Als er één ding is dat mensen associëren met moderne technologie, dan zijn het wachtwoorden. Ze zijn overal en de meesten van ons gebruiken ze elke dag voor tientallen dingen. Toch zijn de meeste mensen schrikbarend onverschillig over hun wachtwoordbeveiliging. De meesten van ons kennen waarschijnlijk wel iemand die hetzelfde wachtwoord gebruikt alles, van hun computer en e-mail naar hun Facebook- en bankrekeningen – en dat wachtwoord kan net zo voor de hand liggend zijn als hun verjaardag of de naam van de straat waar ze zijn opgegroeid. En we kennen waarschijnlijk ook iemand die een notitie op de zijkant van zijn monitor heeft met het opschrift 'Wachtwoorden' (in rood, dubbel onderstreept) met een lijst van alles, van Twitter tot Netflix, gewoon voor iedereen toegankelijk lezen.
Deze praktijken klinken misschien als iets van de generatie van onze grootouders, maar dat is niet helemaal waar: vorige week keek ik naar een volwaardig lid van Generatie D dat via zijn notebook probeert over te schakelen van een Samsung Galaxy S (eh, Fascinate) naar een HTC Rezound computer. Hoe verplaatste hij al zijn wachtwoorden? Hij had een stukje papier in zijn portemonnee met daarop ‘al zijn wachtwoorden’ – en zo
alle hij bedoelde drie. Eén voor e-mail en sociale netwerken, één voor de e-mail van zijn oudtante (“Ik controleer het voor haar”) en een andere voor al het andere. Over zijn schouder kijkend waren het alle drie alledaagse woorden: mofdle,mompelaar, En Lillian. Raad eens welke van zijn tante was?Aanbevolen video's
Gelukkig zijn er eenvoudige manieren om wachtwoorden zowel moeilijk te raden als gemakkelijk te onthouden te maken. Helaas, de technologie-industrie staat het gebruik ervan soms in de weg. Hier volgt een overzicht van veelvoorkomende zwakke punten in wachtwoorden en enkele manieren waarop u uw wachtwoorden en uw online veiligheid kunt verbeteren.
Onduidelijkheid versus complexiteit
Een algemene waarheid over wachtwoorden is dat ze dat ook zouden moeten doen nooit gemakkelijk te raden zijn. De meeste technisch onderlegde mensen zijn het erover eens dat niemand details over zichzelf als wachtwoord mag gebruiken: dat geldt ook voor verjaardagen, adressen en namen van vrienden en familie (inclusief ouders, broers en zussen, echtgenoten, kinderen en zelfs huisdieren). Op dezelfde manier, wachtwoord maakt een buitengewoon slecht wachtwoord, net als alle andere veelgebruikte wegwerpwachtwoorden.
Dit groenblijvende advies wordt vaak geïnterpreteerd als een teken dat wachtwoorden dat ook zouden moeten zijn obscuur, of een term waarvan niemand zou denken dat je die zou kiezen als ze een miljoen jaar de tijd hadden. Ja, duister kan werken – en het is verdomd beter dan een voor de hand liggend wachtwoord kiezen. Een obscuur wachtwoord beschermt je echter alleen tegen mensen die iets over je weten. De kans is groot dat de meeste mensen proberen uw wachtwoorden te kraken niet Ken jou.
Het meeste kraken van wachtwoorden gebeurt niet zoals het wordt afgebeeld in films, waar Our Hero (of The Villain) zit achter een toetsenbord, probeert een paar zinnetjes, wrijft over zijn kin en bespioneert vervolgens een kinderfoto de balie. Aha! Typ het magische woord en presto, veiligheid omzeild. In de echte wereld is het overgrote deel van het kraken van wachtwoorden geautomatiseerd, letterlijk met computers elk woord in het woordenboek (en nog wat) naar een systeem gooien in de hoop het tegen te komen juiste term. Deze aanpak kan werken omdat computers wachtwoorden veel sneller kunnen proberen dan mensen ze kunnen typen, en ze 24 uur per dag, zeven dagen per week kunnen werken, zonder toiletpauzes. Geautomatiseerde wachtwoordkrakers weten niets over de gebruikers die ze proberen te compromitteren: het is een brute-force-aanpak.
Het blijkt dus dat de sleutel tot een sterk wachtwoord niet de sleutel is onduidelijkheid maar het is complexiteit - dingen die ervoor zorgen dat het minder waarschijnlijk wordt geraden door een geautomatiseerde wachtwoordkraker. Het maken van een goed complex wachtwoord betekent echter dat u iets weet over hoe wachtwoorden kunnen worden verbroken.
