Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 43 reacties

De Amerikaanse Electronic Frontier Foundation, die zich inzet voor de bescherming van burgerrechten, heeft nieuwe woordenlijsten opgesteld aan de hand waarvan gebruikers wachtwoordzinnen kunnen genereren. Bestaande lijsten zouden namelijk aan verbetering toe zijn.

Een van de veelgebruikte bestaande lijsten is de zogenaamde Diceware-lijst met 7776 woorden. Met alleen een dobbelsteen in de hand kunnen gebruikers aan de hand daarvan een willekeurige wachtwoordzin of passphrase genereren door vijf keer opnieuw te dobbelen. De vijf cijfers die uit deze basale hardware random number generator voortvloeien, staan in verband met een woord. Op deze manier is het uiteindelijk mogelijk om een wachtwoordzin bij elkaar te dobbelen die bestaat uit verschillende woorden.

De EFF is van mening dat bestaande lijsten wel toe zijn aan een aantal verbeteringen. Zo bevat die van Diceware bijvoorbeeld een aantal moeilijke woorden, ongewone voornamen, vreemde lettervolgorden en vulgaire woorden. Deze maken het voor gebruikers moeilijk om deze te spellen en te onthouden. Ook sommige toetsenborden hebben er moeite mee.

Daarom heeft de organisatie besloten een eigen lijst op te stellen, eveneens met 7776 woorden. Deze lange versie is gebaseerd op onderzoek van de universiteit van Gent. Deze bevat alleen woorden die niet aan dezelfde problemen onderhevig zijn als die in de Diceware-lijst. Bovendien zijn de woorden langer.

De auteur wijst erop dat de veiligheid van een EFF-wachtwoordzin niet verschilt van die van een van Diceware. Het verschil zit hem vooral in bruikbaarheid. Er zijn ook twee korte lijsten beschikbaar die bestaan uit 1296 woorden en gebruikt kunnen worden met vier standaarddobbelstenen. De veiligheid van een wachtwoordzin die voortkomt uit deze lijsten is wel minder hoog.

Het is aan te raden een wachtwoordzin met verschillende willekeurige woorden en spaties te gebruiken in plaats van één wachtwoord, zo stelt de EFF. Gebruikers zijn namelijk niet goed in het maken van willekeurige keuzes. Als een wachtwoordzin eenmaal gegenereerd is, kan deze redelijk eenvoudig onthouden worden, omdat deze bestaande woorden bevat. Volgens de EFF heeft een wachtwoordzin van zes woorden 77 bits entropy, waarbij elke bit het twee keer zo moeilijk maakt om de wachtwoordzin met brute force te kraken. Elk woord in een wachtwoordzin voegt 12,9 bits aan entropie toe.

Als men dan toch liever Diceware-wachtwoordzinnen blijft gebruiken, zijn deze te koop bij de 11-jarige Mira Modi. Zij dobbelt ze voor het bedrag van acht dollar bij elkaar en verkoopt ze via haar site.

Moderatie-faq Wijzig weergave

Reacties (43)

Stel die woorden zijn gemiddeld 6 letters lang. Dan moet je 6*6=36 letters intypen. Iedere keer als je scherm op lockscreen springt. Nee bedankt. Ik heb niet veel moeite met veel letters typen. Maar 36 letters voor je wachtwoord vind ik toch wat overdreven.
een groot probleem is dat heel veel systemen, bijv geen onderscheid maken tussen, lokaal inloggen en remote inloggen.

om een voorbeeld te noemen; ik werk op een kantoor, om binnen te komen heb je een pasje nodig, daarnaast kent iedereen elkaar dus vreemden vallen op, ik deel mijn kamer met een collega, en er is altijd een van ons 2 aanwezig.

nu is de wachtwoord eis niet heel sterk, bijv een fingerprint en een 5 cijverige code (pin) zou al genoeg moeten zijn om al te nieuwsgierige collegae en stagiers buiten te houden. je moet immers eerst door de beveiliging heen en dan mijn kamertje nog vinden EN mijn pin weten, EN een plakbandje met mijn fingerprint bezitten.

nu log ik wel eens vanuit huis. ik heb geen vast ip, en ik heb ook geen allarm systeem, mijn laptop staat op mijn thuiskantoortje.

nu heb ik geen beveiligings pasje, kun je proberen mijn wifi te kraten etc etc. dan wil ik ineens geen 5 cijferige code meer, maar een sterk wachtwoord, en geinstalleerd certificaat, en iets van een smartcard-reader of een code generator voor 2traps authenticatie.

