Alleen voldoen aan beveiligingsstandaarden voor wachtwoorden is niet genoeg
Het 2025 Breached Password Report van Specops analyseerde meer dan een miljard wachtwoorden die door kwaadaardige software zijn gestolen. Conclusie: onze wachtwoorden zijn nog steeds niet sterk genoeg.
Het is een feit: niet-veilige wachtwoorden zoals 123456, admin en wachtwoord worden nog steeds veel gebruikt. Het is niet nodig ze complexer te maken door simpelweg een speciaal teken toe te voegen, merkt Specos op. De drie meest gebruikte voorbeelden, Pass@123, P@ssw0rd en Aa@123456, zijn niet bestand tegen brute force aanvallen.
“Zelfs als het wachtwoordbeleid van uw organisatie robuust is en voldoet aan de compliancenormen, zal dit wachtwoorden niet beschermen tegen diefstal door malware, zegt Darren James, Senior Product Manager bij Specops. We hebben zelfs ontdekt dat veel van de gestolen wachtwoorden in deze dataset de vereisten voor lengte en complexiteit van de huidige cyberbeveiligingsvoorschriften overschrijden.”
Langere wachtwoorden
ontdekte met name dat 230 miljoen gestolen wachtwoorden voldoen aan de standaard complexiteitseisen van veel organisaties (meer dan acht tekens, een hoofdletter, een cijfer en een speciaal teken). Hieruit blijkt dat het niet voldoende is om simpelweg te voldoen aan beveiligingsstandaarden voor wachtwoorden.
Specops sluit zich aan bij het advies van het NIST (National Institute of Standards and Technology) om meer nadruk te leggen op het vergroten van de lengte van wachtwoorden. De lengte van de meest gebruikte wachtwoorden is acht tekens, wat overeenkomt met dit verplichte criterium dat door bijna alle sites wereldwijd wordt opgelegd.
Hergebruik
Een andere bevinding van Specops is het hergebruik van wachtwoorden voor vier of meer accounts. Als deze gestolen authenticatiegegevens worden gevonden in de Active Directory van een organisatie, geven ze toegang tot alle andere wachtwoorden. Deze wachtwoorden kunnen ook worden gebruikt om toegang te krijgen tot een VPN. Het risico is dan maximaal…
