Hoe vaak gebeurt het dat een lijst van wachtwoorden als plaintext online verschijnt? Niet heel vaak, en al helemaal niet als het gaat om 32 miljoen gebruikers. Toch is het vorige maand gebeurd. RockYou.com, een grote Amerikaanse ontwikkelaar van applicaties voor sociale netwerken, kreeg het voor elkaar om een dergelijke lijst uit handen te geven van MySpace-gebruikers. Kortstondig werd de lijst online gepubliceerd.

Betrouwbare conclusies

Reden voor beveiligingsfirma's om analyses uit te voeren op de gekozen wachtwoorden. Met zo'n enorme populatie kun je immers tot betrouwbare conclusies komen. Daarnaast waren de policies op de wachtwoorden niet bepaald streng: een minimum van vijf karakters, dat was het.

Deze week heeft Imperva een rapportje gepubliceerd over de wachtwoordlijst. Je kunt het aan je water voelen: wachtwoordselectie is volgens het bedrijf sinds 1990 (toen er net zo'n onderzoek werd gepubliceerd over Unix-wachtwoorden) amper veranderd.

123456

De gegevens zijn het zoveelste bewijs dat systeembeheerders gelijk hebben als ze strenge policies instellen voor wachtwoorden. Gebruikers kiezen ze zelf namelijk niet al te zorgvuldig. Met bijna 300.000 van de 32 miljoen is het wachtwoord 123456 koploper. Dat is nog niet alles: op 2 staat 12345, maar dan met slechts 80.000 'hits'. 123456789 staat daar weer net onder.

Het zijn bekende gegevens, net zoals dat 'wachtwoorden' als qwerty en password (in Nederland zal dat uiteraard 'wachtwoord' zijn) hoge ogen gooien. Slechts 3,8 procent van de gebruikers heeft speciale tekens (@#$%^&* enzovoorts) in zijn wachtwoord staan. Positief puntje: Bijna 37 procent kan nog wel het fatsoen opbrengen om een combinatie van letters en cijfers te hanteren.

Maar ook beheerders kunnen er een les uit leren: sla wachtwoorden niet in plaintext op in je database, al helemaal niet als deze kan worden gekraakt met een SQL-injectie. Bron: Techworld