Over wachtwoordsterkte...

ITnetadmin
Elite Poster
Elite Poster
Berichten: 6339
Lid geworden op: 28 Jan 2012
Bedankt: 476 keer
Recent bedankt: 11 keer
Uitgedeelde bedankjes: 92 keer

Re: Over wachtwoordsterkte...

Berichtdoor ITnetadmin » 06 Dec 2017, 01:46

De principes van randomness gelden voor zowel paswoorden als encryptie.

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 28266
Lid geworden op: 28 Okt 2003
Bedankt: 1861 keer
Recent bedankt: 10 keer
Uitgedeelde bedankjes: 349 keer

Re: Over wachtwoordsterkte...

Berichtdoor r2504 » 06 Dec 2017, 11:12

Op een cijfer tussen 0 en één miljoen... is het cijfer 111111 even random als 783245.

Het cijfer 111111 is wel eenvoudiger te raden dan 783245 op basis van een "dictionary" attack.

De randomness van encryptie staat in verband tot het algoritme... bij een paswoord is er totaal geen algoritme !

Je haalt dus twee dingen gewoon door elkaar.

ITnetadmin
Elite Poster
Elite Poster
Berichten: 6339
Lid geworden op: 28 Jan 2012
Bedankt: 476 keer
Recent bedankt: 11 keer
Uitgedeelde bedankjes: 92 keer

Re: Over wachtwoordsterkte...

Berichtdoor ITnetadmin » 07 Dec 2017, 00:31

Nee hoor.
De principes zijn hetzelfde.
Het probleem bij *alle* random inputs is dat ze even goed "1111" of "abcd" kunnen zijn, dat geldt bij encryptie ook.

Alleen zit de randomness bij woorden in het absoluut willekeurig kiezen van die woorden; als dat niet gebeurt zit er niet genoeg entropie in de selectie.
Bij het kiezen van een goed paswoord horen ook algoritmes.
Vandaar dat mensen er zo slecht in zijn.

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 28266
Lid geworden op: 28 Okt 2003
Bedankt: 1861 keer
Recent bedankt: 10 keer
Uitgedeelde bedankjes: 349 keer

Re: Over wachtwoordsterkte...

Berichtdoor r2504 » 07 Dec 2017, 21:49

En toch ben ik niet akkoord... wachtwoorden "kraak" je niet, die moet je gewoon "raden" (in tegenstelling tot encryptie).

We hebben dus een andere mening hierover.

Gebruikersavatar
JamesEarlGray
Pro Member
Pro Member
Berichten: 386
Lid geworden op: 24 Aug 2017
Bedankt: 28 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 5 keer

Re: Over wachtwoordsterkte...

Berichtdoor JamesEarlGray » 08 Dec 2017, 12:01

Wachtwoordsterkte gaat echter ook over het voorkomen dat je wachtwoord gekraakt kan worden.

Vandaar dat er voldoende entropie in moet zitten, zodat ze het niet met realistische middelen jouw wachtwoord kunnen kraken binnen een relevante termijn. Zeker nu je vier beesten van GPU's kan gebruiken om het bruteforcen aan uit te besteden, die kunnen bv miljarden MD5-hashes per seconde berekenen en zo gemakkelijk belachelijk grote rainbowtables van korte(re) wachtwoorden aanleggen.

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 28266
Lid geworden op: 28 Okt 2003
Bedankt: 1861 keer
Recent bedankt: 10 keer
Uitgedeelde bedankjes: 349 keer

Re: Over wachtwoordsterkte...

Berichtdoor r2504 » 08 Dec 2017, 14:17

Wachtwoorden kraak je niet... algoritmes kraak je !

Wachtwoorden kan je alléén raden... en zolang je wachtwoord lang genoeg is hebben dictionary attacks en rainbow tables totaal geen nut meer, dan blijft enkel brute force over en de regel is daar dat iedere combinatie van een groot aantal tekens even willekeurig is als een andere.

Gebruikersavatar
JamesEarlGray
Pro Member
Pro Member
Berichten: 386
Lid geworden op: 24 Aug 2017
Bedankt: 28 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 5 keer

Re: Over wachtwoordsterkte...

Berichtdoor JamesEarlGray » 08 Dec 2017, 14:32

Goh, semantiek mijns inziens.

Ik heb zojuist een volledige wikipediapagina geschreven die jou tegenspreekt. :-D

Daarnaast begrijp ik niet wat je bedoelt met het kraken van algoritmes. Je kan onbedoelde zwakheden vinden en uitbuiten, (cf. SSL Heartbleed) of de wereld kan zodanig evolueren dat het algoritme niet meer relevant is (cf. MD5 dat nu niet meer kan gebruikt worden als veilige hash voor een wachtwoord, wegens veel te snel te berekenen met de huidige hardware), etc. Maar 'kraken'? Wat bedoel je dan eigenlijk?

brubbel
Premium Member
Premium Member
Berichten: 716
Lid geworden op: 04 Jul 2012
Bedankt: 154 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 42 keer

Re: Over wachtwoordsterkte...

Berichtdoor brubbel » 08 Dec 2017, 14:54

Die heartbleed was een software bug, geen fout in het SSL algoritme.

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 28266
Lid geworden op: 28 Okt 2003
Bedankt: 1861 keer
Recent bedankt: 10 keer
Uitgedeelde bedankjes: 349 keer

Re: Over wachtwoordsterkte...

Berichtdoor r2504 » 09 Dec 2017, 12:28

JamesEarlGray schreef:Goh, semantiek mijns inziens.


Nee, helemaal niet.

JamesEarlGray schreef:Ik heb zojuist een volledige wikipediapagina geschreven die jou tegenspreekt. :-D


Alles wat op het internet staat is juist hé :lol:

JamesEarlGray schreef:Maar 'kraken'? Wat bedoel je dan eigenlijk?


Een encryptie algoritme is een complex wiskundig iets wat ervoor zorgt dat je het enkel kan omkeren indien je beschikt over de sleutel (bij een paswoord zijn er geen sleutels omdat het gewoonweg geen algoritme is maar gewoon wat karakters, daarom kan je het ook niet "kraken"). Bij het kraken van een encryptie algoritme gaat men op zoek naar zwakheden in de achterliggende wiskundige berekeningen (en dat is vaak het gebrek aan entropie of eigenlijk de random generator en de impact ervan op het algoritme) om de gegevens te ontcijferen zonder de sleutel.

Zoals brubbel trouwens al aangaf... Heartbleed heeft niets met encryptie te maken (ook al zat het in de OpenSSL implementatie), en MD5 is een hashing algoritme en heeft dus ook niets met encryptie te maken. Als je dergelijke dingen dus niet echt begrijpt zou ik me dan ook onthouden van het schrijven van Wikipedia artikels over deze materie (ik ben trouwens ook geen specialist en ga dat dus zeker ook niet doen).

Gebruikersavatar
JamesEarlGray
Pro Member
Pro Member
Berichten: 386
Lid geworden op: 24 Aug 2017
Bedankt: 28 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 5 keer

Re: Over wachtwoordsterkte...

Berichtdoor JamesEarlGray » 10 Dec 2017, 08:14

Ik kan je wel volgen dat je encryptie kan 'kraken' (als in: decryptie bekomen zonder over de juiste sleutel te beschikken), maar dat kan je in zekere zin ook met wachtwoorden: als de hash maar overeenkomt, dan is is het originele wachtwoord ook niet nodig. Vandaar ook die rainbow tables en het concept van hash collisions.

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 28266
Lid geworden op: 28 Okt 2003
Bedankt: 1861 keer
Recent bedankt: 10 keer
Uitgedeelde bedankjes: 349 keer

Re: Over wachtwoordsterkte...

Berichtdoor r2504 » 10 Dec 2017, 14:33

JamesEarlGray schreef:maar dat kan je in zekere zin ook met wachtwoorden: als de hash maar overeenkomt


Dat is wederom niet kraken (zoals het breken van een algoritme)... het blijft gewoon een geoptimaliseerde aanval waar je hashes gaat vergelijken (gokken dus en daarbij maakt entropie dus niets uit).

JamesEarlGray schreef:Vandaar ook die rainbow tables


Rainbow tables zijn niets meer dan pre-calculated hashes om het CPU gebruik te beperken... trouwens tainbow tables worden al snel een probleem met langere paswoorden (dan moet je al databases gaan aanmaken van verschillende TB's). Bijvoorbeeld een mixed-alpha-numeric Rainbow table voor 8 karakters is 160 GB, voor 9 karakters is dit al 864 GB. Trouwens als de paswoord hash gesalt is zoals het hoort is dit zinloos.

JamesEarlGray schreef:hash collisions.


Hash collisions hebben niets te maken met het ontcijferen van een paswoord... maar zorgen er gewoon voor dat een andere input (bijvoorbeeld het programma voorzien van een backdoor) toch dezelfde hash geeft en dus aanzien wordt als het originele. Het concept van een hash collision gaat je nooit helpen om het originele paswoord te achterhalen (in tegendeel zelfs).

ITnetadmin
Elite Poster
Elite Poster
Berichten: 6339
Lid geworden op: 28 Jan 2012
Bedankt: 476 keer
Recent bedankt: 11 keer
Uitgedeelde bedankjes: 92 keer

Re: Over wachtwoordsterkte...

Berichtdoor ITnetadmin » 11 Dec 2017, 20:26

Passwords kan je wel degelijk "kraken".
Er is niet zoveel verschil tussen een encryptie key kraken of een paswoord; beiden gaat het om patronen vinden.
Bij passwords zitten die patronen in de woorden zelf (namen van kinderen, geboortejaren, ...) of de relatie tussen de woorden.
Raden is gewoon een van de mogelijke varianten van "kraken".

Tomby
Elite Poster
Elite Poster
Berichten: 3416
Lid geworden op: 01 Feb 2006
Bedankt: 230 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 331 keer

Re: Over wachtwoordsterkte...

Berichtdoor Tomby » 12 Dec 2017, 12:37

Wat een geleuter over de semantiek van het woordje 'kraken' ... :roll:
Afbeelding

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 28266
Lid geworden op: 28 Okt 2003
Bedankt: 1861 keer
Recent bedankt: 10 keer
Uitgedeelde bedankjes: 349 keer

Re: Over wachtwoordsterkte...

Berichtdoor r2504 » 12 Dec 2017, 14:59

Het gaat hem niet over de semantiek... dat is een gevolg van de discussie rond entropie (die bij het kraken van een algoritme een heel andere betekenis heeft dan bij het raden van een paswoord).

Ik denk dat er ondertussen genoeg over geschreven is.


Terug naar “Algemeen Internet-Gebruik”

Wie is er online

Gebruikers op dit forum: Bing [Bot] en 1 gast