Ki heeft geen moeite met de meeste wachtwoorden, maar ….

WachtwoordkrakerOnderzoekers van het digitaleveiligheidsbedrijf Home Security Heroes hebben een ki-systeem geleerd wachtwoorden te raden. De meerderheid heeft het systeem binnen een minuut. Op nogal veel (vond ik=as) wachtwoorden beet ie echter zijn tanden stuk (of bleef sprakeloos). De les? Gebruik speciale tekens.Als lesmateriaal had het zelflerende systeem gekraakte wachtwoorden gehad van een paar jaar terug. Die schijnen in de branche vaker gebruikt te worden om de beveiligingsgraad van systemen te onderzoeken.
Het ki-systeem keek niet naar wachtwoorden met minder dan vier en meer dan achttien tekens. Het meeste dat daar tussen zit had ie binnen een minuut gekraakt. We hebben het, als ik het tenminste goed begrijp, dan over een brute-kracht-aanval, waarbij veel wachtwoorden in een hoog tempo worden uitgeprobeerd.
Voor verschillende beveiligingssystemen zoals toegang tot je bankrekening kun je maar een paar keer een fout wachtwoord invoeren voor die rekening geblokkeerd wordt. Bovendien komt daar meestal nog een beveiligingsstap na in de vorm van een code die via sms of e-bericht wordt verstuurd. Dus mijn vraag is wat je aan zo’n brute-krachtproef hebt.

Voor het verzinnen van wachtwoorden gebruikten de onderzoekers de wachtwoordvormer PassGAN, die net als het ki-systeem als een neuraal netwerk functioneert maar dan omgekeerd (daar slaat dat GAN op). De een is een ‘generator’ die wordt gebruikt om valse gegevens te creëren. De andere is een ‘onderscheider’ die in staat is om de juiste uit de onjuiste te pikken. Hoe langer die werkten hoe efficiënter ze werden (zoals het idee is achter zelflerende systemen, al kost dat een hoop energie).

Maar 51%

In een eerste ‘gang’ had het systeem maar iets meer dan de helft van de wachtwoorden binnen een minuut, maar dat waren niet de moeilijkste te raden zoals 00000 of ABCDE zoals toch nog steeds veel mensen dergelijke makkelijk te raden wachtwoorden kiezen. Later werd het systeem beter en ontcijferde ook wachtwoorden met afwisselend hoofdletters en onderkast en cijfers tot tien tekens. Na een maand en een hoge energierekening kwam het systeem tot 81%.

De boodschap is dat er wachtwoorden zijn die moeilijk te raden zijn voor een ki-systeem. Dan hoef je er alleen maar een snuifje speciale tekens aan toevoegen zoals @, <, # of *.  Overigens accepteren niet alle beveiligingssystemen alle speciale tekens op je toetsenbord.
Het lijkt het er op dat allerlei techbedrijven hard werken aan opvolgers van de wachtwoorden. Die worden al of niet versleuteld ergens opgeslagen. Vaak wordt er dan gegrepen naar biometrische trucs, maar in het verleden is al vaker bewezen dat ook die methodes niet waterdicht zijn. Elk beveiligingssysteem is te foppen, uiteindelijk. Ook de ‘passleutel‘ waarschijnlijk waar de Googles, Apples em Microsofts hun beveiligingshoop lijken te hebben gesteld. Die werkt met een openbaar een een geheime sleutel die alleen op jou computer/telefoon staat, maar hoe onbreekbaar is dat?

Bron: Futura-Sciences

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.