Privacywet heeft geen effect. ‘123456’ nog steeds populairste wachtwoord

Wachtwoorden verzinnen en herinneren is voor veel mensen een drama. Zodra je denkt dat je het veiligste wachtwoord aller tijden hebt gevonden, verschijnt de waarschuwing: Het is te kort, bevat geen speciaal teken, er ontbreekt een nummer.

Veel mensen worden gek van die meldingen. Ze ergeren zich er mateloos aan. Negeren vervolgens 1, 2, 3 alle waarschuwingen voor cybercrime en gebruiken gewoon een standaard gemakkelijk te onthouden – en te kraken – wachtwoord. Onder het mom van: ‘dat zien we dan wel weer’ of – tegen beter weten in – ‘ik heb niets te verbergen’.

Een jaar na de invoering van de privacywet lijken alle awareness campagnes vrijwel geen impact te hebben gehad. Het British National Cybersecurity Center (NCSC) heeft een lijst met de 100.000 populairste wachtwoorden gepubliceerd, gebruikmakend van gegevens van wereldwijde gegevenshacks.

Hoor jij bij de risicogroep?

Het wachtwoord “123456” leidt de lijst. De combinatie van cijfers kwam 23 miljoen keer voor in de verzamelde gegevens.

De tweede plaats gaat naar de creatieve uitbreiding: “123456789”.

Ook populair, en bijzonder gemakkelijk te onthouden, is het wachtwoord van 3,6 miljoen mensen: “wachtwoord”.

Opvallend waren ook de namen van verschillende muziekgroepen zoals “Blink 182”, “50cent” en “Eminem”.

Superman en Batman zijn populairder onder superhelden dan Spiderman.

Romantiek wordt van plaats 14 met “iloveyou” – even later volgen “prinses”, “kusme”, “onelove” en “titanic”.

De onderzoekers ontdekten ook dat namen allesbehalve geschikt zijn. “Ashley’ is de meest voorkomende vrouwelijke voornaam, terwijl ‘Michael’ triomfeert in de mannelijke wachtwoord variant. Ik ben benieuwd naar de Nederlandse voornamen die populair zijn als wachtwoord.

Voor het onderzoek werkte de Britse organisatie samen met de Australische cyberbeveiligingsexpert Troy Hunt, bekend van de website “Have I Been Pwned? Zo kunnen gebruikers testen of hun e-mailadres in verband met datalekken wordt weergegeven.

Awareness waarschuwing

Staat jouw wachtwoord in de hitlijst van cybercriminelen? Wordt dan eindelijk wakker. Houd je zelf niet langer voor de gek. Je laat de sleutel van je huis, fiets of auto toch ook niet gewoon in het slot zitten? Zorg eindelijk eens voor dat je onveilige wachtwoorden vervangen worden door veilige inloggegevens. Liefst ook double optin. Moeilijk? Welnee. Gebruik goede wachtwoord management software als ‘Last Pass’ of ‘Bitwarden’. Dan wordt het verzinnen en onthouden van moeilijke wachtwoorden een fluitje van een cent.

Wachtwoordmanagers Keeper, Dashlane, LastPass en 1Password onveilig op Android smartphones. Hackers kunnen de apps eenvoudig manipuleren

De wachtwoordmanagers Keeper, Dashlane, LastPass en 1Password blijken op Android smartphones gemakkelijk te kunnen worden misleid door hackers. De wachtwoordmanagers blijken het moeilijk te vinden om onderscheid te maken tussen legitieme en nep apps.

Dit blijkt uit een onderzoek van onderzoekers van de Universiteit van Genua en het Franse beveiligingsbedrijf Eurecom, getiteld “Phishing attacks on modern Android“.

Wachtwoordmanagers wel veilig op desktopcomputer, niet op Android smartphone

De onderzoekers ontdekten dat de wachtwoordmanagers, die oorspronkelijk werden ontwikkeld voor desktopbrowsers, niet zo veilig zijn op Android smarphones als op desktopcomputers.

De reden hiervoor is dat ze mogelijk logingegevens die voor een website op het mobiele apparaat zijn opgeslagen aan een verkeerde app toewijzen.

Veel wachtwoordmanagers gebruikten alleen de naam van het installatiepakket van de app voor de opdracht.

De namen van de pakketten zijn niet betrouwbaar en kunnen gemakkelijk vervalst worden door fraudeurs.

Kwaadaardige app kan wachtwoordmanager misleiden

Dit leidt tot situaties waarin een kwaadaardige app een mobiele wachtwoordmanager kan misleiden om hem te associëren met een legitieme website.

Screenshots zouden moeten bewijzen dat in tests valse Facebook-apps van verschillende wachtwoordbeheerders in staat waren om de inloggegevens voor het sociale netwerk op te halen.

In de praktijk zouden de getoonde nep-apps blootgelegd worden, maar de onderzoekers benadrukken dat voor echte aanvallen de nep-apps zo ontworpen zouden zijn dat ze niet te onderscheiden zouden zijn van de echte versies.

Keeper, Dashlane, LastPass en 1Password, vroegen hun gebruikers tijdens de tests om hun referenties in te voeren in valse apps

De onderzoekers onderzochten in totaal vijf wachtwoordmanagers. Vier van hen, Keeper, Dashlane, LastPass en 1Password, vroegen hun gebruikers tijdens de tests om hun referenties in te voeren in valse apps.

In Google’s smart lock app bleek de truc met nep-pakket niet te werken. Google smart lock app maakt gebruik van het systeem Digital Asset Links waarmee de authenticiteit van de apps geverifiëerd wordt voor een verbinding tot stand te gebracht wordt.

Wachtwoordmanagers negeren typische phishingsignalen

De onderzoekers bekritiseren in hun onderzoek dat wachtwoordmanagers bepaalde verdachte app-gedragingen die typisch zijn voor phishing lijken te negeren.

Zij voeren de inloggegevens in formulieren in met een transparantie-instelling van 0,01, waardoor de formulieren bijna onzichtbaar zijn.

Formulieren die dezelfde kleur gebruiken voor voorgrond en achtergrond en daardoor bijna onzichtbaar zijn, worden ook bediend. Dit geldt ook voor formulieren die slechts 1 x 1 pixel groot zijn.

Daarnaast werkten de wachtwoordmanagers met instant apps, die eigenlijk alleen voor korte tijd en voor testdoeleinden worden geïnstalleerd.

Volgens de onderzoekers moeten instant apps echter niet worden ondersteund of geclassificeerd als onbetrouwbaar, omdat ze alleen bedoeld zijn voor tijdelijk gebruik.

Voorstellen om veiligheid van wachtwoordmanagers te verbeteren

Om de veiligheid van wachtwoordmanagers te verbeteren, stellen onderzoekers voor dat app-ontwikkelaars in hun apps links naar digitale activa opnemen, die vervolgens door wachtwoordmanagers kunnen worden gebruikt.

Ze hebben Google ook voorzien van een programmeerinterface (API) waarmee leveranciers van wachtwoordmanagementsystemen Digital Asset-links kunnen opvragen om de authenticiteit van apps in hun producten te verifiëren.

Of Google de API zal integreren in Android OS is nog niet bekend.