Apple doet in iOS 14 aanbevelingen voor opgeslagen wachtwoorden

Apple heeft in iOS 14 en iPadOS 14 nieuwe functionaliteit toegevoegd aan Keychain. De wachtwoordmanager doet suggesties en aanbevelingen, bijvoorbeeld als gebruikers een zwak wachtwoord hebben gekozen. Ook wordt er gewaarschuwd voor gelekte wachtwoorden.

De nieuwe functionaliteit zit in de bètaversie van iOS 14, zo meldt 9To5Mac. In de nieuwe versie van het mobiele besturingssysteem zit een menu met aanbevelingen voor opgeslagen wachtwoorden in Keychain. Zo wordt er onder meer aangegeven of een wachtwoord vaak door anderen wordt gebruikt, of dat het wachtwoord gemakkelijk te raden is.

Ook waarschuwt Apple wanneer een wachtwoord is opgedoken in een datalek, en dus mogelijk buitgemaakt is bij een datadiefstal. Er wordt bij een waarschuwing een link geplaatst naar de webpagina waar het desbetreffende wachtwoord kan worden veranderd. Apple had deze functionaliteit al aangekondigd in de changelog die het voor iOS 14 online heeft gezet.

In iOS 13 zaten ook al waarschuwingen, maar met het nieuwe menu moet het voor gebruikers inzichtelijker worden wat er precies schort aan een bepaald wachtwoord. Momenteel is iOS 14 en iPadOS 14 alleen nog als bèta te verkrijgen. Tweakers publiceerde eerder een preview van het nieuwe mobiele besturingssysteem.

Wachtwoorden iOS 14

Reacties (105)

TWKterry 5 juli 2020 14:31

Zinnen als deze zijn erg effectief lijkt het en ook redelijk makkelijk te onthouden.
Geen idee hoe lang een computer er mee bezig is maar lang is een ding wat zeker is.

https://en.wikipedia.org/wiki/Names_of_large_numbers

Kees_van_de_Bakker_om_de_Hoek_2020

It would take a computer 10 QUATTUORDECILLION YEARS to crack your password

Die_mooie_meid_van_het_hoekhuis_verderop_2020

It would take a computer 6 UNVIGINTILLION YEARS to crack your password

edit: link toegevoegd

[Reactie gewijzigd door TWKterry op 23 juli 2024 21:53]

grrfield @TWKterry • 5 juli 2020 21:39

In de praktijk zal het nog langer duren. Als ik driemaal een foutief password ingeef dan wordt mijn account vergrendeld. Dan moet ik via de IT-afdeling passeren. Dat wil zeggen dat het na drie pogingen weer een kwartier duurt voor je account actief is. En hun euro zal ook wel vallen zeker als iemand voor de honderdste keer belt om een password te resetten.

PhoenixT @grrfield • 5 juli 2020 22:56

Kraken doe je op uitgelekte wachtwoord databases, niet op inlogvelden

grrfield @PhoenixT • 5 juli 2020 23:52

waarom spreken ze dan over sixtupilionwhathever jaren ?

GoldenLeafBird @grrfield • 6 juli 2020 06:34

Omdat dit er van uitgaat dat er een brute force aanval is die alle combinaties gaat proberen.
Als je alle wachtwoorden gaat proberen beginnende bij "a" en eindigend bij die hele zin, met een x aantal pogingen per seconde ben je misschien wel zo veel jaar bezig. Maar die manier van wachtwoorden kraken is bijzonder inefficiënt en wordt tegenwoordig niet meer toegepast. En dat houdt ook nog eens geen rekening met beveiliging zoals dat je account geblokkeerd wordt als je te vaak een fout wachtwoord probeert, zoals je zelf al aanhaalde.

Wat er vaker gebeurt is dat er ergens een data breach is en dat een database met inloggegevens en versleutelde wachtwoorden lekt. Dan kan je op je eigen pc wachtwoorden gaan hashen en vergelijken met de hashes in de database. Dit gaat veel sneller dan wanneer je moet communiceren met een extern systeem. Als je dit vervolgens ook nog combineert met woordenboekaanvallen en andere slimme aanvalstechnieken ben je een stuk minder tijd kwijt dan met een simpele brute force aanval.
Omdat mensen veelal lui zijn hergebruiken we wachtwoorden vaak, en dan heb je een combinatie van inlognaam en wachtwoord die je op meer plekken kan proberen.

laptopleon @PhoenixT • 6 juli 2020 02:17

@grrfield heeft wel een punt. Uiteindelijk is het doel natuurlijk nooit het kraken van uitgelekte hashes van sites waarvan je weet dat ze gehackt zijn, want die sites hebben intussen de wachtwoorden gereset. Het ware doel van hackers is om er andere, nog actieve accounts mee binnen te komen. Ze richten zich op mensen die hun wachtwoorden hergebruiken. Of ze hebben een database met hashes buitgemaakt en proberen die te ontcijferen omdat ze zelf de database buitgemaakt hebben, maar dan is er veel meer aan de hand..