echter krijg ik het idee dat ano nu de meeste software oplossingen nauwelijks in staat zijn om 1 van die 2 oplossingen te implementeren, laat staan beide, om dan ook nog eens effectief te bepalen welke van de 2 wanneer van toepassing is...
Ik deel die mening niet. De meest toko's hebben voor thuiswerken een VPN-oplossing staan, die prima gebruik kan maken van 2factor authentication.
Hiernaast zijn er voor bedrijven ook mogelijkheden om verdacht gedrag van medewerkers te detecteren, ook wanneer ze thuis werken. Hierbij kan je denken aan User Behavioural Analytics en SIEM-technologie.

Ik vind dit trouwens niet perse een tekortkoming van het 'systeem, zoals jij aangeeft:
een groot probleem is dat heel veel systemen, bijv geen onderscheid maken tussen, lokaal inloggen en remote inloggen.
De systemen ondersteunen dit prima.
Windows heeft een hele simpele setting die ervoor zorgt dat de PC alleen (remote) overgenomen kan worden door geregistreerde administrators.
VPN's hebben zelfs de mogelijkheid om te controleren of er een virusscanner op je systeem aanwezig is, voordat ze je toegang verlenen tot het bedrijfsnetwerk.
Remote inloggen op servers kan je zo configureren dat het:
a) alleen kan vanaf een admin account
b) alleen met 2FA (zie bv. CyberArk)

With all due respect...
De technische mogelijkheden zijn er ruim. Het feit dat [jouw] bedrijf hier geen gebruikt van maakt is eerder een organisatorisch systeem dan gebrek aan technische mogelijkheden.
Op mobiele devices is dit inderdaad nogal vervelend, maar op desktop PC's lijkt het me geen probleem.

Daarnaast sla ik de wachtwoorden veilig op in Google Chrome /s
Als je het veilig wil houden (en dus op alle toepassingen een ander wachtwoord gebruikt) volstaat een password manager (e.g. Keepass). Dan hoeft men enkel het master password en optionele keyfile in te voeren. Dit zal menig tweaker toch wel weten?
Inderdaad, hoe langer je pass phrase, hoe groter de kans dat je een type fout maakt, kun je het nog een keer doen :P . Dit zou voor iets heel belangrijks kunnen, dat je niet al te vaak nodig hebt.
Het is te lang, daar geen discussie over, maar is het echt zo veel erger dan een traditioneel veilig wachtwoord van 16 tekens met hoofdletters, cijfers en vreemde tekens? Op mijn telefoon is het invoeren van dat soort tekens helemaal omslachtig, er zijn vaak meerdere aanslagen per teken nodig. Volgens mij kom je dan ook een heel eind richting de 36 bewegingen en ik type gewone kleine letters veel sneller dan vreemde tekens.

We moeten hoe dan ook af van stukjes tekst als beveiliging.
77 bits entropie vind ik helemaal niet zoveel. Wat ik met KeePass genereer met >20 karakters is een stuk meer. Even een orde-grootteverschil aangeven: stel nu dat je 128 karakters hebt om uit te kiezen en een wachtwoord van 20 tekens. Dat geeft 128^20~=1.4e42 mogelijkheden. Een wachtzin van 5 woorden uit zo'n lijst geeft 7776^5~=2.8e19 mogelijkheden. Dat is 10^23 keer minder!

Het is beter dan zwakke wachtwoorden onthouden, maar qua bruteforcen is de probleemcomplexiteit evenzo te reduceren door te denken in combinaties van woorden in plaats van in combinaties van karakters. Of zie ik iets over het hoofd?

Edit: 128 karakters is wel erg veel om uit te kiezen, ik tel op mijn toetsenbord 93 direct te typen karakters. 93^20~=2.3e39. Alsnog bijna 10^20 keer meer dan met je wachtzin van 5 woorden.

[Reactie gewijzigd door Bananenplant op 20 juli 2016 13:14]

77 bits entropie vind ik helemaal niet zoveel. Wat ik met KeePass genereer met >20 karakters is een stuk meer. Even een orde-grootteverschil aangeven: stel nu dat je 128 karakters hebt om uit te kiezen en een wachtwoord van 20 tekens. Dat geeft 128^20~=1.4e42 mogelijkheden. Een wachtzin van 5 woorden uit zo'n lijst geeft 7776^5~=2.8e19 mogelijkheden. Dat is 10^23 keer minder!

Het is beter dan zwakke wachtwoorden onthouden, maar qua bruteforcen is de probleemcomplexiteit evenzo te reduceren door te denken in combinaties van woorden in plaats van in combinaties van karakters. Of zie ik iets over het hoofd?
Er zijn best wel veel woorden om uit te kiezen.

Je moet wel goed het verschil tussen theorie en praktijk in de gaten houden. In theorie kan een wachtwoord van 20 random tekens heel erg veilig zijn maar geen mens kan dat onthouden. In praktijk gebruiken de meeste mensen daarom iets heel simpels als de naam van hun hond.

In praktijk zullen de meeste mensen meer bits entropie hebben bij een eenvoudige wachtzin dan bij een eenvoudig wachtwoord.
Allemaal goed en wel, maar probeer zo'n wachtwoord van willekeurige tekens eens uit je hoofd te onthouden? Daarvoor is deze manier uitgedokterd: het is de veiligste en meest praktische in de situatie dat uit het hoofd leren noodzakelijk is. Zo niet, dan kies je inderdaad beter voor een passwordmanager.

Ten tweede zijn er bij een combinatie twee zaken van belang: de mogelijkheden bij n trekking en dan het totaal aantal trekkingen. Als n van beide voldoende groot is, dan mag de andere parameter klein blijven om toch een voldoende groot eindresultaat te geven.

Een entropie van 77 bit is zes willekeurige woorden uit een lijst van een kleine 8k woorden, f een alfanumerisch wachtwoord van 13 tekens (met 5,9542 bit entropie per karakter). Wat onthou je het liefst, een zin of een reeks van dertien willekeurige (hoofd- en kleine) letters en cijfers?

En let wel: die entropie van 77 bit is enkel zo laag als ze de lijst met woorden kennen, zoniet kan je elk karakter beschouwen met dezelfde entropie als je alfanumerisch wachtwoord! Veel hoger dus.

[Reactie gewijzigd door IveGotARuddyGun op 20 juli 2016 13:38]

Maar als zo'n EFF zo'n lijst publiceert is die ook beschikbaar voor aanvallers. En als wachtzinnen populair worden kun je, met een bovengrens aan het aantal karakters van het wachtwoord, ook een woordenboek gebruiken om gerichter te bruteforcen. Beginnend met de woorden uit het EFF-lijstje :P .

Mijn insteek is overigens inderdaad dat ik zo min mogelijk wachtwoorden hoef te onthouden, dan heb ik geen problemen met lange tekenreeksen ;) .
Ons geheugen is beter voorzien om woorden vanbuiten te leren dan tekens, want aan woorden hangt telkens heel wat context die ons helpt te relateren in het geheugen waardoor verbanden makkelijker gelegd worden en waardoor vanbuiten leren dus evidenter is.

Trouwens, je moet je niet houden aan die lijst met woorden, je mag ook je eigen woorden kiezen. Dat maakt het direct een pak veiliger (want minder voorspelbaar bij woordenboekaanvallen) en persoonlijker dus makkelijker te onthouden voor jou.
Maar als zo'n EFF zo'n lijst publiceert is die ook beschikbaar voor aanvallers.
Ja, dat is ook de aanname.

Voor een correcte inschatting van de veiligheid moet je er altijd van uitgaan dat de aanvaller de structuur achter je wachtwoord kent, alleen de random keuzes niet.

In dit geval betekent dat dat je aan moet nemen dat de aanvaller weet dat je een passphrase van (bv) 6 woorden hebt gekozen met dobbelen uit de EFF (of Diceware) lijst, dat je het wachtwoord met alleen kleine letters schrijft, en dat je de woorden scheidt met spaties.

En onder die aannames heeft zo'n wachtwoord 77 bits aan entropie. Wat erg goed is voor een onthoudbaar wachtwoord.

Als een aanvaller de structuur niet kent, of als je daar zelf van afwijkt (bv door op een willekeurige plek een hoofdletter te gebruiken), dan wordt het nog moeilijker voor de aanvaller. Maar dat is lastiger te modelleren ;)
En bij de aanname dat aanvallers de lijst hebben, kan je er ook vanuit gaan dat ze deze als dictionary gebruiken. Een goede aanvaller heeft een script lopen die niet iedere letter van die woorden gaat proberen maar ieder woord op zichzelf als karakter en dus de hele lijst tot een bepaald aantal gaat combineren. En zo is de entropie dus verschrikkelijk klein.
Passphrases op basis van bestaande woorden of woordlijsten zijn dus ontiegelijk simpel te kraken.
En dat is sinds 2013 al bekend dus ik snap niet dat de EFF dit blijft adviseren.

