Veilige paswoorden: waiting for Godot?

Veilige paswoorden; we weten allemaal wel dat het belangrijk is, maar vaak wordt gebruiksgemak boven veiligheid gekozen. Een aantal artikels geven een kijk op hoe het momenteel staat met de veiligheid van het gemiddelde paswoord.

Gebruik binnen bedrijf

Volgens het Trustwave 2012 Global Security Report, waarin gekeken werd naar meer dan 300 data breaches in 18 verschillende landen in 2011, zou 80% van de incidenten te maken hebben met zwakke administratieve credentials (in de praktijk meestal paswoorden).  Variaties op “password” beslaan 5% van alle bekeken paswoorden en variaties op “welcome” 1,3%. Het meest gebruikte paswoord is “Password1”, aangezien dit voldoet aan de minimumeisen van Active Directory. Bovendien vermeldt het rapport dat heel wat standaardpaswoorden zoals “admin” voor de admin account niet veranderd worden terwijl ze wel heel wat rechten verlenen.

Persoonlijk gebruik 1: yourock.com

Naar aanleiding van het lekken van 32 miljoen paswoorden van de site YouRock.com in december 2009 publiceerde Imperva een rapport waarin deze paswoorden geanalyseerd werden. Nooit eerder was een verzameling van zoveel effectief gebruikte paswoorden beschikbaar. De bevindingen zijn beangstigend.

Meer dan 30% van de gebruikers koos paswoorden met 6 of minder karakters.

42% van de paswoorden bestond uit enkel kleine letters, 16% bestond uit enkel cijfers, 2% uit enkel hoofdletters. Slechts 4% bevat ook niet alfa-numerieke karakters. Dit heeft een enorme impact op de veiligheid. Er zijn, ter illustratie, ongeveer 32000 keer minder combinaties mogelijk voor paswoorden bestaande uit 8 kleine letters dan voor paswoorden van diezelfde lengte die de 95 standaard ASCII afdrukbare karakters kunnen bevatten. Het gebruik van andere, vaak taalspecifieke, symbolen daarnaast
zoals “é”, “è”, “à”, “â”, “ä” en “ç” kan de veiligheid verder verhogen.

Bijna 50% van de gebruikers had een paswoord dat bestond uit namen, spreektaal (slang), woorden uit woordenboeken of was triviaal (zoals “qwerty”). Quasi alle 5000 meest populaire paswoorden voldeden hieraan. Deze 5000 paswoorden maken samen 20% van de accounts uit. In absolute aantallen levert dit dus ongeveer 6.400.000 accounts op!

Het meest gebruikte paswoord op yourock.com was “123456” en 1,16% van de gebruikers heeft “123456” of “12345” als paswoord gekozen.

Persoonlijk  gebruik 2: yahoo.com

In een onderzoek dat binnenkort gepubliceerd wordt werden 70 miljoen paswoorden bekeken (met
medewerking van Yahoo). Daaruit volgden interessante bevindingen zoals:

  • Oudere gebruikers gebruiken veiligere paswoorden dan jongere.
  • Gebruikers met Koreaans of Duits als voorkeurtaal hebben gemiddeld de veiligste paswoorden.
  • Paswoorden om gevoelige gegevens, zoals kredietkaartgegevens, te beschermen zijn maar weinig veiliger dan deze die minder belangrijke zaken beschermen. Volgens verschillende studies (1, 2, 3) gebruikt bovendien ongeveer de helft van de gebruikers hetzelfde of een sterk gelijkend paswoord voor alle websites waar paswoord-authenticatie vereist is.
  • De paswoorden die gebruikt worden door een persoon nadat hij/zij gehackt is, zijn niet dramatisch veiliger dan de paswoorden die hij/zij voorheen gebruikte.
  • Een hacker die 10 keer een paswoord kan gokken per account zal ongeveer 1% van de accounts kunnen hacken.
  • In het onderzoek werden 150 grote websites bekeken. 126 doen geen moeite om een account te blokkeren na een  aantal mislukte paswoord-authenticaties.

