Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 240, views: 47.140 •

Computergebruikers van 55 jaar en ouder kiezen wachtwoorden die gemiddeld twee maal veiliger zijn dan de passwords die jongeren gebruiken. Ook kiezen Duitsers en Zuid-Koreanen de veiligste wachtwoorden, zo blijkt uit een onderzoek.

Dat meldt NewScientist op basis van een onderzoek van Joseph Bonneau, een it-wetenschapper die is verbonden aan de universiteit van Cambridge. Bonneau onderzocht de wachtwoorden van circa 70 miljoen Yahoo-gebruikers. De inloggegevens die hij onderzocht waren via hashing versleuteld en door Yahoo ter beschikking gesteld.

Met behulp van analysesoftware kon Bonneau ondanks de hashing de kwaliteit van de gekozen wachtwoorden onderzoeken. Daarbij keek hij onder andere naar geografische en demografische patronen in de wachtwoordkeuze van Yahoo-gebruikers.

Uit de resultaten zou onder andere blijken dat Duitse en Zuid-Koreaanse gebruikers gemiddeld de meest veilige wachtwoorden kiezen, terwijl in Indonesië de meest zwakke passwords zouden worden gebruikt. Ook zouden jongeren aanmerkelijk zwakkere wachtwoorden kiezen dan 55+'ers.

Volgens Bonneau blijkt verder uit de onderzoeksgegevens dat een gebruiker gemiddeld een wachtwoord kiest met een 10bit-veiligheidsniveau; gemiddeld zou een dergelijk wachtwoord na slechts duizend pogingen zijn te achterhalen. De onderzoeker stelt dat het daarom wenselijk is om gebruikers bijvoorbeeld een negencijferig wachtwoord te laten kiezen. Dit staat gelijk aan een 30bit-veiligheidsniveau. Bovendien zouden negen cijfers relatief gemakkelijk zijn te onthouden omdat personen al gewend zijn om telefoonnummers te onthouden.

Reacties (240)

Reactiefilter:-12400234+1154+210+32
1 2 3 ... 7
Ik gebruik 11 tekens met hoofd en kleine en cijvfers en andere tekens.. zonder enige logica alleen voor mij
dat is er gewoon om vragen:

http://xkcd.com/936/

;-)
Ik zie deze suggestie steeds vaker, maar er wordt hier de aanname gedaan dat het kraken van wachtwoord altijd via brute force gedaan wordt. Jammer genoeg bestaat er ook zoiets als een dictionary attack en het is ook niet uncommon om woorden achter elkaar te zetten. Hierdoor kan het zijn dat het "raden" van een aantal woorden achter elkaar veel makkelijker is dan het brute forcen van een wachtwoord met vreemde tekens.

Als 2e punt is dat als iedereen dit zou doen (het gebruik van alleen woorden) dan zou brute force een stuk makkelijker worden, want er zitten maar 26 letters in het alfabet en dan keer 2 vanwege eventuele hoofdletters. Dit zijn veel minder karakters van dat je ook nog alle speciale tekens nodig hebt.

Het probleem is dat mensen dadelijk gaan denken dat een wachtwoord als "HenkGeitPietHond" veiliger is dan "P=s@tDg!=".

[Reactie gewijzigd door MetalfanBlackness op 4 juni 2012 01:43]

Daarom moet je aan het voorbeeld even een kleine cijfer combinatie en special teken toevoegen. 'iseendaner1234!' is veel makkelijker te onthouden dan 'P=s@tDg!=' en velen malen sterker.
Ik zie deze suggestie steeds vaker, maar er wordt hier de aanname gedaan dat het kraken van wachtwoord altijd via brute force gedaan wordt. Jammer genoeg bestaat er ook zoiets als een dictionary attack
Nee, nee, NEE!

Elk van de vier woorden hebben elf bits entropy.
Brute-forcen (uitgaande van 26 kleine letters en een woord van vijf letters, zoals "horse") geeft al log2(26^5) ~= 24 bits. Zes letters ("staple") geeft ruim 28 bits en zeven letters ("correct", "battery") is goed voor 33 bits. (Overigens, dat woorden van verschillende lengte hetzelfde aantal bits entropy hebben is ook al een duidelijke aanwijzing, zonder rekenen, voor een dictionary attack.)
Je mist hierbij finaal het punt dat je quoot. Bij een dictionary attack zijn de woorden, niet de characters, van belang. Wat nog belangrijker is is hoevaak dat ene woordt voorkomt in ieders wachtwoorden. De woorden die vaak voorkomen proberen op veel gebruikersnamen kan dus al snel een werkende combinatie opleveren.

Voorbeeld: Een tuiniersforum waar mensen minimaal 9 characters lange wachtwoorden moeten gebruiken. Mensen die een stel plantnamen achter elkaarzetten (zeg 4) krijgen een wachtwoord met (aantal tuinnamen)^(aantal woorden) MAXIMALE veiligheid. Als dennenboom bijvoorbeeld vaker voorkomt zal die vaker gekozen worden. Deze complexiteit is een stuk lager dan hoeveel combinaties er met die letters mogelijk zouden zijn geweest.

XKCD doelt er op dat het nemen van een weinig voorkomende zin (een willekeurige grap van een character in een onbekend boek bijvoorbeeld) het wachtwoord al snel te complex maakt om te brute forcen. Terwijl we nu wachtwoorden nemen die zo kort zijn dat het al snel te raden is EN niet te onthouden zijn. Helaas betekend het wegens dictionary attacks nog steeds niet dat iedereen een veilig wachtwoord heeft "lovepeanutsicecreamchocolat" zou bijvoorbeeld bovengemiddeld voorkomen en het aantal elementaire woorden is ook nog maar de vraag.

Als we dit willekeurige gebruikers gaan adviseren komen er nog steeds veel slechte wachtwoorden uitrollen, bedoel ik maar te zeggen.
Voorbeeld: Een tuiniersforum waar mensen minimaal 9 characters lange wachtwoorden moeten gebruiken. Mensen die een stel plantnamen achter elkaarzetten ...
... volgen niet het principe van XKCD 936: "four random common words". Zeker op een tuiniersforum (maar ook op T.net) voldoet "roos tulp narcis lelie" daar absoluut niet aan.
Tenminste, ik denk dat we het erover eens kunnen zijn dat XKCD eigenlijk bedoelt dat de vier woorden onderling geen verband houden. Ook al is "random" misschien niet het beste woord om dat te omschrijven, het is een stuk begrijpelijker dan "four non-cross correlated words".
Deze complexiteit is een stuk lager dan hoeveel combinaties er met die letters mogelijk zouden zijn geweest.
Maar als je in aantallen letters denkt, dan doel je (neem ik aan?) op willekeurige strings, die dus weer niet te onthouden zijn. Het hele punt van XKCD 936 is dat de lengte van een password en de complexiteit (welke teken-klasses je gebruikt) in principe irrelevant zijn; het doel is veel bits entropie bij elkaar te zoeken.
Als we dit willekeurige gebruikers gaan adviseren komen er nog steeds veel slechte wachtwoorden uitrollen, bedoel ik maar te zeggen.
Als de wachtwoorden ongeveer even slecht zijn maar nu opeens wel te onthouden (en dus niet meer overal opgeschreven worden), dan denk ik dat het toch een stap in de goede richting is. Maar inderdaad, ook XKCD 936 is niet de heilige graal. (Helaas...)
Kijk eens op deze link:
http://dl.dropbox.com/u/209/zxcvbn/test/index.html

Dit laat zien hoeveel tijd het kost om een opgegeven password te kraken. Er wordt dan ook meteen aangegevens wat voor pattern er gebruikt wordt.

bv:
password: zxcvbn
pattern: dictionary (passwords)
crack time: 0.006 seconds

password: Tr0ub4dour&3
pattern: Dictionary (english)
crack time: 22 hours

password: correcthorsebatterystaple (van xkcd 936)
pattern: Dictionary (english)
crack time: 65 years

password: briansmith
pattern: Dictionary (male names)
crack time: 0.001

etc.

Bij mijn password staat "centuries", met als gebruikte pattern "Brute Force". Verder heb je ook nog de "spacial" pattern, wat bijvoorbeeld gebruikt wordt als je password gebaseerd is op de layout van je keyboard (bv 1qaz2wsx3edc).
die site gaat er van uit dat ze direct weten welke patterns achter elkaar gekoppelt moeten worden. Hij raad de naam van me kat zogenaamd meteen omdat delen van zijn naam (doppie) in het engelse woordenboek zitten. (do & i)

de maker geeft dat zelf ook toe:
zxcvbn is purposely underestimating, by giving a password’s structure away for free: It assumes attackers already know the structure (for example, surname-bruteforce-keypad), and from there, it calculates how many guesses they’d need to iterate through. This is a significant underestimation for complex structures. Considering correcthorsebatterystaple, word-word-word-word, an attacker running a program like L0phtCrack or John the Ripper would typically try many simpler structures first, such as word, word-number, or word-word, before reaching word-word-word-word.
Hiermee worden sommige passwords zwaar te kort gedaan. IRL zou mijn kat z'n naam waarschijnlijk helemaal gebruteforced moeten worden. Dan is het nog steeds geen ideaal password, maar wel al een stuk sterker.

inb4 shitstorm: ik gebruik niet de naam van me kat als wachtwoord.

[Reactie gewijzigd door The_Double op 3 juni 2012 17:57]

die site gaat er van uit dat ze direct weten welke patterns achter elkaar gekoppelt moeten worden. Hij raad de naam van me kat zogenaamd meteen omdat delen van zijn naam (doppie) in het engelse woordenboek zitten. (do & i)
De site gaat er volgens mij tevens vanuit dat ieder deel van het wachtwoord apart gekraakt kan worden. Zelfs als je het patroon weet zul je de losse delen nog steeds gezamenlijk moeten testen. Dit kost aanzienlijk meer tijd dan simpelweg de onderlinge tijden bij elkaar optellen.
Maar nu staat jouw password in zijn dictionary en is deze ook niet meer safe ;). Verder gebuikt hij geen nederlandse dictionary.

Veel belangrijker is dat sites geen password hashes naar buiten blootstellen en brute force attacks weren door lockouts op het moment dat er te vaak een fout ww opgegeven wordt.
Zeer interessant linkje.
Ik zou graag een mijn eigen wachtwoorden eens willen testen, maar ben niet van plan om deze op een onbekende site in te voeren, zo te zien staan de dingen die jij daar hebt ingevoerd ook nog gewoon weergegeven, en het is natuurlijk de beste manier om je dictionary uit te breiden ;)
Kan iemand me vertellen hoe ik zelf een dergelijke analyse kan doen/hosten
zet een webserver met passwoord op in je lan en probeer deze te kraken. Legaal en redelijk simpel + voor herhaling vatbaar.
Ongelooflijk interessante link!
Als je een beetje probeert, dan zie je dat de dictionary een ongelooflijk grote invloed heeft. Soms kun je door één letter te verwijderen, van 6 minuten tot 6 year springen. Simpelweg, omdat je dan buiten de dictionary komt, en daardoor daadwerkelijk moet bruteforcen.

Passwords die in theory heel sterk lijken, blijken ongelooflijk zwak, omdat de dictionary mee speelt!
Waar het mij om gaat is dat mensen moeten nadenken i.p.v. tegen (niet technische) mensen zeggen dat ze 4 random woorden moeten nemen. Random is iets wat een mens niet goed kan, meestal denken mensen onderbewust toch aan iets wat ze mee hebben gemaakt of iemand die ze kennen ofzo. Als bijvoorbeeld een hacker d.m.v. social netwerken een woordenboek maakt, kan het zijn dat daar alle woorden in komen die ze gekozen hebben.

Om er ook even een xkcd bij te halen beerbeerbeerbeer bestaat uit 4 random woorden: http://xkcd.com/221/ ;).

In theorie zou het wachtwoord HenkGeitPietHond met 256 permutaties kunnen worden gekraakt als het woordenboek maar bestaat uit Henk, Geit, Piet en Hond. (zeer onwaarschijnlijke situatie).
Kan je dat wiskundig onderbouwen? M.i. is "HenkGeitPietHond" minstens zo goed als "P=s@tDg!=". :)

Dictionary attacks bestaan, maar het aantal permutaties om precies HenkGeitPietHond te krijgen is enorm.

Verder wat ThomasG hieronder zegt, zie ik nu net pas.
Kan je dat wiskundig onderbouwen? M.i. is "HenkGeitPietHond" minstens zo goed als "P=s@tDg!=". :)

Dictionary attacks bestaan, maar het aantal permutaties om precies HenkGeitPietHond te krijgen is enorm.

Verder wat ThomasG hieronder zegt, zie ik nu net pas.
Zitten ver weg meer woorden in taal dan dat we letters/tekens en cijfers hebben. Denk dat je dus wel punt heb, je gebruik maar vier woorden maar de combinaties zijn heel groot zeker als je ook meerder talen gaat combineren, bijvoorbeeld als je tweetalig bent is het helemaal niet moeilijk om te onthouden lijkt me.
Daarom kies ik liever voor iets als "Horse@2PMafternoontimes4!".

Je krijgt dan zeg maar een zinnetje met semi-logische volgorde waarin je "natuurlijk" tekens, cijfers en andere punctuatie gebruikt.

Daarnaast is het handig als je ze zo kiest dat je ze snel op je keyboard kunt inkloppen.
Daarom kies ik liever voor iets als "Horse@2PMafternoontimes4!".

Je krijgt dan zeg maar een zinnetje met semi-logische volgorde waarin je "natuurlijk" tekens, cijfers en andere punctuatie gebruikt.

Daarnaast is het handig als je ze zo kiest dat je ze snel op je keyboard kunt inkloppen.
Wat is toch altijd die neiging om geen spaties in een wachtwoord te hebben. Ik ben nog nooit een website tegengekomen waar ik problemen kreeg vanwege een spatie in het wachtwoord...
Omdat maar heel weinig sites en w/e spaties in hun wachtwoorden accepteren.

EDIT: zoals beijvoorbeeld de ING en de VU.

[Reactie gewijzigd door Mejust op 3 juni 2012 16:02]

Precies.
Niet alleen websites (email accounts, social media etc) maar ook software providers accepteren geen spaties in wachtwoorden.
Er zijn verscheidene redenen hiervoor, de belangrijkste is dat veel databases simpelweg geen spaties ondersteunen.
En terecht, want scheiding door spatie betekend twee aparte wachtwoorden.
Als je het wachtwoord in de database op zoekt, zal deze alleen het eerste woord pakken.
Dit is ook OS afhankelijk.
Op windows based servers wordt vaak wel spatie-gevoelige wachtwoorden ondersteund (kijk maar naar je windows login wachtwoord of screensaver) maar op Unix gebaseerde servers vaak weer niet, afhankelijk van het type.
Op mijn server die ik in een datacentre had draaide FreeBSD en net als OpenBSD en vergelijkbare text-based linux platformen kan je geen spaties gebruiken.
Ehm... Wie gaat de wachtwoorden plain text opslaan in de database 8)7
@Ronald:

Hopelijk niet alteveel lieden, maar ook voordat ze opgeslagen worden kan het zijn dat een spatie tricky is - alleen als je zeker weet dat de browser/server het als het goede ascii of unicode karakter interpreteert kan je het veilig gebruiken. Je wil niet dat mensen ineens alleen maar met Firefox kunnen inloggen omdat IE een spatie anders verzend :)

Beetje zelfde idee als end of line dingen: is het een carriage return, een newline, of combinatie van de twee? http://en.wikipedia.org/wiki/Newline

Zie hier welke codes er allemaal zijn voor whitespace:
http://en.wikipedia.org/wiki/Whitespace_character

[Reactie gewijzigd door Pozo op 3 juni 2012 20:02]

Wat een onzin. Een spatie is wat anders dan een whitespace, en de vergelijking met EOL-characters/sequences gaat ook mank.

