Dus u denkt dat uw internetwachtwoorden veilig zijn?
Paul Haskell-Dowland, auteur voorzien

Wachtwoorden worden al duizenden jaren gebruikt als een middel om onszelf te identificeren aan anderen en in recentere tijden aan computers. Het is een eenvoudig concept - een gedeeld stukje informatie, geheim gehouden tussen individuen en gebruikt om identiteit te ‘bewijzen’.

Wachtwoorden in een IT-context ontstond in de jaren zestig Met grote computer computers - grote centraal bediende computers met "terminals" op afstand voor gebruikerstoegang. Ze worden nu voor alles gebruikt, van de pincode die we invoeren bij een geldautomaat tot het inloggen op onze computers en verschillende websites.

Maar waarom moeten we onze identiteit 'bewijzen' aan de systemen waartoe we toegang hebben? En waarom zijn wachtwoorden zo moeilijk te vinden?

Wat maakt een goed wachtwoord?

Tot voor kort was een goed wachtwoord misschien een woord of zin van slechts zes tot acht tekens. Maar we hebben nu richtlijnen voor minimale lengte. Dit komt door "entropie".

Als het over wachtwoorden gaat, is entropie de maatstaf voor voorspelbaarheid. De wiskunde hierachter is niet ingewikkeld, maar laten we het eens bekijken met een nog eenvoudigere maatstaf: het aantal mogelijke wachtwoorden, ook wel de "wachtwoordruimte" genoemd.

innerlijk abonneren grafisch

Als een wachtwoord van één teken slechts één kleine letter bevat, zijn er slechts 26 mogelijke wachtwoorden ("a" tot "z"). Door hoofdletters op te nemen, vergroten we onze wachtwoordruimte tot 52 mogelijke wachtwoorden.

De wachtwoordruimte wordt steeds groter naarmate de lengte toeneemt en andere tekensoorten worden toegevoegd.

Door een wachtwoord langer of complexer te maken, wordt de potentiële 'wachtwoordruimte' aanzienlijk vergroot. Meer wachtwoordruimte betekent een veiliger wachtwoord.

Door een wachtwoord langer of complexer te maken, wordt de potentiële 'wachtwoordruimte' aanzienlijk vergroot. (dus u denkt dat uw internetwachtwoorden veilig zijn)

Als we naar de bovenstaande cijfers kijken, is het gemakkelijk te begrijpen waarom we worden aangemoedigd om lange wachtwoorden te gebruiken met hoofdletters en kleine letters, cijfers en symbolen. Hoe complexer het wachtwoord, hoe meer pogingen nodig waren om het te raden.

Het probleem met het afhangen van de complexiteit van wachtwoorden is echter dat computers zeer efficiënt zijn in het herhalen van taken, waaronder het raden van wachtwoorden.

Vorig jaar, een record is gevestigd voor een computer die elk denkbaar wachtwoord probeert te genereren. Het behaalde een snelheid die sneller was dan 100,000,000,000 keer per seconde.

Door gebruik te maken van deze rekenkracht kunnen cybercriminelen systemen hacken door ze te bombarderen met zoveel mogelijk wachtwoordcombinaties, in een proces genaamd aanvallen met brute kracht.

En met cloudgebaseerde technologie kan een wachtwoord van acht tekens worden geraden in slechts 12 minuten en kost het slechts $ 25.

Omdat wachtwoorden bijna altijd worden gebruikt om toegang te geven tot gevoelige gegevens of belangrijke systemen, motiveert dit cybercriminelen om actief op te zoeken. Het stimuleert ook een lucratieve online markt voor het verkopen van wachtwoorden, waarvan sommige worden geleverd met e-mailadressen en / of gebruikersnamen.

U kunt online bijna 600 miljoen wachtwoorden kopen voor slechts AU $ 14!

Hoe worden wachtwoorden op websites opgeslagen?

Wachtwoorden voor websites worden meestal op een beschermde manier opgeslagen met behulp van een wiskundig algoritme genaamd hashing. Een gehasht wachtwoord is onherkenbaar en kan niet worden omgezet in het wachtwoord (een onomkeerbaar proces).

Wanneer u probeert in te loggen, wordt het wachtwoord dat u invoert gehasht volgens hetzelfde proces en vergeleken met de versie die op de site is opgeslagen. Dit proces wordt elke keer dat u inlogt herhaald.

Het wachtwoord "Pa $$ w0rd" krijgt bijvoorbeeld de waarde "02726d40f378e716981c4321d60ba3a325ed6a4c" wanneer het wordt berekend met het SHA1-hash-algoritme. Probeer het jezelf.

Wanneer u wordt geconfronteerd met een bestand vol gehashte wachtwoorden, kan een brute force-aanval worden gebruikt, waarbij elke combinatie van tekens wordt geprobeerd voor een reeks wachtwoordlengtes. Dit is zo gebruikelijk geworden dat er websites zijn die veelgebruikte wachtwoorden naast hun (berekende) hash-waarde vermelden. U kunt eenvoudig naar de hash zoeken om het bijbehorende wachtwoord te onthullen.

De diefstal en verkoop van wachtwoordenlijsten is nu zo gewoon, een speciale website - haveibeenpwned.com - is beschikbaar om gebruikers te helpen controleren of hun accounts "in het wild" zijn. Dit is uitgegroeid tot meer dan 10 miljard accountgegevens.

Als uw e-mailadres op deze site wordt vermeld, moet u zeker het gedetecteerde wachtwoord wijzigen, evenals op alle andere sites waarvoor u dezelfde inloggegevens gebruikt.

Is meer complexiteit de oplossing?

Je zou denken dat met zoveel wachtwoordinbreuken die dagelijks plaatsvinden, we onze praktijken voor wachtwoordselectie zouden hebben verbeterd. Helaas, de jaarlijkse SplashData wachtwoordonderzoek is in vijf jaar tijd weinig veranderd.

De jaarlijkse SplashData-wachtwoordenquête van 2019 onthulde de meest voorkomende wachtwoorden van 2015 tot 2019.De jaarlijkse SplashData-wachtwoordenquête van 2019 onthulde de meest voorkomende wachtwoorden van 2015 tot 2019.

Naarmate de computercapaciteit toeneemt, lijkt de oplossing een grotere complexiteit te zijn. Maar als mensen zijn we niet bedreven in (en ook niet gemotiveerd om) zeer complexe wachtwoorden te onthouden.

We zijn ook voorbij het punt waar we slechts twee of drie systemen gebruiken die een wachtwoord nodig hebben. Het is nu gebruikelijk om toegang te krijgen tot talloze sites, waarbij elke site een wachtwoord vereist (vaak van verschillende lengte en complexiteit). Een recent onderzoek suggereert dat er gemiddeld 70-80 wachtwoorden per persoon.

Het goede nieuws is dat er tools zijn om deze problemen aan te pakken. De meeste computers ondersteunen nu wachtwoordopslag in het besturingssysteem of de webbrowser, meestal met de optie om opgeslagen informatie over meerdere apparaten te delen.

Voorbeelden zijn onder meer Apple's iCloud Keychain en de mogelijkheid om wachtwoorden op te slaan in Internet Explorer, Chrome en Firefox (hoewel minder betrouwbaar).

Wachtwoordmanagers zoals KeePassXC kan gebruikers helpen lange, complexe wachtwoorden te genereren en deze op een veilige locatie op te slaan voor wanneer ze nodig zijn.

Hoewel deze locatie nog steeds moet worden beschermd (meestal met een lang "hoofdwachtwoord"), kunt u met een wachtwoordbeheerder een uniek, complex wachtwoord hebben voor elke website die u bezoekt.

Dit zal niet voorkomen dat een wachtwoord wordt gestolen van een kwetsbare website. Maar als het wordt gestolen, hoeft u zich geen zorgen te maken over het wijzigen van hetzelfde wachtwoord op al uw andere sites.

Er zitten natuurlijk ook kwetsbaarheden in deze oplossingen, maar misschien is dat een verhaal voor een andere dag.

Over de auteurs

Paul Haskell-Dowland, Associate Dean (computers en beveiliging), Edith Cowan University en Brianna O'Shea, docent ethisch hacken en verdedigen, Edith Cowan University

Dit artikel is opnieuw gepubliceerd vanaf The Conversation onder een Creative Commons-licentie. Lees de originele artikel.