NIST-medewerker achter huidige wachtwoordeisen heeft spijt van zijn werk

De man achter veelvoorkomende wachtwoordeisen, zoals het gebruik van hoofdletters en speciale tekens, heeft gezegd spijt te hebben van zijn aanbevelingen. Hij schreef deze als medewerker van het Amerikaanse NIST, toen er nog niet veel informatie over het onderwerp was.

Bill Burr schreef de NIST Special Publication 800-63.Appendix A in 2003, aldus The Wall Street Journal. In die publicatie legde hij eisen vast zoals het regelmatig veranderen van wachtwoorden. Deze publicatie heeft uiteindelijk veel invloed gehad op de manier waarop organisaties met het aanmaken van nieuwe wachtwoorden omgaan, schrijft de krant. De nu gepensioneerde Burr zegt dat hij spijt heeft van veel dingen die hij toen heeft gedaan.

Toen de NIST-medewerker aan zijn aanbeveling begon, wilde hij zich baseren op daadwerkelijke wachtwoorden. Het lukte hem echter niet om zijn collega's zover te krijgen om NIST-wachtwoorden met hem te delen. Daarom maakte Burr voornamelijk gebruik van whitepapers uit de jaren tachtig. Hij ziet in dat zijn aanbevelingen uiteindelijk niet werkten. "Mensen worden er gek van als ze geen juist wachtwoord kunnen bedenken, wat ze ook proberen."

Een ander probleem is dat de regels tot gevolg hebben dat mensen wachtwoorden bedenken die eenvoudig te kraken zijn. Beveiligingsonderzoeker Troy Hunt publiceerde onlangs een grote database met wachtwoorden die al in een uitgelekte dump zijn voorgekomen, zodat organisaties bijvoorbeeld een zwarte lijst van verboden wachtwoorden kunnen hanteren.

Inmiddels heeft NIST zijn aanbevelingen van een update voorzien, waarbij niets van het bestaande werk is gebruikt. De nieuwe regels stellen bijvoorbeeld geen limiet meer aan de levensduur van een wachtwoord en bevatten geen eisen meer om speciale tekens te gebruiken. In plaats daarvan beveelt het document lange, eenvoudig te onthouden passphrases aan.

IT-banen

Reacties (209)

209

206

142

Wijzig sortering

Verwijderd 8 augustus 2017 10:49

Voor geïnteresseerden, de nieuwe richtlijnen staan hier beschreven.

complexiteit moet in lijn zijn met het menselijk vermogen om wachtwoorden te onthouden
wachtwoordlengte is niet heel belangrijk als goede hashes met random salts worden toegepast
gekozen wachtwoorden moeten gecheckt worden tegenover een blacklist

M2M @Verwijderd • 8 augustus 2017 14:40

En vervolgens kalk je het wachtwoord op een geel briefje en hang je het aan je beeldscherm. Naast alle andere wachtwoordbriefjes want je hebt niet 1 wachtwoord, maar voor elke poep en scheet wel eentje. En het mooiste is dat je elke maand een nieuw exemplaar moet verzinnen.

Verwijderd @M2M • 8 augustus 2017 14:43

Exact, maar dat willen ze met de nieuwe richtlijnen dus tegengaan. Geen idiote eisen aan de complexiteit, lengte en geldigheid van het wachtwoord.

evilution @M2M • 8 augustus 2017 16:04

Je hebt maar één password dat je moet weten en dat is de inlog van je computer. Moet te doen zijn (maandjaar! voldoet meestal). Met de rest van je passwords hang je je desktop vol met Outlook notes, voor ieder één, in een andere kleur

Akufen @M2M • 9 augustus 2017 15:12

Daarom staat er in de nieuwe richtlijnen ook dat paswoord managers aanbevolen zijn en wordt het vervallen van wachtwoorden na x aantal maanden afgeraden.

Verwijderd @Verwijderd • 8 augustus 2017 18:38

Merkwaardig dat we voor onze bankpas een pin van 4 cijfers (9.999 combinaties) voldoende vinden, maar dat het bij een wachtwoord ineens heel complex of lang moet zijn. Laten we wel wezen: als de beveiliging op de server niet deugt maakt het niet echt uit. En als je op een site 3 keer je vergist wordt je geblokkeerd. Ik ben inmiddels ettelijke wachtwoorden van sites vergeten, waar ik nooit meer kom. Fijn dat daar mijn 'sterke' wachtwoorden nog bekend zijn.

Halverwege mijn loopbaan, 20 jaar geleden, was dit soort advies nog te begrijpen. Inmiddels is het totaal achterhaald door nieuwe best practices.
Beheerders moeten zorgen dat ze hun zaakjes op orde hebben en dat is een heel ander verhaal..

Eric Oud Ammerveld @Verwijderd • 8 augustus 2017 20:25

Tegenwoordig zijn er nog steeds mechanismen om als user root access te verkrijgen.
Het wordt wel meer en eer complex.

Wachtwoorden zijn oud, eens maar -helaas- nog niet echt achterhaald.
Biometrische gegevens wijzigen niet, wat eigenlijk een beroerd geval is indien compromised.
2 factor lijkt het nieuwe "wachtwoord" en gebruik maken van een password manager ook.
Certificaten vind ik zelf prettig werken, maar ook dat is niet een goede vervanger..

StefanJanssen @Eric Oud Ammerveld • 9 augustus 2017 20:45

Biometrische gegevens kunnen wel gewijzigd worden. Als ik 2 dagen met mijn vader werk (aannemer) dan heb ik geen vingerafdruk meer en zal mijn vingerafdrukscanner mijn vinger dus niet meer herkennen.
Door een ongeluk kan je gezichtsstructuur drastisch veranderen.

Je iris zal vast ook wel te wijzigen zijn. Misschien al als je een (kleuren)lens in je oog stopt?

Eric Oud Ammerveld @StefanJanssen • 12 augustus 2017 12:45

Ik snap wat je bedoelt; ik doel meer op het feit dat je om de week / maand / jaar op eigen initiatief een ander wachtwoord kan produceren.
Nu kun je ook op biometrisch vlak aan de gang gaan, maar dat heeft in de regel gevolgen voor hoe je er uit ziet.

Het is minder "praktisch" om dat vanuit voorzorg te doen.

Ook is het lastig om het "delen" er van uit te zetten.
Als iemand een foto van je iris zou kunnen maken op afstand met een camera en mogelijk een kloon kan maken, is dat lastig tegen te gaan.

StefanJanssen @Eric Oud Ammerveld • 12 augustus 2017 23:22

Ah, ik had je bericht niet goed gelezen. Klopt inderdaad wat je zegt

sven wiltink @Verwijderd • 8 augustus 2017 22:42

Ware het niet dat er voor het gebruiken van een bankpas nog een fysieke laag van beveiliging is. Je kan de pas immers alleen gebruiken als je hem in je handen hebt.

totaalgeenhard @Verwijderd • 8 augustus 2017 21:15

RAINBOW TABLES?

Je hoeft combinaties maar 1 keer voor een oneway algoritme heen te halen en je houd dan eem bestand met hashes over.

Genereren van alle combinaties van 50 letters lang kost eenmalig heel veel tijd.

Maar het matchen van hash met zogenaamde rainbowtable zal geen minuten duren.

Salts hebben alleen zin indien ze geen toegang hebben gehad...

Verwijderd @totaalgeenhard • 8 augustus 2017 21:44

Rainbow tables werken niet zodra er willekeurige salts zijn gebruikt. En als het hashing algoritme intensief genoeg is, is het niet haalbaar om een redelijk wachtwoord binnen afzienbare tijd te kraken, zelfs niet als je de salt hebt. En al zou het nuttig zijn, dan is een rainbow table genereren met bijvoorbeeld bcrypt ook geen pretje.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 14:00]

totaalgeenhard @Verwijderd • 8 augustus 2017 21:57

In theorie zou je voor elke salt een rainbow table kunnen aanleggen, compute time + opslag zijn de limieten.

Dus zonder de salts te hebben (maar wel de hash + gebruikte algoritme) zou je in theorie al wachtwoord kunnen terug halen en misschien zelfs nog wat collisions (met andere hash.)

Vergeet niet to compute time is meer kwestie van geld dan tijd. Je kunt van grafische kaarten tot tijd in cloud time huren. Of old school super computer hacken... (wat ook in Nederlander weleens voor deze toepassing is gebruikt).

Als je in de praktijk gaat kijken zie je dat bcrypt voorzover ik weet nergens standaard bij een OS is geïnstalleerd.

jetibest @totaalgeenhard • 9 augustus 2017 11:02

Cryptografie is altijd een kwestie van tijd en resources.

totaalgeenhard @jetibest • 9 augustus 2017 14:34

Nee helemaal.

Tijd heeft geen rol van betekenis.

Jelv 8 augustus 2017 09:41

Een sterk wachtwoord die je kan onthouden voor een wachtwoordmanager met een uniek wachtwoord (en soms username) per site. Dit gecombineerd met een goed backup beleid van die database en het wachtwoord is mijn oplossing.

Voor mij maakt dat 1Password een fijne password manager. Met Watchtower krijg je een alert als een site niet meer veilig is, zoals de betere sites zelf al doen. Plus een overzicht met dubbele en oude wachtwoorden om aan te passen.

Een manager heeft ook als voordeel dat je een overzicht hebt van je oude wachtwoorden en wanneer je ze gewijzigd hebt. Vooral handig als er weer eens een database lekt.

Net als de 1Password voor Mac krijgt 1Password 7 voor Windows ook weer standalone vault ondersteuning als je geen fan bent van hun cloud oplossing.

[Reactie gewijzigd door Jelv op 24 juli 2024 14:00]

Fustje 8 augustus 2017 10:30

Waar ik me eigenlijk over verbaas, waarom zoiets als het op enige wijze blokkeren van de 'bron van de hackpoging' tegenwoordig geen onderdeel meer van de discussie lijkt te zijn? Leuk dat je wachtwoord in 100.000 pogingen te kraken is, maar waarom staat een systeem uberhaupt toe dat een account 100.000x probeert in te loggen zonder dat je dat IP gewoon bant of iets dergelijks? Tuurlijk kan ie makkelijk een ander IP pakken en verder gaan, maar je onderneemt toch op z'n minst enige actie, zou ik denken?
Bij bedrijven wordt je account vaak simpelweg gelocked als je teveel foute wachtwoorden hebt, is deze maatregel ooit doorgeprikt en blijkt dit niet effectief te zijn?

Of ben ik gewoon te naïef geworden...

Eomer @Fustje • 8 augustus 2017 10:54

Ik denk dat je de situatie over het hoofd ziet waarin iemand (bijvoorbeeld met SQL injection) alle username + passwords uit een database krijgt. Vervolgens kan je op je gemak brute-forcen zonder dat het oorspronkelijke systeem er nog iets over te zeggen heeft.

Jorizzz @Fustje • 8 augustus 2017 11:14

Wat daar een mooie oplossing voor is is dat je een mislukte inlogpoging laat volgen door een x aantal seconden dat je niet mag proberen in te loggen. En dat x steeds verder oploopt met het aantal mislukte pogingen. Na de eerste keer 3 seconden, dan 10, dan 30 etc. Dat is beperkt irritant als je één of twee keer het verkeerde ww gebruikt, maar het lijkt me killing voor brute-force aanvallen.

Basszje @Fustje • 8 augustus 2017 11:40

Nee maar dat levert support-werk op

Je kan de brute-force makkelijk onmogelijk maken door gewoon 1 seconde te wachten bij elk fout wachtwoord ( zoiets doet Linux en volgens mij Windows ook bij inloggen ) en bij 5x foute wachtwoorden, minuut op slot.

Op het internet kan je het al afvangen door bv bij 5-15 wachtwoorden die binnen een minuut worden gestuurd ( dan heb je al bijna niet meer met een mens te maken ) het IP adres niet laten inloggen voor 10 minuten plus loggen.

Je hoeft het account niet op slot te doen om het probleem op te lossen

geonosys 8 augustus 2017 09:01

Correct horse battery staple.........

-edit-

Deze dus: https://xkcd.com/936/

[Reactie gewijzigd door geonosys op 24 juli 2024 14:00]

Megalodon86 @geonosys • 8 augustus 2017 09:04

Ondertussen wel een beetje achterhaald; wachtwoordkrakers kunnen ook willekeurige woordcombinaties eerst doen.

ThomasG @Megalodon86 • 8 augustus 2017 09:11

Wat in feiten neer komt op onbegonnen werk. Ter illustratie: stel, om wille van het argument, dat er 2000 woorden zijn. Als je gebruikt 4 woorden, waarvan elk woord slechts eenmalig, dan zijn er al bijna 16 triljoen mogelijkheden.

Als je een willekeurige letter vervangt door een hoofdletter, getal of een speciaal teken, dan is dat vrijwel door heen enkel algoritme te kraken binnen een aanzienlijke tijd. Dat komt neer op een brute-force attack, en door de lengte van het wachtwoord is dat bijna niet te doen tenzij je al een aantal kenmerken van het wachtwoord weet (zoals de lengte, bepaalde woorden die zeker gebruikt worden, e.d.).

Want let wel: de lengte van het wachtwoord is de grootste factor in de veiligheid daarvan, mits het aan een aantal basale voorwaarden voldoet.

Megalodon86 @ThomasG • 8 augustus 2017 09:20

Maar 2000^4 is nog steeds veel minder dan 52^20 (alfabet, hoofdlettergevoelig, 20 lang). Dus die de CHBS-methode is sneller te bruteforcen. Dat is dan weer niet te onthouden, maar daar zou je een passwordmanager voor kunnen gebruiken.

Wat je wel kan doen; op die passwordmanager dan een wachtwoord van 5 of 6 woorden, in verschillende talen. En als je het kan onthouden nog ergens een speciaal teken of willekeurige hoofdletter ertussen.

bwerg @Megalodon86 • 8 augustus 2017 09:27

Dat is dan weer niet te onthouden, maar daar zou je een passwordmanager voor kunnen gebruiken.

Met een passwordmanager is alles triviaal natuurlijk. 100 willekeurige leesbare ascii-karakters en je bent voor eeuwig klaar. Behalve dat een gemiddelde website dan klaagt dat je wachtwoord te lang is.... Maar ja, als je uitgaat van optimale technische hulpmiddelen dan had je natuurlijk gewoon mooi een public key pair genomen.

Het gaat natuurlijk om wachtwoorden die je moet onthouden want die blijven nodig. En daarvoor wil je gewoon de optimale entropie per onthoudbaarheid hebben. Dat doen passphrases gewoon beter dan strings van willekeurige karakters, dat staat als een paal boven water.

[Reactie gewijzigd door bwerg op 24 juli 2024 14:00]

indigo79 @Megalodon86 • 9 augustus 2017 08:37

De 2000 woorden kloppen al niet. Als ik even kijk naar het aantal woorden in de verschillende woordenboeken die hier toevallig op mijn Debian systeem geïnstalleerd zijn, zie ik:

british-english: 100633
british-english-huge: 341958
dutch: 345339

Uitgaande van de Nederlandse woordenlijst, kom ik dan voor vier woorden aan 345339^4=1.4e+22 mogelijkheden, wat ongeveer overeen komt met 13 willekeurige alfanumerieke tekens (en dan lijken vier woorden me toch makkelijker te onthouden).

Verwijderd @ThomasG • 8 augustus 2017 10:23

Ter illustratie: stel, om wille van het argument, dat er 2000 woorden zijn.

Per taal!

geonosys @Megalodon86 • 8 augustus 2017 09:09

Dat wel, het achterliggende idee is nog steeds valide.
Door de steeds snellere hardware en slimmere algoritmes is er niet zoiets als een unhackable wachtwoord. Je kan het ze wel zo moeilijk mogelijk maken.
Net als met (analoge) inbrekers. Als ze willen komen ze toch wel binnen. Echter, als het te veel tijd gaat kosten gaan ze liever ergens anders kijken.

Finraziel

@geonosys • 8 augustus 2017 09:21

Ja maar het advies om een aantal woordenboek woorden achter elkaar te plaatsen zonder er iets geks mee te doen lijkt me toch echt niet erg goed meer. Ook de berekening van entropie van xkcd slaat nergens op als je gewoon een woordenboek aanval er op kan doen.

Cloud @Finraziel • 8 augustus 2017 09:29

Die berekening slaat zéker wel ergens op. 'Gewoon een woordenboek aanval doen' is echt veel te simplistisch gedacht. Heb je enig idee hoe groot het Engelse woordenboek is? Kijk ook eens naar het simpele voorbeeld van ThomasG hierboven, dat uitgaat van slechts 2000 woorden. Of deze of deze. Een woordenboek aanval is onbegonnen werk, zelfs met kleine lijsten. Kies drie eenvoudige woorden en één ietwat bijzonder woord (desnoods zelf bedacht) en elke woordenboek aanval loopt erop vast.

Het advies van xkcd is nog steeds heel goed, als het alternatief is dat men zelf een wachtwoord moet bedenken wat onthouden moet worden (en dus een kortere lengte gaat hebben dan een samenstelling van woorden!). Natuurlijk is een wachtwoord van zo'n lange lange, van willekeurige tekens nóg beter. Maar daar heb je toch echt een wachtwoordmanager voor nodig. Iets dat niet voor alle wachtwoorden praktisch uitvoerbaar is. Uiteindelijk moet je sommige wachtwoorden toch echt kunnen onthouden

Uiteindelijk is het advies van xkcd samen te vatten in twee zinnen:

Zorg ervoor dat je een lang wachtwoord gebruikt. Hey kijk, hier heb je een manier om een lang wachtwoord te maken wat je ook nog kunt onthouden!

[Reactie gewijzigd door Cloud op 24 juli 2024 14:00]

mrdemc @Cloud • 8 augustus 2017 09:48

En van al die woorden denk jij dat mensen ervoor kiezen om een woord te gebruiken als "Honorificabilitudinitatibus"?
Er is maar een kleine set woorden die door de meeste mensen gebruikt zal worden en ik vermoed dat dit aantal tussen de 5000-10000 woorden ligt. Dat valt met een dictionary attack heel erg mee en daar ben je zo doorheen.

Stoney3K @mrdemc • 8 augustus 2017 10:17

En van al die woorden denk jij dat mensen ervoor kiezen om een woord te gebruiken als "Honorificabilitudinitatibus"?
Er is maar een kleine set woorden die door de meeste mensen gebruikt zal worden en ik vermoed dat dit aantal tussen de 5000-10000 woorden ligt. Dat valt met een dictionary attack heel erg mee en daar ben je zo doorheen.

Je vergeet even dat een woordenboek-aanval betekent dat je elke combinatie van woorden moet proberen. Je kan dus niet even het eerste woord gokken en doorgaan naar het tweede woord als het eerste woord goed is.

Met een wachtwoordlengte van vier woorden en 10.000 woorden in een gangbaar woordenboek, kom je al op 10.000 * 10.000 * 10.000 * 10.000 mogelijke combinaties uit. Dat is een 10 met 15 nullen, en dus 53 bits aan entropie.

Morelleth @Stoney3K • 8 augustus 2017 10:32

Engelese woordenboek heeft volgens mij ca 1.000.000 171,476+47,156 unieke woorden erin staan. Pak de vervoegingen erbij van werkwoorden en afgeleiden je hebt helemaal absurt veel combinaties. (Ca. 750.000)
Doe dat samen met een 2e minder voorkomende taal en een willekeurige cijfercode en succes met nog bruteforcen.
Nu alleen op elke site een unieke combi.

[Reactie gewijzigd door Morelleth op 24 juli 2024 14:00]

nandervv @Morelleth • 8 augustus 2017 11:19

Wil je het helemaal leuk maken, dan gebruik je drie talen en vervoeg je werkwoorden.

vliegmachinesEinbahnstrasseommeletteformalism

Veel plezier daarmee. Overigens, gebruik dat precieze wachtwoord dus niet.

DropjesLover @nandervv • 8 augustus 2017 13:02

En verkleinwoorden. Staan doorgaans niet in het woordenboek en vergroot het aantal woorden enorm. Leentje_L33rdeLopenLangshetLangeLindelaantje. Veel plezier

leuk_he @DropjesLover • 8 augustus 2017 14:11

Juist een rijmpje gebruiken ipv van willekeurige woorden maakt het minder sterk.

kr4t0s @nandervv • 8 augustus 2017 12:03

Jouw ww is dan zeker: vliegmachinesEinbahnstrasseommeletteformalism1

Zenomyscus @Stoney3K • 8 augustus 2017 10:55

Daarnaast kun je elk woord met een hoofdletter beginnen of niet. Is nog steeds goed te onthouden en maakt het weer flink moeilijker.

Cloud @mrdemc • 8 augustus 2017 10:20

Je vergist je denk ik in hoeveel combinaties 5000-10000 woorden al opleveren. En de snelheid van brute forcen. Als je vier woorden uit 5000 kiest, praat je over 6,25 x 10¹⁴ combinaties.

Stel je hebt een botnet die 1 miljard combinaties per seconde kan checken heb je 625.000 seconde nodig om alle combinaties te checken. Een ruime week is dat met zo'n idiote snelheid van checken. En dat is een woordenboek van slechts 5000 woorden.

Jelv @Cloud • 8 augustus 2017 11:53

Het populaire hashcat werkt met 3,2 miljard pogingen per seconden door SHA256 hashes met een GTX 1080FE - 375.39.

*Edit* Een aantal PBKDF2 voorbeelden:
PBKDF2-HMAC-SHA256 1,224,077 p/s
Django (PBKDF2-SHA256) 61,764 p/s
MS-AzureSync PBKDF2-HMAC-SHA256 10,134,752 p/s
VeraCrypt PBKDF2-HMAC-SHA256 + XTS 512 bit 1,182 p/s

All PBKDF2 are not created equal.

