Sterk wachtwoord nutteloos door videokaart

De Amerikaanse beveiligingsexpert Marc Bevand zegt 33 miljard mogelijke wachtwoorden per seconde uit te kunnen proberen met behulp van de applicatie Whitepixel v2, dat meldt het SecuriTeam weblog. Om de wachtwoorden te raden gebruikt hij vier AMD Radeon HD5970 videokaarten parallel. De applicatie is open-source beschikbaar.

Sterke wachtwoorden waardeloos

De tweede versie van de kraaksoftware is volgens Bevand vijftien procent sneller dan zijn voorganger. Behalve de snelheidsverbetering kunnen gebruikers van het programma nu ook kiezen voor alleen kleine letters, alleen grote letters, alle letters in de ASCII karakterset of alle bytes. Meer te kraken tekens maken de software natuurlijk wel langzamer. Een moeilijk wachtwoord van acht tekens, versleuteld met MD5, zou zo'n acht uur duren om te kraken.

Toch stelt beveiligingsonderzoeker Amitai Aviram dat dit bewijst dat eenvoudige grafische kaarten het gebruik van sterke wachtwoorden waardeloos maken. De oplossing is volgens hem niet om wachtwoorden moeilijker te maken maar juist om die eenvoudiger te maken, zo blogt hij.

Brute forcen tegengaan

Het aloude adagium dat triviale wachtwoorden eenvoudig te kraken zijn moet volgens hem ook maar eens overboord. Het belangrijkste is dat gebruikers hun wachtwoord echt kunnen onthouden, zodat bekenden het niet kunnen stelen omdat zij het wachtwoord hebben opgeschreven. Ook moet het onmogelijk zijn om wachtwoorden met behulp van brute force te achterhalen. Dat kan bijvoorbeeld door een maximaal aantal inlogpogingen af te dwingen.

Ook bijvoorbeeld tweetrapsbeveiliging, met behulp van bijvoorbeeld gebruikersnaam, wachtwoord en unieke eenmalige code zou dit kunnen beveiligen. De meeste Nederlandse banken gebruiken al zo'n systeem. Het inloggen met bankrekening en een unieke eenmalige code gegenereerd door een speciaal apparaat is ook voor andere zeer privacygevoelige sites een optie.