Over wachtwoordsterkte...

Hier horen vragen over google, irc, nieuwsgroepen, e-mail, enzovoort
fibrbuzz1
Plus Member
Plus Member
Berichten: 152
Lid geworden op: 04 sep 2016, 10:23
Uitgedeelde bedankjes: 1 keer
Bedankt: 7 keer

Klopt wat in deze xkcd staat? Ik heb er wel eerder van gehoord... https://xkcd.com/936/

Dus als je moet kiezen tussen pakweg, "f1tn3ss2xw33k%%" of "fitnessdoeikelkeweekminstenstweekeer" dan is de tweede véél sterker?
Stroper
Elite Poster
Elite Poster
Berichten: 1892
Lid geworden op: 24 aug 2011, 10:27
Uitgedeelde bedankjes: 95 keer
Bedankt: 155 keer
Recent bedankt: 1 keer

Als je het wil kraken met brute force wel
https://howsecureismypassword.net/
33 miljoen jaar vs.688 noniljoen of zoiets

Vgl het met getallen, er zijn slechts 10 getallen als je 2 cijfers gebruikt zijn er 10 mogelijkheden gebruik je cijfers dan zijn het er ineens 10x zoveel oftwel honderd.
Als je weet dat je wachtwoord kan bestaan uit hoofdletter, kleine letters, cijfers en speciale tekens dan is elk teken dat er bijkomt gelijk aan meer dan 60x keer zoveel mogelijke combinaties.
Gebruikersavatar
cloink
Elite Poster
Elite Poster
Berichten: 3630
Lid geworden op: 29 okt 2007, 10:29
Twitter: cloink
Uitgedeelde bedankjes: 105 keer
Bedankt: 150 keer
Contacteer:

Klopt in principe, maar let op met echte woorden (i.f.v. dictionary attacks). Dialect should be fine. :mrgreen:
ooh. shiny.
Gebruikersavatar
selder
Moderator
Moderator
Berichten: 6438
Lid geworden op: 29 jun 2005, 20:25
Locatie: Tienen
Uitgedeelde bedankjes: 106 keer
Bedankt: 736 keer

Stroper schreef:Als je het wil kraken met brute force wel
https://howsecureismypassword.net/
33 miljoen jaar vs.688 noniljoen of zoiets

Vgl het met getallen, er zijn slechts 10 getallen als je 2 cijfers gebruikt zijn er 10 mogelijkheden gebruik je cijfers dan zijn het er ineens 10x zoveel oftwel honderd.
Als je weet dat je wachtwoord kan bestaan uit hoofdletter, kleine letters, cijfers en speciale tekens dan is elk teken dat er bijkomt gelijk aan meer dan 60x keer zoveel mogelijke combinaties.
Maar dat is net waar de XKDC over gaat ... Je focust beter op de lengte van je password dan op een kort password met extra karakters erin. Een lang password met speciale tekens is misschien dan nog wat beter, maar dat onthoudt niemand...
Fractal Design North • 13900KS • Asus ROG Ryuo III 240mm • Asus Z790-E • Z5 7800 c34 64GB RGB • nVidia RTX4090FE • Samsung 990 PRO 2TB • Asus ROG Swift PG42UQ 42” OLED 138Hz
Gebruikersavatar
heist_175
Moderator
Moderator
Berichten: 14885
Lid geworden op: 07 okt 2010, 09:35
Locatie: Kempen
Uitgedeelde bedankjes: 484 keer
Bedankt: 1054 keer
Recent bedankt: 15 keer

selder schreef:maar dat onthoudt niemand...
Passwordmanager?
Beveiligd met een lang, onmogelijk paswoord, maar dat is er dan maar 1tje dat je moet onthouden :)
boonpwnz
Elite Poster
Elite Poster
Berichten: 5081
Lid geworden op: 05 jul 2017, 09:50
Uitgedeelde bedankjes: 84 keer
Bedankt: 153 keer
Recent bedankt: 5 keer

heist_175 schreef:
selder schreef:maar dat onthoudt niemand...
Passwordmanager?
Vind dat persoonlijk niet handig.

Heb vaak dat ik een toestel heb waar ik dat master passsword moet voor onthouden en het dan niet mee heb op een blaadje...
8balljunkie
Pro Member
Pro Member
Berichten: 361
Lid geworden op: 30 mei 2012, 10:31
Uitgedeelde bedankjes: 29 keer
Bedankt: 29 keer

Ik gebruik ook wachtwoord managers voor al mijn wachtwoorden + two factor auth. waar mogelijk.

