First click here and then choose your language with the Google translate bar at the top of this page ↑
Ondanks de toenemende cyberbeveiligingsdreigingen lijkt het ene gebied dat binnen handbereik ligt ook het gebied dat het meest genegeerd wordt. De jaarlijkse lijst van 'slechtste wachtwoorden' is uit. Cybersecuritybedrijf NordPass heeft de 'Meest voorkomende wachtwoorden' van 2022 lijst bekendgemaakt. NordPass werkte samen met onafhankelijke cyberbeveiligingsspecialisten en evalueerde dit jaar een database van 3 terabyte aan onderzoek naar cyberbeveiligingsincidenten in 30 landen. Het onderzoek constateerde een terugkerend patroon dat door de jaren heen is blijven bestaan - mensen hebben de neiging om getallen achter elkaar te gebruiken en hun wachtwoorden te baseren op thema's als actuele gebeurtenissen, modemerken en sport.
Hardnekkig probleem
"Hier zijn de top 200 meest voorkomende wachtwoorden in 2022. We hebben geleerd dat ondanks het groeiende cyberbeveiligingsbewustzijn, oude gewoonten moeilijk sterven. Uit het onderzoek blijkt dat mensen nog steeds zwakke wachtwoorden gebruiken om hun accounts te beschermen. Dit jaar hebben we gekeken hoe cultuur van invloed is op wachtwoorden. Verken de lijst nu," aldus NordPass in een verklaring.
Dit jaar werd "wachtwoord" bijna vijf miljoen keer gebruikt in hun steekproef, waarmee ze alle andere zwakke wachtwoorden ruimschoots overtroffen. Hoewel de wachtwoordkeuzes van jaar tot jaar niet veel zijn veranderd, was de steekproef van NordPass uit 2021 iets anders. Toen stond het wachtwoord "123456" bovenaan de wereldwijde ranglijst en "wachtwoord" op de tweede plaats, maar cijferreeksen waren net zo populair als nu. De meerderheid van de 200 andere wachtwoorden in de studie van dit jaar bestaat dan ook voornamelijk uit cijferreeksen die beginnen met "123", of variaties zoals een reeks nullen, enen of andere getallen. Andere zwakke voorbeelden waren "iloveyou", "football" en "samsung".
In minder dan een seconde gehackt
De meeste wachtwoorden in de top 200 kunnen in minder dan een seconde worden gekraakt - of gehackt. Sommige, zoals "guest" en "col123456", hebben ongeveer 10 seconden nodig, terwijl andere, zoals "Groupd2013", tot 3 uur kunnen duren. Langere wachtwoorden zoals "9136668099" hebben echter 4 dagen nodig om te kraken, zo bleek uit de studie. Dit bewijst dat wachtwoorden van tien tekens of langer - maar niet in een typische volgorde - onmetelijk veiliger zijn.
Actuele gebeurtenissen beïnvloeden wachtwoordkeuze
Gebruikers laten zich bij het maken van hun wachtwoorden vaak inspireren door de actualiteit. "Er is meer dan één manier om opgelicht te worden op Tinder," zei NordPass, verwijzend naar het gebruik van de dating app als wachtwoord 36.384 keer in het onderzoek. "Het gebruik van 'tinder' als wachtwoord is riskanter dan rechts vegen op een miljardair."
Gebruikers lieten zich ook inspireren door evenementen als de Oscars waardoor het wachtwoord "Oscars" 62.983 keer werd gebruikt. Populaire films en shows zoals Encanto, Euphoria en Batman die tussen 2021 en 2022 zijn uitgebracht, zijn nog steeds populaire wachtwoordkeuzes, aldus NordPass. Het wachtwoord "batman" werd bijvoorbeeld 2.562.772 keer gebruikt.
"Hoewel de slechtste wachtwoorden elk jaar veranderen, zijn mensen gewoontedieren. Elk jaar zien onderzoekers hetzelfde patroon - sportteams, filmpersonages en voedingsmiddelen domineren elke wachtwoordlijst," aldus de studie.
Hergebruik van wachtwoorden is gevaarlijk
Gemakkelijk te raden wachtwoorden gebruiken is één ding, maar ze hergebruiken voor meerdere accounts kan uitmonden in grootschalige hackingcampagnes en persoonlijke compromissen. Volgens een recente studie van wachtwoordbeheerder Dashlane wordt wereldwijd meer dan 50 procent van de wachtwoorden hergebruikt. Zo kunnen hackers miljoenen accounts kraken door websites te "vullen" met gestolen, zwakke referenties via geautomatiseerde programma's - ook wel een credential stuffing-aanval genoemd. Credentielijsten zijn vaak te koop op het darkweb, waar iedereen ze gemakkelijk kan kopen voor cryptocurrency.
In een dergelijk geval konden hackers in september inbreken in Microsoft Exchange-servers - die door miljoenen ondernemingen wereldwijd voornamelijk voor e-mail worden gebruikt - en kwaadaardige toepassingen op deze servers implementeren om gebruikers te benaderen met phishing-e-mails die kunnen leiden tot financiële diefstal of identiteitsfraude.
Een ander voorbeeld - een van de grootste cyberbeveiligingsincidenten die dit jaar het nieuws haalden - was de hack bij de Australische Medibank deze maand, die volgens de CEO van het bedrijf mogelijk werd veroorzaakt door een gestolen wachtwoord.
Wachtwoordbeveiliging is van vitaal belang!
MindYourPass deed onderzoek
De bedenker van 'MindYourPass' en wachtwoorden expert Merijn de Jonge deed onderzoek binnen organisaties naar het hergebruik van wachtwoorden en kwam met het volgende resultaat.
