Hoe het juiste wachtwoord kiezen
NieuwsWachtwoorden lijken de moderne versie van het middeleeuwse haarhemd te zijn.
Ze lijken te bestaan als irriterend voor het online leven van vandaag. Wilt u toegang tot uw pc? Wachtwoord alstublieft. Wil je een Facebook-status toevoegen? Wachtwoord! U wilt uw bankrekening online controleren? Wachtwoord nodig!
Dus, hoe creëer je goede? Wat zijn in feite goede? Hoe herinner je ze zich? Hoe kunt u de irritatie verminderen?
Om jezelf te authenticeren voor de systemen die je dagelijks gebruikt - om te bewijzen dat je bent wie je zegt dat je bent - gebruik je een wachtwoord. Dit wachtwoord is in theorie sowieso alleen bekend bij uzelf en het systeem dat u probeert te openen - of het nu Facebook, Twitter, uw bank, uw e-mail, uw blog of iets anders is. Het is een geheim om niet aan derden te worden onthuld.
Er is nog een essentieel onderdeel van de authenticatiepuzzel - je gebruikersnaam - maar dit is over het algemeen je e-mailadres of je naam in een aantal samengevoegde vorm en is gemakkelijk te vinden. Uw wachtwoord is daarom de 'open sesame' die alles over u onthult. Hoe kunt u ervoor zorgen dat uw privacy intact blijft en dat het geheim blijft bestaan?
Laten we de vraag vanuit het oogpunt van een black hat-hacker benaderen die voor een bepaald systeem voor u wil nabootsen. Laten we aannemen dat het systeem uw bank is en dat de hacker uw kredietlimiet wil testen om de inzet te verhogen. Hoe kan hij je wachtwoord krijgen??
Kijk en leer
De eerste manier is de eenvoudigste: hij let op je terwijl je je wachtwoord invoert. Op die manier maakt het niet uit hoe sterk of zwak uw wachtwoord is; de hacker ziet alleen dat je het binnengaat. Ik ga ervan uit dat je je bewust bent van iemand die over je schouder waakt, dus de vraag wordt hoe je anders door een hacker 'op je wacht'?
In maart werd RSA (producent van de SecurID-systemen die door bedrijven en het Amerikaanse ministerie van Defensie worden gebruikt) gehackt. Iemand is erin geslaagd toegang te krijgen tot interne systemen en netwerken en geheimen te stelen met betrekking tot de SecurID-tweefactorauthenticatiesleutel.
Een paar maanden later probeerden ze Lockheed Martin te hacken, de defensie-aannemer gebruikte ze. Hoe is dit gedaan? Simpel - het was een phishingaanval.
Een e-mail die pretendeert over de wervingsplannen van 2011 te gaan en een Excel-spreadsheet bevatte, werd naar verschillende low-profile medewerkers van RSA gestuurd, schijnbaar van een wervingsbureau. De spreadsheet bevatte een ingebed Adobe Flash-object dat op zijn beurt een zero-day-kwetsbaarheid bevatte. Nadat de spreadsheet was geopend, installeerde deze malware een achterdeur op de machine, waardoor aanvallers toegang kregen tot de pc en het netwerk.
Op dat moment zijn alle weddenschappen uitgeschakeld. De aanvaller kan een keylogger installeren en precies bijhouden wat u typt op inlogschermen - daar wordt een wachtwoord ingevoerd. Erger nog, ze kunnen uw systeemwachtwoordbestanden downloaden (die worden gebruikt door System Account Manager) en ze vervolgens kraken met een programma zoals Ophcrack, dat technieken zoals regenboogtabellen gebruikt om de gehashte inloggegevens ongedaan te maken. Daar gaan al je wachtwoorden naartoe.
In feite brengt dat laatste scenario het hele onderwerp van krakende wachtwoorden ter sprake. Er zijn twee fasen: het wachtwoord raden met behulp van een algoritme - meestal brute-force door elke permutatie uit te proberen - en dan het wachtwoord valideren tegen het systeem dat gehackt wordt.
Het probleem met het valideren van wachtwoorden is dat veel systemen ingebouwde beveiligingen hebben. Over het algemeen krijg je slechts zoveel pogingen om een wachtwoord te proberen voordat het systeem het account blokkeert dat wordt geprobeerd. Soms zal het systeem ook opzettelijk wachten met het resetten van het inlogscherm met een paar seconden om het uitproberen van veel wachtwoorden uiterst langzaam te maken.
Houd er rekening mee dat een zelfstandig Windows 7-apparaat accountvergrendeling standaard is uitgeschakeld, terwijl een pc in een bedrijfsnetwerk dit mogelijk wel heeft ingeschakeld. Als het systeem is opgenomen in een bestand - bijvoorbeeld als het slachtoffer een wachtwoordbeheerder gebruikt en de hacker het wachtwoordbestand heeft vastgelegd - wordt het werk van de hacker veel gemakkelijker gemaakt.
In wezen zijn de online beveiligingen (beperkt aantal wachtwoordpogingen, vertraging tussen pogingen) niet langer actief en heeft de hacker de vrije hand om zo veel mogelijk wachtwoorden uit te proberen. Dit is waar de kracht van het wachtwoord in het spel komt.
Kracht in cijfers
Wanneer we een nieuwe bron openen waarvoor we een wachtwoord moeten maken, krijgen we over het algemeen enkele richtlijnen voor het maken van een sterk wachtwoord en worden we afgeraden om zwakke wachtwoorden te gebruiken. De richtlijnen bevatten meestal het maken van wachtwoorden die langer zijn dan een bepaald minimum (bijvoorbeeld acht tekens), geen normale woorden gebruiken, hoofd- en kleine letters gebruiken en getallen en leestekens gebruiken.
Met een beetje geluk krijgt u op het scherm waar u uw nieuwe wachtwoord invoert een visueel signaal om te laten zien hoe goed het is, zoals een voortgangsbalk gekleurd van rood (slecht) tot groen (goed). De slechtste systemen zijn degene die uw wachtwoord beperken tot een laag aantal tekens, de tekens beperkt tot alleen kleine letters en cijfers, enzovoort. Dergelijke richtlijnen produceren automatisch zwakke wachtwoorden.
De sterkte van een wachtwoord wordt gemeten door zijn entropie, als een aantal bits. Hoe groter het aantal bits, hoe groter de entropie en hoe moeilijker het is om het wachtwoord te kraken.
Entropie is een concept uit de informatietheorie en is een maatstaf voor de voorspelbaarheid van een bericht. Een reeks gooiingen van een eerlijke munt is bijvoorbeeld onvoorspelbaar (we kunnen niet zeggen wat er hierna komt) en heeft dus maximale entropie. Tekst in het Engels - dit artikel bijvoorbeeld - is redelijk voorspelbaar, omdat we kunnen oordelen over wat er gaat komen. De letter E verschijnt veel vaker dan Q, als er een Q is, is het waarschijnlijk dat het volgende teken U is, enzovoort.
Naar schatting heeft Engelse tekst een entropie van tussen één en 1,5 bits per (8-bits) teken. In een andere zin is entropie een maat voor hoe samendrukbaar een bericht is - hoeveel pluis we kunnen weggooien bij het comprimeren van een bericht en toch in staat zijn om het originele bericht in een oogwenk opnieuw samen te stellen. Als u wilt, bevat het gecomprimeerde bericht alleen de informatie-inhoud van het bericht.
We hebben allemaal een tekstbestand gecomprimeerd in een zipbestand om een compressie van 70-80 procent of meer te krijgen; dat is slechts een uitdrukking van de entropie van de tekst.