Het.Draakje @TWKterry • 5 juli 2020 14:46

Zie link van Arstechnica hierboven:

The problem with password strength meters found on many websites is they use the total number of combinations required in a brute-force crack to gauge a password's strength. What the meters fail to account for is that the patterns people employ to make their passwords memorable frequently lead to passcodes that are highly susceptible to much more efficient types of attacks.

Jouw paswoord methode is precies dat: een methode en dus kraakbaar zonder een brute-force.

r2504 @Het.Draakje • 5 juli 2020 17:16

Veel geluk om dat te kraken zonder bruteforce... ik denk dat geen van beide zinnen in een dictionary zit.

En alle woorden uit Van Dale combineren met cijfers en andere tekens is pure brute force die niet veel beter zal presteren dan gewoon starten met aaaaaa, aaaaab, aaaaac, ...

Het.Draakje @r2504 • 5 juli 2020 17:24

Lees dat gelinkte stukje uit een eerder post van mij. Let vooral op die combinator attack. Momof3g8kids. Gekraakt als Momof3g en 8 kids. Een standaard dictonary attack.

(Pagina 3, net boven de comics van xkcd).

r2504 @Het.Draakje • 5 juli 2020 18:20

Zoiets werkt toch enkel met single pass algorithms (welke je zo ie zo al niet mag gebruiken voor paswoorden) ?

Het.Draakje @r2504 • 5 juli 2020 18:35

De hacker werkte met twee (of meerdere) dictionaries die hij koppelde. In de ene stond Momof3g en in de andere stond o.a. 8kids. Door ieder woord uit de ene database te combineren met een uit de andere vond hij de combinatie. En er is geen enkele reden waarom dat niet zo werken met delen van bovenstaande zin.

Kees staat in het woordenboek
van staat erin
de staat erin
Bakker staat erin
enz. combineer dat met een _ en je hebt gewoon een probleem.

lwmˆfpvkl902LLwp% is sowieso een stuk veiliger. Alleen wat minder makkelijk om te onthouden.

Lang is niet per definitie veiliger, alleen als het random is dan maakt de lengte van je password wel een behoorlijk verschil.

r2504 @Het.Draakje • 5 juli 2020 19:22

Sinds wanneer is de hash van individuele woorden gelijk aan de hash van de samengestelde zin ?

Momof3g SHA1 is 1252CA852D3497DBC495BAEF69B938D5B07F4724
8kids SHA1 is CF0268833791BFB26236F74AB84E130FD4202CD0
Momof3g8kids SHA1 is 91EF1446C2E6CE52D4937583096038C30E407C96

Ik zie dus echt niet in hoe je iets kan combineren ?

PS. SHA1 louter als voorbeeld.

Het.Draakje @r2504 • 6 juli 2020 07:32

Woordenboek a: W8Word, ...., Momof3g, ......
Woordenboek b: Geheim, Pas$w0rd, 8kids, Feyenoord, .......

Combi-attack:
W8WordGeheim, W8WordPas$w0rd, W8Word8kids, W8WordFeyenoord
Momof3gGeheim, Momof3gPas$w0rd, Momof3g8kids, Momof3gFeyenoord.

Bereken van ieder van die woorden de hash en bingo.

Dus nee, ze gebruiken niet de hash van een woord aangevuld met de hash van een ander woord.

@DigitalExorcist Een salt maakt niet zoveel uit, volgens die hacker in 2013.
Quote:
But the thing about salting is this: it slows down cracking only by a multiple of the number of unique salts in a given list. That means the benefit of salting diminishes with each cracked hash. By cracking the weakest passwords as quickly as possible first (an optimization offered by Hashcat) crackers can greatly diminish the minimal amount of protection salting might provide against cracking.
Unquote.

Er zitten altijd wel van die gasten tussen die Pa$sW0rdO1 gebruiken. Dus daar gaat je salt.

