InfoNu.nl > Pc en Internet > Tips en tricks > Wachtwoorden zijn niet veilig

Wachtwoorden zijn niet veilig

Wanneer iemand zich aanmeldt op een computersysteem, vindt dit meestal plaats door eerst de naam in te typen en vervolgens het wachtwoord. Op deze manier proberen we te garanderen dat alleen degene die toestemming heeft zich kan aanmelden op een computersysteem of netwerk. Een legitieme vraag die we onszelf kunnen stellen is: biedt deze oplossing wel genoeg zekerheid over de persoon die zich aanmeldt?

Gebruikersauthenticatie

Is het zo dat wanneer iemand een naam en wachtwoord intypt welke bij elkaar horen, we dan honderd procent zeker weten dat die behoren bij de persoon die op dat moment achter het computersysteem zit? Het antwoord is: nee, dat weten we niet zeker.

Er is een aantaal oorzaken waardoor we niet zeker weten dat met het gebruik van een wachtwoord als digitale authenticatievorm, de identiteit van degene die inlogt gewaarborgd is.
Allereerst kan de naam erg makkelijk te raden zijn en vaak staat deze al ingevuld op het moment dat je je als computergebruiker aanmeldt op het systeem. Dan blijft alleen het wachtwoord over als controlemiddel.

Vervolgens kleven er aan het gebruik van een wachtwoord ook een aantal bezwaren:
  • Wachtwoorden zijn te raden.
  • Wachtwoorden zijn vaak genoteerd op rondslingerende briefjes.
  • Wachtwoorden zijn te kraken.

Het eerste punt van bezwaar, wachtwoorden zijn te raden, is een veelvoorkomend probleem. Geboortedata, namen van kinderen of partners zijn populaire wachtwoorden, omdat ze makkelijk te onthouden zijn. Maar daardoor zijn ze ook makkelijk te raden.
Het tweede bezwaar is, dat veel wachtwoorden gewoon terug te vinden zijn op bijvoorbeeld gele briefjes onder het toetsenbord.

Tot slot zijn wachtwoorden te kraken. Dit heeft betrekking op het echte hackerswerk. Er zijn meerdere manieren om de wachtwoordendatabase van bijvoorbeeld een Windows XP machine te kopieren en te kraken. De sterkte van het wachtwoord (waarover later meer) is hierin een bepalende factor.

Wachtwoorden slingeren rond

Een probleem met moeilijke wachtwoorden is dat ze niet te onthouden zijn en mensen ze daarom op gaan schrijven. Het is vaak moeilijk om een balans te vinden tussen sterke wachtwoorden en wachtwoorden die iemand kan onthouden.

Ook in het hiervoor genoemde voorbeeld merken we weer dat het veiligheidsbewustzijn bij de computergebruikers van groot belang is. Het komt helaas nog veel te vaak voor dat je mensen een wachtwoord hoort roepen over een afdeling van een bedrijf. Dit duidt op een naïeve houding van de medewerkers. Ook bij dit soort incidenten is er maar één oplossing: zorg ervoor dat mensen een veiligheidsbewustzijn ontwikkelen.

In het najaar van 2008 werd het, in het televisieprogramma NOVA, pijnlijk duidelijk dat de veiligheid van veel ziekenhuizen te wensen overlaat. Zo was er een ziekenhuis dat over de telefoon het wachtwoord van het netwerk gaf dat door een hele afdeling werd gebruikt.

Brute force attack

De simpelste vorm van een wachtwoord met software aanvallen is het gebruik van een brute force attack. Deze brute kracht aanval gaat alle mogelijke combinaties proberen. Zo wordt eerst de letter A geprobeerd en vervolgens de letter B. Wanneer alle letters van het alfabet geprobeerd zijn komt er een letter bij, dus eerst AA en dan AB. Zo gaat de brute force attack door tot het aantal ingestelde letters.

Dit kan een zeer langdurig proces worden. Wanneer er gebruik wordt gemaakt van letters, hoofdletters, cijfers en leestekens wordt de hoeveelheid mogelijkheden drastisch vergroot. En hoe groter het aantal mogelijkheden, hoe langer het duurt om deze te 'brute forcen'.