[Reactie gewijzigd door Crazy Harry op 20 juli 2016 23:21]

Nee, de 77bits entropie is juist berekend wanneer de aanvallers deze lijst gebruiken. De passphrase bestaat uit 6 woorden uit de lijst van 7776 woorden. Er zijn dus 7776^6 mogelijke combinaties van woorden, ook met een dictionary aanval.

Als het script bijvoorbeeld 1 miljoen combinaties per seconde probeert, duurt dit het dus alsnog 7 miljard jaar (7776^6/(1e6*3600*24*365)) om alle combinaties te proberen, dat is langer dan het bestaan van de Aarde (4.6 miljard jaar).

Het probleem met passphrases is dat mensen van nature slecht zijn in willekeurige combinaties, en vaak liever iets simpelers kiezen, bijvoorbeeld 'I shall compare thee to a summers day' of 'Ik wil naar huis'. En met al die miljarden mensen op het internet is de kans groot dat vele andere mensen het zelfde kiezen, zodat aanvallers dictionaries met veel gebruikte passphrases gaan maken. Maar zolang je netjes doet wat hier staat en echt willekeurig 6 woorden kiest (dus met een dobbelsteen of Random member generator), is het best veilig.
En bij de aanname dat aanvallers de lijst hebben, kan je er ook vanuit gaan dat ze deze als dictionary gebruiken. Een goede aanvaller heeft een script lopen die niet iedere letter van die woorden gaat proberen maar ieder woord op zichzelf als karakter en dus de hele lijst tot een bepaald aantal gaat combineren.
Ja, dat was het hele punt van mijn reactie...
En zo is de entropie dus verschrikkelijk klein.
En dat is dus niet zo.

Er zijn 7776 mogelijke woorden in die lijst, met zes stuks geeft 77766 ≈ 277.5 mogelijkheden. Ruim 77 bits aan entropie dus. En dat is heel erg goed voor een onthoudbaar wachtwoord.
stel nu dat je 128 karakters hebt om uit te kiezen en een wachtwoord van 20 tekens. Dat geeft 128^20~=1.4e42 mogelijkheden. Een wachtzin van 5 woorden uit zo'n lijst geeft 7776^5~=2.8e19 mogelijkheden. Dat is 10^23 keer minder!
Het aantal mogelijkheden is niet het aantal mogelijkheden waar de gebruiker uit kiest maar het aantal dat het systeem waarop je inlogt toestaat. Jouw voorbeeld klopt alleen wanneer het systeem vereist dat je 5 woorden uit die specifieke lijst kiest. Als iemand niet uit de lijst kiest maar uit zijn eigen lijst van 3 wachtwoorden die hij vaak gebruikt is niet opeens het aantal brute-force-pogingen te reduceren tot 3 :P

Dus het veiligste systeem is het systeem met zo min mogelijk wachtwoordeisen en zoveel mogelijk wachtwoordmogelijkheden. Het veiligste wachtwoord is vervolgens gewoon de langste die je kunt verzinnen n onthouden.
Dus het veiligste systeem is het systeem met zo min mogelijk wachtwoordeisen en zoveel mogelijk wachtwoordmogelijkheden. Het veiligste wachtwoord is vervolgens gewoon de langste die je kunt verzinnen n onthouden.
Langer = veiliger gaat maar tot op zekere hoogte. Als het goed is slaat geen enkel systeem je wachtwoord plaintext op, maar altijd gehasht. De lengte van de hash is daarmee bepalend hoeveel entropie je op kunt slaan. Als je wachtwoord langer is dan de hash, heeft het geen zin om hem nog langer te maken aangezien het lossy gecomprimeerd wordt en er dus per definitie een korter wachtwoord is met dezelfde hash -> een collission. Nu zijn de meeste hashes wel minstens 40 karakters dus voordat je daaraan zit heb je al een vrij fors wachtwoord, maar toch.
Bij een wachtwoord met lengte van 20 karakters en een keuze uit een karakterset van 128 karakters (wel veel trouwens) zijn er 20^128 mogelijkheden = 3.4E166
Een belachelijk groot getal!
Vooral dat laatste is mooi: wie een Diceware wachtwoord wil hebben, kan deze kopen bij Mira Modi een 11-jarig meisje. Wat een handelsgeest! ;)

Ik neem aan dat iedereen aan die lijst kan komen en zo'n handeltje kan starten? Je moet er alleen maar wel aan denken.
De lijst staat gewoon op de officiele website van Diceware. Je zou bijna denken dat 'een meisje van 11' gewoon een leuk handeltje is van een willekeurig persoon. Niks is minder waar.

