| Home | Archief nieuwsbrief | Abonnement | Wie zijn wij ? | Contact | Adverteren |
Nieuwsberichten van 28/08/2012
[Nieuws]Pinterest spreekt ook Nederlands..
[Nieuws]Twitter wil samen met Hootsuite ads verkopen....
[Nieuws]Google Octane: test je mobiele browser
[Hardware]Het perfecte wachtwoord?
[Oor]Baneros - Delirar
[Site]Y Combinator: Fundersclub
[Site]Y Combinator: Light Table
[Site]Y Combinator: Sponsorified
[Software]De vetste software: WinUAE Amiga Emulator
[Software]De vetste software: Open TTD
De meeste populaire reacties
[14]Vragen van de lezers ...
[9]Vragen van de Netties-lezers ...
[8]Vrijdag alternatieve OS: Ubuntu 9.1 ...
[7]Netties vraagt hulp lezers bij oplo ...
[7]Linux - Deel 1 - Een korte inleidin ...
De meeste recente reacties
Tip: hoe kan je een foute Facebook posting me ...
Snapmail: zelf-vernietigende mails ...
De ene site om YouTube filmpjes naar MP3 om t ...
GDPR: Europa tracht de burger te beschermen ...
Robocops patrouilleren al in de straten ...
Zoeken met Google 


Reclame 

Volledig artikel

Het perfecte wachtwoord?
[Dit artikel is van de hand van Kees Plas, van datacenterspecialist Terremark]
Er kwamen dit jaar weer een hoop opvallende feiten naar voren in het data breach report. Er was echter een ding dat mij in het bijzonder bijbleef: 79% van alle aanvallen werd aangemerkt als “opportunistisch van aard”. Het rapport definiëren we een opportunistische aanvallen als volgt: “Het slachtoffer wordt niet specifiek als doelwit gekozen: ze worden herkend en aangevallen omdat zij een zwakte vertoonden waarvan de aanvaller misbruik kan maken.” Dat zette me aan het denken... Als cybercriminelen op internet rondstruinen en alles aanvallen wat een zwakte vertoond, dan moet het mogelijk zijn om deze opportunistische aanvallen naar een ‘honeypot’ (loksysteem voor hackers) te lokken. Hiervoor maakte ik een tamelijk simpele honeypot in de vorm van een namaak ssh-server die vastlegt welke gebruikersnamen en wachtwoorden worden gebruikt voor aanmeldingspogingen door hackers. Mijn systeem bijna onmiddellijk aangevallen en de login-pogingen bleven aan de lopende band binnenkomen.
Inmiddels zijn we zes weken verder. Mijn honeypot is in deze periode is vrijwel onafgebroken in de lucht geweest. In deze periode heb ik via de SSH 63.303 wachtwoorden en gebruikersnamen verzameld. Wat deze lijst interessant maakt, is dat er sprake is van een onderscheid tussen de wachtwoorden die reguliere gebruikers en hackers hanteren.
Wat mij als eerste opviel, was dat in 23,4% van de gevallen de wachtwoorden identiek waren aan de gebruikersnamen: bob/bob, alice/alice, root/root en ga zo maar door. Ik vermoed dat dit percentage hier veel hoger ligt dan bij andere netwerkservices. Als ik me niet vergis, was het bij sommige Unix-varianten zo dat bij het toevoegen van een gebruiker het wachtwoord automatisch gelijk werd gesteld aan de gebruikersnaam. Maar in plaats van een top X-lijst samenstellen van ‘slechte’ wachtwoorden, wilde ik eens analyse doen op de tekenreeks. Iedereen heeft vast wel eens te maken gehad met wachtwoord beperkingen zoals: “kies een wachtwoord dat hoofdletters en kleine letters, cijfers en/of speciale tekens bevat”. Maar hoe effectief kunnen deze beperkingen zijn? Kunnen we zien welke wachtwoorden hackers voor hun brute force-aanvallen gebruiken? En kunnen we op basis daarvan te bepalen welk type tekenreeks het best gebuikt kan worden?
Plan van aanpak
Als eerste identificeerde ik de vier basistekenreeksen:
• Kleine letters (a-z)
• Hoofdletters (A-Z)
• Getallen (0-9)
• Speciale tekens (!@#$ enzovoort)
Vervolgens identificeerde ik de wachtwoorden en bracht ik deze onder in verschillende categorieën. Op basis hiervan maakte ik een visualisatie. Ik koos voor de vertrouwde Venn-diagram om de relatieve omvang van elke categorie weer te geven en te laten zien hoe de tekenreeksen met elkaar verband houden (elke categorie die niet van een naam is voorzien, vertegenwoordigt minder dan 1%).
Veiligste optie
Allereerst kijken we naar de grootte van de cirkels, maar liefst 86,7% van de wachtwoorden die hackers uitprobeerden bestonden uit kleine letters. Om brute force-aanvallen te vermijden is het dan wellicht aan te raden om een wachtwoord te gebruiken zonder kleine letters. Als we kijken naar grootte van de cirkel voor wachtwoorden met hoofdletters zien we dat deze het kleinste is van allemaal, wie zou dat gedacht hebben?
Ter illustratie: het wachtwoord “password” komt met 1.125 pogingen op de tweede plaats; “Password” staat 6 in de lijst en “PASSWORD” slechts één keer (overigens verscheen “Password1” 50 keer).
Maar laten we ook eens kijken naar de beste tekenreeksen. Welk type tekenreeks werd het minst door hackers uitgeprobeerd? De veiligste optie lijkt een combinatie van hoofdletters en speciale tekens. Van de in totaal 63.000 uitgeprobeerde wachtwoorden waren slechts 78 pogingen een dergelijke combinatie, gevolgd door wachtwoorden met louter hoofdletters (105 pogingen)… “PASSWORD!” heeft de lijst niet eens gehaald.
Een paar opmerkingen
Zoals ik in het begin aangaf, hebben deze aanmeldingspogingen betrekking op de SSH-service. We moeten deze conclusies dan ook beperken tot SSH-aanmeldingen. De woordenboeken en tactieken die hackers op een RDP-server loslaten, kunnen hier sterk van afwijken. Hetzelfde kan ook gelden voor aanvallen op sociale netwerken of pogingen om de wachtwoorden te hacken van offline lijsten.
Nog een laatste waarschuwing: zelfs de sterkste tekenreeks is kansloos tegen een fenomeen zoals keyloggers (die in 41% van de in 2011 onderzochte incidenten werden gebruikt). Bovendien lijkt het gebruik van gestolen aanmeldingsgegevens een probleem te zijn voor zowel kleine als grote bedrijven. Dus laten we vooral in ons achterhoofd houden dat: het gebruik van ‘sterke’ wachtwoorden belangrijk is, maar het is een stuk moeilijker om de wachtwoorden uit de handen van de cybercriminelen te houden.
[Kees Plas]
Om het heel cynisch te zeggen: dankzij het internet, en in het bijzonder de sociale netwerken, heb je als het ware het eeuwige leven. Want tenzij een netwerk opgedoekt wordt (denk aan Google+), blijven al jouw postings bestaan. Ook nadat je overleden bent.

Dat heeft heel wat gevolgen. Zo heeft Facebook al een hele tijd een systeem in voege waarbij jij kan bepalen wie jouw 'executeur testamentair' zal zijn, degene die jouw account moet beheren na jouw dood. Om bijvoorbeeld een in memoriam pagina te maken, waar de mensen die om jouw overlijden treuren, hun verdriet met elkaar kunnen delen, herinneringen kunnen ophalen, en meer.

Een ander aspect is dat Facebook eigenlijk niet weet wanneer je overlijdt - en dus je vrienden ook na je dood nog uitnodigingen zal sturen om je bijvoorbeeld een felicitatie te sturen op jouw verjaardag.

Bij Wired vind je een interessant artikel over diegene die de taak van testament-uitvoerder toegewezen krijgt: hoe gaat dit in zijn werk, wat mag die persoon wel en niet, enz.

En bij The Guardian lees je meer over de inspanningen die Facebook doet om te verhinderen dat zijn Artificial Intelligence aan gebruikers gaat vertellen dat zij hun overleden vrienden eens dag moeten gaan zeggen...


  
Archief per categorie

Nieuws
Grok chatbot van X komt deze week naar P... 28/03
Instagram en Threads: minder politiek ni... 28/03
Funny Poll: online polls... 28/03
Waarnemers: aanbod van Telegram om een g... 27/03
Kan AI de Google zoekmachine echt vervan... 27/03
Wat is eigenlijk de bedoeling van de Wor... 27/03
Het viel te verwachten: nu verbant China... 26/03
Is China verantwoordelijk voor cyberaan... 26/03
EU: nu officieel onderzoek of Google, Me... 26/03
Google en identiteit: goed en slecht nie... 25/03
Meer artikels ....
Hardware
Nieuwe woordjes leren: UXL... 28/03
Nog meer nieuws van Nvidia: project GR00... 21/03
Nvidia stelt zijn nieuwigheden voor... 20/03
Chrome browser: real time bescherming... 18/03
RFM-1: de chatGPT voor robots die hen ei... 13/03
Chrome 21 maakt van elke website een app... 11/03
AiSee: een wearable waarmee slechtziende... 08/03
Wel goed nieuws: nieuwe Macbook Air met ... 05/03
The Humane broche binnenkort in de winke... 29/02
Samsung stelt zijn Galaxy Ring voor... 28/02
Meer artikels ....
Oor
Spotify: voortaan ook cursussen... 26/03
Neil Young keert terug naar Spotify... 15/03
Spotify lanceert muziekvideo... 14/03
Podcast: Something was wrong... 11/03
De stemmen van Assisen: de moord op Ingr... 06/03
Podcast: Zij is van mij... 05/03
Spotify lanceert een apart abonnement vo... 04/03
Verbroken relatie tusen UMG en TikTok zo... 29/02
Podcast: Hoge Bomen - DPG Media... 28/02
Kan je binnenkort bij Apple Music songs ... 22/02
Meer artikels ....
Site
Varify: Google optimizer... 28/03
Rabbit R1 is nu beschikbaar... 27/03
Banana Bruiser: kunst... 27/03
Search My Site... 27/03
QuizWizard AI... 26/03
OrcaScan: streepjescode scanner... 26/03
Needle Drop: muziekscore... 25/03
Oproot Magic Crystal Ball... 25/03
Metscalculator: calorietjes tellen... 22/03
Memecam: Fun... 22/03
Meer artikels ....
Tip
Netflix: ontdek meer titels... 20/03
Firefox: binnenkort tab previews... 18/03
Bekijk op je iPhone waar jij je foto s n... 13/03
Zo zet je Gemini als je standaard assist... 04/03
Zo maak je een avatar die je document vo... 28/02
Leren dankzij AI met gebruik van YouTube... 26/02
Wat moet je doen als je iPhone per ongel... 22/02
Fotografie: bewegingseffect... 09/02
OneNote: enkele tips om die helemaal naa... 02/02
Microsoft: schakelen tussen rechte en kr... 22/01
Meer artikels ....
Software
Stenote: automatische notities... 28/03
SummIt podcast app voor Android... 27/03
Demucs GUI: klanksporen verwijderen... 26/03
Notion Movie Tracker... 25/03
Podlord: Podcasts Downloader... 22/03
Zoom extensie voor Firefox... 21/03
Visual Studio Community 2022... 20/03
Threads app nu in de Microsoft Store... 19/03
Winlock: je systeem afschermen... 18/03
Siestapp: je Zen vinden bij je slaap of ... 14/03
Meer artikels ....
(c) www.netties.be 1.0 -- hosting & programmatie www.webdynamics.be (c)