Een spatie is net als de hoofdletter A gewoon een vastgelegd teken in ASCII. Ik heb nog nooit een browser of programmeertaal gezien die een spatie anders definieert (tenzij er iets exotisch gebeurt waarbij ook de hoofdletter A anders wordt natuurlijk).

Het argument wat men aanhaalt dat veel sites geen wachtwoorden met spatie accepteren is WEL een geldige reden om geen spatie te kunnen gebruiken. Vaak zijn het hoofd- en kleine letters, nummers en een heel select gezelschap van speciale tekens.

Wat me nog het meest stoort zijn (spaar)bank sites die je niet alleen op bovengenoemde manier beperken, maar ook nog een restrictie in lengte van het password opleggen. Daarbij maken ze het hele wachtwoord een stuk onveiliger (12 karakters?!!), terwijl ze aan de andere kant proberen te suggereren heel veilig te zijn door je elke x maanden een ander wachtwoord te laten kiezen, of je na het vergeten van je wachtwoord niet hetzelfde wachtwoord te laten gebruiken. Dit lijkt een goed idee, maar in de praktijk werkt het alleen maar in de hand dat mensen ergens hun wachtwoord op gaan schrijven.

Ik heb het wachtwoord nog NET niet opgeschreven, maar wel mezelf voor 2 banken een mail met aantekeningen over hun wachtwoordrestricties gestuurd, zodat ik mijn eigen gedachtegang kan reconstrueren als ik wederom één van die wachtwoorden ben vergeten.
ik ken verschillende bedrijven helaas
En terecht, want scheiding door spatie betekend twee aparte wachtwoorden.
En dat is voor mij meteen een aanwijzing dat een beheerder (die de restricties aan de wachtwoorden bepaalt) zeer slecht bezig is, want wachtwoorden dienen eigenlijk altijd gehashed te worden en daarmee hef je meteen allerlei onnodige restricties op. Net zoals dat ik er vanmiddag toevallig achter kwam dat hotmail maar maximaal 16 tekens ondersteunt - onnodig, en als we het toch over sterke wachtwoorden hebben, een doorn in het oog. Niets vervelender dan een ijzersterk wachtwoord hebben, maar dat je hem moet inkorten (maar dan wel een speciaal teken ertussen moet proppen, vanwege veiligheid :S).

Al die irritante restricties dat je wachtwoord maximaal zo en zo lang mag zijn, en minstens twee speciale tekens en hoofdletters en cijfers moet hebben... liever zorgen ze ervoor dat ik niet steeds zo creatief moet zijn dat ik mijn wachtwoord vergeet, en geven ze gewoon tips voor hoe je sterke wachtwoorden bedenkt. Het zal me niets verbazen als ik in mijn leven minstens 100 accounts met wachtwoord heb aangemaakt (waarvan ik 90% al lang vergeten ben) dus dan is het wel prettig als websites zo min mogelijk restricties opleggen, wat prima mogelijk is.

Net als het periodiek moeten veranderen van je wachtwoord, ik heb nooit echt goed begrepen waar dat goed voor is. Als ik mijn wachtwoord niet lek (en de beheerders van hetgeen waar ik ermee inlog ook niet, mag ik hopen) dan wordt dat wachtwoord gewoon niet bij derden bekend. Waarom dan veranderen? Zorgt er alleen maar voor dat ik het op moet schrijven, wat natuurlijk zeer slecht is uit veiligheidsoogpunt.

[Reactie gewijzigd door bwerg op 3 juni 2012 20:17]

Oei, ik zie nu jouw reactie pas, nadat ik net boven jou eigenlijk exact hetzelfde betoog voerde.
Wat me nog het meest stoort zijn (spaar)bank sites die je niet alleen op bovengenoemde manier beperken, maar ook nog een restrictie in lengte van het password opleggen. Daarbij maken ze het hele wachtwoord een stuk onveiliger (12 karakters?!!), terwijl ze aan de andere kant proberen te suggereren heel veilig te zijn door je elke x maanden een ander wachtwoord te laten kiezen, of je na het vergeten van je wachtwoord niet hetzelfde wachtwoord te laten gebruiken. Dit lijkt een goed idee, maar in de praktijk werkt het alleen maar in de hand dat mensen ergens hun wachtwoord op gaan schrijven.
Ik wist niet dat hotmail dat ook doet. Het is werkelijk onbegrijpelijk dat dit soort sites - waarvan je hoopt dat de ontwikkelaars toch enige sjoege hebben van de materie - onnodige restricties oplegt, en aan de andere kant een hoog veiligheidsniveau suggereert door onhandige maatregelen.

Ik ben mijn wachtwoord bij die twee bank-sites al meermaals vergeten, maar nadat ik een password-reset via een email-link had gedaan, bleek dat ik na het lezen van de restricties wederom datzelfde wachtwoord had gekozen. Dat mocht vervolgens niet (ze slaan de 6 laatste kennelijk op). Mijn wachtwoorden zijn voor mij namelijk enigszins logisch, doch niet altijd hetzelfde, maar ik werd door de restricties zo beperkt dat er hetzelfde resultaat uit kwam.

edit: typo

[Reactie gewijzigd door Jochem_ op 4 juni 2012 08:53]

Ik kan nochtans op Linux en FreeBSD zonder problemen spaties in mijn wachtwoorden zetten.
Ja, en op Windows ook mister fanboy.

Je mist het punt.
Ik zie niet waarom een spatie in het wachtwoord een probleem voor de DB zou moeten zijn.
Tenzij ze zo achterlijk zijn om het wachtwoord niet te hashen!
En hetzelfde verhaal voor lengte-restricties.
Als die vier woorden uit een 11 bit (2048 elementen) lijst komen zoals XKCD suggereert kom je dus op de aangegeven 44 bit. Als de negen tekens in het tweede wachtwoord volledige willekeurig gekozen zijn uit een 7 bit karakter set dan kom je aan 63 bit en is de laatste dus aanmerkelijk veiliger.

Het punt van XKCD is dat het gemiddelde wachtwoord geen willekeurige verzameling van tekens is en dat daarmee de entropy achteruit holt. Een intelligent brute force mechanisme kan het aantal combinatie sterk terugbrengen. Vandaar de 28 bits voor een wachtwoord met wat letter-cijfer vervanging en wat meer algemeen voorkomende trucjes.

Tweede punt van XKCD is dat het woordensysteem een (redelijk) veilig wachtwoord mogelijk maakt dat ook nog een keer goed te onthouden is.

Negen volstrekt willekeurige karakters zal je doorgaans op moeten schrijven en daarmee breek je eigenlijk op een andere manier het veiligheidsprincipe van een wachtwoord: het is iets dat alleen jij weet en zodra je het ergens opschrijft/opslaat is niet meer gegarandeerd dat jij de enige bent die het weet. Datzelfde geldt min of meer ook voor het gebruiken van hetzelfde wachtwoord op meerdere systemen.

[Reactie gewijzigd door Tribits op 3 juni 2012 13:35]

Negen volstrekt willekeurige karakters zal je doorgaans op moeten schrijven en daarmee breek je eigenlijk op een andere manier het veiligheidsprincipe van een wachtwoord: het is iets dat alleen jij weet en zodra je het ergens opschrijft/opslaat is niet meer gegarandeerd dat jij de enige bent die het weet.
M.i. moet je hier vooral rekening houden met je aanvaller: Voor een willekeurig niet-boeiend webforum zou ik het wachtwoord gewoon in mijn browsercache gooien, zelfs plaintext, desnoods. Voor webmail zou ik encrypted browsercache wel vertrouwen en opschrijven (maar niet op een postit op m'n monitor) ook wel. Voor desktop of windows-domein zou ik onthouden of veilig opschrijven.
[...]
Het punt van XKCD is dat het gemiddelde wachtwoord geen willekeurige verzameling van tekens is en dat daarmee de entropy achteruit holt. Een intelligent brute force mechanisme kan het aantal combinatie sterk terugbrengen. Vandaar de 28 bits voor een wachtwoord met wat letter-cijfer vervanging en wat meer algemeen voorkomende trucjes.
[...]
Even zien: correcthorsebatterystaple = 25 characters, maar wel 4 woordenboek woorden.

