Hoe hackers wachtwoorden raden, en hoe ze te stoppen

Drie verschijnselen stellen ons vaak in staat om gebruikersaccounts, service accounts, en zelfs beheerdersaccounts over te nemen:

1. Gebruikers, maar ook beheerders, kiezen vaak voorspelbare wachtwoorden
2. Tweefactorauthenticatie op accounts of login-portalen ontbreekt vaak
3. Wachtwoorden worden onveilig gedeeld, bijvoorbeeld in niet-versleutelde Word- of Excel-bestanden

Voorspelbare wachtwoorden

Een groot statistisch onderzoek uitgevoerd door Rapid7 laat zien dat gebruikers vaak uit drie categorieën kiezen bij het instellen van een nieuw wachtwoord:

• Een variatie op het woord wachtwoord of welkom, bijvoorbeeld Wachtwoord123 of Welkom01!
• Seizoen + jaar, bijvoorbeeld Herfst2019 of Zomer2020
• Een variatie op de naam of standplaats van de organisatie, bijvoorbeeld HackDefense01! of Leiden123

Aan de hand van dit onderzoek maken wij een lijst van wachtwoorden die wellicht in gebruik zouden zijn en proberen deze wachtwoorden op alle accounts. Dit noemt men password spraying. Hierbij gaan we of op zoek naar een inlogmechanisme dat geen accounts blokkeert na een aantal foutieve inlogpogingen, of we kijken naar het wachtwoordbeleid van het Windows-domein. Standaard geldt dat een gebruiker per 30 minuten vijf keer foutief mag inloggen alvorens 30 minuten geblokkeerd te raken. Wij snoepen hier dan één poging van af en proberen één voorspelbaar wachtwoord per 30 minuten; we willen echte gebruikers natuurlijk niet buitensluiten. Helaas lukt het ons bijna altijd om meerdere accounts over te nemen met wachtwoorden als Welkom123! of Zomer2020.

Een mogelijke oplossing is om regelmatig de lijst versleutelde wachtwoorden van Windows te checken op gemakkelijk te raden wachtwoorden. Hiervoor bestaat dienstverlening; HackDefense kan dit ook voor u uitvoeren.

Ontbreken van tweefactorauthenticatie

Het volgende verschijnsel dat het vaak makkelijk maakt voor ons om digitaal in te breken, is het ontbreken van tweefactorauthenticatie. Authenticatiefactoren kunnen zijn:

• iets dat je hebt (Google authenticator op je telefoon of een security token)
• iets dat je weet (een wachtwoord of pincode)
• iets dat je bent (checken via een vingerafdruk of irisscan)
• iets waar je bent (een locatie)

Traditionele authenticatie, lees: een wachtwoord, voldoet slechts aan één van deze punten.

Tweefactorauthenticatie vraagt je om aan twee van bovenstaande punten te voldoen om in te loggen. Bij HackDefense maken we graag gebruik van YubiKeys, die we dan in combinatie met een wachtwoord gebruiken. Inloggen? Prima, wat is jouw wachtwoord en kun je de YubiKey in een USB-poort doen?

Je kunt het een aanvaller heel erg moeilijk maken door overal tweefactorauthenticatie in te stellen. Mocht een wachtwoord dan ergens uitlekken, is dit niet direct een probleem omdat er meer dan een wachtwoord nodig is om in te loggen.

Wachtwoorden niet veilig opgeslagen

Het derde verschijnsel, wachtwoorden in (gedeelde) Excelsheets of Word-documenten, zien we in eigenlijk elke test terugkomen. Soms vinden we dit soort bestanden op netwerkschijven, andere keren in de Documenten-map of zelfs op het bureaublad van gebruikers. Wat dan helemaal schrijnend voor ons is om te zien, is dat dit soort bestanden vaak meer dan alleen wachtwoorden bevatten voor het werk, maar bijvoorbeeld ook voor de Staatsloterij of internetbankieren.

Ook treffen we met regelmaat wachtwoorden aan in gebruikersobjecten in Active Directory, een plek waar een aanvaller of kwaadwillende gebruiker met een beetje technisch vernuft gemakkelijk bij kan. We schreven eerder een blog over dit onderwerp.

We zien in toenemende mate dat organisaties wachtwoordmanagers aanbieden aan gebruikers, maar helaas maken niet zoveel mensen hier gebruik van. In onze optiek zonde, want het is DE oplossing voor veilig wachtwoordbeheer.

Wachtwoordmanagers

Niet alleen kan een wachtwoordmanager helpen met het bedenken van een lang en complex wachtwoord, het kan de gegenereerde wachtwoorden op een veilige manier opslaan in een digitale kluis. Vandaag de dag ken ik nog bijzonder weinig wachtwoorden uit mijn hoofd; het wachtwoord om in te loggen op mijn werkplek en het wachtwoord waarmee ik mijn wachtwoordmanager open. De rest staat in de manager zelf. Wanneer ik een nieuw account ergens dien aan te maken, dan vraag ik de wachtwoordmanager om een wachtwoord van 64 tekens te bedenken dat bestaat uit kleine letters, hoofdletters, getallen en leestekens. Het wachtwoord wordt door de manager niet eens aan mij weergegeven; ik kan het wachtwoord kopiëren naar het klembord en dan plakken in de velden waar het wachtwoord aangemaakt en geverifieerd wordt.

Wachtwoordmanagers zijn er in vele soorten en maten. Bij HackDefense gebruiken we KeePassX, dat wachtwoorden alleen lokaal opslaat. We zijn als security bedrijf natuurlijk net iets meer paranoïde dan de rest. Populairdere wachtwoordmanagers zoals LastPass en 1password slaan wachtwoorden op in de cloud, kunnen ook als browser plug-in gebruikt worden en werken op meer platformen dan enkel de computer, zodat ze ook op telefoon of tablet gebruikt kunnen worden.

Onze aanbeveling

Wat bevelen wij concreet aan? Onze aanbeveling ligt bijna in lijn met de NIST norm 800 – 63:

• Vereis wachtwoorden van minstens 15 karakters lang. Dit is lang, maar het voorkomt dat gebruikers wachtwoorden kiezen die te gemakkelijk te raden zijn.
• Als dit niet haalbaar is, doe dan regelmatig een test om accounts te vinden met te eenvoudige wachtwoorden.
• Vereis het gebruik van een wachtwoordmanager voor het veilig beheren en genereren van wachtwoorden voor andere systemen en applicaties.
• Sta het gebruikers toe om lange wachtwoorden in te stellen, bijvoorbeeld 64 karakters.
• Ondersteun het volledige palet aan ASCII karakters (Latijnse letters, cijfers, leestekens).
• Doorzoek netwerkschijven regelmatig op wachtwoorden. Een simpele zoekopdracht in Windows Explorer op het woord ​“wachtwoord” of ​“password” is vaak al genoeg om documenten te vinden die gebruikers gemaakt hebben waarin wachtwoorden staan en die (per ongeluk) door alle gebruikers te openen zijn.

Uiteindelijk betekent dit dat gebruikers maar twee vrij lange wachtwoorden moeten onthouden: een voor hun Windows-account, en een voor de wachtwoordmanager. We adviseren om gebruikers er op te wijzen dat ze ook ​“wachtzinnen” kunnen gebruiken om dit te bereiken: veel mensen weten niet dat In 2019 zijn we op vakantie geweest naar Griekenland! te gebruiken is als wachtwoord. Maar het is erg sterk, en niet zo heel moeilijk te onthouden.