Microsoft verbiedt veelgebruikte wachtwoorden na LinkedIn-hack
Microsoft stelt in een blogbericht enkele acties voor waarmee ze het volgende LinkedIn-fiasco willen vermijden. Zo kondigt het bedrijf ‘dynamically banned passwords’ aan: een systeem waardoor bepaalde gebruikers noodgedwongen een ander wachtwoord zullen moeten kiezen.
Zwakke wachtwoorden zijn ongeldig
“Wanneer het aankomt op de lijsten van grootschalige lekken, hebben cybercriminelen en het Azure-AD Identity Protection-team iets gemeen – we analyseren allebei de wachtwoorden die het meest gebruikt worden,” schrijft Alex Weinert, Group Program Manager bij Microsoft. Waardevolle informatie, want die veelgebruikte wachtwoorden zijn per definitie makkelijk te kraken.
Of het nu ‘12345’ is, ‘wachtwoord’ of de naam van de dienst waarop je inlogt, wachtwoorden die onvoldoende bescherming bieden, worden nog steeds te vaak gebruikt. Daar wil Microsoft nu een stokje voor steken. Wachtwoorden die niet als ‘sterk’ worden bevonden, zullen zonder pardon ongeldig worden. Dat betekent dat de gebruiker bij het inloggen aangespoord wordt om het huidige wachtwoord te laten varen en te opteren voor één die “moeilijker te raden is”. De maatregel is al van kracht bij Microsoft Accounts en wordt op dit moment in een privé-bèta-fase getest in het Azure Active Directory-portaal.
Te laat?
De post lokte meteen enkele reacties uit. Onder andere klonk het dat ‘dynamically banned passwords’ een voorbijgestreefde maatregel is, en dat Microsoft beter in kan zetten op een strengere multifactorauthenticatie. Weinert reageerde uitgebreid op de comment, en beaamde dat het concept van wachtwoorden in het algemeen op een einde loopt: “Ik denk niet dat een wachtwoord met multifactorauthenticatie het antwoord zal zijn, maar eerder intrinsiek sterke authenticaties zoals Passport.” Tot het “tijdperk van het wachtwoord” voorbij is, moet er echter worden ingezet om de gevolgen van zwakke wachtwoorden te beperken, besluit hij.