Overheid adviseert zwak wifi-wachtwoord bij NIX18-campagne

Een campagne van de Nederlandse overheid om minderjarigen te ontmoedigen om te roken en drinken, geeft een uit beveiligingsoogpunt discutabel advies met betrekking tot wifi-instellingen. De campagnesite genereert zwakke wachtwoorden voor netwerken.

De NIX18-campagne is een initiatief van het ministerie van Volksgezondheid, Welzijn en Sport en probeert jongeren ervan bewust te maken dat ze niet moeten drinken en roken, in ieder geval tot ze 18 jaar zijn. Onderdeel van de campagne is het advies om mensen de naam van hun draadloze thuisnetwerk in NIX te laten veranderen. De speciale site die hiervoor is opgezet bevat links naar pagina's van verschillende providers, waar mensen kunnen lezen hoe ze dat moeten doen.

Het advies gaat echter verder en vraagt deelnemers ook hun wachtwoord te wijzigen. "Je wifi in NIX veranderen moet niet alleen leuk zijn, maar ook veilig. Daarom hebben we een wachtwoordgenerator gemaakt", meldt de campagnesite. "Met één klik op de knop creëer je je eigen unieke wachtwoord." De NIX18-campagne claimt dat de gegenereerde combinaties 'volledig random', 'lang' en 'niet makkelijk te raden' zijn. De generator maakt wachtwoorden van twintig karakters, maar genereert alleen combinaties die de woorden 'nietrokennietdrinken' vormen.

Bij een blik op de gebruikte javascript-code valt bovendien op dat de gebruikte karakters maar beperkt afgewisseld worden. Bij de N, R en K worden hoofd- en kleine letters afgewisseld, de E, T en O worden slechts afgewisseld met respectievelijk de 3, 7 en de 0. De I krijgt vier mogelijkheden: de 1, !, I en i. De D heeft geen alternatief. Dat levert in totaal 4.194.304 verschillende combinaties op.

code

Zelfs een wachtwoord van vier karakters met hoofd- en kleine letters, cijfers en speciale tekens levert bijna het dubbele aantal combinaties op. Het kraken van het wachtwoord is hiermee kinderlijk eenvoudig en kan snel gebeuren. Het totaal aantal mogelijkheden is in een bestand te plaatsen dat hiervoor gebruikt kan worden.

Te kraken netwerken zijn eenvoudig te herkennen aan de naam 'NIX'. Kwaadwillenden kunnen verkeer van die netwerken monitoren en tools als Aircrack-ng kunnen vervolgens de hashes van de wachtwoorden afvangen. Dergelijke tools kunnen het bestand met de 4.194.304 combinaties daarna gebruiken om binnen enkele minuten het betreffende wachtwoord te vinden.

Het bericht over het discutabele wachtwoordadvies komt op Nationale Verander je Wachtwoorden Dag, die Tweakers als onderdeel van de WachtwoordBewust-campagne, samen met het Openbaar Ministerie en de stichting Veilig Internetten in het leven heeft geroepen.

Het ministerie van Volksgezondheid, Welzijn en Sport kon dinsdag niet inhoudelijk reageren op de berichtgeving.

NIX18 generator

IT-banen

Reacties (174)

SanderH_ 24 november 2015 18:23

Zal hier op Tweakers wel bekend zijn, maar blijft wel relevant

:

https://xkcd.com/936/

En een wat meer leesbare versie van bovenstaande JS code: klik

[Reactie gewijzigd door SanderH_ op 22 juli 2024 19:42]

Armin

Netwerk en systeembeheer

@SanderH_ • 24 november 2015 19:07

En zoals herhaldelijk aangetoond, een onjuist advies.

Of beter gezegd, achterhaald. Zo'n 15 jaar geleden gebruikte iedereen de naam van zijn vrouw of dochter als wachtwoord. Enige educatie zorgde ervoor dat de meesten toen overstapte op iets meer willekeurige wachtwoorden. Echter brute force capaciteiten van computers nam snel toe em dus moets het lang zijn. En dat is lastig, dus kwam men met deze dood-geciteerde strip.

Echter inmiddels is de meeste gebruikte aanval tegen wachtwoorden al lang niet meer brute force, maar patronen verzameld uit gedrag van mensen. En aangezien talloze mensen denken heel slim te zijn en lange zinnen te gebruiken, is dat dus veel minder veilig dan mensen denken. Jij gebruikt namelijk onbewust patronen. Jij bent immers mens ...

Wellicht dat Tweaker nog bewust wat anti-patronen aanbrengt (probeert aan te brengen), maar Tante Truus die jij net dat trucje uitgelegd hebt gebruikt wel degelijk patronen. En dus print die lange zin met woordjes na een uurtje kraken alsnog in platte text op het hacker scherm.

Het beste advies voor Tante Truus is en blijft een moeilijk (want 14 hele tekens en een hoofdletter of twee a drie en leesteken op een plaats ergens midden in het woord) wachtwoord, en dat desnoods gewoon in een notitieblokje opschrijven. (En voor de iets meer gevorderden een digitaal notitieblokje zoals een encrypted Word document of echte password manager.

)

Atomsk @Armin • 24 november 2015 20:27

Ja, het beste wachtwoord is er een gegenereerd door een echte 'random number' generator, want als je zelf een "willekeurig" wachtwoord maakt, zal er altijd iets van orde in zitten. Het probleem is echter dat je niet genoeg hebt aan één wachtwoord, maar je er al snel honderden hebt na een paar jaar. Dat wordt dan een dik notitieblok en Tante Truus is dan iedere keer 10 minuten bezig om het wachtwoord op te zoeken.

Met dat in gedachten kun je IMO nog altijd beter een 3-4 woorden nemen met een getalletje erbij, dan een kort W8w00rD, of moeilijk doen met notitieblokjes. Password managers zijn ook wel het overwegen waard, maar dat moet je er maar weer op vertrouwen dat je wachtwoorden goed versleuteld opgeslagen worden en hackers er niet bij kunnen komen.

Armin

Netwerk en systeembeheer

@Atomsk • 24 november 2015 20:48

Dat wordt dan een dik notitieblok en Tante Truus is dan iedere keer 10 minuten bezig om het wachtwoord op te zoeken.

Overdrijven is ook een kunst. Mijn digibete kennissen zitten nog steeds maar een een dozijn of drie. En mijn niet-digibeten hebben geen probleem met een password manager of word document.

Honderden wachtwoorden is echt iets van een tweaker. Ikzelf heb er niet eens zoveel.

3-4 woorden nemen met een getalletje

Mits je een hoofdleter of twee of drie neemt en deze niet aan het begin neemt, niet eens een slecht advies. Besef wél dat die woorden zelf bekend zijn. Dus effectief heb je slechts 4 tekens als er geen hoodletters neemt. Dat is secondenwerk qua kraken.
En de eerste letter hoofdletter maken doet ook iedereen, dus kies een willekeurige letter of twee a drie uit.

(Met als risico dat iemand inderdaad niet willekeurig neemt. Maar Tante Truus heeft nu eenmaal zijn beperkingen.

)

MatthijsZ

@Armin • 25 november 2015 00:04

De gemiddelde persoon kent 20.000 tot 35.000 woorden. Dat is meer dan er karakters zijn. Dus je opmerking klopt niet helemaal: een wachtwoord van 4 woorden is niet te vergelijken met 4 "karakters", want karakters kunnen maar uit een veel beperktere set worden gekozen, ik gok van zo'n 100 (a-z, A-Z, 0-9, speciale karakters).

Effectief betekent dat dus: 100^4 vs 20.000^4.
Vergelijk je een wachtwoord van 8 karakters met een wacht'zin' van 4 woorden: 100^8 vs 20.000^4 -> volgens WolframAlpha wint de wachtzin nog steeds (is 16x meer zoeken).

Ga je dan ook nog met hoofdletters werken in je wacht'zin'? Dan moet een hacker al gauw 40.000^4 bij langs, als je soms de eerste letter van een woord met hoofdletter doet.

Edit: de 16x meer was toevallig zo door mijn aannames. Je moet daar natuurlijk lezen: in ordegrootte gelijk

[Reactie gewijzigd door MatthijsZ op 22 juli 2024 19:42]

Armin

Netwerk en systeembeheer

@MatthijsZ • 25 november 2015 00:43

een wachtwoord van 4 woorden is niet te vergelijken met 4 "karakters", want karakters kunnen maar uit een veel beperktere set worden gekozen, ik

Punt is nu net dat jij echter een heel beperkte set van woorden hanteerd. Jij denkt dat je een grote set gebruikt, maar blijkt (onbewust) heel veel voorkeuren te gebruiken. Het gaat om de voorkeuren die jij hebt, en niet beseft te hebben.

=> Juist omdat het makkelijk moet zijn er patronen.

Immers ga je willekeurige onsamenhangende woorden gebruiken, hoofdletters, etc wordt het al snel net zo moeilijk te onthouden als een echt random wachtwoord. Had ik nu de derde of vierde gekapitatiseerd? Was het nu fietspomp, of waterpomp? Etc.

De stelling was immesr een makkelijke, doch lange zin is veilig. En dat is dus pertinent onwaar. Een moeilijke zin, is uiteraad wel weer veilig, maar dan ook weer helemaal niet makkelijk te onthouden. Zeker niet voor Tante Truus.

Laten we dus vanaf nu ophouden met het advies geven van lange zinnen, en Tante Truus gewoon educateren dat het vooral niet een simpel patroon moet zijn. Dus niet de eerste letter een hoofdletter, het verplichte cijfer op het einde, etc. Qua lengte iets van 14 en het zit qua brute force verder al lang goed.

En wij Tweakers gebruiken gewoon wachtwoord managers, encrypted Word documenten, etc. En voor onbelangrijke accounts gebruik je whatever je leuk vindt.

Cerberus_tm

@Armin • 25 november 2015 03:48

Als je zelf een zin maakt, gebruik je een beperkte set woorden in een beperkte volgorde. Maar als je een woord maakt, gebruik je ook een beperkte set tekens in een beperkte volgorde. Mensen zullen b.v. een set tekens kiezen die enigszins lijken op een bestaand woord. Dus voor beide methoden geldt eigenlijk hetzelfde. De vraag is alleen bij welk der twee methoden er meer willekeurigheid overblijft.

De tweede vraag is echter hoe moeilijk het is om je wachtwoord te onthouden bij elk der methoden.

De antwoorden op die twee vragen moet je dan tegen elkaar afwegen.

Het antwoord op de vraag hoe willekeurig het resultaat is is onmogelijk exact te geven zonder te weten welke instructies of sub-methoden de bedenker van een wachtwoordzin toepast, en welke die van een enkelvoudig wachtwoord.