Echter kan ik geen optie voor een pw van $2 vinden.
verhip, de prijs is omhoog gegaan! ik pas het aan
Gebaseerd op https://www.xkcd.com/936/ (of vice versa), natuurlijk.

Ik blijf erbij dat dit niet een goede aanpak is. Een zin van 6 willekeurige(!!!) woorden is minstens net zo lastig, zo niet lastiger te onthouden dan 12 willekeurige karakters en biedt verder geen voordelen. Je bent wel een stuk langer bezig met het intypen.

En zo'n passphrase kun je vast onthouden, maar daarmee ben je er niet. Het is aan te raden om voor elke site een ander wachtwoord te hebben, maar op zijn minst zou je sites moeten onderverdelen in diverse categorin zodat bij lekken niet al je accounts direct kwetsbaar zijn. En daar wordt het alleen maar complexer mee.

Wachtwoordzinnen vergen een andere aanpak dan wachtwoorden, maar zeker met een lijst van slechts 7776 woorden wat hier aangeraden wordt is het niet meer dan een gecombineerde dictionary attack, en dus nog steeds goed te kraken. Wachtwoord van 6 woorden != wachtwoord van 36 karakters.

De beste oplossing, imo, is een fatsoenlijke wachtwordmanager gebruiken. Met fatsoenlijk bedoel ik dus een lokale, en niet eentje waarbij je je zeer gevoelige gegevens toevertrouwd aan een derde partij. Ik gebruik hiervoor KeePassX, waarbij je voor elke login een nieuw, compleet random wachtwoord van 16 karakters kunt genereren. Eerst had ik standaard wachtwoorden van 32 karakters, inclusief leestekens maar ben nu overgestapt op 16 karakters alfanumeriek omdat er teveel sites zijn die een limiet van ~ 20 karakters hanteren (wat voor de wachtwoordzin-methode dus ook direct problemen oplevert), of ernstige beperkingen stellen aan welke karakters er in voor mogen komen. Maar 16 karakters alfanumeriek is net zo goed praktisch onkraakbaar. Met een password manager hoef je zelf maar een of enkele wachtwoorden te onthouden (aan te raden is om je wachtwoorden te splitsen over meerdere password-files met een ander wachtwoord), en ben je zeker van dat je altijd de juiste logingegevens hebt en dat ze ook nog eens veilig zijn.

Ik kan de ondernemersspirit van het 11-jarige meisje wel waarderen overigens! Puur om dat aan te moedigen zou ik er al haast eentje bij haar gaan bestellen.
De beste oplossing, imo, is een fatsoenlijke wachtwordmanager gebruiken.
Ik neem aan dat je deze veilig gebackupt hebt en in een kluis hebt gestopt. Maar wat doe je als je op vakantie bent en je wilt je mail checken, of een aankoop doen, of de voortgang van een bestelling volgen? Of gewoon vanaf je werk, bij vrienden?

Als je echt vanaf slechts een systeem overal bij moet kunnen denk ik dat een goede private key (zoals bij ssh mogelijk is) veel beter werkt dan een programma dat wachtwoorden onthoudt. Bij een private key challenge verstuur je het echte wachtwoord (key) nooit, kan er dus vrijwel niets uitlekken.

[Reactie gewijzigd door 84hannes op 20 juli 2016 13:27]

Je neemt je sleutelbestand mee op een USB-stick aan je sleutelbos, de keystore zelf staat in de cloud en op je foon en overal waar je komt, gesynct met de cloud.

Zo is het praktisch onmogelijk om ooit zonder je wachtwoorden te zitten, of de situatie is erger omdat je ook je sleutelbos kwijt bent. Gelukkig kan je thuis (of elders) makkelijk backups plaatsen van dat sleutelbestand, zodat je je wachtwoorden alsnog kan recupereren.
Die SSH private key moet je dan toch ook bij je hebben? Hoe helpt dat dan? Ik vind het een mooi systeem overigens, maar verwachten dat alle sites een public/private key-systeem gaan inbouwen is wat veel gevraagd ben ik bang.

Mijn KeePassX kluizen staan op een OwnCloud instance op mijn eigen server. Middels de OwnCloud app + de MiniKeePass app kan ik daar overal bij op mijn telefoon, zo lang ik mijn wachtwoord onthoudt natuurlijk, en beschikking heb over de key-file. De key-files kan ik ook overal downloaden via een alternatieve route, waarmee ik altijd toegang heb. Op mijn laptop is dit natuurlijk ook voorhanden. Zo zit ik nooit zonder wachtwoorden, en is alles toch netjes encrypted en beveiligd.

[Reactie gewijzigd door MadEgg op 20 juli 2016 13:42]

Ik vind jouw systeem een mooie benadering die je zelf in de hand hebt.
verwachten dat alle sites een public/private key-systeem gaan inbouwen is wat veel gevraagd ben ik bang.
Nog langer accepteren dat we voor elke website een ander wachtwoord moeten bedenken en onthouden en elk jaar veranderen, dat lijkt me zo langzamerhand teveel gevraagd.
De database kan je gewoon in de cloud op slaan en syncen met meerdere devices, zo kan ik ook bij mijn wachtwoorden op bijvoorbeeld mijn telefoon. De database mag iedereen hebben, zolang je wachtwoord om deze te unlocken sterk genoeg is. Als je wil kan je nog een extra beveiligingslaag toevoegen met een keyfile die je op een USB-stick meeneemt.

Ik ben het met MadEgg eens dat ik het gek vind om een vast dictionary te gebruiken om een passphrase te genereren. Het werkt beter om een drietal woorden uit verschillende talen te scheiden met verschillende leestekens en een aantal hoofdletters. Het feit dat je verschillende talen gebruikt maakt een dictionary attack eigenlijk onmogelijk en dus is het qua sterkte vergelijkbaar met dat aantal willekeurige letters terwijl het toch makkelijk te onthouden is.
Inderdaad zijn passwordmanagers een veiligere keuze dan al je wachtwoorden uit het hoofd proberen leren, maar indien dat geen mogelijkheid is, zijn simpele zinnen met woorden een betere keus dan strings van willekeurige karakters, aangezien ons geheugen beter om kan met reeksen van woorden dan reeksen van tekens.
Het kan persoonlijk zijn, maar ik dus niet. Mijn geheugen gaat namelijk proberen om een logische volgorde / samenhang in de reeks woorden te vinden waardoor de volgorde van de woorden al snel verwarrend wordt. Omdat willekeurige karakterreeksen elke vorm van betekenis ontberen is het voor mij veel eenvoudiger om deze reeks in de juiste volgorde te onthouden. Reeksen van 8 - 12 karakters zijn geen enkel probleem om mezelf binnen een paar minuten aan te leren, en als ik ze dan met enige regelmaat gebruik vergeet ik ze ook niet weer. Met woorden is dat veel lastiger; de juiste woorden onthouden lukt wel, maar de volgorde gaat geheid verkeerd.
Maar willekeurige tekens zijn juist veel moeilijker te onthouden dan een aantal willekeurige woorden, ook als je in entropie rekent. ,gs7\57d'[j2b Dit geeft iets van 10 mogelijkheden. Maar het is echt heel moeilijk te onthouden. Je moet eigenlijk 12 dingen onthouden. Ik zou dit leren door de naam van elk teken in mijn hoofd op te zeggen: komma, gee, es, zeven... eigenlijk 12 woorden dus. Ons brein is erop gent om woorden te onthouden: daar zijn we veel beter in. 6 woorden uit je hoofd leren is ook niet makkelijk, maar wel een stuk makkelijker. zegel vorderen achterlijk naast blijken kind Dit geeft iets van 10 mogelijkheden.

Ik ben het met je eens dat een wachtwoordonthouder heel handig is, gebruik al jaren Lastpass. Maar de integratie met Android is niet super, en op de computer van iemand anders al helemaal niet. Dus dat heeft ook nadelen.

Ik werk inderdaad in categorien: een paar websites hebben unieke wachtwoorden, zoals Paypal, Google, Facebook, etc. Dan een groep met websites die mijn betaalgegevens hebben maar op zich minder belangrijk zijn. Dan een groep waarvan het vervelend zou zijn als ik die accounts kwijt zou raken, maar geen ramp, zoals Tweakers. Dan de rest (die krijgen 123456).
Iets als ,gs7\57d'[j2b kan ik in 5 minuten uit mijn hoofd leren en een uur later reproduceren, en daarna nog steeds mits ik hem dagelijks gebruik.

Iets als zegel vorderen achterlijk naast blijken kind kan ik misschien in 2 a 3 minuten uit mijn hoofd leren. Na een uur zal het echter naast zegel blijken kind achterlijk vorderen geworden zijn, of nog iets anders. Dergelijke zinnen blijven gewoon echt niet in de juiste volgorde. Zal aan mij liggen, maar mijn brein meent dat een andere volgorde logischer is omdat de woorden een betekenis dragen, terwijl de 'zin' dat niet doet. Daarmee is het, in ieder geval voor mij, veel moeilijker om wachtwoordzinnen te onthouden dan lange, compleet willekeurige karakterreeksen.

Overigens zijn geven 12 karakters 94^12 combinaties en daarmee twee keer zoveel combinaties als de 7776^6 die je zin geeft, waarbij beiden veel meer combinaties zijn dan er ooit te bruteforcen is zijn voordat de zon explodeert. Je kunt er net zo goed respectievelijk twee letters of n woord afhalen, dan is het nog steeds onkraakbaar.
Dan is jouw brein heel anders dan het mijne! Ik zou heel snel een teken kunnen vergeten of de volgorde omdraaien. En ik denk dat dat toch voor de meeste mensen wel geldt. Een zin van 6 woorden is inderdaad ook niet eenvoudig, maar toch een stuk beter voor mij. (En zelf gebruik ik eigenlijk wel eens een bestaande zin die in een andere taal en met andere tekens geschreven is. Dat is een beetje security through obscurity inderdaad, omdat een aanvaller mijn randvoorwaarden niet kent, maar dan nog zit daar behoorlijk wat entropie in.)

Ik heb alle tekens genomen die ik op mijn toetsenbord zonder shift kan intikken en gegokt hoeveel dat er waren. Het alfabet, tien cijfers, plus de tekens rechts van de cijfers en letters. Je kunt er inderdaad nog meer tekens bij halen. Net zoals je ook van een woordenschat van 100.000 woorden uit kunt gaan (wat ik zelf ook doe: ik vind 'moeilijke' woorden juist chiller). Maar shift ingedrukt houden vind ik erg arelaxed, kan ik niet lekker snel tikken. En extra kut op telefoon.
Maar shift ingedrukt houden vind ik erg arelaxed, kan ik niet lekker snel tikken. En extra kut op telefoon.
Tja, maar als je shift buiten beschouwing laat dan zit je ook al zonder hoofdletters, dan zou je maar 26 letters + 10 cijfers + 11 leestekens kunnen gebruiken, dat komt je entropie niet ten goede natuurlijk. Typebaarheid op een telefoon is geen argument voor mij. Het kan wel, maar dan duurt het wat langer. Wachtwoordzinnen van 36 karakters typen op een telefoon is ook irritant, aangezien ik geheid typefouten ga maken en het resultaat niet goed kan zien door de sterretjes in plaats van de daadwerkelijke invoer.

Ik ben uitgegaan van alles wat ik met of zonder shift ik in een keer kan typen, dan kom ik op

abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890`~!@#$%^&*()_-+={[}]:;|\"',<.>/?

en dat zijn 94 karakters. Zonder al te veel moeite krijg ik daar nog een bij, en met iets meer moeite zijn dingen als ook goed haalbaar maar dat gaat me dan weer iets te ver.

Maar dat alles geheel terzijde; in het algemeen onthoudt ik nog maar een handjevol wachtwoorden voor mijn KeePassX wachtwoord-files, en n voor mijn e-mail want die wil ik ten alle tijde zelf kunnen benaderen, ook zonder password manager. Daarmee is het voor mij de ideale situatie, veel beter dan stapels met wachtwoorden of wachtwoordzinnen onthouden, of erger nog, hetzelfde wachtwoord hergebruiken. Dat is dan ook de betere versie van de XKCD-comic wat mij betreft: gebruik de computers waar ze goed in zijn: encryptie en dataopslag! Laat de computer de wachtwoorden op een veilige manier voor je onthouden!
Ik vind tikbaarheid op mobiel juist wel belangrijk, want op mijn computer gebruik ik toch voornamelijk Lastpass. Als het 5 minuten duurt heb ik er al geen zin meer in op mijn mobiel. Zinnen kun je tikken door te swypen als het bestaande woorden zijn. Als je netjes swypt maak je daarin geen fouten, in elk geval wat mij betreft minder dan bij het tikken van allerlei symbolen.

