Google werkt aan wachtwoordgenerator voor Chrome
Google werkt aan een generator van willekeurige wachtwoorden voor gebruik in browser Chrome. De tool moet mensen helpen aan veilige wachtwoorden voor webdiensten, die de browser vervolgens op de gewone manier opslaat.
De wachtwoordgenerator werkt, doordat op een registratiepagina in het veld voor het invullen van een wachtwoord een sleuteltje verschijnt. Door daarop te klikken, verschijnt een willekeurig wachtwoord in beeld dat de gebruiker kan invullen. Dat wachtwoord kan dan op de reguliere manier in Chrome worden onthouden, meldt de projectpagina.
De tool moet voorkomen dat mensen voor alle diensten hetzelfde wachtwoord invullen en kwaadwillenden zo dus makkelijk toegang hebben tot allerlei accounts als het wachtwoord uitlekt, tekent ThreatPost aan. De tool zou herkennen dat het gaat om een registratiepagina, doordat er veel meer velden dan reguliere inlogpagina's zijn vermeld, waaronder twee wachtwoordvelden.
De tool vereist wel dat de gebruiker Chrome als standaardbrowser blijft gebruiken, tenzij het wachtwoord op een andere wijze wordt overgedragen naar een andere browser, zoals door het over te schrijven. Bovendien werkt het alleen bij nieuwe registraties en niet bij diensten waarbij de gebruiker al is geregistreerd en inlogt.
Het is onduidelijk of en wanneer de tool in gebruik zal worden genomen in Chrome. Het is nu nog niet meer dan een idee en volgens Google zal het niet meer zijn dan een tussenoplossing voor de periode dat Open ID nog niet algemeen in gebruik is. "Chromes langetermijnoplossing is inloggen via de browser en Open ID", zo staat op de projectpagina.
Reacties (109)
Hardstikke vetjes
Zo vetjes vind ik het niet gezien de slechte wachtwoordbeveiliging in Chrome. Alle wachtwoorden worden welliswaar encrypted opgeslagen maar wanneer je toegang hebt tot de useraccount is het zeer eenvoudig om de wachtwoorden via Chrome op te vragen doordat er geen wachtwoord is om toegang tot wachtwoorden te beschermen.
Google erkend dit niet als issue omdat wachtwoorden encrypted opgeslagen worden dus toegang tot de account nodig is. Echter als iemand eens wat op jou pc moet doen of even snel een site wilt raadplegen of gewoon een onbewaakt moment pakt kan hij keurig alle wachtwoorden in zien.
Google erkend dit niet als issue omdat wachtwoorden encrypted opgeslagen worden dus toegang tot de account nodig is. Echter als iemand eens wat op jou pc moet doen of even snel een site wilt raadplegen of gewoon een onbewaakt moment pakt kan hij keurig alle wachtwoorden in zien.
Maar dat is niet een bug of issue in Chrome, maar een user error. Altijd uitloggen / automagisch laten uitloggen als je bij je PC wegloopt en een gastaccount instellen.Echter als iemand eens wat op jou pc moet doen of even snel een site wilt raadplegen of gewoon een onbewaakt moment pakt kan hij keurig alle wachtwoorden in zien.
Van gebruikers verwachten dat ze automatisch uit willen laten loggen en steeds weer inloggen, is hetzelfde als verwachten dat ze zelf al verschillende wachtwoorden gebruiken, of dit systeem van chrome willen gebruiken. Allemaal niet waarschijnlijk bij de gemiddelde gebruiker. Zeker bij een thuisgebruiker.
Je kunt ook gewoon je lockscreen aanzetten. Ik denk niet dat dat voor veel mensen een probleem is, maar je moet het natuurlijk niet vergeten.
Het is verantwoordelijkheid afschuiven. Google claimt zijn browser niet te hoeven beveiligen tegen zulke zaken omdat het OS beveiligd is en dat daar op vertrouwd wordt. Zodra iemand toegang heeft tot het OS kan het potentieel tientallen tot honderden wachtwoorden in zien en kopiëren zonder dat er een extra beveiligingslaag in zit.
De browser zelf is zo lek als een mandje wat betreft wachtwoord beveiliging maar wordt niet als issue gezien omdat het OS veilig is. Dat lijkt mij niet de juiste insteek.
De browser zelf is zo lek als een mandje wat betreft wachtwoord beveiliging maar wordt niet als issue gezien omdat het OS veilig is. Dat lijkt mij niet de juiste insteek.
Ik vind het wel een juiste insteek.
Als je al ingelogd bent op het gebruikersaccount, wat voor meerwaarde heeft het met pijn en moeite afschermen van de wachtwoorden dan nog? Vrijwel elke site die beveiligd is met wachtwoorden heeft ook een "wachtwoord vergeten knopje" waarbij je via de mail een link krijgt om het wachtwoord nieuw in te stellen. En mail kun je gewoonlijk gewoon ophalen want de login gegevens zijn opgeslagen bij het e-mail account. Je kan dus zo het wachtwoord resetten en toegang krijgen.
Bovendien kun je, eenmaal ingelogd op het gebruikersaccount, ook een keylogger of andere spyware installeren. Ook kun je snel het profiel kopiëren en dan later op je gemak de wachtwoorden kraken.
Met andere woorden, heb je eenmaal toegang tot je gebruikersaccount dan is je beveiliging al gebroken. Dan nog zware beveiliging eisen van je browser lijkt dan meer op een marketing gimmick dan dat het echt zinvol is. Lichte beveiliging is voldoende, het voorkomt alleen dat je het meteen in leesbare tekst ziet en dat is voldoende.
Overigens zijn ook de door Firefox opgeslagen wachtwoorden gemakkelijk te exporteren, er is zelfs een addon voor. Is dus niet alleen Chrome. Het echte probleem ligt eerder doordat er is de toegang is gekregen tot het gebruikersaccount.
Als je al ingelogd bent op het gebruikersaccount, wat voor meerwaarde heeft het met pijn en moeite afschermen van de wachtwoorden dan nog? Vrijwel elke site die beveiligd is met wachtwoorden heeft ook een "wachtwoord vergeten knopje" waarbij je via de mail een link krijgt om het wachtwoord nieuw in te stellen. En mail kun je gewoonlijk gewoon ophalen want de login gegevens zijn opgeslagen bij het e-mail account. Je kan dus zo het wachtwoord resetten en toegang krijgen.
Bovendien kun je, eenmaal ingelogd op het gebruikersaccount, ook een keylogger of andere spyware installeren. Ook kun je snel het profiel kopiëren en dan later op je gemak de wachtwoorden kraken.
Met andere woorden, heb je eenmaal toegang tot je gebruikersaccount dan is je beveiliging al gebroken. Dan nog zware beveiliging eisen van je browser lijkt dan meer op een marketing gimmick dan dat het echt zinvol is. Lichte beveiliging is voldoende, het voorkomt alleen dat je het meteen in leesbare tekst ziet en dat is voldoende.
Overigens zijn ook de door Firefox opgeslagen wachtwoorden gemakkelijk te exporteren, er is zelfs een addon voor. Is dus niet alleen Chrome. Het echte probleem ligt eerder doordat er is de toegang is gekregen tot het gebruikersaccount.
Zo lek als een mandje is wel overdreven natuurlijk, dat impliceert dat er wel geprobeerd is om het anders te doen. Verder vraag ik me af wat volgens jou de oplossing dan moet zijn. Een master password? Dat is namelijk gewoon precies hetzelfde als dit.Het is verantwoordelijkheid afschuiven. Google claimt zijn browser niet te hoeven beveiligen tegen zulke zaken omdat het OS beveiligd is en dat daar op vertrouwd wordt. Zodra iemand toegang heeft tot het OS kan het potentieel tientallen tot honderden wachtwoorden in zien en kopiëren zonder dat er een extra beveiligingslaag in zit.
De browser zelf is zo lek als een mandje wat betreft wachtwoord beveiliging maar wordt niet als issue gezien omdat het OS veilig is. Dat lijkt mij niet de juiste insteek.
