Wachtwoorden in bedrijven van bedroevend niveau
Toch wisten de onderzoekers 51 procent van bijna 500.000 gehashte wachtwoorden binnen een dag te ontcijferen. Om dat ontsleutelingspercentage op te schroeven naar 88 hadden ze 13 dagen extra nodig.
Ook in zakelijke omgevingen circuleren wachtwoorden waarmee men de consument in onbegrip van de risico's kennelijk naar de kroon wil steken. Bijna 1 procent van de aangetroffen wachtwoorden luidde Password1. Alle varianten van Password bij elkaar, al of niet met een 1 en al of niet met @ in plaats van a, kwam Trustwave al op 2 procent. Waarschijnlijk worden die aan nieuwe gebruikers vertrekt of aan gebruikers die hun wachtwoord zijn vergeten, speculeert Trustwave, zonder dat vervolgens wordt afgedwongen dat die gebruikers hun wachtwoord meteen wijzigen.
Geneigd om voor de hand liggend wachtwoord te kiezen
De neiging om voor de hand liggende wachtwoorden te kiezen, ondermijnde ook hier weer de vermeende beschermende werking ervan. 15 procent van de wachtwoorden bleek makkelijk te raden omdat de opsteller ervan een van de 2000 meest voorkomende kindernamen, een van de 1000 meest bekende hondennamen, of een naam van een stad of staat had gebruikt.
Wachtwoorden worden wel iets langer, hoewel 8 tekens met 39 procent nog steeds de meest gebruikelijke lengte is. Nog geen derde van de wachtwoorden evenaarde of overschreed de grens van 10 tekens - die volgens Trustwave anno 2015 als minimum zou moeten gelden.
Herkenbare patronen
Wat de ontcijfering ook helpt is, dat men bij het kiezen van wachtwoorden duidelijk voorkeur heeft voor bepaalde patronen. Bijna 60 procent van de wachtwoorden gebruikte bijvoorbeeld wel hoofdletters, kleine letters en cijfers door elkaar, kennelijk onder dwang van de wachtwoordinstellingen in Active Directory, maar daarbij kiest men bij voorkeur voor de constructie één hoofdletter, enkele kleine letters en dan één of meer cijfers.
Trustwave adviseert bedrijven op grond van deze bevindingen, om wachtwoorden van ten minste 10 tekens verplicht te stellen en hun medewerkers beter te trainen in het kiezen van wachtwoorden. Daarnaast zouden bedrijven moeten overwegen om two-factorauthenticatie in te voeren.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee