1' dan.
>> Ik zou dat niet doen meneer, zal ik een veiliger wachtwoord voor u bedenken?
<< Nou, ok. Maar maak het aub niet te ingewikkeld!

... God o god zeg..

uiteindelijk maar zijn postcode ingevoerd:
"1234aB"

Ook niet super, maar die man had het liefst geen wachtwoord..
"<< Wie wil mij nou 'hacken".

Verwijderd @Verwijderd • 16 december 2006 12:39

"Wie wil mij nou 'hacken"." is wel een aardig wachtwoord.

Generaal Pardon @Verwijderd • 16 december 2006 15:56

Beter is:
"Ikwilhelemaalgeenwachtwoord" of "Hetwachtenisophetjuistewoord"

Komen ze NOOIT achter.

Of:
"Wieditleestisgek!...ENeencrimineel!"

Opa @Verwijderd • 18 december 2006 15:51

Providers eisen minimale mix?
Je moest es weten.....

* Opa maakt een nieuw subaccountje voor zijn schoonouders, die zitten bij HetNet.

* Opa typt een wachtwoord in met alfa, numeriek en leestekens.

HetNet: URRNG!!! Error! Error! Error! U mag alleen alfa en numeriek gebruiken.

Opa:

SIMPY.be 16 december 2006 11:34

Uit dit onderzoek kan ik afleiden, dat de wachtwoorden blijkbaar niet geëncrypteerd worden opgeslaan... Of ze toch makkelijk zijn terug te terugproduceren.

Nielsvr @SIMPY.be • 16 december 2006 11:39

Is het niet zo dat bij een phising aanval, de gebruiker zelf die gegevens invoert? En dus niet door een bepaald persoon de database wordt leeggetrokken ofzo. Hierbij zit dus niet de stap van encrypty.

GeleFles @SIMPY.be • 16 december 2006 11:41

yup, dat valt mij bij meer sites op...

op het moment dat ik m'n wachtwoord ben vergeten, en ik kan hem opnieuw opvragen, dan schrik ik altijd een beetje als ik dan m'n oude wachtwoord netjes in de mail krijg...

dat betekend dus dat mijn wachtwoord on-encrypt opgeslagen word in de database!
Ik zie dan liever een nieuw random wachtwoord in mn mail, of een link om opnieuw mijn wachtwoord in te stellen

Vooral voor een grote site zoals myspace zou ik dit een hele grote blunder vinden!

Of myspace slaat ze op als hashes, en heeft de meest voorkomende hashes eruit gehaald, en die met een brute force of dictionary attack 'gekraakt'...

Verwijderd @GeleFles • 16 december 2006 12:27

Een hash kan niet gereversed worden.
Neem bv een 256bit hash van een 100KB tekst.
Dat zou mooie compressie zijn

Ok in MD5 is een zwakte gevonden maar die is 'onbruikbaar'

'1ancheste23nite41ancheste23nite4' lijkt een zeer goed password maar de entropy ervan is niet bijster hoog.
De lengte v/e password is zeker niet zaligmakend.
Het enige wat telt is entropy en een redelijke lengte.
@st&*_EJ is meer dan voldoende. Reken maar na. 8 karakters met ieder 204 mogelijkheden.

Kalief @Verwijderd • 16 december 2006 14:58

Maar hoe groter de entropie hoe moeilijker te onthouden. Daardoor gaan mensen moeilijke wachtwoorden opschrijven ed waardoor de onveiligheid weer toeneemt.

Verwijderd @Verwijderd • 16 december 2006 15:51

Wat ik doe is een toetsencombinatie op het toetsenbord van een naam of lettercombinatie 2x transfomeren naar andere plekken naar het toetsenbord...
Zelfs ik weet dan niet wat mijn paswoord is..

maar kan het wel afleiden als het moet.. bv ADG (= DAG geheugensteuntje)

wordt ADG135!#%
Hetzelfde patroon, niet achterhaalbaar.

7.01D @Verwijderd • 16 december 2006 16:44

- reactie op ravan -

Maar je webmail ophalen in een van onze buurlanden zit er dan waarschijnlijk niet in, aangezien ze daar veelal andere toetsenbordindelingen hanteren, zoals bv. AZERTY.

Verwijderd @Verwijderd • 17 december 2006 12:44

daar gaat mijn standaardwachtwoord...

TheLemon @GeleFles • 16 december 2006 13:43

Dat hoeft toch niet persé te betekenen dat je pwd onencrypted opgeslagen is? Je pwd kan toch gedecrypt worden en in een mailtje geplakt worden.

Ik ben het met je eens dat het slordig is, aangezien het wel lekker als plain text over de mail gaat. Dat is zo mogelijk nog onveiliger dan een niet-encrypte database.

darkfader @TheLemon • 16 december 2006 14:58

idd. encryptie houdt iig al een SQL injection hack 'tegen'. corrupte data kun je altijd nog wel terugzetten.

Rob @TheLemon • 16 december 2006 19:39

Waarmee moet de server dan de encryptie decrypten?

