Over wachtwoordsterkte...

fibrbuzz1
Member
Member
Berichten: 85
Lid geworden op: 04 Sep 2016
Bedankt: 4 keer
Uitgedeelde bedankjes: 1 keer

Over wachtwoordsterkte...

Berichtdoor fibrbuzz1 » 26 Okt 2017, 13:30

Klopt wat in deze xkcd staat? Ik heb er wel eerder van gehoord... https://xkcd.com/936/

Dus als je moet kiezen tussen pakweg, "f1tn3ss2xw33k%%" of "fitnessdoeikelkeweekminstenstweekeer" dan is de tweede véél sterker?

Stroper
Elite Poster
Elite Poster
Berichten: 890
Lid geworden op: 24 Aug 2011
Bedankt: 92 keer
Uitgedeelde bedankjes: 60 keer

Re: Over wachtwoordsterkte...

Berichtdoor Stroper » 26 Okt 2017, 13:33

Als je het wil kraken met brute force wel
https://howsecureismypassword.net/
33 miljoen jaar vs.688 noniljoen of zoiets

Vgl het met getallen, er zijn slechts 10 getallen als je 2 cijfers gebruikt zijn er 10 mogelijkheden gebruik je cijfers dan zijn het er ineens 10x zoveel oftwel honderd.
Als je weet dat je wachtwoord kan bestaan uit hoofdletter, kleine letters, cijfers en speciale tekens dan is elk teken dat er bijkomt gelijk aan meer dan 60x keer zoveel mogelijke combinaties.

Gebruikersavatar
cloink
Elite Poster
Elite Poster
Berichten: 3277
Lid geworden op: 29 Okt 2007
Twitter: cloink
Bedankt: 114 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 70 keer
Contact:

Re: Over wachtwoordsterkte...

Berichtdoor cloink » 26 Okt 2017, 13:59

Klopt in principe, maar let op met echte woorden (i.f.v. dictionary attacks). Dialect should be fine. :mrgreen:
ooh. shiny.

Gebruikersavatar
selder
Moderator
Moderator
Berichten: 4878
Lid geworden op: 29 Jun 2005
Locatie: Tienen
Bedankt: 499 keer
Recent bedankt: 4 keer
Uitgedeelde bedankjes: 70 keer

Re: Over wachtwoordsterkte...

Berichtdoor selder » 26 Okt 2017, 14:37

Stroper schreef:Als je het wil kraken met brute force wel
https://howsecureismypassword.net/
33 miljoen jaar vs.688 noniljoen of zoiets

Vgl het met getallen, er zijn slechts 10 getallen als je 2 cijfers gebruikt zijn er 10 mogelijkheden gebruik je cijfers dan zijn het er ineens 10x zoveel oftwel honderd.
Als je weet dat je wachtwoord kan bestaan uit hoofdletter, kleine letters, cijfers en speciale tekens dan is elk teken dat er bijkomt gelijk aan meer dan 60x keer zoveel mogelijke combinaties.


Maar dat is net waar de XKDC over gaat ... Je focust beter op de lengte van je password dan op een kort password met extra karakters erin. Een lang password met speciale tekens is misschien dan nog wat beter, maar dat onthoudt niemand...
DAN A4-SFX v2 • 8700K • Asetek 545LC • Asus ROG STRIX Z370-I Gaming • Corsair Vengeance LPX 2x16GB 3200Mhz • Asus GTX1080Ti Turbo • Samsung 960 Pro • HP Omen X 35 • AudioEngine A2+ • Logitech G Pro keyboard/mouse • Logitech G933 • Oculus Rift + Oculus Touch

Gebruikersavatar
heist_175
Elite Poster
Elite Poster
Berichten: 5888
Lid geworden op: 07 Okt 2010
Locatie: Kempen
Bedankt: 438 keer
Recent bedankt: 10 keer
Uitgedeelde bedankjes: 309 keer

Re: Over wachtwoordsterkte...

Berichtdoor heist_175 » 26 Okt 2017, 14:45

selder schreef:maar dat onthoudt niemand...

Passwordmanager?
Beveiligd met een lang, onmogelijk paswoord, maar dat is er dan maar 1tje dat je moet onthouden :)

boonpwnz
Elite Poster
Elite Poster
Berichten: 1632
Lid geworden op: 05 Jul 2017
Bedankt: 39 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 42 keer

Re: Over wachtwoordsterkte...

Berichtdoor boonpwnz » 26 Okt 2017, 14:53

heist_175 schreef:
selder schreef:maar dat onthoudt niemand...

Passwordmanager?