Persoonlijk gebruik 3: singles.org

Een hack in februari 2009 van singles.org, een christelijke dating site, bracht aan het licht dat van de meer dan 40000 gecompromitteerde accounts  0,61% als paswoord  “jesus” gebruikte, 0,29% koos “love” en 0,20% “christ”. Respectievelijk staan deze paswoorden op de tweede, vierde en zesde plaats van meest populaire paswoorden voor die site.  Dit is een bevestiging dat mensen geneigd zijn datgene wat ze belangrijk vinden in hun leven ook in hun paswoorden te verwerken. Dit kan religieus/ideologisch zijn, maar kan evengoed met de gezinssituatie, hobby, interesses, etc. te maken hebben. We spreken dan over de naam van de echtgenote, de hond, de zoon,  pop-idool en dergelijke meer.

Evolutie

Wanneer de resultaten van een studie uit 1990 naast die van de YouRock hack gelegd worden, dan zijn er opvallende gelijkenissen, aldus imperva, dat ook een rapport uit 2000 dat gehackte hotmail paswoorden bekeek, erbij legt en stelt dat er doorheen al die jaren bitter weinig veranderd is. Dit zou niet betekenen dat de situatie stabiel gebleven is, maar eerder verslechterd, aangezien de aanvallen intelligenter geworden zijn. Op internet zijn inderdaad vlot uitgebreide paswoordlijsten te vinden, alsook lijsten met populaire voornamen en dergelijke meer. Ook de statistische informatie over paswoorden en linguistieke eigenschappen kunnen  gebruikt worden. Daarnaast zijn er nog andere factoren zoals de verspreiding van toestellen met camera’s waarmee iemand snel een foto kan nemen van een bureau waar via post-its de paswoorden zorgeloos geëtaleerd worden.

Conclusie

Het is duidelijk dat er nog veel  werk aan de winkel is en dat het alerminst een triviaal probleem is. Op lange termijn zal hopelijk een echt  alternatief ingang vinden, maar voorlopig zijn paswoorden alomtegenwoordig. Een aantal mogelijke maatregelen wordt nu opgesomd.

Als variant op paswoorden worden passprases, dus sequenties van woorden, geopperd. Uit een onderzoek bleek dat deze wel niet zo goed zijn als algemeen wordt aangenomen. Met een woordenboek bestaande 20.656 records werd 1,13% van de Amazon accounts gehackt. Mnemotechische paswoorden zoals “IhbB&S,mmzLn.”, dat afgeleid werd uit de zin “Ik hou van brood & spelen, maar mijn zoon Lucas niet.”, blijkt veiliger te zijn, maar uit een studie van 2006 bleek dat er op basis van filmtitels, liedjesteksten en dergelijke meer toch 4% gekraakt kon worden. Desalnietemin zou het een verbetering zijn gezien het de entropie verhoogt en toch nog vrij makkelijk te onthouden zou zijn door een doorsnee gebruiker.

De overheid, het bedrijfsleven, pers en onderwijs hebben een rol te spelen in het verhogen en hoog houden van het bewustzijn  rond de problematiek. Ook kan de overheid via reguleringen een minimum aan paswoordsterkte voor applicaties opleggen.

Het gebruik van de meest triviale paswoorden moet verhinderd worden.  Een verificatie of een gekozen paswoord voldoende sterk is, is onontbeerlijk en moet duidelijk verder gaan dan het verifiëren van de lengte van het paswoord en enkele standaardregels zoals het gebruik van minstens 1 cijfer en 1 hoofdletter. Gezien de complexiteit hiervan lijken gespecialiseerde libraries, tools en/of  services wenselijk.

This entry was posted in Security and tagged , by Kristof Verslype. Bookmark the permalink.
avatar

About Kristof Verslype

Kristof behaalde begin 2011 een doctoraat in de ingenieurswetenschappen aan de KU Leuven. Hij onderzocht hoe privacy m.b.v. cryptografie verbeterd kon worden. Na een klein jaar als postdoctoraal onderzoeker werd hij eind 2011 onderzoeker bij Smals. Zijn huidige domeinen zijn distributed trust, privacy & analytics, blockchain & smart contracts en toegepaste cryptografie. Hij wordt regelmatig gevraagd als spreker. Meer info op www.cryptov.net

Leave a Reply

Your email address will not be published.