Zelf zou ik dan misschien voor deze variant gaan: C0rr3cHOr$B@tt3r$t@p1 = 21 characters.

Lijkt me een stuk sterker: ingekorte woorden en "shift cijfers" , dus elke woordenboek aanval is zinloos ...
een 3 voor e gebruiken, een $ voor s, een @ voor a lijken me common replacements. Een ietswat geävanceerde versie van een dictionary attack zou hier misschien zelfs op kunnen testen. Natuurlijk verhoogt het wel de entropie, maar aangezien het common replacements zijn, lijkt me een dictionary attack niet volkomen zinloos.

Ook het inkorten van de woorden maakt het een dictionary attack moeilijker, maar als ik je voorbeeld bekijk valt me op dat je enkel de laatste letter weglaat, en met zo'n regelmatig patroon zou ik een woordenboekaanval niet volledig zinloos noemen.

Je drijft de entropie wel omhoog, dat is zeker, maar een woordenboekaanval met spellingsvariaties lijkt me nog steeds effectiever dan te brute forcen.
Wat dan weer compleet zinloos is omdat je dan alsnog een wachtwoord hebt dat niet te onthouden is (zie de xkcd-cartoon), en zoals gezegd neemt een intelligente dictionary attack 1337 verwisselingen mee.

[Reactie gewijzigd door Cocytus op 3 juni 2012 18:11]

Is dit iets?
https://www.grc.com/haystack.htm
Voer beide wachtwoorden en zie/interpreteer het resultaat...
Ik bedoel ook niet dat HenkGeitPietHond minder veilig is dan P=s@tDg!=, wat ik wil zeggen is dat je er goed over na moet denken i.p.v. deze aanname te maken.

Voor brute force is HenkGeitPietHond veel sterker dan P=s@tDg!=. Bij dictionary attack wordt de aanname gedaan dat het aantal woorden enorm, maar als het een belangrijk iets is om in te breken zou er ook wat onderzoek gedaan kunnen worden. Omdat ik denk dat het kiezen van random woorden niet echt het sterkste punt is van een mens lijkt het me toch "makkelijk" om bepaalde woorden hogere of lagere prio te geven of om een nieuw woordenlijst te maken.
het aantal woorden waaruit je kan kiezen is pretty much eindeloos. Daardoor is een dictionary attack niet echt bruikbaar als het goed gedaan is. Met een goed opgestelde woorden lijst en een dobbelsteen kom je een heel eind. Je moet dus de woorden echt random kiezen, anders ben je inderdaad kwetsbaar voor taalkundig relevante woordkeuzens in geval van een attack. Een dictionary attack is immers ook een soort van bruteforce, alleen bij een dictionary attack is de zoekruimte per symbool nog eens veel groter.

Het punt is dan wel weer dat je voor een beetje password wel ~10 woorden nodig hebt. Maar voor websites is het aantal mogelijke pogingen voordat ingegrepen word veel kleiner, dus dan kan je wellicht volstaan met maar 5 woorden.

Het probleem is juist die websites. Die verplichten je namelijk een wachtwoord van een bepaalde format te kiezen. Sorry hoor, maar met al die websites waar je moet registreren (bijv webwinkels) trek ik het niet meer. Dat onthoud ik nooit. Zeker ook omdat je die wachtwoorden misschien eens in de 12 of zelfs 24 maanden gebruikt.
De verplichte registraties voor zaken wat je af en toe nodig hebt zijn ook de zaken waardoor serieuze beveilingsissues ontstaan. Veel gebruikers die ik ken gaan in dergelijke situaties op meerdere sites zelfde wachtwoorden gebruiken.

Registreer je vervolgens op een niet al te betrouwbare site, dan maken mensen het mogelijk dat de webmaster beschikking heeft over deze wachtwoorden. Wat qua veiligheid natuurlijk niet een erg fijne gedachte is.

Waar ik zelf erg blij mee ben, is dat het tegenwoordig op steeds meer sites mogelijk wordt om met je gmail of Facebook account in te loggen.
GFebruik lastpass? dan meot je al die wachtwoordnew niet onthouden EN ze zijn veilig
En als ik jouw lastpass master wachtwoord kraak, dan heb je tenminste een mooie collectie wachtwoorden. Naast dat je een mooie collectie wachtwoorden hebt weet je ook precies waar je ze kunt gebruiken en dat is helemaal mooi voor hackers.

Beveiliging is even goed als de zwakste schakel.
Om het moeilijker te maken, misschien zelfs woorden uit verschillende talen gebruiken.
Al vertrouw ik veel sites nog niet om non-ascii tekens correct te verwerken, dus accenten op tekens blijven tricky.

als we "correctbatteryhorsestaple" vertalen, krijgen we bijvoorbeeld "richtigpilehästnietje"
(let wel op de ä, dus dit kan problemen opleveren met character encoding)

Met dictionary attacks loopt het aantal mogelijke woorden op, aangezien we hier met meerdere talen rekening moeten houden. Als we gaan brute forcen, en we staan accenten toe, loopt het aantal mogelijkheden ook op.

(NB, ik heb het franse pile voor battery gekozen, omdat ik woorden willen kiezen die niet op het origineel lijken.)
"HenkGeitPietHond" is ook veiliger dan "P=s@tDg!=", er vanuitgaand dat de aanvaller niets over de wachtwoorden weet ! Dat is nou juist de hele grap :)

Ook dictionary attacks beginnen gewoon met lengte 1 (of 6), net zoals brute-force. Daarnaast weet een aanvaller niet of er stiekem toch niet een getal of leesteken tussenstaat, dus zal die eigenlijk altijd met een 'extend charset' moeten aanvallen. Vanuit dat oogpunt is 'HenkGeitPietHond' dus weldegelijk veel veiliger. De cartoon beschrijft de antropy toch ook juist ...

Cruciaal is de lengte, niet de 'speciale leestekens'. [A-Z,a-z,0-9] vs [A-Z,a-z,0-9,leestekens] scheelt maar max. 1 bit antropy per character. Een 'simpeler' wachtwoord van 2 of 3 characters langer is dan al veiliger. En de letters vervangen door '1337-5p34k' cijfers is zo afgezaagd; je kan echt beter gewoon "Password01IsDeBom" schrijven dan een variant als "P@ssw0rd01!" De aanname dat je daarmee dictionary-attacks voorkomt is allang achterhaalt, meestal zijn het hybride-attacks die dergelijke 'substition chars' gewoon meetesten in alle denkbare varianten.
XKCD neemt juist aan dat een dictionary attack gebruikt wordt: elk woord krijgt 11 bits of entropy (2048 mogelijkheden) wat er van uit gaat een klein woordenboek gebruikt wordt waar al deze woorden in staan. Om je eigen voorbeeld te volgen:

HenkGoatPeteDog geeft ruwweg 48 bits of entropy, hierbij het ik enkele woorden vertaald omdat die niet in de dictionary van de test staan: een indicatie dat het door jou genoemde HenkGeitPietHond mogelijk sterker is.

P=s@tDg!= geeft in dezelfde test 46 bits of entropy - dit is dus minder dan het eerder genoemde wachtwoord. Wel moet ik er bij vermelden dat dit komt doordat s@t en ! als dictionary woord met aanpassing gezien worden: als het geheel als bruteforce gezien wordt is het wachtwoord een stuk sterker.

Het 2e punt is misschien zo voor de voorbeelden die je genoemd hebt, maar als we er Marie-ÉliseChèvrePierreChien van maken gaat het niet op.
Tevens maakt het niet uit dat het wachtwoord slechts 52 verschillende tekens zou kunnen bevatten: het is 16 tekens lang. Dit geeft je zoveel mogelijkheden dat zelfs als je uit 1000 verschillende tekens zou kunnen kiezen voor het tweede wachtwoord dit wachtwoord nog steeds slechter zou zijn.

Edit: taalfoutjes - als je die in je wachtwoord stopt is het nog sterker...

[Reactie gewijzigd door silexh op 3 juni 2012 12:56]

Een langer wachtwoord betekent niet dat het veiliger is. Foute logica!
Zoiets als dit dus http://xkcd.com/936/
Misschien moet je toch eens nadenken over de suggestie die daar wordt gedaan. :)
Tot dat iemand de woordenboek aanval gaat gebruiken. Dus gewoon een combinatie van veel gebruikte dagelijkse woorden. Dan blijft er van die 550 jaar waarschijnlijk nog geen halve dag over.
http://en.wikipedia.org/wiki/Dictionary_attack

[Reactie gewijzigd door Part op 3 juni 2012 11:56]

Uhm, nee. Een Dictionary Attack heeft vrijwel alleen een voordeel om het moment dat er wachtwoorden als: 'pindakaas', 'koffie', ed. worden gebruikt. Op het moment dat je een wachtwoord als: 'broodje pindakaas' gebruikt schiet een Dictionary Attack zijn doel eigenlijk al voorbij. Je algoritme wordt dan namelijk al O(n^2). Helemaal in het Nederlands, aangezien je daar woorden kunt maken als: 'grauwkopsalamandersprongspecialistenvereniging'. Als er een zin met bijvoorbeeld leestekens wordt gebruikt ben je helemaal ver van huis, en is er met een Dictionary Attack geen beginnen meer aan.

Als je kiest voor een wachtwoord van 4 woorden, die op zichzelf geen relatie met elkaar hebben, kun je een Dictionary Attack zo goed als uitsluiten. Die is dan namelijk wel even bezig. O(n^4), op z'n minst. Lijkt misschien klein, n^4, maar een woordenlijst heeft een stuk meer mogelijkheden dan het alfabet + getallen + leestekens etc. Alleen in de Van Dale staal al +/- 240.000 woorden, om dan nog maar te zwijgen over de combinaties die je daarmee kunt maken. Dan zit je met 4 woorden al op een getal van 22 cijfers aan mogelijkheden.

[Reactie gewijzigd door ThomasG op 3 juni 2012 12:18]

Daarom zeg ik ook "veel gebruikte dagelijkse woorden".
Meeste mensen gebruiken dit om het eenvoudig te houden en gebruiken daarbij woorden die bij de zeg tot de 1000 tot 2000 meest voorkomende (dagelijkse) woorden behoren.
Dan is pindakaaskoffie of koffiepindakaas al heel snel gevonden.
Leestekens maakt inderdaad een stuk sterker. Wel of geen relatie tussen woorden maakt niet uit. Je moet alleen een lijst hebben van veelgebruikte woorden zoals uit het gegeven voorbeeld.
De resterende 238.000 worden heb je voor de hoofdmoot niet nodig.

[Reactie gewijzigd door Part op 3 juni 2012 12:54]

De XKCD-strip beperkt zich al tot 'veelgebruikte dagelijkse woorden'. Er wordt namelijk gerekend met 11 bits per woord, precies de entropie die overeenstemt met een willekeurige greep uit de 2048 meest voorkomende woorden. Jouw dictionary attack is precies het scenario waarvan wordt uitgegaan en waarvan het dus ongeveer 550 jaren zou duren om alle mogelijkheden te proberen.
Oh wauw, ben je zeker? Al eens geprobeert om zo'n wachtwoord door een strength meter te halen?
Daarom zeg ik ook "veel gebruikte dagelijkse woorden".
Meeste mensen gebruiken dit om het eenvoudig te houden en gebruiken daarbij woorden die bij de zeg tot de 1000 tot 2000 meest voorkomende (dagelijkse) woorden behoren.
Reken eens uit hoeveel mogelijkheden er precies zijn als je uit 2000 woorden, vier willekeurige pikt.

Om 't je makkelijk te maken voor in je rekenmachine: dat is 20004. Als je er van uitgaat dat een gebruikt woord niet nog eens gebruikt mag worden kom je iets lager uit, namelijk 2000 * 1999 * 1998 * 1997. (En dat moet je dus ook niet doen-- "hallo hallo hallo hallo" is evengoed willekeurig mogelijk als "dit wachtwoord is uitstekend" of "dopje tang telefoon kabel".)

[Reactie gewijzigd door CyBeR op 3 juni 2012 21:55]

Er bestaat ook nog zoiets als een woord frequentie lijst. En aangezien een gemiddeld persoon in het dagelijks taalgebruik niet verder komt dan een woord of 3000 (met een totale kennnis van rond de 30000) worden daarmee de kansen van een dictionary attack een stuk beter. Een wachtwoord van twee veelvoorkomende (12*2=24) woorden is minder veilig als een wachtwoord van vier willekeurige karakters (7*4=28).
Er bestaat ook nog zoiets als een woord frequentie lijst. En aangezien een gemiddeld persoon in het dagelijks taalgebruik niet verder komt dan een woord of 3000 (met een totale kennnis van rond de 30000) worden daarmee de kansen van een dictionary attack een stuk beter. Een wachtwoord van twee veelvoorkomende (12*2=24) woorden is minder veilig als een wachtwoord van vier willekeurige karakters (7*4=28).
De kansen van een dictionary attack op een wachtwoord bestaande uit vier woorden uit een bestand van 3000 woorden zijn nog altijd niet heel goed. Je hebt dan 30004 mogelijkheden om te proberen. Dat zijn er voor de volledigheid maarliefst 81000000000000. Daar ben je niet supersnel doorheen, hoor. En dan moet je zelfs nog wéten dat 't om vier woorden uit een bepaald bestand gaat. Als je dat niet weet heb je te maken met een enorm lang wachtwoord van individuele losse karakters.
Dat zou je zeggen, maar zeg dat we 80 karakters waaruit we kiezen als we tekens gebruiken en stel dat je een wachtwoord van 10 tekens hebt, dan heb je zo'n 1019e wachtwoorden waaruit je kan kiezen, met als nadeel dat het irritant om te onthouden is, zeker als je er meerdere moet onthouden. Stel daar tegenover de zeg 200.000 woorden die het Nederland bevat die redelijk regelmatig gebruikt worden (ik geloof dat de Van Dale zo'n 250.000 woorden bevat), dan kom je bij een combinatie van slechts vier(!) woorden al uit op zo'n 1021e combinaties, een factor 100 groter vergeleken met de wachtwoorden van 10 karakters aan onzin. En laten we eerlijk zijn, iets als "fietsende salamanderfiguur op de boomstam" is een stuk makkelijker onthouden dan "1%aE95erG".

En laten we die zinnetjes nog iets moeilijker maken voor de computer: laten we twee of drie talen door elkaar gooien en een woordenboekaanval is al helemaal idioot geworden: "fietsende salamanderfiguur on the Baumtrunk" (Engels, Nederlands en Duits bij elkaar kunnen we toch al snel spreken over een woord of 500.000, en dan heb ik het nog niet eens over de idiote samenstelling die ik hier verzonnen heb) dat terwijl het nog steeds redelijk makkelijk te onthouden is.

Nu zou je nog kunnen zeggen: maar dat ziet eruit als een zin, dus het aantal mogelijk combinaties wordt nog een klein beetje beperkt. Prima, dan gooi je de woorden toch een beetje door elkaar: "salamanderfiguur Baumtrunk on the fietsende". Toegegeven het begint iets lastiger te worden om te onthouden, maar het is nog steeds duidelijk eenvoudiger dan het onthouden van "1%aE95erG".
Hierbij merk ik graag op dat je er een beetje naast zit wat betreft het aantal mogelijke woorden, 500,000 is wat aan de lage kant. Daarbij moet je ook niet vergeten dat er veel verschillende woordvormen zijn. Fiets, Fietsen, Fietsend, Fietsende, Gefietst, enzovoort.

Mijn wachtwoord gebruikt zowel herkendbare woorden als willekeurige karakters, volgens http://howsecureismypassword.net/ kom ik hier op uit:

It would take a desktop PC about 14 quadrillion years to hack your password.

En dat terwijl het absoluut geen moeilijk wachtwoord is als je hem weet, zeer eenvoudig te onthouden, maar absoluut niet makkelijk te raden.
Hoe komt jouw wachtwoord eruit op deze site: http://dl.dropbox.com/u/209/zxcvbn/test/index.html ?

