Overslaan en naar de inhoud gaan

Wachtwoorden in bedrijven van bedroevend niveau

Dat valt af te leiden uit Trustwaves Global Security Report 2015. Eén van de onderdelen daarvan is een analyse van een steekproef uit de wachtwoorden die Trustwave in 2014 tijdens duizenden peneteratietesten bij klanten tegenkwam. Het ging vooral om bedrijfsnetwerken onder regie van Active Direcory, waar minimumeisen voor wachtwoorden kunnen worden ingesteld.
Maatschappij
Shutterstock
Shutterstock

Toch wisten de onderzoekers 51 procent van bijna 500.000 gehashte wachtwoorden binnen een dag te ontcijferen. Om dat ontsleutelingspercentage op te schroeven naar 88 hadden ze 13 dagen extra nodig.

Ook in zakelijke omgevingen circuleren wachtwoorden waarmee men de consument in onbegrip van de risico's kennelijk naar de kroon wil steken. Bijna 1 procent van de aangetroffen wachtwoorden luidde Password1. Alle varianten van Password bij elkaar, al of niet met een 1 en al of niet met @ in plaats van a, kwam Trustwave al op 2 procent. Waarschijnlijk worden die aan nieuwe gebruikers vertrekt of aan gebruikers die hun wachtwoord zijn vergeten, speculeert Trustwave, zonder dat vervolgens wordt afgedwongen dat die gebruikers hun wachtwoord meteen wijzigen.

Geneigd om voor de hand liggend wachtwoord te kiezen

De neiging om voor de hand liggende wachtwoorden te kiezen, ondermijnde ook hier weer de vermeende beschermende werking ervan. 15 procent van de wachtwoorden bleek makkelijk te raden omdat de opsteller ervan een van de 2000 meest voorkomende kindernamen, een van de 1000 meest bekende hondennamen, of een naam van een stad of staat had gebruikt.

Wachtwoorden worden wel iets langer, hoewel 8 tekens met 39 procent nog steeds de meest gebruikelijke lengte is. Nog geen derde van de wachtwoorden evenaarde of overschreed de grens van 10 tekens - die volgens Trustwave anno 2015 als minimum zou moeten gelden.

Herkenbare patronen

Wat de ontcijfering ook helpt is, dat men bij het kiezen van wachtwoorden duidelijk voorkeur heeft voor bepaalde patronen. Bijna 60 procent van de wachtwoorden gebruikte bijvoorbeeld wel hoofdletters, kleine letters en cijfers door elkaar, kennelijk onder dwang van de wachtwoordinstellingen in Active Directory, maar daarbij kiest men bij voorkeur voor de constructie één hoofdletter, enkele kleine letters en dan één of meer cijfers.

Trustwave adviseert bedrijven op grond van deze bevindingen, om wachtwoorden van ten minste 10 tekens verplicht te stellen en hun medewerkers beter te trainen in het kiezen van wachtwoorden. Daarnaast zouden bedrijven moeten overwegen om two-factorauthenticatie in te voeren.



Gerelateerde artikelen
Gerelateerde artikelen

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in