2FA is momenteel nog wel lastig maar daar gaat deze discussie niet over. Het gaat over het gebruik van woorden en zinnen als password.

r2504 @Het.Draakje • 6 juli 2020 12:50

De Taaldatabank van het Instituut voor de Nederlandse Taal is een computer waarin alle woorden en woordvormen (lezen: lees, leest, las, lazen...) worden opgeslagen van de 12de tot en met de 21ste eeuw. Die bevat al meer dan 60 miljoen woorden.

60 miljoen tot de 7e macht (aantal woorden in "Die_mooie_meid_van_het_hoekhuis_verderop_2020") (en dan spreken we nog niet over case sensitive, koppelteken, vervangteken, ... varianten)... veel succes met je combi attack !

DigitalExorcist @r2504 • 5 juli 2020 19:29

Als het dan ook nog eens gehashed én gesalt is wordt het nogal een klus om te kraken.... en dan in combinatie met 2FA - praktisch onmogelijk.

[Reactie gewijzigd door DigitalExorcist op 23 juli 2024 21:53]

laptopleon @Het.Draakje • 6 juli 2020 00:36

Maar dan nog. Zelfs als je Die_mooie_meid_van_het_hoekhuis_verderop_2020 beschouwt als 'maar' acht lemmas uit een woordenboek, kan op elk van die acht posities dus ongeveer elk lemma staan.

Hoeveel lemma's / varianten staan er wel niet in die woordenboeken? Zo te zien op Google zijn er woordenboeken van bijna 1,5 miljard woorden. Dus je hebt niet een wachtwoord van 8 characters lang waarbij elk character 0-9, a-z, A-Z of een leesteken kan zijn, maar bizar grote variatie.

0-9, a-z en A-Z zijn samen 10+26+26 = 62 tekens. ASCII kent in totaal 95 afdrukbare tekens. Laten we het afronden op grofweg 100.

Als er bij een acht tekens lang wachtwoord 100 combinaties per positie zijn, heb je bij een woord van 8 tekens 10¹⁰ x 10¹⁰ x 10¹⁰ x 10¹⁰ x 10¹⁰ x 10¹⁰ x 10¹⁰ x 10¹⁰ = 10⁸.

Als er honderdduizend 'woorden' in het woordenboek zitten, krijg je bij een 8-woords-combinatie als Die_mooie_meid_van_het_hoekhuis_verderop_2020 dus 10⁵ x 10⁵ x 10⁵ x 10⁵ x 10⁵ x 10⁵ x 10⁵ x 10⁵ = 10⁴⁰. (En dan vergeten we nog even de underscores.)

lwmˆfpvkl902LLwp% is 'maar' 17 gewone characters dus uitgaande van 100 mogelijke varianten 'maar' 10¹⁷.

En dan heb ik het nog conservatief ingeschat door uit te gaan van honderdduizend woorden in plaats van anderhalf miljard, want anders kom je eerder richting 3,84 x 10⁸² uit.

[Reactie gewijzigd door laptopleon op 23 juli 2024 21:53]

Het.Draakje @laptopleon • 6 juli 2020 06:50

Je maakt de fout met je veronderstelling dat "Die_mooie_meid" 14 willekeurige positie's zijn. Dat is het (uiteraard) niet het zijn drie woorden. Gewone woorden uit de spreektaal. Wat een beperkte set is uit het Algemeen Nederlands Woordenboek. Die berekening van 10ˆ17 slaat in het geval van woorden nergens op.

Password01 is 10 positie's lang. Maar een beetje hacker heeft echt geen 10ˆ10 pogingen nodig om dat te vinden. Die valt in in de eerste ronde door de mand.

Volgens google:
De woordenschat die een volwassen Nederlander gebruikt, bestaat gemiddeld uit 10.000 woorden. Hoeveel woorden iemand kent varieert sterk: van 45.000 tot 250.000 woorden.

Maar je gebruikt maar een beperkte set. Je gaat voor een password niet "moeilijke woorden" opzoeken in het woordenboek. Dus een groot deel van de woorden valt gewoon af. Zelfs als het woordenboek 1,5 miljard lemma's groot is.

laptopleon @Het.Draakje • 6 juli 2020 13:33

Zeker is dat een belangrijke factor. Mensen kunnen nou eenmaal slecht ‘woorden’ – of beter gezegd willekeurige lettercombinaties onthouden die uniek zijn, dat is het hele probleem.

Het voorbeeld Password01 is een schoolvoorbeeld van voordehandliggendheid, maar ‘Piet arriveert soms samen wanneer otto redeneert 01’ is redelijk makkelijk uit je hoofd te leren – zeker als Password01 je oude ww is, wat je nog weet – en dan wordt het toch echt een heel stuk lastiger voor een hacker.

Zelfs als iemand ‘maar’ 10.000 woorden gebruikt, zit je dan vanwege de eerste zeven woorden al op 10²¹.

In het artikel gaan ze voor de snelle winst. Combinaties van woorden van twee of drie characters. Maar dat is ook niet realistisch. Hoeveel mensen zullen zo’n simpele ‘zin’ bedenken, als ze echt deze tip volgen? Ik zou zelfs extra moeite moeten doen om zulke korte combinaties te maken. ‘de-tip’ ‘ga-nu’ en ‘ga_weg’ en dergelijke combinaties krijg je dan.. Tja..

Als je dan ook nog een leesteken erdoor mixt, cijfer en iets met onderkast / kapitalen doet – want vaak is dat verplicht – wordt het er niet makkelijker op.

Maar er is nog een reden dat ik dit artikel te kort door de bocht vindt. Er staat niet bij, van welke bron het komt.

Dat is allesbepalend want voor de meeste accounts die ik verplicht aanmaak, doe ik weinig moeite een moeilijk wachtwoord te bedenken. Dat zijn vaak webwinkels waar ik één keer wat bestel en die verder toch weinig schade aan kunnen richten. Dus ja, daar zulken heel veel mensen gewoon qwerty als wachtwoord gebruiken.

r2504 @Het.Draakje • 6 juli 2020 12:54

Laten we het simpel houden dan... "Die_mooie_meid...." zin bevat 7 woorden, met een eenvoudige woordenschap kom je zo reeds op 10.000 tot de zevende macht en dan spreken we nog niet eens over case-sensitive variaties, koppelteken variaties, vervangkarakters (bv a door @), ...

Veel succes met je dictionary !

Mastofun @Het.Draakje • 6 juli 2020 08:25

Om de dictionaire attack tegen te gaan en het makkelijk te onthouden kan je ook zinnen omvormen:

Mijn Hond Eet Graag Brokjes Van Den Aldi
-> passwoord is dan Mhegbvda

voeg daar nog een datum aan toe
Mhegbvda#1973

En dat is redelijk veilig en goed te onthouden.

Edit : veiliger is MFA te activeren ( wachtwoord/inlog bevestiging op gsm )

[Reactie gewijzigd door Mastofun op 23 juli 2024 21:53]

Het.Draakje @Mastofun • 6 juli 2020 10:44

Uit het gelinkte artikel (de comments van de hacker)

Capital at the beginning, digits at the end, all lowercase in the middle. It's a poor password because it's using a common pattern.

Neen dus, niet redelijk veilig. mheG#1973bvdA is een stuk veiliger want daar heb je niet dat pattern. Maar dan moet je weer onthouden waar je die datum moest invoegen en waar de hoofdletters staan. En bij de tweede web-site heb je een probleem, want wat voor zin ga je daar verzinnen? Hergebruiken van het wachtwoord wordt sowieso als een "doodzonde" gezien, want dan legt door één hack je hele on-line gebeuren op straat.

MFA is veiliger maar daar gaat deze discussie niet over. Het gaat over woorden en zinnen gebruiken als password en dat is niet veilig. Als MFA niet ondersteunt wordt (komt nog vaak genoeg voor) dan is de enige beveiliging die je hebt een zo lang mogelijke string bestaande uit hoofd-, kleine letters, cijfers en leestekens in een willekeurige volgorde.

Een password manager helpt daarbij (zeker als je meerdere passwords moet onthouden). Zelf heb ik wat geld geïnvesteerd door mSecure (2 tientjes met korting die volgens de web-site nog geldig is) aan te schaffen juist vanwege de optie tot non-cloud synchronisatie tussen Apple en (max) vijf iPhones. Maar er zijn ook goede password managers te vinden die letterlijk geen cent kosten.

Mhegbvda#1973 is een mooi password voor het openen van je wachtwoord bestand (want dat woord hoef je niet met een web-site te delen) en dan kan jouw manager gewoon 15 of 20 random tekens genereren en veelal ook meteen voor jou op de web-site invullen.

Mastofun @Het.Draakje • 6 juli 2020 12:31

Het was maar een voorbeeld om willekeurige letters te onthouden. Maar ik ga volledig akkoord met je antwoord.