[Reactie gewijzigd door Jelv op 24 juli 2024 14:00]

Cloud @Jelv • 8 augustus 2017 11:58

@Jelv thanks

Daarom neemt dit alles niet weg dat de opslag van de wachtwoorden nog belangrijker is dan de keuze van de wachtwoorden zelf. Men moet hashing algoritmes kiezen die bedoeld zijn voor wachtwoorden, zoals het vaak genoemde PBKDF2. Er moeten salts gebruikt worden etc. etc. Dat is weer een heel ander verhaal (maar zeker niet onbelangrijk!).

FreezeXJ @Cloud • 8 augustus 2017 10:24

Als er slechts 1 hash-operatie nodig is om te berekenen, is die 1 miljard niet zo lastig te halen (GPU bijvoorbeeld). Een degelijker algorithme maakt het kraken wel veel lastiger, gewoon door de tijd per wachtwoord omhoog te helpen. 1x 100 ms wachten op een wachtwoord-poging is geen punt, maar voor brute forcing is zo'n vertraging het einde van je idee.

Cloud @FreezeXJ • 8 augustus 2017 10:31

Uiteraard

Dit was het meest gunstige scenario voor een kraker dat ik hier aangaf. Als een partij zijn wachtwoord hashing op orde heeft, is die 1 miljard/seconde gewoon niet haalbaar. Een inlogpoging mag best een seconde duren, dus je kunt met iets als PBKDF2 gewoon lekker knallen met de hoeveelheid iteraties. En dat zal brute forcen nog veel lastiger maken.

Kaasje123 @mrdemc • 8 augustus 2017 10:11

Daarom moet je ook salts toepassen.

rjberg @Kaasje123 • 8 augustus 2017 10:41

Dat is weer voor wat anders. Dat is namelijk voor het ervoor zorgen dat mensen met hetzelfde wachtwoord andere wachtwoord-hashes krijgen.

Fireshade @mrdemc • 8 augustus 2017 14:45

Dat valt met een dictionary attack heel erg mee en daar ben je zo doorheen.

De meeste mensen kennen ook wel wat woorden uit andere talen.
Gooi ook een paar woorden van andere talen in je wachtwoord, en dan moet die attack door 2 of meer dictionaries. En vergeet de nieuwe hippe woordjes niet die nog in geen enkele dictionary staan.
Het aantal combinaties gooi je dan zomaar een paar ordegrootten omhoog

Fleximex @Cloud • 8 augustus 2017 10:40

Maar het is echt een slecht advies als je het letterlijk volgt. Het advies 'four random common words' is fout. Je moet dus inderdaad een of meerdere woorden doen die niet bij de meest gebruikte woorden van het woordenboek staan. Of zoals je zelf zegt een zelf verzonnen woord.
Maar een wachtwoord als 'house cheese cookie moon' is met wat pech door een dictionary aanval te raden. Het advies is dus wel degelijk achterhaald. En het gebruik van een password manager wordt niet genoemd en is in principe nog beter.

https://www.youtube.com/watch?v=3NjQ9b3pgIg

Cloud @Fleximex • 8 augustus 2017 10:56

House cheese cookie moon is een wachtwoord van 24 karakters. Dat is zonder twijfel een goed wachtwoord. Zelfs ondanks het veelvoorkomende woorden zijn. Je hebt wellicht een lijst van toch al zo'n 3000 woorden nodig om een lijst te hebben waar al die woorden in voorkomen. Of je moet voorkennis hebben. Maar, vier woorden kiezen uit die kleine lijst 3000 woorden geeft 8,1 x 10¹³ mogelijkheden.

Dingen die ik dan nog even weglaat voor het gemak:

Spaties en hoofdletters, want ook dát moet je checken of reeds weten (gaan we niet vanuit toch?). Want: House cheese cookie moon is niet hetzelfde als Housecheesecookiemoon. Wil je met/zonder spaties checken? Vermenigvuldig dan je aantal combinaties met minimaal twee.
Voorkennis: ik reken hierboven met een constante 4 woorden maar je moet eigenlijk ook alle combinaties met 1, 2 en 3 woorden doorrekenen voordat je met 4 kunt beginnen. Want House cheese cookie moon is niet hetzelfde als House cheese cookie

Zie je naar wat voor idiote hoeveelheden combinaties we hier toe werken, ondanks we maar werken met 3000 woorden?

Maar uiteraard! Een wachtwoord als: sQoTMt7v4L30P2RR25d5k7ul (ook 24 lang) is inderdaad nog beter. Maar dat is niet het alternatief voor gebruikers die een wachtwoord moeten hebben wat ze kunnen onthouden. Dan kiezen ze als je mazzel hebt sQoTMt7v4 maar waarschijnlijk eerder m!jnn44m. En dat laatste, dát is pas makkelijk te kraken met een dictionary attack.

Dus ja, password manager is zeker beter maar het advies is absoluut niet achterhaald.

[Reactie gewijzigd door Cloud op 24 juli 2024 14:00]

Fleximex @Cloud • 8 augustus 2017 11:18

Maar het gaat er om dat 'common words' geen goed advies is. Heb je 4 woorden uit de top 500 meest gebruikte woorden heb je een slecht password dat voldoet aan XKCD zijn advies.

Spaties en hoofdletters zijn de eerste regels die gecheckt worden door hackers. En ja die moet je juist voor het gemak vergeten omdat een leek die de XKCD comic ziet gaat dat waarschijnlijk niet doen. Als je op de XKCD manier een wachtwoord maakt kan je beter een woord er in doen dat jij alleen kent (maar niet te social engineren valt). Plus bijvoorbeeld midden in een van de woorden nog een gek teken. Ja, het is nog steeds moeilijk te raden. Maar met het XKCD advies bestaat de kans dat je een makkelijk hacken wachtwoord maakt er nog steeds.

Verder kun je beter niet steeds hetzelfde wachtwoord gebruiken. Dus dat van XKCD is al niet haalbaar als je 10 websites hebt. Dat wordt al lastig. Je moet dus 10 keer het 'correct horse battery staple' truucje doen. De kans dat je dan een wachtwoord verzint dat wel makkelijk door een dictionary attack te raden is zit er dik in.

Maar het feit is dat de XKCD geen rekening houdt met andere technieken dan brute force. En ook niet een password manager aanbeveelt. Ik vind het zeer achterhaald.

Waar komt trouwens de 10¹³ vandaan. Ik ben ook geen rekenwonder

Cloud @Fleximex • 8 augustus 2017 11:27

Je neemt het advies te letterlijk. En daarnaast ziet vrijwel geen enkele leek dit advies ooit. Xkcd is niet echt populair mensen die niet zoveel van computers weten. Het is er vooral om beheerders te overtuigen, die exacte idiote regels weg te gooien waar dit hele nieuwsartikel om gaat. Om beheerders hun gebruikers aan te raden een wachtwoord in de correct battery horse staple manier te laten kiezen.

Spaties en hoofdletters zijn de eerste regels die gecheckt worden door hackers.

Dit werkt niet zo. Je checkt niet 'even' spaties en hoofdletters. Elke keuze die de kraker moet maken verdubbelt de hoeveelheid combinaties. Ik deed juist deze dingen weglaten om te laten zien dat het zelfs met het negeren van die keuzes al bijna niet te doen is om de combinaties te checken, laat staan mét die keuzes.

Over het herhaald gebruik van wachtwoorden rept Xkcd niet, ze hebben het over een enkel wachtwoord kiezen wat je wilt kunnen onthouden maar toch veilig is. Je moet er niet een heel wachtwoordbeleid voor een persoon achter gaan zoeken natuurlijk

Daarom spreken ze ook niet over wachtwoordmanagers. Toegegeven, een linkje naar informatie over die managers zal goed zijn. Maar zo'n manager heeft óók een master wachtwoord, dus ergens moet je zo'n ding onthouden. En die moet afdoende lang zijn, en zo kom je weer terug bij deze comic.

3000 tot de vierde macht, want je moet vier keer achter elkaar het juiste woord kiezen uit 3000 woorden

Voor 500 woorden, ofwel 500^4, kom je dan bijvoorbeeld op het aardige 6,2 x 10¹⁰. Wat bijna 10 keer het aantal mensen op aarde is

Fleximex @Cloud • 8 augustus 2017 11:39

Te letterlijk. Maar ik denk toch dat veel mensen dat doen. Ik heb het ook wel eens op Reddit voorbij zien komen. En Facebook. Veel mensen gaan dit advies zeker wel letterlijk nemen.

Maar 3000^4 of 81 biljoen is volgens mij vrij weinig. Dat is minder mogelijkheden dan een brute force op een 8 teken wachtwoord met enkel letters (klein- en hoofdletters) en cijfers. En die wachtwoorden kunnen al in een dag gekraakt worden.

Je zegt dat een wachtwoord met top 500 woordenboek woorden meer is dan het aantal mensen op aarde? Maar dat feit heeft met wachtwoord hacking toch niks te maken? Dat zijn 62,5 miljard mogelijkheden. Dat is peanuts voor een beetje snelle computer. Of zie ik dat verkeerd?

Over het die 10¹³ nu snap ik hem. Ik legde de link tussen 81 biljoen en 8,1x10¹³ niet

Cloud @Fleximex • 8 augustus 2017 11:55

Maar 3000^4 of 81 biljoen is volgens mij vrij weinig. Dat is minder mogelijkheden dan een brute force op een 8 teken wachtwoord met enkel letters (klein- en hoofdletters) en cijfers. En die wachtwoorden kunnen al in een dag gekraakt worden.

Je vereenvoudigd het probleem van een wachtwoord veel te veel. Je hebt gelijk dat 3000^4 minder is dan 62^8 al scheelt het minimaal (8,1x10¹³ vs 2,18x10¹⁴). Maar ik zei toch dat ik dingen weg laat die wel getest moeten worden? Die waarde geldt uitsluitend als er een vast format is, en de aanvaller dat format al weet. De aanvaller weet het juist niet! Hij weet de lengte van het wachtwoord niet eens, hooguit het minimum en maximum.

Een wachtwoord van 4 woorden uit 3000 is echt veiliger dan een wachtwoord van 8 karakters, omdat de lengte zo veel langer is. Nogmaals, tenzij de aanvaller voorkennis heeft dus. De aanvaller weet helemaal niets, dus lengte is het allerbelangrijkste criterium voor de kraakbaarheid van een wachtwoord. Stel dat die 4 woorden een lengte van 18 karakters geven dan moet je dus een wachtwoord testen van een equivalent aan: 62^18 (1,32 x 10³²).

De aanvaller zou zo dom kunnen zijn om wel te testen met een fixed format woordenboekje (altijd vier woorden, altijd kleine letters, altijd gescheiden door spaties) zonder wat voor transformatie dan ook, en zou daarmee in theorie mazzel kunnen hebben. Maar wie doet zoiets als de kans van slagen met die methode zo klein is? Dan kies je een nog veel kleiner woordenboek om te compenseren, wat de kans om het te vinden nog weer kleiner maakt.

Fleximex @Cloud • 8 augustus 2017 12:13

De aanvaller weet dat mensen hun wachtwoord baseren op de XKCD theorie. Als ik een hacker was zou ik eerst 1 woord, dan 2 dan 3 dan 4 woorden met alleen kleine letters zonder spaties checken. Daar ben je zo klaar mee.