Je hebt theoretisch helemaal gelijk, maar hoeveel mensen doen dat nu? Beveiliging is altijd een afweging tussen veiligheid en gebruiksgemak. We hebben het hier over een browser, niet over een hightech bedrijf met allerlei protocollen.
Je moet daarom niet kijken naar de theoretische scenario's, maar naar de praktische. De gemiddelde gebruiker vindt het prima (want sociaal wenselijk) om iemand even iets op te laten zoeken op zijn/haar computer. Dus is het zaak ervoor te zorgen dat er in ieder geval een mogelijkheid tot beveiliging van de wachtwoorden is. Er hangt simpelweg te veel vanaf.
Dat kan bijvoorbeeld door elke keer dat een wachtwoord wordt geraadpleegd om het master-wachtwoord te vragen, of dat alleen de eerste keer per sessie te doen. Dan hoeft de gebruiker alleen even de browser opnieuw op te starten voor optimale beveiliging. En in het eerste scenario zouden alleen de reeds geopende diensten gevaar lopen als de gebruiker dat verzuimt. Als een gebruiker ervoor kiest om geen master-wachtwoord in te stellen dan is dat zijn/haar eigen probleem, maar een browser moet wel bepaalde ondersteuning bieden en deze ten minste voordragen als standaardinstelling.
Je moet daarom niet kijken naar de theoretische scenario's, maar naar de praktische. De gemiddelde gebruiker vindt het prima (want sociaal wenselijk) om iemand even iets op te laten zoeken op zijn/haar computer. Dus is het zaak ervoor te zorgen dat er in ieder geval een mogelijkheid tot beveiliging van de wachtwoorden is. Er hangt simpelweg te veel vanaf.
Dat kan bijvoorbeeld door elke keer dat een wachtwoord wordt geraadpleegd om het master-wachtwoord te vragen, of dat alleen de eerste keer per sessie te doen. Dan hoeft de gebruiker alleen even de browser opnieuw op te starten voor optimale beveiliging. En in het eerste scenario zouden alleen de reeds geopende diensten gevaar lopen als de gebruiker dat verzuimt. Als een gebruiker ervoor kiest om geen master-wachtwoord in te stellen dan is dat zijn/haar eigen probleem, maar een browser moet wel bepaalde ondersteuning bieden en deze ten minste voordragen als standaardinstelling.
Er is geen verschil met een master password in deze situatie. In dit geval stel je een wachtwoord in voor je useraccount, anders had je hem ingesteld voor je browser. Dat komt toch op hetzelfde neer? Het blijft je eigen verantwoordelijkheid.Je hebt theoretisch helemaal gelijk, maar hoeveel mensen doen dat nu? Beveiliging is altijd een afweging tussen veiligheid en gebruiksgemak. We hebben het hier over een browser, niet over een hightech bedrijf met allerlei protocollen.
Je moet daarom niet kijken naar de theoretische scenario's, maar naar de praktische. De gemiddelde gebruiker vindt het prima (want sociaal wenselijk) om iemand even iets op te laten zoeken op zijn/haar computer. Dus is het zaak ervoor te zorgen dat er in ieder geval een mogelijkheid tot beveiliging van de wachtwoorden is. Er hangt simpelweg te veel vanaf.
Dat kan bijvoorbeeld door elke keer dat een wachtwoord wordt geraadpleegd om het master-wachtwoord te vragen, of dat alleen de eerste keer per sessie te doen. Dan hoeft de gebruiker alleen even de browser opnieuw op te starten voor optimale beveiliging. En in het eerste scenario zouden alleen de reeds geopende diensten gevaar lopen als de gebruiker dat verzuimt. Als een gebruiker ervoor kiest om geen master-wachtwoord in te stellen dan is dat zijn/haar eigen probleem, maar een browser moet wel bepaalde ondersteuning bieden en deze ten minste voordragen als standaardinstelling.
Als jij erop kan klikken en de informatie kan lezen dan kan een virus dat ook. Mijn advies, sla in Chrome geen wachtwoorden op.. Wachtwoorden horen niet plaintext zichtbaar te zijn, die horen slechts te openen te zijn wanneer jij het wachtwoord tot jouw wachtwoorden invult. Het is niet voor niets dat veel overheidsorganisaties FIPS 140-2 als beveiligings standaard toepassing.
Wat inhoudt dat al bij het gebruik van wachtwoorden om het hoofdwachtwoord gevraagd moet worden.Security Level 2 improves upon the physical security mechanisms of a Security Level 1 cryptographic module by requiring features that show evidence of tampering, including tamper-evident coatings or seals that must be broken to attain physical access to the plaintext cryptographic keys and critical security parameters (CSPs) within the module to attain physical access to the plaintext cryptographic keys and critical security parameters (CSPs) within the module[..]
Of zorgen dat je je account-wachtwoord weer moet intikken als je de wachtwoordenstore wil openen... Nu kun je in Chrome met zes keer klikken alle opgeslagen wachtwoorden zien die je wil.
[Reactie gewijzigd door CodeCaster op 20 februari 2012 16:02]
Tja, hij kan ook keurig spyware installeren om hetzelfde te bereiken.Echter als iemand eens wat op jou pc moet doen of even snel een site wilt raadplegen of gewoon een onbewaakt moment pakt kan hij keurig alle wachtwoorden in zien.
Als je je account door anderen laat gebruiken loop je dit soort risico's toch gewoon?
Daar kan Chrome weinig aan doen.
Of een enkel gat in de plugin security zorgt ervoor dat een paar miljoen Chromes ff hun wachtwoorden opsturen.
Het is prima dat Chrome (en Firefox) dit doen, daardoor ontstaat er geen vals gevoel van veiligheid.
Ook als de browser de wachtwoorden veiliger op zou slaan is het namelijk nog steeds kinderlijk eenvoudig om erachter te komen. Browse simpelweg naar een site met een wachtwoord, en type in de adresbalk (of in firebug of de error console) het volgende om het weer te geven:
javascript:void(alert("Password: " + document.querySelector("input[type=password]").value))
of:
javascript:void(document.querySelector("input[type=password]").type = "text")
Dit werkt in alle browsers, en zal ook blijven werken omdat dit al jaren onderdeel is van HTML, en anders vele sites zullen stoppen met werken.
Ook als de browser de wachtwoorden veiliger op zou slaan is het namelijk nog steeds kinderlijk eenvoudig om erachter te komen. Browse simpelweg naar een site met een wachtwoord, en type in de adresbalk (of in firebug of de error console) het volgende om het weer te geven:
javascript:void(alert("Password: " + document.querySelector("input[type=password]").value))
of:
javascript:void(document.querySelector("input[type=password]").type = "text")
Dit werkt in alle browsers, en zal ook blijven werken omdat dit al jaren onderdeel is van HTML, en anders vele sites zullen stoppen met werken.
[Reactie gewijzigd door Grauw op 21 februari 2012 12:05]
Open ID: http://openid.net/get-an-openid/what-is-openid/
En dan heb je toch weer voor alle pagina's het zelfde wachtwoord? Maar uiteindelijk kan dat ook niet anders. Het is praktisch onmogelijk om voor tientallen sites verschillende wachtwoorden aan te houden.
Dan vind ik de wachtwoordgenerator iig nog een iets betere oplossing, omdat je dan wel zeker sterke wachtwoorden hebt.
En dan heb je toch weer voor alle pagina's het zelfde wachtwoord? Maar uiteindelijk kan dat ook niet anders. Het is praktisch onmogelijk om voor tientallen sites verschillende wachtwoorden aan te houden.
Dan vind ik de wachtwoordgenerator iig nog een iets betere oplossing, omdat je dan wel zeker sterke wachtwoorden hebt.
Maar dan moet die site weeral openID ondersteunen. Indien mogelijk gebruik ik ook wel altijd openid als het kan, maar het merendeel van de websites ondersteund dit toch niet.
Op zich is dat wel een nadeel, maar ik denk dat OpenID daar wel een systeem voor zal hebben die vreemde logins kan herkennen. Het is natuurlijk allerminst verdacht als een gebruiker het ene moment inlogt in Nederland en 5 min. later in de VS o.i.d.
Business accounts is dan weer een ander verhaal....
Business accounts is dan weer een ander verhaal....
Daarom moet je ook geen business accounts hebben,Business accounts is dan weer een ander verhaal....
. Tenminste, geen 'shared login' als je dat bedoelt. Idealiter koppel je mensen hun persoonlijke OpenID oid aan een groep die bij dat bedrijf hoort, zodat je ook per persoon de toegang in kunt stellen.
Ja ende nee.En dan heb je toch weer voor alle pagina's het zelfde wachtwoord?
Welliswaar gebruik je voor het inloggen op elke site hetzelfde wachtwoord, het wachtwoord is alleen opgeslagen bij je OpenID provider. Authenticatie verloopt altijd via deze provider. Dat betekent dus dat als je bij Baby-dump en KPNmail hetzelfde OpenID account gebruikt, en de Baby-dump server komt volledig op straat te liggen, hackers alleen je Baby-dump specifieke instellingen kunnen verkrijgen, en niet je wachtwoord voor bijvoorbeeld KPNmail.
Uiteraard betekent dat wel dat als je OpenID provider wordt gehakct ze mogelijk bij al je accounts kunnen.
Die plain opgeslagen worden op je computer, en met een beetje geluk ook op de servers van google. Bovendien zit je dan vast aan Chrome en als je ergens in een kiosk gebruik wilt maken van dezelfde websites als thuis kan dat niet omdat je je eigen wachtwoorden niet kent. Of je print ze uit en zet ze op een papiertje dat je vervolgens in de rkoeg laat liggen. De veiligste wachtwoorden staan niet op papier, je computer of een server, maar zitten in je hoofd. Daar passen er helaas niet zoveel, en daarom is OpenID op termijn een betere oplossing dan heel veel moelijke wachtwoorden genereren.omdat je dan wel zeker sterke wachtwoorden hebt.
Daarom ook deze tussenoplossing, totdat alles beter is.Maar dan moet die site weeral openID ondersteunen.
[Reactie gewijzigd door 84hannes op 20 februari 2012 09:15]
Wachtwoorden worden wel encrypted gesynchroniseerd, zie settings...Die plain opgeslagen worden op je computer, en met een beetje geluk ook op de servers van google.
OpenID is leuk maar heeft in mijn ogen 2(1/2) grote gebreken.
1. Zoals je al aangeeft je moet je provider kunnen vertrouwen dat de wachtwoorden daar veilig staan. En deze provider wordt een honeypot want er is erg veel in te vinden, weliswaar versleuteld maar hoe lang het duurt voor ergens een lek gevonden wordt..
2. Ik zou graag zien dat je een mass update van al je wachtwoorden bij alle diensten kan doen. Dat betekent dat je wachtwoord bijvoorbeeld maandelijks veranderd in een nieuw random wachtwoord bij alle diensten die je gebruikt. Zo kunnen we meteen de baby-dump gevallen aanpakken, immers bij een hack zouden alle baby-dump geassocieerde accounts een nieuw wachtwoord kunnen krijgen.
(1/2). Niet heel breed ondersteund.. Moet nog op gang komen..
@1) Dat is dan wel waar, maar ik vertrouw eerder een openID provider zoals google, dan een random website, die waarschijnlijk gebouwd is door óf de goedkoopste bieder (die als doel hebben zo snel mogelijk zoveel mogelijk sites te produceren), of door de 16 jarige zoon van de eigenaar die net gister heeft geleerd wat PHP is...
Hoewel ik voor veel sites verschillende wachtwoorden/variaties gebruik, zit ik er de laatste tijd toch steeds vaker aan te denken om gewoon voor ALLES sites waar ik wel eens kom/een account heb een random wachtwoord aan te maken en dan maar elke keer een nieuw password op te vragen als ik wil inloggen...
Hoewel ik voor veel sites verschillende wachtwoorden/variaties gebruik, zit ik er de laatste tijd toch steeds vaker aan te denken om gewoon voor ALLES sites waar ik wel eens kom/een account heb een random wachtwoord aan te maken en dan maar elke keer een nieuw password op te vragen als ik wil inloggen...
Je hebt ook tools zoals Lastpass of andere paswoord vaults... en dat werkt perfect en gratis voor 100den sites indien nodig. Zo kan je voor elke site een paswoord bijhouden.
Nu is de paswoord generator in combinatie met Chrome leuk. Maar je zal maar op een andere PC komen waar alleen IE opstaat...
Dit is minder dan een halve oplossing, want het is PC gebonden. Of het moet zijn dat google deze als plug-in gaat aanbieden. En dan moet je nog installatie rechten hebben ook.
Nu is de paswoord generator in combinatie met Chrome leuk. Maar je zal maar op een andere PC komen waar alleen IE opstaat...
Dit is minder dan een halve oplossing, want het is PC gebonden. Of het moet zijn dat google deze als plug-in gaat aanbieden. En dan moet je nog installatie rechten hebben ook.
Simpelweg bij die online dienst je paswoord veranderen zal dit waarschijnlijk mogelijk maken.Bovendien werkt het alleen bij nieuwe registraties en niet bij diensten waar de gebruiker al is geregistreerd en inlogt.
Nee, het is account-gebonden. Je kunt prima om meerdere PC's Chrome met hetzelfde account laten synchroniseren.Dit is minder dan een halve oplossing, want het is PC gebonden
en daarbij is het toch weer PC gebonden, want hoeveel procent van alle computers heeft chrome? En dan vooral Linux meetellen. En ik kan me voorstellen dat op scholen en veel bedrijven Firefox (of worst-case IE6/7/8/9) standaard geinstalleerd zijn en je geen installatierechten hebt...[...]
Nee, het is account-gebonden. Je kunt prima om meerdere PC's Chrome met hetzelfde account laten synchroniseren.
Dus account-gebonden is prima, als het standaard ook in de andere browsers komt. Anders is het browser (en daarbij dus PC)-gebonden.
Je hele argument gaat nergens over omdat je Chrome op een publieke PC niet gaat lopen syncen met je standaard sync account 
. Dat was dan ook niet waar ik het over had - ik sync op alle standaard PC's waar ik op zit (PC, laptop, werk) Chrome met hetzelfde account.
Mocht je dan op een publieke PC zitten, met of zonder Chrome, dan kun je altijd nog op een andere manier bij je wachtwoorden:
. Dat was dan ook niet waar ik het over had - ik sync op alle standaard PC's waar ik op zit (PC, laptop, werk) Chrome met hetzelfde account.Mocht je dan op een publieke PC zitten, met of zonder Chrome, dan kun je altijd nog op een andere manier bij je wachtwoorden:
Retrieving Passwords
While generally it's good that users don't know their passwords, there are times when they will need them such as when they aren't able to use Chrome. For these cases, we will have a website similar to Valentine where users can sign in and view (and possibly export?) their passwords. Since it should be relatively rare that users need this, and since this information is valuable, having users solve a Captcha before getting this information seems wise. We may also want to prompt users to enroll in StrongAuth when they first start using this feature.
offtopic:
"De wachtwoordgenerator werk, doordat"
"De wachtwoordgenerator werk, doordat"
Verder lijkt dit me best handig. Heb zelf LastPass die het voor mij doet, ingebouwd heb ik het persoonlijk niet nodig, maar als je verder maar op 1 plaats je wachtwoorden nodig hebt zorgt dit er voor dat je het zelf niet hoeft op te slaan en toch een veilig wachtwoord hebt.
Ben benieuwd of ze ook een goede export functie gaan maken, want als je ze niet kan overzetten oid verpest dat het weer een beetje.
En als je je wachtwoorden al opschreef, kan je dat nu nog altijd doen. Je hoeft alleen niet meer zelf een password te genereren. Lijkt me geen ergelijke functie dit.