Soms vraag ik mij af als websites regels opleggen voor wachtwoorden dat het voor hackers niet gemakkelijker wordt.
Als je weet dat een wachtwoord minstens 8 tekens, een hoofdletter en een cijfer bevat, dan kan je toch een gerichtere rainbow table aanleggen of ben ik hier mis.
Gebruikersavatar
selder
Moderator
Moderator
Berichten: 6438
Lid geworden op: 29 jun 2005, 20:25
Locatie: Tienen
Uitgedeelde bedankjes: 106 keer
Bedankt: 736 keer

Het ergste waren nog websites waar je maar een bepaald _maximum_ aantal tekens kon gebruiken - al zijn er zo niet veel meer tegenwoordig...
Fractal Design North • 13900KS • Asus ROG Ryuo III 240mm • Asus Z790-E • Z5 7800 c34 64GB RGB • nVidia RTX4090FE • Samsung 990 PRO 2TB • Asus ROG Swift PG42UQ 42” OLED 138Hz
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Telenet kapte vroeger zelfs gewoon het paswoord af na het achtste karakter dacht ik.

Secretpassword45454548578878 was dus hetzelfde als Secretpa :lol:
Gebruikersavatar
cloink
Elite Poster
Elite Poster
Berichten: 3630
Lid geworden op: 29 okt 2007, 10:29
Twitter: cloink
Uitgedeelde bedankjes: 105 keer
Bedankt: 150 keer
Contacteer:

+1 voor een password manager (persoonlijk vind ik LastPass echt top). 1 (lang) paswoord onthouden lukt me nog net en meeste toestellen is dat zelfs niet nodig door fingerprint scanner op zowel laptop als smartphone.
ooh. shiny.
fibrbuzz1
Plus Member
Plus Member
Berichten: 152
Lid geworden op: 04 sep 2016, 10:23
Uitgedeelde bedankjes: 1 keer
Bedankt: 7 keer

Maar dan mag je zo niet paranoide zijn als ik :-D , want stel... dat de server van de password manager gehackt wordt? Dan hebben ze ineens toegang tot álles, of? En dan geef je je wachtwoord van gmail, paypal, etc... eigenlijk "uit" aan een bedrijf of zie ik het fout? :/
butskristof
Elite Poster
Elite Poster
Berichten: 1513
Lid geworden op: 19 dec 2011, 18:42
Locatie: Heist-op-den-Berg
Uitgedeelde bedankjes: 478 keer
Bedankt: 110 keer

Hangt er van af hoe je data gesynct wordt. Als het een clouddienst van de softwaremaker zelf is wel. 1Password bijvoorbeeld synchroniseert bv gewoon via iCloud of Dropbox, waarin hij dan een encrypted container maakt.
Gebruikersavatar
iceke
Elite Poster
Elite Poster
Berichten: 6790
Lid geworden op: 11 jun 2010, 12:58
Uitgedeelde bedankjes: 225 keer
Bedankt: 614 keer
Recent bedankt: 3 keer

selder schreef: Maar dat is net waar de XKDC over gaat ... Je focust beter op de lengte van je password dan op een kort password met extra karakters erin. Een lang password met speciale tekens is misschien dan nog wat beter, maar dat onthoudt niemand...
Is dat nu niet juist de bedoeling... dat je het niet kan onthouden ?
Gebruikersavatar
selder
Moderator
Moderator
Berichten: 6438
Lid geworden op: 29 jun 2005, 20:25
Locatie: Tienen
Uitgedeelde bedankjes: 106 keer
Bedankt: 736 keer

Euh .. lees de comic dan nog eens opnieuw :)

Een kort password met allerlei rare tekens is moeilijk te onthouden en is niet eens zo veilig.
Een lang password zonder speciale tekens maar met woorden die je gemakkelijker onthoudt is veiliger dan dat korte password.
Fractal Design North • 13900KS • Asus ROG Ryuo III 240mm • Asus Z790-E • Z5 7800 c34 64GB RGB • nVidia RTX4090FE • Samsung 990 PRO 2TB • Asus ROG Swift PG42UQ 42” OLED 138Hz
Gebruikersavatar
bollewolle
Elite Poster
Elite Poster
Berichten: 956
Lid geworden op: 16 nov 2007, 12:53
Twitter: bollewolle
Locatie: Gent
Uitgedeelde bedankjes: 191 keer
Bedankt: 91 keer

selder schreef:Het ergste waren nog websites waar je maar een bepaald _maximum_ aantal tekens kon gebruiken - al zijn er zo niet veel meer tegenwoordig...
Net vandaag van SAP een email gekregen dat ze (voor hun s-users) vanaf 1 november gaan afstappen van de verplichte exact 8 karakters lang :-) Maw, zelfs zeer grote software bedrijven hanteren dit op dit moment nog altijd. Als je dan weet dat aan die s-users al je certificaten hangen en ook al de toegangen tot de backend van je klanten snap je wel dat het tijd werd dat ze hun password policy eens gingen aanpassen :bang:
Gebruikersavatar
iceke
Elite Poster
Elite Poster
Berichten: 6790
Lid geworden op: 11 jun 2010, 12:58
Uitgedeelde bedankjes: 225 keer
Bedankt: 614 keer
Recent bedankt: 3 keer

selder schreef:Euh .. lees de comic dan nog eens opnieuw :)

Een kort password met allerlei rare tekens is moeilijk te onthouden en is niet eens zo veilig.
Een lang password zonder speciale tekens maar met woorden die je gemakkelijker onthoudt is veiliger dan dat korte password.
Yup, en dan ga je natuurlijk overal hetzelfde ww gebruiken....
Dan heb ik liever een moeilijk wachtwoord van 8 karakters dat voor elke site anders is en dat je opschrijft of in een password manager dumpt.
fitnessdoeikelkeweekminstenstweekeer gaat 8/10 keer toch niet lukken Fitnessdoeikelkeweekminstenst2keer 9/10 wel en dan raak je gefrustreerd en val je terug op je oude gewoonten of erger... je vergeet het en mag je oude wachtwoord niet meer gebruiken en dan kan je binnen de kortste tijd naar de Kinesist (Fitnessdoeikelkeweekminstenst3keer,Fitnessdoeikelkeweekminstenst4keer,Fitnessdoeikelkeweekminstenst5keer :angel: )
xayana
Premium Member
Premium Member
Berichten: 694
Lid geworden op: 21 dec 2009, 17:33
Uitgedeelde bedankjes: 57 keer
Bedankt: 77 keer

Manmanman... https://howsecureismypassword.net/ is zóóóó cool :roll:
Straks maakt daar iemand een kloon van en kan paswoorden beginnen farmen :)
Mijn eerste stap was dus checken wat er met mijn ingetikte 'paswoord' gebeurde.
CCatalyst
Elite Poster
Elite Poster
Berichten: 8270
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 526 keer
Recent bedankt: 12 keer

De man die de oorspronkelijke guidelines uitgevonden heeft van hoofdletters, kleine letters, speciale tekens, cijfers, etc, heeft er spijt van en staat er niet meer achter.

Het zal natuurlijk helaas nog jaren duren eer dat doorsijpelt bij de banken en de andere instellingen die het meeste nood hebben aan goede paswoorden.

Die howsecureismypassword moet je wel met een korrel zout nemen. Ze lijken uit te gaan van scenario met massa's krachtige GPU's etc, en dat is niet voor iedereen weggelegd. We weten ook niet wat er precies gekraakt wordt in dit scenario, want als het bv WPA2 paswoorden zijn dan gaat het nog een pak trager gaan omdat de SSID telkens in de passphrase hash geseeded moet worden. Soit, leuk ding, maar niet echt indicatief.
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

Uiteraard gaat niet iedereen akkoord met die xkcd cartoon. Ik geloof dat Bruce Schneier bv dit geen goed idee vindt, en meer entropie ziet in de "maak een zin en gebruik de eerste letter van elk woord" techniek.

Het probleem is uiteraard dat mensen niet random zijn. Als je geen random woorden gaat kiezen, maar woorden die bij mekaar horen, of zelfs woorden uit je eigen leven (dus bv de namen van je kinderen), dan zijn gerichte attacks zeer makkelijk uit te voeren.

Mensen kunnen geen paswoorden onthouden die veilig genoeg zijn, en daar zit hem het probleem.
Daar bestaan pwd vaults voor, of zelfs 2FA.
Maar bij pakweg 2FA heb je dan weer allemaal verschillende implementaties, ipv de standaard te volgen; er zijn teveel proprietary apps die je niet toelaten je secret key te exporteren (ook de Authy service laat dat bv niet toe).
En het master pwd van je vault is dan weer iets dat de meesten kunnen onthouden.

