Korte Windows-wachtwoorden hackbaar in amper enkele uren

Alle NTLM-wachtwoorden die slechts acht tekens of zelfs minder tellen, zijn in enkele uren te kraken zonder dat daar uitzonderlijke hardware voor nodig is. Het gebruik van speciale tekens is niet relevant.

Het duurt minder lang om een acht tekens tellend NTLM-wachtwoord te kraken, dan tijdens een regenachtige spits van Oostende naar Brussel te pendelen. Onderzoekers van Hashcat, een tool voor het terugvinden van vergeten wachtwoorden (of kraken van wachtwoorden die je nooit kende) combineerden hun software met een krachtige computer en constateerde dat het maximaal 2,5 uur duurt om een dergelijk wachtwoord te raden.

Onveilig protocol

Van het NTLM-wachtwoordprotocol, gebruikt door Microsoft voor netwerktoegang tot onder andere Active Directory en Windows-systemen, is al bijna tien jaar geweten dat het een te eenvoudige implementatie van hash-functies gebruikt, waardoor een brute force-aanval mogelijk wordt. Microsoft kwam al aan dat euvel tegemoet met Kerberos: een meer robuuste standaard. NTLM wordt echter nog steeds ondersteund.

De Hashcat-onderzoekers draaiden hun programma op een systeem met acht Nvidia GeForce 2080Ti-gpu’s. Dankzij de hardware haalde de software een snelheid van meer dan 100 gigahashes per seconde. Aan die snelheid duurde het maximaal enkele uren om een wachtwoord van acht tekens te kraken, ongeacht de complexiteit ervan.

Minimumlengte

Acht tekens werd niet toevallig als lengte gekozen. De meeste websites hanteren acht als minimum wachtwoordlengte, en de meeste gebruikers wijken niet te ver af van dat minimum. Nog steeds heerst de perceptie dat het een goed idee is om complexe wachtwoorden te kiezen. Veel websites eisen zelfs dat je hoofdletters, kleine letters, cijfers én speciale tekens in één wachtwoord propt. Het resultaat zijn moeilijk te onthouden dingen zoals ‘T3chZ!ne’. Dergelijke wachtwoorden zijn enkel moeilijk voor de mensen die ze moeten onthouden, maar zijn eenvoudig te raden door machines.

Zelfs wanneer wachtwoorden veiligere protocols van NTLM gebruiken, is acht tekens niet meer voldoende. In de plaats van enkele uren duurt het dan al snel enkele dagen om een brute force-aanval uit te voeren, maar met de rekenkracht die vandaag via de cloud beschikbaar is, is ook die horde eenvoudig te nemen.

Veilig wachtwoord

Het is veel veiliger om een wachtwoordzin te gebruiken. De lengte is wat de veiligheid van je wachtwoord bepaald, niet het aantal complexe tekens. Geen enkele hacker schiet in paniek omdat je de briljante ingeving hebt gehad om een ampersand in he wachtwoord te stoppen. Xkcd legde jaren geleden al op een heel begrijpelijke manier uit wat precies de best practices voor een veilig wachtwoord zijn. Wat toen juist was, is vandaag relevanter dan ooit.

Beeld: xkcd

Heb jij belangrijke wachtwoorden van een achttal tekens? Overweeg dan om ze te veranderen. Een wachtwoordmanager kan je helpen om lange veilige wachtzinnen te genereren, maar je kan natuurlijk ook zelf aan de slag gaan. Bovenstaand voorbeeld toont aan dat het niet moeilijker hoeft te zijn om een lang wachtwoord te onthouden. Andere beveiligingstips blijven natuurlijk ook relevant: zorg voor een zekere willekeur in je wachtwoord, en activeer tweefactorauthenticatie waar mogelijk.

Gerelateerd: Dit zijn de 25 slechtste wachtwoorden van 2018