Vermomd hergebruik van wachtwoorden: een vaak gemiste, risicovolle oplossing

Cyberbeveiliging
Vermomd hergebruik van wachtwoorden: een vaak gemiste, risicovolle oplossing

Wanneer beveiligingsteams de risico’s met betrekking tot inloggegevens bespreken, ligt de nadruk doorgaans op bedreigingen zoals phishing, malware of ransomware. Deze aanvalsmethoden blijven zich ontwikkelen en trekken terecht de aandacht. Een van de meest hardnekkige en onderschatte risico’s voor de veiligheid van organisaties blijft echter veel gewoner.

Bijna identiek hergebruik van wachtwoorden blijft vaak onopgemerkt voorbij de beveiligingscontroles glippen, zelfs in omgevingen met een gevestigd wachtwoordbeleid.

Waarom hergebruik van wachtwoorden ondanks krachtig beleid nog steeds voorkomt

De meeste organisaties begrijpen dat het gebruik van exact hetzelfde wachtwoord op meerdere systemen risico’s met zich meebrengt. Beveiligingsbeleid, regelgevingskaders en gebruikersbewustzijnstrainingen ontmoedigen dit gedrag consequent, en veel werknemers doen hun uiterste best om hieraan te voldoen. Oppervlakkig gezien suggereert dit dat het hergebruik van wachtwoorden een steeds kleiner probleem zou moeten zijn.

In werkelijkheid blijven aanvallers toegang verkrijgen via inloggegevens die technisch gezien aan de beleidsvereisten voldoen. De reden hiervoor is niet altijd flagrant hergebruik van wachtwoorden, maar een subtielere oplossing die bekend staat als vrijwel identiek hergebruik van wachtwoorden.

Wat is vrijwel identiek hergebruik van wachtwoorden?

Bijna identiek hergebruik van wachtwoorden vindt plaats wanneer gebruikers kleine, voorspelbare wijzigingen aanbrengen in een bestaand wachtwoord in plaats van een volledig nieuw wachtwoord te maken.

Hoewel deze wijzigingen voldoen aan de formele wachtwoordregels, dragen ze weinig bij aan het verminderen van de blootstelling in de echte wereld. Hier zijn enkele klassieke voorbeelden:

  • Een nummer toevoegen of wijzigen
    • Zomer2023! → Zomer2024!
  • Een karakter toevoegen
  • Symbolen of hoofdletters omwisselen
    • Welkom! → Welkom?
    • AdminPass → beheerderspas

Een ander veelvoorkomend scenario doet zich voor wanneer organisaties een standaard starterswachtwoord aan nieuwe werknemers verstrekken, en in plaats van dit volledig te vervangen, gebruikers in de loop van de tijd stapsgewijs wijzigingen aanbrengen om aan de regelgeving te blijven voldoen. In beide gevallen lijken de wachtwoordwijzigingen legitiem, maar blijft de onderliggende structuur grotendeels intact.

Wanneer een slechte gebruikerservaring tot risicovolle oplossingen leidt

Deze kleine variaties zijn gemakkelijk te onthouden, en dat is precies de reden waarom ze zo vaak voorkomen. Van de gemiddelde werknemer wordt verwacht dat hij tientallen inloggegevens in zowel werk- als persoonlijke systemen beheert, vaak met verschillende en soms tegenstrijdige vereisten. Nu organisaties steeds meer afhankelijk zijn van software-as-a-service-applicaties, blijft deze last toenemen.

Uit onderzoek van Specops blijkt dat een organisatie met 250 medewerkers gezamenlijk naar schatting 47.750 wachtwoorden kan beheren, waardoor het aanvalsoppervlak aanzienlijk wordt vergroot. Onder deze omstandigheden wordt het vrijwel identieke hergebruik van wachtwoorden eerder een praktische oplossing dan een daad van nalatigheid.

Vanuit het perspectief van een gebruiker voelt een aangepast wachtwoord anders genoeg om aan de nalevingsverwachtingen te voldoen en toch gedenkwaardig te blijven. Deze microwijzigingen voldoen aan de regels voor wachtwoordgeschiedenis en complexiteitsvereisten, en in de gedachten van de gebruiker is voldaan aan de vereiste om een ​​wachtwoord te wijzigen.

Voorspelbaarheid is precies waar aanvallers misbruik van maken

Vanuit het perspectief van een aanvaller ziet de situatie er heel anders uit. Deze wachtwoorden vertegenwoordigen een duidelijk en herhaalbaar patroon.

Moderne aanvallen op basis van inloggegevens zijn gebaseerd op inzicht in de manier waarop mensen wachtwoorden onder druk wijzigen, en hergebruik van vrijwel identieke wachtwoorden wordt verondersteld in plaats van als een randgeval te worden behandeld. Dit is de reden waarom de meeste hedendaagse tools voor het kraken van wachtwoorden en het opvullen van inloggegevens zijn ontworpen om voorspelbare variaties op grote schaal te exploiteren.

Hoe aanvallers wachtwoordpatronen bewapenen

In plaats van willekeurig wachtwoorden te raden, beginnen aanvallers doorgaans met inloggegevens die bij eerdere datalekken zijn vrijgegeven. Deze geschonden wachtwoorden worden samengevoegd tot grote datasets en gebruikt als basis voor verdere aanvallen.

