Zo rond deze tijd komt SplashData altijd met een jaarlijkse lijst van meestgebruikte wachtwoorden, waar meestal toegangscodes als 123456 of password in de top drie staan. De lijst die je deze week in het nieuws zag, komt van Keeper Security. Het bedrijf analyseerde meer dan 10 miljoen wachtwoorden die online zijn gelekt en stelde een top 25 samen.

Hoe zwak is mijn wachtwoord?

Keeper wijst met de beschuldigende vinger naar websites om geen sterke wachtwoorden af te dwingen. Maar zelfs als een website geen, al dan niet afgedwongen, informatie geeft of je wachtwoord sterk genoeg is, zou je zeggen dat je met gezond verstand een heel eind komt. Maar misschien weten mensen niet hoe zwak die wachtwoorden precies zijn?

Lees ook:

Waarom we domme wachtwoorden blijven gebruiken Zelfoverschatting vaak oorzaak slechte wachtwoorden Rot op met al die wachtwoorden; ze werken niet

Ik dacht dat het daarom mogelijk interessant is om die lijst te leggen naast de resultaten over hoe snel ze gekraakt worden. Die score verandert aan de lopende band, omdat gedumpte wachtwoorden worden toegevoegd aan dictionary's en er trucs worden toegevoegd om effici├źnter te kraken. Ik heb twee sites toegevoegd die de kraaktijd schatten, namelijk random-ize en BetterBuys.

(Klik voor groot.)

Zoals je ziet, staan er een paar vreemd willekeurige wachtwoorden op. Die verschenen nadat mediabedrijf VerticalScope vorige zomer werd gehackt. Diens database bevatte 45 miljoen records van 1100 websites en online community's. Beveiligingsdeskundige Graham Cluley vermoedt dat sommige van deze wachtwoorden, zoals '18atcskd2w', '3rjs1la7qe,' en 'q0tsrbv488' zijn aangemaakt door bots die spam plaatsen op de gekoppelde fora.

BetterBuys gaat uit van een i5-6600K-processor, Intel-benchmarks en cracktool John the Ripper. Het test momenteel hoe snel een wachtwoord werd gekraakt met deze resources in 2016, maar elk jaar evolueert de hardware en de tools, zodat krakers beter worden en wachtwoorden zwakker. Wachtwoorden die in 2015 0,29 milliseconden duren om te kraken, werden vorig jaar in 0,25 milliseconden gekraakt.

Kraaktijd daalt

Ter illustratie zegt BetterBuys: "Een wachtwoord dat in 2000 nog drie jaar kostte om te kraken, kon in 2009 in iets meer dan een jaar worden gekraakt. Nog eens vijf jaar later daalde dat nog verder naar vier maanden. In 2016 duurde het ontcijferen van het wachtwoord dat in 2000 nog drie jaar zou kosten nog maar twee maanden. Dit onderstreept het belang van wachtwoordwijzigingen."

Lees ook:

De 12 beroemdste wachtwoorden allertijden Ook jij kunt 56-bit wachtwoorden onthouden Wachtwoordenstress leidt tot securityzelfmoord

Nog een voorbeeld van verkorte kraaktijd van een wachtwoord dat op deze lijst staat: 'qwertyuiop', oftewel de bovenste regel letters op veel Westerse toetsenborden. In 2015 duurde het vier maanden, drie weken, 32 minuten en 10 seconden om te kraken. Een jaar later is dat gedaald naar vier maanden, vier dagen, 7 uur, 11 minuten en 46 seconden.

Omdat het vermoedelijke botwachtwoord '18atcskd2w' op deze lijst is verschenen, kun je ervan uitgaan dat het is toegevoegd aan de woordenlijsten van tools en duurt het nu minder dan een seconde om te 'kraken'. Maar zonder die toevoeging zou het in 2015 nog 10 jaar en 2 maanden hebben gekost om te kraken en een jaar later is dat al gedaald naar 8 jaar en 9 maanden.

Blogpost over kraken

Als je verwacht dat jouw wachtwoord van 12 tekens veilig is, is dit een interessant artikel. Netmux is een beveiligingsbedrijf dat bestaat uit professionals die al lang in de IT-security zitten. In dit blog wordt uitgebreid en gedetailleerd ingegaan op hoe je een wachtwoord van 12 tekens kraakt.

Lees ook:

5 dingen die je moet weten over wachtwoordmanagers 8 wachtworodmanagers die je wapenen tegen hackers 6 tips voor veilig LastPass-gebruik En als je nog geen wachtwoordbeheerprogramma gebruikt, of het nu lokaal of in de cloud is, is het moment nu toch echt gekomen om al je complexe wachtwoorden te onthouden en om de zoveel te vervangen.