Crack this: Hoe sterke wachtwoorden te kiezen en ze zo te houden

gebruikersnaam en wachtwoord shutterstock

Als er één ding is dat mensen associëren met moderne technologie, dan zijn het wachtwoorden. Ze zijn overal en de meesten van ons gebruiken ze elke dag voor tientallen dingen. Toch zijn de meeste mensen schokkend onverschillig over hun wachtwoordbeveiliging. De meesten van ons kennen waarschijnlijk wel iemand die hetzelfde wachtwoord voor gebruikt alles, van hun computer en e-mail naar hun Facebook en bankrekeningen - en dat wachtwoord kan zoiets voor de hand liggend zijn als hun verjaardag of de naam van de straat waar ze zijn opgegroeid. En we kennen waarschijnlijk ook iemand die een plakbriefje op de zijkant van zijn monitor heeft met het opschrift "Wachtwoorden" (in rood, dubbel onderstreept) met een lijst van alles, van Twitter tot Netflix, gewoon voor iedereen toegankelijk lezen.

Deze praktijken klinken misschien als iets van de generatie van onze grootouders, maar dat is niet helemaal waar: vorige week keek ik naar een volwaardig lid van generatie D die via zijn notebook probeert over te stappen van een Samsung Galaxy S (eh, Fascinate) naar een HTC Rezound computer. Hoe verplaatste hij al zijn wachtwoorden? Hij had een stuk papier in zijn portemonnee met "al zijn wachtwoorden" - en door

alle hij bedoelde drie. Een voor e-mail en sociale netwerken, een voor de e-mail van zijn oudtante ("Ik controleer het voor haar"), en een andere voor al het andere. Over zijn schouder kijkend, waren het alle drie alledaagse woorden: mophandle,mompelaar, En lilian. Raad eens welke van zijn tante was?

Aanbevolen video's

Gelukkig zijn er eenvoudige manieren om wachtwoorden zowel moeilijk te raden als gemakkelijk te onthouden te maken. Helaas, de technologie-industrie staat het gebruik ervan soms in de weg. Hier volgt een overzicht van veelvoorkomende zwakheden in wachtwoorden en enkele manieren waarop u uw wachtwoorden en uw online veiligheid kunt verbeteren.

Obscuriteit versus complexiteit

Een algemene waarheid over wachtwoorden is dat ze dat zouden moeten doen nooit gemakkelijk te raden zijn. De meeste technisch onderlegde mensen zijn het erover eens dat niemand details over zichzelf als wachtwoord mag gebruiken: dat geldt ook voor verjaardagen, adressen en namen van vrienden en familie (inclusief ouders, broers en zussen, echtgenoten, kinderen en zelfs huisdieren). Evenzo, wachtwoord maakt een bijzonder slecht wachtwoord - net als alle andere veelgebruikte wegwerpwachtwoorden.

Dit groenblijvende advies wordt vaak geïnterpreteerd als dat wachtwoorden zouden moeten zijn obscuur, of een term waarvan niemand zou denken dat je die zou kiezen als ze een miljoen jaar de tijd hadden. Ja, obscuur kan werken - en het is verdomd veel beter dan een voor de hand liggend wachtwoord kiezen. Een obscuur wachtwoord beschermt u echter alleen tegen mensen die iets over u weten. De kans is groot dat de meeste mensen uw wachtwoorden proberen te kraken niet doen Ken jou.

Het meeste kraken van wachtwoorden gebeurt niet zoals het wordt afgebeeld in films, waar Our Hero (of The Villain) zit achter een toetsenbord, probeert een paar zinnetjes, wrijft over zijn kin en bespiedt dan een foto uit zijn kindertijd de balie. Aha! Typ het toverwoord en presto, beveiliging omzeild. In de echte wereld is de overgrote meerderheid van het kraken van wachtwoorden geautomatiseerd, met computers letterlijk elk woord in het woordenboek (en nog wat) naar een systeem gooien in de hoop het te vinden juiste term. Deze aanpak kan werken omdat computers wachtwoorden veel sneller kunnen proberen dan mensen ze kunnen typen, en ze kunnen 24 uur per dag, zeven dagen per week draaien, zonder pauzes in de badkamer. Geautomatiseerde wachtwoordcrackers weten niets over de gebruikers die ze proberen te compromitteren: het is een brute-force-aanpak.

