Is ‘123456’ uw paswoord?

Een analyse van 32 miljoen gelekte paswoorden leert dat ‘123456’ het meest populaire paswoord is. Paswoorden kunnen echt wel veiliger.

Een analyse van 32 miljoen gelekte paswoorden leert dat ‘123456’ het meest populaire paswoord is. Paswoorden kunnen echt wel veiliger.

Eind 2009 werd de gebruikersdatabase van RockYou, producent van ‘widgets’ voor persoonlijke websites en sociale netwerkomgevingen, gehackt. De paswoorden en e-mailadressen van niet minder dan 32 miljoen gebruikers werden vervolgens in het internet gepubliceerd, waar ze onder meer door experten van securityspecialist Imperva werden bestudeerd.

Daaruit blijkt dat nog steeds de meest banale paswoorden worden gebruikt, die zo goed als geen bescherming bieden. Zo bleek haast 1 procent van de gebruikers ‘123456’ als paswoord te gebruiken. Op rang twee stond dan… ‘12345’, twintig jaar geleden al het meest populaire paswoord. De top 5 wordt voorts vervolledigd met juweeltjes als ‘123456789’, ‘password’ en ‘iloveyou’. Verontrustend is dat 20 procent van de 32 miljoen gebruikers een paswoord uit een lijst van 5.000 meest gebruikte (en ook door hackers gekende) woorden kozen. Kortom, het is hallucinant hoezeer gebruikers het de hackers nog steeds erg makkelijk maken, ondanks alle waarschuwingen in de voorbije jaren.

– Kies een paswoord met minstens 8 tekens.- Meng letter-, cijfer- en andere tekens. Als het paswoordsysteem een onderscheid maakt tussen hoofd- en kleine letters, maak daar gebruik van. Een mogelijke ‘inspiratiebron’ kunnen (chemische of wiskunde-)formules zijn, die je dan wel nog moet aanpassen (zo kan je makkelijk stevige paswoorden van 10 en meer tekens creëren).- Gebruik geen woorden zoals je in woordenboeken vindt. Hackers maken gebruik van elektronische woorden- en naamlijsten om paswoordsystemen te belagen.- Gebruik geen namen of informatie die hackers kunnen leren op je persoonlijke website, blog, sociale netwerkpagina’s. Dat is in het bijzonder van belang voor ‘ben je je paswoord vergeten?’-vragen.

Privé:- Kies een sterk paswoord voor de echt belangrijke toepassingen (zoals thuisbankieren) en eventueel een ‘standaard’-paswoord voor minder belangrijke sites. Dit kan wellicht een factor zijn in het hoge ‘123456’-percentage op RockYou, als personen die site inderdaad als niet belangrijk zien. Het probleem was wel dat RockYou de gebruikersdatabase niet encrypteerde, waardoor ook andere informatie vrij kwam.

Bedrijf:- Maak voor belangrijke toepassingen naast een paswoord ook gebruik van een tweede authenticatiemiddel (smartcard, token…)- Overweeg het gebruik van een ‘single sign on’-toepassing, in combinatie met een paswoord-‘brandkast’.- Verplicht gebruikers regelmatig van paswoord te veranderen

Imperva heeft een aantal [conclusies en aanbevelingen] in een klein rapportje samengebracht, met een duidelijke titel: ‘Consumer Password Worst Practices’.