Vind dat persoonlijk niet handig.

Heb vaak dat ik een toestel heb waar ik dat master passsword moet voor onthouden en het dan niet mee heb op een blaadje...

8balljunkie
Pro Member
Pro Member
Berichten: 274
Lid geworden op: 30 Mei 2012
Bedankt: 20 keer
Uitgedeelde bedankjes: 23 keer

Re: Over wachtwoordsterkte...

Berichtdoor 8balljunkie » 26 Okt 2017, 14:53

Ik gebruik ook wachtwoord managers voor al mijn wachtwoorden + two factor auth. waar mogelijk.

Soms vraag ik mij af als websites regels opleggen voor wachtwoorden dat het voor hackers niet gemakkelijker wordt.
Als je weet dat een wachtwoord minstens 8 tekens, een hoofdletter en een cijfer bevat, dan kan je toch een gerichtere rainbow table aanleggen of ben ik hier mis.

Gebruikersavatar
selder
Moderator
Moderator
Berichten: 4878
Lid geworden op: 29 Jun 2005
Locatie: Tienen
Bedankt: 499 keer
Recent bedankt: 4 keer
Uitgedeelde bedankjes: 70 keer

Re: Over wachtwoordsterkte...

Berichtdoor selder » 26 Okt 2017, 14:55

Het ergste waren nog websites waar je maar een bepaald _maximum_ aantal tekens kon gebruiken - al zijn er zo niet veel meer tegenwoordig...
DAN A4-SFX v2 • 8700K • Asetek 545LC • Asus ROG STRIX Z370-I Gaming • Corsair Vengeance LPX 2x16GB 3200Mhz • Asus GTX1080Ti Turbo • Samsung 960 Pro • HP Omen X 35 • AudioEngine A2+ • Logitech G Pro keyboard/mouse • Logitech G933 • Oculus Rift + Oculus Touch

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 28641
Lid geworden op: 28 Okt 2003
Bedankt: 1878 keer
Recent bedankt: 12 keer
Uitgedeelde bedankjes: 372 keer

Re: Over wachtwoordsterkte...

Berichtdoor r2504 » 26 Okt 2017, 15:04

Telenet kapte vroeger zelfs gewoon het paswoord af na het achtste karakter dacht ik.

Secretpassword45454548578878 was dus hetzelfde als Secretpa :lol:

Gebruikersavatar
cloink
Elite Poster
Elite Poster
Berichten: 3277
Lid geworden op: 29 Okt 2007
Twitter: cloink
Bedankt: 114 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 70 keer
Contact:

Re: Over wachtwoordsterkte...

Berichtdoor cloink » 26 Okt 2017, 15:04

+1 voor een password manager (persoonlijk vind ik LastPass echt top). 1 (lang) paswoord onthouden lukt me nog net en meeste toestellen is dat zelfs niet nodig door fingerprint scanner op zowel laptop als smartphone.
ooh. shiny.

fibrbuzz1
Member
Member
Berichten: 85
Lid geworden op: 04 Sep 2016
Bedankt: 4 keer
Uitgedeelde bedankjes: 1 keer

Re: Over wachtwoordsterkte...

Berichtdoor fibrbuzz1 » 26 Okt 2017, 15:59

Maar dan mag je zo niet paranoide zijn als ik :-D , want stel... dat de server van de password manager gehackt wordt? Dan hebben ze ineens toegang tot álles, of? En dan geef je je wachtwoord van gmail, paypal, etc... eigenlijk "uit" aan een bedrijf of zie ik het fout? :/

butskristof
Elite Poster
Elite Poster
Berichten: 1188
Lid geworden op: 19 Dec 2011
Locatie: Heist-op-den-Berg
Bedankt: 68 keer
Uitgedeelde bedankjes: 475 keer
Contact:

Re: Over wachtwoordsterkte...

Berichtdoor butskristof » 26 Okt 2017, 16:16

Hangt er van af hoe je data gesynct wordt. Als het een clouddienst van de softwaremaker zelf is wel. 1Password bijvoorbeeld synchroniseert bv gewoon via iCloud of Dropbox, waarin hij dan een encrypted container maakt.
 MacBook Pro 15" (2017)  MacBook Pro 13" (Mid 2015)  iPhone 7 Plus  iPad Air 2  Watch Series 3

Gebruikersavatar
iceke
Elite Poster
Elite Poster
Berichten: 4715
Lid geworden op: 11 Jun 2010
Bedankt: 553 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 187 keer

Re: Over wachtwoordsterkte...