Klik op afbeelding om te vergroten
Bovenstaande afbeelding laat het hergebruik van wachtwoorden binnen een organisatie zien.
Hergebruik betekent dat eenzelfde persoon op dezelfde computer in dezelfde browser eenzelfde wachtwoord gebruikt op meer dan één account. Het werkelijke hergebruik van wachtwoorden ligt hoger omdat bijvoorbeeld ook verschillende mensen dezelfde wachtwoorden gebruiken.
In het plaatje zijn de knopen applicaties waar medewerkers op inloggen. Een lijn tussen twee knopen betekent dat iemand op de betreffende applicaties hetzelfde wachtwoord heeft gebruikt.
Hoe dikker de lijn hoe meer medewerkers binnen de organisatie dit hebben gedaan. Een rode lijn betekent dat het hergebruikte wachtwoord bij hackers bekend is (het zit in de database van haveibeenpwned). Kleurt een applicatie rood, dan wordt deze zakelijk gebruikt. Kleurt hij groen dan wordt hij juist privé gebruikt. Voor blauwe knopen kon dit niet worden vastgesteld. Een kleurcombinatie duidt op het gecombineerd gebruik van zakelijk en privé.
Bron: mindyourpass.io, nordpass.com, 10guards.com
Meer info over wachtwoorden of alle begrippen en vormen van A tot Z
Meer actueel nieuws
Phishing van eigen kredietbank, Ivanti Sentry misbruikt
In deze aflevering van het Cyber Journaal kijken we naar het nieuws van donderdag 11 en vrijdag 12 juni. Cliënten van Kredietbank Limburg kregen phishingmails die werkelijk van hun eigen kredietbank kwamen, het kritieke lek in Ivanti Sentry ging in één dag van een waarschuwing van het NCSC naar bevestigd misbruik met een spoeddeadline van CISA, en een internationale politieactie ontmantelde de witwasdienst AudiA6 die ruim 380 miljoen dollar aan criminele opbrengsten verwerkte. Daarnaast bevestigt een universiteit 454.600 getroffen studenten in de PeopleSoft campagne van ShinyHunters, en toont onderzoek van Anthropic dat AI de tijd tussen patch en werkende exploit terugbrengt van weken naar uren. We lopen het thema voor thema langs.
Check Point VPN met Qilin, phishing bij Vlaamse hotels
In deze aflevering van het Cyber Journaal kijken we naar het nieuws van dinsdag 9 en woensdag 10 juni. Een kritiek lek in de VPN van Check Point wordt actief misbruikt en mondt in minstens één geval uit in Qilin ransomware, bijna honderd Vlaamse hotels worden getroffen door phishing met betaalverzoeken die tot in detail kloppen, en een internationale politieactie haalt de criminele dienst First VPN offline. Daarnaast zien we een recordronde patches van Microsoft, een autonome agent die eigenhandig kwetsbaarheden vindt, en aanvallers die zich steeds vaker richten op de mensen die software bouwen. We lopen het thema voor thema langs.
Pink kaapt Microsoft 365 via telefoon, datalek Epe
In deze aflevering van het Cyber Journaal kijken we terug op het weekend van zaterdag 6 tot en met maandag 8 juni. Een nieuwe afpersgroep steelt bedrijfsdata uit Microsoft 365 zonder ook maar één regel malware, een Nederlandse gemeente verloor honderden gigabytes aan persoonsgegevens en boven Europa lijkt een Russische satelliet het navigatiesignaal te verstoren. Daarnaast zien we beveiligingssoftware die blijft draaien maar stilvalt, een reeks actief misbruikte kwetsbaarheden in netwerkapparatuur, en flinke resultaten in de opsporing. We lopen het thema voor thema langs.
Verdachte gezocht na babbeltruc bij 76-jarige in Rotterdam
Een 76-jarige Rotterdammer raakte zijn bankpas en pincode kwijt nadat oplichters zich voordeden als zijn bank en als de politie. De politie zoekt de man die daarna met de pinpas geld opnam en op camerabeelden staat.
Mailboxspionage en Cisco SD-WAN actief misbruikt
In deze aflevering van het Cyber Journaal staan de dagen van donderdag 4 en vrijdag 5 juni centraal. Aanvallers lazen vijf maanden lang ongezien mee in de mailbox van een beursdirecteur en sluisden de inhoud weg via vertrouwde clouddiensten. In Nederland en België blijven hotelgasten en bankklanten doelwit van fraude die naadloos aansluit op de werkelijkheid. Tegelijk staat de toeleverketen van software opnieuw onder druk, worden kwetsbaarheden in netwerkapparatuur en WordPress actief misbruikt, en zien we beweging in opsporing, spionage en het beleid rond digitale soevereiniteit. We lopen het thema voor thema langs.
Datalek hotelsector, Windows NETLOGON actief misbruikt
In deze aflevering van het Cyber Journaal staan de dagen van dinsdag 2 en woensdag 3 juni centraal. Koninklijke Horeca Nederland waarschuwt voor een breed datalek in de hotelsector, waarbij gestolen reserveringsgegevens gasten bereiken via geloofwaardige phishing. In Den Bosch onderzoekt de overheid een mogelijk datalek bij de gevangenis van Vught dat niet door een hack ontstond, maar door een overgeslagen procedure. Tegelijk staat de toeleverketen van software opnieuw onder druk, worden twee kritieke lekken in Windows en Android actief misbruikt, en zien we beweging in opsporing, hacktivisme en spionage. We lopen het thema voor thema langs.