Je tweede alinea gaat over brute force. Maar ik heb het over dictionary attacks en dan gaat die 62^18 niet op.

Als je in 8 uur (zo niet sneller) een de top 3000 woordenboek met alleen kleine letters en spaties kan doen. Kan je prima daarna eerste hoofdletters gaan testen op elk woord. En spaties. Dat zal een paar weken duren. Maar geen onrealistisch scenario. Zelfs dit is geen 'idioot hoeveelheid combinaties' zoals je eerder zei.

Echter zoals ik zeg. XKCD is door veel mensen wel letterlijk genomen. Dat weet ik zeker. XKCD is vrij mainstream en de password comic is al vaak gedeeld. Je schat mensen te hoog in en hackers te laag in.

Volgens mij denk je dat een hacker alleen theoretisch denkt. En niet praktisch. Een hacker gaat inderdaad nooit van zijn leven 18 characters brute forcen. Een dictionary attack (met XKCD in zijn achterhoofd) daarentegen. Het feit dat ik het al zo zou doen is het bewijs dat het niet veilig.

Het lijkt ook alsof je er van uitgaat dat een hacker als doel heeft 100% van de wachtwoorden te raden die in een database staan.

[Reactie gewijzigd door Fleximex op 24 juli 2024 14:00]

engelbertus @Cloud • 8 augustus 2017 15:44

we nemen dus 4 woorden uit 3000, als we daar de spatie als woord aan toevoegen, nemen we dus 7 woorden uit 3001.

dat levert dus exponentieel weer langere tijden op bij het kraken.
hoofdletters alleen op de eerste positie van een woord voegt dus 3000 woorden toe, en dan wordt de keuze dus al 7 uit 6001.
dus dat wordt 6001 tot de 7e macht. ik weet de niet hoeveel keer 10 tot de hoeveelste macht dat wel niet is maar daar ga je van schrikken

maar goed ik kies daarom altijd 4 woorden en voeg daar nog 1 aan toe. ik hoop dan dat ze stoppen bij 4 woorden, dan ben ik altijd veilig, ook als t 5 keer vijf is

[Reactie gewijzigd door engelbertus op 24 juli 2024 14:00]

Gomez12 @Fleximex • 8 augustus 2017 12:41

Maar het gaat er om dat 'common words' geen goed advies is. Heb je 4 woorden uit de top 500 meest gebruikte woorden heb je een slecht password dat voldoet aan XKCD zijn advies.

Tja, je moet het zo bekijken. De ascii-tabel (ik ga er even nie direct vanuit dat mensen nog exotischere dingen in hun ww hebben staan) omvat standaard maar 255 tekens.

Dus als je de top 500 woorden gebruikt zit je minimaal al dubbel zo sterk als eenzelfde wachtwoord uit de ascii tabel. Alleen heb je met die top 500 nog wel vele variatie mogelijkheden (spatie ertussen, eindigen met een hoofdletter, underscore ertussen, Beginnen met een hoofdletter, l33tsp3ak toepasssen) waardoor je die 500 zo uitbreid naar 2500 tot 5000 meest gebruikte woorden.

Fleximex @Gomez12 • 8 augustus 2017 12:58

Verschil is echter dat een wachtwoord gebaseerd op woorden slechts uit 3/4 veel gebruikte woorden bestaat. Dus dan moet je 500^4 doen (dictionary attack). Dat is slechts 62,5 miljard.
Of zelfs met top 3000 woorden, 3000^4, wat met 81 biljoen mogelijkheden nu ook niet bijster veel is.

Een wachtwoord van slechts 8 tekens bestaande uit 255 mogelijke tekens is al 255^8. Of 17,878 triljoen (!). Maar zelfs met alleen hoofdletters, kleine letters en cijfers zit je met op 62^8 op meer dan 218 biljoen. En dat is dus maar met 8 tekens.

En inderdaad kan je het wachtwoord bestaande uit 4 woorden moeilijker maken met hoofdletters e.d. maar dat is niet het advies dat XKCD geeft. Maar zelfs dan is het met hoofdletters op de eerste of laatste letter en spaties tussen de woorden nog steeds niet heel moeilijk. l33tsp3ak is ook heel erg voorspelbaar. E=3, A=4, etc. Een underscore midden in een van de woorden is wel een goede.

[Reactie gewijzigd door Fleximex op 24 juli 2024 14:00]

robvanwijk

Netwerk en systeembeheer

@Gomez12 • 9 augustus 2017 01:33

De ascii-tabel (ik ga er even nie direct vanuit dat mensen nog exotischere dingen in hun ww hebben staan) omvat standaard maar 255 tekens.

Ik weet wel een paar talen die met alleen ASCII niet te typen zijn; mensen die dagelijks met zo'n taal werken (en dus een speciale toetsenbord-indeling gebruiken) kunnen eenvoudig allerlei "vreemde" tekens typen, wat de meeste crackers flink wat hoofdpijn zal bezorgen (en zichzelf, als ze ooit op een "standaard" toetsenbord moeten inloggen...). Pak je gewone wachtwoord en plak er "aαаאž" achter (eerste letters van latijn, grieks, cyrillisch en hebreeuwse alfabet en de laatste letter van het Sloveense). Vraag me niet hoe je het intypt (zeker niet als je het regelmatig in moet voeren), maar het aantal mogelijkheden per letter is gigantisch.

En als we het er dan toch over hebben, heeft iemand enig idee wat voor wachtwoorden Chinezen gebruiken? Aangezien voor hen elke "letter" een heel woord is... zouden ze daar misschien al lang "correct horse"-achtige wachtwoorden gebruiken? Of zijn Westers-georiënteerde sites zo dominant dat ze gedwongen worden om wachtwoorden in ons alfabet te gebruiken (code die simpelweg controleert "zit er een kleine letter in?" zal een wachtwoord bestaande uit alleen Chinese tekens immers botweg afkeuren...)!?

Terrestrial @Cloud • 8 augustus 2017 11:22

Maar uiteraard! Een wachtwoord als: sQoTMt7v4L30P2RR25d5k7ul (ook 24 lang) is inderdaad nog beter. Maar dat is niet het alternatief voor gebruikers die een wachtwoord moeten hebben wat ze kunnen onthouden. Dan kiezen ze als je mazzel hebt sQoTMt7v4 maar waarschijnlijk eerder m!jnn44m. En dat laatste, dát is pas makkelijk te kraken met een dictionary attack.

Dictionary attack voor jnn44m ? Is dat een woord dan en staat dat in een woordenboek? Ik zie het anders, die vent kan wel spijt hebben van zijn keuzes maar een random letter/cijfer/speciale tekens combinatie met een bepaalde lengte is altijd beter dan een paar woorden achter elkaar zetten. Trouwens waarom kun je in een woorden combinatie geen speciale tekens verwerken? Dat kan toch prima.

Cloud @Terrestrial • 8 augustus 2017 11:32

Oké is wellicht nog steeds wat tricky. Maar wachtwoorden pakken en daarop standaard transformaties uitvoeren, is wel echt een dingetje waarmee rainbow tables gemaakt worden. De l33t speak is een van de meest populaire manieren om dat te doen maar daarop wordt voor kortere wachtwoorden wel degelijk gecheckt. Mijn voorbeeld was: mijn naam maar dan aan elkaar en l33t-gemaakt, dus i wordt !, e wordt 3 en a wordt 4, enz.

Toegegeven als je het met Nederlandse woorden doet zit je op een Engels-talige site misschien nog wel redelijk goed ook. Maar de lengte van slechts 8 karakters is wel een probleem en dat is het punt wat ik wilde maken

Als de lengte kort genoeg is, hoef je helemaal geen woordenboek aanval te doen, dan kun je alles gewoon testen.

Terrestrial @Cloud • 8 augustus 2017 12:11

Tuurlijk is l33t speak ook te checken maar dat zijn simpele woorden achter elkaar toch ook, het maakt het alleen weer een stap lastiger. Je krijgt hoe dan ook dat veel mensen dezelfde soort zinnen gaan creëren, een hoop mensen denken nu eenmaal hetzelfde. Juist die uitzonderingen maken iets unieker.

Gomez12 @Cloud • 8 augustus 2017 12:43

Maar wachtwoorden pakken en daarop standaard transformaties uitvoeren, is wel echt een dingetje waarmee rainbow tables gemaakt worden.

Rainbow tables zijn weer zinloos als je gaat salten.

BernardV @Cloud • 8 augustus 2017 11:04

Daarbij zullen de meeste mensen ook wel versprekingen kennen, al dan niet van jezelf.

Ik heb bijvoorbeeld een nichtje die vroeger wel eens letters omdraaide in woorden, dan kreeg je dingen als:

Hocapontas ipv Pocahontas
ramppot stauwe andijvie ipv stamppot rauwe andijvie

Nu is ramp en pot natuurlijk wel te herleiden, maar stauwe niet, dan zou het al met ou zijn.

Dus een wachtwoord als "Hocapontaseetramppotstauweandijvie" zou voor mij makkelijk te onthouden zijn, maar met een woordenboekaanval niet te kraken zijn omdat de woorden niet voorkomen.

geonosys @Finraziel • 8 augustus 2017 09:28

Het blijft een comic, daarnaast is deze al x(?) jaar oud.
Met de kennis van nu..........

Stoelpoot @Finraziel • 8 augustus 2017 09:32

In geen enkel woordenboek ga je 'CorrectHorseBatteryStaple' vinden. Wel de vier afzonderlijke woorden, maar als je een combinatie van 4 verschillende woorden wilt bruteforcen, ben je best wel even bezig.

rjberg @Finraziel • 8 augustus 2017 10:43

Eigenlijk ging die comic uit van 11 bits per woord, oftewel 2048 mogelijke woorden. Een nog conservatieve schatting, als je het mij vraagt. En dat gaat er al vanuit dat de aanvaller weet wat voor soort wachtwoord er wordt gebruikt.

sjogro @geonosys • 8 augustus 2017 21:21

Hoe beter de voordeur op slot zit, hoe aantrekkelijker de achterdeur er uit gaat zien

Verwijderd @Megalodon86 • 8 augustus 2017 09:08

Als je het in net Nederlands doet haal je veel van die wachtwoordkrakers onderuit want de meeste hebben alleen een Engelse database. Een passphrase in het Fries is vrijwel onkraakbaar!

AncientProphecy @Verwijderd • 8 augustus 2017 09:16

Security through obscurity still isn't security ;-). Wat houd immers zo'n wachtwoord kraker tegen om een online woordenboek in te lezen en te gebruiken.. Ok, het helpt wel je guessability te verkleinen, maar niet op een manier die je zou moeten willen denk ik

bwerg @AncientProphecy • 8 augustus 2017 09:33

Dat is geen security through obsurity. Dat is het als de beveiligingsmethode geheim is, in plaats van de parameters zoals wachtwoorden/keys. Anders zou een private key ook security by obscurity zijn: je vertrouwt op het niet uitlekken van je key (goh).