Berichtdoor iceke » 26 Okt 2017, 16:47

selder schreef:Maar dat is net waar de XKDC over gaat ... Je focust beter op de lengte van je password dan op een kort password met extra karakters erin. Een lang password met speciale tekens is misschien dan nog wat beter, maar dat onthoudt niemand...


Is dat nu niet juist de bedoeling... dat je het niet kan onthouden ?

Gebruikersavatar
selder
Moderator
Moderator
Berichten: 4878
Lid geworden op: 29 Jun 2005
Locatie: Tienen
Bedankt: 499 keer
Recent bedankt: 4 keer
Uitgedeelde bedankjes: 70 keer

Re: Over wachtwoordsterkte...

Berichtdoor selder » 26 Okt 2017, 16:51

Euh .. lees de comic dan nog eens opnieuw :)

Een kort password met allerlei rare tekens is moeilijk te onthouden en is niet eens zo veilig.
Een lang password zonder speciale tekens maar met woorden die je gemakkelijker onthoudt is veiliger dan dat korte password.
DAN A4-SFX v2 • 8700K • Asetek 545LC • Asus ROG STRIX Z370-I Gaming • Corsair Vengeance LPX 2x16GB 3200Mhz • Asus GTX1080Ti Turbo • Samsung 960 Pro • HP Omen X 35 • AudioEngine A2+ • Logitech G Pro keyboard/mouse • Logitech G933 • Oculus Rift + Oculus Touch

Gebruikersavatar
bollewolle
Premium Member
Premium Member
Berichten: 729
Lid geworden op: 16 Nov 2007
Twitter: bollewolle
Locatie: Gent
Bedankt: 54 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 106 keer

Re: Over wachtwoordsterkte...

Berichtdoor bollewolle » 26 Okt 2017, 17:08

selder schreef:Het ergste waren nog websites waar je maar een bepaald _maximum_ aantal tekens kon gebruiken - al zijn er zo niet veel meer tegenwoordig...

Net vandaag van SAP een email gekregen dat ze (voor hun s-users) vanaf 1 november gaan afstappen van de verplichte exact 8 karakters lang :-) Maw, zelfs zeer grote software bedrijven hanteren dit op dit moment nog altijd. Als je dan weet dat aan die s-users al je certificaten hangen en ook al de toegangen tot de backend van je klanten snap je wel dat het tijd werd dat ze hun password policy eens gingen aanpassen :bang:

Gebruikersavatar
iceke
Elite Poster
Elite Poster
Berichten: 4715
Lid geworden op: 11 Jun 2010
Bedankt: 553 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 187 keer

Re: Over wachtwoordsterkte...

Berichtdoor iceke » 26 Okt 2017, 17:38

selder schreef:Euh .. lees de comic dan nog eens opnieuw :)

Een kort password met allerlei rare tekens is moeilijk te onthouden en is niet eens zo veilig.
Een lang password zonder speciale tekens maar met woorden die je gemakkelijker onthoudt is veiliger dan dat korte password.


Yup, en dan ga je natuurlijk overal hetzelfde ww gebruiken....
Dan heb ik liever een moeilijk wachtwoord van 8 karakters dat voor elke site anders is en dat je opschrijft of in een password manager dumpt.
fitnessdoeikelkeweekminstenstweekeer gaat 8/10 keer toch niet lukken Fitnessdoeikelkeweekminstenst2keer 9/10 wel en dan raak je gefrustreerd en val je terug op je oude gewoonten of erger... je vergeet het en mag je oude wachtwoord niet meer gebruiken en dan kan je binnen de kortste tijd naar de Kinesist (Fitnessdoeikelkeweekminstenst3keer,Fitnessdoeikelkeweekminstenst4keer,Fitnessdoeikelkeweekminstenst5keer :angel: )

xayana
Premium Member
Premium Member
Berichten: 619
Lid geworden op: 21 Dec 2009
Bedankt: 70 keer
Uitgedeelde bedankjes: 49 keer

Re: Over wachtwoordsterkte...

Berichtdoor xayana » 26 Okt 2017, 17:55

Manmanman... https://howsecureismypassword.net/ is zóóóó cool :roll:
Straks maakt daar iemand een kloon van en kan paswoorden beginnen farmen :)
Mijn eerste stap was dus checken wat er met mijn ingetikte 'paswoord' gebeurde.

CCatalyst
Elite Poster
Elite Poster
Berichten: 1325
Lid geworden op: 20 Jun 2016
Bedankt: 115 keer
Recent bedankt: 6 keer
Uitgedeelde bedankjes: 1 keer

Re: Over wachtwoordsterkte...