Edit: offtopic bovenaan + 1 alinea er bij
[Reactie gewijzigd door Mikerd op 20 februari 2012 07:53]
Sluit ik me bij aan, gebruik LastPass en ik vindt het ideaal. De synchronisatie, in combinatie met Opera Link, is ideaal en ik vindt het systeem erg veilig.
Voor Google is het ook handig, zo kunnen ze gebruikersprofielen verkopen met nog meer gebruikersinfo
Voor Google is het ook handig, zo kunnen ze gebruikersprofielen verkopen met nog meer gebruikersinfo
Jep, ik gebruik ook al jaren Lastpass. Op een incidentje in mei vorig jaar na heb ik het idee dat ze erg goed met mijn gegevens om gaan. http://lastpass.com/whylastpass_technology.php
Wachtwoorden voor internetbankieren e.d. staan daar uiteraard niet in
Wachtwoorden voor internetbankieren e.d. staan daar uiteraard niet in
[Reactie gewijzigd door JanvdVeer op 20 februari 2012 10:11]
Dat incidentje maakt Lastpass alweer onaantrekkelijker voor mij.Voor Internetbankieren en gemeentelijke diensten via DigiD gebruik ik een oudere Mac, een eMac.Bekend is dat OSX beter beveiligd is.Het is echter een PPC en daarop draait helaas geen Chrome.Jep, ik gebruik ook al jaren Lastpass. Op een incidentje in mei vorig jaar na heb ik het idee dat ze erg goed met mijn gegevens om gaan. http://lastpass.com/whylastpass_technology.php
Wachtwoorden voor internetbankieren e.d. staan daar uiteraard niet in
[Reactie gewijzigd door Nozem1959 op 20 februari 2012 12:20]
Het grote voordeel van Lastpass is dat je ook snel-snel naar de website kan surfen op anderman's PC, en zo inloggen op gelijk welke site.
Slim... niet heus.
Dan wordt je dus volledig afhankelijk van Chrome voor het onthouden en invullen omdat je je eigen wachtwoorden niet meer kent. Kun je in principe niet meer wisselen van browser omdat je dan geen directe toegang hebt tot de Chrome Cloud en dus niet tot je wachtwoorden.
Dan wordt je dus volledig afhankelijk van Chrome voor het onthouden en invullen omdat je je eigen wachtwoorden niet meer kent. Kun je in principe niet meer wisselen van browser omdat je dan geen directe toegang hebt tot de Chrome Cloud en dus niet tot je wachtwoorden.
Je kunt in chrome de verschillende wachtwoorden die zijn opgeslagen terug zien.
Dus je hoeft alleen het huidige wachtwoord over te schrijven om in een andere browser te gebruiken.
Wat er namelijk staat is dat een wachtwoord niet automatisch wordt opgeslagen in een ANDERE browser.
Dus je hoeft alleen het huidige wachtwoord over te schrijven om in een andere browser te gebruiken.
Wat er namelijk staat is dat een wachtwoord niet automatisch wordt opgeslagen in een ANDERE browser.
Alleen jammer dat iedereen die je computer even gebruikt deze wachtwoorden kan zien, Chrome ondersteunt geen master-password zoals Firefox dat doet. Een groot gemis en voor mij een reden om Chrome niet als main browser te gebruiken.
Je kan toch gewoon uiloggen uit Chrome (Gmail account).
Iedere user heeft dan zijn eigen paswoorden enz...
Iedere user heeft dan zijn eigen paswoorden enz...
in chrome dus je wordt er inderdaad volledig afhankelijk van dat je toegang hebt tot chrome of je moet ze alsnog gaan opschrijven.Je kunt in chrome de verschillende wachtwoorden die zijn opgeslagen terug zien.
En wat is het nut ervan als je ze toch al moet opschrijven voor op je werk/vakantieadres/internetcafe/...
En anders ben je volledig afhankelijk van je Keepass/Lastpass programma. Niet kwalitatief verschillend, in beide gevallen gaat het om lokale databases die door een lokaal programma worden benaderd dat niet opeens stopt met werken als het bedrijf plotseling failliet is en de servers down gaan.
Voor OSX zullen ze wel gebruik maken van Apple's Keychain (zoals ze nu ook al doen voor het opslaan van wachtwoorden) dan kunnen alle browsers er gebruik van maken (na een machtiging van root) en kan je het zelf ook gewoon terugvinden.
Inderdaad.
En wat met mensen die geregeld op een andere computer werken waar geen chrome op geinstalleerd staat?
Allemaal mooi en wel, maar ik denk dat je mensen beter kan wijsmaken om voor zichzelf een zekere logica voor hun paswoorden te ontwikkelen, waardoor ze voor iedere login een ander paswoord gebruiken en deze ook gemakkelijker kunnen onthouden.
En wat met mensen die geregeld op een andere computer werken waar geen chrome op geinstalleerd staat?
Allemaal mooi en wel, maar ik denk dat je mensen beter kan wijsmaken om voor zichzelf een zekere logica voor hun paswoorden te ontwikkelen, waardoor ze voor iedere login een ander paswoord gebruiken en deze ook gemakkelijker kunnen onthouden.
Ik zie het nut niet ten opzichte van iets als LastPass, welke gewoon cross-browser werkt. Bovendien kan deze feature op publieke systemen ook weer lastig worden. Het zal maar standaard aan staan waardoor in die machine opeens je wachtwoord staat als je even onvoorzichtig bent.
Ik ga ervan uit dat je in Chrome kan kiezen dat je je wachtwoorden niet wilt laten synchroniseren. Dat betekent dat al je wachtwoorden alleen lokaal staan, wat dus veiliger is dan LastPass. Op het moment dat je wel gaat synchroniseren lijkt mij lastpass ook veiliger
Mooi bedacht, en een goede manier om aan klanten binding te doen.
Nadelen zijn er ook.
- Al je wachtwoorden zijn opgeslagen bij Google.
- Je wordt verondersteld altijd in te loggen bij Google als je het internet opgaat (anders kun je je wachtwoorden niet synchroniseren met andere pc's).
- Even inloggen op je facebook in een internetcafe op vakantie kun je dus vergeten.
- Beetje eigen controle over je ww policy vind ik persoonlijk wel prettig.
- Eenmaal je gmail wachtwoord bekend, zijn alle ww bekend.
Nadelen zijn er ook.
- Al je wachtwoorden zijn opgeslagen bij Google.
- Je wordt verondersteld altijd in te loggen bij Google als je het internet opgaat (anders kun je je wachtwoorden niet synchroniseren met andere pc's).
- Even inloggen op je facebook in een internetcafe op vakantie kun je dus vergeten.
- Beetje eigen controle over je ww policy vind ik persoonlijk wel prettig.
- Eenmaal je gmail wachtwoord bekend, zijn alle ww bekend.
Ik waag dat te betwijfelen, ja bij Google.Google schrijft nl. het volgendeMooi bedacht, en een goede manier om aan klanten binding te doen.
Nadelen zijn er ook.
- Al je wachtwoorden zijn opgeslagen bij Google.
- Beetje eigen controle over je ww policy vind ik persoonlijk wel prettig.
- Eenmaal je gmail wachtwoord bekend, zijn alle ww bekend.
Als je dat van iemand anders verwacht moet je het ook zelf doen!Als u een applicatie of extensie (een 'add-on') installeert in Google Chrome, kan deze gegevens lokaal opslaan en gegevens waartoe de add-on toegang heeft, verzenden naar servers van derden waarmee deze mag communiceren. U moet daarom zeker weten dat u de ontwikkelaar van de add-on kent en vertrouwt.
http://www.google.nl/chrome/intl/nl/privacy.htmlDeze wachtwoorden worden opgeslagen in hetzelfde systeem dat uw opgeslagen wachtwoorden van andere browsers bevat. Op een Mac gebruikt Google Chrome het hulpprogramma Sleutelhangertoegang om uw aanmeldingsgegevens op te slaan.
