Bijna de helft (45%) van alle geanalyseerde wachtwoorden (87 miljoen) kon binnen een minuut worden geraden door cybercriminelen. Minder dan een kwart (23%, 44 miljoen wachtwoorden) van de combinaties bleek genoeg weerstand te bieden en het kraken ervan zou meer dan een jaar duren. Dit blijkt uit recent onderzoek van Kaspersky, waarin de weerbaarheid van 193 miljoen wachtwoorden tegen brute force- en smart guessing-aanvallen werd onderzocht. Bovendien onthult dit onderzoek welke tekencombinaties het meest worden gebruikt bij het maken van wachtwoorden.
Kaspersky telemetrie laat zien dat er alleen al in 2023 meer dan 32 miljoen pogingen zijn gedaan om gebruikers aan te vallen met password stealers. Deze cijfers onderstrepen het belang van goede digitale hygiëne en een actief wachtwoordbeleid.
In juni 2024 analyseerde Kaspersky in een nieuw onderzoek 193 miljoen wachtwoorden, die in het publieke domein op verschillende darknetbronnen werden gevonden. Deze resultaten tonen aan dat de meerderheid van de beoordeelde wachtwoorden bij lange na niet sterk genoeg was. Ze konden gemakkelijk gecompromitteerd worden door smart guessing- algoritmen te gebruiken. Hier is de uitsplitsing van hoe snel dit gebeurd:
- 45% (87M) in minder dan 1 minuut.
- 14% (27M) – van 1 min tot 1 uur.
- 8% (15M) – van 1 uur tot 1 dag.
- 6% (12M) – van 1 dag tot 1 maand.
- 4% (8M) – van 1 maand tot 1 jaar.
Bovendien bevat de meerderheid van de onderzochte wachtwoorden (57%) een woord uit het woordenboek, wat volgens de experts de sterkte van wachtwoorden aanzienlijk vermindert. Onder de populairste woordenreeksen kunnen verschillende groepen worden onderscheiden:
- Namen: “ahmed”, “nguyen”, “kumar”, “kevin”, “daniel”.
- Populaire woorden: “forever”, “love”, “google”, “hacker”, “gamer”.
- Standaard wachtwoorden: “password”, “qwerty12345”, “admin”, “12345”, “team”.
Uit de analyse bleek dat slechts 19 procent van alle wachtwoorden tekens van een sterke, moeilijk te kraken combinatie bevatten – kleine letters en hoofdletters, evenals cijfers en symbolen en geen standaard woordenboekwoord bevatten. Tegelijkertijd onthulde het onderzoek dat 39 procent van dergelijke wachtwoorden ook in minder dan een uur geraden konden worden met behulp van slimme algoritmen.
Het meest verontrustende is dat hackers geen diepgaande kennis of dure apparatuur nodig hebben om wachtwoorden te kraken. Een krachtige laptopprocessor kan de juiste combinatie voor een wachtwoord van 8 kleine letters of cijfers met brute kracht in slechts 7 minuten vinden. En moderne videokaarten kunnen dezelfde taak in slechts 17 seconden uitvoeren. Daarnaast ontcijferen slimme algoritmen wachtwoorden gemakkelijk met tekenvervangingen (“zoals “e” met “3”, “1” met “!” of “a” met “@”) en populaire reeksen (zoals ”qwerty”, “12345”, “asdfg”).
“Onbewust maken mensen ‘menselijke’ wachtwoorden met woorden uit het woordenboek in hun moedertaal, met namen, cijfers, enzovoort. Dingen die onze hersenen makkelijk kunnen onthouden. Zelfs schijnbaar sterke combinaties zijn zelden volledig willekeurig, waardoor algoritmen ze kunnen raden. Daarom is het genereren van een volledig willekeurig wachtwoord met behulp van moderne en betrouwbare wachtwoordmanagers de meest betrouwbare oplossing. Dergelijke apps kunnen grote hoeveelheden data veilig opslaan en bieden uitgebreide en robuuste bescherming voor gebruikersinformatie.” zegt Yuliya Novikova, hoofd Digital Footprint Intelligence bij Kaspersky.
*Alle beoordeelde wachtwoorden waren alleen in het Engels.
Over het onderzoek
Kaspersky’s onderzoek is uitgevoerd op basis van 193M wachtwoorden die openbaar beschikbaar zijn gevonden op verschillende darknetbronnen. Het volledige rapport is te lezen via Kaspersky Daily. Aanvullende informatie is te vinden in het onderzoeksmateriaal op Securelist.
Binnen het onderzoek gebruikten Kaspersky-experts de volgende algoritmen voor het raden van wachtwoorden:
- Bruteforce – bruteforce is een methode voor het raden van een wachtwoord waarbij systematisch alle mogelijke combinaties van tekens worden geprobeerd totdat de juiste is gevonden.
- Zxcvbn – is een geavanceerd scoringsalgoritme dat beschikbaar is op GitHub. Voor een bestaand wachtwoord bepaalt het algoritme het schema. Vervolgens telt het algoritme het aantal benodigde iteraties van de zoekopdracht voor elk element van het schema. Dus als het wachtwoord een woord bevat, dan duurt het vinden ervan een aantal iteraties dat gelijk is aan de lengte van het woordenboek. Met de zoektijd voor elk schema-element kan de sterkte van het wachtwoord worden geteld.
- Smart guessing algoritme – is een lerend algoritme. Gebaseerd op de dataset van gebruikerswachtwoorden kan het de frequentie van verschillende lettercombinaties berekenen.