Berichtdoor CCatalyst » 26 Okt 2017, 18:30

De man die de oorspronkelijke guidelines uitgevonden heeft van hoofdletters, kleine letters, speciale tekens, cijfers, etc, heeft er spijt van en staat er niet meer achter.

Het zal natuurlijk helaas nog jaren duren eer dat doorsijpelt bij de banken en de andere instellingen die het meeste nood hebben aan goede paswoorden.

Die howsecureismypassword moet je wel met een korrel zout nemen. Ze lijken uit te gaan van scenario met massa's krachtige GPU's etc, en dat is niet voor iedereen weggelegd. We weten ook niet wat er precies gekraakt wordt in dit scenario, want als het bv WPA2 paswoorden zijn dan gaat het nog een pak trager gaan omdat de SSID telkens in de passphrase hash geseeded moet worden. Soit, leuk ding, maar niet echt indicatief.

ITnetadmin
Elite Poster
Elite Poster
Berichten: 6531
Lid geworden op: 28 Jan 2012
Bedankt: 482 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 95 keer

Re: Over wachtwoordsterkte...

Berichtdoor ITnetadmin » 27 Okt 2017, 00:52

Uiteraard gaat niet iedereen akkoord met die xkcd cartoon. Ik geloof dat Bruce Schneier bv dit geen goed idee vindt, en meer entropie ziet in de "maak een zin en gebruik de eerste letter van elk woord" techniek.

Het probleem is uiteraard dat mensen niet random zijn. Als je geen random woorden gaat kiezen, maar woorden die bij mekaar horen, of zelfs woorden uit je eigen leven (dus bv de namen van je kinderen), dan zijn gerichte attacks zeer makkelijk uit te voeren.

Mensen kunnen geen paswoorden onthouden die veilig genoeg zijn, en daar zit hem het probleem.
Daar bestaan pwd vaults voor, of zelfs 2FA.
Maar bij pakweg 2FA heb je dan weer allemaal verschillende implementaties, ipv de standaard te volgen; er zijn teveel proprietary apps die je niet toelaten je secret key te exporteren (ook de Authy service laat dat bv niet toe).
En het master pwd van je vault is dan weer iets dat de meesten kunnen onthouden.

En dan hebben we het nog niet over de backdoors. De "I forgot my pwd" opties, die een reset email sturen, of een birthday vragen (of van die "secret questions" die voorspelbaar zijn als je ze eerlijk beantwoord, of waarvan je allang het antwoord niet meer herinnert als je gelogen hebt).

Tenslotte zijn er nog veel te veel DBs die uw paswoord in plaintext opslaan (en emailen), of die geen salt gebruiken in de hash van het paswoord, waardoor alle identieke paswoorden ook dezelfde hash krijgen, waardoor men maar 1 keer een pwd hash moet identificeren om toegang te krijgen tot duizenden accounts.

Tomby
Elite Poster
Elite Poster
Berichten: 3504
Lid geworden op: 01 Feb 2006
Bedankt: 235 keer
Recent bedankt: 5 keer
Uitgedeelde bedankjes: 361 keer

Re: Over wachtwoordsterkte...

Berichtdoor Tomby » 27 Okt 2017, 10:42

boonpwnz schreef:
heist_175 schreef:
selder schreef:maar dat onthoudt niemand...

Passwordmanager?

Vind dat persoonlijk niet handig.
Heb vaak dat ik een toestel heb waar ik dat master passsword moet voor onthouden en het dan niet mee heb op een blaadje...


Ik snap je probleem niet. Essentie van een paswoord manager is juist dat je ÉÉN master paswoord hebt voor je gehele password manager. Het is juist de bedoeling van dat ene, moeilijke, master password te onthouden en dan overal heel moeilijke, if not random, paswoorden te gaan gebruiken. Als je dat ene master password al niet kunt onthouden, mja... Er zijn nochtans genoeg truukjes voor... Bvb: 0serbase#aster9asswordtipsRule! En paswoorden op een blaadje schrijven is al helemaal not done, en een master password al helemaal niet.

Zelf gebruik ik KeePass in combinatie met Dropbox. De database file (kdb) staat op Dropbox en is protected met master password én key file. Die key file staat enkel op mijn devices lokaal en niet in dropbox. Op die manier heb ik eigenlijk altijd overal al mijn paswoord bij mij : op mijn pc, op mijn iPad, op mijn Android telefoon...
Afbeelding

boonpwnz
Elite Poster
Elite Poster
Berichten: 1632
Lid geworden op: 05 Jul 2017
Bedankt: 39 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 42 keer

Re: Over wachtwoordsterkte...