Dus het blijkt dat een sleutel tot een sterk wachtwoord niet van hem is onduidelijkheid maar het is complexiteit — dingen waardoor het minder snel wordt geraden door een geautomatiseerde wachtwoordkraker. Het maken van een goed complex wachtwoord betekent echter een beetje weten hoe wachtwoorden worden verbroken.

wachtwoordsleutel voor shutterstockWachtwoorden breken

Over het algemeen hebben wachtwoordcrackers twee benaderingen. Een daarvan is om letterlijk een vooraf samengestelde lijst met mogelijke wachtwoorden te proberen. Deze beginnen meestal met veel voorkomende wachtwoorden (zoals wachtwoord of qwerty) en werk je een weg naar minder gebruikelijke termen, en gebruik uiteindelijk een lijst met woorden die is samengesteld uit een online woordenboek en andere bronnen. Met deze aanpak is de kans groter dat wachtwoorden worden gevonden die geldige woorden of varianten daarop zijn, zelfs als ze onduidelijk zijn.

Een andere manier om wachtwoorden te kraken is om geldige reeksen letters, cijfers en symbolen te proberen, ongeacht hun betekenis. Een wachtwoordkraker die deze aanpak gebruikt, zou kunnen beginnen met aaaaaa voor een wachtwoord van acht tekens en probeer het dan aaaaaab Dan aaaaaac en zo verder in het alfabet, door combinaties van hoofdletters en kleine letters, en het toevoegen van cijfers en symbolen. Met deze aanpak is de kans groter dat wachtwoorden worden gevonden die "machinevriendelijk" zijn of willekeurig worden gegenereerd. Een toegangscode zoals 4De78Hf1 is niet moeilijker om op deze manier te vinden dan tiener zou zijn.

Dus, hoe groot is de kans dat een wachtwoord wordt geraden? Bij de meeste systemen kunnen gebruikers tegenwoordig wachtwoorden maken met behulp van letters (hoofdletters en kleine letters), cijfers en een selectie van symbolen. Toegestane symbolen variëren vaak tussen systemen (sommige staan ​​bijna alles toe, andere staan ​​slechts een handvol toe), maar laten we voor onze doeleinden neem aan dat elk teken in een wachtwoord een van de ongeveer 80 waarden kan zijn - twee alfabetten met elk 26 letters, tien cijfers en 18 symbolen. (In theorie zouden er voor elk teken ten minste 127 waarden beschikbaar moeten zijn, maar in de praktijk is dit een kleiner aantal.)

Als we een puur brute force-benadering gebruiken, betekent dit dat er maximaal 80 keer geraden moet worden om willekeurig een wachtwoord van één teken te achterhalen. Een wachtwoord van vier tekens kan meer dan 40 miljoen keer worden geraden (80 × 80 × 80 × 80 = 40.960.000) en een wachtwoord van acht tekens kan meer dan 1,6 biljoen keer worden geraden (1.677.721.600.000.000).

Als een wachtwoordkraker 1.000 keer per seconde zou kunnen raden, zou het ongeveer een maand nodig hebben om alle combinaties van een wachtwoord van vier tekens uit te voeren, en meer dan 53.000 jaren om alle combinaties van een wachtwoord van 8 tekens uit te voeren. Dat lijkt best veilig, toch?

Nou niet echt. In puur statistische termen heeft een cracker een 50/50 kans om het wachtwoord in te vinden half die tijd. Wat nog verontrustender is, is dat de mensen die wachtwoordkrakers maken, andere manieren hebben om hun kansen te verbeteren. Onthoud hoe wachtwoord was een van de slechtste wachtwoorden om te gebruiken? Raad eens wat ook een heel slecht wachtwoord is? wachtwoord, een cijfer nul vervangen door een letter O. Terwijl wachtwoordkrakers hun veelgebruikte woorden uit een woordenboek halen, proberen ze daar ook veelvoorkomende varianten op uit woorden, vervangen door nullen voor O's, @-tekens en 4's voor A's, 3's voor E's, 1's en !'s voor I's, 7's voor T's 5's voor S's, en spoedig. Evenzo, 0qww294e is een vreselijk wachtwoord - dat is gewoon wachtwoord één rij omhoog geschoven op een standaard Engels toetsenbord. Deze technieken spelen in op de voorkeur van gebruikers voor gemakkelijk te onthouden wachtwoorden. Helaas maken mensen door het vervangen (of hoofdlettergebruik) van een of twee tekens in een gemakkelijk te onthouden term, hun wachtwoorden meestal onduidelijker, maar niet veel veiliger. In feite hebben typische door de gebruiker geselecteerde wachtwoorden van acht tekens met gemengde hoofdletters, cijfers en symbolen meestal slechts ongeveer 30 bits entropie, of iets meer dan een miljard mogelijke combinaties. Waarom? Omdat de lijst met termen waarop mensen hun wachtwoord baseren veel kleiner is dan het totaal aan mogelijke combinaties van letters, cijfers en symbolen.

