Een analyse van wachtwoorden die via het dark web te vinden zijn toont aan dat er een massa logingegevens van Fortune 500-bedrijven online circuleert. Beveiligingsbedrijf ImmuniWeb vond 21 miljoen gelekte gegevens afkomstig van dergelijke bedrijven waarvan er 16 miljoen na lekken in de afgelopen twaalf maanden op het internet terecht kwamen.
Geen unieke wachtwoorden
De inloggegevens zijn afkomstig van drie voorname bronnen: websites van derden die niets met het originele bedrijf te maken hebben, websites van toeleveranciers en de getroffen bedrijven zelf. Het eerste geval illustreert de gevaren van shadow IT waarbij werknemers met hun bedrijfsgegevens accounts aanmaken op diensten van derden. Kiezen ze daar een uniek wachtwoord voor, dan is er geen groot probleem. De analyse toont echter aan dat wachtwoorden nog steeds vaak hergebruikt worden. De logindata toont dat gemiddeld elf procent van de credentials identiek is, wat illustreert dat medewerkers dezelfde gebruikersnaam-wachtwoordcombinatie gebruiken voor verschillende diensten.
Nog onrustwekkender is de kwaliteit van de gebruikte wachtwoorden. Al naargelang de industrie waren 33 tot zelfs 47 procent van de gelekte wachtwoorden als zwak te bestempelen. Denk daarbij onder andere aan parels als ‘Password1’ of ‘Welcome’. ImmuniWeb deed een grondige analyse en catalogiseerde alle wachtwoorden die snel te kraken zijn via een woordenboekaanval of omwille van hun lengte (minder dan acht tekens) als zwak.
Techsector het populairst
Het bedrijf rangschikte de gelekte data vervolgens per industrie en constateerde dat technologie, finance en gezondheidszorg het meest worden getroffen. Logisch, aangezien die sectoren traditioneel populaire doelwitten zijn. Medewerkers in de retailsector kiezen dan weer de slechtste wachtwoorden.
Het onderzoek toont aan hoe pover het vandaag ondanks alles nog gesteld is met credentialmanagement, zelfs binnen grote organisaties waar je een beter beleid zou verwachten. Training van werknemers waarbij het belang van unieke wachtwoorden wordt uitgelegd, kan helpen. Vandaag zorgt het hergebruik van inloggegevens ervoor dat credential stuffing zo populair is. Bij dat type aanval proberen criminelen gelekte data uit op andere websites in de hoop dat de combinatie hergebruikt werd, en al te vaak boeken ze succes.
Verder kan je als bedrijf tweefactorauthenticatie uitrollen om het risico van gelekte wachtwoorden te beperken. Een minimumlengte van acht of toen karakters voor een wachtwoord helpt ook al. Verder kan je al te zwakke wachtwoorden automatisch laten afwijzen.