Ik heb beide sites even ge-checked met 2 willekeurige wachtwoorden.

Bij het eerste wachtwoord gaf howsecureismypassword.net aan: 6 thousand years
terwijl zxcvbn test aangaf 4 years

Het tweede wachtwoord gaf howsecureismypassword.net aan als 25 million years
zxcvbn test gaf aan: 11 hours !

Er zit dus nogal wat verschil in password checkers
Best kans dat er van die 14 quadrillion years weinig overblijft als je het op een andere test los laat
Daar komt bij dat als je je password in zon passwordchecker site typt hij waarschijnlijk geanalyseerd word en delen toegevoegd gaan worden in de dictionaries. Lekker slim bezig. Houd je wachtwoord lekker voor jezelf daar heeft niemand wat mee te maken.
Om die reden vind ik het ook jammer dat veel websites je verplichten om nummers en of leestekens op te nemen in je wachtwoord
Toch denk ik dat ik liever iedere dag 1 of meerdere keren "1%aE95erG" intyp, dan "fietsende salamanderfiguur op de boomstam".

Best leuk voor iets wat je vrijwel nooit gebruikt en toch onthouden moet,
maar in het dagelijkse leven?
Kortom, we zoeken het veel te moeilijk en zouden gewoon langere passwords moeten toestaan (helaas zijn veek systemen nog beperkt zoals de AS/400, maximaal 8 tekens).
Vervolgens de gebruikers voorlichten, iets dat we te weinig doen, en tenslotte die langere passwords, eventueel stapsgewijs, afdwingen.

Alle andere eisen zoals minimaal een cijfer en een hoofdletter, maken het alleen maar lastiger om te verzinnen en te onthouden voor de gebruiker, maar voegen blijkbaar verhoudingsgewijs weinig toe.
Enig idee hoeveel woorden er zijn?
In principe zou je zeggen dat er oneindig veel wachtwoorden zijn, maar in praktijk dit hangt ook af van hoe de wachtwoorden worden opgeslagen.

In het geval van ongecodeerde opslag in de database hangt dit af van de maximale lengte van het veld, bv 16 karakters geeft het aantal tekens ^16 als mogelijke wachtwoorden. Bijvoorbeeld bij MD5 (oud, ik weet het) zijn de mogelijkheden in principe ook oneindig, maar er zijn maar 32^10 hashes beschikbaar, op een gegeven moment kan het zo zijn dat twee personen met verschillende wachtwoorden dezelfde MD5 hash hebben, dus wordt het dan geteld als verschillende wachtwoorden?

Als het bij MD5 dus puur om toegang gaat tot bijvoorbeeld een website op andermans account, kun je misschien beter hashes gaan vergelijken in plaats van een brute-force aanval.
om weer het voorbeeld van xkcd te gebruiken: een woordenboek aanval zal toch al gouw 4000 woorden gebruiken (niet de hele dikke van dale of Engelse equivalent er van), aangezien de volgoorden hier willekeurig is is het nog steeds ( 256000000000000) deel dat door twee en het zal best nog een tijdje duren om zelfs met een woordenboekaanval het te kraken.

[Reactie gewijzigd door qlum op 3 juni 2012 13:07]

... en als je dan ook nog spelfauten in je woorden gaat maken, dan gaat het helemaal lang duren... ;)
Ik gebruik 8 cijfers, letters, hoofdletters en tekens door elkaar zonder logica voor mezelf. Gewoon een keer blind wat typen.
zonder enige logica alleen voor mij
Dus er is wel enige logica....
Senioren hebben vaak maar 1 wachtwoord.

[Reactie gewijzigd door curlbro op 3 juni 2012 11:49]

Net zoals de meeste jongeren ;)
Ik vind het best opmerkelijk dat dit resultaat eruit komt.

Je zou toch echt verwachten dat met name ouderen (55+) meer moeite hebben met het onthouden van hogere-bits wachtwoorden.

Ik neem aan dat de geachte onderzoekert niet naar de spiekbriefjes in iemands portemonnee heeft gekeken?

Zo kan ik het namelijk ook: eerst een super lastig wachtwoord verzinnen, en dat dan opschrijven om te onthouden.

En dat is nou net niet de bedoeling. En niet te meten volgens deze methode.

Mijn wachtwoorden zijn redelijk safe, en alleen in mijn hoofd aanwezig. (40+)
55+ zijn nog nog niet vergeetachtig he. De meeste die in de fase van vergeetachtigheid zijn zitten in de leeftijd waarop computers rare dingen zijn en waarschijnlijk geen Yahoo account hebben.

Ik denk dat oudere mensen gewoon meer onthouden dan jongeren. Wij onthouden geen telefoonnummers of geboortedatums meer. Dat doen onze telefoons voor ons. Daardoor kunnen zij gemakkelijker combinaties maken met cijfers denk ik.

[Reactie gewijzigd door SoSueMe op 3 juni 2012 11:48]

Je moet niet vergeten ouderen hebben heel vaak een boekje naast hun computer met de wachtwoorden. Om dat te onthouden.

En misshcien wel de belangrijkste ouderen hebben vaak ook niet heel veel op het internet en als ze iets op het internet durven willen ze dat dan wel heel veilig doen.

Voor de jongeren die hebben voor alles wel een account en dan is het weer zo wachtwoord veldje oh ik vul wel weer dit woord in.

Als je 1 registratie formulier hebt doe je dat goed als je 10 registratie formulieren hebt doe je dat wel oh boeie gewoon even snel.
Ik denk dat ouderen een andere waarde hechten aan hun yahoo account. Ik gebruik zelf ook verschillende gradaties van wachtwoorden: van "abc123" voor m'n lokale printer tot niet-bruteforcebaar-binnen-30-miljard-jaar.

Ouderen zullen nog een echt yahoo mail account hebben en dat als primair gebruiken, terwijl jongeren vaak alleen maar een yahoo account zouden maken om te kunnen flickr'en.
Ik vind het best opmerkelijk dat dit resultaat eruit komt.

Je zou toch echt verwachten dat met name ouderen (55+) meer moeite hebben met het onthouden van hogere-bits wachtwoorden.
Het gaat over het bedenken van een wachtwoord . Hoe dat onthouden wordt en waar is ff niet belangrijk.
Computergebruikers van 55 jaar en ouder kiezen wachtwoorden die gemiddeld twee maal veiliger zijn dan de passwords die jongeren gebruiken.
Ik ken een hoop jongeren die slechter kunnen onthouden dan iemand van 55+
Ik neem aan dat de geachte onderzoekert niet naar de spiekbriefjes in iemands portemonnee heeft gekeken?

Zo kan ik het namelijk ook: eerst een super lastig wachtwoord verzinnen, en dat dan opschrijven om te onthouden.

En dat is nou net niet de bedoeling. En niet te meten volgens deze methode.

Mijn wachtwoorden zijn redelijk safe, en alleen in mijn hoofd aanwezig. (40+)
Waar staat dat? Nergens toch?
Daarbij of je ze nu opschrijft, of in een appje in je telefoon stopt, is er een verschil in het onthouden? NEE!
Ik heb nog nooit een oudje bij een pinautomaat of in een winkel gezien de code aflezend vanaf een briefje.

[Reactie gewijzigd door Nozem1959 op 3 juni 2012 12:19]

[...]
Waar staat dat? Nergens toch?
Hij doet een aanname, dat maakt hij duidelijk genoeg.
Daarbij of je ze nu opschrijft, of in een appje in je telefoon stopt, is er een verschil in het onthouden? NEE!
Nee.. dat zegt hij dan ook niet. Hij heeft het over het verschil tussen onthouden en noteren. Slechts onthouden (en dus niet noteren) is bij eenzelfde wachtwoord áltijd de meest veilige oplossing.
Ik heb nog nooit een oudje bij een pinautomaat of in een winkel gezien de code aflezend vanaf een briefje.
Een pincode onthouden is meestal wel te doen inderdaad (hoewel iedereen die een baantje heeft gehad als kassier(ster) kan beamen dat ook die wel eens worden opgeschreven). Echter, als ik bij oudere mensen langskom die last hebben van computerproblemen komt er meestal een stapeltje papieren tevoorschijn waar alle wachtwoorden op staan.