Als je het toestaat kun je ze wel synchroniseren met google.
https://support.google.co...95606&p=cpn_passwordsU kunt al deze wachtwoorden, inclusief de wachtwoorden van andere browsers die u heeft opgeslagen, synchroniseren met uw Google-account, zodat u op andere computers ook toegang tot uw opgeslagen wachtwoorden heeft.
Waar staan ze?
http://ellisweb.net/2008/...ry-profile-and-bookmarks/After a bit of digging, I found the location where Chrome stored user data:
* On XP – C:\Documents and Settings\<User Name>\Local Settings\Application Data\Google\Chrome\User Data
* On Vista - C:\Users\<User Name>\AppData\Local\Google\Chrome\User Data
[Reactie gewijzigd door Nozem1959 op 20 februari 2012 08:21]
een goede reden om het niet te gebuiken[...]
nozem1959
Maar als je je wachtwoorden ook buiten Chrome wilt gebruiken (en die kans is groot), dan is het ergens wel jammer dat er allemaal van die moeilijke wachtwoorden moeten worden gemaakt van willekeurige tekens. Het zou veel handiger als je een zin van 20~30 tekens kunt gebruiken als wachtwoord, die je dan een beetje ingewikkelder maakt door er een paar rare tekens en een smiley face in te hangen. Dat is namelijk veel beter te onthouden en praktisch onmogelijk om bruteforce te kraken.
Moet je alleen even een trucje verzinnen om voor elke site een ander wachtwoord te kweken, maar dat kan bijv. door een getal erin te zetten en de plaats van de eerste letter van de site in het alfabet te gebruiken als dat getal. Of als je verder wilt gaan de hexdecimale ASCII code van die letter
Moet je alleen even een trucje verzinnen om voor elke site een ander wachtwoord te kweken, maar dat kan bijv. door een getal erin te zetten en de plaats van de eerste letter van de site in het alfabet te gebruiken als dat getal. Of als je verder wilt gaan de hexdecimale ASCII code van die letter
Simpel doch doeltreffend...Moet je alleen even een trucje verzinnen om voor elke site een ander wachtwoord te kweken, maar dat kan bijv. door een getal erin te zetten en de plaats van de eerste letter van de site in het alfabet te gebruiken als dat getal. Of als je verder wilt gaan de hexdecimale ASCII code van die letter
http://forum.fok.nl/topic/1546257
Ik heb de ervaring dat het gebruik van leestekens het password sterker maakt.Ik heb dit uitgeprobeerd met hetzelfde password (9 kar+1) waarvan de ene met een "!" Die zonder kan gekraakt worden in 4 dagen. Die met "!" toegevoegd in 15 jaar!
http://howsecureismypassword.net/
[Reactie gewijzigd door Nozem1959 op 20 februari 2012 08:44]
Dat ligt natuurlijk geheel aan het gebruikte algoritme...
http://xkcd.com/936/
Er is geen enkele reden meer tegenwoordig om nog bijv wachtwoorden te limiteren op 8 tekens, of zelfs op 12, 16, of 20 tekens. Toch zitten er bijna altijd kleine limieten op.
Er is geen enkele reden meer tegenwoordig om nog bijv wachtwoorden te limiteren op 8 tekens, of zelfs op 12, 16, of 20 tekens. Toch zitten er bijna altijd kleine limieten op.
voor bruteforce kraken is het helemaal niet nodig om rare tekens in te voegen,
en is het wachtwoord "in den haag daar woont een graaf" net zo moeilijk als
"34te%$*poqr5$$zW+woont een graaf"
voor eventuele raders naar wachtwoorden is het eerste wel wat makkelijker,
hoewel ik ook niet de associatie kan leggen van mij naar een graaf in den haag
en is het wachtwoord "in den haag daar woont een graaf" net zo moeilijk als
"34te%$*poqr5$$zW+woont een graaf"
voor eventuele raders naar wachtwoorden is het eerste wel wat makkelijker,
hoewel ik ook niet de associatie kan leggen van mij naar een graaf in den haag
Ik ben geen expert in deze zaken... wat ik daarintegen gelezen heb is dat er tables zijn (de rainbow tables) die uiterst uitgebreid zijn en zelfs asociaties legt naar bijvoorbeeld lyrics van een liedje of in Den Haag woont een graaf!
Bruteforce maakt het inderdaad niet uit hoe complex een wachtwoord is al kan ik me voorstellen dat je zelfs dan nog steeds de slimste aanpak wilt gebruiken qua benadering en niet alle mogelijkheden af wilt lopen. Ik denk dat er dan ook alleen maar voordelen zitten in onmogelijke voorstellen wat Chrome doet tov lastige zinnen. Sterker nog gezien de kennis van zaken lijkt me de random keuze die Chrome maakt logischer dan de keuze die ik zelf zou maken. n4m3l355 woont in Hong Kong bijvoorbeeld.
Waar ik wel benieuwd naar ben is hoe Chrome omgaat met wisselingen, kun je een dergelijke keychain somehow meenemen/copieren? Ik kan me voorstellen als ik elders inlog dit soort wachtwoorden dus niet in mn noteboek heb staan. Of bijvoorbeeld met een herinstallatie ...
Bruteforce maakt het inderdaad niet uit hoe complex een wachtwoord is al kan ik me voorstellen dat je zelfs dan nog steeds de slimste aanpak wilt gebruiken qua benadering en niet alle mogelijkheden af wilt lopen. Ik denk dat er dan ook alleen maar voordelen zitten in onmogelijke voorstellen wat Chrome doet tov lastige zinnen. Sterker nog gezien de kennis van zaken lijkt me de random keuze die Chrome maakt logischer dan de keuze die ik zelf zou maken. n4m3l355 woont in Hong Kong bijvoorbeeld.
Waar ik wel benieuwd naar ben is hoe Chrome omgaat met wisselingen, kun je een dergelijke keychain somehow meenemen/copieren? Ik kan me voorstellen als ik elders inlog dit soort wachtwoorden dus niet in mn noteboek heb staan. Of bijvoorbeeld met een herinstallatie ...
blijft natuurlijk de vraag in hoeverre mijn password interessant is voor hackers,
en de oplossing van dit probleem is een de aa's in graaf te vervangen door een 4. of een !..
of nog beter toevoegen van de zin ", en zijn zoon heet Jantje7"
bij elkaar 58 karakters....wens je veel plezier qua bruteforce.....
volgens bovengenoemde site
http://howsecureismypassword.net/
kost het
About 2 quinquavigintillion years
om dit te kraken.....
he trouwens.....dit is mijn password.......
er zijn andere kinderliedjes...
Klein, klein kleutertje....
sinterklaasje, bonne bonne bonne...
meneer cactus zegt OK!
etc...
het probleem ligt vaak meer in site's die je limiteren in het gebruik van het aantal karakters of leestekens voor een password.
"Meneer cactus zegt OK!" geeft je al meer password security dan allerlei imbeciele zelfbedachte en niet te onthouden fr437&%3$2 wachtwoorden.
22 karakters + kapitalen+leestekens = plm 96 lettertekens om uit te kiezen,
.....veel puzzelplezier
(Niet erkende, en tot zelfmoord "gedwongen" Turing was goed in WW2, maar die meneer Cactus vindtie echt niet (vooral niet als je cactus omdraaid))
wat krijg je als je cactus omdraaid? stekels in je hand!!!!!!
en de oplossing van dit probleem is een de aa's in graaf te vervangen door een 4. of een !..
of nog beter toevoegen van de zin ", en zijn zoon heet Jantje7"
bij elkaar 58 karakters....wens je veel plezier qua bruteforce.....
volgens bovengenoemde site
http://howsecureismypassword.net/
kost het
About 2 quinquavigintillion years
om dit te kraken.....
he trouwens.....dit is mijn password.......
er zijn andere kinderliedjes...
Klein, klein kleutertje....
sinterklaasje, bonne bonne bonne...
meneer cactus zegt OK!
etc...
het probleem ligt vaak meer in site's die je limiteren in het gebruik van het aantal karakters of leestekens voor een password.