En dan hebben we het nog niet over de backdoors. De "I forgot my pwd" opties, die een reset email sturen, of een birthday vragen (of van die "secret questions" die voorspelbaar zijn als je ze eerlijk beantwoord, of waarvan je allang het antwoord niet meer herinnert als je gelogen hebt).

Tenslotte zijn er nog veel te veel DBs die uw paswoord in plaintext opslaan (en emailen), of die geen salt gebruiken in de hash van het paswoord, waardoor alle identieke paswoorden ook dezelfde hash krijgen, waardoor men maar 1 keer een pwd hash moet identificeren om toegang te krijgen tot duizenden accounts.
Tomby
Elite Poster
Elite Poster
Berichten: 6350
Lid geworden op: 01 feb 2006, 12:36
Uitgedeelde bedankjes: 1287 keer
Bedankt: 486 keer
Recent bedankt: 2 keer

boonpwnz schreef:
heist_175 schreef:
selder schreef:maar dat onthoudt niemand...
Passwordmanager?
Vind dat persoonlijk niet handig.
Heb vaak dat ik een toestel heb waar ik dat master passsword moet voor onthouden en het dan niet mee heb op een blaadje...
Ik snap je probleem niet. Essentie van een paswoord manager is juist dat je ÉÉN master paswoord hebt voor je gehele password manager. Het is juist de bedoeling van dat ene, moeilijke, master password te onthouden en dan overal heel moeilijke, if not random, paswoorden te gaan gebruiken. Als je dat ene master password al niet kunt onthouden, mja... Er zijn nochtans genoeg truukjes voor... Bvb: 0serbase#aster9asswordtipsRule! En paswoorden op een blaadje schrijven is al helemaal not done, en een master password al helemaal niet.

Zelf gebruik ik KeePass in combinatie met Dropbox. De database file (kdb) staat op Dropbox en is protected met master password én key file. Die key file staat enkel op mijn devices lokaal en niet in dropbox. Op die manier heb ik eigenlijk altijd overal al mijn paswoord bij mij : op mijn pc, op mijn iPad, op mijn Android telefoon...
boonpwnz
Elite Poster
Elite Poster
Berichten: 5081
Lid geworden op: 05 jul 2017, 09:50
Uitgedeelde bedankjes: 84 keer
Bedankt: 153 keer
Recent bedankt: 5 keer

Tomby schreef:
boonpwnz schreef:
heist_175 schreef:
selder schreef:maar dat onthoudt niemand...
Passwordmanager?
Vind dat persoonlijk niet handig.
Heb vaak dat ik een toestel heb waar ik dat master passsword moet voor onthouden en het dan niet mee heb op een blaadje...
Ik snap je probleem niet. Essentie van een paswoord manager is juist dat je ÉÉN master paswoord hebt voor je gehele password manager. Het is juist de bedoeling van dat ene, moeilijke, master password te onthouden en dan overal heel moeilijke, if not random, paswoorden te gaan gebruiken. Als je dat ene master password al niet kunt onthouden, mja... Er zijn nochtans genoeg truukjes voor... Bvb: 0serbase#aster9asswordtipsRule! En paswoorden op een blaadje schrijven is al helemaal not done, en een master password al helemaal niet.

...

Nee nee ik heb het verkeerd geformuleerd.

Mijn probleem is dat ik soms op een plaatq kom waar ik geen lastpass bv kan gebruiken en om dan mijn wachtwoorden van sites te weten dat dat keilastig is. Daarom ben ik ervan afgestapt. Ik kom teveel op locaties waar ik dat niet kan gebruiken.
Tomby
Elite Poster
Elite Poster
Berichten: 6350
Lid geworden op: 01 feb 2006, 12:36
Uitgedeelde bedankjes: 1287 keer
Bedankt: 486 keer
Recent bedankt: 2 keer

boonpwnz schreef: Mijn probleem is dat ik soms op een plaatq kom waar ik geen lastpass bv kan gebruiken en om dan mijn wachtwoorden van sites te weten dat dat keilastig is. Daarom ben ik ervan afgestapt. Ik kom teveel op locaties waar ik dat niet kan gebruiken.
Daarom dat een paswoordmanager die je kan syncen met je telefoon zeer handig is. Die heb je normaal overal bij, dus kan je ook overal aan je paswoorden.
Gebruikersavatar
selder
Moderator
Moderator
Berichten: 6438
Lid geworden op: 29 jun 2005, 20:25
Locatie: Tienen
Uitgedeelde bedankjes: 106 keer
Bedankt: 736 keer