Hoofdletters vind ik nog extra moeilijk te onthouden! Echt een marteling zou dat zijn voor mij, word naar van het idee. Ander brein!

Ik moet trouwens toegeven dat ik ook macro's gebruik op mijn telefoon voor een paar wachtwoorden, waarbij b.v. zzz automatisch verandert in ziekonderkantmetenvogelbekend, opdat ik dat nooit zelf hoef in te tikken. Op zich onveilig, maar security through obscurity.

Keypass is op zich ook heel goed. Maar wat als je Keypasswachtwoord gestolen wordt? Ik neem aan dat Keypass niet automatisch synchroniseert tussen apparaten, dus dan is hacken van een Keypass-account online niet mogelijk? Dat kan wel bij mijn Lastpass, maar daarom heb ik mijn allerbelangrijkste wachtwoorden ook alleen in mijn hoofd.
Je zou voor belangrijke wachtwoorden ook 1 pre- of postfix kunnen gebruiken. Het moeilijk te onthouden random deel bewaar ik in LastPass de extra string heb ik in mijn hoofd.
Mja dat heeft een voordeel, maar ook een nadeel ten opzichte van een langer wachtwoord dat je kunt onthouden: dat kan ik zelf intikken als het echt nodig is, en ik vergeet het niet omdat ik het regelmatig gebruik.
Gebaseerd op https://www.xkcd.com/936/ (of vice versa), natuurlijk.
[....]
Wachtwoordzinnen vergen een andere aanpak dan wachtwoorden, maar zeker met een lijst van slechts 7776 woorden wat hier aangeraden wordt is het niet meer dan een gecombineerde dictionary attack, en dus nog steeds goed te kraken. Wachtwoord van 6 woorden != wachtwoord van 36 karakters.
Diceware , is van 1995 en xkcd is van 2011(?) Wie is op wie gebaseerd denk je?

Een combinatie aanpak kan een wachtzin van 6 willekeurige woorden (keuze uit 7776) echt niet kraken, tenzij jij een nieuwe manier hebt zo'n 2.2E23 zinnen af te lopen.
Kan een 'gecombineerde dictionary attack' eigenlijk wel 6 woordenboeken aan? Ik zoek nog steeds naar een antwoord, maar denk dat het antwoord nee is.
Een echte nerd doet dit natuurlijk met een D20.
5x een d20 geeft je 3,2 miljoen verschillende opties. ik vermoed dat je dan een uitdaging hebt om zoveel woorden te vinden :)
Is er nu niemand die eens een goed alternatief kan vinden voor gebruikersnaam plus wachtwoord. Het onthouden voor allemaal verschillende plaatsen waar je dient in te loggen is en blijft erg moeilijk. Werklogins, thuislogins, bankieren noem maar op, en steeds vaker wordt je gedwongen allemaal vage combinaties te maken met letters, cijfers en tekens. Niet te onhouden dus.
Password managers!

En verder zijn systemen als OpenID wel interessant natuurlijk; aangezien de grote verscheidenheid aan sites niet zelf de authenticatie doen, slaan ze ook je wachtwoord (al dan niet gehasht) niet op en kunnen hem dus ook niet uitlekken. Nadeel is dat als de OpenID-authoriteit gehackt de aanvaller gelijk overal bij kan. Bovendien heeft de authoriteit daarmee zelf ook toegang tot al je accounts. Ik zou dat dus alleen willen gebruiken indien ik de mogelijkheid heb om zelf die OpenID-authoriteit te zijn, op mijn eigen server.

Alsnog heb ik liever gewoon password managers, de bewuste actie van actief inloggen middels het wachtwoord waar ik alleen toegang toe heb maakt het veel explicieter en minder gevoelig voor misbruik.
In het oorspronkelijke artikel staat niet dat Diceware in zo'n 20 talen beschikbaar is, ook in NL, zelf heb ik een 3K korte NL-woordenlijst gepubliceerd voor sites die max 20 tekens toestaan.

Verder is de opmerking dat Diceware spaties tussen de woorden moet hebben, niet geheel juist. Spaties (of andere scheidingstekens) lossen het probleem op dat 'in' gevolgd door 'put' is het zelfde is als 1 woord: 'input'. Maar 'InPut' doet dat ook en zonder spaties en goed leesbaar getuige RienJojoJuliaTaxiBoze.

edit: leesbaar voorbeeld toegevoegd

[Reactie gewijzigd door Dick99999 op 22 juli 2016 12:07]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True