Ter illustratie analyseren we het wachtwoord W5$e&iy6(dQ2&pd@. Dit zijn 16 karakters. Wanneer je in een wachtwoord letters (26), hoofdletters (26), cijfers (10) en leestekens (33, maar ongeveer 26 daarvan toegestaan in een wachtwoord) gebruikt, zijn er 88 karakters mogelijk per positie. Wanneer we dan een wachtwoord met 16 karakters maken, zijn dat 88^16 mogelijkheden, oftewel 88x88x88... (en dat 16 keer), of totaal 12.933.699.143.209.908.517.669.873.647.616 mogelijkheden. In het algemeen kunnen we de vuistregel hanteren dat je binnen de helft van de mogelijkheden het juiste wachtwoord 'raadt'. Dus binnen 6.466.849.571.604.954.258.834.936.823.808 pogingen moet het meestal lukken.
Omdat snelheden erg afhankelijk zijn van het soort encryptie-algoritme, de hardware en de brute force software, is er geen standaardsnelheid te noemen. Uitgaande van een wachtwoord dat gekraakt wordt op een zeer snelle computer kunnen we grofweg rekenen met 500.000 pogingen per seconde. Dit betekent dat we ons wachtwoord kunnen breken in 3.592.694.206.447.196.810.464 uur, oftewel 410.124.909.411.780.458 jaar.

Om nog even het verschil duidelijk te maken:

WachtwoordBrute force tijd (ongeveer)
W5$e&iy6(dQ2&pd@410.124.909.411.780.458 jaar
Wo3nsd@g114 jaar
woensdag2.5 dag
welkom5 minuten

Dictionary attack

Een andere elektronische aanval die op een wachtwoord gedaan kan worden, is de dictionary attack. Oftewel woordenboekaanval. Een directionary attack probeert, zoals de naam al aangeeft, alle woorden uit het woordenboek uit als mogelijk wachtwoord. Helaas gebruiken er nog te veel mensen een wachtwoord dat een gewoon woord is dat men elke dag gebruikt. Het grote voordeel van een dictionary attack, voor de aanvaller, is dat hij veelvoorkomende lettercombinaties zeer snel kan proberen.

Hybrid attack

De hybrid attack, oftewel hybride aanval, is een aanval die meerdere technieken combineert. Een veelvoorkomende hybrid attack is wanneer men een dictionary attack doet, maar de klinkers vervangt door cijfers of leestekens, of wanneer er cijfers of leestekens voor of achter het woord worden toegevoegd. Bij een geavanceerde hybrid attack kan men ook persoonlijke gegevens van het slachtoffer, zoals namen en geboortedatum, opgeven zodat deze gecombineerd kunnen worden met de dictionary attack.

Rainbow table attack

Op de meeste systemen wordt niet het wachtwoord als een tekstreeks opgeslagen, maar is het de hashwaarde van het wachtwoord die wordt opgeslagen. We kunnen van een hashwaarde nooit herleiden wat het originele wachtwoord is geweest. Dit is handig, want wanneer een hacker onze lijst met wachtwoorden vindt in ons computersysteem, dan heeft hij alleen een lijst hashwaarden. Om het probeel van niet kunnen herleiden te omzeilen, maken hackers zogenaamde rainbowtabellen. Een rainbow table is een tabel met alle mogelijke hashwaarden van zoveel mogelijk wachtwoorden. Het is dus een erg grote database.

Windows XP bijvoorbeeld bewaart soms een kopie van de wachtwoorden in een bestand op het systeem, zelfs al worden de wachtwoorden op een server bewaard. Het is mogelijk om dit bestand te bekijken en de hashwaarden van alle wachtwoorden te vergelijken met een rainbow table. Op deze manier kan de aanvaller zeer snel het wachtwoord opzoeken.

Rainbow tables kunnen variëren van 7 MB (voor de MD5-hashwaarden van 143.000 Nederlandse woorden) tot 2,5 GB (voor een fors deel van alle mogelijke letter-, cijfer en tekencombinaties voor een gemiddeld Windows XP wachtwoord) tot enkele terabyes (voor de zeer geavanceerde mogelijkheden).