Wat ben ik blij met iCloud Keychain die dat allemaal al van in macOS en iOS voor mij doet :)
Fractal Design North • 13900KS • Asus ROG Ryuo III 240mm • Asus Z790-E • Z5 7800 c34 64GB RGB • nVidia RTX4090FE • Samsung 990 PRO 2TB • Asus ROG Swift PG42UQ 42” OLED 138Hz
Gebruikersavatar
WalterB1
Elite Poster
Elite Poster
Berichten: 2029
Lid geworden op: 22 jan 2010, 18:59
Uitgedeelde bedankjes: 177 keer
Bedankt: 143 keer
Recent bedankt: 1 keer

Een vrij nieuwe, gratis, opensource, wachtwoordmanger is Bitwarden. Ben ik wel tevreden mee.

De gratis versie heeft ook ondersteuning voor 2-stapsverificatie, via google-authenticator of gelijkaardig. De betalende versie heeft nog veel meer systemen voor verificatie.

Dankzij Bitwarden gebruik ik nu zowat overal een uniek wachtwoord dat extreem veel veiliger is dan vroeger. En er zijn steeds meer websites die ook hun eigen 2-stapsverifcatie hebben;
Google, Facebook, Dropbox, mijn webhoster hostabulous,
... en CSAM werkt ook met google-authenticator
Mr.Toma
Starter Plus
Starter Plus
Berichten: 26
Lid geworden op: 28 okt 2017, 07:39
Bedankt: 1 keer

selder schreef:Wat ben ik blij met iCloud Keychain die dat allemaal al van in macOS en iOS voor mij doet :)
Vertel me, wat is die voordeel over andere applicaties?
Gebruikersavatar
selder
Moderator
Moderator
Berichten: 6438
Lid geworden op: 29 jun 2005, 20:25
Locatie: Tienen
Uitgedeelde bedankjes: 106 keer
Bedankt: 736 keer

Ingebouwd in iOS en macOS, geen 3rd party software, dus geen 3rd party systeem-hooks in het OS, geen omzien naar eigelijk, beveiliging zit achter je authenticatie op je OS, geen geneuzel met updates en incompatibiliteit, geen functionaliteit die alleen in de betaalde versie werkt...
Fractal Design North • 13900KS • Asus ROG Ryuo III 240mm • Asus Z790-E • Z5 7800 c34 64GB RGB • nVidia RTX4090FE • Samsung 990 PRO 2TB • Asus ROG Swift PG42UQ 42” OLED 138Hz
Mr.Toma
Starter Plus
Starter Plus
Berichten: 26
Lid geworden op: 28 okt 2017, 07:39
Bedankt: 1 keer

Bedankt voor uw informatie, ik had geen zicht op het bestaat hiervan.
Ik heb aldus de vraag gelanceerd of wij toelating hebben dit te gebruiken binnen de entreprise.
brubbel
Elite Poster
Elite Poster
Berichten: 919
Lid geworden op: 04 jul 2012, 16:55
Uitgedeelde bedankjes: 76 keer
Bedankt: 174 keer
Recent bedankt: 1 keer

Stroper schreef:Als je het wil kraken met brute force wel
https://howsecureismypassword.net/
33 miljoen jaar vs.688 noniljoen of zoiets
Selder schreef:Wat ben ik blij met iCloud Keychain die dat allemaal al van in macOS en iOS voor mij doet :)
Maar nee, remote op MacOs inbreken duurt hoogstens een paar seconden :eek:
MacOS High Sierra Users: Change Root Password Now: https://krebsonsecurity.com/2017/11/mac ... sword-now/
Tomby
Elite Poster
Elite Poster
Berichten: 6350
Lid geworden op: 01 feb 2006, 12:36
Uitgedeelde bedankjes: 1287 keer
Bedankt: 486 keer
Recent bedankt: 2 keer

Het straffe is dat dit blijkbaar al 2 weken geleden, mogelijk onbewust, gedisclosed is op het Apple Dev forum maar het 2 weken geduurd heeft eer iemand inzag wat de consequenties zijn : https://forums.developer.apple.com/thread/79235
brubbel
Elite Poster
Elite Poster
Berichten: 919
Lid geworden op: 04 jul 2012, 16:55
Uitgedeelde bedankjes: 76 keer
Bedankt: 174 keer
Recent bedankt: 1 keer