Hoe snel kunnen wachtwoorden worden gekraakt? Het lijkt misschien onmogelijk om 1000 wachtwoorden per seconde uit te proberen - de meeste diensten hebben immers de neiging om ons uit te sluiten van onze eigen accounts als we een wachtwoord drie of vier keer verkeerd getypt, vaak het wachtwoord opnieuw instellen en ons verplichten beveiligingsvragen te beantwoorden om een ​​nieuw wachtwoord te maken een. Deze "gateway" -technieken Doen accountbeveiliging verbeteren, en zijn trouwens ook een geweldige verblindend gemakkelijke manier om mensen te irriteren. (Ik kan je niet vertellen hoe vaak ik door wachtwoordaanvallen de toegang tot mijn iTunes-account ben ontzegd, maar het zijn er waarschijnlijk meer dan honderd.)

Aanvallers die wachtwoorden willen breken, kloppen echter niet op de voordeur van een dienst en proberen (letterlijk) miljoenen keren in te loggen op hetzelfde account. Ze gebruiken ofwel minder openbare authenticatiemethoden die niet onderhevig zijn aan uitsluitingen (zoals een privé-API voor partners of apps), waardoor hun aanvallen op een breed scala aan accounts om uitsluitingsperioden te voorkomen, of (in het beste geval) technieken voor het kraken van wachtwoorden toepassen op gestolen wachtwoorden gegevens. De meeste systemen versleutelen de wachtwoordgegevens die ze opslaan, maar die versleutelde bestanden zijn slechts zo veilig als het systeem zelf. Als aanvallers het gecodeerde wachtwoordbestand in handen kunnen krijgen (via een beveiligingslek, gecompromitteerd machine of social engineering, om te beginnen) kunnen ze het heel snel aanvallen als het eenmaal op zichzelf staat systemen. Daarom worden verhalen over aanvallers die accountgegevens (zoals Stratfor, Epsilon, Sony, En Zappos) zijn verontrustend. Zodra de versleutelde gegevens zijn losgerukt, kunnen aanvallers veel krachtigere tools gebruiken om deze open te breken.

wachtwoord kraken shutterstock

In de echte wereld betekent dit dat het cijfer van 1.000 wachtwoorden per seconde uiterst conservatief is. Typische desktopcomputerhardware kan tegenwoordig worden getest miljoenen van wachtwoorden per seconde tegen gangbare coderingstechnologieën. Evenzo zijn er nu tools voor het kraken van wachtwoorden die gebruik maken van grafische processors, en criminele botnet-operators zijn ook actief in het kraken van wachtwoorden. Ze kunnen de werklast over duizenden computers verdelen. Combineer deze brute kracht met geavanceerde heuristieken (zoals het uitproberen van getallen-en-lettervarianten op gewone woorden) en het is niet ongebruikelijk om een ​​typisch gebruikerswachtwoord van acht tekens in minder dan een half uur te kraken uur.

Onszelf in de voet schieten

We hebben hierboven opgemerkt hoe een wachtwoord van acht tekens, met hoofdletters, kleine letters, cijfers en symbolen, meer dan a kan hebben quadriljoen mogelijke combinaties, maar de meeste wachtwoorden van acht tekens die tegenwoordig in gebruik zijn, vallen binnen een pool van slechts ongeveer een miljard combinaties. Dat komt omdat mensen geen machines zijn. Waar een computer ook tevreden mee is schildpad of J&4nS0\2 raad eens welk wachtwoord voor een mens gemakkelijker te onthouden is? Raad eens welke veiliger is.

Sommige systemen implementeren wachtwoordvereisten die bedoeld zijn om ervoor te zorgen dat gebruikers geen gemakkelijk te kraken wachtwoorden gebruiken. Een gebruikelijke aanpak is om te eisen dat gebruikerswachtwoorden ten minste één hoofdletter, één cijfer, één symbool bevatten en ten minste acht tekens lang zijn. (Sommige systemen leggen geen vereisten op, maar bieden een graadmeter voor de "wachtwoordsterkte" als maatstaf voor hoe effectief het denkt dat een wachtwoord kan zijn be.) Sommige systemen vereisen ook dat gebruikers hun wachtwoorden om de zoveel tijd wijzigen (bijvoorbeeld elke 30 of 45 dagen) en voorkomen dat ze opnieuw gebruiken wachtwoorden.