En ja, een Fries woordenboek gebruiken verbetert wel de entropie. Niet omdat er meer Friese woorden zijn dan Engelse, maar omdat een gemiddelde cracker zich richt op de gemakkelijk te raden wachtwoorden, en de hoofdmoot is Engels. Wil hij naar meer obscure talen, dan zal hij moeten uitbreiden naar Fries, Oezbeeks, etc. waarbij een uitbreiding naar X keer zoveel talen een factor Xⁿ aan entropie met zich meebrengt, waarin n het aantal woorden in je passphrase is. Noot: dat is wel als je die talen mengt in je passphrases. Anders is het gewoon een factor X

Je kunt stellen dat Fries net zo'n grote Entropie heeft als Engels, maar dan kun je ook stellen dat elk wachtwoord entropie 0 heeft: als een hacker een dictionary met alleen jouw wachtwoord gebruikt, is het altijd meteen raak. Het gaat natuurlijk om de verzameling mogelijke wachtwoorden waar hij redelijkerwijs uit moet raden. En geen enkele cracker gokt op enkel Fries. Wel op enkel Engels.

[Reactie gewijzigd door bwerg op 24 juli 2024 14:00]

aadje93 @AncientProphecy • 8 augustus 2017 10:10

correct fries zorgt toch voor erg veel leestekens en trema's etc

Verwijderd @AncientProphecy • 8 augustus 2017 10:28

Security through obscurity still isn't security ;-). Wat houd immers zo'n wachtwoord kraker tegen om een online woordenboek in te lezen en te gebruiken.

Dus alle woordenboeken van de wereld inscannen? Dat zijn 7000 talen met pak um beet 250.000 woorden per taal (sommige veel meer (Nederlands) sommige met veel minder (Fries)). Dan heb je een woordenbase van 1,750,000,000 woorden. Hoeveel ga je er per seconden testen? En hoeveel combinaties ja je testen?

musiman

@Verwijderd • 8 augustus 2017 11:51

Ach, ik heb thuis een woordenboek (in .txt formaat) van 40 GB (!!!) in grootte, compressed...
Hier staan mega veel woorden in, ook in de meest voorkomende talen (waaronder Nederlands).
Wanneer ik een offline aanval uitvoer op een authenticatie trace, met zo'n 1.000.000.000 passwords per seconde (en dat is nog laag wanneer je denkt aan het gebruik van snelle GPU's), dan ben ik er met jouw 1.750.000.000 woorden in slechts 1,75 seconden doorheen. Met mijn database duurt het "ietsje" langer, maar dat is ook zo erdoorheen.

bwerg @musiman • 8 augustus 2017 12:35

Dan heb je het dus over één enkel woord als wachtwoord. Als we nu naar passphrases gaan, dan neemt de tijdsduur exponentieel toe in het aantal woorden. Na het toevoegen van een tweede woord duurt het met jouw snelheid dus al 100 jaar. Een snelle GPU gaat je niet meer redden. Bij vier of meer woorden is het helemaal uit met de pret.

[Reactie gewijzigd door bwerg op 24 juli 2024 14:00]

Verwijderd @Verwijderd • 8 augustus 2017 09:32

Of nog beter een combinatie van talen.

Morelleth @Verwijderd • 8 augustus 2017 10:27

Combinatie van talen in een willekeurige zin met een cijfercode erin?

Jorgen Moderator Beeld & Geluid @Morelleth • 8 augustus 2017 21:25

Allemaal leuk en aardig, maar op een gegeven moment is het gewoon handiger en sneller om één voor één alle lettercombinaties te proberen, dan alle woordenboeken van de wereld te scannen en af te lopen. Wat in de ene taal een woord is, is in de andere taal willekeurige gibberish. Ergens ligt de balans tussen woordenboeken, rainbowtables en brute forcen.

[Reactie gewijzigd door Jorgen op 24 juli 2024 14:00]

Morelleth @Jorgen • 8 augustus 2017 21:57

Ongetwijfeld. Maar dan heb je dus al een absurde hoeveelheid combinaties die uitgeprobeerd moeten worden.

Loop zelf eerder tegen het probleem aan dat mijn wachtwoorden te lang zijn. Moet dus bewust mijn wachtwoorden korter en onveiliger maken

Ayporos @Verwijderd • 8 augustus 2017 10:02

Tja, dat is leuk voor willekeurige ongerichte aanvallen... maar wat nou als de persoon die jou login probeert te kraken nou toevallig weet dat jij Fries bent? Of zelfs een kennis van jou is?

Verwijderd @Ayporos • 8 augustus 2017 10:31

Asl de aanvaller kennis heeft van zijn doelwit verlaagd dat de veiligheid altijd. Of het nou Fries of Duits is. Doet niets af van het feit dat vrijwel alle dictionary attacks op dit moment met Engelse woordenboeken werken. Je kan je woordenlijst niet langer en langer maken zonder de de kraak tijd onmogelijk te verlengen.

evilution @Verwijderd • 8 augustus 2017 16:18

Waarom zou je je in een passphrase tot één taal beperken?

Gutcaballobatterijstaple

sorted.bits @Megalodon86 • 8 augustus 2017 09:10

Ik weet niet waarom dit achterhaald is, de combinaties die je kunt maken met woorden zijn eindeloos. Willekeurige woordcombinaties zijn juist nog steeds (bijna) niet te kraken.

ACM Software Architect @sorted.bits • 8 augustus 2017 09:23

Maar als je de woorden zelf als letters gaat zien, dan wordt het natuurlijk wel een stuk eenvoudiger dan wanneer je het als een reeks karakters beschouwd.

Uiteraard zijn er wel meer dan de huidige circa 70 'letters' in dat 'alfabet', maar tegelijkertijd zullen de totale aantallen 'letters' (woorden) vaak lager zijn dan de huidige minima van meestal zo'n 8. De uiteindelijke situatie is waarschijnlijk alsnog wel dat het geheel veel moeilijker is dan de letters, maar je moet het ook weer niet overschatten.
Het zou ook kunnen dat in de praktijk alleen maar een heel beperkt aantal simpele woorden wordt gebruikt en je dan alsnog vrij makkelijk een subset van de wachtwoorden kunt kraken; er zijn er altijd wel wat die het wel goed doen, of domweg onbewust een onbekend woord toevoegden.

Skyclad @ACM • 8 augustus 2017 10:41

De meeste mensen gebruiken ook niet echt random characters als ze geen woorden gebruiken. Dus als een hacker alleen de meest gebruikte characters en character volgorden in zijn database heeft wordt je password al een stuk zwakker.

Zoals gezegd, als je meer dan 1 taal gebruikt neemt het aantal mogelijkheden fors toe. Ja, een password van 20 volkomen willekeurige characters (uit een set van 70 of meer) is natuurlijk heel veilig, maar het nadeel is dat 99.99% van de gebruikers niet kan inloggen tenzij ze een briefje met het password hebben liggen of het op hun telefoon of zo opslaan.

Als je weet dat iemand uit Nederland komt en meerdere talen spreekt, en heel specifiek die persoon wilt kraken moet je in ieder geval Nederlands + dialecten + Fries + Engels + Duits + Frans er in hebben staan, en voor de veiligheid ook Latijns + Grieks + Italiaans + Spaans + Portugees + Turks + Marokkaans Arabisch + Berbers, en eventueel nog andere talen.
Dat zijn al vrij veel mogelijkheden.

Kijk even hoe lang je nodig hebt om de volgende twee password strings te 'leren':
1. x2^LgLQ+"4GcD|5Q{L5O
2. FurElisezoualsheteenkadootjebetroferookFromLudwigophebbenstaan.

Welke kon je sneller herhalen? Ga nu een uur iets anders doen en probeer ze dan beide blind in te typen. Lukt je dat bij beide even makkelijk?

ACM Software Architect @Skyclad • 8 augustus 2017 12:11

Ik begrijp zeker dat de zin-versie makkelijker is te onthouden en hoe meer woorden je in de set hebt, hoe meer entropie er ontstaat. Maar men moet wel oppassen met de aanname dat het per definitie beter is. Jouw versie heeft een heleboel woorden en ik vermoed dat het daardoor sowieso al geen voorbeeld is van de meestgebruikte typen wachtwoordzinnen in de praktijk (je eerste wachtwoord is dat tenslotte ook niet

)

Verder geldt dat ze zijn allebei waardeloos in te voeren zullen zijn. De eerste omdat ie niet is te onthouden, tenzij er misschien een bepaald ritme in blijkt te zitten tijdens het typen. De tweede is zo lang dat de kans op typefouten erg groot is

Jorgen Moderator Beeld & Geluid @Skyclad • 9 augustus 2017 00:45

Leuk wachtwoord!

geonosys @ACM • 8 augustus 2017 09:30

Het blijft toch altijd PICNIC:

Problem In Chair, Not In Computer.

ACM Software Architect @geonosys • 8 augustus 2017 09:31

Die ken ik vooral als PEBKAC, Problem Exists Between Keyboard And Chair

Verwijderd @ACM • 8 augustus 2017 09:34

Er zijn meer variaties

Ook bv "User Error.. Replace user".

Miglow @Verwijderd • 8 augustus 2017 10:30

En the problem with every motorcycle is the nut connects the seat with the handlebar.

geonosys @Miglow • 9 augustus 2017 10:00

Badum tish!
$_/-\o_$

Troubled @Megalodon86 • 8 augustus 2017 09:27

De engelse taal heeft 171,476 woorden. En dit is exclusief namen. Als je dan 4 woorden achter elkaar plakt krijg je een heel veel mogelijkheden. 8.6459630841e+20 om precies te zijn.

Morelleth @Troubled • 8 augustus 2017 10:49

Nog iets meer mogelijkheden zelfs.

"English Dictionary contains full entries for 171,476 words in current use, and 47,156 obsolete words. To this may be added around 9,500 derivative words included as subentries. Over half of these words are nouns, about a quarter adjectives, and about a seventh verbs; the rest is made up of exclamations, conjunctions, prepositions, suffixes, etc. And these figures don't take account of entries with senses for different word classes (such as noun and adjective).

This suggests that there are, at the very least, a quarter of a million distinct English words, excluding inflections, and words from technical and regional vocabulary not covered by the OED, or words not yet added to the published dictionary, of which perhaps 20 per cent are no longer in current use. If distinct senses were counted, the total would probably approach three quarters of a million."

Verwijderd @Megalodon86 • 8 augustus 2017 10:36

l33t 1S 70ur fR13Nd!

Martijn.C.V

@Verwijderd • 8 augustus 2017 13:16

No, not really

So adding leetspeak is slightly better than just taking an english word, but it is not nearly as good as randomizing.

Boy @Megalodon86 • 8 augustus 2017 09:09

Blijkbaar is dat toch niet zo triviaal, als je bekijkt hoe een recovery phrase werkt voor een cryptocoin wallet. Dat zijn 6 tot 24 woorden uit een bestaand rijtje..

Cloud @Megalodon86 • 8 augustus 2017 09:15

Natuurlijk kunnen ze die eerst combinaties proberen doen (het zijn er echter teveel, zelfs als je Engels gebruikt), het is niet een kwestie van 'überhaupt niet kunnen'. Dat is het nooit geweest met die aanbeveling.

Het probleem was - en is nog steeds - de uiteindelijke lengte van het wachtwoord. Een wachtwoord dat bestaat uit vier woorden heeft doorgaans een langere lengte dan de mensen anders hadden bedacht als ze een regulier wachtwoord hadden moeten bedenken. Stel je neemt vier korte woorden van vier karakters, samen met de drie spaties ertussen heb je het over een lengte van 19 karakters. Dat is op dit moment (mits goed opgeslagen etc. etc.) niet te brute forcen.

Deze aanbeveling staat dus nog steeds als een huis.

[Reactie gewijzigd door Cloud op 24 juli 2024 14:00]

Sissors @Megalodon86 • 8 augustus 2017 09:18

Dat is dan ook niet de basis waarom het werkt. Het hele punt is dat er verrekte veel woorden zijn. Er zijn honderdduizenden woorden (per taal), waarvan tienduizenden normaal worden gekend door gebruikers, en duizenden regelmatig gebruikt.

Als we het over die paar duizend woorden hebben, en je doet vier willekeurige woorden achter elkaar, dan is dat ruwweg evenveel entropie als 10 volstreks willekeurige (lowercase) letters. Nee, het is niet evenveel entropie als 10 willekeurige karakters, maar er zijn toch bijzonder weinig wachtwoorden die aan die eis voldoen. De praktijk is dat de hoofdletter eis normaal aan wordt voldaan door eerste letter een hoofdletter te maken, cijfers door standaard vervanging, en speciale tekens door aan het eind een uitroepteken of vraagteken te zetten (of substitutie van s door $ bijvoorbeeld). En daarom dat wachtwoorden die aan die leuke eisen voldoen lagere entropie hebben dan wachtwoorden die bestaan uit vier willekeurige woorden, ook al zoekt een kraker naar vier willekeurige woorden. Het zijn immers gewoon heel veel combinaties.

Eén groot gevaar is er wel imo: het moeten wel willekeurige woorden zijn. "KleineLelijkeEend" is lang niet zo willekeurig als Correcthorsebatterystaple. En "IkhouvanJou" is natuurlijk al helemaal een slechte.
Maar het punt is dus dat zolang je woorden maar willekeurig zijn, het niet uitmaakt dat een kraker het patroon kent, er zijn simpelweg teveel mogelijke combinaties binnen dat patroon.

RVervuurt @Megalodon86 • 8 augustus 2017 09:24

Stel je hebt een lijst van 100.000 woorden, dan gaat het lang duren, zelfs met een gigantisch goede computer.

horsehorsehorsehorse is ook een combinatie die mogelijk is, dus in principe heb je 100.000*100.000*100.000*100.000 = 100.000.000.000.000.000.000 mogelijkheden. Dat gaat jaren duren om die allemaal te checken, dus daarom is een combinatie van woorden nog steeds een prima manier om een wachtwoord van te bouwen. Zeker als de woorden niets met elkaar te maken hebben, want ze zullen wel een soort van systeem gebruiken om eerst woorden te gebruiken die bij elkaar passen.

Als je dan één letter vervangt voor een cijfer of teken dat NIET op die letter lijkt (de R met een 4 bijvoorbeeld), wordt het alweer een heel stuk lastiger voor de hacker.

[Reactie gewijzigd door RVervuurt op 24 juli 2024 14:00]

Vayra @geonosys • 8 augustus 2017 09:37

Zijn wachtwoorden niet allang achterhaald? Als het de enige verdedigingslaag is, dan vind ik het in ieder geval allang niet meer afdoende. 2FA moet er toch minimaal wel op zitten tegenwoordig wil je nog het gevoel hebben dat je safe zit.

geonosys @Vayra • 8 augustus 2017 09:41

Sowieso.
Het topic gaat alleen over de (achterhaalde) eisen voor een wachtwoord. Toen dit werd opgesteld hadden volgens mij de meeste mensen nog nooit gehoord van 2FA.

japie06 @geonosys • 8 augustus 2017 09:10

Hier een interessant filmpje van Computerphile, "How to choose a password".

RVervuurt 8 augustus 2017 09:20

Wachtwoorden periodiek veranderen, dat heb ik nooit begrepen.

Bijvoorbeeld op de universiteit van m'n vriendin: die moeten elke 3 maanden (geloof ik) hun wachtwoord aanpassen. De oude wachtwoorden worden echter bewaard, want ze kan niet één van de vorige wachtwoorden gebruiken zonder de melding "Gebruik een nieuw wachtwoord".

Dit vind ik erg gek, want wat is het nut van het updaten van je wachtwoord, als je oude wachtwoorden niet verwijderd worden? Op deze manier maak je alleen maar een grotere database van mogelijke wachtwoorden. Daarnaast stappen alle studenten over op "mijn wachtwoord met elke keer een andere letter als hoofdletter en een ander nummer aan het einde", waardoor het helemaal niet zoveel beter wordt.

Beter zou zijn als de universiteit een password-generator en -vault (bijv. Lastpass, al zijn daar ook de meningen over verdeeld) aan zou bevelen en eventueel een abonnement zou kopen (al is de gratis versie meer dan prima) of Yubikey. Op die manier zorg je ervoor dat meer mensen een sterk wachtwoord gebruiken, omdat ze het niet hoeven te onthouden.

Jeoh @RVervuurt • 8 augustus 2017 11:30

Je oude wachtwoord wordt niet opgeslagen, er wordt alleen een hash hiervan opgeslagen.

glaaj @Jeoh • 8 augustus 2017 11:54

Hoe kan men dan op basis van een hash controleren of je nieuwe wachtwoord overeenkomsten vertoont met oudere wachtwoorden? Naar mijn weten veranderd de uitkomst van een hash dramatisch zelfs als er een klein verschil zit tussen A en B.

Edit: typo

[Reactie gewijzigd door glaaj op 24 juli 2024 14:00]

Jeoh @glaaj • 8 augustus 2017 12:00

Dat ligt aan de implementatie. Als het niet vergelijkbaar mag zijn met alleen het vorige wachtwoord, dan is dat best simpel, omdat je wanneer je je wachtwoord wijzigt ook jouw oude wachtwoord moet invoeren.

Stijnvi @Jeoh • 8 augustus 2017 12:28

Bij ons op school zijn het de laatste 15 wachtwoorden

curkey @Stijnvi • 8 augustus 2017 20:27

Een tabelletje bijhouden met de laatste X hashes lijkt me triviaal.

Martijn.C.V

@glaaj • 8 augustus 2017 11:58

Door iets als volgt:

$passwordBase = substr($newPass, 0, count($newPass)-1); // knip laatste getal weg
$laatsteGetal = substr($newPass, -1); // neem laatste getal

if( hashFunction( $passwordBase. ($laatsteGetal--)) ==$vorigeHashUitDb ){
echo "Mag niet hetzelfde zijn";
}

Uiteraard is is dit een super basaal voorbeeld, je kunt een loopje maken, betere checks enzo, maar dit is wel het basisprincipe

[Reactie gewijzigd door Martijn.C.V op 24 juli 2024 14:00]

benjidotsh @glaaj • 8 augustus 2017 11:59

Klopt, maar het gaat over een 100% gelijkenis tussen wachtwoorden

HooksForFeet @RVervuurt • 8 augustus 2017 10:02

Op mijn werk moet het ook om de drie maanden veranderd worden. Het irritante is dat ik dan wel in kan loggen op m'n PC, maar dat ik vervolgens met de hand de logins voor Outlook, intranet, mail en de kalender op de iPad en de wifi op m'n telefoon en iPad opnieuw in moet stellen met het nieuwe wachtwoord. Bloedirritant.

Yaminike @HooksForFeet • 8 augustus 2017 11:53

Voor je Outlook, dan kan je toch een 'app password' gebruiken? (2fa moet wel aan staan)
Of deze moeten verwijderd worden als het wachtwoord aangepast word, maar dat lijkt me stug.

[Reactie gewijzigd door Yaminike op 24 juli 2024 14:00]

r.koppelman @Yaminike • 8 augustus 2017 11:56

Wat is een app password dan?
Juist een lang wachtwoord wat niet verloop.
De moraal is dus geen wachtwoord periodiek veranderen en voor verschillende toepassingen verschillende wachtwoorden gebruiken. (Websites, Financieel etc.)

Troubled @RVervuurt • 8 augustus 2017 11:17

Ik denk dat dit gedaan wordt zodat je nooit genoeg tijd hebt om te brute forcen. Stel je hebt een wachtwoord dan binnen een jaar gecracked zou worden en iemand heeft de tijd hiervoor dan zou hij dit kunnen doen.

Beter is natuurlijk om sterke wachtwoorden te eisen die minimaal 10 jaar duren om te kraken maar niet iedereen houd zich daaraan.

theBazz @Troubled • 8 augustus 2017 11:50

Brute force is makkelijk tegen te gaan door het aantal pogingen dat toegestaan is te verminderen.
Als je na elke 10 mislukte pogingen een time out krijgt van 5 minuten, kun je nog maar 2880 pogingen per dag doen.

Vermindert al de kans op een brute forceren aanzienlijk.

Troubled @theBazz • 8 augustus 2017 11:55

En wat nou als de hash is gelekt? Dan kun je offline bruteforcen.

theBazz @Troubled • 8 augustus 2017 13:21

Dat heeft meer te maken met een goede of slechte manier hashen. Niet met de moeilijkheidsgraad van je wachtwoord.

Helaas zijn er genoeg websites die een verouderd algoritme gebruiken.

magnifor @RVervuurt • 8 augustus 2017 11:49

Dit wordt gedaan dat mocht iemand zijn/haar wachtwoord ergens laten slingeren dat het wachtwoord na maximaal 90 dagen onbruikbaar is. Niet dat pietje na 3 jaar met hetzelfde wachtwoord kan inloggen in Jantje zijn account.

Sir_Hendro 8 augustus 2017 09:11

Elke maand een ander wachtwoord op de werk pc. Vrijwel iedereen:

Jan: PassWord#001
Feb: PassWord#002
Mar: PassWord#003
Apr: PassWord#004
...

scribly3 @Sir_Hendro • 8 augustus 2017 09:37

of het duurt een maand om de nieuwe te onthouden, dus een maand lang een papiertje met de toegangscode naast de computer

Sir_Hendro @scribly3 • 8 augustus 2017 10:31

Het is belachelijk hoeveel wachtwoorden wij op het werk hebben voor alles en nog wat. Daarom staat hier passwords.txt op mijn bureaublad.

krosis @Sir_Hendro • 8 augustus 2017 12:52

Een password manager gaat je leven duizend keer beter maken, copy-paste en auto-type, categorisatie. Passwords generaten. Ik weet echt niet hoe ik het zonder zo'n programmaatje volhield.

curkey @krosis • 8 augustus 2017 20:31

Precies, ik heb een paar maanden geleden de beslissing genomen. De eerste middag is ruk omdat je de ganse tijd bezig bent om de passwords in te stellen en de auto type te regelen. Maar nu...

Een van de eye openers voor mij in KeePass was dat je referenties kan gebruiken. Ik heb op mijn werk diverse systemen waar ik met mijn windows credentials kan inloggen. Ik heb dus 1 entry met mijn windows ID, en alle andere entries verwijzen naar deze. Bij een password change hoef ik dan dus maar 1 entry aan te passen, en al mijn gerelateerde logins veranderen mee.

Stoney3K @scribly3 • 8 augustus 2017 10:34

of het duurt een maand om de nieuwe te onthouden, dus een maand lang een papiertje met de toegangscode naast de computer

Tenzij die hacker een camera heeft is dat geen kwetsbaarheid. Als andere mensen op kantoor jouw wachtwoord jatten dan heb je ergens anders een probleem.

Zymp @Sir_Hendro • 8 augustus 2017 09:16

Ik pak elke keer een (deel van een) spreekwoord. Mijn laatste was bijvoorbeeld:
Dekatkr@btdekr0llenvandeTrap

Maar ik vind eerlijk gezegd uw idee makkelijker en denk dat ik dat in de toekomst ook ga doen. Want wie zou mij nu willen hacken

[Reactie gewijzigd door Zymp op 24 juli 2024 14:00]

gooos @Sir_Hendro • 8 augustus 2017 10:19

Ongetwijfeld maar dan kan je beter afkortingen gebruiken van bijv steden / beursgenoteerde bedrijven / etc etc, dan wordt het gokken wat de volgende is door anderen opeens al een heel stuk lastiger.

Miglow @Sir_Hendro • 8 augustus 2017 10:36

Nee joh, post-it hebben ze niet voor niets uitgevonden....

Verwijderd @Sir_Hendro • 8 augustus 2017 09:16

Dat hadden we bij mij op het werk ook (elke 100 dagen) gelukkig heb ik mijn collega de systeembeheerder héél snel van dat beleid afgepraat. Het maakt je wachtwoorden namelijk zwakker.

Vayra @Majorzero • 8 augustus 2017 09:35

Het wordt best vervelend als je een applicatie of acht met elk hun eigen teller voor het vervangen van je wachtwoord moet gebruiken. Alles wijzigt niet tegelijk, maar afzonderlijk, dus je telling loopt ook vrij snel in de soep. En daar ga je dan automatisch ezelsbruggetjes voor bedenken, en die zijn meestal niet echt veilig.

Stoelpoot @Majorzero • 8 augustus 2017 09:37

Ahh, jullie hebben dus ook de wachtwoorden van @Sir_Hendro. Gelukkig heeft iedereen zn wachtwoord gewijzigd in Februari, nu kunnen hackers niks met de wachtwoorden van Januari.

Wachtwoorden om de x tijd veranderen doet echt niets goeds voor de veiligheid.

latka @Majorzero • 8 augustus 2017 11:00

Ik heb een beheerder die dit deed meegenomen naar de werkvloer om de post-its aan te wijzen met de paswoorden. Die weer naar de directie om te klagen en op te laten nemen in de bedrijfsregels dat je geen post-its met wachwoorden mocht hebben. Bleek de directeur zelf ook een post-it te hebben. Gevolg: paswoord beleid is aangepast en de beheerder kon het dak op ;-) (nee, geen stagiare, gewoon een vastgeroeste beheerder).

Gerrit T. @Majorzero • 8 augustus 2017 13:11

Pfff ja hoor, dan hadden jullie zeker een stagiair als systeembeheerder

Ik heb dagelijks van dit soort 'collega's" huilend aan mn bureautje omdat ze te lui zijn weer hun wachtwoord te veranderen.

Met één enkel maar krachtig vingergebaar werk ik ze weer mn kantoor uit.

Heb je nu serieus voor deze reactie een account aangemaakt?!
Ik kan me goed voorstellen dat jij "collega's" tussen aanhalingstekens zet want je vergeet 1 ding: systeembeheer is voor 99% van de bedrijven geen dienst die geld oplevert, maar geld kost.
Dankzij personeel zoals jij krijgen systeembeheerders een slechte naam: allemaal wannabe-BOFH-ers. Toetsenbordcowboys. Die communiceren met 1 enkele vinger. Daar wil je geen collega van zijn.

Als systeembeheerders hun policies niet goed op orde hebben (allemaal moeilijk hoor, die Group Policies menselijk toepassen) dan gaan ze het werk bij de klanten neerleggen. Moeilijke wachtwoorden afdwingen. Kan een gebruiker niet inloggen? Ha, wat een n00b! En maar vergeten dat die gebruiker geld oplevert, en systeembeheerders geld KOSTEN. En dat blijkbaar hier niet waard zijn.

Deveon @Gerrit T. • 8 augustus 2017 16:08

Een systeembeheerder kost geld net zoals stroom geld kost. Het is een kostenpost, maar probeer maar eens zonder en dat je goedkoper uit bent met. Daarnaast bepaalt een systeembeheerder geen enkel beleid, maar voert het enkel uit na goedkeuring door de (interne) klant.

Verwijderd @Majorzero • 8 augustus 2017 09:35

Nou nee, het liep toch wel anders

ArnoutV

@Majorzero • 8 augustus 2017 13:11

Je vergeet dat je op een service afdeling werkt en niet de core business bent van het bedrijf

beerse @Sir_Hendro • 8 augustus 2017 09:26

Daar is niets mis mee, alleen niet in Januari beginnen met nummeren maar nu (Augustus == 001) en doornummeren!
De betere wachtwoord herkenners gaan na een paar keer het patroon inzien en merken dat het te veel op een oud wachtwoord lijkt. Daarom:
Aug: PassWord!001
Sep: @002PassWord
Okt: PassWord#003
Nov: $004PassWord
...
Enne: gebruik niet 'PassWord' maar je eigen, 'eenvoudige' wachtwoord

Eventueel voeg 'Tw#@k' toe voor de tweakers website en 'F33s' voor facebook.

beerse 8 augustus 2017 09:18

Er zijn tools/routines die de hackbaarheid van een wachtwoord aangeven. Bijvoorbeeld dat het binnen een week, een maand of een jaar te kraken is.
Accepteer ieder wachtwoord en geef daarbij aan hoelang het geldig is, gebaseerd op de moeilijkheid van het wachtwoord. Dan kan iedereen eenvoudige wachtwoorden gebruiken, dat ze na een week weer moeten aanpassen. Of een moeilijk te kraken wachtwoord gebruiken dat ze 3 maanden of een half jaar kunnen gebruiken.
En natuurlijk een geschiedenis van wachtwoorden bijhouden zodat een wachtwoord maximaal 1 keer per 2 jaar kan worden gebruikt.

geonosys @beerse • 8 augustus 2017 09:34

Het is alleen jammer dat daar geen standaard voor is.
Wat bij de ene site een héél veilig wachtwoord is (alles groen), is bij de ander not done (donkerrood).

Stoney3K @geonosys • 8 augustus 2017 10:32

En dan heb je nog van die brakke sites die je wachtwoord weigeren als het langer is dan 8 karakters.

Roland684 @beerse • 8 augustus 2017 09:38

Als ze sowieso bij inloggen maar 5 pogingen toestaan (en dan een timeout van 15 minuten of zo) is elk wachtwoord sterk genoeg. Als ze een sterk wachtwoord vereisen betekent het gewoon dat ze hun eigen systemen niet vertrouwen dat de wachtwoordhashes niet zullen uitlekken.

Persoonlijk snap ik niet hoe het kan dat zelfs belangrijke databases wachtwoorden unencrypted (hash is geen encryptie) opslaan en het toestaan dat complete databases uitgelezen worden. Dan heb je echt niet nagedacht over beveiliging.

beerse @Roland684 • 8 augustus 2017 10:01

Niet helemaal. Als de versleutelde-wachtwoorden lekken, kan op topsnelheid oneindig veel en vaak geprobeerd worden.

Over het gebruik en de opslag van wachtwoorden worden steeds weer meer nieuwe routines gemaakt. Soms uit onwetendheid, soms omdat het nu effe snel moet, soms omdat de keuze te groot is. Bedenk dat unix al sinds 1970 een aardig wachtwoord systeem heeft, al is dat in de loop van de tijd wel regelmatig aangepast. msWindows begon pas na 1990 met wachtwoorden en begon helemaal van voor af aan. Die geschiedenis heeft zich herhaalt met databases, websites en dergelijke.

Roland684 @beerse • 14 augustus 2017 11:56

Dat zeg ik. De wachtwoord-sterkte doet er pas toe als ze uitlekken.

"Jij moet een sterk wachtwoord gebruiken, want wij kunnen/willen niet garanderen dat onze database gehacked wordt."

Het is toch niet zo moeilijk zijn om te voorkomen/detecteren dat er vreemde dingen gebeuren op de tabel met wachtwoorden? Alleen wachtwoorden gehashed opslaan is geen serieuze beveiliging en de oplossing zou niet moeten zijn dat de gebruiker dan maar complexe wachtwoorden moet gaan gebruiken.

riezebosch @Roland684 • 8 augustus 2017 13:08

Dat werkt dan weer een denial of service in de hand: als ik jou wil dissen ga ik express 5x een verkeerd wachtwoord invoeren zodat jij zelf ook niet kan inloggen.

Roland684 @riezebosch • 14 augustus 2017 12:07

Dus je moet een brute force attack op je login database toestaan?

Die 5 pogingen doe je nattuurlijk op ip-adres, niet (in de eerste plaats) op accountnaam.

En als je merkt dat iemand aan het hacken is, houd je hem tegen. Je laat hem niet zijn gang gaan omdat het anders ongemak voor de echte account-eigenaar betekent.

Jelv @beerse • 8 augustus 2017 09:27

Het hergebruiken van wachtwoorden is een groter probleem dan een 'zwak' wachtwoord. Plus ik wil voor mijn 200 accounts niet elk jaar een nieuw wachtwoord aanmaken

[Reactie gewijzigd door Jelv op 24 juli 2024 14:00]

Robby517 @beerse • 8 augustus 2017 09:34

Of je kan gewoon 2FA ondersteuning bieden en mensen niet opzadelen met dat soort onnozelheden.

killzonex 8 augustus 2017 09:07

waarom word er geen vingerafdruk systeempje gemaakt voor pcs, koppelen aan je accounts, vinger erop en ingelogd.

op telefoon werkt het ook perfect.

jah het is vast te hacken alleen nu is het dat ook , plus niemand hoeft 150 verschillende wachtwoorden te onthouden.

draadloos @killzonex • 8 augustus 2017 09:16

Mwa, dat is er pas een jaar of 15 geloof ik....

killzonex @draadloos • 8 augustus 2017 13:33

blijkbaar niet want ik ken niemand die het op ze pc heeft.

draadloos @killzonex • 8 augustus 2017 15:05

https://en.wikipedia.org/wiki/Microsoft_Fingerprint_Reader

2004... idd geen 15 jaar maar 13 jaar geleden.

killzonex @draadloos • 8 augustus 2017 22:47

alleen niet officieel ondersteunt op win 7 dus tegenwoordig heb je er geen.... meer aan ,oftewel een goed systeem voor pc's waar sites mee overweg kunnen je os enz is er dus niet?

draadloos @killzonex • 9 augustus 2017 00:23

Als je gewoon ff google gebruikt, zie je dat er maar zat oplossingen zijn. Tevens genoeg laptops te vinden met ingebouwde fingerprint readers.

kzin

@killzonex • 8 augustus 2017 09:42

Ik zie het hoofdzakelijk als manier om in te loggen op je telefoon, pc of laptop. Ik zou niet willen dat ik daarmee ook automatisch inlog op microsoft, google, tweakers of welke andere website dan ook.

killzonex @kzin • 8 augustus 2017 13:42

waarom nie?

heb inloggen op me ing met vinger afdruk , betalen erna met pincode als ze me vinger afdruk zouden kunnen stelen waarom zouden ze dat met me pincode niet kunnen?

beerse @killzonex • 8 augustus 2017 10:04

Met een vingerafdruk toegang controle hebben de meeste van ons maximaal 10 versies die ze in hun hele leven kunnen gebruiken. En als je letterlijk in je vingers snijdt heb je toch een uitdaging.

killzonex @beerse • 8 augustus 2017 13:33

10 vingers:)

AtleX @killzonex • 8 augustus 2017 10:41

Mijn wachtwoord (de unlockcode voor mijn password manager that is) is iets dat ik weet en geheim kan houden. Mijn vingerafdruk is iets wat ik overal en nergens achterlaat. Geef mij dan maar een wachtwoord, in combinatie met 2FA (via OTP en absoluut niet via SMS) waar mogelijk en sterke wachtwoorden in een password manager.

killzonex @AtleX • 8 augustus 2017 13:40

klopt alleen een beetje goede vingerafdruk scannen zal niet moeten te misleiden zijn

maar het ging me meer om thuis gebruik geen hacker die eerst inbreekt om daarna je vinger afdruk te stelen.

plus als er een goed systeem bestaat waar je dus echt alleen met de scanner en je vingerafdruk je kan inloggen valt er voor hackers al heel veel af toch?

AtleX @killzonex • 8 augustus 2017 13:54

Mwa, een paar jaar geleden heb ik eens vrij serieus naar wat vingerafdrukscanners gekeken en het merendeel hield ik met de standaard trucs toen wel voor de gek. Een jaar of tien geleden waren de USB sticks met vingerafdruk'beveiliging' ineens heel hip. Nou, die waren eigenlijk zonder uitzondering wel binnen een uurtje te kraken.

Het probleem met je vingerafdruk is dat je al je geld op één paard zet, en dat paard laat je dan ook nog eens overal onbeheerd achter. Als er nu een dienst waar ik gebruik van maak zijn wachtwoorden lekt is er niets aan de hand, alle andere accounts hebben toch andere wachtwoorden. Even die ene opnieuw instellen en klaar is /me. Met een vingerafdruk weet elke hacker al waarmee ik me autoriseer, hij moet het alleen nog te pakken krijgen en da's niet zo moeilijk.

bapemania @killzonex • 8 augustus 2017 09:10

Windows Hello! Inloggen met Irisscanner, vingerafdruklezer of gezichtsherkenning (3d camera) werkt ook als wachtwoord vervanger.

beerse @bapemania • 8 augustus 2017 10:06

Nogal een lekker systeem: Tot windows 7 werkte de vingerafdruk van mijn laptop perfect. Met windows10 moest dat op Hello, die vereist dat ik een pincode gebruik (dus alleen cijfers!), naast de vingerafdruk en het wachtwoord. Ik wil zonder pincode maar met vingerafdruk en wachtwoord....

Neus @killzonex • 8 augustus 2017 09:12

MacBook Pro met TouchID ?

killzonex @Neus • 8 augustus 2017 13:34

gebruik vingerafdruk op me tel zie het alleen nergens op een thuis pc vandaar me vraag

Mormeldier @killzonex • 8 augustus 2017 12:29

Security-oplossingen zijn altijd afhankelijk van de situatie:

Encryptie over het netwerk is niet hetzelfde als encryptie van je harde schijf.
Een file hash is niet hetzelfde als een password hash.
Lokaal inloggen is niet hetzelfde als remote inloggen.

In het document wordt hierover ook wel gesproken. Er staat dat biometrics als enige factor niet geschikt zijn voor verificatie op afstand (e-authentication).

Inloggen op je telefoon met je vingerafdruk bestaat in zekere zin al uit twee factoren: je moet de telefoon hebben en de vingerafdruk. Een hacker kan hiermee niets via internet en zal jou specifiek moeten willen aanvallen hiervoor - ook in de echte wereld...

Het belangrijkste aspect hierbij is dat je telefoon de vingerafdruklezer kan verifiëren en vertrouwen. Online services kunnen dat niet. Jouw telefoon stuurt gewoon een of meer geheime tokens, maar wel allemaal vanuit dezelfde bron - een enkele factor dus. Dit is niet veel meer dan een complex wachtwoord uit een password manager.

Daarnaast wil je dat Google andere tokens krijgt dan Facebook dus krijg je al snel een lokale token vault in je telefoon. Deze moet natuurlijk wel versleuteld worden opgeslagen. Zou heel mooi kunnen werken, maar soms wil je ook kunnen inloggen vanaf je laptop, of je tablet, dus die vault moet gesynchroniseerd worden op een of andere manier. De andere partijen (of devices) voor het synchroniseren moeten ook weer geverifieerd en vertrouwd kunnen worden. Het wordt er niet makkelijker op en levert steeds meer mogelijkheden voor hackers om je aan te vallen.

killzonex @Mormeldier • 8 augustus 2017 13:37

top uitleg dankje

alleen voor facebook ing enz blijft je vinherafdruk toch hetzelfde? waarmee je je afdruk maakt staat op je account?

als ik laten we zeggen 10 wachtwoorden op 10 sites heb en op alle tien mijn linker vinger gebruik dan moet die site dat toch kunnen verifiëren? puur voor thuis gebruik lijkt me dit een betere oplossing dan een ww?

curkey @killzonex • 8 augustus 2017 20:41

Probleem van biometrische beveiliging is wel, dat als het gecompromitteerd raakt (bv een vingerafdruk namaken) dat je het niet kan vervangen voor iets anders. De vingerafdruk heeft wel een hoge convenience factor, dat dan weer wel.

killzonex @curkey • 8 augustus 2017 22:29

maar bedoeling is toch dat het niet na te maken is ? weet nie hoe ze het op vliegvelden beveiligen maar dat moet toch wel te realiseren zijn?

er valt toch alleen iets te stelen als het opgeslagen wordt ? en dat is dus net waar we vanaf moeten.

HooksForFeet 8 augustus 2017 09:13

Ziggo is wat dat betreft een klassieker: Hoofdletters, speciale tekens, cijfers, geen oplopende cijferreeks, je postcode of huisnummer mag er niet in voorkomen, en nog een paar dozijn eisen. Het allerleukste: sommige eisen noemen ze niet, dus dan valideert je wachtwoord prima maar mag je hem toch niet gebruiken. En dan maar raden welke eisen ze nog meer bedacht hebben!

Roland684 @HooksForFeet • 8 augustus 2017 09:32

Er bestaan dan ook maar 684 unieke wachtwoorden bij heel Ziggo.

Maar inderdaad. Het is mega irritant als de passwoord-eisen niet van tevoren (of helemaal niet) bekend gemaakt worden.
Het moeten wel heel belangrijke sites zijn, want anders geef ik gewoon op na 3 pogingen. Voor hen 10 anderen die niet zo moeilijk doen.

HooksForFeet @Roland684 • 8 augustus 2017 09:58

Bij sites waar ik niet omheen kan (ziggo, energieleverancier, mobiele provider enzovoort) druk ik gewoon standaard op "wachtwoord vergeten" en log ik in met het tijdelijke wachtwoord dat ze me toesturen. Iedere keer.

Misschien is dat eigenlijk nog wel veiliger dan een wachtwoord dat makkelijk te onthouden is, bedenk ik nu.

mashell @HooksForFeet • 8 augustus 2017 10:33

Die tijdelijke wachtwoorden worden via email, dus plain text, naar je toe. Dat is dus een veiligheidsrisico. Ik denk eigenlijk dat onversleulelde email misschien wel het grootste veiligheidsrisico op het internet is.

HooksForFeet @mashell • 8 augustus 2017 10:43

Niet als ze maar één keer te gebruiken zijn, zoals meestal het geval is.

killer_mac @HooksForFeet • 8 augustus 2017 11:52

Jullie vergeten allemaal, dat de Connectbox van Ziggo niet eens speciale tekens accepteert.

Dus de Site vereist complexe wachtwoorden met van alles en nog wat, maar de Router zelf (om bij instellingen te komen) kan niet omgaan met speciale leestekens. Oh ja en niet langer dan 8 characters

De Wifi gelukkig wel WPA2 maar toch. Ik heb mij verbaasd.

Roland684 @mashell • 14 augustus 2017 12:24

Verbindingen tussen mailservers zijn al encrypted en je kunt ook gewoon encryptie gebruiken tussen je mailprogramma en mailserver. Dus het is niet helemaal onbeveiligd. al kan elke mailserver waar het bericht doorheen komt je mail wel lezen. Je moet je waarschijnlijk meer zorgen maken over de webpagina waar je dat wachtwoord vervolgens intypt.

Maar het is inderdaad belachelijk dat OpenPGP nog niet standaard gebruikt wordt.

mashell @Roland684 • 16 augustus 2017 16:44

Dus het is niet helemaal onbeveiligd. al kan elke mailserver waar het bericht doorheen komt je mail wel lezen.

Dat noem ik dus onbeveiligd. End to end encryptie zou de norm moeten zijn. Een relay sever gaat de inhoud helemaal niks aan.

Verbindingen tussen mailservers zijn al encrypted

Dat kan, maar is niet verplicht, niet standaard en je kunt er maar beter vanuit gaan dat het niet overal ingezet wordt.

TommyboyNL @HooksForFeet • 8 augustus 2017 09:18

En niet te vergeten, niet te veel karakters uit dezelfde categorie achter elkaar... Slaat inderdaad helemaal nergens op daar.

gokhan66 8 augustus 2017 09:02

Vooral de wachtwoorden dat je bijvoorbeeld maximaal 13 tekens mag hebben zijn erg hinderlijk.

Boy @gokhan66 • 8 augustus 2017 09:10

boh ja, voor visualstudio.com is dat ook, word je knettergek van als je een wachtwoord wilt bedenken en je wordt beperkt in het aantal karakters...

uip @Boy • 8 augustus 2017 11:12

Veel erger is binck.be/nl waar je in je wachtwoord ook beperkt wordt in lengte. Ik denk iets van 16 karakters. Ik werk standaard met wachtwoorden van 18 karakters in mijn LastPass :-)

Boy @uip • 8 augustus 2017 13:40

ja, ik bedoel ook max 16 bij visualstudio, en dat voor een tech website...

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (209)

Sorteer op:

Weergave: