Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 69 reacties
Bron: Wired

Op basis van onderzoek van de logingegevens van 34.000 MySpace-gebruiker is duidelijk geworden dat internetgebruikers steeds betere wachtwoorden kiezen: het gemiddelde wachtwoord is acht karakters lang en tachtig procent bevat alfanumerieke tekens.

WachtwoordDe logingegevens die door Bruce Schneier, cto van Counterpane Internet Security, zijn onderzocht, zijn verkregen uit een eind oktober uitgevoerde phishingaanval op MySpace. Vanzelfsprekend was die aanval niet door Schneier geïnitieerd, maar was hij voor het onderzoek wel geïntereseerd in de resultaten. Daaruit blijkt dat 65 procent van de wachtwoorden acht of minder karakters omvat, en dat 17 procent uit zes of minder tekens bestaat. Het gemiddelde wachtwoord is acht tekens lang, aldus Schneier. Er was slechts één gebruiker met een wachtwoord van 32 tekens: '1ancheste23nite41ancheste23nite4'. Ruim tachtig procent van de wachtwoorden is opgebouwd uit alfanumerieke tekens, maar dat cijfer lijkt mooier dan het is: 28 procent van alle passwords bestaat namelijk uit een aantal letters en alleen het laatste karakter is dan een cijfer.

De tien meest voorkomende MySpace-wachtwoorden zijn: password1, abc123, myspace1, password, blink182, qwerty1, fuckyou, 123abc, baseball1 en football1. Het wachtwoord 'password1' is door 0,22 procent van de gebruikers toegepast, en 'abc123' en 'myspace' in 0,11 procent van de gevallen. Hierna wordt de frequentie snel lager. Enkele jaren geleden was 'password' het wachtwoord dat gebruikers het vaakst kozen, maar inmiddels heeft men geleerd om zowel letters als cijfers in een wachtwoord te hebben, wat dus 'password1' als resultaat heeft. Verder blijkt uit dit onderzoek dat ten opzichte van 1989 wachtwoorden gemiddeld twee tekens langer zijn geworden en dat slechts vier procent bestaat uit een woordenboekwoord. Ondanks deze goede resultaten, is Schneier niet tevreden, omdat het kraken van wachtwoorden tegenwoordig ook sneller gaat. Voor bepaalde gegevens is het daarom noodzakelijk niet meer te vertrouwen op alleen maar wachtwoorden.

Moderatie-faq Wijzig weergave

Reacties (69)

Goh, wat een opmerkelijke conclusie. Veel providers eisen tegenwoordig een wachtwoord van een bepaalde minimale lengte en een mix van letters en cijfers.

Doorsnee internetgebruikers kiezen geen betere wachtwoorden, maar worden daartoe gedwogen.
Klopt, ik werk dan bij een ISP daar moet het wachtwoord minimaal 6 tekens lang zijn en uit 2 van de 3 volgende dingen bestaan: kleine letters, hoofdletters, cijfers.

Gister nog een klant, was zijn wachtwoord vergeten, dus ik samen met hem een nieuwe instellen (met zijn eigen activatiecode uiteraard)

>> Wat wilt u voor een wachtwoord meneer Jansen?
<< Oh doe maar iets makkelijks: wachtwoord
>> Dat kan niet, mr. *bovenstaande uitgelegd*.
<< Ow doe maar 'wachtwoord1' dan.
>> Ik zou dat niet doen meneer, zal ik een veiliger wachtwoord voor u bedenken?
<< Nou, ok. Maar maak het aub niet te ingewikkeld!

... God o god zeg.. |:(

uiteindelijk maar zijn postcode ingevoerd:
"1234aB"

Ook niet super, maar die man had het liefst geen wachtwoord..
"<< Wie wil mij nou 'hacken".

:?
"Wie wil mij nou 'hacken"." is wel een aardig wachtwoord.
Beter is:
"Ikwilhelemaalgeenwachtwoord" of "Hetwachtenisophetjuistewoord"

Komen ze NOOIT achter.