Nu is het natuurlijk mogelijk dat ik nou net toevallig die 30 mensen in héél Nederland ben tegengekomen die hun wachtwoord opschrijven, maar dat lijkt me een beetje naïef.
Sorry voor de reactie die mss wat kort door de bocht is, maar 55+ ers hebben waarschijnlijk ook geen 10 verschillende wachtwoorden, die ze vaak nog om de X aantal weken moeten veranderen.
Even snel gerekend heb ik thuis en op werk een 15 tal paswoorden, pincodes, veiligheidscodes die ik moet onthouden. Waarvan ongeveer de helft op frequente basis moet verandert worden. Daar zal wss wel enig onderling verband in te vinden zijn ja.

[Reactie gewijzigd door Joindry op 3 juni 2012 11:33]

Sorry voor de reactie die mss wat kort door de bocht is, maar 55+ ers hebben waarschijnlijk ook geen 10 verschillende wachtwoorden, die ze vaak nog om de X aantal weken moeten veranderen.
Even snel gerekend heb ik thuis en op werk een 15 tal paswoorden, pincodes, veiligheidscodes die ik moet onthouden. Waarvan ongeveer de helft op frequente basis moet verandert worden. Daar zal wss wel enig onderling verband in te vinden zijn ja.
En jij weet je wachtwoorden uit je hoofd?
Ik bewaar mijn wachtwoorden in Lastpass. Ik kijk daar nu net even in en kom op (heb geen 'totaal' gevonden) ongeveer 60 verschillende wachtwoorden werk/prive.
Deze is beveiligd middels een redelijk sterk wachtwoord, plus een yubikey die aan mijn sleutelbos hangt (voordat ik in lastpass kan moet ik eerst de USB key in mijn computer doen).
"Bovendien zouden negen cijfers relatief gemakkelijk zijn te onthouden omdat personen al gewend zijn om telefoonnummers te onthouden."

Wie onthoudt hier tegenwoordig nog telefoonnummers? Oke, je eigen telefoonnummer kennen de meesten nog wel ja, maar meer ook niet.

OT: Zijn duitsers en zuid-koreanen misschien ook wat achterdochtiger ofzo?
Zouden Duitsers en Koreanen misschien hun speciale leestekens gebruiken, voor hun standaard gebruik, voor ons klinkt dat meteen een stuk 'specialer' en veiliger.
"Ö, Ü en Ä" bijvoorbeeld al, die zitten vaak misschien nog niet eens in een brutefore kraker omdat een hacker uit china er nog nooit van heeft gehoord 8-| .
Als je al een je wachtwoord Über09 is. Is dat al een stuk moeielijker te kraken als Uber09 denk ik.
Maargoed.
ß, nuff said :)
IJsland dan? met ð þ ø, streepjes en puntjes op letters.
Omdat de Amerikanen zo achterdochtig waren hebben de Koreanen in het verleden gekozen om 128 bit encryptie via ActiveX te implementeren en niet te wachten tot de VS de export ban had opgeheven. http://webstandards.or.kr...active-x-issues-in-korea/

Wat de Koreanen niet voorzien hadden, was dat ActiveX zo lek als een mandje is. Erg grappig om een hele sterke sleutel te kiezen, terwijl het slot zo brak is als maar kan. Door de hele afhankelijkheid van ActiveX zijn de Koreanen zo geconditioneerd dat ze overal maar "Install" klikken, omdat de zoveelste ActiveX beveiligingsapplicatie gedownload moet worden voordat ze toegang krijgen. Zuid-Korea wordt altijd het hardst geraakt wanneer er weer eens een ActiveX virus uitbreekt.

http://english.chosun.com.../10/27/2009102700899.html

Het is dus niet zo raar dat de Zuid-Koreanen zo paranoia zijn, maar een goede kans dat de Zuid-Koreanen ook het meest geinfecteerd zijn met keyloggers, waardoor een veilig wachtwoord meteen teniet wordt gedaan.

Heel langzaam wordt ActiveX stapje voor stapje verwijderd, maar het zal waarschijnlijk nog wel een paar jaar duren voordat Zuid-Korea eindelijk af is van een beslissing uit 1998! Hier zie je maar weer eens dat je je architectuur goed moet kiezen en hoe lang het kan duren voordat je een slechte beslissing ongedaan hebt gemaakt.

Overigens kent het Koreaanse alfabet slechts 24 karakters. http://thinkzone.wlonk.com/Language/Korean.htm
mijn wachtwoord bestaat uit 6 letters en 2 cijfers
26x26x26x26x26x26x9x9= 25022177856 mogelijkheden
even blijven proberen dus :)
Maar zijn het ook willekeurig gekozen letters en cijfers of is het een bestaand woord, waar je eventueel bepaalde letters door cijfers hebt vervangen (bijvoorbeeld 0 = O, 1 = I, 4 = A enz.)?

Want als het niet willekeurig is, dan is je wachtwoord van 6 letters en 4 cijfers veel minder veilig dan je denkt. Er zijn allerlei slimme manieren (bijvoorbeeld dictionary attacks) waarbij veel minder dan 25022177856 pogingen nodig zijn om je wachtwoord te kraken als het niet willekeurig gekozen letters en cijfers zijn.
sowieso doe je er minder dan 25022177856 keer over, tenzij zijn wachtwoord zzzzzz99 is en je begint te proberen bij aaaaaa00 :)
Zo zou het meest gebruikte wachtwoord (zes cijfers) een miljoen mogelijkheden geven, maar "123456" wordt gek genoeg toch snel in één keer geraden. :+ willekeur is cruciaal.

Nog een opmerking @lord taken1: een cijfer heeft natuurlijk geen 9, maar 10 mogelijkheden.
Met de hand doe je er lang over, een computer doet dat redelijk snel hoor. Je rekensom is trouwens fout, omdat niet geweten is waar de cijfers zich bevinden en je 10 maar geen 9 cijfers hebt bekom je 36x36x36x36x36x36x36x36 .
Zijn rekensom verraadt al dat de laatste twee tekens cijfers zijn en dat hij of alleen kleine letters of alleen hoofdletters gebruikt...
En geen tekens als !@#$%^&*()-+=<>?, etc
ik heb ze in een willekeurige volgorde staan :P kan zo zijn dat ze vooraan staan :D
en hoofdletters misschien nog!
komen er nog 26 bij op elke stap, 62x62x62x62x62x62x62x62 (218340105584896)
sorry klein foutje maar dan hoort mijn berekening 26x26x26x26x26x26x10x10 te wezen :)
It would take a desktop PC
About 3 hours
to hack your password

http://howsecureismypassword.net/

Met het wachtwoord vgisrm65
It would take a desktop PC
About 5 million years
to hack your password

ik denk dat ik het wel eventjes red ;)
Behalve dat die site nu je IP+wachtwoord weet :P
How Secure Is My Password uses JavaScript, which is a client side language - all the calculations are performed by your computer. This means that once you've loaded the site in your browser nothing else will pass between your computer and the server - nothing you type in leaves your computer. If you'd like to check this you can load the site and then turn off your internet connection - everything will continue to work.
Gewoon niet je echt wachtwoord gebruiken, maar steeds een ander teken, uit dezelfde "klasse" gebruiken. Bijvoorbeeld, je wachtwoord is aapJe12!, tik je in bbdKr43#, wel de juiste input voor de berekening van de sterkte van je ww, maar niet je echte wachtwoord weggegeven.
Mijn rootwachtwoord komt trouwens op 32 miljard jaar :-)
It would take a desktop PC
About 1 quadrillion years
to hack your password
:+
23 quadrillion years :) Goed dat Tweakers laatst een keer die password security check heeft gedaan. Mijn vorige wachtwoord zou namelijk na 600 jaar al gekraakt zijn (hier deden ze er geloof ik minder dan een half uur over, maar goed :') ), dus dat is wel een flinke verbetering.
It would take a desktop PC
About 7 sextillion years
to hack your password

Een hoofdletter en 21 kleine letters.
t would take a desktop PC
About 2 duodecillion years
to hack your password

29 characters "passphrase".
It would take a desktop PC
About 51 billion years
to hack your password

Character Variety: Non-Standard Character

Your password contains a non-keyboard character. This should make it more secure.

Een heel simpel zweeds zinnetje. Letters als å ä ö zitten gewoon op een zweeds toetsenbord, dus de "This should make it more secure." slaat nergens op... tenzij je er van uit gaat dat je een amerikaan hackt, die enkel en alleen Engels spreekt.

===
Dezelfde zin in het nederlands levert het volgende resultaat op:

It would take a desktop PC
About 52 trillion years
to hack your password

Length: Long

Your password is over 16 characters long. It should be pretty safe.

===
In het Duits:

It would take a desktop PC
About 38 quintillion years
to hack your password

Length: Long

Your password is over 16 characters long. It should be pretty safe.
Character Variety: Non-Standard Character

Your password contains a non-keyboard character. This should make it more secure.

===

Maar uiteindelijk is het een hele simpele zin, die je (hopelijk) niet elke dag hoeft te zeggen.
Heb mijn tweakers wachtwoord er doorheen gehaald. Had ik nav een Tweakers topic over wachtwoorden aangepast naar 3 woorden. 3 quadrilion years :)

Met dank aan T.net. Mijn oude 'veilige' wachtwoord was goed voor ca. 1100 jaar. En rotter te onthouden :)
It would take a desktop PC
About 18 sextillion years
to hack your password

There's always a bigger fish :P.

Dit met een klein zinnetje waarin hoofdletters, cijfers en spaties zitten, die ik binnen 2 seconden kan uittypen ;)
Mja, heb net even mijn oud wachtwoord geprobeerd dat door t.net binnen het uur kon gekraakt worden, volgens die tool zou een desktop pc er 19 jaar overdoen, niet dus.
Dat zal komen omdat er rainbowtables gebruikt werden, en de berekening van howsecure van bruteforcen uitgaat.
mijn wachtwoorden zijn meestal wel redelijk veilig
mijn zwakste wachtwoord is in 5 minuten te kraken maar gebruik ik ook nergens waar het echt boeit (6 letters met een cijfer aan het einde)

mijn een na zwakste wachtwoord is in 167 dagen te kraken het is gewoon het default wachtwoord van mijn vorige router wat ik voor de meeste forums waar daad werkelijk op zit gebruik. (10 letters en cijfers)

eena sterkste wachtwoord is 14 letters en cijfers en duurt 768 jaar om te kraken dit wachtwoord gebruik ik voor dingen als steam en mijn mail accounts.

mijn sterkste wachtwoord gebruik ik alleen voor bank zaken en betaalmethoden zoals paypal en bestaat uit 16 letters en cijfers met een hoofdletter in het midden, dit duurt 6 triloen jaar.


behalve voor het eerste wachtwoord zijn het allemaal willekeurige letters en cijfers en vormen ze geen patroon.
mijn wachtwoord bestaat uit 6 letters en 2 cijfers
26x26x26x26x26x26x9x9= 25022177856 mogelijkheden
even blijven proberen dus :)
Het hangt er ook vanaf of je hoofd danwel kleine letters gebruikt.Ik gebruik ergens een variant van twee wachtwoorden(8tekens, waarvan 3 cijfers en 5 letters), eentje met kleine letters(en cijfers) en diezelfde met een mix van kleine en grote letters, De eerste is te kraken in een paar uur, de variant (mix kleine en grote letters incl. cijfers) in 16 jaar!

[Reactie gewijzigd door Nozem1959 op 3 juni 2012 12:26]

Het Serienummer van een 1e generatie iPod nano doet het ook nog altijd goed.
26*26*9*9*9*26*26*9*26*26*9=18,241,167,657,024

Maar die wordt vaak gemiddelde wachtwoordsterkte toegekend ;)
Is wel eerder hier gezegd, maar gebruikers moeten gewoon pass-phrases kiezen. Al dat gedoe met hoofdletters en kleine letters, speciale tekens... vergeet je allemaal en dan moet je het opschrijven (...) Gewoon een korte zin intypen. "mijnwachtwoordiseenkortezin" Vrijwel onkraakbaar 27 karakter wachtwoord en je vergeet het nooit.
alleen zo spijtig dat men in bedijfsomgevingen dit weer bemoeilijkkt door elke x maanden een nieuw wachtwoord te verplichten dat niet gelijk mag zijn aan de Y vorige met een complexiteit die net kleine en hoofdletters + cijfers vereist.
Dan maak je er toch: "Mijnwachtwoordis1kortezin" van?
Het principe van een lang en "simpel" (te onthouden) wachtwoord is nog steeds sterker en makkelijker dan een kort en ingewikkeld wachtwoord.

Helaas kom ik het vaak genoeg tegen dat systemen geen lange wachtwoorden ondersteunen.
Of nog erger, wat mij laatst overkwam dat het veld in de database maar 15 tekens groot was.
Het script controleerde de lengte niet dus mijn wachtwoord werd als "Mijnwachtwoordi" opgeslagen, en als de password recovery via post verloopt ben je mooi klaar.

[Reactie gewijzigd door redstorm op 3 juni 2012 11:45]

Ook lekker dat het wachtwoord in die db wordt opgeslagen ipv de hash
En als je dan ook nog spaties gebruikt is je wachtwoord makkelijker te onthouden, makkelijker te typen en moeilijker te kraken
probleem is dat 1 van onze applicaties nu al 3 cijfers vereist. Waar ga je die aanplakken? Niet tussenin maar achteraan, en je kan er zeker van zijn dat vele mensen gewoon beginnen bij 001 en beginnen op te tellen. Goed bedoeld maar het probleem is dat er in de wachtwoorden dus een systematiek komt te zitten door dit soort policies en net dat zou je moeten vermijden.
Raet Online is ook zo'n applicatie. Wilde laatst mijn wachtwoord veranderen, eerst een nieuw wachtwoord van 20 karakters random gegenereerd, "maximaal 15 karakters" foutmelding.
Vervolgens genereer ik (al mopperend) een nieuw wachtwoord van 15 karakters lang, kan ik hier vervolgens met geen mogelijkheid mee inloggen, oftewel een of andere bug die vermoedelijk de karakters in mijn wachtwoord is gaan interpreteren.
En dit is een salarisadministratie systeem dat in ieder geval ook bekend is van de radio, en waar vermoedelijk honderdduizenden nederlanders hun salarisadministratie in hebben staan.
alleen zo spijtig dat men in bedijfsomgevingen dit weer bemoeilijkkt door elke x maanden een nieuw wachtwoord te verplichten dat niet gelijk mag zijn aan de Y vorige met een complexiteit die net kleine en hoofdletters + cijfers vereist.
Maar die vereiste moet men dan laten vallen, van hoofdletters en cijfers ed. Verplicht gewoon minimaal 20 karakters en leg mensen uit hoe ze die kunnen onthouden.
Plus dat er gewoon software is die maximaal 8 tekens toelaten in het password veld.

Maar waar zit het verschil nou bij die Duitsers?
Is het de lengte van de passwords? Zijn het de speciale tekens in hun taal?
Volgens tweakers.net is mijn korte zin toch echt onveilig, kreeg ik in beeld toen tweakers daar onderzoek naar deed en gebruikers ging waarschuwen...
Ik heb een 20-karakterwachtwoord en spijtig genoeg ondersteunen meerdere diensen maar 16 karakters. Jammer, want het lange wachtwoord is erg makkelijk te onthouden voor mij, en onmogelijk om te raden.
Dat klinkt alsof je er maar 1 hebt, dat is wel een beetje eng (zeker gezien hoeveel hacks er tegenwoordig zijn).

Misschien kan ik hier nog een lans breken voor clipperz, een redelijk fijne password manager waarmee je bij alle sites gewoon een ander (totally random danwel zelfgekozen) password kan gebruiken. Desgewenst kan je 'm ook zelf hosten als je hun server niet vertrouwt.
1 2 3 ... 7

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013