"Meneer cactus zegt OK!" geeft je al meer password security dan allerlei imbeciele zelfbedachte en niet te onthouden fr437&%3$2 wachtwoorden.
22 karakters + kapitalen+leestekens = plm 96 lettertekens om uit te kiezen,
.....veel puzzelplezier
(Niet erkende, en tot zelfmoord "gedwongen" Turing was goed in WW2, maar die meneer Cactus vindtie echt niet (vooral niet als je cactus omdraaid))
wat krijg je als je cactus omdraaid? stekels in je hand!!!!!!
[Reactie gewijzigd door boerke op 20 februari 2012 10:13]
De mate waarin een wachtwoord te kraken is hangt af van de gebruikte tekensets en de lengte.
Als alleen lower case letters worden gebruikt, dan is eenvoudig in te zien dat een wachtwoord van 4 tekens 26 x 26 x 26 x 26 mogelijkheden heeft. Door hoofdletters erbij te gebruiken wordt het aantal mogelijkheden vergroot van 26^4 naar 52^4. Toevoegen van cijfers, leestekens, etc maakt het aantal mogelijkheden wederom groter.
Maar...
Het is belangrijker om een LANG wachtwoord te kiezen dan een COMPLEX wachtwoord. Zoals hierboven al gezegd maakt het voor het kraken van een wachtwoord niet uit hoeveel leestekens er in zitten - het brute force programma probeert toch wel alle mogelijkheden. Complexe wachtwoorden zijn voornamelijk complex voor de mensen die ze moeten onthouden. Lange wachtwoorden daarentegen maken het voor de hacker vele malen moeilijker omdat met de lengte het aantal mogelijke wachtwoorden zo snel toeneemt...
Gebruik alleen letters (groot & klein), en een zin van 20 karakters zit op 20^54 = 1.7 x 10^70 mogelijkheden. De zin 'In Den Haag daar woont een Graaf' heeft 32 karakters en is dus nog lastiger te kraken...
Voor de visueel ingestelden onder ons - en voor hen die van een grapje houden - een linkje naar XKCD.com: http://xkcd.com/936/. Hier wordt bovenstaande nog eens uitgelegd...
Als alleen lower case letters worden gebruikt, dan is eenvoudig in te zien dat een wachtwoord van 4 tekens 26 x 26 x 26 x 26 mogelijkheden heeft. Door hoofdletters erbij te gebruiken wordt het aantal mogelijkheden vergroot van 26^4 naar 52^4. Toevoegen van cijfers, leestekens, etc maakt het aantal mogelijkheden wederom groter.
Maar...
Het is belangrijker om een LANG wachtwoord te kiezen dan een COMPLEX wachtwoord. Zoals hierboven al gezegd maakt het voor het kraken van een wachtwoord niet uit hoeveel leestekens er in zitten - het brute force programma probeert toch wel alle mogelijkheden. Complexe wachtwoorden zijn voornamelijk complex voor de mensen die ze moeten onthouden. Lange wachtwoorden daarentegen maken het voor de hacker vele malen moeilijker omdat met de lengte het aantal mogelijke wachtwoorden zo snel toeneemt...
Gebruik alleen letters (groot & klein), en een zin van 20 karakters zit op 20^54 = 1.7 x 10^70 mogelijkheden. De zin 'In Den Haag daar woont een Graaf' heeft 32 karakters en is dus nog lastiger te kraken...
Voor de visueel ingestelden onder ons - en voor hen die van een grapje houden - een linkje naar XKCD.com: http://xkcd.com/936/. Hier wordt bovenstaande nog eens uitgelegd...
[Reactie gewijzigd door Tukkertje-RaH op 20 februari 2012 09:18]
Daar gaan de meeste mensen dus de fout in. De aanname dat als je maar gewoon woorden gebruikt je automagisch meer tekens krijgt. De voorraad woorden is behoorlijk beperkt. In plaats van 32 karakters moet je het zien als 7 'karakters', waarvan de karakters een iets grotere complexiteit hebben dan een standaard karakter. Als je toch al wachtwoorden boven een bepaalde lengte (zeg 12) gaat gebruiken mag je er bijna wel vanuit gaan dat dit soort aanpakken gebruikt worden en hoef je echt niet elke lettercombinatie te proberen. Je kunt dan overgaan tot het variëren van woorden, wat dus opeens weer een stuk sneller gaat dan elk teken apart.
Ik gebruik zelf altijd complete random passwords van 8 tot 10 karakters. Even een paar keer oefenen en je onthoudt die wel. En het resultaat is dat ik dit wachtwoord een stuk sneller kan intypen, minder kans heb op typefouten (dankzij minder karakters) en het ook nog eens véél makkelijker intype op een mobiel device als een smartphone, met de kleine priegellettertjes of autocorrectie die er een potje van maakt.
Ik gebruik zelf altijd complete random passwords van 8 tot 10 karakters. Even een paar keer oefenen en je onthoudt die wel. En het resultaat is dat ik dit wachtwoord een stuk sneller kan intypen, minder kans heb op typefouten (dankzij minder karakters) en het ook nog eens véél makkelijker intype op een mobiel device als een smartphone, met de kleine priegellettertjes of autocorrectie die er een potje van maakt.
What the hell is automagisch?
maar iedere keer 10 random nummers onthouden? op elke andere site?
ik hou het maar even op "in den haag daar woont een graaf, en zijn zoon heet jantje"
met een kleine variatie...
maar iedere keer 10 random nummers onthouden? op elke andere site?
ik hou het maar even op "in den haag daar woont een graaf, en zijn zoon heet jantje"
met een kleine variatie...
LastPass is ook heel handig voor deze zaken :-)
Kost je wel $12 per jaar om op je mobieltje te gebruiken.
Kost je wel $12 per jaar om op je mobieltje te gebruiken.
Op elke andere site... tja. Dat doe je dus toch ook niet met je 'in den haag ...' verhaal?
Stel dat je toegangscode abcd123$% zou zijn, kun je ook best op elke site hier een andere variatie op maken, zoals abce234$% ofzo. Het probleem daarmee is, net zo goed als met jouw zin, dat je maar net moet weten wélke variatie je op wélke site gebruikt hebt. Dat los je er dus niet mee op.
Of je gebruikt gewoon hetzelfde wachtwoord voor meerdere sites. Ik heb een set van 7 wachtwoorden die ik gebruik, afhankelijk van het privacyniveau van de site. Voor mijn persoonlijke mail gebruik ik een ander wachtwoord dan voor een forum waar ik een keer een berichtje wil plaatsen. Voor Facebook gebruik ik een ander wachtwoord dan voor Tweakers. Facebook en Hyves (toen ik dat nog had) waren dan echter wel weer hetzelfde; als je de een al hebt, wat is dan de toegevoegde waarde van de ander nog...
En die set van 7 wachtwoorden wordt zo nu en dan stapsgewijs geupdate, en dan met name de meest gevoelige wachtwoorden, die veranderen het meest.
Stel dat je toegangscode abcd123$% zou zijn, kun je ook best op elke site hier een andere variatie op maken, zoals abce234$% ofzo. Het probleem daarmee is, net zo goed als met jouw zin, dat je maar net moet weten wélke variatie je op wélke site gebruikt hebt. Dat los je er dus niet mee op.
Of je gebruikt gewoon hetzelfde wachtwoord voor meerdere sites. Ik heb een set van 7 wachtwoorden die ik gebruik, afhankelijk van het privacyniveau van de site. Voor mijn persoonlijke mail gebruik ik een ander wachtwoord dan voor een forum waar ik een keer een berichtje wil plaatsen. Voor Facebook gebruik ik een ander wachtwoord dan voor Tweakers. Facebook en Hyves (toen ik dat nog had) waren dan echter wel weer hetzelfde; als je de een al hebt, wat is dan de toegevoegde waarde van de ander nog...