Het toont toch maar aan dat het model met 'accounts' en 'privileged users' niet meer van deze tijd is. Hetzelfde met breaches waar miljoenen paswoorden gestolen worden. In welk universum kan het nuttig zijn een login-systeem te hebben waar je alle paswoorden (of salted hashes whatever) tegelijk wil of kan dumpen naar de buitenwereld? Security flaws by design zou ik denken. Pas op ik kan het niet beter hoor, maar ik zou bijvoorbeeld al beginnen met monitoring op database I/O om plotse onverwachte trends te blokkeren/throttlen.
Laatst gewijzigd door brubbel 29 nov 2017, 13:46, in totaal 1 gewijzigd.
woutervh
Elite Poster
Elite Poster
Berichten: 2322
Lid geworden op: 09 mei 2007, 11:44
Uitgedeelde bedankjes: 12 keer
Bedankt: 183 keer
Recent bedankt: 1 keer

Het hangt er eigenlijk toch ook maar vanaf wel algoritme een computer gebruikt om een paswoord te "kraken"?
Mijn volledig uitgeschreven adres zou slechts in 640 QUINTILLION YEARS te kraken zijn. Maar als het algoritme de witte gids afloopt, zal het wel zo lang niet duren :-)
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Er zijn duizenden witte gidsen (en miljoenen andere boeken) in de wereld... dus waarom zou het precies die van België aflopen ?

Dictionary attacks kunnen snel zijn... als je maar de juiste dictionary hebt natuurlijk.
Gebruikersavatar
JamesEarlGray
Elite Poster
Elite Poster
Berichten: 1322
Lid geworden op: 24 aug 2017, 13:04
Uitgedeelde bedankjes: 77 keer
Bedankt: 135 keer

Zélfs met een dictionary attack is het gebruik van een combinatie van doordeweekse woorden aan te raden boven de monsters met bizarre tekens die men u verplicht te bedenken.

Neem nu exact dat voorbeeld uit de XKCD-comic: die woorden zijn specifiek gekozen uit de top 2000 meest gebruikte woorden, net om aan te tonen dat zélfs met een dictionary van enkel die 2000 woorden het meer moeite zal kosten om dat wachtwoord te kraken dan om het bizarre wachtwoord intelligent* te bruteforcen.

* Intelligent, als in: met leet-speaksubstituties, variaties van hoofd- en kleine letters en de waarde en plek van cijfers gekozen volgens de hoogste verwachtingen die zijn opgebouwd naar ervaring van hoe mensen hun wachtwoorden eigenlijk op wel vrij te voorspellen wijze opbouwen.

TL;DR: Wanneer je woorden gebruikt die iets exotischer zijn dan de woorden in de top 2000 meest gebruikte woorden, dan maakt dat je wachtwoord nog eens stukken veiliger.

Goed kijkvoer: How to Choose a Password - Computerphile
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

JamesEarlGray schreef:TL;DR: Wanneer je woorden gebruikt die iets exotischer zijn dan de woorden in de top 2000 meest gebruikte woorden, dan maakt dat je wachtwoord nog eens stukken veiliger.
Op voorwaarde dat die woorden absoluut random gekozen zijn.
Woorden kiezen die met mekaar verband houden gebruiken maken je paswoord ineens veel zwakker.

Zoals alles in IT security, passwords en encryption, zijn oa "randomness" en "non-repetition" zeer belangrijke concepten.
Gebruikersavatar
JamesEarlGray
Elite Poster
Elite Poster
Berichten: 1322
Lid geworden op: 24 aug 2017, 13:04
Uitgedeelde bedankjes: 77 keer
Bedankt: 135 keer

Dat is zoals zeggen dat klassieke wachtwoorden enkel sterk zijn als de *karakters* willekeurig gekozen worden.

Dat is ook geen waar, toch?

Dus waarom is dit criterium ineens zo belangrijk voor een combinatie van woorden ipv een combinatie van karakters?

Dus ofwel karakters willekeurig én woorden willekeurig, ofwel geen beider. Maar karakters onwillekeurig (en dat zou OK zijn) en dan woorden ZEKER willekeurig (want anders is het NIET OK) lijkt mij meten met twee maten en gewichten.

