211service.com
Wachtwoorden die eenvoudig en veilig zijn
Onderzoekers bij Microsoft hebben een manier bedacht om gemakkelijk te onthouden wachtwoorden te maken zonder een systeem kwetsbaarder te maken voor hackers.
In plaats van het afdwingen van complexe wachtwoorden, zoals veel organisaties doen, zorgt het nieuwe schema ervoor dat niet meer dan een paar gebruikers hetzelfde wachtwoord kunnen hebben, wat een vergelijkbaar algemeen effect op de beveiliging heeft. Verder onderzoek van Microsoft onthult ook waarom slechts enkele organisaties aandringen op zeer complexe wachtwoorden.
Steeds complexere wachtwoordvereisten - regels zoals wachtwoorden moeten 14 tekens lang zijn en ten minste twee hoofdletters, twee kleine letters en drie symbolen bevatten - maken het voor aanvallers moeilijk om wachtwoorden te raden met behulp van een zogenaamde woordenboekaanval, waarbij veel mogelijk wordt geprobeerd wachtwoorden achter elkaar.
Zonder dergelijke beperkingen hebben mensen de neiging om wachtwoorden te kiezen die gemakkelijk te onthouden, gemakkelijk te typen en gemakkelijk te raden zijn. Toen bijvoorbeeld 32 miljoen wachtwoorden van de sociale-mediawebsite RockYou afgelopen december per ongeluk werden vrijgegeven, bleek bijna de helft triviale wachtwoorden te zijn, zoals opeenvolgende cijfers, woordenboekwoorden of gewone namen, volgens een analyse van afgelopen januari door het webbeveiligingsbedrijf Imperva .
Door te eisen dat wachtwoorden cijfers, symbolen en hoofdletters bevatten, neemt het aantal mogelijke wachtwoorden aanzienlijk toe. Met dergelijke regels wordt een woordenboekaanval onhaalbaar, maar worden wachtwoorden ook moeilijker te onthouden.
Een manier waarop systeemontwerpers woordenboekaanvallen proberen te verslaan, is door een account tijdelijk uit te schakelen wanneer meer dan een paar keer een verkeerd wachtwoord wordt opgegeven. Dit wordt accountvergrendeling genoemd en het is niet verrassend dat aanvallers een eenvoudige manier hebben ontdekt om de aanpak te verslaan. In plaats van duizenden of miljoenen wachtwoorden voor één account te raden, raden aanvallers eenvoudigweg de meest gebruikte wachtwoorden voor duizenden of zelfs miljoenen verschillende accounts.
Het nieuwe schema van Microsoft Research maakt een einde aan complexiteitsvereisten en beschermt tegelijkertijd tegen zowel woordenboekaanvallen als statistische gissingen. De service telt eenvoudig hoe vaak een gebruiker van de service een bepaald wachtwoord kiest. Wanneer meer dan een klein aantal gebruikers een wachtwoord kiest, wordt het wachtwoord verbannen en mag niemand anders het kiezen. Het schema kan alleen worden gebruikt door organisaties met miljoenen gebruikers, zoals websites zoals Microsoft's Hotmail.
De aanpak is beschreven in een krant geschreven door Microsoft-onderzoekers Stuart Schechter en Cormac Herley , die in augustus zal worden gepubliceerd op de Hot Topics in Security-conferentie in Washington, DC. Michael Mitzenmacher aan de Harvard University is ook co-auteur van het artikel.
Het vervangen van regels voor het maken van wachtwoorden door populariteitsbeperkingen heeft het potentieel om zowel de veiligheid als de bruikbaarheid te vergroten, schrijven de auteurs. Omdat wachtwoorden niet te algemeen mogen worden, worden aanvallers de populaire wachtwoorden ontnomen die ze nodig hebben om een aanzienlijk deel van de accounts binnen te dringen door online te raden.
Herley zegt echter dat er nog geen plannen zijn om het nieuwe schema in Microsoft-producten te implementeren. We kunnen niet speculeren over productplannen van Microsoft, zegt hij. Op dit moment brengen we het gewoon naar buiten om feedback te krijgen van de beveiligingsonderzoeksgemeenschap.
In de afgelopen jaren hebben onderzoekers op het gebied van bruikbare beveiliging veel informatiebeveiligingspraktijken onder de loep genomen en ontdekten dat er veel ontbraken. Veel computersystemen zullen bijvoorbeeld accounts blokkeren als een gebruiker zijn wachtwoord drie keer achter elkaar verkeerd typt. Maar zeven jaar geleden, Sascha Brostoff en Angela Sasse, twee onderzoekers van University College London in het Verenigd Koninkrijk, toonde aan dat het verhogen van dat aantal van drie naar 10 vermindert drastisch het aantal legitieme gebruikers dat wordt buitengesloten, terwijl het slechts een verwaarloosbare impact heeft op de algehele beveiliging van een systeem.
Vorige week kwamen meer dan 200 computerbeveiligingsonderzoekers van over de hele wereld bijeen in Redmond, WA, tijdens de jaarlijkse Symposium over bruikbare privacy en beveiliging om benaderingen te bespreken om computers tegelijkertijd veiliger en bruikbaarder te maken.
Een ander onderzoek van Microsoft-onderzoekers, gepresenteerd op het symposium, verklaart waarom slechts enkele organisaties te ingewikkelde wachtwoorden hebben. De studie onderzocht het wachtwoordbeleid op 75 verschillende websites, waaronder de 20 best gerangschikte sites op internet, en websites van banken, grote universiteiten en Amerikaanse overheidsinstanties. Microsoft-onderzoekers Dinei Florencio en Cormac Herley vonden geen correlatie tussen de waarde van het account van een consument, het aantal aanvallen dat de website heeft ondergaan en de complexiteit van de wachtwoorden die de website-exploitanten hun gebruikers opdrongen.
Volgens de studie , hebben websites waar gebruikers kunnen kiezen tussen meerdere aanbieders – sites voor banken en beleggingsondernemingen bijvoorbeeld – over het algemeen relatief eenvoudige wachtwoordvereisten. Deze sites beschermen de activa van hun gebruikers door middel van fraudebestrijdingstechnieken en de bedrijven willen het hun klanten niet te moeilijk maken om in te loggen.
Florencio en Herley ontdekten dat de sites met de strengste wachtwoordvereisten die waren waar de gebruikers over het algemeen niet konden rondkijken - sites zoals de Amerikaanse Social Security Administration, de National Weather Service en de webmailsystemen voor verschillende grote universiteiten. Voor deze systemen hebben de organisaties geen financiële prikkel om bruikbaarheid in evenwicht te brengen met beveiliging, of om een andere manier te vinden om gebruikersaccounts te beschermen.
De meeste organisaties hebben beveiligingsprofessionals die een sterker beleid eisen, maar slechts enkele hebben eisen op het gebied van bruikbaarheid die sterk genoeg zijn om terug te dringen, voegen de auteurs toe. Wanneer de stemmen die pleiten voor bruikbaarheid afwezig of zwak zijn, worden beveiligingsmaatregelen onnodig beperkend.
Simson Garfinkel was lid van de programmacommissie van het 2010 Symposium on Usable Security and Privacy.