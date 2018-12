1. Nutella

Het Twitter-account Nutella haakte in op World Password Day met onderstaande tweet. Goedbedoeld, maar met een enorm slecht advies, namelijk dat je je wachtwoord verandert naar iets wat je een warm hart toedraagt: Nutella. Dat wachtwoord wordt wel heel snel gevonden als een aanvaller een database in handen krijgt, want volgens Troy Hunts database Haveibeenpowned komt 'Nutella' 21.430 keer voor in gehackte wachtwoorddatabases.

Nutella komt zelfs in meerdere varianten voor op deze wachtwoordenlijst die je vindt in usr/share/wordlists/rockyou.txt.gz op Kali Linux - zo doorsnee is dat wachtwoord. Op z'n zachtst gezegd geen goed advies dus.

Today it's World Password Day: choose a word that's already in your heart. Like "Nutella", for example!... twitter.com/i/web/status/9... — Nutella (@NutellaGlobal)3 May 2018

2. 123456 nog steeds aan de top

Jaarlijks publiceert SplashData een lijst van populairste wachtwoorden, samengesteld uit openbaar gemaakte gehackte wachtwoorddatabases. Wachtwoorden komen zo vaak op straat te liggen, dat het eenvoudig is om zo'n lijst te bepalen. Nieuw dit jaar was onder meer 'donald', maar het wachtwoord '123456' prijkt al jaren aan de top, op de voet gevolgd door password.

Geen makkelijke wachtwoorden meer, denken beveiligers dan. Als reactie worden wachtwoordeisen krankzinnig complex, vaak met tegenovergesteld effect van wat je probeert te bereiken. Meer dan vier jaar gelden klaagde deze redacteur hier dat bizarre wachtwoordeisen bij Skype ervoor dat een wachtwoordzin als TheRatioOfPeopleToCakeIsTooBig werd verworpen, terwijl Passw0rd netjes werd geslikt. Nog steeds actueel, helaas.

Inmiddels is het zelfs alleen maar slechter geworden. Mijn wederhelft was onlangs een half uur kwijt om een legitiem wachtwoord in te stellen bij een zekere comic-site en de frustratie die dat opleverde deed me denken aan deze oude wachtwoordgrap. Wachtwoordmanagers zijn de oplossing, mét 2FA alsjeblieft dankjewel als je een cloudimplementatie gebruikt in plaats van een lokale optie.

3. Kanye's 000000 op televisie

4. Verloren wachtwoord kost honderdduizenden euro's

Het gebeurt vaker dat iemand het wachtwoord kwijtraakt voor zijn of haar cryptovaluta. Die valuta zijn zoals je weet een overzicht van transacties en een sleutelpaar om deze te beschermen. Er is geen centrale bank om een sleutel op te vragen: jij en jij alleen hebt toegang tot dat overzicht van jouw specifieke transacties die een saldo vormen. Geen wachtwoord = geen valuta.

Naar schatting zijn rond de 3 miljoen van de 21 miljoen bitcoins reeds verloren gegaan (sommige schattingen zijn zelfs nóg hoger), waarvan een deel voorgoed vergrendeld is in de blockchain, omdat gebruikers de private keys kwijt zijn. En dat overkomt de beste: zelfs de geeks van Wired raakten dit jaar de sleutels kwijt van hun 13 geminede BTC, toen zo'n 100.000 euro, inmiddels de helft minder.

Noot: Ik schreef dit afgelopen vrijdag rond de lunch, maar gezien de plotse stijging van de koers deze week kan het op het moment dat je dit leest 75.000 zijn. Of 30.000.

Een ander high-profile voorbeeld kwam deze maand van een Turkse investeerder die een screenshot van zijn recoveryseed had opgeslagen op zijn iMac (wat overigens geen goed idee is) en de machine later inleverde bij een Apple Store en een nieuwe kocht. Toen hij zich realiseerde dat zijn enige sleutelredding op de iMac stond, was de schijf reeds geformatteerd en blijkbaar was hij niet technisch onderlegd genoeg om te beseffen dat de informatie dan soms nog te herstellen is.

5. ProtonMail-achtwoord bij bushalte

Een personeelslid van het Witte Huis schreef zijn inloggegevens van beveiligde e-maildienst ProtonMail op een stuk papier. Dat is misschien nog niet eens zo erg, maar vervolgens liet hij dat document liggen bij een bushalte. En de inlognaam en wachtwoord waren genoteerd op papier met een White House-briefhoofd, zodat ook direct duidelijk was dat dit wel eens om belangrijke credentials zou kunnen gaan.

Iemand vond het document en speelde het door naar The Intercept, die kon bevestigen dat het daadwerkelijk om een versleutelde e-mailaccount ging van een staflid. Protonmail zelf reageerde op het incident met deze mededeling waarin gebruikers werd gewaarschuwd dat ze vooral 2FA moeten gebruiken en als je je wachtwoord al opschrijft, dat papiertje tenminste niet kwijtraakt.