Dat kan de server dus niet.

Lees dit stukje leesvoer even na: http://en.wikipedia.org/wiki/MD5

Verwijderd @TheLemon • 16 december 2006 22:44

Wat denk je van je mailserver want als password in de mail wordt gezet. Zou je deze terug moeten kunnen vinden.

lzandman @TheLemon • 17 december 2006 01:09

Waarmee moet de server dan de encryptie decrypten?

Dat kan de server dus niet.

Lees dit stukje leesvoer even na: http://en.wikipedia.org/wiki/MD5

Een wachtwoord hoeft niet opgeslagen te worden als MD5 hash. Je kunt het wachtwoord ook gewoon met een "normaal"/twee-weg encryptie-algoritme coderen. Dan kun je het ook weer decoderen.

Persoonlijk heb ik liever de hash-variant. En als je je wachtwoord vergeten hebt, dat dan het systeem gewoon een nieuw wachtwoord bedenkt en het je toestuurt.

Verwijderd @SIMPY.be • 16 december 2006 17:16

Phishing betekent een 'nep' site maken, die er hetzelfde uitziet als bijvoorbeeld de login pagina van MySpace. De gebruiker probeert hier in te loggen, en het wachtwoord dat verstuurd word, word door de phishers simpel opgeslagen in de database.

Het wachtwoord-opslaan policy van MySpace zelf heeft helemaal niets met dit alles temaken.

bpere @SIMPY.be • 16 december 2006 17:54

Om te achterhalen welke paswoorden het meest gebruikt worden, gaan ze eerder met bruteforce tewerk.
Ze gaan elke account af en proberen daarbij tekens hun vooropgestelde wachtwoorden. Als er een OK komt dan hebben ze beet. Dat deze paswoorden nu geëncrypteerd zijn of niet maakt daarbij niet uit.

Verwijderd 16 december 2006 12:38

Dit is echt wel eng!!

http://www.nirsoft.net/utils/pspv.html

Cameleon73 @Verwijderd • 16 december 2006 13:25

SIW is nog enger! Daar komen ook de Firefox wachtwoorden naar voren... Alleen de opgeslagen VPN wachtwoorden zie ik (nog) niet naar voren komen.

Verwijderd @Cameleon73 • 16 december 2006 16:43

Of je kijk in FireFox bij de opgeslagen wachtwoorden en klikt op wachtwoorden weergeven. Heb je helemaal geen 3rd part software voor nodig.

mieJas @Verwijderd • 16 december 2006 13:10

Enger zou zijn moest het daadwerkelijk een passwoord tonen...

Bazer @Verwijderd • 17 december 2006 13:48

Hmmm,

Mijn virusscanner (trend micro officescan) zegt dat er in dit tooltje een virus/malware zit (hktl_passvw.a)

Op hun eigen website claimen ze dat dat een "false positive" is.

Hier komt bij mij sterk het "wij van wc-eend...." gevoel naar boven.

Ik blijf hiervan af.

memphis 16 december 2006 12:34

Wachtwoorden met een bewuste tiepvaut zijn door mensen die de MSN/SMS taal beter onder de knie hebben dan het ABN ook makkelijk op te sporen....

Dan heb ik het maar niet over de maandelijkse verplichte verandering om op je bedrijfsnetwerk te komen met wachtwoorden zoals "Nove2006" , "Dece2006" , "Janu2007" etc
De verplichte minimaal 8 karakters in hoofdletter(s) en cijfers zitten erin en neem van mij aan door veel gebruikt.....

Verwijderd @memphis • 16 december 2006 12:37

Ja, zou heel goed kunnen kloppen.
Vind die maandelijkse wachtwoord wijzingen ook wel echt bizar. Gebruik als bedrijf dan gewoon tokens ofzo.

Weet van m'n pa ook dat ie gewoon elke keer het getal achter het wachtwoord met 1 ophoogt.
Dan heeft het maandelijks wijzigen van je wachtwoord geen enkel nut meer.

Verwijderd 16 december 2006 11:42

ikzelf prefereer nog altijd wachtwoorden zoals:

1q2w3e4r5t6y7u8i9o0p , lekker makkelijk om in te toetsen op je keyboard

nu maar hopen dat niet iedereen het proggie PASSVIEW leert kennen want mijn ogen vielen uit mijn kop toen ik dit zag, hiermee achterhaal je dus werkelijk ieder wachtwoord (mits opgeslagen op pc)

Dutch_Razor @Verwijderd • 16 december 2006 18:19

He je wachtwoord werkt niet

resink 16 december 2006 11:37

Wel een interessant onderzoek.
"Wij houden een enquete naar de kwaliteit van wachtwoorden. U bent uitverkoren om deel te nemen. Wilt u s.v.p. hieronder uw wachtwoord invoeren? Als u ook nog de bijbehorende accountnaam levert, maakt u kans op een prachtige reis. Of een leven lang Viagra."