Berichtdoor boonpwnz » 27 Okt 2017, 11:40

Tomby schreef:
boonpwnz schreef:
heist_175 schreef:
selder schreef:maar dat onthoudt niemand...

Passwordmanager?

Vind dat persoonlijk niet handig.
Heb vaak dat ik een toestel heb waar ik dat master passsword moet voor onthouden en het dan niet mee heb op een blaadje...


Ik snap je probleem niet. Essentie van een paswoord manager is juist dat je ÉÉN master paswoord hebt voor je gehele password manager. Het is juist de bedoeling van dat ene, moeilijke, master password te onthouden en dan overal heel moeilijke, if not random, paswoorden te gaan gebruiken. Als je dat ene master password al niet kunt onthouden, mja... Er zijn nochtans genoeg truukjes voor... Bvb: 0serbase#aster9asswordtipsRule! En paswoorden op een blaadje schrijven is al helemaal not done, en een master password al helemaal niet.

...



Nee nee ik heb het verkeerd geformuleerd.

Mijn probleem is dat ik soms op een plaatq kom waar ik geen lastpass bv kan gebruiken en om dan mijn wachtwoorden van sites te weten dat dat keilastig is. Daarom ben ik ervan afgestapt. Ik kom teveel op locaties waar ik dat niet kan gebruiken.

Tomby
Elite Poster
Elite Poster
Berichten: 3504
Lid geworden op: 01 Feb 2006
Bedankt: 235 keer
Recent bedankt: 5 keer
Uitgedeelde bedankjes: 361 keer

Re: Over wachtwoordsterkte...

Berichtdoor Tomby » 27 Okt 2017, 11:47

boonpwnz schreef:Mijn probleem is dat ik soms op een plaatq kom waar ik geen lastpass bv kan gebruiken en om dan mijn wachtwoorden van sites te weten dat dat keilastig is. Daarom ben ik ervan afgestapt. Ik kom teveel op locaties waar ik dat niet kan gebruiken.


Daarom dat een paswoordmanager die je kan syncen met je telefoon zeer handig is. Die heb je normaal overal bij, dus kan je ook overal aan je paswoorden.
Afbeelding

Gebruikersavatar
selder
Moderator
Moderator
Berichten: 4878
Lid geworden op: 29 Jun 2005
Locatie: Tienen
Bedankt: 499 keer
Recent bedankt: 4 keer
Uitgedeelde bedankjes: 70 keer

Re: Over wachtwoordsterkte...

Berichtdoor selder » 27 Okt 2017, 11:59

Wat ben ik blij met iCloud Keychain die dat allemaal al van in macOS en iOS voor mij doet :)
DAN A4-SFX v2 • 8700K • Asetek 545LC • Asus ROG STRIX Z370-I Gaming • Corsair Vengeance LPX 2x16GB 3200Mhz • Asus GTX1080Ti Turbo • Samsung 960 Pro • HP Omen X 35 • AudioEngine A2+ • Logitech G Pro keyboard/mouse • Logitech G933 • Oculus Rift + Oculus Touch

WalterB1
Elite Poster
Elite Poster
Berichten: 782
Lid geworden op: 22 Jan 2010
Bedankt: 66 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 58 keer

Een Re: Over wachtwoordsterkte...

Berichtdoor WalterB1 » 27 Okt 2017, 23:24

Een vrij nieuwe, gratis, opensource, wachtwoordmanger is Bitwarden. Ben ik wel tevreden mee.

De gratis versie heeft ook ondersteuning voor 2-stapsverificatie, via google-authenticator of gelijkaardig. De betalende versie heeft nog veel meer systemen voor verificatie.

Dankzij Bitwarden gebruik ik nu zowat overal een uniek wachtwoord dat extreem veel veiliger is dan vroeger. En er zijn steeds meer websites die ook hun eigen 2-stapsverifcatie hebben;
Google, Facebook, Dropbox, mijn webhoster hostabulous,
... en CSAM werkt ook met google-authenticator

Mr.Toma
Starter
Starter
Berichten: 20
Lid geworden op: 28 Okt 2017

Re: Over wachtwoordsterkte...

Berichtdoor Mr.Toma » 28 Okt 2017, 10:25

selder schreef:Wat ben ik blij met iCloud Keychain die dat allemaal al van in macOS en iOS voor mij doet :)


Vertel me, wat is die voordeel over andere applicaties?