Of:
"Wieditleestisgek!...ENeencrimineel!"
Providers eisen minimale mix?
Je moest es weten..... :Z

* Opa maakt een nieuw subaccountje voor zijn schoonouders, die zitten bij HetNet.

* Opa typt een wachtwoord in met alfa, numeriek en leestekens.

HetNet: URRNG!!! Error! Error! Error! U mag alleen alfa en numeriek gebruiken.

Opa: |:( |:( |:( |:(
Uit dit onderzoek kan ik afleiden, dat de wachtwoorden blijkbaar niet geëncrypteerd worden opgeslaan... Of ze toch makkelijk zijn terug te terugproduceren.
Is het niet zo dat bij een phising aanval, de gebruiker zelf die gegevens invoert? En dus niet door een bepaald persoon de database wordt leeggetrokken ofzo. Hierbij zit dus niet de stap van encrypty.
yup, dat valt mij bij meer sites op...

op het moment dat ik m'n wachtwoord ben vergeten, en ik kan hem opnieuw opvragen, dan schrik ik altijd een beetje als ik dan m'n oude wachtwoord netjes in de mail krijg...

dat betekend dus dat mijn wachtwoord on-encrypt opgeslagen word in de database!
Ik zie dan liever een nieuw random wachtwoord in mn mail, of een link om opnieuw mijn wachtwoord in te stellen :(

Vooral voor een grote site zoals myspace zou ik dit een hele grote blunder vinden!

Of myspace slaat ze op als hashes, en heeft de meest voorkomende hashes eruit gehaald, en die met een brute force of dictionary attack 'gekraakt'...
Een hash kan niet gereversed worden.
Neem bv een 256bit hash van een 100KB tekst.
Dat zou mooie compressie zijn :)

Ok in MD5 is een zwakte gevonden maar die is 'onbruikbaar'

'1ancheste23nite41ancheste23nite4' lijkt een zeer goed password maar de entropy ervan is niet bijster hoog.
De lengte v/e password is zeker niet zaligmakend.
Het enige wat telt is entropy en een redelijke lengte.
@st&*_EJ is meer dan voldoende. Reken maar na. 8 karakters met ieder 204 mogelijkheden.
Maar hoe groter de entropie hoe moeilijker te onthouden. Daardoor gaan mensen moeilijke wachtwoorden opschrijven ed waardoor de onveiligheid weer toeneemt.
Wat ik doe is een toetsencombinatie op het toetsenbord van een naam of lettercombinatie 2x transfomeren naar andere plekken naar het toetsenbord...
Zelfs ik weet dan niet wat mijn paswoord is.. :*)

maar kan het wel afleiden als het moet.. bv ADG (= DAG geheugensteuntje)

wordt ADG135!#%
Hetzelfde patroon, niet achterhaalbaar.
- reactie op ravan -

Maar je webmail ophalen in een van onze buurlanden zit er dan waarschijnlijk niet in, aangezien ze daar veelal andere toetsenbordindelingen hanteren, zoals bv. AZERTY.
daar gaat mijn standaardwachtwoord... :P
Dat hoeft toch niet persé te betekenen dat je pwd onencrypted opgeslagen is? Je pwd kan toch gedecrypt worden en in een mailtje geplakt worden.

Ik ben het met je eens dat het slordig is, aangezien het wel lekker als plain text over de mail gaat. Dat is zo mogelijk nog onveiliger dan een niet-encrypte database.
idd. encryptie houdt iig al een SQL injection hack 'tegen'. corrupte data kun je altijd nog wel terugzetten.
Waarmee moet de server dan de encryptie decrypten?

Dat kan de server dus niet.

Lees dit stukje leesvoer even na: http://en.wikipedia.org/wiki/MD5
Wat denk je van je mailserver want als password in de mail wordt gezet. Zou je deze terug moeten kunnen vinden.
Waarmee moet de server dan de encryptie decrypten?

Dat kan de server dus niet.