Wordt er bij de wachtwoordzin gezegd dat er tenminste één moeilijk woord in moet zitten? Dat er ook een eigennaam in moet zitten? Dat er een verkeerd gespeld woord in moet zitten? Wordt er bij het enkelvoudige wachtwoord gezegd dat er speciale tekens en cijfers in moeten zitten? Dat die niet alleen op het einde moeten staan? Dat het niet op een bestaand woord mag lijken? Enz. enz.

De wachtwoordzin TanteTruushoudtvantaart is misschien niet erg willekeurig, maar elke hacker kent ook de patronen gebruikt in het wachtwoord d@b3St1995.

Dit alles is ook van groot belang voor de vraag hoe moeilijk het te onthouden is voor de bedenker. Dus je zit met extreem veel variabelen. Ook is van belang hoeveel de hacker weet van jouw methode of sub-methode.

De sub-methode van Diceware, waar je wellicht van gehoord hebt, zorgt ervoor dat je echt willekeurige woorden kiest uit een lijst van 7500 veelgebruikte Engelse woorden. Als je daar vijf woorden uit kiest d.m.v. dobbelen, b.v. bark spoil net super change, heb je ongeveer 2,3x10¹⁹ mogelijkheden, als ik het goed uitreken. Als je eenzelfde aantal mogelijkheden wilt creëren op basis van b.v. een set van 80 verschillende tekens, zul je ca. 9 totaal willekeurige tekens moeten gebruiken, b.v. &m_s";k02, als ik het even snel uitreken.

Hoe zou ik het wachtwoord &m_S";k02 uit mijn hoofd leren? Door "en em laag streepje hoofdletter es dubbele aanhalingstekens puntkomma ka nul twee" in mijn hoofd op te zeggen. Het enige voordeel daarvan is dat er minder opties per "woord" zijn dan bij een wachtwoordzin van 5 woorden, maar dat voordeel is niet extreem groot voor hoe mijn geheugen werkt. En je hebt nu 9 dingen om te onthouden. Dan vind ik de zin van 5 woorden toch gemakkelijker om te onthouden. Als er geen regelmaat in mag zitten, denk ik dat ik eigenlijk een woord bijna even gemakkelijk te onthouden vind als een willekeurig teken.

Inderdaad zullen veel mensen vast een veel slechtere zin kiezen dan zo'n willekeurige zin. Maar, al kan ik het op deze manier niet bewijzen, toch is mijn algemene intuïtie hierbij dat de extra opties per woord (grotere complexiteit) meer waard zijn dan het nadeel (iets moeilijker te onthouden), vergeleken met een teken, in de praktijk.

(Vooral ook als je een wat moeilijker woord erin gooit dat jij toevallig kent, zoals pravda, autoroute, meeldraadjes, of Shenellany. In het Nederlands kom je met samenstellingen veel hoger dan het aantal woorden dat een Engelsman gemiddeld kent (ik dacht rond de 25.000 voor de Engelsman), en je kunt er prima buitenlandse woorden in gooien. Het is best een goed idee om tante Truus zo te instrueren!)

[Reactie gewijzigd door Cerberus_tm op 22 juli 2024 19:42]

Oyxl @Cerberus_tm • 25 november 2015 11:23

Eens. Dat een deel van de strip gebaseerd op is oude informatie, doet nog steeds niets af aan het feit dat het gros wel relevant blijft. Juist door een mix te nemen van binnen- en buitenlandse woorden kun je het moeilijk maken.

Ook wordt er geen advies gegeven om geen rare tekens te gebruiken, maar wordt aangeraden je wachtwoord zo lang mogelijk te maken, en het toch nog te onthouden is.

Zo zou een wachtwoord dat ik creëer kunnen bestaan uit 8[NLwoord]!_![ENwoord]?^#[NLENcombinatiewoord]0

Die woorden zijn compleet random. Een dergelijk WW heb ik op mijn mail staan en nee, niet in die specifieke sequence.

Het vertaalt naar iets compleet onlogisch, dat ik toch makkelijk kan onthouden, omdat het in segmenten is ingedeeld die voor mij logisch zijn, maar voor een ander op kaas slaan. Daarnaast hanteer ik de regel dat ik dergelijke wachtwoorden alleen voor essentiële zaken aanmaak en lichtere WW kies voor diensten waar ik bijv. geen CC informatie aan heb hangen én ik hergebruik geen woorden.

Armin

Netwerk en systeembeheer

@Oyxl • 30 november 2015 18:48

Juist door een mix te nemen van binnen- en buitenlandse woorden kun je het moeilijk maken.

Precies! Maar dan is het ook moeilijk te onthouden. $_/-\o_$

Ik betwist niet dat een zin heel veilig kan zijn. Wel dat een makkelijk te onthouden zin veiliger zal zijn dan een wachtwoord van 14 tekens waar enige zorg aan besteed is. En DAT is wat beweerd wordt.

Als ik 20 van die moeilijke zinnen moet onthouden lukt mij dat echt niet. Tante Truus al helemaal niet.

Oyxl @Armin • 1 december 2015 07:23

Ik denk dat dit voornamelijk aan de persoon ligt. Ik heb er niet zo'n moeite mee. Zoals ik al zei, ik houd het bij een noodzakelijk minimum en gebruik waar ik kan multiway verification. Het is feitelijk een stuk simpeler te onthouden dan je doet voorkomen.

Cerberus_tm

@Oyxl • 26 november 2015 03:02

Ook mee eens.

Armin heeft wel een punt dat zelfs dit soort patronen heel misschien door hackers herkend kunnen worden na de gigantische wachtwoord-dumps van de laatste jaren: wij weten zelf niet altijd of wij de enigen zijn die iets dergelijks bedacht hebben. Toch denk ik dat wat jij doet op meerdere manieren te bijzonder is om door die patronen gevonden te worden.

Ik gebruik ook een handjevol moeilijk te raden, unieke wachtwoorden voor mijn belangrijkste sites, en deel de rest in twee groepen in: groep 1 is vervelend als ik mijn account kwijt ben, maar geen ramp (zoals Tweakers); en groep 2 maakt me sowieso weinig uit. De meeste sites in groep 1 hebben allemaal hetzelfde wachtwoord. Die van groep twee hebben ook zo veel mogelijk hetzelfde wachtwoord, dat wel weer anders is dan dat van groep 1. Zoiets. Groep 1 en 2 staan ook in mijn Lastpass; de unieke staan grotendeels nergens in.

MtC @Cerberus_tm • 25 november 2015 13:19

d@b3St1995 is inderdaad een voorbeeld van een heel slecht wachtwoord. Maar als je nu bijvoorbeeld neemt:

%MC!28!t.n%

Waarbij:
MC mijn initialen zijn
28 het totaal aantal vetergaatjes in mijn favoriete paar schoenen (dus niet eenvoudig te achterhalen via social engineering)
t.n staat voor tweakers.net
De ! % zijn gewoon herhaald en dus ook makkelijk te onthouden

Dan heb je een stramien dat heel makkelijk te onthouden is, en toch een sterk wachtwoord oplevert.

Ter verduidelijking: ik gebruik dit wachtwoord uiteraard nergens. Wel een vergelijkbaar systeem.

[Reactie gewijzigd door MtC op 22 juli 2024 19:42]

Cerberus_tm

@MtC • 26 november 2015 03:04

Dat is denk ik al een stuk beter. Mijn voorbeeld was bedoeld om te illustreren dat Armins "tante Truus" ook bij kortere (enkelvoudige) wachtwoorden wel eens een minder moeilijk te hacken wachtwoord zou kunnen kiezen, en dat dat argument dus niet alleen voor wachtwoordzinnen opgaat.

MatthijsZ

@Armin • 25 november 2015 09:13

Net als Cerberus_tm zegt: als het wachtwoord door een mens wordt gemaakt zijn de karakters ook een beperkte set.

Het probleem is dat tante Truus standaard met wachtwoorden als "Aardappel34" of "Kitty12" komt en dat wachtwoord vervolgens overal gebruikt. Veel succes om een 14-karakter wachtwoord daar erdoor te krijgen!

Iets als BloemetjeLangerak89Regenboog is makkelijk te onthouden én moeilijk te kraken (gebruik cijfers + eigen naam).

Doordat sommige mensen een wacht'zin' gebruiken wordt het aanvallen sowieso moeilijker: brute-force aanvallen moeten nu zowel losse karakters gaan gokken, als ook een woordenboek gebruiken. Want een hacker weet van te voren niet je wachtwoord-genereer-methode of de lengte van het wachtwoord.

Verder vind ik dat je veel handgezwaai doet: er zijn geen cijfers in je post (als in de mijne), maar je roept wel 'het is pertinent onwaar'.
Ook ben ik het niet eens met je 'onbelangrijke accounts' tip. Een 'onbelangrijk' account kan gebruikt worden om bij belangrijkere accounts binnen te komen.

Anyway, ik denk dat we al heel veel geholpen zijn door:

1 Bij tante Truus een password manager te installeren, en haar wachtwoorden laten genereren door die manager
2 Op zoveel mogelijk plekken 2-factor authentication aan te zetten
3 Er écht voor zorgen dat je verschillende wachtwoorden gebruikt voor verschillende sites (zie stap 1)

mbb @MatthijsZ • 25 november 2015 14:42

! en 3 samen lijkt me nog wel een risico voor Phishing: "Om er zeker van te zijn dat u voor uw digitaal bakieren-app geen bestaande wachtwoorden gebruikt, vragen we u even uw paswoord-file te uploaden..."

MatthijsZ

@mbb • 26 november 2015 08:21

Klopt. Maar fishing kan natuurlijk altijd. Mensen trappen er ook in dat ze hun pinpas en code met de post moeten sturen.

Een goede password manager zal je hopelijk waarschuwen bij de export en deze sowieso versleutelen met je master password.

Cerberus_tm

@MatthijsZ • 26 november 2015 03:06

Grotendeels eens. Maar hoe bedoel je dat je via een onbelangrijk account bij belangrijkere accounts zou kunnen komen (aangenomen dat je niet hetzelfde wachtwoord gebruikt)?

MatthijsZ

@Cerberus_tm • 26 november 2015 08:18

Ik zat aan drie dingen te denken:

Een account kan langzaam aan steeds belangrijker worden. Bijvoorbeeld Twitter, was in het begin een probeersel voor veel bedrijven daarna steeds belangrijker.

Verhogen van kennis over jou. Zoals je zei: we zijn voorspelbaar. Met meer kennis kun je makkelijker andere wachtwoorden gaan raden bijvoorbeeld, of andere gelinkte accounts vinden.

Social engineering of gebruik maken van bugs in de dienst. Bijvoorbeeld een cloud sync dienst die je niet belangrijk genoeg vindt voor een goed wachtwoord: wellicht kan een hacker dat wachtwoord raden, een script uploaden naar jouw computer en deze dmv een buffer overflow in de sync software triggeren om te draaien. Denk bij social engineering bijvoorbeeld aam vinden van adres en geboortedatum. Dat is soms al genoeg om bij een bank telefonisch te bevestigen dat jij het bent...

runeazn @MatthijsZ • 25 november 2015 00:44

Lang niet alle woorden worden net zo vaak gebruikt.
Zo kan er dus gebruik worden gemaakt van een frequency of occurence diagram maken waardoor je in je algoritme de vaak gebruikte woorden eerder gokt.

https://books.google.com/ngrams

MatthijsZ

@runeazn • 25 november 2015 08:32

Eens, maar:

A ) dat geldt toch ook voor karakters?
B ) een aanvaller weet op voorhand niet of je een wachtwoord of wachtzin gebruikt. Hij/zij weet dus ook niet hoe de attack moet worden begonnen.

Laat ik eraan toevoegen dat ik denk dat een password manager de beste oplossing is, met verschillende wachtwoorden voor elk account.

[Reactie gewijzigd door MatthijsZ op 22 juli 2024 19:42]

runeazn @MatthijsZ • 25 november 2015 12:03

Ik ben geen hacker, maar als je dat stukje van ceberus leest zou het je vraag een stuk op klaren.

Vedette. @Armin • 24 november 2015 22:45

Besef wél dat die woorden zelf bekend zijn. Dus effectief heb je slechts 4 tekens als er geen hoodletters neemt.

Niet geheel waar. Een wachtwoord bestaande uit 4 tekens heeft voor elk van deze tekens een veel beperkter aantal opties, namelijk kleine letters, hoofdletters, cijfers en speciale tekens. Een woordenboek heeft daarentegen een stuk meer opties. Neem daar woorden uit andere talen en woorden die niet in het woordenboek staan (straattaal) bij, en het raden van 4 'tekens' wordt toch ineens een stuk lastiger. Desalniettemin is het natuurlijk beter om op willekeurige plekken hoofdletters, cijfers of speciale tekens te gebruiken.

Armin

Netwerk en systeembeheer

@Vedette. • 25 november 2015 00:35

Ik zei dan ook als er geen hoodletters neemt

Maar je mist vooral het punt. Een wachtwoord uit 4 tekens heeft namelijk MEER opties, want ook cijfers en speciale tekens.

Lower-case woorden, is namelijk 4 tokens net als 4 lower-case letters. 4 = 4, echter bij woorden zul je geen leestekens gebruiken. Nu zal echter een flink deel van die lower-case letters ookals patroon voorkomen, maar je snapt het principe. De lengte van een individuele token is irrelevant. Enkel de kans dat een token in een hacker-database staat. En als je woorden gebruikt, is die kans groot.

Natuurlijk kun je wel met hoofdletters gaan spelen en afwisselend een 'willekeurige' letter gaan aanpassen, maar dan ben je al snel de eenvoud weg waar het om begonnen was. Dan kun je net zo goed 'gewoon' een echt random wachtwoord gaan nemen.

Vedette. @Armin • 25 november 2015 09:24

Mijn punt is dat er veel meer tokens dan tekens zijn. Er zijn:

- 26 kleine letters
- 26 hoofdletters
- 10 cijfers
- een stuk of 20 speciale tekens

Het aantal mogelijke tekens is ongeveer 72. Een wachtwoord bestaande uit 4 tekens heeft dus 72^4 = 26873856 aantal mogelijkheden.

In een Oxford woordenboek staan 171,476 woorden. Een wachtwoord bestaande uit uitsluitend Engelse tokens, levert dus al 171,476^4 = 864596308417753067776 aantal mogelijkheden op.

Een wachtwoord van 4 tekens is dus niet hetzelfde als een wachtwoord van 4 tokens.

http://www.oxforddictiona...e-in-the-english-language

Edit: antwoorden van de machten toegevoegd.

[Reactie gewijzigd door Vedette. op 22 juli 2024 19:42]

Armin

Netwerk en systeembeheer

@Vedette. • 25 november 2015 17:28

Mijn punt is dat er veel meer tokens dan tekens zijn

Klopt, maar die gebruik "jij" niet. Jij blijkt vooral een kleine subset te gebruiken.

Dat is de kern van het probleem.

Immesr het wachtwoord moet 'makkelijk' blijven. Het idee was een lange maar dus toch nog makkelijke zin. Ga je de zin moeilijk maken, verandert het verhaal. maar dan zijn we pries waar ik op doelde: het gaat om de complexiteit/moeilijkheid, niet de lengte, die de sterkte bepaald (nadat een bepaalde minimum lengte bereikt is uiteraard).

Vedette. @Armin • 25 november 2015 19:50

Het idee was een lange maar dus toch nog makkelijke zin.

Nee het idee is 4 willekeurige woorden achter elkaar plakken.

Dat er in de praktijk mensen zijn (zie alle tante Truus verhalen) die geen willekeurige woorden kiezen omdat het te moeilijk zou worden, betekent niet dat het advies niet goed is.

Mijn tandarts adviseert mij om tweemaal daags te poetsen en te flossen. Vervolgens poets twee keer mijn tanden maar floss nooit. Heb ik dan ontstoken tandvlees omdat het advies van de tandarts niet goed was?

Armin

Netwerk en systeembeheer

@Vedette. • 25 november 2015 20:27

Nee het idee is 4 willekeurige woorden achter elkaar plakken.
Dat er in de praktijk mensen zijn (zie alle tante Truus verhalen) die geen willekeurige woorden kiezen omdat het te moeilijk zou worden, betekent niet dat het advies niet goed is.

Nee, jij verdraait nu de zaak. Het idee was dat een lange zin makkelijk te onthouden is, maar moeilijk te kraken.

Dat advies is onjuist. Immers woorden die jij kiest staan in de hackers databases, tenzij je minder gangbare woorden kiest, met hoofdletters gaan spelen, etc. Maar als je dat doet is die zin opeens niet meer makkelijk te onthouden.

Je kunt niet én een makkelijke zin hebben, én een veilige zin.

Hoe makkelijker de zin, hoe makkelijker te kraken.
Hoe veiliger de zin, hoe moeilijker voor de persoon om te onthouden.
Het advies is dus inherent onjuist.

MacGyverNL @Armin • 26 november 2015 14:42

Lezen is een vak...

Jij bent degene die zegt dat die XKCD-strip onjuist is, maar dat baseer je op de interpretatie dat die strip aanraadt "een lange zin die makkelijk te onthouden is maar moeilijk te kraken". Dat is onjuist, jij verdraait hier de boodschap van de strip.

Wat de strip adviseert is willekeurig gegenereerd, relatief kort wachtwoord uit een set van veel tokens. Tante Truus moet die woorden niet kiezen omdat ze makkelijk te onthouden zijn, nee, Tante Truus moet gepresenteerd worden met een rijtje van 4 of 5 (of 6) willekeurig gekozen woorden uit de gecombineerde woordenboeken van 't Engels en 't Nederlands en dan moet ze er zelf een ezelsbruggetje bij bedenken. Maar omdat het woorden zijn, en geen letters, is dat een heel stuk makkelijker voor het menselijke brein dan die idiote 14-cijferige wachtwoorden die we momenteel aan mensen opdringen.

En sure, de "hackers" hebben die tokens natuurlijk in hun programma's, iedereen kan een database opbouwen van woordenboeken. Maar dat is als zeggen dat "hackers" ook die 76 letters, cijfers en speciale tekens in hun programma's hebben. Wat je daar dan even bij vergeet is dat door het willekeurig kiezen je de hacker nog steeds dwingt een bruteforce-aanval op de tokens te doen. Laten we even uitgaan van een gecombineerd woordenboek van 100.000 woorden. Ik denk dat ze groter zijn, maar heb geen zin om daar nu even gericht onderzoek op te doen. Dan heb je met een wachtwoord van 4 van die willekeurig gegenereerde tokens al 100.000^4 mogelijkheden die de hacker voor z'n kiezen heeft, dat is 10^20 mogelijkheden, maar gemiddeld genomen zal 't natuurlijk de helft zijn, dus 5*10^19. Dat is equivalent aan een willekeurig gegenereerd wachtwoord bestaande uit (hoofd- en kleine) letters, cijfers, en een keuze uit 14 speciale tekens, van 10 karakters (eigenlijk 10,6337 maar we hebben nou eenmaal geen halve karakters). Vind je dat een te kleine marge, nou, dan vertel je je willekeurige generator en een vijfde woord bij te gooien, je brein kan dat wel aan.

En ja, er is een zinnig tegenargument te verzinnen, namelijk "maar als je korte woorden gebruikt dan valt dit terug naar een relatief korte sequentie van redelijk voorspelbare karakters met een karakterset van 26 tekens". De truc is dan de generator op te dragen altijd voldoende woorden te kiezen, of voldoende woorden met een acceptabele lengte, om tot een lengte te komen dat een afwandeling van die zoekruimte óók de gewilde veiligheidsmarge heeft. Volgens mij kunnen we daar stellen dat de ogenschijnlijk lage entropie van de Engelse taal niet opgaat, omdat de woorden geen boodschap overbrengen en willekeurig gekozen zijn. Dat wil zeggen dat ik denk dat het nooit sneller is om op basis van "waarschijnlijk volgende karakter" het wachtwoord te raden, dan om op basis van "we zetten eerst de 4 kortste woorden in onze woordenboeken naast elkaar" het wachtwoord te raden. Als we dan kijken naar de veiligheidsmarge die je wil, zeg dat we minstens bij die 10 willekeurige tekens uit een alfabet van 76 willen blijven, dan moeten je gekozen woorden samen minstens 14 tekens lang zijn. Wil je een wachtwoord equivalent aan 14 tekens, dan moet je naar minstens 19 gaan, en als je equivalent aan 18 tekens wil moet je naar minstens 24 gaan. Een snelle google levert op dat gebaseerd op geschreven Engelse tekst, de gemiddelde lengte van een woord in de Engelse taal 5 karakters is. Echter, dat is gebaseerd op gestructureerde tekst met een boodschap, en schijnbaar is het gemiddelde gebaseerd op pure woordenschat nog langer. Een acceptabele lengte verkrijgen uit een willekeurig gekozen sequence zou dus ook niet zo moeilijk moeten zijn.

Armin

Netwerk en systeembeheer

@MacGyverNL • 30 november 2015 18:56

Wat de strip adviseert is willekeurig gegenereerd, relatief kort wachtwoord uit een set van veel tokens. Tante Truus moet die woorden niet kiezen omdat ze makkelijk te onthouden zijn, nee, Tante Truus moet gepresenteerd worden met een rijtje van 4 of 5 (of 6)

De strip zegt letterlijk dat het makkelijkte onthouden is, dus jij snapt kennelijk je eigen strip niet

En ja, evident een complexe zin maken is een veilig wachtwoord. Niemand in deze draad heeft dat ontkent. Maar wat is dan het voordeel tov een echt ramndom wachtwoord? Juist, geheel niets!

Jij onthoudt namelijk zo'n moeilijke zin niet beter (of slechter) dan een echt random wachtwoord. Zeker als je 10 van die zinnen moet onthouden waar de woorden geen samenhang hebben en liefst ook nog een hoofdletter of zo ergens hebben.

En tante Truus al helemaal niet.

MacGyverNL @Armin • 15 december 2015 14:25

Wat de strip adviseert is willekeurig gegenereerd, relatief kort wachtwoord uit een set van veel tokens. Tante Truus moet die woorden niet kiezen omdat ze makkelijk te onthouden zijn, nee, Tante Truus moet gepresenteerd worden met een rijtje van 4 of 5 (of 6)

De strip zegt letterlijk dat het makkelijkte onthouden is, dus jij snapt kennelijk je eigen strip niet

Selectief quoten. Ik reageer op je misinterpretatie van wát die strip zegt dat makkelijk te onthouden is, niet het argument dát het makkelijk te onthouden is.

De strip zegt "You've already memorized it" en laat een ezelsbruggetje zien. Dat is de crux: je moet dat ezelsbruggetje verzinnen. Net als met een complex wachtwoord met allemaal vage tekens, alleen heb je hier minder tekens die ook nog eens beter in het mentale model van de mens passen. Ergo, het ezelsbruggetje is korter en makkelijker.

En ja, evident een complexe zin maken is een veilig wachtwoord.

Nee, dat is het niet, dat is nu juist het punt. Het is dan ook geen "complexe zin". Het is een collectie woorden zonder enige syntactische of semantische samenhang, en alleen daarom is dit veilig.

Niemand in deze draad heeft dat ontkent. Maar wat is dan het voordeel tov een echt ramndom wachtwoord? Juist, geheel niets!

Nogmaals, het is makkelijker te onthouden omdat het korter is (ja, korter, want elk woord vervult zowel mentaal als technisch de rol die in een klassiek wachtwoord door een letter vervuld wordt, en je kunt met minder woorden dan letters af in dit model) én omdat het beter in ons mentale model past. We zijn mensen, die denken nu eenmaal makkelijker over woorden dan over apenstaartjes, accolades en backslashes. Het voordeel is simpelweg dat door die mechaniek mensen daadwerkelijk wachtwoorden gaan gebruiken die níet snel te bruteforcen zijn, in plaats van dat dit allemaal in theorie blijft hangen.

Jij onthoudt namelijk zo'n moeilijke zin niet beter (of slechter) dan een echt random wachtwoord.

Ik kan niet genoeg op dit punt hameren, maar dat doe je dus wel. Zogauw iets voor mensen niet meer abstract maar tastbaar en visueel wordt is het makkelijker voor ons om ermee om te gaan, en bij herhaaldelijk gebruik slijt 't ook nog eens makkelijker 't geheugen in.

Probeer het voor de gein zelf eens, pak eens twee wachtwoorden die je echt willekeurig genereert, eentje op je klassieke "10 karakters met hoofdletter, cijfer en leesteken" en eentje op de diceware-manier of een andere manier. Maar wel echt willekeurig dan, niet een of ander basiswoord dat je vervolgens aanpast. En hou dan eens bij hoe lang het duurt voordat je ze echt snel kunt herinneren als je ze nodig hebt.

Zeker als je 10 van die zinnen moet onthouden waar de woorden geen samenhang hebben en liefst ook nog een hoofdletter of zo ergens hebben.

En tante Truus al helemaal niet.

Dát ben ik met je eens, maar dat geldt nog veel sterker voor goede, willekeurige, klassieke wachtwoorden. De enige oplossing voor dát probleem is om iedereen aan de password managers te krijgen zodat ze dit nieuwe wachtwoord alleen maar nodig hebben om dat ding te unlocken, en misschien nog een of twee andere wachtwoorden voor hun lokale machine-accounts zodat ze er uberhaupt bij kunnen.

[edit] spelling

[Reactie gewijzigd door MacGyverNL op 22 juli 2024 19:42]

Khanos @Armin • 26 november 2015 20:07

Ik vind 'correct horse battery staple' niet een logische, inherent makkelijk te onthouden zin, die door een pattern prediction makkelijk geraden wordt. Het woord 'Staple' staat niet in de top 5000, maar worst case heb dan nog heb je 5000^4 = 72^8, hetzelfde als 8 tekens volledig random characters. Ik denk (persoonlijk natuurlijk) dat het makkelijker is om een woord te onthouden dan twee random tekens(5000^5 = 72^10). Het wordt nog beter als je woorden buiten de top 5000 neemt, of nederlandse en engelse woorden combineert. Woorden schalen nu eenmaal sneller dan tekens.

Cerberus_tm

@Armin • 26 november 2015 04:00

Toch denk ik dat je best een redelijk complexe zin kunt maken met woorden die de meeste mensen kennen, in het Nederlands zeker. Zie b.v. deze frekwentielijst:
http://crr.ugent.be/isubtlex/
Ook boven de 20.000 meestvoorkomende woorden zullen de meeste mensen de meeste woorden wel kennen.

H!GHGuY @Vedette. • 25 november 2015 12:35

Ik weet het: unicode wachtwoorden! ~120k karakters. Dan kom je wel door de verouderde wachtwoordpolicies die een limiet zetten op 6-8 karakters

Coolstart @Armin • 24 november 2015 22:11

Tante truus kan wel overweg met eenvoudige wachtwoorden. Ik gebruik altijd verstaanbare wahctwoorden omdat ze fonetisch te onthouden zijn maar in feite geen betekenis hebben. Dat kan een dialect woordcombo zijn of een verzonnen woord of een makkelijk uitlegbare versie van een bestaand woord zo is een dictionaire attack zo goed als uitgesloten.

Bijv:

- wifihetvliegtenhetblaft
- ttantettruusrust
- OepZenGatGevallen
- Koeponnekesdagalsdatnognimag
- eentjevoorugeentjevoormij
- TenTakelTag
- Tienmin8is2

Bij gevoelige wachtwoorden kies ik altijd een generator met een zo veilig mogelijke verbinding: https://lastpass.com/generatepassword.php

De wachtwoorden worden centraal opgeslagen via een Google docs + 2 step verification. Vrijwel onkraakbaar voor automated hacking tools.

Echt belangrijke wachtwoorden (bijvoorbeeld toegang tot een belangrijke server manager tool) Die veranderen we om het jaar en dat wachtwoord is meer dan 20 tekens lang en wordt enkel gebruikt indien een geavanceerde hash + salt wordt gebruikt met voldoende iteraties ( meer dan 1000 ) zodat de kans klein is dat het wachtwoord ooit wordt gestolen vanop de server.

Last pass gebruikt in eerste instantie 5000 rounds of PBKDF2-SHA256. Eens het opgeslagen wordt, wordt het nogaal 100.000 keer gehashed. Als dat niet secure is weet ik het niet meer.

In dat opzicht is de actie van NIX een complete ramp.

[Reactie gewijzigd door Coolstart op 22 juli 2024 19:42]

SSH @Atomsk • 24 november 2015 20:57

Ik vraag me af of er brute force aanvallen zijn met random woorden achter elkaar in de Nederlandse taal.

Neem: hetwachtwoordvanhenkeningrid als voorbeeld. Is meer dan lang genoeg en de woord volgorde kans aantal woorden tot macht 6 hoe groot? (Ik gok groot genoeg)

morrowyn @SSH • 24 november 2015 23:00

Je doelt eigenlijk op het volgende.

https://en.m.wikipedia.org/wiki/Diceware

Gewoon een computer niet gebruiken voor 'randomness' maar moeder natuur en een dobbelsteen.

Als je een dnd-er bent pak je je d20 uiteraard :-)

Veel plezier met het maken van je uber passphrase.

Artikeltje uit Ars Technica
http://arstechnica.com/in...-words-to-thwart-hackers/

[Reactie gewijzigd door morrowyn op 22 juli 2024 19:42]

bskibinski @Armin • 24 november 2015 20:58

Ik heb wel een paar vragen:
wat is precies het verschil tussen brute-forcen en patronen-forcen? bedoel je dan dictionary?

Zover ik het snap:

Brute force = lettertje voor lettertje alle combo's proberen, aa, ab, ac... etc
Dictionary = iets slimmere brute force die een lijst van veel gebruikte wachtwoorden afgaat.
Rainbow tables = encrypted wachtwoorden maar zonder salt.

Dat zijn volgens mij de belangrijkste methodes voor wachtwoorden cracken?

En is het dan zo dat tegenwoordig de meeste mensen een wachtwoordzin gebruiken? Er was net een artikel op tweakers:"slechts 5 procent is zich bewust van de mogelijkheid een lange zin te gebruiken.".
Dat betekent volgens mij niet dat ze daadwerkelijk een wachtwoordzin gebruiken, maar dat kan ik verkeerd interpreteren.

Ik denk zelf namelijk dat het beter advies is om een wachtwoordzin te gebruiken. Deze is voor veel mensen makkelijker moeilijk te maken, dan een kort wachtwoord. Mij lijkt het dat de "basis" sterkte van een wachtwoordzin hoger ligt dan kort wachtwoord, en mensen dus minder vaak superzwakke wachtwoorden maken. Of is dat alleen een gut feeling? Jij hebt een rode badge, ben benieuwd

Voor de rest voledig eens: gebruik een wachtwoordmanager, denk dat een word-doc encrypten en handmatig bijwerken, nog best lastig kan zijn, ik heb het over de echte digibeten, die daar geen zin in hebben, en die zijn denk ik in de meerderheid (en dat mag). Maar een 'dienst' lukt vaak wel.

Armin

Netwerk en systeembeheer

@bskibinski • 24 november 2015 21:25

Dat zijn volgens mij de belangrijkste methodes voor wachtwoorden cracken?

Nee, dat is het punt. De belangrijkste manier van wachtworod kraken is patronen.

Men gebruikt nog steeds brute force voor korte wachtwoorden, cijfers tot 10 tekens, etc en wat woordenboekjes omdat mensen altijd 'Password' etc blijven gebruiken, maar de meest gebruikte methode is patroon gebaseerd.

De afgelopen jaren zijn er zo ontzetttend veel wachtwoorden uitgelekt dat hackers patroon-analyzes kunnen doen. Hun wachtwoord decoders gebruiken die patronen. Dat zijn woorden, stukjes woorden maar ook willekeurig oogende cijfers en letters en leestekens. Zij doen brute frorce maar dan met die patronen zeg maar.

Dus als jij een wachtwoord van MirXyx1966 hebt denk je wlelicht best sterk te zijn. In realiteit blijkt dan dat Mir Xyx en 1966 stukjes zijn die duizenden mensen gebruikt hebben al dan niet samen of los. Mensen gebruiken onbewust ontzettend veel patronen.