Gebruikersavatar
selder
Moderator
Moderator
Berichten: 4878
Lid geworden op: 29 Jun 2005
Locatie: Tienen
Bedankt: 499 keer
Recent bedankt: 4 keer
Uitgedeelde bedankjes: 70 keer

Re: Over wachtwoordsterkte...

Berichtdoor selder » 28 Okt 2017, 11:09

Ingebouwd in iOS en macOS, geen 3rd party software, dus geen 3rd party systeem-hooks in het OS, geen omzien naar eigelijk, beveiliging zit achter je authenticatie op je OS, geen geneuzel met updates en incompatibiliteit, geen functionaliteit die alleen in de betaalde versie werkt...
DAN A4-SFX v2 • 8700K • Asetek 545LC • Asus ROG STRIX Z370-I Gaming • Corsair Vengeance LPX 2x16GB 3200Mhz • Asus GTX1080Ti Turbo • Samsung 960 Pro • HP Omen X 35 • AudioEngine A2+ • Logitech G Pro keyboard/mouse • Logitech G933 • Oculus Rift + Oculus Touch

Mr.Toma
Starter
Starter
Berichten: 20
Lid geworden op: 28 Okt 2017

Re: Over wachtwoordsterkte...

Berichtdoor Mr.Toma » 28 Okt 2017, 12:08

Bedankt voor uw informatie, ik had geen zicht op het bestaat hiervan.
Ik heb aldus de vraag gelanceerd of wij toelating hebben dit te gebruiken binnen de entreprise.

brubbel
Premium Member
Premium Member
Berichten: 729
Lid geworden op: 04 Jul 2012
Bedankt: 155 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 42 keer

Re: Over wachtwoordsterkte...

Berichtdoor brubbel » 29 Nov 2017, 12:51

Stroper schreef:Als je het wil kraken met brute force wel
https://howsecureismypassword.net/
33 miljoen jaar vs.688 noniljoen of zoiets


Selder schreef:Wat ben ik blij met iCloud Keychain die dat allemaal al van in macOS en iOS voor mij doet :)


Maar nee, remote op MacOs inbreken duurt hoogstens een paar seconden :eek:
MacOS High Sierra Users: Change Root Password Now: https://krebsonsecurity.com/2017/11/mac ... sword-now/

Tomby
Elite Poster
Elite Poster
Berichten: 3504
Lid geworden op: 01 Feb 2006
Bedankt: 235 keer
Recent bedankt: 5 keer
Uitgedeelde bedankjes: 361 keer

Re: Over wachtwoordsterkte...

Berichtdoor Tomby » 29 Nov 2017, 12:57

Het straffe is dat dit blijkbaar al 2 weken geleden, mogelijk onbewust, gedisclosed is op het Apple Dev forum maar het 2 weken geduurd heeft eer iemand inzag wat de consequenties zijn : https://forums.developer.apple.com/thread/79235
Afbeelding

brubbel
Premium Member
Premium Member
Berichten: 729
Lid geworden op: 04 Jul 2012
Bedankt: 155 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 42 keer

Re: Over wachtwoordsterkte...

Berichtdoor brubbel » 29 Nov 2017, 13:37

Het toont toch maar aan dat het model met 'accounts' en 'privileged users' niet meer van deze tijd is. Hetzelfde met breaches waar miljoenen paswoorden gestolen worden. In welk universum kan het nuttig zijn een login-systeem te hebben waar je alle paswoorden (of salted hashes whatever) tegelijk wil of kan dumpen naar de buitenwereld? Security flaws by design zou ik denken. Pas op ik kan het niet beter hoor, maar ik zou bijvoorbeeld al beginnen met monitoring op database I/O om plotse onverwachte trends te blokkeren/throttlen.
Laatst gewijzigd door brubbel op 29 Nov 2017, 13:46, 1 keer totaal gewijzigd.

woutervh
Premium Member
Premium Member
Berichten: 481
Lid geworden op: 09 Mei 2007
Bedankt: 81 keer
Uitgedeelde bedankjes: 5 keer

Re: Over wachtwoordsterkte...

Berichtdoor woutervh » 29 Nov 2017, 13:44

Het hangt er eigenlijk toch ook maar vanaf wel algoritme een computer gebruikt om een paswoord te "kraken"?
Mijn volledig uitgeschreven adres zou slechts in 640 QUINTILLION YEARS te kraken zijn. Maar als het algoritme de witte gids afloopt, zal het wel zo lang niet duren :-)

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 28641
Lid geworden op: 28 Okt 2003
Bedankt: 1878 keer
Recent bedankt: 12 keer
Uitgedeelde bedankjes: 372 keer

Re: Over wachtwoordsterkte...

