| Door: Theo van der Zee. | Categorie: Algemeen.

Een sterk wachtwoord verzinnen voor Joomla!

Net als vele andere Joomla template ontwikkelaars, moet ik vaak nieuwe wachtwoorden voor accounts bedenken. Terwijl diensten zoals LastPass je een willekeurig wachtwoord laten genereren en dit gekoppeld aan een gebruikersnaam op kunnen slaan, gebruiken veel mensen nog steeds het goede oude menselijk geheugen voor hun wachtwoorden. In de meeste gevallen zal dit de zwakste schakel in een veiligheidsketen zijn. Een korte test zal veel uitwijzen over je eigen wachtwoord gewoonten.

open_lockFoto credits: Mya!

Heb je ooit een wachtwoord (gehad) dat was gebaseerd op:

  • Je eigen voornaam en / of achternaam
  • Je geboortedatum of de datum van je partner 
  • De naam van je huisdier of echtgenoot  
  • De naam van een van je gezinsleden 
  • Elke belangrijke datum of plaats in je leven 
  • Het woord 'wachtwoord' of een synoniem van dat woord 
  • Een logische (toetsenbord) sequentie of een patroon zoals 123456 of 'qwerty' 
  • Een woord in een woordenboek van welke taal dan ook
  • Minder dan 6 tekens in totaal

De kans is enorm dat dit ook voor jou geldt en hackers weten dit. Met het oog op het creëren van de sterkst mogelijke wachtwoorden, moet je een aantal van de manieren waarop je account kan worden benaderd zonder je toestemming in overweging nemen:

Brute forcing

Hier lanceert de aanvaller een aanval met behulp van een of meer computers (een 'botnet') die zoveel wachtwoord combinaties zo snel mogelijk probeert. Bijvoorbeeld: de brute forcer kan het script starten met het wachtwoord '001 ', probeert dan 'ab 'en daarna 'd28d ', '2j4dh3D' of een andere reeks tekens. Om je website te beschermen tegen dit soort 'domme' aanvallen moet je de kans dat een computer je wachtwoord raadt zo klein mogelijk maken. Dit kan gedaan worden door een verhoging van de lengte van het wachtwoord en met behulp van gemengde hoofdletters/kleine letters en speciale tekens. Een snelle toename van de rekenkracht, high-end grafische processors en de ontwikkeling van gespecialiseerde software hebben helaas brute forcing een relatief eenvoudige taak voor computers gemaakt in vergelijking met een paar jaar geleden.

De Electronic Authentication Guideline stelt dat (pdf): "Een door de gebruiker geselecteerde acht karakter wachtwoord met getallen, gemengde hoofdletters/kleine letters en symbolen [...] zou een gemiddelde van 16 minuten kosten om te kraken.". Dit is de reden waarom onderzoekers van het Georgia Tech Research Institute stellen dat: uw vertrouwelijke informatie "[...] waarschijnlijk niet veilig is, tenzij u gebruik maken van een 12-cijferig gerandomiseerde wachtwoord ".

Helaas, lijkt noch Joomla 1.5, noch Joomla 1.6 enige bescherming tegen functie brute forcing te bieden (zoals het eisen van een CAPTCHA na een bepaalde hoeveelheid mislukte login pogingen).

Gebruik zoveel karakters als mogelijk (12 of meer is aangeraden) en zorg voor gemengde hoofdletters, cijfers en speciale tekens in uw wachtwoord

Rainbow tables / Dictionary attacks

Ervan uitgaande dat u waarschijnlijk niet van plan om een 12-cijferig+ gerandomiseerde wachtwoord te gebruiken voor elke Joomla Administrator login (ondanks het advies hierboven), zal ik verdere uitleg geven over veel voorkomende valkuilen bij het kiezen van een wachtwoord dat je daadwerkelijk kunt herinneren.

Omdat hackers weten dat de meeste mensen wachtwoorden zullen gebruiken op basis van de lijst hierboven beschreven (de data van welke aard dan ook, woorden in het woordenboek, namen, etc.), zullen ze meestal eerst een zogenaamde 'rainbow table aanval' doen, voorafgaand aan de lancering van een volledige brute force aanval. Rainbow tables zijn enorme lijsten (sommige tot meerdere terabytes in grootte) met veelvoorkomende woorden en wachtwoorden. Deze rainbow tables bevatten vaak hele woordenboeken in verschillende talen, vandaar de verwante term 'dictionary attack'. De aanvaller zal door de regenboog tabel lopen in een poging om een match te vinden met het wachtwoord dat jij hebt ingevoerd. Gezien de enorme hoeveelheid wachtwoorden die in een dergelijke rainbow table staan, zal het toevoegen van een eenvoudige 1 (password1) of' ! (Password!) waarschijnlijk u niet veilig houden.

Zet geen geen logische of samenhangende reeks tekens of nummers in je wachtwoord

Social engineering

Met dit type aanval zal de aanvaller proberen te profiteren van de kennis dat veel mensen persoonsgegevens gebruiken in hun wachtwoorden. Zij zullen halen informatie uit uw Facebook profiel, kijken voor sticky notes op je bureau (die hopelijk geen wachtwoorden bevatten) of kunnen zelfs proberen uw collega's bellen en vragen om jouw wachtwoord.

Zorg dat je wachtwoorden geen persoonlijke gegevens bevatten en vertel je wachtwoorden aan niemand

Algemene tips

  • Met behulp van Leet speak zul je jezelf niet veilig houden omdat rainbow tables reeksen zal bevatten zoals 'p4ssw0rd'
  • Veel gebruikers hebben wachtwoorden die zijn 8 tekens lang zijn, probeer of 9 (of 13) tekens om de kans dat aanvallers je wachtwoord gokken te verlagen
  • Gebruik geen verbanden in wachtwoorden als 'passwordFacebook' en 'passwordGmail', omdat een hacker deze link ook kan maken en meerdere accounts van je kraakt

Bonus tip

De Warcraft II account van een van mijn vrienden is onlangs gehackt. Zijn wachtwoord? Het nummer 1; niets meer en niets minder. Hij heeft dit wachtwoord meer dan 8 jaar gehad, en ondanks het feit dat het vrijwel elke regel brak die ik hierboven heb beschreven, was zijn account niet eerder gekraakt, waarschijnlijk gewoon omdat niemand het ooit geprobeerd gehad. Misschien dat dit ons dan ook de beste les leert van allemaal:

Zorg ervoor dat niemand je account sowieso wil hacken!

This article is also available in English: How To Create a Strong Password for Joomla!

{loadposition theovanderzee}

Heb jij net als Theo zelf een artikel geschreven dat je graag met andere Joomla gebruikers wilt delen? Neem dan contact met ons op. Theo spreekt ook op de Joomladagen over "SEO Mythes Ontkracht".

© Copyright 2008