Een lange zin is dus niets anders dan een aantal woorden. Elk woord is een 'token' en in feite dus niet moeilijker dan de lengte van de tokens.

Ik vertel het nu simpel, maar het kern-concept is dat hackers de informatie van lekken gebruiken om kansberekening in brute force in te voegen om zo het aantal mogelijkheden terug uit het astronomisch naar het haalbare te brengen. Men slaat de minder voorkomende combinaties over. En alles wat jij ooit bedacht hebt, heeft een ander ook al eens bedacht is het probleem.

Patroon gebaseerd kraken is de meest gebruikte methode anno 2015. Vandaar dat je paronen moet vermijden. Nu is dat lastig, maar voor Tante Truus

is het daarom devies om in ieder geval de meest simpele patronen tegen te gaan.

Ofwel geen Wachtwoord123!, maar liever w!aChtw123oord
Alhoewel voor Tante Truus het probleem is dat dingen al snel moeilijk worden.

Anoniem: 525224 @Armin • 24 november 2015 22:43

Niet om er tegen in te gaan.. goed verhaal.
Maar is vooralsnog dan niet de 'belangrijkste' methode nog steeds de eenvoudigere?

Als je alles in de wereld op een grote hoop neemt.. zijn de brute force pogingen niet effectiever in het algemeen, dan de patroon herkenning.. omdat de meeste systemen achterlopen?
(het is een beetje contextueel in dat geval)
- edit : plus.. niet iedereen zal in staat zijn om het toe te passen.. zal het niet tot een kleinere groep van 'aanvallers' blijven?

Verder vind ik het best interessant na je stuk. Leuke kunstmatige intelligentie. Het meest waarschijnlijke probeer je eerst en uiteindelijk zal het (vermoedelijk) angstvallig snel gaan.
Ik had zelf gedacht, dat het nog niet efficient genoeg zou zijn tegenover de andere methodes.

Alles bestaat uit patronen.

[Reactie gewijzigd door Anoniem: 525224 op 22 juli 2024 19:42]

Armin

Netwerk en systeembeheer

@Anoniem: 525224 • 25 november 2015 00:56

Brute force wordt inderdaad als eerste gedaan. Tegen korte wachtwoorden, iets langer enkel lower-case en nog iets langer enkel cijfers. Binnen een paar korte uren heb je dan het laaghangende fruit te pakken. Idem met woordenboeken.

Daarna begint men direct aan patronen. Dat is geen theorie, dat is de gangbare praktijk al een jaar of 2 a 3. ArsTechnica heeft er ooit al eens iets over geschreven met interviews met echte (white) hackers.

Hoe meer ervaren de hacker, hoe meer die al zijn patroon-database heeft getuned. Elke keer als er een lek komt, is dat err een gelegenheid om verder te tunen.

De grote truc is dan ook vooral zorgen dat jouw wachtwoord significant later gevonden wordt dan de meerderheid. Doorgaans wordt de zaak dan immers te koop aangeboden op een dark forum want tijd dringt. En zodra de eerste accounts gehachkt worden, begint de ontkenning van het getroffen bedrijf, en daarna het in paniek dichtgooien en resetten van wachtwoorden. Of op zijn minst is het in de betere tech media bekend geworden. Jouw wachtwoord hoeft het zeg maar enkel 'vol te houden' tot dat moment.

Anoniem: 525224 @Armin • 25 november 2015 09:43

In de context van dit verhaal..
Heb ik het idee, dat men geen grote heuristics los gaat laten op een WiFi wachtwoord. (volgens mij is heuristics de juiste term?)

Of je moet heel toevallig een bekwaam iemand in de buurt hebben rond lopen.

Conclusie is uiteraard wel, dat het geen goede wachtwoord oplossing is vanuit de overheid, maar om het thuis te gebruiken.. lijkt het risico me nog klein?
Als ze dit toepassen bij belangrijke infrastructuur, dan is het kwalijk. (en het antwoord is daarbij, zonder onderzoek: dat doen ze)

Maar ja.. het is een beetje gemakkelijk om alle "NIX" netwerken uit te kiezen nu.

Armin

Netwerk en systeembeheer

@Anoniem: 525224 • 25 november 2015 17:26

Heb ik het idee, dat men geen grote heuristics los gaat laten op een WiFi wachtwoord.

In principe kan het met elk wachtwoord, maar in deze context gaat het inderdaad vootal om databases die gestolen/gekocht/etc zijn. Immers het doel van de (white) hacker/crimineel is niet dat een specifieke wachtwoord vangen, maar zoveel mogelijk uit een grote database in een zo kort mogelijke tijd.

laptopleon @Armin • 25 november 2015 00:25

Anderzijds kan ik me voorstellen dat het patronenverhaal ook in het voordeel kan werken van tante Truus. Met haar Nederlands is ze wereldwijd zwaar in de minderheid. Patronen die veel voorkomen in de uitgelekte password db's zullen relatief veel Spaanse, Duitse, Engelse, Turkse, Chinese etc patronen bevatten en relatief weinig Nederlandse. Die patronen hangen, behalve met je ta(a)l(en) ook samen met je achtergrond, beroep/vakjargon, taalgebied, herinneringen etc. Uiteindelijk zijn er nog steeds heel veel patronen – veel meer dan lettertekens – en haar combi zou wereldwijd gezien wel eens een stuk minder populair kunnen zijn dan de gemiddelde. Een Amerikaan of Chinees is voorspelbaarder qua patronen omdat er respectievelijk 320 miljoen en 7 miljard van zijn en er ongetwijfeld meer wachtwoorden van zijn uitgelekt, dan van Nederlanders. Het zou dus best kunnen dat haar wachtwoord wereldwijd gezien relatief nog steeds een 'onlogische' / niet voor de hand liggende keuze is.

Armin

Netwerk en systeembeheer

@laptopleon • 25 november 2015 00:30

Met haar Nederlands is ze wereldwijd zwaar in de minderheid. Patronen die veel voorkomen in de uitgelekte password db's zullen relatief veel Spaanse, Duitse, Engelse, Turkse, Chinese etc patronen bevatten en relatief weinig Nederlandse.

Dat is een goed punt, doch overschat dat niet.

Een hacker heeft namelijk vaak verschillende databases afhankelijk van de gekraakte doelgroep. Maar je hebt gelijk dat Lets bijvoorbeeld in het voordeel zal zijn tov Engels.

Maar voor segmenten moet je nietetmin oppassen, want wat jij en ik als een niet bestaande karakterreeks zien, is wellicht een woord in het Italiaans $_/-\o_$

Besef verder dat men subsementen neemt en niet enkel woorden. Die subsegmenten zelf zijn vaak nietszeggend, maar blijken gewoonweg vaak voor te komen in wachtwoorden.

Aetje @Armin • 25 november 2015 08:53

Een wachtwoord als DitIsEenDollarTeken$ is zowel voor bruteforce als patroonherkenning vrij lastig. Maar voor een mens vrij eenvoudig te onthouden.

Armin

Netwerk en systeembeheer

@Aetje • 25 november 2015 17:31

Voor patroon herkenning is het juist een schoolvoorbeeld appeltje-eitje omdat je de hoofdletter elke keer braaf op het eerste letterje van het woord zette

Nee, niet vervelend bedoeld, maar dat wachtworod is echt een klassiek schoolvoorbeeld van een wachtwoord waar patroonherkenning exceleert. Het wachtwoord is maar 6 tokens lang en de woorden zijn ook nog eens vrij gangbare woorden.

Ook zal de term DitIsEen ook best vaak gebruikt worden als onderdeel van een wachtwoord. En het $ teken zal een meer gangbaar leesteken zijn dan laten we zeggen ">" of "`"

kimborntobewild @bskibinski • 25 november 2015 06:17

Dat betekent volgens mij niet dat ze daadwerkelijk een wachtwoordzin gebruiken, maar dat kan ik verkeerd interpreteren.

Mensen willen helemaal geen wachtwoordzin gebruiken; dan ben je elke keer bij het inloggen steeds veel te lang bezig. Voor mijn werk moet ik misschien 30x per dag een wachtwoord intikken. Nou, na 3..4 keer ben je 't al spuugzat. (En dat geldt niet alleen voor mij.)

Beowulff @kimborntobewild • 25 november 2015 12:05

Lange wachtwoorden met veel speciale tekens intikken op je smartphone is nog veel pijnlijker.

kimborntobewild @Beowulff • 25 november 2015 16:19

De smartphone gebruik ik hoofdzakelijk om te... Bellen! Ja, vreemd he..

Ik log er zelden op een acount in.

jpsch @bskibinski • 24 november 2015 23:35

Beste manier schijnt social engineering te zijn.

Anoniem: 28912 @Armin • 25 november 2015 08:15

Daarnaast heeft het voorbeeld in die xkcd strip een 'goed' wachtwoord van alleen kleine letters, dus als je spatie meepakt is dat 27 combinaties tot de macht van het aantal karakters.

ATS @Anoniem: 28912 • 25 november 2015 14:52

Ja, dus? 27^veel is veel groter dan 96^beperkt.

Anoniem: 28912 @ATS • 25 november 2015 16:25

Nee, je moet natuurlijk allebei doen. Waarom zou je een kort wachtwoord moeten hebben?

Waarom niet:
.-/Succ3s%m3tH4cken\-.

Bijvoorbeeld?

ATS @Anoniem: 28912 • 25 november 2015 16:32

Je bent je er wel van bewust dat standaardsubstituties (e->3, a->4) eigenlijk geen extra entropie opleveren toch? Elke cracker kent die en probeert die gewoon.

Anoniem: 28912 @ATS • 26 november 2015 08:23

Ik weet niet welk cracker programma jij gebruikt heb, maar ik denk niet dat John de Ripper dit zo snel gaat vinden:

0 ✓ raspberrypi ~ $ openssl passwd -1 -salt w0t .-/Succ3s%m3tH4cken\-.
$1$w0t$Y4FB7D5p1zHKLSGcggZEX0

aan de voor en achter kan staat een .-/ en een \-. en in het midden staat een % dat verandert nogal welke entropie reeks hem vinden kan.

ATS @Anoniem: 28912 • 26 november 2015 11:14

Ik reageerde op je nogal standaard substituties, niet op je toegevoegde leestekens.

lappro @Armin • 24 november 2015 20:27

en dat desnoods gewoon in een notitieblokje opschrijven.

En dat notitieblokje raken ze vervolgens kwijt (zelfde geldt voor een digitale variant), of ze vergeten het wachtwoord voor het digitale notitieblokje.

Dan zijn ze het zat, maar denken ze toch slim bezig te zijn om 1 zo'n kut random & lang wachtwoord te onthouden en voor alles te gebruiken...