Dit soort eisen Doen verhogen de veiligheid van wachtwoorden, maar ze maken de wachtwoorden ook veel moeilijker voor mensen om te onthouden. Dat betekent dat een aanzienlijk deel van de gebruikers onmiddellijk manieren zal bedenken om de beveiliging van het systeem voor hun eigen gemak te ondermijnen. Natuurlijk kunnen sommige mensen omgaan met wachtwoorden zoals 9.3nDs (# maar veel andere mensen zullen reageren met plakbriefjes vol wachtwoorden aan de zijkanten van monitoren, notities in hun portefeuilles, of een Microsoft Word-document op hun bureaublad met het handige label "Wachtwoorden", zodat ze kunnen kopiëren en plakken wanneer nodig. Vereisten voor het maken van wachtwoorden hebben ook de neiging om de productiviteit te schaden en de ondersteuningskosten te verhogen (zowel voor werknemers als voor gebruikers). klanten), aangezien meer mensen hun wachtwoord zullen vergeten of geen toegang meer hebben tot hun accounts, wat handmatig vereist is interventie.

Complexe wachtwoorden maken

De heilige graal van wachtwoorden lijkt dan een wachtwoord te zijn complex genoeg dat het onpraktisch is om met geautomatiseerde technieken te kraken, maar toch gemakkelijk genoeg om te onthouden dat gebruikers de beveiliging niet in gevaar brengen door ze onveilig op te slaan of te beheren.

Hier zijn enkele tips voor het maken van complexe, gemakkelijk te onthouden wachtwoorden:

  • Gebruik lange wachtwoorden. Als een wachtwoord van acht tekens 1,6 biljard mogelijke combinaties kan hebben, stel je dan eens voor hoeveel een wachtwoord van 16 tekens kan hebben? (Ongeveer 2,8 nonillion, of 2,830.) Maar misschien nog belangrijker, de reeks waarden voor een wachtwoord van 16 tekens met behulp van algemene termen en variaties is iets minder dan 1,2 quintillion, waar het iets meer dan een miljard was met een acht-teken wachtwoord. Het gebruik van langere wachtwoorden is de gemakkelijkste manier om wachtwoorden complexer en veiliger te maken.
  • Gebruik gecombineerde woorden. Hoe maak je gemakkelijk te onthouden lange wachtwoorden? Een gebruikelijke techniek is het gebruik van een reeks van drie tot vijf eenvoudige, niet gerelateerd voorwaarden. Deze zijn over het algemeen net zo gemakkelijk te onthouden als pincodes; cognitief hebben mensen de neiging om hele woorden als afzonderlijke eenheden te onthouden. Deze wachtwoorden kunnen echter zeer complex zijn, althans vanuit het oogpunt van het kraken van wachtwoorden. En deze wachtwoorden zijn eenvoudig te maken door gewoon rond te kijken of een boek naar een willekeurige pagina te bladeren. Als ik naar links uit mijn raam kijk, zie ik een speelgoedkikker, een auto en het raam van iemands kitchenette. Nieuw paswoord: Kikker WieldopKast - dat zijn 18 tekens, maar slechts drie woorden om te onthouden. Goed kijkend: RunnerCameraGlueString - vier korte woorden, 22 tekens. Ik heb alleen hoofdletters gebruikt om woorden uit te breken. Het toevoegen van meer tekens of vervangingen kan de complexiteit vergroten - zorg er alleen voor dat u niet zo complex wordt dat u ten prooi valt aan de zwakke punten van lastige wachtwoorden.
  • Gebruik zinnen of songteksten. Een andere manier om lange wachtwoorden te maken, is door delen van zinnen of songteksten te gebruiken. Voor songteksten zijn relatief gewone nummers misschien beter dan degenen die bijzonder belangrijk voor je zijn: nogmaals, je wilt niet mensen die je goed kennen om je wachtwoorden te kunnen raden, alleen maar omdat je een grote fan bent van Michael Bolton (of niet). Voorbeelden van wachtwoorden gemaakt van fasen of songteksten kunnen zijn Jij bent geen JackKennedy (19 tekens), iShotaManinReno (15 tekens), impeepinandimcreepin (20 tekens).
  • Gebruik geheugensteuntjes. Het nadeel van lange wachtwoorden is dat ze moeilijk te typen zijn, vooral op een mobiel apparaat. Een andere truc die sommige mensen handig vinden voor het genereren van complexe kortere wachtwoorden, is het gebruik van het eerste teken van elk woord in een zin of tekst. "Hoeveel wegen moet een mens bewandelen" zou kunnen worden HmrmamwD—slechts acht tekens, maar relatief complex vanuit het oogpunt van een programma om wachtwoorden te kraken. Evenzo zou "Schud het, schud het als een polaroidfoto" kunnen worden SiSiLapp - misschien niet geweldig, maar beter dan schildpad. Deze truc kan ook helpen bij het genereren van goede wachtwoorden voor systemen die nog steeds een limiet hebben voor hoe lang wachtwoorden mogen zijn.

Deze richtlijnen helpen u over het algemeen bij het bedenken van gemakkelijk te onthouden, complexe wachtwoorden. Natuurlijk, als het gaat om wachtwoordsystemen met samenstellingsvereisten (wat betekent dat ze gemengde hoofdletters verwachten, cijfers of symbolen) moet je nog steeds funky wendingen op wachtwoorden bedenken om die te vervullen vereisten. Vergeet niet dat u met langere wachtwoorden uw vervangingen en wijzigingen op voor de hand liggende plaatsen kunt aanbrengen — meestal zijn deze lange wachtwoorden gemakkelijker te onthouden, zelfs met vereisten, dan korte, onzin wachtwoorden.

Een paar andere tips

Andere dingen om over na te denken bij het kiezen van uw wachtwoorden:

  • Gebruik aparte wachtwoorden voor aparte diensten. Gebruik uw wachtwoord voor sociale netwerken niet voor online bankieren. Als een wachtwoord op één service is gecompromitteerd, moeten de andere veilig zijn.
  • Kies belangrijke wachtwoorden zorgvuldig. Single sign-in-systemen kunnen enorm handig zijn, maar creëren ook een single point of failure voor meerdere services. Voorbeelden hiervan zijn wachtwoorden voor accounts bij Google, Yahoo en Microsoft-services, waar een enkel gekraakt wachtwoord zou kunnen geven iemand toegang tot e-mail, documenten, foto's, sociale netwerken, blogs, fotobibliotheken, contactlijsten, adresboeken, en meer. Evenzo, met zoveel sites (zelfs Digitale Trends) het accepteren van Facebook- en Twitter-aanmeldingen, kan een gecompromitteerd wachtwoord voor sociale netwerken verstrekkende gevolgen hebben.
  • Wijzig uw wachtwoorden. Het is verleidelijk om te denken dat als een van je wachtwoorden wordt gekraakt, je het meteen weet: je e-mail zal verdwijnen, je blog zal een set lulz-afbeeldingen worden, je Amazon-cadeaulijst kan gevuld zijn met gênante opties, je PayPal-account kan worden gewist uit. Dat is echter niet altijd het geval: als iemand uw wachtwoord kraakt, is er mogelijk geen duidelijk teken, althans niet meteen. Door uw wachtwoord regelmatig te wijzigen, zorgt u ervoor dat zelfs als iemand inbreekt, hun kans om misbruik van u te maken beperkt is. De frequentie waarmee u wachtwoorden moet wijzigen, is afhankelijk van hoe u online services gebruikt. Voor alles wat met echt geld te maken heeft, raad ik gebruikers over het algemeen aan hun wachtwoord elke 30 tot 90 dagen te wijzigen - hoe meer geld, hoe vaker.

Geen enkel wachtwoord is veilig

Misschien wel het belangrijkste om te onthouden over wachtwoorden is dat elk wachtwoord kan worden gekraakt: Het is gewoon een kwestie van hoeveel tijd en moeite iemand erin wil steken. De tips hier helpen de kans te verkleinen dat uw wachtwoorden worden geroot door willekeurige aanvallers en zelfs door vrienden en familie, maar geen enkel wachtwoord is volledig veilig. Als veilige toegang tot een dienst erg belangrijk voor je is, overweeg dan om verschillende vormen van meervoudige authenticatie te onderzoeken om de kans op ongeautoriseerde toegang verder te verkleinen.

Afbeelding tegoed: Shutterstock / jamontwerp / Tatjana Popova / Pedro Miguel Sousa

Aanbevelingen van de redactie

  • Door deze gênante wachtwoorden werden beroemdheden gehackt
  • Nee, 1Password is niet gehackt - dit is wat er echt is gebeurd
  • Een map met een wachtwoord beveiligen in Windows en macOS
  • LastPass onthult hoe het werd gehackt - en dat is geen goed nieuws
  • Reddit is gehackt. Hier leest u hoe u 2FA instelt om uw account te beschermen