Achtergrond

Waarom je websites niet meer kan vertrouwen met je wachtwoord

Is je wachtwoord korter dan tien tekens? Dan is het waarschijnlijk eenvoudig te kraken, blijkt uit een nieuw en groot wachtwoordlek.

 
Hackersgroepering CynoSure Prime kraakte 320 miljoen wachtwoorden op basis van zogenaamde ‘hashes’. Een hash de versleutelde variant van je wachtwoord die een website bijhoudt. Wanneer jij je wachtwoord intypt, is het erg eenvoudig om via een algoritme een unieke hash te bekomen. Zo kan een website je wachtwoord checken zonder dat de tekstversie van dat wachtwoord ergens wordt opgeslagen. In theorie is het onmogelijk om omgekeerd te werk te gaan, en uit een hash het originele wachtwoord te berekenen.
 

Omgekeerd rekenwerk

In de praktijk ligt het anders. CynoSure ging aan de slag met 320 miljoen hashes afkomstig van de Australische onderzoeker Troy Hunt. Je hoorde misschien al van de man: hij schuilt achter de website havibeenpwnd, waar je kan nakijken of jouw data te grabbel ligt op het internet. De hashes waren afkomstig van beveiligingslekken bij websites. Hunt wilde de originele wachtwoorden graag weten, zodat hij websites een lijst met vaak gebruikte wachtwoorden kan aanbieden. Een site kan een te eenvoudig wachtwoord zo weigeren om een gebruiker tegen zichzelf te beschermen.
 
Een hash wordt berekend aan de hand van een algoritme. In de database van 320 miljoen datapunten ontdekte CynoSure hashes die het resultaat waren van vijftien verschillende algoritmes. Het SHA-1-algoritme was echter veruit het meest voorkomende. Een voorbeeld: wanneer jouw wachtwoord domweg ‘wachtwoord’ is, dan maakt een SHA-1-hash-algoritme daar ‘9c2028963dc9f7fbb4cb30140428a210c61dbb2c’ van. De berekening gebeurt in een fractie van een seconde in de ene richting, maar zou in theorie oneindig lang moeten duren in de andere richting.
 

Gedateerde beveiliging

In februari van dit jaar werd het SHA-1-algoritme echter gekraakt. Gebruikmakend van steeds geavanceerdere tools hadden de hackers bij CynoSure genoeg aan een doordeweekse computer om alle SHA-1-versleutelde wachtwoorden terug te vinden, op amper 116 na. Ze gebruikten een Intel Core i7-6700K met een GeForce GTX 1080-grafische kaart en 64 GB aan RAM: een krachtige machine, maar niets uitzonderlijks wanneer je hedendaagse workstations bekijkt.
 
Langs de ene kant ligt de fout bij de websites. Nu SHA-1 niet meer veilig is, en tools zoals MDXfind met relatief weinig moeite een hash kunnen omrekenen naar de originele tekst, zouden ze veiligere methodes moeten gebruiken om wachtwoorden te bewaren. In de praktijk moet je er vandaag van uit gaan dat je wachtwoord op straat ligt zodra de site waarvoor je het gebruikt gekraakt wordt. Verder kan je er van op aan dat alles en iedereen hackbaar is. Met andere woorden: zodra je een wachtwoord gebruikt voor één dienst, is het geen veilige keuze voor een andere dienst.
 
Daar kan je als gebruiker rekening mee houden. Kies bijvoorbeeld nooit dezelfde wachtwoorden op verschillende diensten, ook niet op het werk. Net daar ben je vaak geneigd een eenvoudig wachtwoord te hergebruiken, met alle potentiële gevolgen van dien.
 
Ook lengte is belangrijk: de meeste gekraakte wachtwoorden telden tussen de zeven en de tien tekens, maar een wachtwoordzin met dubbel zoveel tekens is een stuk veiliger. Bovendien is zo’n zin doorgaans eenvoudiger te onthouden. Tot slot doe je er goed aan tweefactor-authenticatie te activeren waar mogelijk. Zo kan een hacker niet inloggen op één van jouw accounts, zelfs wanneer het wachtwoord gelekt en gekraakt is.
 
//www.smartbiz.be/achtergrond/172130/zo-breekt-een-hacker-op-jouw-computer/
 

beveiligingbusinesshashwachtwoord

Gerelateerde artikelen

Volg ons

Gebruik je ecocheques bij Coolblue

Gebruik je ecocheques bij Coolblue

Producten bekijken