Berichtdoor r2504 » 29 Nov 2017, 22:20

Er zijn duizenden witte gidsen (en miljoenen andere boeken) in de wereld... dus waarom zou het precies die van België aflopen ?

Dictionary attacks kunnen snel zijn... als je maar de juiste dictionary hebt natuurlijk.

Gebruikersavatar
JamesEarlGray
Pro Member
Pro Member
Berichten: 428
Lid geworden op: 24 Aug 2017
Bedankt: 31 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 5 keer

Re: Over wachtwoordsterkte...

Berichtdoor JamesEarlGray » 30 Nov 2017, 13:31

Zélfs met een dictionary attack is het gebruik van een combinatie van doordeweekse woorden aan te raden boven de monsters met bizarre tekens die men u verplicht te bedenken.

Neem nu exact dat voorbeeld uit de XKCD-comic: die woorden zijn specifiek gekozen uit de top 2000 meest gebruikte woorden, net om aan te tonen dat zélfs met een dictionary van enkel die 2000 woorden het meer moeite zal kosten om dat wachtwoord te kraken dan om het bizarre wachtwoord intelligent* te bruteforcen.

* Intelligent, als in: met leet-speaksubstituties, variaties van hoofd- en kleine letters en de waarde en plek van cijfers gekozen volgens de hoogste verwachtingen die zijn opgebouwd naar ervaring van hoe mensen hun wachtwoorden eigenlijk op wel vrij te voorspellen wijze opbouwen.

TL;DR: Wanneer je woorden gebruikt die iets exotischer zijn dan de woorden in de top 2000 meest gebruikte woorden, dan maakt dat je wachtwoord nog eens stukken veiliger.

Goed kijkvoer: How to Choose a Password - Computerphile

ITnetadmin
Elite Poster
Elite Poster
Berichten: 6531
Lid geworden op: 28 Jan 2012
Bedankt: 482 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 95 keer

Re: Over wachtwoordsterkte...

Berichtdoor ITnetadmin » 03 Dec 2017, 21:14

JamesEarlGray schreef:TL;DR: Wanneer je woorden gebruikt die iets exotischer zijn dan de woorden in de top 2000 meest gebruikte woorden, dan maakt dat je wachtwoord nog eens stukken veiliger.

Op voorwaarde dat die woorden absoluut random gekozen zijn.
Woorden kiezen die met mekaar verband houden gebruiken maken je paswoord ineens veel zwakker.

Zoals alles in IT security, passwords en encryption, zijn oa "randomness" en "non-repetition" zeer belangrijke concepten.

Gebruikersavatar
JamesEarlGray
Pro Member
Pro Member
Berichten: 428
Lid geworden op: 24 Aug 2017
Bedankt: 31 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 5 keer

Re: Over wachtwoordsterkte...

Berichtdoor JamesEarlGray » 04 Dec 2017, 20:06

Dat is zoals zeggen dat klassieke wachtwoorden enkel sterk zijn als de *karakters* willekeurig gekozen worden.

Dat is ook geen waar, toch?

Dus waarom is dit criterium ineens zo belangrijk voor een combinatie van woorden ipv een combinatie van karakters?

Dus ofwel karakters willekeurig én woorden willekeurig, ofwel geen beider. Maar karakters onwillekeurig (en dat zou OK zijn) en dan woorden ZEKER willekeurig (want anders is het NIET OK) lijkt mij meten met twee maten en gewichten.

Allez, niet dat ik wil zeggen dat willekeur niet belangrijk is, maar ik bedoel maar: niet overdrijven, hé. 8)

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 28641
Lid geworden op: 28 Okt 2003
Bedankt: 1878 keer
Recent bedankt: 12 keer
Uitgedeelde bedankjes: 372 keer

Re: Over wachtwoordsterkte...

Berichtdoor r2504 » 04 Dec 2017, 20:25

JamesEarlGray schreef:Dus waarom is dit criterium ineens zo belangrijk voor een combinatie van woorden ipv een combinatie van karakters?


Dan moet je kijken naar hoe dictionary attacks precies werken... of ze ook de afzonderlijke woorden gaan combineren of niet.

Je zou kunnen denken van wel maar checked men dan ook combinaties zoals Woord1@Woord2, of Woord1-Woord2, of Woord1!Woord2, ... ?

Gebruikersavatar
JamesEarlGray
Pro Member
Pro Member
Berichten: 428
Lid geworden op: 24 Aug 2017
Bedankt: 31 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 5 keer

Re: Over wachtwoordsterkte...