En die set van 7 wachtwoorden wordt zo nu en dan stapsgewijs geupdate, en dan met name de meest gevoelige wachtwoorden, die veranderen het meest.
waarom is "in den haag..blabla" dan minder dan jouw zelfbedacht password...qua brute force maakt 't echt niet uit, 't is alleen wat makkelijker te onthouden.
"in den haag..blabla" is trouwens ook weer een goed password
Ik wil trouwens helemaal niet variëren in password's.
"in den haag........jantje" heeft een sterkte die onbreekbaar is met elke supercompu van nu tot over 20 jaar.....en kan ik dus overal gebruiken. voeg ik nog een raar leesteken toe......dan helemaal...dus ik hoef helemaal geen andere passwords te onthouden. hooguit 1 teken veranderen in deze simpele zin geeft weer genoeg mogelijkheden om weer die supercomputer 20 jaar te laten rekenen.
Het is niet allemaal CSI.
Dus ik heb uiteindelijk 2 wachtwoorden...
Doe je best, breek mijn passwoord, breek dan bij me thuis in voor mijn verstopte tancodes en je maakt uiteindelijk 1000 euro buit. Dikke pret lijkt me....
"in den haag..blabla" is trouwens ook weer een goed password
Ik wil trouwens helemaal niet variëren in password's.
"in den haag........jantje" heeft een sterkte die onbreekbaar is met elke supercompu van nu tot over 20 jaar.....en kan ik dus overal gebruiken. voeg ik nog een raar leesteken toe......dan helemaal...dus ik hoef helemaal geen andere passwords te onthouden. hooguit 1 teken veranderen in deze simpele zin geeft weer genoeg mogelijkheden om weer die supercomputer 20 jaar te laten rekenen.
Het is niet allemaal CSI.
Dus ik heb uiteindelijk 2 wachtwoorden...
Doe je best, breek mijn passwoord, breek dan bij me thuis in voor mijn verstopte tancodes en je maakt uiteindelijk 1000 euro buit. Dikke pret lijkt me....
[Reactie gewijzigd door boerke op 20 februari 2012 11:41]
Ik zeg niet dat dat per sé een slecht wachtwoord is. Men lijkt overal echter te propageren dat 'in den haag...blabla' veel beter zou zijn dan `%fdawd$#312' en beter te onthouden. Het is niet sterker, want het is net zo eenvoudig of lastig te bruteforcen omdat het samengesteld is uit bekende, geldige woorden. Dat het langer is compenseert daarvoor, maar maakt het niet een sterker wachtwoord.
Onbreekbaar is het zeker niet. Of dat boeit, dat is de vraag, meestal niet waarschijnlijk. Ik vind het eenvoudiger om mijn kortere, maar compleet random wachtwoorden te onthouden en ook om ze in te typen. Dat xkcd-stripje zet je nogal op het verkeerde been wat mij betreft; het is best een goede mogelijkheid om wachtwoorden te genereren (al worden er nog vrij vaak maximum lengtes aan wachtwoorden gesteld), maar het is zeker niet superieur aan random wachtwoorden.
Onbreekbaar is het zeker niet. Of dat boeit, dat is de vraag, meestal niet waarschijnlijk. Ik vind het eenvoudiger om mijn kortere, maar compleet random wachtwoorden te onthouden en ook om ze in te typen. Dat xkcd-stripje zet je nogal op het verkeerde been wat mij betreft; het is best een goede mogelijkheid om wachtwoorden te genereren (al worden er nog vrij vaak maximum lengtes aan wachtwoorden gesteld), maar het is zeker niet superieur aan random wachtwoorden.
maar door jantje te vervangen door bv pietje, of wat mij betreft brampie...wordt het weer onvoorspelbaar....
Vraag
Hoeveel woorden zijn er in het Nederlands?
Antwoord
De schattingen lopen sterk uiteen. Piet van Sterkenburg, directeur van het Instituut voor Nederlandse Lexicologie in Leiden, schat het aantal Nederlandse woorden 'voorzichtig' op meer dan 1 miljoen.
Oftewel jou zeven karakters in een zin levert:
7^1000000 = 10845098 mogelijkheden
Alle printbare ascii tekens zijn er 95
Jou wachtwoord met hoge complexiteit:
Levert 1095 mogelijkheden
Als we dat op elkaar delen
10845098 / 1095 = 10845003 keer meer mogelijkheden levert een zin als dat jou wachtwoord oplevert.
Hoeveel woorden zijn er in het Nederlands?
Antwoord
De schattingen lopen sterk uiteen. Piet van Sterkenburg, directeur van het Instituut voor Nederlandse Lexicologie in Leiden, schat het aantal Nederlandse woorden 'voorzichtig' op meer dan 1 miljoen.
Oftewel jou zeven karakters in een zin levert:
7^1000000 = 10845098 mogelijkheden
Alle printbare ascii tekens zijn er 95
Jou wachtwoord met hoge complexiteit:
Levert 1095 mogelijkheden
Als we dat op elkaar delen
10845098 / 1095 = 10845003 keer meer mogelijkheden levert een zin als dat jou wachtwoord oplevert.
[Reactie gewijzigd door DRaakje op 20 februari 2012 12:21]
Ja, één miljoen. Maar hoeveel Nederlandse woorden ken jij? Hoeveel Nederlandse woorden kennen Henk en Ingrid? Met enkele tienduizenden houdt het dan wel op; daarmee beperk je de complexiteit alweer behoorlijk, want je gaat heus geen woorden in je wachtwoord gebruiken die je niet kent. En ik denk dat als je de 2000 meest gebruikte woorden in het Nederlands pakt je er al wel bent voor de meeste wachtwoorden die op die manier worden samengesteld.
ik ben bang dat die Henk of Ingrid dan wel het woord tatoeage gaat gebruiken...maar het spellen als tatoejaasje.....ga je weer de fout in met je voorspellingen.
wel weer een redelijk wachtwoord, trouwens....
wel weer een redelijk wachtwoord, trouwens....
[Reactie gewijzigd door boerke op 20 februari 2012 13:35]
De gemiddelde Nederlander gebruikt ongeveer 10.000 woorden actief, en herkent er tussen de 45.000 en de 250.000. Rond de 4.500 woorden wordt als minimale woordenschat die je nodig hebt om normaal te kunnen communiceren gezien.
Als we er van uit gaan dat die 10.000 woorden dezelfde woorden zijn, en dat dat dus de woorden zijn waaruit gekozen gaat worden, dan heeft een zin van 7 woorden een entropie van 1028 mogelijkheden, dus ongeveer 64 bits. Een password van 10 karakters uit een set van 95 karakters levert 9510 mogelijkheden, goed voor 45 bits. 7 woorden uit het normale vocabulaire van de gemiddelde Nederlander is dus veel sterker dan 10 random karakters. 5 woorden is net iets sterker dan die 10 karakters, 4 is zwakker.
Daarbij ga ik er wel van uit dat de woorden (en karakters) ook daadwerkelijk random gekozen zijn.
Als we er van uit gaan dat die 10.000 woorden dezelfde woorden zijn, en dat dat dus de woorden zijn waaruit gekozen gaat worden, dan heeft een zin van 7 woorden een entropie van 1028 mogelijkheden, dus ongeveer 64 bits. Een password van 10 karakters uit een set van 95 karakters levert 9510 mogelijkheden, goed voor 45 bits. 7 woorden uit het normale vocabulaire van de gemiddelde Nederlander is dus veel sterker dan 10 random karakters. 5 woorden is net iets sterker dan die 10 karakters, 4 is zwakker.
Daarbij ga ik er wel van uit dat de woorden (en karakters) ook daadwerkelijk random gekozen zijn.
Interessante berekening, klopt alleen niet helemaal volgens mij .
Naar analogie met een cijferslot: 103 = 1000 moet het 1 000 0007 en 9510 zijn. De 7 woorden geven nog altijd een stuk meer combinaties dan het complexe wachtwoord, dus de conclusie klopt wel.
