INFOGRAPHIC – The Psychology of Passwords

Oftewel; de psychologie achter wachtwoorden

Een wachtwoord is een geheim dat geraden kan worden. De sterkte van een wachtwoord is dus afhankelijk van de snelheid waarmee het wachtwoord geraden kan worden. Hackers zijn erop uit om wachtwoorden snel te kunnen achterhalen, omdat een gebruikersnaam-/wachtwoord-combinatie vaak toegang biedt tot allerlei waardevolle persoonlijke en financiële gegevens en soms zelfs tot iemands online identiteit. De snelheid waarmee een wachtwoord geraden kan worden, hangt af van een variëteit aan psychologische en technische factoren.

lastpass_ig_final
Dankzij technologische ontwikkelingen en de daaruit verkregen psychologische inzichten kan beter worden begrepen hoe mensen hun wachtwoorden kiezen, hoe wachtwoorden zijn opgebouwd en wat voor patronen er binnen wachtwoorden bestaan. Deze kennis kan gebruikt worden bij het raden/kraken van iemands wachtwoord. Het proces werkt als volgt;
Regelmatig komt er in het nieuws voorbij dat een bedrijf dat de wachtwoorden van zijn gebruikers heeft gereset omdat hackers toegang hebben gekregen tot de interne netwerken. Meer dan eens wordt de verkregen data door de desbetreffende hackers op het internet gelekt. Laatst was dit het geval bij Spotify en eerder gebeurde hetzelfde onder andere bij Dropbox. Onderdeel van deze gegevens zijn soms de (door het bedrijf) gehashte wachtwoorden van de gebruikers. De hash van een wachtwoord kan worden gezien als de vingerafdruk van een wachtwoord, gegenereerd door een onomkeerbaar algoritme. Het doel van het hashen van de wachtwoorden is dat hackers nu niet direct de wachtwoorden kunnen misbruiken, alleen de hash is bekend en niet het daadwerkelijke wachtwoord.

digital_fingerprint580 Wanneer het hackers gelukt is om in te breken bij een bedrijf blijkt jammer genoeg vaak dat het door het bedrijf gekozen hashing-algoritme niet van toereikend niveau is. Er worden bijvoorbeeld hashing-algoritmes gebruikt welke niet zijn ontworpen om wachtwoorden mee te hashen. In plaats daarvan zijn ze ontworpen om grote hoeveelheden data snel te kunnen verwerken. Dit betekent dat het genereren van een hash erg snel kan worden gedaan; extreem snel zelfs wanneer de parallellisatiekracht van videokaarten (GPUs) wordt ingezet. Door met behulp van GPUs extreem snel allerlei verschillende wachtwoorden te hashen en deze te vergelijken met de gelekte hashes, kunnen hackers kijken of het wachtwoord dat ze geprobeerd hebben daar ook daadwerkelijk in voorkomt. Zo kunnen ze alsnog een lijst van gebruikte wachtwoorden genereren.

Aan de hand van de lijst van gekraakte gebruikerswachtwoorden kunnen bijvoorbeeld de meest gebruikte wachtwoorden berekend worden, maar wat interessanter is voor de hackers zijn de veel gebruikte patronen. Oftewel: wat voor patronen gebruiken mensen binnen een wachtwoord? Voorbeelden van een patroon zijn (hier gerangschikt van simpel naar geavanceerd):
– Welke soorten karakters worden het meest gebruikt in wachtwoorden?
– Op welke positie binnen een wachtwoord wordt welk karakter het meest gebruikt?
– Wat zijn de overgangskansen tussen de verschillende karakters binnen een wachtwoord?

Voorkomen is beter dan genezen
Wat dus belangrijk is, is dat wachtwoorden dus niet meer ‘zomaar’ gekraakt kunnen worden in de toekomst. Regelmatig van wachtwoord wisselen en een grote variatie in het wachtwoord is dus van belang. Maar het grote publiek heeft hier moeite mee. De angst om het nieuwe wachtwoord te vergeten is groot.
Om een beter inzicht te krijgen in het feit dat ‘men’ een afkeer heeft tegen het nemen van de nodige stappen om hun online accounts te beveiligen, heeft LastPass samen met het Amerikaanse onderzoeksbureau Lab42 een wereldwijde enquête gehouden onder volwassenen over hun houding en gedrag rondom wachtwoordbeveiliging.

Het resultaat is schrikbarend. Hoewel wel weten wat veilige wachtwoorden (zouden) moeten zijn, hebben we sterk de neiging om deze informatie te negeren, omdat de angst voor het vergeten van de wachtwoorden groter is, dan de angst om te worden gehackt.

Conclusie
Feit is dus eigenlijk dat gebruikers hun online gedrag dienen te veranderen om hun online veiligheid te waarborgen. Men moet rationeel gaan denken en niet blijven hangen in onze ‘slechte’ gewoontes en onzekerheden.

wachtwoorden

Hiervoor kan gebruik gemaakt worden van de LastPass wachtwoordmanager waarmee wij bij New Media 2Day ook werken. Deze ‘app’ maakt voor ieder account een ander, lang en willekeurig wachtwoord aan. Elk wachtwoord wordt in één wachtwoordenbestand (kluis) opgeslagen dat op zijn beurt weer beveiligd is met één (door de medewerker zelf) te onthouden wachtwoord. Zo wordt het zwaartepunt verschoven, van online naar offline. Wanneer hackers nu een service proberen te hacken, komen ze nu in het bezit van een erg lastig te kraken wachtwoord, dat nergens anders gebruikt wordt en gemakkelijk vervangen kan worden.

De gebruiker heeft dus al zijn wachtwoorden veilig op een plek, welke middels zijn/haar eigen hoofdwachtwoord én een “Multi-Factor Authentification” tool (werkt via een appje of een sms op de telefoon) dubbel beveiligd is. Na het unieke wachtwoord in de kluis, is er een tweede authenticatie via een mobiele telefoon en is werken met unieke wachtwoorden eigenlijk heel gemakkelijk, maar vooral erg veilig!

 

Wilt u weten hoe ook u de veiligheid rond uw wachtwoorden kunt vergroten? Neem dan contact op met uw accountmanager van NM2D!

 

 

21 oktober
2016

Auteur


René Smit