De kracht van lengte: het geheim van sterke wachtwoorden

31 mei 2023

Regelmatig vragen we onze medewerkers een blog te schrijven. Deze keer een blog door Derek Stoeckenius, ethical hacker bij Access42.

Access42 vindt regelmatig zwakke wachtwoorden op de netwerken van haar klanten. Wachtwoorden die eenvoudig te raden en te kraken zijn, worden gebruikt voor gebruikersaccounts van het laagste tot het hoogste niveau van rechten. 

Ooit was de minimale lengte van wachtwoorden acht tekens, maar gezien de verbeterde rekenkracht van aanvallers is het noodzakelijk om de minimale lengte van wachtwoorden te verhogen. Wachtwoorden van minder dan 12 tekens kunnen aanzienlijke veiligheidsrisico’s opleveren, omdat ze gemakkelijk kunnen worden gekraakt door vastberaden aanvallers die brute-force aanvallen uitvoeren. Bij brute-force-aanvallen worden systematisch alle combinaties van tekens uitgeprobeerd totdat het juiste wachtwoord is gevonden. Door de vooruitgang in rekenkracht en de beschikbaarheid van tools om wachtwoorden te kraken, zijn kortere wachtwoorden veel kwetsbaarder voor deze aanvallen. Onderstaand figuur laat de meest gebruikte wachtwoorden zien uit 2022, ook hier zien we korte(re) wachtwoorden die gemakkelijk kunnen worden gekraakt.

Een van de meest effectieve manieren om wachtwoorden te verbeteren, is door ze langer te maken. In feite verhoogt elk toegevoegd teken in een wachtwoord het aantal combinaties exponentieel, waardoor het ook exponentieel moeilijker wordt om het wachtwoord te kraken.  

Om wachtwoorden langer te maken, kunnen wachtwoordzinnen worden toegepast. Een wachtwoordzin is een langere reeks woorden of een combinatie van woorden en spaties die een complexer en unieker authenticatiemechanisme vormen. Wachtwoordzinnen bieden een hoger veiligheidsniveau, doordat de mogelijke combinaties aanzienlijk uitgebreid zijn en exponentieel moeilijker te kraken zijn door brute-force of woordenboekaanvallen (dictionary attacks). Bij woordenboekaanvallen wordt geprobeerd het wachtwoord te raden door gebruik te maken van een ingeprogrammeerd woordenboek.
Een voordeel van wachtwoordzinnen is dat deze vaak gemakkelijker te onthouden zijn voor gebruikers en toch moeilijk te raden zijn voor aanvallers. Zo kunnen mensen hun digitale veiligheid verbeteren en hun gevoelige informatie beter beschermen. 

Password managers zijn een andere manier om langere wachtwoorden te gaan gebruiken. Deze tools fungeren als veilige kluizen die alle wachtwoorden versleuteld opslaan en beheren. Met een password manager kunnen sterke, unieke wachtwoorden gegenereerd worden voor alle online accounts zonder dat gebruikers ze zelf hoeven te onthouden. Dit vermindert het risico op hergebruik van wachtwoorden; een van de meest voorkomende beveiligingsproblemen. 

Een langer wachtwoord leidt echter niet altijd tot een sterker wachtwoord. Het wachtwoord “Welcome123!” is een voorbeeld van een zwak wachtwoord van 12 tekens. De zwakte van dit wachtwoord ligt in de raadbaarheid ervan via een woordenboekaanval. 
Door het opleggen van wachtwoordregels kan het instellen van zwakke wachtwoorden voorkomen worden. Zo kan er een check worden uitgevoerd of het wachtwoord niet voorkomt in veelgebruikte woordenboeken voor wachtwoordaanvallen en voorkomen worden dat gebruikers wachtwoorden instellen met hun eigen naam of bedrijfsnaam. Er moet bij het opleggen van wachtwoordregels voor gewaakt worden dat de mogelijkheden voor wachtwoorden dusdanig beperkt worden dat de wachtwoorden juist weer voorspelbaar worden.  

Access42 adviseert om standaard lange complexe wachtwoorden in te stellen binnen uw organisatie. Of door gebruik te maken van wachtwoordloos inloggen of multi-factor authenticatie (deze beveiligingstools hebben niet met het item van dit blog te maken, maar zijn minstens zo effectief). 

Access42 is uw partner in beveiliging en bespreekt graag andere oplossingen om uw afhankelijkheid van op wachtwoorden gebaseerde verificatie te verminderen. Daarnaast kan Access42 andere werkbare oplossingen adviseren om te voorkomen dat aanvallers misbruik maken van zwak wachtwoordbeleid om zo schade aan te richten in uw organisatie.

images-2