Geautomatiseerde tools passen vervolgens algemene transformaties toe, zoals:

  • Tekens toevoegen
  • Symbolen veranderen
  • Oplopende getallen

Wanneer gebruikers vertrouwen op vrijwel identiek hergebruik van wachtwoorden, kunnen deze tools snel en efficiënt van het ene gecompromitteerde account naar het andere gaan.

Belangrijk is dat patronen voor het wijzigen van wachtwoorden doorgaans zeer consistent zijn in verschillende demografische gebruikersgroepen. De wachtwoordanalyse van Specops heeft herhaaldelijk aangetoond dat mensen vergelijkbare regels volgen bij het aanpassen van wachtwoorden, ongeacht hun rol, branche of technische vaardigheden.

Deze consistentie maakt hergebruik van wachtwoorden, inclusief vrijwel identieke varianten, zeer voorspelbaar en daardoor gemakkelijker te misbruiken voor aanvallers. In veel gevallen wordt een aangepast wachtwoord ook voor meerdere accounts hergebruikt, waardoor het risico nog groter wordt.

Waarom traditioneel wachtwoordbeleid er niet in slaagt vrijwel identiek hergebruik te stoppen

Veel organisaties denken dat ze beschermd zijn omdat ze al regels voor wachtwoordcomplexiteit afdwingen. Deze omvatten vaak vereisten voor de minimale lengte, een combinatie van hoofdletters en kleine letters, cijfers, symbolen en beperkingen op het hergebruiken van eerdere wachtwoorden. Sommige organisaties verplichten ook regelmatig wachtwoordroulatie om de blootstelling te verminderen.

Hoewel deze maatregelen de zwakste wachtwoorden kunnen blokkeren, zijn ze slecht geschikt om vrijwel identiek hergebruik van wachtwoorden aan te pakken. Een wachtwoord zoals FinanceTeam!2023 gevolgd door FinanceTeam!2024 zou alle complexiteits- en geschiedeniscontroles overschrijden, maar zodra de ene versie bekend is, is de volgende voor een aanvaller triviaal om af te leiden. Met een goed geplaatst symbool of een hoofdletter kunnen gebruikers aan de regels blijven voldoen terwijl ze toch op hetzelfde onderliggende wachtwoord kunnen vertrouwen.

Een andere uitdaging is het gebrek aan uniformiteit in de manier waarop wachtwoordbeleid wordt afgedwongen in de bredere digitale omgeving van een organisatie. Werknemers kunnen te maken krijgen met verschillende vereisten binnen bedrijfssystemen, cloudplatforms en persoonlijke apparaten die nog steeds toegang hebben tot organisatiegegevens. Deze inconsistenties moedigen verder voorspelbare oplossingen aan die technisch gezien in overeenstemming zijn met het beleid, terwijl de algehele beveiliging wordt verzwakt.

Aanbevolen stappen om het wachtwoordrisico te verminderen

Om het risico dat gepaard gaat met vrijwel identiek hergebruik van wachtwoorden te verminderen, moeten we verder gaan dan de basisregels voor complexiteit. Beveiliging begint met inzicht in de status van inloggegevens binnen de omgeving. Organisaties hebben inzicht nodig in de vraag of wachtwoorden zijn verschenen bij bekende inbreuken en of gebruikers vertrouwen op voorspelbare gelijkenispatronen.

Dit vereist voortdurende monitoring van inbreukgegevens in combinatie met intelligente gelijkenisanalyse, en geen statische of eenmalige controles. Het betekent ook dat het wachtwoordbeleid moet worden herzien en bijgewerkt om wachtwoorden die te veel op de vorige lijken expliciet te blokkeren, waardoor algemene oplossingen worden voorkomen voordat deze diepgeworteld gedrag worden.

De kloof dichten met slimmere wachtwoordcontroles

Organisaties die dit basisaspect van wachtwoordbeleid missen, worden onnodig blootgesteld. Specops Password Policy consolideert deze mogelijkheden in één oplossing, waardoor organisaties wachtwoordbeveiliging op een meer gestructureerde en transparante manier kunnen beheren.

Specops Wachtwoordbeleid maakt gecentraliseerd beleidsbeheer mogelijk, waardoor het eenvoudiger wordt om wachtwoordregels in Active Directory te definiëren, bij te werken en af ​​te dwingen naarmate de vereisten evolueren. Het biedt ook duidelijke, gemakkelijk te begrijpen rapporten waarmee beveiligingsteams wachtwoordrisico’s kunnen beoordelen en naleving kunnen aantonen. Bovendien scant deze tool voortdurend Active Directory-wachtwoorden op basis van een database met meer dan 4,5 miljard bekende geschonden wachtwoorden.

Wilt u weten welke Specops-tools van toepassing zijn op de omgeving van uw organisatie. Boek vandaag nog een live demo van Specops Wachtwoordbeleid.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google zegt dat het niet illegaal gegevens heeft verzameld, maar dat het u toch zal betalen

Een overwinning voor uw portemonnee in 2026

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]