Wachtwoorden breken
In zeer algemene termen hebben wachtwoordkrakers doorgaans twee benaderingen. Eén daarvan is om letterlijk een vooraf samengestelde lijst met mogelijke wachtwoorden uit te proberen. Deze beginnen meestal met veelgebruikte wachtwoorden (zoals wachtwoord of qwerty) en werk af naar minder gebruikelijke termen, en gebruik uiteindelijk een lijst met woorden die is samengesteld uit een online woordenboek en andere bronnen. Met deze aanpak is de kans groter dat wachtwoorden worden gevonden die geldige woorden zijn of varianten daarop, zelfs als ze onduidelijk zijn.
Een andere aanpak voor het kraken van wachtwoorden is het uitproberen van geldige reeksen letters, cijfers en symbolen, ongeacht hun betekenis. Een wachtwoordkraker die deze aanpak gebruikt, zou kunnen beginnen met aaaaaaaa voor een wachtwoord van acht tekens, probeer het dan aaaaaab Dan aaaaaac enzovoort in het alfabet, door combinaties van hoofdletters en kleine letters, en het toevoegen van cijfers en symbolen. Bij deze aanpak is de kans groter dat wachtwoorden worden gevonden die ‘machinevriendelijk’ zijn of willekeurig worden gegenereerd. Een toegangscode zoals 4De78Hf1 is niet moeilijker om op deze manier te vinden dan tiener zou zijn.
Dus, wat is de kans dat een wachtwoord wordt geraden? Bij de meeste systemen kunnen gebruikers tegenwoordig wachtwoorden maken met letters (hoofdletters en kleine letters), cijfers en een selectie van symbolen. Toegestane symbolen variëren vaak per systeem (sommige staan bijna alles toe, andere slechts een handvol), maar laten we het voor onze doeleinden even doen neem aan dat dit betekent dat elk teken in een wachtwoord uit ongeveer 80 waarden kan bestaan: twee alfabetten van elk 26 letters, tien cijfers en 18 symbolen. (In theorie zouden er voor elk teken minimaal 127 waarden beschikbaar moeten zijn, maar in de praktijk is dit een kleiner aantal.)
Als we puur brute force gebruiken, betekent dit dat er maximaal 80 keer geraden hoeft te worden om willekeurig een wachtwoord van één teken te vinden. Een wachtwoord van vier tekens kan ruim 40 miljoen keer raden (80 × 80 × 80 × 80 = 40.960.000) en een wachtwoord van acht tekens kan meer dan 1,6 biljard keer raden (1.677.721.600.000.000).
Als een wachtwoordkraker 1.000 keer per seconde zou kunnen raden, zou het ongeveer een maand nodig hebben om alle combinaties van een wachtwoord van vier tekens uit te voeren, en meer dan 53.000 jaar om alle combinaties van een wachtwoord van 8 tekens uit te voeren. Dat lijkt behoorlijk veilig, toch?
Nou niet echt. Puur statistisch gezien heeft een cracker een kans van 50/50 om het wachtwoord te vinden half die tijd. Nog verontrustender is dat de mensen die wachtwoordcrackers maken andere manieren hebben om hun kansen te verbeteren. Onthoud hoe wachtwoord was een van de slechtste wachtwoorden om te gebruiken? Raad eens wat ook een heel slecht wachtwoord is? Wachtwoord0rd, een cijfer nul vervangen door een letter O. Terwijl wachtwoordkrakers hun gewone woorden uit een woordenboek halen, proberen ze ook veel voorkomende varianten daarvan woorden, waarbij nullen worden vervangen door O's, @-tekens en 4's voor A's, 3's voor E's, 1's en !'s voor I's, 7's voor T's, 5's voor S's, en spoedig. Op dezelfde manier, 0qww294e is een verschrikkelijk wachtwoord – dat is gewoon wachtwoord één rij omhoog geschoven op een standaard Engels toetsenbord. Deze technieken spelen in op de voorkeur van gebruikers voor gemakkelijk te onthouden wachtwoorden. Helaas maken mensen hun wachtwoorden meestal onduidelijker, maar niet veel veiliger, door een of twee tekens te vervangen (of te kapitaliseren) in een gemakkelijk te onthouden term. Typische, door de gebruiker geselecteerde wachtwoorden van acht tekens met gemengde hoofdletters, cijfers en symbolen hebben meestal slechts ongeveer 30 bits entropie, of iets meer dan een miljard mogelijke combinaties. Waarom? Omdat de lijst met termen waarop mensen hun wachtwoorden baseren veel kleiner is dan het totaal aan mogelijke combinaties van letters, cijfers en symbolen.
Hoe snel kunnen wachtwoorden worden gekraakt? Het lijkt misschien onmogelijk om 1000 wachtwoorden per seconde uit te proberen. De meeste diensten hebben immers de neiging ons buiten te sluiten van onze eigen accounts als we typ een wachtwoord drie of vier keer verkeerd, waardoor het wachtwoord vaak opnieuw wordt ingesteld en we beveiligingsvragen moeten beantwoorden om een nieuw wachtwoord te maken een. Deze ‘gateway’-technieken Doen verbeteren de accountbeveiliging en zijn overigens ook een geweldige, verblindend gemakkelijke manier om mensen te irriteren. (Ik kan je niet vertellen hoe vaak ik door wachtwoordaanvallen de toegang tot mijn iTunes-account heb verloren, maar het zijn er waarschijnlijk meer dan honderd.)
Aanvallers die wachtwoorden willen kraken, kloppen echter niet aan bij de voordeur van een dienst en proberen (letterlijk) miljoenen keren in te loggen op hetzelfde account. Ze gebruiken ofwel minder openbare authenticatiemethoden die niet onderhevig zijn aan uitsluitingen (zoals een privé-API voor partners of apps), waardoor ze hun aanvallen op een breed scala aan accounts om uitsluitingsperioden te voorkomen, of (in het beste geval) technieken voor het kraken van wachtwoorden toe te passen op gestolen wachtwoorden gegevens. De meeste systemen coderen de wachtwoordgegevens die ze opslaan, maar die gecodeerde bestanden zijn slechts zo veilig als het systeem zelf. Als aanvallers het gecodeerde wachtwoordbestand in handen kunnen krijgen (via een beveiligingslek, gecompromitteerd machine, of social engineering, om te beginnen) kunnen ze het zeer snel aanvallen als het eenmaal op zichzelf staat systemen. Dat is de reden waarom verhalen over aanvallers die accountinformatie verkrijgen (zoals Stratfor, Epsilon, Sony, En Zappos) zijn verontrustend. Zodra de gecodeerde gegevens zijn losgewrikt, kunnen aanvallers veel krachtigere tools gebruiken om deze open te breken.
In de echte wereld betekent dit dat het aantal van 1.000 wachtwoorden per seconde uiterst conservatief is. Typische desktopcomputerhardware kan tegenwoordig worden getest miljoenen van wachtwoorden per seconde tegen gangbare encryptietechnologieën. Op dezelfde manier zijn er nu tools voor het kraken van wachtwoorden die gebruik maken van grafische processors, en criminele botnet-operators houden zich ook bezig met het kraken van wachtwoorden. Ze kunnen de werklast over duizenden computers verdelen. Combineer deze brute kracht met geavanceerde heuristieken (zoals het uitproberen van varianten met cijfers en letters). gewone woorden) en het is niet ongebruikelijk om een typisch gebruikerswachtwoord van acht tekens in minder dan een half uur te kraken uur.
Onszelf in de voet schieten
We hebben hierboven opgemerkt hoe een wachtwoord van acht tekens, met hoofdletters, kleine letters, cijfers en symbolen, ruimschoots meer dan a kan bevatten biljoen mogelijke combinaties, maar de meeste wachtwoorden van acht tekens die tegenwoordig worden gebruikt, vallen binnen een pool van slechts ongeveer een miljard combinaties. Dat komt omdat mensen geen machines zijn. Waar een computer ook tevreden is om te gebruiken schildpad of J&4nS0\2 Raad eens welk wachtwoord gemakkelijker te onthouden is voor een mens? Raad eens welke veiliger is.
Sommige systemen implementeren wachtwoordvereisten die bedoeld zijn om ervoor te zorgen dat gebruikers geen gemakkelijk te kraken wachtwoorden gebruiken. Een gebruikelijke aanpak is om te eisen dat gebruikerswachtwoorden ten minste één hoofdletter, één cijfer en één symbool bevatten en ten minste acht tekens lang zijn. (Sommige systemen leggen geen eisen op, maar bieden een maatstaf voor de ‘wachtwoordsterkte’ als maatstaf voor hoe effectief een wachtwoord denkt te zijn. be.) Sommige systemen vereisen ook dat gebruikers hun wachtwoorden zo nu en dan wijzigen (bijvoorbeeld elke 30 of 45 dagen) en voorkomen dat ze opnieuw gebruiken wachtwoorden.
Dit soort eisen Doen verhogen de veiligheid van wachtwoorden, maar maken ze ook veel moeilijker voor mensen om te onthouden. Dat betekent dat een aanzienlijk deel van de gebruikers onmiddellijk manieren zal bedenken om de beveiliging van het systeem voor hun eigen gemak te ondermijnen. Zeker, sommige mensen kunnen omgaan met wachtwoorden zoals 9.3nDs(# maar veel andere mensen zullen reageren met plakbriefjes vol wachtwoorden op de zijkanten van monitoren, aantekeningen in hun portemonnees, of een Microsoft Word-document op hun bureaublad met het handige label 'Wachtwoorden', zodat ze kunnen kopiëren en plakken wanneer nodig. Vereisten voor het opstellen van wachtwoorden hebben ook de neiging de productiviteit te schaden en de ondersteuningskosten te verhogen (zowel voor werknemers als voor bedrijven). klanten), omdat meer mensen hun wachtwoord zullen vergeten of geen toegang meer kunnen krijgen tot hun accounts, waardoor handmatige handelingen nodig zijn interventie.
Complexe wachtwoorden maken
De Heilige Graal van de wachtwoorden lijkt dan een wachtwoord te zijn complex genoeg dat het onpraktisch is om te kraken met behulp van geautomatiseerde technieken, maar toch gemakkelijk genoeg om te onthouden dat gebruikers de veiligheid niet in gevaar brengen door ze op een onveilige manier op te slaan of te beheren.
Hier volgen enkele tips voor het maken van complexe, gemakkelijk te onthouden wachtwoorden:
- Gebruik lange wachtwoorden. Als een wachtwoord van acht tekens 1,6 biljard mogelijke combinaties kan hebben, stel je dan eens voor hoeveel combinaties een wachtwoord van 16 tekens kan hebben? (Ongeveer 2,8 nonillion, of 2,830.) Maar misschien nog belangrijker is dat de reeks waarden voor een wachtwoord van 16 tekens gebruik maakt van algemene termen en Het aantal variaties bedraagt iets minder dan 1,2 quintiljoen, terwijl het iets meer dan een miljard was met acht tekens wachtwoord. Het gebruik van langere wachtwoorden is de gemakkelijkste manier om wachtwoorden complexer en veiliger te maken.
- Gebruik gecombineerde woorden. Hoe maak je gemakkelijk te onthouden lange wachtwoorden? Een veelgebruikte techniek is het gebruik van een reeks van drie tot vijf eenvoudige, niet gerelateerd voorwaarden. Deze zijn over het algemeen net zo gemakkelijk te onthouden als pincodes; cognitief hebben mensen de neiging om hele woorden als afzonderlijke eenheden te onthouden. Deze wachtwoorden kunnen echter zeer complex zijn, althans vanuit het oogpunt van het kraken van wachtwoorden. En deze wachtwoorden zijn eenvoudig te maken door gewoon rond te kijken of een boek naar een willekeurige pagina te bladeren. Als ik naar buiten kijk, zie ik een speelgoedkikker, een auto en het raam van iemands kitchenette. Nieuw paswoord: KikkerWieldopKast – dat zijn 18 tekens, maar slechts drie woorden om te onthouden. Goed kijken: RunnerCameraGlueString — vier korte woorden, 22 tekens. Ik heb alleen hoofdletters gebruikt om woorden te helpen uitbreken. Het toevoegen van meer tekens of vervangingen kan de complexiteit vergroten. Zorg er wel voor dat het niet zo complex wordt dat u ten prooi valt aan de zwakke punten van lastige wachtwoorden.
- Gebruik zinnen of songteksten. Een andere manier om lange wachtwoorden te maken is door delen van zinsdelen of songteksten te gebruiken. Wat songteksten betreft, zijn relatief gewone liedjes misschien beter dan liedjes die bijzonder belangrijk voor je zijn: nogmaals, dat wil je niet mensen die je goed kennen, om je wachtwoorden te kunnen raden, alleen maar omdat je een grote fan bent van Michael Bolton (of niet). Voorbeelden van wachtwoorden gemaakt van fasen of songteksten kunnen zijn Jij bent NeeJackKennedy (19 tekens), iShotaManinReno (15 tekens), impeepinenimkruipin (20 tekens).
- Gebruik geheugensteuntjes. Het nadeel van lange wachtwoorden is dat ze lastig te typen kunnen zijn, vooral op een mobiel apparaat. Een andere truc die sommige mensen handig vinden voor het genereren van complexe, kortere wachtwoorden is het gebruik van het eerste teken van elk woord in een zin of tekst. ‘Hoeveel wegen moet een mens bewandelen’ zou kunnen worden HmrmamwD– slechts acht tekens, maar relatief complex vanuit het oogpunt van een programma voor het kraken van wachtwoorden. Op dezelfde manier zou ‘Schud het, schud het als een polaroidfoto’ kunnen worden SiSiLapp - misschien niet geweldig, maar beter dan schildpad. Deze truc kan ook helpen bij het genereren van goede wachtwoorden voor systemen die nog steeds een limiet hebben voor hoe lang wachtwoorden mogen zijn.
Deze richtlijnen helpen u doorgaans bij het bedenken van gemakkelijk te onthouden, complexe wachtwoorden. Als het gaat om wachtwoordsystemen met samenstellingsvereisten (wat betekent dat ze hoofdletters en kleine letters verwachten), cijfers of symbolen), zul je nog steeds funky wendingen aan wachtwoorden moeten verzinnen om deze te vervullen vereisten. Onthoud dat u met langere wachtwoorden uw vervangingen en wijzigingen op voor de hand liggende plaatsen kunt aanbrengen: Meestal zijn deze lange wachtwoorden gemakkelijker te onthouden, zelfs met vereisten, dan korte, onzin wachtwoorden.
Nog een paar andere tips
Andere zaken waar u aan moet denken bij het kiezen van uw wachtwoorden:
- Gebruik afzonderlijke wachtwoorden voor afzonderlijke services. Gebruik uw wachtwoord voor sociale netwerken niet voor online bankieren. Als een wachtwoord voor één dienst wordt gecompromitteerd, moeten de andere veilig zijn.
- Kies belangrijke wachtwoorden zorgvuldig. Single sign-in-systemen kunnen enorm handig zijn, maar creëren ook één enkel storingspunt voor meerdere services. Voorbeelden hiervan zijn wachtwoorden voor accounts bij Google-, Yahoo- en Microsoft-services, waarbij een enkel gekraakt wachtwoord zou kunnen opleveren iemand toegang tot e-mail, documenten, afbeeldingen, sociale netwerken, blogs, fotobibliotheken, contactlijsten, adresboeken en meer. Op dezelfde manier, met zoveel sites (zelfs Digitale trends) het accepteren van Facebook- en Twitter-logins kan een gecompromitteerd wachtwoord voor sociale netwerken verstrekkende gevolgen hebben.
- Verander uw wachtwoorden. Het is verleidelijk om te denken dat als een van je wachtwoorden wordt verbroken, je het meteen weet: je e-mail zal verdwijnen, je blog zal verdwijnen een reeks lulz-afbeeldingen worden, uw Amazon-cadeaulijst kan gevuld zijn met gênante opties, uw PayPal-account kan worden gewist uit. Dat is echter niet altijd het geval: als iemand uw wachtwoord kraakt, is er mogelijk geen duidelijk teken, althans niet meteen. Door uw wachtwoord regelmatig te wijzigen, zorgt u ervoor dat zelfs als iemand inbreekt, de kans om u te misbruiken beperkt is. De frequentie waarmee u wachtwoorden moet wijzigen, hangt af van de manier waarop u onlinediensten gebruikt. Voor alles wat met echt geld te maken heeft, raad ik gebruikers over het algemeen aan hun wachtwoord elke 30 tot 90 dagen te wijzigen – hoe meer geld, hoe vaker.
Geen enkel wachtwoord is veilig
Misschien wel het belangrijkste om te onthouden over wachtwoorden is dat elk wachtwoord kan worden gekraakt: het is gewoon een kwestie van hoeveel tijd en moeite iemand erin wil steken. De tips hier helpen de kans te verkleinen dat uw wachtwoorden worden uitgeroeid door willekeurige aanvallers en zelfs door vrienden en familie, maar geen enkel wachtwoord is volledig veilig. Als veilige toegang tot een dienst erg belangrijk voor u is, overweeg dan om verschillende vormen van meervoudige authenticatie te onderzoeken om de kans op ongeautoriseerde toegang verder te verkleinen.
Afbeelding tegoed: Shutterstock / jamontwerp / Tatjana Popova / Pedro Miguel Sousa
Aanbevelingen van de redactie
- Deze gênante wachtwoorden zorgden ervoor dat beroemdheden werden gehackt
- Nee, 1Password is niet gehackt – dit is wat er werkelijk is gebeurd
- Een map beveiligen met een wachtwoord in Windows en macOS
- LastPass onthult hoe het werd gehackt – en dat is geen goed nieuws
- Reddit is gehackt. Hier leest u hoe u 2FA instelt om uw account te beschermen