Dan kunnen ze beter wel de "XKCD techniek" gebruiken zodat ze toch meerdere wachtwoorden in omloop hebben die toch nog veilig zijn. Daarnaast denk ik dat jij de zwakte van deze techniek erg overschat. Een aanval waarbij je patroonherkenning gebruikt op het slachtoffer wordt al snel een aanval gericht op een individu. Wanneer je een website hackt en een database dumpje bemachtigd heb je nog lang geen patroon gegevens van al die gebruikers. Wel de hashes van de wachtwoorden.

Wanneer je een potentieel interessante target bent voor een gerichte aanval op jou, dan is het sowieso zaak om je online beveiliging op te schroeven met goede wachtwoord managers. Helaas is die wachtwoord manager voor veel normale internetters nog een te grote stap.

Want zowel een wachtwoord van 14 hele tekens of een "XKCD wachtwoord" vallen natuurlijk in het niet bij de wachtwoorden die je kan genereren (en makkelijk kan beheren) met een wachtwoord manager.

Armin

Netwerk en systeembeheer

@lappro • 24 november 2015 20:40

Dan kunnen ze beter wel de "XKCD techniek" gebruiken zodat ze toch meerdere wachtwoorden in omloop hebben die toch nog veilig zijn

Het msiverstand echter is dat die lange zinnen makkelijk te onthouden zijn. Tenzij ze uiteraard wel heel makkelijk zijn. Maar die slimme trucje som varianties te maken, zijn nu net te moeilijk voor Tante Truus, en bovendien vaak helemaal neit zo onvoorspelbaar als mensen denken.

In de prakltijk is voor Tante Truus zo'n lange zin helemaal niet makkelijk. Die vergeet ze ook. Dus het argument van vergeten is een beetje zwak. En notitieboekjes worden nu net juist niet vergeten.

De enige die lange zinnen gebruiken en adviseren zijn tweakers. En dat zijn nu net diezelfde die ook een password manager kunnen gebruiken. Ik neem aan dat ik inmiddels duidelijk gemaakt heb waarom.

Wanneer je een website hackt en een database dumpje bemachtigd heb je nog lang geen patroon gegevens van al die gebruikers. Wel de hashes van de wachtwoorden.

Probleem is echter dat er altijd een paar websites zijn die of plain-text opslaan of met en MD5 hash of zo. Wachtwoorden lekken uit met in 2014 en 2015 al meer dan een miljard (!) per jaar. Daarvan zitten er talloze tussen die een systeem gebruiken zoals jij beschrijft.

En dat is namelijk de kern. Jouw lange z'on patroon is al lang bekend, inclusief de woorden die jij vaak gebruikt. Simpelweg omdat een andere persoon hetzelfde doet.

Ofwel:
- een lange zin geeft geen betere brutce force bescherming dan een 14 teken wachtwoord
- een lange zin is niet makkelijker te onthouden tenzij het patronen bevat
- die patronen zijn bekend bij de hackers.

Moraal: lange zinnen zijn de moeite niet waard en een doodlopende weg in de strijd tegen hackers.

Anoniem: 525224 @Armin • 24 november 2015 22:34

Ik hanteer zelf de "als ze fysiek binnen kennen komen, zijn ze binnen" tactiek.
Gewoon een plakkertje onderop het ding met het moeilijke wachtwoord.

Ja.. deze raak ik persoonlijk elke keer kwijt.

Peetz0r @Anoniem: 525224 • 24 november 2015 23:06

Ik neem elke dag mijn laptop mee naar school. Honderden mensen hebben dagelijks fysieke toegang tot het apparaat (meestal wel met mijn aanwezigheid, maar toch).

Op de onderkant zit een plakkertje, maar dat is enkel om hem terug te krijgen als ik hem krijt raak (kan het me niet voorstellen). Verder ga ik er juist vanuit dat men fysieke toegang heeft (omdat het zo is), dus ik heb full disk crypto, ik vergrendel mijn laptop als ik alleen al 10 seconden weg ben, en al mijn wachtwoorden allemaal langer dan 20 tekens, gegenereerd door een offline password manager.

Behalve - de ironie - het wachtwoord voor mijn account van de desbetreffende school zelf. Hier is een maximumlengte van 16 tekens van toepassing, en als je toevallig de verkeerde speciale tekens gebruikt dan kan je niet printen. Je moet namelijk eenmalig dat wachtwoord intypen op een crappy onscreen touch keyboard van de printer zelf. Hier missen een aantal tekens zoals & en |. Nu weten jullie welk teken mijn wachtwoord niet meer bevat sinds de tweede wek van mijn studie

Verder kan je geen password manager gebruiken: je moet dit wachtwoord ook gebruiken voor je digitale tentamens, waarbij je natuurlijk niet je eigen laptop of smartphone bij de hand kan/mag houden tijdens het inloggen.

Door bovenstaande redenen is het wachtwoord dat ik vor schoolzaken moet gebruiken een van de zwakste wachtwoorden die ik heb. Tegelijkertijd ook een van de belangrijkste. Met dit wachtwoord is het mogelijk om mijn tentamens ongeldig te maken, namens mij mail te sturen naar docenten en mede-studenten, etc.

[Reactie gewijzigd door Peetz0r op 22 juli 2024 19:42]

Armin

Netwerk en systeembeheer

@Peetz0r • 25 november 2015 00:49

Hier is een maximumlengte van 16 tekens van toepassing, en als je toevallig de verkeerde speciale tekens gebruikt dan kan je niet printen

Een potentiele oplossing is laat Microsoft of Google een zogenaamd app-password genereren. Deze zijn computer gegenereerd 16 a 20 tekens lang en dus echt random en toch enkel kleine letters. Stop het dan in je portemonee. Na een week of twee ken je het bovendien uit je hoofd.

Als je echt paranoide bent gebruik je een dobbelsteen om 1 a 2 letters te veranderen in een leesteken

En als je nog meer paranoide bent, verander je het elke maand $_/-\o_$

Peetz0r @Armin • 25 november 2015 01:46

App-pasword? Microsoft of Google? Wat hebben die met het loginsysteem van mijn school te maken?

En een briefje in de portemonnee is zinloos - als ik briefjes raadpleeg tijdens tentamens kan ik net zo goed meteen dat wachtwoord op mijn voorhoofd schrijven en/of me uitschrijven voor die opleiding.

Armin

Netwerk en systeembeheer

@Peetz0r • 25 november 2015 01:58

Wat hebben die met het loginsysteem van mijn school te maken?

Omdat dat goede wachtwoorden zijn zonder leestekens. Het lost dus alle compatibilietitsproblemen op.

En een briefje in de portemonnee is zinloos

"Na een week of twee ken je het bovendien uit je hoofd"

SpiceWorm @Peetz0r • 25 november 2015 10:58

Je vergeet de fysieke keylogger.

Peetz0r @SpiceWorm • 25 november 2015 13:20

Er kan sowieso een keyloggen op die tentamen-pc's aanwezig zijn. Geen enkele manier (voor de student) om dat te checken ook...

Frenziefrenz @Peetz0r • 24 november 2015 23:31

Door bovenstaande redenen is het wachtwoord dat ik vor schoolzaken moet gebruiken een van de zwakste wachtwoorden die ik heb. Tegelijkertijd ook een van de belangrijkste. Met dit wachtwoord is het mogelijk om mijn tentamens ongeldig te maken, namens mij mail te sturen naar docenten en mede-studenten, etc.

Doet me denken aan zo'n 6 jaar geleden toen ik nog DigiD had…

Megamind @Armin • 24 november 2015 22:55

Gaan we weer inderdaad. Ga eens inlezen met entropie voordat je blaat.

Armin

Netwerk en systeembeheer

@Megamind • 25 november 2015 00:27

De entropie is nu net hetgene wat ervoor zorgt dat langere wachtwoorden dan de hash-lengte weinig tot geen zin hebben. $_/-\o_$

Anoniem: 690985 @Armin • 26 november 2015 08:47

Jij hebt een speciaal oud systeem dat nog met 12 karakter hashes werkt?

Volgens mij hebben niet veel mensen een wachtwoord langer dan 30 karakters.
Aangezien je het hier over hash-lengte begint.

Donderr @Armin • 24 november 2015 23:46

Dropbox heeft er een paar jaar geleden een goed artikel over wachtwoorden geschreven waarin de befaamde XKCD strip als voorbeeld wordt gebruikt.: https://blogs.dropbox.com...word-strength-estimation/.

Hun stellen in hun artikel een probleem aan de kaak waar veel online website tegenwoordig nog mee kampen: het slecht adviseren van mensen wanneer er een wachtwoord gekozen moet worden. Zoals een maximaal aantal tekens verplichten. Ik heb hun password check tool ook wel vaak gebruikt om een wachtwoord te genereren.

SpiceWorm @Armin • 25 november 2015 10:45

1) Heb je een onderzoek wat dit onderbuikgevoel aantoont?

2) Ik geloof niet dat je op afstand 4 semi-willekeurige woorden kan voorspellen zo ver is de kunstmatige intelligentie nog lang niet.

3) Heb je wel eens een echt wachtwoord in de praktijk gehacked? Je weet er van te voren zo weinig over, de kans is groter dat het wachtwoord in de 1-10 karakterspace zit aangezien de meeste mensen makkelijke wachtwoorden gebruiken. Die ruimte duurt al tijden om te brute-forcen (als je een specifiek wachtwoord wil hebben, succes!). Laat staan dat je dan de combinaties 3,4 of zelfs 5 woorden (Engels? Nederlands? Duits? Frans? Verbasteringen?) met hoofdletters, leestekens of cijfers gaat uitproberen.

4) Vergeet niet dat er een verschil zit tussen een gerichte aanval op één user waarbij je alleen succes hebt als je het wachtwoord van die user hebt en een aanval op een wachtwoordenlijst waarbij je succes hebt als je 20-50% van de wachtwoorden geraden hebt. Die eerste is veel moeilijker.

5) 4 woorden als wachtwoord lijkt me toch veel veiliger dan je geboortedatum ofzo.

6) De meeste computers worden 'gehacked' omdat de users rommel installeren en dat er een keylogger mee komt. Een wachtwoord van 30 leestekens hoef je niet te kraken als je een keylogger hebt geïnstalleerd.

[Reactie gewijzigd door SpiceWorm op 22 juli 2024 19:42]

3raser @Armin • 25 november 2015 11:03

Kan tante Truus niet beter een soort van salt gebruiken in haar wachtwoord. Stel, haar wachtwoord is "CorrectHorseBatteryStaple" (met hoofdletters om het al iets moeilijker te maken). Die onthoud ze uit haar hoofd. Vervolgens gebruikt ze een kladblok om salt toe te voegen aan dat wachtwoord voor bijvoorbeeld e-mail of social media. Op haar kladblok staat dan:

E-mail: 9x$V2%
Facebook: k@3$W1

Die voegt ze bij de betreffende diensten aan haar eigen wachtwoord toe. Zo heb je een sterk wachtwoord waarbij je slechts een deel zelf hoeft te onthouden.

martijn2008 @Armin • 24 november 2015 20:06

Ik vertrouw Word als veilig opslagplaats voor geen meter. https://www.google.nl/sea...ei=H7VUVrW4PIWc-wbjoYHwCg

[Reactie gewijzigd door martijn2008 op 22 juli 2024 19:42]

Armin

Netwerk en systeembeheer

@martijn2008 • 24 november 2015 20:13

Edit protection is wat anders dan password protection met encryptie.