.Naar analogie met een cijferslot: 103 = 1000 moet het 1 000 0007 en 9510 zijn. De 7 woorden geven nog altijd een stuk meer combinaties dan het complexe wachtwoord, dus de conclusie klopt wel.
Mooi. Zat ik net op te wachten. Hopelijk met export mogelijkheid.Kan wel een op zichzelf staande password generator gebruiken. Maar een ingebouwde is handiger samen met de wachtwoordendatabase.
http://strongpasswordgenerator.com/
Dit is voor een groot deel vendor lockin. Het is op zich een goed idee, velen hebben het echt hard nodig. Maar beschermen zij hun computer ook? Elke idioot die achter die machine gaat zitten logt dus automagisch in op al die sites.
Persoonlijk vindt ik de Lastpass optie beter, vooral ook omdat die in alle browsers werkt.
Dit is voor een groot deel vendor lockin. Het is op zich een goed idee, velen hebben het echt hard nodig. Maar beschermen zij hun computer ook? Elke idioot die achter die machine gaat zitten logt dus automagisch in op al die sites.
Persoonlijk vindt ik de Lastpass optie beter, vooral ook omdat die in alle browsers werkt.
Zijn wachtwoorden als "morgeun ewt ikke veels" niet veiliger dan "bdi739bUwnn/&:¤ii"?
[Reactie gewijzigd door GeforceAA op 20 februari 2012 09:25]
Nee, want die eerste is maar 26 tekens per character, wat dus vele malen sneller te brute-forcen is dan ruim 40 tekens per character. Ligt er aan hoe lang de wachtwoorden zijn e.d., maar enkel letters kan je tegenwoordig ontzettend snel bruteforcen. Als google dit zou doen zouden een hoop wachtwoorden alleen maar uit letters bestaan en werd het nog makkelijker om wachtwoorden te bruteforcen.
Dat geld toch enkel als je weet dat de paswoorden alleen uit letter kunnen bestaan?
Precies, en aangezien zijn wachtwoord enkel uit letters bestaan. Stel je voor google zou dat ook zeggen en implementeren in hun password generator. Dan weet je al direct dat een gros van de wachtwoorden enkel uit letters bestaan, dan zou ik persoonlijk eerst proberen die te bruteforcen om al wat resultaat te boeken.
Nee, dat zijn 27 opties, je vergeet spatie. Die zin is 21 karakters. Ik tel 16 in de tweede optie.
27^21 = 1.14456127 × 10^30
40^17 = 1.71798692 × 10^27
Alleen zijn er geen 40 opties, maar 26+26 plus, laten we zeggen 10 cijfers en 10 symbolen:
72^17 = 3.75536746 × 10^31
De verschillen zijn niet zo vreselijk groot. Gaat om over ongeveer 11 bits verschil. een paar karakters langer maakt veel meer uit:
27^24 = 2.25283995 × 10^34
27^30 = 8.72796357 × 10^42
27^21 = 1.14456127 × 10^30
40^17 = 1.71798692 × 10^27
Alleen zijn er geen 40 opties, maar 26+26 plus, laten we zeggen 10 cijfers en 10 symbolen:
72^17 = 3.75536746 × 10^31
De verschillen zijn niet zo vreselijk groot. Gaat om over ongeveer 11 bits verschil. een paar karakters langer maakt veel meer uit:
27^24 = 2.25283995 × 10^34
27^30 = 8.72796357 × 10^42
ik mis de conclusie....
maar ga er vanuit dat iedereen op zijn toetsenbord toegang heeft tot ascii<128 karakters
en de eerste 31 tellen ook niet mee. heb je ruwweg 100 karakters....
Een simpele zin als "de kat krabt de krullen van de trap" biedt dus genoeg mogelijkheden.
35^100
enne...het is geen csi...niet van die apparaatjes die na het eerste goede getal opeens vastklikken... dus iedere mogelijkheid moet worden uitgeprobeerd.
't lijkt me (denk ik, maar misschien ben ik naief) dat een waarlijk belangrijk systeem je geen toegang meer geeft na 3 x verkeerde password.
Dan kan je doorgaan voor een systeempasword.....
(helaas is vernomen dat "system" of "user" dan wel vaak genoeg is)
(net mijn systeempassword veranderd in de kat krabt,,,,,etc()
maar ga er vanuit dat iedereen op zijn toetsenbord toegang heeft tot ascii<128 karakters
en de eerste 31 tellen ook niet mee. heb je ruwweg 100 karakters....
Een simpele zin als "de kat krabt de krullen van de trap" biedt dus genoeg mogelijkheden.
35^100
enne...het is geen csi...niet van die apparaatjes die na het eerste goede getal opeens vastklikken... dus iedere mogelijkheid moet worden uitgeprobeerd.
't lijkt me (denk ik, maar misschien ben ik naief) dat een waarlijk belangrijk systeem je geen toegang meer geeft na 3 x verkeerde password.
Dan kan je doorgaan voor een systeempasword.....
(helaas is vernomen dat "system" of "user" dan wel vaak genoeg is)
(net mijn systeempassword veranderd in de kat krabt,,,,,etc()
[Reactie gewijzigd door boerke op 20 februari 2012 12:28]
nee, maar wel net zo veilig
Ja dus net zo veilig maar makkelijker te onthouden..
nah makkelijker?Ja dus net zo veilig maar makkelijker te onthouden..
"morgen weet ik veel 123" is net zo veilig, en nog makkelijker.
Mijn wachtwoord voor net 74 tweakers
Mijn wachtwoord voor com 67 google
Kan niet missen
Het getal is de HEX ascii waarde van de 1e letter van het domeinnaam; makkelijk te voorspellen maar te moeilijk om te herkennen voor diegene die het wachtwoord te pakken hebben en op andere sites proberen.
- Makkelijk te onthouden voor iedere site
- Op iedere site ander wachtwoord
- Met cijfer, hoofdletter en kleine letters
- Lang
- "Onmogelijk" te brute-forcen
- Moeilijk voor outsiders om wachtwoorden voor andere sites te raden wanneer ze 1tje hebben
Mijn wachtwoord voor com 67 google
Kan niet missen
Het getal is de HEX ascii waarde van de 1e letter van het domeinnaam; makkelijk te voorspellen maar te moeilijk om te herkennen voor diegene die het wachtwoord te pakken hebben en op andere sites proberen.
- Makkelijk te onthouden voor iedere site
- Op iedere site ander wachtwoord
- Met cijfer, hoofdletter en kleine letters
- Lang
- "Onmogelijk" te brute-forcen
- Moeilijk voor outsiders om wachtwoorden voor andere sites te raden wanneer ze 1tje hebben
[Reactie gewijzigd door Gamebuster op 20 februari 2012 10:38]
werkt voor jou, omdat je waarschijnlijk een ietwat oudere tweaker bent die nog hex kan denken...
voor de moderne mens gaat ascii al veel te ver.
wel jammer trouwens....
heb ook nog steeds van die automatismen..F1,20,,41
voor de moderne mens gaat ascii al veel te ver.
wel jammer trouwens....
heb ook nog steeds van die automatismen..F1,20,,41
[Reactie gewijzigd door boerke op 20 februari 2012 10:57]
Volgens mij is de combinatie niet zo slim, het opslaan van wachtwoorden in het programma waar je ze ook gebruikt.
Dit alles met de mogelijkheden die javascript heeft zie ik toch wel gevaren. Veel gebruikers klikken nu eenmaal makkelijk op ja.
"Wilt u wachtwoorden delen zodat u sneller kunt inloggen?"
Er zijn er ook zo veel die in gaan op de nep mails van de Rabobank, ING, ABN enz.
Dit alles met de mogelijkheden die javascript heeft zie ik toch wel gevaren. Veel gebruikers klikken nu eenmaal makkelijk op ja.
"Wilt u wachtwoorden delen zodat u sneller kunt inloggen?"
Er zijn er ook zo veel die in gaan op de nep mails van de Rabobank, ING, ABN enz.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
© 1998 - 2013 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl • Hosting door True