Oplossing: Multifactor-authenticatie

Om het gevaar van onveilige wachtwoorden te vermijden moeten we naast het wachtwoord nog andere factoren toevoegen voor een betrouwbare authenticatie. In het volgende gedeelte behandelen we multifactor-authenticatie.

Multifactor-authenticatie, ook wel twee-factoren-authenticatie, is een methode waarbij minimaal twee verschillende methoden gebruikt worden om de gebruiker te authenticeren. Zowel de vingerafdrukherkenning als de token zijn beide vaak onderdeel van een multifactor-authenticatie. Bij bijvoorbeeld de vingerafdrukherkenning moet meestal ook een wachtwoord worden ingevoerd. Om in te loggen op het computersysteem moet je dus niet alleen het wachtwoord weten, maar ook de juiste vingerafdruk hebben.

Multifactor-authenticatie maakt gebruik van (minimaal) twee van de volgende drie categorieën:
  • Iets wat iemand weet. Bijvoorbeeld een wachtwoord of een pincode.
  • Iets wat iemand heeft. Bijvoorbeeld een token of een pinpas.
  • Iets wat iemand is. Bijvoorbeeld een vingerafdruk of een irisscan.

Het voordeel van een multifactor-authenticatie ten opzichte van één factor is zeer groot. Een wachtwoord kraken en de gebruikersnaam raden is al een hoop werk, maar ook nog de token stelen (zonder dat de gebruiker doorheeft dat deze gestolen is) wordt zeer moeilijk.

Hoewel multifactor-authenticatie al lange tijd een bekend begrip is, wordt deze vorm nog steeds relatief weinig toegepast. Dit heeft alles te maken met de gebruikersaceptatie ervan. Twee of meer dingen controleren betekent ook twee of meer verschillende handelingen uitvoeren als je moet inloggen. Gebruikersgemak wordt vaak nog boven veiligheid geplaatst.

Sterke wachtwoorden; iets wat iemand weet

Zowel bij het gebruiker van multifactor-authenticatie als bij standaard authenticatie-methodes is het gebruik van wachtwoorden nog steeds onverminderend populair. Het gebruik van wachtwoorden brengt, zoals eerder beschreven, een aantal problemen met zich mee. We zullen enkele mogelijkheden bespreken om wachtwoorden op zo'n manier te gebruiken dat ze minder makkelijk te kraken zijn. Deze moeilijker te kraken wachtwoorden noemen we sterke wachtwoorden. Een sterk wachtwoord voldoet aan één of meer van de volgende eisen:

Gebruik geen bestaande woorden

Een dictionary attack kan een wachtwoord als 'appel' of 'zomer' binnen enkele seconden kraken.

Maak een lang wachtwoord

Hoe langer het wachtwoord, hoe lang de brute force aanval duurt. Wanneer er een moderne symmetrische versleuteling zoals AES of Triple DES wordt gebruikt, gaat men in de regel uit van meer dan twintig karakters om een brute force aanval te kunnen weerstaan.

Maak gebruik van cijfers en leestekens

Hoe meer verschillende letters, cijfers en leestekens er in een wachtwoord zitten, hoe langer een brute force aanval duurt. Cijfers kunnen ook bepaalde letters vervangen om het makkelijk te blijven onthouden, bijvoorbeeld 8penst88rtje.

Maak gebruik van hoofdletters

Zorg dat er in het wachtwoord ook hoofdletters voor komen. Dit vertraagt de brute force aanval.

Verzin een ezelsbruggetje

We willen natuurlijk niet dat het wachtwoord zo ingewikkeld wordt dat het niet te onthouden is en dat we het moeten opschrijven. Een goede methode is om een zin te verzinnen en alleen de eerste letters te gebruiken. Bijvoorbeeld: 'dit wachtwoord is makkelijk te onthouden omdat ik een ezelsbruggetje gebruik'. Het wachtwoord is dan: dwimtooieegn.

Wanneer we de bovenstaande maatregelen tegelijk gebruiken, kunnen we bijvoorbeeld het volgende sterke wachtwoord maken: @dwimt00I33g*

Dit is de eerder gemaakte zin 'dit wachtwoord is makkelijk te onthouden omdat ik een ezelsbruggetje gebruik', waarbij we de letter E vervangen door het cijfer 3 en er een @ voor zetten en een * achter. Tot slot maken we van alle klinkers hoofdletters. Dit sterke wachtwoord is niet makkelijk te kraken en toch redelijk te onthouden.

