wachtwoord

42 MILJOEN WACHTWOORDEN GESTOLEN BIJ INBRAAK DATINGSITE

Hackers hebben eerder dit jaar de datingsite Cupid Media gehackt waarbij de gegevens van 42 miljoen klanten zijn gestolen, waaronder namen, e-mailadressen, onversleutelde wachtwoorden en geboortedata, zo beweert IT-journalist Brian Krebs.

De gestolen database werd op dezelfde server aangetroffen waar ook de gestolen data van Adobe, PR Newswire en het National White Collar Crime Center (NW3C) werd ontdekt. Cupid Media directeur Andrew Bolton laat weten dat de gegevens waarschijnlijk in januari van dit jaar zijn buitgemaakt.

Destijds werd er “verdachte activiteit” op het netwerk van de datingsite ontdekt. Aan de hand van de informatie die toen beschikbaar was besloot Cupid Media de wachtwoorden van een bepaalde groep gebruikers te resetten en die vervolgens in te lichten. Krebs merkt op dat er in de media niets over deze melding van de datingsite in januari of de inbraak zelf is te vinden.

Doordat de wachtwoorden niet waren gehasht kon Krebs eenvoudig een Top 10 van meest gebruikte wachtwoorden maken. Dan blijkt dat ‘123456’ met 1,9 miljoen keer het meest werd gebruikt, gevolgd door ‘111111’ met 1,2 miljoen vermeldingen in de database. Opmerkelijk is dat bij een analyse van de database die bij Adobe werd gestolen ook bleek dat 1,9 miljoen gebruikers ‘123456’ als wachtwoord gebruikten.

Advertenties

1,9 MILJOEN ADOBE-GEBRUIKERS HADDEN ‘123456’ ALS WACHTWOORD

Ongeveer 1,9 miljoen Adobe-gebruikers van wie de gegevens onlangs door aanvallers van Adobe’s netwerk werden gestolen, gebruikten als wachtwoord ‘123456’. Dit was de uitslag van een analyse van de versleutelde wachtwoorden. De encryptie voor de opslag van de wachtwoorden was erg zwak.

Hierdoor is het mogelijk om alle versleutelde wachtwoorden te ontsleutelen door één encryptiesleutel te achterhalen. Hoewel deze sleutel nog niet is achterhaald, kunnen onderzoekers aan de hand van de versleutelde weergave van de wachtwoorden wel afleiden welk wachtwoord een deel van de gebruikers gebruikten.

De data wordt met het Triple DES encryptiealgoritme beschermd. Voor de encryptie gebruikt Adobe een mode genaamd ECB. ECB lekt vaak informatie over wachtwoorden, zoals de paar laatste karakters en de lengte van de wachtwoorden. Hiermee konden de onderzoekers van de Stricture Consulting Group een mooi overzicht maken van de 100 meest gebruikte wachtwoorden.

Daaruit blijkt dat 1,9 miljoen accounts het wachtwoord 123456 gebruikten, gevolgd door 123456789, dat 446.000 keer werd aangetroffen. De analyse van de onderzoekers is gebaseerd op 130 miljoen accounts.

BEVEILIGING VAN WACHTWOORDEN MET LOKWACHTWOORDEN

Onderzoekers Ari Juels en Ronald Rivest hebben honeywords bedacht – lokwachtwoorden. Het idee is om per gebruiker meerdere wachtwoorden op te gaan slaan – het echte wachtwoord van de gebruiker en de lokwachtwoorden, alle natuurlijk onder encryptie. Een aparte authenticatieserver moet vervolgens nagaan of een gebruiker het eigen wachtwoord opgeeft bij het inloggen of een lokwachtwoord.

De gebruiker weet niet welke lokwachtwoorden er bestaan en zal altijd met het eigen wachtwoord inloggen. Echter, een hacker die een systeem gekraakt heeft, moet nu kiezen welk wachtwoord uit de lijst te gebruiken om in te loggen als ge gebruiker, echter zonder te weten welk wachtwoord het juiste is. Indien de hacker foutief een lokwachtwoord kiest, wordt er door de authenticatieserver alarm geslagen.

TWITTER ADVISEERT OVER WACHTWOORDEN EN VEILIGHEID

Bob Lord, hoofd Information Security bij Twitter, adviseert Twitter-gebruikers over veiligheidsaspecten verbonden met het wachtwoord:

– Het wachtwoord dient te bestaan uit tenminste 10 tekens, waaronder hoodletters, kleine letters, cijfers en symbolen

– Ditt wachtwoord dient alleen voor Twitter gebruikt te worden

– Kijk uit voor verdachte links

– Wees er zeker van dat je daadwerkelijk op Twitter aanwezig bent als je je wachtwoord ingeeft

– Deel je inloggegevens nooit met derden

– Zorg ervoor dat je voor dat je de meest recente versie van je besturingssysteem en software hebt draaien