Het eerste een een kunstmatige restrictie. Immers, je kunt ook gewoon copy-paste doen. Het is meer een bescherming tegen per ongeluk wijzigen en verbaast me niets dat het te wijzigen is. Immers het document zelf blijft onversleuteld, dus je kunt de binaire blobs gewoon wijzigen/verwijderen.

Password protectie met encryptie is een échte bescherming die 128bit AES versleuteling gebruikt. Dan is het bestand zelf een onleesbare brij van karakters.

horizon1978 @Armin • 24 november 2015 19:28

Dus anti-patroon resulteert tegenwoordig in wachtwoord vier keer nul.

_Arjen_ @horizon1978 • 24 november 2015 19:52

Of gewoon 0, want wie zou het nu in zijn hoofd halen die te gebruiken

WhizzKid-Eddy @Armin • 24 november 2015 21:40

Die je vervolgens weer met bruteforcing kunt kraken, schiet niet op hè...?

Cergorach @SanderH_ • 24 november 2015 18:39

Hoewel erg leuk, niet correct. dat is niet 2⁴⁴ maar 250.000⁴...

Chaos101 @Cergorach • 24 november 2015 19:14

xkcd kiest 2^11 als 'hoeveelheid veelvoorkomende woorden'. Jij kiest 250000.

Daarnaast is 250 000^4 > 2^44.

[Reactie gewijzigd door Chaos101 op 22 juli 2024 19:42]

eheijnen @SanderH_ • 24 november 2015 19:53

Super advies !!! ....

Als de hele / halve buurt daaraan meedoet hoe kan je dan nog je eigen wifi-netwerk van de anderen onderscheiden?

Wachtwoorden lijkt me verder duidelijk....

zoutepopcorn @eheijnen • 25 november 2015 07:58

Ja, ik was er toevallig eerder met ander project mee bezig
http://forum.thethingsnet...id-the-things-network/559

Je zou je nickname er achter kunnen zetten, anders is niet handig.

Of je mobiel als hotspot

Maar om de overheid mijn WW te laten bepalen. Ik dacht het niet!!

[Reactie gewijzigd door zoutepopcorn op 22 juli 2024 19:42]

Anoniem: 28912 @SanderH_ • 25 november 2015 08:11

Deze strip is fout!

Doet allemaal rare aannames over ingewikkelde wachtwoorden.

- Cijfer en Karakter moet achter aan staan.
- Moet 1 enkel zeldzaam woord gebruikt worden.
- Eerste karakter kan alleen eventueel een hoofdletter zijn.

Aantal combinaties van het complexe wachtwoord neemt zo rap af en die wordt dan gebruikt voor de berekening die de redenatie ondersteund.

Greyish 24 november 2015 18:37

Misschien is het met opzet zo gedaan zodat de jongeren de tijd zullen besteden aan het kraken van het wifi-wachtwoord in plaats van drinken...

Ik snap trouwens niet waarom dit deel zou uitmaken van de NIX campagne, of eerder waarom de wifi-hotspots überhaupt een wachtwoord nodig hebben als ze voornamelijk in een publieke omgeving (horeca, sportclub cq waar gedronken kan worden door jongeren die waarschijnlijk toch wel het wachtwoord krijgen) staan. Want wanneer er een wachtwoord vereist is, gaat de gemiddelde wifigebruiker op zoek naar een 'open', zonder wachtwoord vereiste hotspot. Dus zal de impact niet zo groot zijn, toch?

[Reactie gewijzigd door Greyish op 22 juli 2024 19:42]

10 feet high @Greyish • 24 november 2015 19:24

Natuurlijk gaat dit geen impact hebben. Het is een bewustzijnscampagne over drink- en rookgedrag, voornamelijk bij jongeren. Het is absoluut geen campagne "verander je wachtwoord en je bent veilig".

Als een campagne dan ook nog eens op nieuwssites wordt opgepikt (wat hier dus het geval is) en je sowieso goed bezig.

Greyish @10 feet high • 24 november 2015 20:32

Ah ja, dat is wat ik bedoelde met impact. Je ziet in de club of het café een ssid van NIX18, die niet open is. Dan zal je daar dus heel weinig (geen) aandacht aan besteden en zal dus helemaal geen impact hebben op de jongeren.

Je wilt met een campagne de jongeren ergens mee confronteren oid zodat ze denken "ohja, NIX18", maar ik denk dat hier veel te snel overheen gekeken wordt om m'n eerder genoemde reden.

Ubartu @Greyish • 24 november 2015 19:50

Ha! Of een stiekeme campagne van de AIVD. Eenvoudige achterdeur om bij veel mensen op het netwerk te kunnen spioneren.

RadioKies @Ubartu • 24 november 2015 21:35

AIVD heeft gekeken naar de belastingdienst maar dan net wat anders?
AIVD: Makkelijker kunnen we het niet maken, wel leuker!

eheijnen @Greyish • 24 november 2015 20:01

Kan ook zijn dat de AIVD achter deze campagne zit.
Deze campagne maakt WIFI netwerken natuurlijk wat toegankelijker....

Keypunchie 24 november 2015 18:43

Uhhh. Die "overheidscampagne" is ludiek bedoeld. Dat moet je toch niet serieus nemen?

Dit is een humoristisch voorstel, bedoeld om het onderwerp bespreekbaar te maken tussen ouders en kinderen. Niet om serieus te doen. Of op zijn hoogst als grap voor een dag...

Maar goed, als nerds zijn we soms wat autistisch ingesteld: niet letterlijk dit doen, mensen.

Het is geen serieus bedoeld ICT-advies (en ik maar de hele tijd horen dat de nieuwe generatie 'digital natives' zijn. Dan zou je wel kaf van koren moeten kunnen scheiden)

WhatsappHack

Netwerk en systeembeheer
Wachtwoord

@Keypunchie • 24 november 2015 18:51

Denk dat je de verkeerde insteek hebt hier. Wij als nerds zien dit als probleem, en jij denkt als nerd kennelijk dat het ludiek is en misschien is dat wel zo bedoeld. Feit blijft echter dat dit op de site zo staat, en mensen werkelijk aanraadt dit te gaan doen. Als jij geen flauw benul hebt van hoe de boel werkt en van security, dan neem je dit heel erg snel serieus en doe je vrolijk mee...

Keypunchie @WhatsappHack • 24 november 2015 19:27

Het toont gewoon aan dat sommige mensen alles geloven, en dit soort dingen misschien leuk lijken maar eigenlijk vervelende gevolgen kunnen hebben!

In de praktijk op zijn hoogst dat de buurjongen op je WiFi meelift.

Feit blijft echter dat dit op de site zo staat, en mensen werkelijk aanraadt dit te gaan doen. Als jij geen flauw benul hebt van hoe de boel werkt en van security, dan neem je dit heel erg snel serieus en doe je vrolijk mee...

Als je geen benul hebt van security, ga je dit ook niet doen. Je hebt immers geen benul hoe het werkt. Daarnaast was je WiFi waarschijnlijk al slecht beveiligd.

Serieus, hoeveel mensen gaan dit doen, denken jullie? Realistisch gesproken stellen de security-risico's hiervan daarmee NIX voor.

WhatsappHack

Netwerk en systeembeheer
Wachtwoord

@Keypunchie • 24 november 2015 19:52

"Als je geen benul hebt van security, ga je dit ook niet doen. Je hebt immers geen benul hoe het werkt. Daarnaast was je WiFi waarschijnlijk al slecht beveiligd."

... Juist wel gaan ze dat dus wel doen, want die hele campagne gaat niet over beveiliging, maar over het aansporen van je kind om geen alcohol te drinken en niet te paffen; niet om een veiliger WiFi wachtwoord in te stellen.

Keypunchie @WhatsappHack • 24 november 2015 21:27

Durf ik best op te wedden.

In Februari mag jij eeneen wilekeurige G25-gemeente kiezen, bepaal ik de woonwijk, en gaan we een uur wardriven en het aantal SSIDs dat op "NIX" staat tellen.*

Van mij krijg je dan een goede fles als het er meer dan NIX zijn. (Nou ja, meer dan 2, want er zijn vast wel wat Tweakers in zo'n wijk die het ironisch doen. Maar no way dat dit massaal gekozen als SSID wordt.) Wat krijg ik van jou?

*En voor de grap dat vergelijken met het aantal SSIDs dat Ziggo, HNxxx of KPN heet...

[Reactie gewijzigd door Keypunchie op 22 juli 2024 19:42]

Biersteker @Keypunchie • 24 november 2015 20:17

In de praktijk op zijn hoogst dat de buurjongen op je WiFi meelift.

Toch wel iets meer dan dat alleen hoor.

Een MitM attack zet je vrij simpel op, zelfs vanuit een smartphone.

Ubartu @Keypunchie • 24 november 2015 19:47

Het is inderdaad te hopen dat mensen hier niet aan meedoen, en gezien de effectiviteit van de meeste overheidsreclames is dat ook zo.

Maar dat alleen de buurjongen op je WiFi meelift vindt ik wel een onderschatting van het mogelijke probleem. Wat als de 'buurjongen' in kwestie die bandbreedte gebruikt voor illegale praktijken zoals kinderporno, illegaal uploaden en downloaden, beramen van aanslagen, noem het maar op.
Of ook niet best, wat denk je van de 'buurjongen' die op zoek gaat naar methoden om naaktfoto's van zijn buurmeisje op te sporen? Wachtwoorden onderscheppen, internetverkeer herleiden via zijn computers.

En juist als je geen benul hebt van security vind je dit dus een goed idee. En volg je de handleiding die de overheid aan je levert. Fijn!

oef! @Keypunchie • 24 november 2015 19:18

De nieuwe generatie digital natives? Puntje voor de persoon die dat bedacht heeft. Als je alleen al op Tweakers in de reacties kijkt bij gebruikers met 'moderne' namen of een jaartal achter de gebruikersnaam dan wordt die stelling al direct ontkracht. Een ROM kunnen flashen of een router configureren maakt je echt geen goeroe. Ik vermoed dat de digital natives dezelfde groep is als 20 jaar geleden, een relatief klein groepje nerds en freaks.

My Tec Master @Keypunchie • 24 november 2015 18:50

Humor en beveiliging gaat niet goed samen. Ik zie elke dag op Facebook nog allerlei mensen dingen sharen zoals : bij een overval tijdens het pinnen je pincode achterstevoren intypen om het alarm af te laten gaan. Of vandaag nog: Microsoft heeft zojuist aangekondigd dat er een super virus is ,waardoor je pc meteen kapot gaat. Open deze dingen niet bla bla bla.

Het toont gewoon aan dat sommige mensen alles geloven, en dit soort dingen misschien leuk lijken maar eigenlijk vervelende gevolgen kunnen hebben!

Anoniem: 126717 @My Tec Master • 24 november 2015 20:03

bij een overval tijdens het pinnen je pincode achterstevoren intypen om het alarm af te laten gaan.

Toevallig had ik er daar een van op het werk gister. Dus ik zei tegen hem dat mijn pincode 0000 was, hoe doe ik dat achterstevoren? De conversatie stokte een beetje.

Ik houd het op random wachtwoorden en doe absoluut niet mee met dit soort onzin. Afgezien van het feit dat ik ruim boven de 18 ben en dit voor mij niet belangrijk is moet ik dan meerdere apparaten opnieuw instellen. Mijn SSID is op meerdere plaatsen dezelfde, inclusief als ik de telefoon als WiFi punt instel, zodat ze altijd verbinding maken.

FreshMaker @Anoniem: 126717 • 25 november 2015 02:02

[...]

Toevallig had ik er daar een van op het werk gister. Dus ik zei tegen hem dat mijn pincode 0000 was, hoe doe ik dat achterstevoren? De conversatie stokte een beetje.

Je hebt toch niet de juiste volgorde verteld mag ik hopen ?

laptopleon @My Tec Master • 25 november 2015 00:28

Op zich wel een idee om iets in te bouwen waarmee je ongemerkt 'stil' alarm kunt slaan, zonder dat de overvaller het kan zien.

P_Tingen @laptopleon • 25 november 2015 09:34

Dit gebeurt al.

Sommige winkels hebben een kluis met een toegangscode. Als je die opent en je toetst een extra "1" in, dan gaat het alarm af en wordt de meldkamer gewaarschuwd. Dit kan gebruikt worden om tijdens een overval toch stilletjes alarm te slaan.

My Tec Master @laptopleon • 25 november 2015 10:11

Klopt voor geldautomaten zou dat prima kunnen, alleen dan moeten mensen bijvoorbeeld twee codes onthouden. 1 normale pincode, en 1 distress code. Dacht dat hetzelfde principe wordt gebruikt op alarm systemen, de distress code werkt wel maar laat een stil alarm af gaan.

iTeV 24 november 2015 19:16

Kunnen ze gelijk een campagne over veilige (WiFi)Wachtwoorden er achter aan gooien..

90710 @iTeV • 24 november 2015 19:43

Of voor betere ICT binnen de overheid. Want dat is echt NIX.

eheijnen @iTeV • 24 november 2015 20:05

Weer een ander ministerie adviseert heel iets anders:
https://veiliginternetten...-wifi-netwerk-beschermen/

WhatsappHack

Netwerk en systeembeheer
Wachtwoord

24 november 2015 18:25

Klopt. Moest ook al lachen toen de reclame op TV kwam, maar die op de radio was helemaal bizar.
Iedereen aanraden om het SSID en het wachtwoord aan te passen. Dan wordt het wel heel erg makkelijk!
Geeft wardriven weer een nieuwe impuls, immers hoef je geen eens moeite te doen om er in te komen; en de mensen die de naam van het netwerk wel hetzelfde houden: daar ben je ook met 1 poging binnen.

Wat ook best grappig is, is dat als mensen hetzelfde WiFi SSID en wachtwoord instellen in bijvoorbeeld een woonwijk, dat je best nog eens kans hebt dat WiFi apparaten gaan roamen op verschillende netwerken van de buren; waardoor je de hele tijd gelazer krijgt. Ook kan het best zo zijn dat je netwerk drive/gedeelde mappen (die laatste is wat bekender bij algemene gebruikers) dan opeens bij de buren zichtbaar wordt. Zit je dan met je Backdoor Sluts 9.

Ja leuk dit soort grappen van de overheid. Maar het is al vaker gezegd: de overheid en IT... Afijn.

Solomon @WhatsappHack • 24 november 2015 18:33

Ik denk dat je het artikel niet goed hebt begrepen. De wachtwoorden zijn niet identiek, verschillende letters worden gesubstitueerd. De variaties zijn echter te beperkt waardoor er te weinig diversiteit in wachtwoorden is.

aadje93 @Solomon • 24 november 2015 18:38

ik denk dat ie het wel gelezen heeft, nu is een wifi hotspot met de naam NIX in luttle minuten gekraakt, waar dat eerst "uren" kon duren

*gaat zijn "niet aangesloten" wifi router ook maar nix noemen en de logs is goed in de gaten houden*

[Reactie gewijzigd door aadje93 op 22 juli 2024 19:42]

Maarten21

@WhatsappHack • 24 november 2015 18:36

Jij denkt volgens mij dat alle wachtwoorden hetzelfde zijn. Dit is dus niet zo.

tobitronics @Maarten21 • 24 november 2015 18:41

Echter als iedereen in een straat dezelfde SSID heeft zal een toestel constant trachten verbinding te maken. Indien het WW van de eigenaar hetzelfde is als dat van de buren beland je dus op elkaars netwerk, zijn de WW verschillend dan gaat je telefoon alsnog constant zeuren dat je password niet goed is terwijl je gewoon in je eigen huis zit

WhatsappHack

Netwerk en systeembeheer
Wachtwoord

@Maarten21 • 24 november 2015 18:47

Het ligt eraan waar je kijkt denk ik.
Op de site is het random. Echter, als je naar de radioreclame luistert krijg je snel het idee dat er gesuggereerd wordt dat je je wachtwoord naar "NIETROKENENNIETDRINKEN" moet instellen. (Zonder variatie)

Als men de boel daarin gaat veranderen, en dus die hele website links laten liggen, krijg je dus mensen die allemaal "NIX18" en "NIETROKENENNIETDRINKEN" als wachtwoord hebben.
Ook de TV reclame kan deze suggestie werken.
Ze suggereren in de radio reclame dat ook scholen e.d. dit moeten gaan doen.

Dat was 't probleem. Dat die wachtwoorden van de site "random" zijn is weer een ander verhaal natuurlijk, maar gezien je weet hoe deze random berekend wordt kan je met een behoorlijke mate van simpliciteit zo het juiste wachtwoord raden. Zal niet langer dan enkele minuten duren.
Maar dat legt het artikel ook al uit natuurlijk.

[Reactie gewijzigd door WhatsappHack op 22 juli 2024 19:42]

pim 24 november 2015 18:59

In de broncode van de website staat:



Iemand heeft deze tekst op de website geschreven
*De combinaties die we genereren zijn volledig random. Deze wachtwoorden zijn lang en niet makkelijk te raden, maar geen enkel WPA2 wachtwoord is niet te kraken.

Benieuwd waarom de programmeur deze fout maakte.. Hij ging er vanuit dat een lang wachtwoord goed genoeg was, zonder het rekensommetje te doen?

Niemand_Anders @pim • 24 november 2015 19:29

Zij schrijven random, maar bedoelen schuffle mode. Vergelijk het met de schuffle mode van je iPod. De tracks worden alleen in een andere volgorde gezet, echter de lengte van de playlist blijft gelijk. Random data bevat clusters, echter wij mensen verwarren gelijkmatig verspreid vaak met random.

Ze noemen het niet random, ze noemen het zelfs 'volledig random'. Deze programmeur mag direct zijn diploma inleveren en nooit meer in zijn leven een computer aanraken!

Mocro_Pimp® @Niemand_Anders • 24 november 2015 20:22

En niet te vergeten een taalcursus. 'Random' is in het Nederlands gewoon nog steeds 'willekeurig'. En dit op een website van de 'Nederlandse' overheid...

Anoniem: 304426 24 november 2015 18:26

Dit is wel echt heel slordig. Iedereen ziet toch al aankomen dat dit soort wachtwoorden niet veilig zijn? Zelfs als leek op het gebied van wachtwoorden kan je toch even een consult van een kwartiertje inboeken om hier zekerheid over te hebben?

Rey Nemaattori @Anoniem: 304426 • 24 november 2015 23:29

Dit is wel echt heel slordig. Iedereen ziet toch al aankomen dat dit soort wachtwoorden niet veilig zijn? Zelfs als leek op het gebied van wachtwoorden kan je toch even een consult van een kwartiertje inboeken om hier zekerheid over te hebben?

Denk je?
Ik kreeg laatst een verzoek een account aan te maken met wachtwoord "start123".
Ik sputterde tegen, maar 't tegenargument was: "Jaaaa, maar de user dan toch 't password veranderen als hij de eerste keer inlogt?"

Ik durf te wedden dat ik binnen een week een incident voorbij zie komen van die user die zijn nieuw ingegeven pass is vergeten(want dan moet je wel hoofd/kleine letter, cijfers, bloed van een maagd en special chars hebben).

Fosfor 24 november 2015 18:27

Ow maar 4.194.304 combinaties. Da's altijd sterker dan 95% van alle vooraf ingestelde routers van menig provider.

Jaahp @Fosfor • 24 november 2015 18:52

Of het kraken nou 5 minuten of 5 seconden duurt... Daarnaast weet je nu meteen dat het kan als je een SSID NIX voorbij ziet komen, als het breed gebruikt gaat worden komen er nog wel gespecialiseerde scripts in omloop.

Ircghost 24 november 2015 18:27

Dit is echt te beschamed voor woorden dat dit naar voren gebracht kan worden als iets vanuit de Nederlandse Overheid. De coder die dit stukje tekst heeft geschreven heeft hopelijk heel erg hard lopen protesteren toen hij dit stukje code schreef.. Zo niet dan mag hij of zij zich even hard achter de oren krabben!

Hopelijk wordt de password generatoor morgen meteen offline gehaald totdat er een nieuwe code is. Ik zie het al voor me; tienduizenden mensen die het wachtwoord veranderd hebben met een duidelijk herkenbare SSID die voor de aankomende tijd niet hun wachtwoord wijzigen omdat ze denken dat ze door de overheid aangeraden sterk wachtwoord hebben!

majoh 24 november 2015 18:29

Het was al een belachelijke reclame, want zeg nu zelf. Hoe vaak zeg je je wifi wachtwoord tegen iemand. En wat heeft dat sowieso met niet roken te maken.

Maar dat ze dan ook nog slecht IT advies erbij geven gaat natuurlijk nergens over...

Bestaat de Gouden Eikel voor de slechtste reclame nog?

Op dit item kan niet meer gereageerd worden.

Overheid adviseert zwak wifi-wachtwoord bij NIX18-campagne

Lees meer

IT-banen

Reacties (174)

Sorteer op:

Weergave: