U bent misleid over wat een goed wachtwoord is

Het wachtwoord moet hoofdletters en kleine letters bevatten en ten minste één numeriek teken. Een veelvoorkomende uitbrander die wordt uitgedeeld door websites of software wanneer u een account opent of een wachtwoord wijzigt - en een die volgens nieuw onderzoek misleidend is.





Uit een onderzoek dat geavanceerde technieken voor het raden van wachtwoorden testte, bleek dat het vereisen van cijfers en hoofdletters in wachtwoorden niet veel bijdraagt ​​om ze sterker te maken. Een wachtwoord langer maken of symbolen toevoegen was veel effectiever.

Aanvallen zijn nu geavanceerder en die best-practice-tegenmaatregelen lopen een beetje niet synchroon, zegt Matteo Dell'Amico, een onderzoeker bij Symantec Research. Hij werkte samen met Maurizio Filippone bij het Franse onderzoeksinstituut Eurecom . Het gepresenteerde paar een krant over hun werk op de ACM Computer and Communications Security conferentie vorige week.

Aanbevelingen dat we een combinatie van hoofdletters, symbolen en cijfers in wachtwoorden opnemen, komen voort uit het idee dat het de kans op een juiste gok verkleint door software die systematisch elke combinatie van tekens probeert, zegt Dell'Amico. Wachtwoordmeters die feedback geven over de sterkte van een wachtwoord werken op dezelfde basis.



Maar de nieuwste software voor het raden van wachtwoorden is slimmer dan willekeurig raden. In plaats daarvan wordt het getraind met behulp van gelekte lijsten met miljoenen wachtwoorden om te raden waarbij de meest gebruikte wachtwoorden (of patronen in wachtwoorden) het eerst worden geprobeerd. Software voor het raden van wachtwoorden kan worden gebruikt om onjuist gecodeerde wachtwoorden te onthullen die online zijn gelekt, zoals de 130 miljoen die in 2013 van Adobe zijn afgenomen, of om rechtstreeks toegang te krijgen tot met een wachtwoord beveiligde software of apparaten die gispogingen niet beperken.

Dell’Amico en Filippone bedachten een nieuwe manier om de sterkte van een wachtwoord te meten die daar rekening mee houdt. Ze trainden aanvalssoftware, gebruikten het om lijsten met wachtwoorden te genereren en bedachten een manier om die te gebruiken om een ​​soort raadbaarheidsscore toe te kennen aan een bepaald wachtwoord. Ze gebruikten 10 miljoen gelekte wachtwoorden om verschillende soorten aanvalssoftware te trainen en testten hun raadbaarheidsmethode op nog eens 32 miljoen wachtwoorden.

De resultaten laten zien dat het langer maken van een wachtwoord of het toevoegen van symbolen een betere manier is om het te versterken dan door hoofdletters of cijfers toe te voegen. Dat komt omdat mensen de neiging hebben om hoofdletters aan het begin van wachtwoorden en cijfers aan het einde toe te voegen, en methoden voor het aanvallen van wachtwoorden kunnen daarvan profiteren, zegt Dell'Amico. Eigenlijk moet je je wachtwoorden minder voorspelbaar maken, zegt hij. De nieuwe methode zou kunnen worden gebruikt om nauwkeurigere manieren te creëren om mensen een idee te geven van de kracht van een wachtwoord, zegt Dell'Amico.



Een goede manier om dat te doen is belangrijk, maar is lang ongrijpbaar gebleken, zegt Mark Burnett, een beveiligingsonderzoeker die een van de wachtwoordonderzoeksdatabases publiceerde die in het onderzoek werden gebruikt. Ik heb nog geen manier gezien die perfect is, maar dit is waarschijnlijk de beste poging die ik heb gezien, zegt hij. Dit soort onderzoek helpt ons om slimmer te zijn over wat wachtwoorden sterker maakt, welk advies we geven en om te zien waar we nu heen moeten.

Burnetts advies voor de volgende keer dat je een wachtwoord kiest of wijzigt, is dat als je er eenmaal een hebt bedacht, je een manier moet vinden om het langer te maken, misschien door een paar woorden toe te voegen. Zijn advies aan de computerindustrie is om met alternatieven te komen voor het gebruik van wachtwoorden op een zo breed mogelijke schaal als we nu doen. Wachtwoorden worden langer en langer en we komen op het punt dat ze hun bruikbaarheid gaan verliezen, zegt hij.

zich verstoppen