Allez, niet dat ik wil zeggen dat willekeur niet belangrijk is, maar ik bedoel maar: niet overdrijven, hé. 8)
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

JamesEarlGray schreef:Dus waarom is dit criterium ineens zo belangrijk voor een combinatie van woorden ipv een combinatie van karakters?
Dan moet je kijken naar hoe dictionary attacks precies werken... of ze ook de afzonderlijke woorden gaan combineren of niet.

Je zou kunnen denken van wel maar checked men dan ook combinaties zoals Woord1@Woord2, of Woord1-Woord2, of Woord1!Woord2, ... ?
Gebruikersavatar
JamesEarlGray
Elite Poster
Elite Poster
Berichten: 1322
Lid geworden op: 24 aug 2017, 13:04
Uitgedeelde bedankjes: 77 keer
Bedankt: 135 keer

Ja, natuurlijk, maar een combinatie van een klein aantal woorden is vele malen moeilijker te gokken dan bijvoorbeeld tien willekeurige tekens die op naar ervaring makkelijker te gokken zijn dan via pure bruteforce-methodes omdat mensen er toch niet in slagen om willekeurige karakters te kiezen voor een wachtwoord.

Niet vergeten dat een dictionary attack gemaakt is om wachtwoorden van één of twee woorden met allerhande variaties met hoofdletters, substitutie naar elitespeak en de plaatsing en waarde van cijfers te proberen voorspellen op basis van al-opgedane-ervaring.

De pointe van die comic van XKCD is deze: aangezien mensen toch makkelijker te voorspellen zijn dan ze denken, is het nutteloos om moeilijk-te-onthouden tekens in een wachtwoord te gebruiken. Veel beter is om een (uiteraard willekeurige) combinatie van woorden te kiezen.

En hij heeft de worst-case gekozen om aan te tonen dat vier woorden wel degelijk sterker zijn: allen komen ze uit de top 2000 meest gebruikte engelstalige woorden. Als je namelijk ook maar één van die woorden vervangt door een exotischer woord, zoals een zeer regionaal woord, dialect, een naam of iets anders obscuur, dan is je wachtwoord bijna onkraakbaar.

Maar goed, strikt gezien blijft ITnetadmin zijn punt wel staan: gewoon een bekende zin of een verzameling van zeer relevante woorden is uiteraard minder veilig. Maar beeld je eens in hoeveel zinnen er bestaan in de wereld. Onnoemelijk veel.

Of tiens... is Google gewoon een zinnen-rainbowtable aan het bouwen met hun Google Books en Google Scholar? :twisted:
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Ik betwijfel of "DitIsTochWelEenHeelToffeWebsite" minder veilig is dan gewoon 31 willekeurige karakters
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

JamesEarlGray schreef:Dat is zoals zeggen dat klassieke wachtwoorden enkel sterk zijn als de *karakters* willekeurig gekozen worden.
Dat is ook geen waar, toch?
Dat is absoluut *WEL* waar, uiteraard :-)
Enfin, ze zijn "sterker" dan wachtwoorden met niet willekeurig gekozen letters.

Dat volgt uit de standaardwetten van de encryptie.
Patronen zijn zwaktes die gedetecteerd en uitgebuit kunnen worden.
Afhankelijk van de taal die je gebruikt kan men zelfs trucs zoals frequentie analyse gebruiken om encryptie te verzwakken (bv de letter E komt het meest voor in de Engelse taal, de letter T iirc is op de tweede plaats).

Een echte random gekozen serie letters is veel veiliger dan een combinatie.
Stom voorbeeld: "azerty" of zelfs "ytreza" is veel minder veilig dan "dklgor".
En zelfs als je denkt random te zijn ben je dat niet; je bent nl vrij afhankelijk van de positie van de letters op je toetsenbord.
Je moest maar ns zien hoevaak in "random gekozen combinaties" dingen als "sdf", "jkl", etc terugkomen.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Ik denk dat je hier twee dingen door elkaar aan het halen bent... encryptie algoritmes kraken en wachtwoorden kraken.

Het is niet omdat men analyses doet van encryptie dat "azerty" of zelfs "ytreza" veel minder veiliger zou zijn dan "dklgor" als wachtwoord.

Wat azerty minder veilig maakt is dat het onderdeel is van een dictionary attack... maar met uitzondering van dat is het voor allen een brute force (en dan speelt gewoon de lengte van het paswoord).
Plaats reactie

Terug naar “Algemeen Internet-Gebruik”