Verwijderd 16 december 2006 17:02

m'n langste ww= @ the moment: 85tekens met leuke combi's.. kopieren en plakken vanuit 'n document dat met triple blowfish is encrypted op 'n vrij rare plaats: 'n usbstick met fingerscan

nou maar hopen dat de verbinding niet gesniffed wordt.

Verwijderd @Verwijderd • 16 december 2006 17:13

Weet jij iets wat het Pentagon nog niet weet?

YStec @Verwijderd • 17 december 2006 03:57

Zolang er maar geen keylogger zit op de pc waar jij je usb stick op gebruikt

...

Verwijderd 16 december 2006 11:27

En dan vragen sommige mensen zich af hoe het komt dat hun account gehackt wordt.
Hoe dom moet je nu om password1 te nemen

En met dit onderzoek zal de veiligheid natuurlijk niet verbeteren want nu hebben de hackers al richtlijnen welke woorden ze moeten proberen.

gamepower2005 @Verwijderd • 17 december 2006 13:54

Accounts worden veel vaker 'gehackt' door een onnozele geheime vraag. Als je erover nadenkt weten vaak honderden mensen in je omgeving hoe je hond heet, of naar welke basisschool je ging.

Daarnaast is mijn (onbelangrijke forum-passwoord) al velen malen in malafide handen gevallen door slechte beveiliging door de webmaster (vooral XSS hacks).

Nu is dit alles geen excuus om toch maar geen goed wachtwoord te nemen. Wel laat het zien dat het belangrijk is veel verschillende wachtwoorden te gebruiken, die meer verschillen dan een ophoging van het laatste cijfer.

martdj @Verwijderd • 17 december 2006 12:21

Het zijn duidelijk geen IT-ers. Die zouden het altijd als "passw0rd" schrijven

NoepZor @martdj • 17 december 2006 17:44

Of gamer, die maken het wel erg veilig:
p455\/\/0r|)

Maakt uppercase vs lowercase nog wat uit? Dan zijn alle BreEzaHz ook veilig:
pAsZw0rdDjjUhh

Calamor @NoepZor • 18 december 2006 14:42

tot je vergeeft welke uppercase nu waren.

Was het nu de 1,3,5,6 upper of was nou van de vorige keer

of tog alllen de 4,7 uppercase deze wwek

Jimbolino @Verwijderd • 16 december 2006 18:53

"richtlijnen welke woorden ze moeten proberen"

Ik denk dat "de hackers" die al eerder hadden ontdekt dan de "de gebruikers"

Verwijderd 16 december 2006 13:07

Gewoon random passwords nemen.
Ik gebruik altijd dingen als "uHp6kaZP3Khfs5". Geen hond die dat OOIT gaat vinden (noch slim, noch bruteforce).

still_the_same @Verwijderd • 16 december 2006 13:35

Ja, en als je zo 10 wachtwoorden hebt gaat iedereen dat natuurlijk makkelijk onthouden.... Ben dan meer voorstander van een herschrijving van een woord. bijvoorbeeld Aquarium, aQu@r1uM Is lastig, zit alles in, maar is veel makkelijker te onthouden... (imho)

Zarc.oh @still_the_same • 16 december 2006 14:00

Op het eerste gezicht lijkt het een sterk wachtwoord, maar een computer kan ipv letters ook getransformeerde letters gebruiken. Het alfabet wordt dan iets groter, maar het is voor een computer minder werk dan bruteforcen.
Zelfs als je de vervanging van meerdere karakters maakt (A -> /-\, H -> |-|, L -> |_, M -> |\/|, N -> |\| etc etc), is een dictionary attack volgens mij nog sneller dan een brute force attack. Echter, als je dan veel meerder diversiteit aanbrengt om visueel tot dezelfde letter te komen, bijvoorbeeld /-\ /~\ /.\ of |\/| N\ [\/[ (\/| etc, wordt het alfabet wel flink groter. Ben dit nog nergens tegen gekomen, maar het is zo te programmeren, dat is niet zo ingewikkeld.
Ik zou bovendien als toevoeging op willekeurige plaatsen verschillende leestekens plaatsen in combinatie met een multi character letter, bijvoorbeeld:
/-\
:
O.
|_|
@
r
|
*
u
N\

Verwijderd @still_the_same • 16 december 2006 21:48

Nee die ga je natuurlijk niet onthouden. Gewoon lokaal opslaan in een password protected file of encrypted drive. Kun je ze nog copy-pasten ook zodat je het gevaar van keyloggers ook nog omzeilt.

GENETX 16 december 2006 11:36

Zelfs mijn eerste wachtwoord was creatiever

* GENETX gebruikt al jaren zn geboortedatum niet meer

Countess @GENETX • 16 december 2006 11:42

je wil niet meer herinnerd worden aan hoe oud je inmiddels bent?

defusion @GENETX • 16 december 2006 12:59

@home gaf (geeft?) je als standaard wachtwoord nog steeds je geboortedatum als je nieuwe klant werd.
en de geboortedatum van iemand achterhalen was meestal een koud kunstje door bijv. naar de @home-homepage van die persoon te browsen.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (69)

Sorteer op:

Weergave: