Verander je Wachtwoorden Dag

Article by Wikash Bharatsingh

23/11/2020

Wat is het meestgebruikte wachtwoord van 2020?

Er is de afgelopen jaren steeds meer aandacht gekomen voor cybersecurity en gerelateerde thema’s. Maar heeft de bewustwording ook gezorgd voor betere beveiliging? Om antwoord te geven op deze vraag heeft Competa IT data opgevraagd bij Scattered Secrets, een website waar je kunt nagaan of je wachtwoord ooit gelekt en gekraakt is. Deze data (toegespitst op Nederland) is vervolgens geanalyseerd. De belangrijkste bevindingen worden op deze pagina besproken. Ook geven de cybersecurity-experts achter Scattered Secrets (Jeroen van Beek en Rickey Gevers) tips en adviezen voor betere wachtwoordbeveiliging en kraakpreventie.

Meer gelekte en gekraakte wachtwoorden van .nl-adressen

Momenteel staan er 4.577.932.965 (4.58 miljard) gekraakte wachtwoorden live op Scattered Secrets, met nog een grote update op komst dit jaar. Het is moeilijk te zeggen hoeveel hiervan ‘Nederlands’ zijn, want aan bijvoorbeeld een Gmail- of Hotmail-adres is niet te zien waar de eigenaar vandaan komt. Als er gefilterd wordt op .nl-adressen dan staan er 8.884.720 (8.88 miljoen) wachtwoorden in de database.

Ten opzichte van eind vorig jaar, toen er 8.31 miljoen wachtwoorden van .nl-adressen in de database stonden, is het aantal gekraakte ‘Nederlandse’ wachtwoorden toegenomen met zo’n 7 procent.

Meestgebruikte wachtwoorden

De data laat zien dat de top 10 meestgebruikte wachtwoorden (nog steeds) uit relatief zwakke combinaties bestaat. Op volgorde van 1 tot 10: ‘123456’, ‘qwerty’, ‘123456789’, ‘welkom’, ‘12345’, ‘wachtwoord’, ‘welkom01’, ‘password’, ‘12345678’ en ‘1234’. Het meestgebruikte wachtwoord (123456) staat al jaren bovenaan het lijstje. Niet alleen in Nederland, maar ook in andere landen.

In onderstaande afbeelding is de top 50 gebruikte wachtwoorden in te zien van .nl-adressen, van meest naar minst vaak voorkomende.

Datalekken en gekraakte wachtwoorden

Wat zijn de oorzaken van datalekken eigenlijk? In de beleving van Jeroen en Rickey zijn het vooral vier vaak voorkomende situaties.

  • 1. De software van de site is niet goed bijgewerkt waardoor bekende technische fouten misbruikt kunnen worden.
  • 2. Software van de site bevat denkfouten (logische fouten) die uitgebuit kunnen worden.
  • 3. Slechte of onbeveiligde omgevingen die (vaak) per ongeluk aan het internet gehangen worden.
  • 4. Medewerkers van een organisatie die op phishinglinks klikken waarna aanvallers toegang krijgen tot een omgeving vanaf een intern systeem.

Als er door één van bovenstaande manieren een datalek ontstaat, wordt de muur naar wachtwoorden voor hackers opengebroken. Dit stelt hen in de positie (makkelijker) wachtwoorden te kraken.

‘’Een site lekt linksom of rechtsom gebruikersdata en gehashte (versleutelde) wachtwoorden. Hoe iemand wachtwoorden kraakt: met krachtige systemen probeert men eerst of voor de hand liggende wachtwoorden gebruikt zijn. Dit soort wachtwoorden kun je bijvoorbeeld halen uit de top 50 (hierboven).’’

‘’Vervolgens checkt men of woorden uit het woordenboek gebruikt zijn, of varianten daarvan (bijv. een woord + 1, 2 of 123 erachter). Tot slot kunnen ook alle mogelijke opties tot een bepaalde lengte gecheckt worden ('brute force'-aanval). Dat is wat cybercriminelen doen, en dat is ook wat wij doen maar dan op industriële schaal. Ons doel is natuurlijk dat wij de data aan de eigenaar ter beschikking stellen zodat die actie kan ondernemen voordat de crimineel (online) langskomt.’’

Betere wachtwoordbeveiliging door websites

Volgens Gevers en Van Beek doen websites het wel beter dan een paar jaar geleden. ‘’We zien wel dat er steeds meer sites zijn die hun wachtwoorden beter beveiligen, door gebruik te maken van sterkere, zogenoemde wachtwoord hashes. Vroeger zagen we veel MD5 en SHA-1, de laatste ongeveer 2 jaar veel meer bcrypt. Met MD5 kun je miljarden mogelijke wachtwoorden per seconde proberen, waardoor ook relatief moeilijke wachtwoorden prima te kraken zijn. Voor bijvoorbeeld bcrypt in de vorm zoals we die nu zien kom je met diezelfde systemen niet veel verder dan duizenden pogingen per seconde, een factor miljoen keer trager. Daarmee zijn ook zwakke(re) wachtwoorden nog veilig voor de meeste aanvallers. Wij hebben om die reden zelf ook geïnvesteerd in speciale hardware om die snelheid toch weer op te kunnen voeren.’’

Geen positieve trends

Ondanks betere beveiliging en meer aandacht voor het onderwerp ziet het tweetal achter Scattered Secrets geen positieve trend in het beveiligingsgedrag van Nederlanders; ‘’De bulk van data die wij zien bevat heel veel matige wachtwoorden die we snel kunnen kraken.’’ Hoe het dan wel moet? Het advies is om te allen tijde een uniek, lang en onvoorspelbaar wachtwoord te gebruiken. ‘’Uniek betekent: nooit tweemaal hetzelfde wachtwoord gebruiken. Lang: 10 karakters of meer. Onvoorspelbaar: niet een systeem gebruiken dat een aanvaller kan raden, zoals als onderdeel van het wachtwoord gebruikmaken van een jaartal, kleur, naam van de website, et cetera.’’ Hulp van een wachtwoordmanager is overigens een prima manier om sterke wachtwoorden te creëren en beheren.

Help, mijn wachtwoord is gekraakt

Is je wachtwoord gekraakt? Dan is het zaak om je wachtwoorden zo snel mogelijk te wijzigen op alle plekken waar ze gebruikt zijn is, inclusief plekken waar je varianten van dat wachtwoord hebt gebruikt (password01, password02, password2020, enzovoorts). Is het wachtwoord van één of meer social media accounts gehackt, dan kan het soms lang duren voordat je een oplossing krijgt toegereikt. Onthoud in dat geval: haast werkt altijd tegen je. Dus het beste advies is ook dan: voorkomen is beter dan genezen.

Het is 24 november Verander je Wachtwoorden Dag. ‘’Begin vandaag dus nog met het uitfaseren van hergebruikte en slechte wachtwoorden. Daar kun je later alleen maar plezier van hebben’’, luidt het advies van Gevers en Van Beek.

Scattered Secrets

Op Scattered Secrets kun je checken of je wachtwoord is gekraakt. Dit kun je voor een e-mailadres checken. Wil je meer adressen checken, dan kun je een betaald account aanmaken. Dit kost je nog geen 2 euro per jaar, per e-mailadres. Ook als bedrijf kun je -vanuit preventief- oogpunt gebruik maken van de dienstverlening van Scattered Secrets. Steeds meer consumenten en bedrijven weten het platform beter te vinden.

Credits

Wikash Bharatsingh

Marketing & Communicatie Manager

Wikash is de Marketing & Communicatie Manager van Competa IT.