We zullen nooit een wachtwoord kunnen maken dat zeer sterk is en heel makkelijk te onthouden is, maar het streven naar een goed evenwicht is van groot belang.

Token; iets wat iemand heeft

Iets wat iemand heeft wordt in de meeste gevallen bewezen door middel van een token. Een token is vaak een apparaatje met een knop en een klein display. Wanneer men op de knop drukt, komt er op het display een schijnbaar willekeurige rij cijfers en letters te staan die als wachtwoord dient.

In het internetverkeer van alledag gebruiken we meestal een token wanneer we onze bankzaken online willen regelen. Om een transactie te voltooien, moeten we bij sommige banken een klein apparaatje gebruiken dat een wachtwoord genereert dat we vervolgens weer moeten invoeren op de webpagina van de bank.

Een ander voorbeeld van een token is een USB-stick, welke we op het computersysteem moeten aansluiten om te mogen inloggen.

Biometrie; iets wat iemand is

Iets wat iemand is, is de laatste categorie binnen multifactor-authenticatie. Biometrie is het vaststellen van eigenschappen van levende wezens. Met biometrische gebruikersauthenticatie bedoelen we technieken zoals een irisscan, stemherkenning, gezichtsherkenning of vingerafdrukherkenning. De laatstgenoemde is steeds vaker aanwezig op laptops en PDA's.

Hoewel er nog veel aan te merken is op de betrouwbaarheid van de vingerafdrukherkenning, is het duidelijk dat deze ontwikkeling zich de komende tijd zal doorzetten.

Salting van de hashwaarden van wachtwoorden

Hoe groter de rainbow table is, hoe moeilijker het wordt om een wachtwoord te vinden waar niet de hashwaarde van berekend is. Een oplossing om het gebruik van rainbow tables aanzienlijk te vertragen of niet meer mogelijk te maken is 'salting van hashwaarden'. Letterlijk vertaald: het zouten van een hashwaarde.

Een salt is een aantal willekeurig gekozen bits. En zoals je zout over je aardappelen strooit om de smaak aan te passen, zo wordt salt over de hashwaarden van de wachtwoorden uitgestrooid om de hashwaarden aan te passen. Wanneer een aanvaller niet beschikt over het salt, zal het onmogelijk zijn om te weten wat de bijbehorende tekenreeks is van een hashwaarde.
© 2012 - 2019 Tomski, het auteursrecht (tenzij anders vermeld) van dit artikel ligt bij de infoteur. Zonder toestemming van de infoteur is vermenigvuldiging verboden.
Gerelateerde artikelen
Keuze van wachtwoordKeuze van wachtwoordMensen die actief zijn op het Internet moeten tegenwoordig tientallen wachtwoorden onthouden. Voor sites Gmail heeft u e…
Hoe kies je een veilig wachtwoord?Identiteitsfraude en/of diefstal van persoonlijke gegevens zijn een steeds groter probleem aan het worden. Veel ellende…
Een wachtwoord beveiligt uw gegevensEen wachtwoord beveiligt uw gegevensDe meeste internetters denken te licht over het belang van een goed wachtwoord. Indien iemand anders de beschikking krij…
Bronnen en referenties
  • http://nl.wikipedia.org/wiki/Wachtwoordkraker
  • http://nl.wikipedia.org/wiki/Biometrie
  • http://en.wikipedia.org/wiki/Rainbow_table
  • http://veiligwachtwoord.uwpc.info/

Reageer op het artikel "Wachtwoorden zijn niet veilig"

Plaats als eerste een reactie, vraag of opmerking bij dit artikel. Reacties moeten voldoen aan de huisregels van InfoNu.
Meld mij aan voor de tweewekelijkse InfoNu nieuwsbrief
Ik ga akkoord met de privacyverklaring en ben bekend met de inhoud hiervan
Infoteur: Tomski
Gepubliceerd: 07-02-2012
Rubriek: Pc en Internet
Subrubriek: Tips en tricks
Bronnen en referenties: 4
Schrijf mee!