Berichtdoor JamesEarlGray » 04 Dec 2017, 20:58

Ja, natuurlijk, maar een combinatie van een klein aantal woorden is vele malen moeilijker te gokken dan bijvoorbeeld tien willekeurige tekens die op naar ervaring makkelijker te gokken zijn dan via pure bruteforce-methodes omdat mensen er toch niet in slagen om willekeurige karakters te kiezen voor een wachtwoord.

Niet vergeten dat een dictionary attack gemaakt is om wachtwoorden van één of twee woorden met allerhande variaties met hoofdletters, substitutie naar elitespeak en de plaatsing en waarde van cijfers te proberen voorspellen op basis van al-opgedane-ervaring.

De pointe van die comic van XKCD is deze: aangezien mensen toch makkelijker te voorspellen zijn dan ze denken, is het nutteloos om moeilijk-te-onthouden tekens in een wachtwoord te gebruiken. Veel beter is om een (uiteraard willekeurige) combinatie van woorden te kiezen.

En hij heeft de worst-case gekozen om aan te tonen dat vier woorden wel degelijk sterker zijn: allen komen ze uit de top 2000 meest gebruikte engelstalige woorden. Als je namelijk ook maar één van die woorden vervangt door een exotischer woord, zoals een zeer regionaal woord, dialect, een naam of iets anders obscuur, dan is je wachtwoord bijna onkraakbaar.

Maar goed, strikt gezien blijft ITnetadmin zijn punt wel staan: gewoon een bekende zin of een verzameling van zeer relevante woorden is uiteraard minder veilig. Maar beeld je eens in hoeveel zinnen er bestaan in de wereld. Onnoemelijk veel.

Of tiens... is Google gewoon een zinnen-rainbowtable aan het bouwen met hun Google Books en Google Scholar? :twisted:

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 28641
Lid geworden op: 28 Okt 2003
Bedankt: 1878 keer
Recent bedankt: 12 keer
Uitgedeelde bedankjes: 372 keer

Re: Over wachtwoordsterkte...

Berichtdoor r2504 » 04 Dec 2017, 23:08

Ik betwijfel of "DitIsTochWelEenHeelToffeWebsite" minder veilig is dan gewoon 31 willekeurige karakters

ITnetadmin
Elite Poster
Elite Poster
Berichten: 6531
Lid geworden op: 28 Jan 2012
Bedankt: 482 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 95 keer

Re: Over wachtwoordsterkte...

Berichtdoor ITnetadmin » 04 Dec 2017, 23:51

JamesEarlGray schreef:Dat is zoals zeggen dat klassieke wachtwoorden enkel sterk zijn als de *karakters* willekeurig gekozen worden.
Dat is ook geen waar, toch?

Dat is absoluut *WEL* waar, uiteraard :-)
Enfin, ze zijn "sterker" dan wachtwoorden met niet willekeurig gekozen letters.

Dat volgt uit de standaardwetten van de encryptie.
Patronen zijn zwaktes die gedetecteerd en uitgebuit kunnen worden.
Afhankelijk van de taal die je gebruikt kan men zelfs trucs zoals frequentie analyse gebruiken om encryptie te verzwakken (bv de letter E komt het meest voor in de Engelse taal, de letter T iirc is op de tweede plaats).

Een echte random gekozen serie letters is veel veiliger dan een combinatie.
Stom voorbeeld: "azerty" of zelfs "ytreza" is veel minder veilig dan "dklgor".
En zelfs als je denkt random te zijn ben je dat niet; je bent nl vrij afhankelijk van de positie van de letters op je toetsenbord.
Je moest maar ns zien hoevaak in "random gekozen combinaties" dingen als "sdf", "jkl", etc terugkomen.

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 28641
Lid geworden op: 28 Okt 2003
Bedankt: 1878 keer
Recent bedankt: 12 keer
Uitgedeelde bedankjes: 372 keer

Re: Over wachtwoordsterkte...

Berichtdoor r2504 » 05 Dec 2017, 22:53

Ik denk dat je hier twee dingen door elkaar aan het halen bent... encryptie algoritmes kraken en wachtwoorden kraken.

Het is niet omdat men analyses doet van encryptie dat "azerty" of zelfs "ytreza" veel minder veiliger zou zijn dan "dklgor" als wachtwoord.

Wat azerty minder veilig maakt is dat het onderdeel is van een dictionary attack... maar met uitzondering van dat is het voor allen een brute force (en dan speelt gewoon de lengte van het paswoord).


Terug naar “Algemeen Internet-Gebruik”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 0 gasten