Lees dit stukje leesvoer even na: http://en.wikipedia.org/wiki/MD5
Een wachtwoord hoeft niet opgeslagen te worden als MD5 hash. Je kunt het wachtwoord ook gewoon met een "normaal"/twee-weg encryptie-algoritme coderen. Dan kun je het ook weer decoderen.

Persoonlijk heb ik liever de hash-variant. En als je je wachtwoord vergeten hebt, dat dan het systeem gewoon een nieuw wachtwoord bedenkt en het je toestuurt.
Phishing betekent een 'nep' site maken, die er hetzelfde uitziet als bijvoorbeeld de login pagina van MySpace. De gebruiker probeert hier in te loggen, en het wachtwoord dat verstuurd word, word door de phishers simpel opgeslagen in de database.

Het wachtwoord-opslaan policy van MySpace zelf heeft helemaal niets met dit alles temaken.
Om te achterhalen welke paswoorden het meest gebruikt worden, gaan ze eerder met bruteforce tewerk.
Ze gaan elke account af en proberen daarbij tekens hun vooropgestelde wachtwoorden. Als er een OK komt dan hebben ze beet. Dat deze paswoorden nu geëncrypteerd zijn of niet maakt daarbij niet uit.
SIW is nog enger! Daar komen ook de Firefox wachtwoorden naar voren... Alleen de opgeslagen VPN wachtwoorden zie ik (nog) niet naar voren komen.
Of je kijk in FireFox bij de opgeslagen wachtwoorden en klikt op wachtwoorden weergeven. Heb je helemaal geen 3rd part software voor nodig.
Enger zou zijn moest het daadwerkelijk een passwoord tonen...
Hmmm,

Mijn virusscanner (trend micro officescan) zegt dat er in dit tooltje een virus/malware zit (hktl_passvw.a)

Op hun eigen website claimen ze dat dat een "false positive" is.

Hier komt bij mij sterk het "wij van wc-eend...." gevoel naar boven.

Ik blijf hiervan af.
Wachtwoorden met een bewuste tiepvaut zijn door mensen die de MSN/SMS taal beter onder de knie hebben dan het ABN ook makkelijk op te sporen....

Dan heb ik het maar niet over de maandelijkse verplichte verandering om op je bedrijfsnetwerk te komen met wachtwoorden zoals "Nove2006" , "Dece2006" , "Janu2007" etc
De verplichte minimaal 8 karakters in hoofdletter(s) en cijfers zitten erin en neem van mij aan door veel gebruikt.....
Ja, zou heel goed kunnen kloppen.
Vind die maandelijkse wachtwoord wijzingen ook wel echt bizar. Gebruik als bedrijf dan gewoon tokens ofzo.

Weet van m'n pa ook dat ie gewoon elke keer het getal achter het wachtwoord met 1 ophoogt.
Dan heeft het maandelijks wijzigen van je wachtwoord geen enkel nut meer.
m'n langste ww= @ the moment: 85tekens met leuke combi's.. kopieren en plakken vanuit 'n document dat met triple blowfish is encrypted op 'n vrij rare plaats: 'n usbstick met fingerscan :7 nou maar hopen dat de verbinding niet gesniffed wordt. :o
Weet jij iets wat het Pentagon nog niet weet? ;)
Zolang er maar geen keylogger zit op de pc waar jij je usb stick op gebruikt ;)...
ikzelf prefereer nog altijd wachtwoorden zoals:

1q2w3e4r5t6y7u8i9o0p , lekker makkelijk om in te toetsen op je keyboard :+

nu maar hopen dat niet iedereen het proggie PASSVIEW leert kennen want mijn ogen vielen uit mijn kop toen ik dit zag, hiermee achterhaal je dus werkelijk ieder wachtwoord (mits opgeslagen op pc)
He je wachtwoord werkt niet :P
Wel een interessant onderzoek.
"Wij houden een enquete naar de kwaliteit van wachtwoorden. U bent uitverkoren om deel te nemen. Wilt u s.v.p. hieronder uw wachtwoord invoeren? Als u ook nog de bijbehorende accountnaam levert, maakt u kans op een prachtige reis. Of een leven lang Viagra." :+
En dan vragen sommige mensen zich af hoe het komt dat hun account gehackt wordt.
Hoe dom moet je nu om password1 te nemen |:(
En met dit onderzoek zal de veiligheid natuurlijk niet verbeteren want nu hebben de hackers al richtlijnen welke woorden ze moeten proberen.
Accounts worden veel vaker 'gehackt' door een onnozele geheime vraag. Als je erover nadenkt weten vaak honderden mensen in je omgeving hoe je hond heet, of naar welke basisschool je ging.

Daarnaast is mijn (onbelangrijke forum-passwoord) al velen malen in malafide handen gevallen door slechte beveiliging door de webmaster (vooral XSS hacks).

Nu is dit alles geen excuus om toch maar geen goed wachtwoord te nemen. Wel laat het zien dat het belangrijk is veel verschillende wachtwoorden te gebruiken, die meer verschillen dan een ophoging van het laatste cijfer.
Het zijn duidelijk geen IT-ers. Die zouden het altijd als "passw0rd" schrijven :+
Of gamer, die maken het wel erg veilig:
p455\/\/0r|) :)

Maakt uppercase vs lowercase nog wat uit? Dan zijn alle BreEzaHz ook veilig:
pAsZw0rdDjjUhh
tot je vergeeft welke uppercase nu waren.

Was het nu de 1,3,5,6 upper of was nou van de vorige keer :? of tog alllen de 4,7 uppercase deze wwek :?
"richtlijnen welke woorden ze moeten proberen"

Ik denk dat "de hackers" die al eerder hadden ontdekt dan de "de gebruikers"
Gewoon random passwords nemen.
Ik gebruik altijd dingen als "uHp6kaZP3Khfs5". Geen hond die dat OOIT gaat vinden (noch slim, noch bruteforce).
Ja, en als je zo 10 wachtwoorden hebt gaat iedereen dat natuurlijk makkelijk onthouden.... Ben dan meer voorstander van een herschrijving van een woord. bijvoorbeeld Aquarium, aQu@r1uM Is lastig, zit alles in, maar is veel makkelijker te onthouden... (imho)
Op het eerste gezicht lijkt het een sterk wachtwoord, maar een computer kan ipv letters ook getransformeerde letters gebruiken. Het alfabet wordt dan iets groter, maar het is voor een computer minder werk dan bruteforcen.
Zelfs als je de vervanging van meerdere karakters maakt (A -> /-\, H -> |-|, L -> |_, M -> |\/|, N -> |\| etc etc), is een dictionary attack volgens mij nog sneller dan een brute force attack. Echter, als je dan veel meerder diversiteit aanbrengt om visueel tot dezelfde letter te komen, bijvoorbeeld /-\ /~\ /.\ of |\/| N\ [\/[ (\/| etc, wordt het alfabet wel flink groter. Ben dit nog nergens tegen gekomen, maar het is zo te programmeren, dat is niet zo ingewikkeld.
Ik zou bovendien als toevoeging op willekeurige plaatsen verschillende leestekens plaatsen in combinatie met een multi character letter, bijvoorbeeld:
/-\
:
O.
|_|
@
r
|
*
u
N\
Nee die ga je natuurlijk niet onthouden. Gewoon lokaal opslaan in een password protected file of encrypted drive. Kun je ze nog copy-pasten ook zodat je het gevaar van keyloggers ook nog omzeilt.
Zelfs mijn eerste wachtwoord was creatiever :)

* GremliN-Online gebruikt al jaren zn geboortedatum niet meer :+
je wil niet meer herinnerd worden aan hoe oud je inmiddels bent? :+
@home gaf (geeft?) je als standaard wachtwoord nog steeds je geboortedatum als je nieuwe klant werd.
en de geboortedatum van iemand achterhalen was meestal een koud kunstje door bijv. naar de @home-homepage van die persoon te browsen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True