Verwijderd @TWKterry • 5 juli 2020 19:31

It would take a computer 10 QUATTUORDECILLION YEARS to crack your password

Uhhh wellicht in 2001, niet nu. Zeer slecht advies en ik denk dat het beter is asl je het weghaalt. Met spoed.

TWKterry @Verwijderd • 5 juli 2020 19:57

Ik denk dat dit juist zinvol is. De discussie daarop volgend zal voor een aantal mensen een eyeopener zijn.
Bovendien was het geen advies, Ik stelde dat dit een goed en makkelijk te onthouden wachtwoord ‘lijkt’ te zijn,
Mogelijkerwijs is dit dus niet zo.
Geeft dus aan dat de deze password check site een farce is en dit wachtwoord mogelijkerwijs zonder een aantal vreemde karakters als #€@&( ook niet echt veilig is vanwege de dictionary attacks.

Krulliebol @TWKterry • 5 juli 2020 21:21

Volgens mij gaat die berekening ervan uit dat een computer alle mogelijke willekeurige combinaties in volgorde uitprobeert. Maar een hacker probeert natuurlijk eerst bekende combinaties uit, zoals woorden uit het woordenboek en variaties daarop. In dat geval worden de wachtwoorden die je noemt veel sneller gevonden. En dan is je tweede wachtwoord wellicht zwakker dan het eerste, omdat er alleen maar woorden uit het woordenboek in voorkomen.

Overigens: zelfs al zou dat niet het geval zijn, dan moet je er rekening mee houden dat er binnen afzienbare tijd computers komen die krachtiger en handiger zijn dan de huidige computers (denk aan quantumcomputers), dus ze zullen je wachtwoord sowieso véél sneller hebben dan de genoemde 10 quattuordecillion resp. 6 unvigintillion jaar.

? ? @TWKterry • 6 juli 2020 10:13

Het enige dat werkt is een wachtwoordmanager die automatisch willekeurige karakters genereert...
Een wachwoord dat je kan of moet onthouden is een slecht wachtwoord.
6,To*82%àéç!è"§'Jfdjskj"iojf876Uhn is even lang en duurt nog veel langer om te "kraken".

dibrain2000 5 juli 2020 13:46

Pak een zin uit een lied dat je kent en gooi er wat andere tekens en hoofdletters in

TakeyourseasideArmsandwritethenextLine,
0h1Wantthetruthtobeknown! :-)

Makkelijk voor een mens, (nog) niet makkelijk voor een algoritme.

Maar Spandau Ballet is niet verplicht, Kanye West mag ook

[Reactie gewijzigd door dibrain2000 op 23 juli 2024 21:53]

Het.Draakje @dibrain2000 • 5 juli 2020 14:34

Ik denk dat je wat leesvoer kan gebruiken:

http://arstechnica.com/se...at-out-of-your-passwords/

Die methode van jou werkt niet. De oplossing is gewoon heel simpel, ook voor de minder technisch begaafde computergebruiker:

Gebruik een password manager.

KabouterSuper @Het.Draakje • 5 juli 2020 14:52

Da's flauw. Die wachtwoorden waren gehashed met md5. Daar helpt zelfs een passwordmanager niet tegen.

Het.Draakje @KabouterSuper • 5 juli 2020 15:03

Neen, dat is niet flauw: dat artikel is 7 jaar oud. Inmiddels zijn hackers echt wel verder.

For instance, the SHA512crypt function included by default in Mac OS X and most Unix-based operating systems passes text through 5,000 hashing iterations. This hurdle would limit the same one-GPU cracking system to slightly less than 2,000 guesses per second. Examples of other similarly "slow" hashing algorithms include bcrypt, scrypt, and PBKDF2.

Een belangrijk deel van de crack wordt gedaan op grafische kaarten. Dat was destijds een AMD 970. Huidige topkaarten zijn vier keer zo snel.

Simpele trucjes helpen je niet. Als je maar één password nodig hebt dan zou je dat nog zelf kunnen verzinnen maar je hebt voor iedere web-site en apparaat al een ander password nodig. Daar helpt een password manager bij: iedere site een uniek zeer lastig te kraken password.

IStealYourGun @Het.Draakje • 5 juli 2020 18:39

Maar in het artikel werd er gebruikt gemaakt van rainbow-tables en die werken enkel op wachtwoorden zonder een salt. Als je security een beetje serieus neemt dan gebruik je als developer op zijn minst gesalte hashes. Hackers gaan echt niet één voor één die wachtwoorden decrypten.

Uiteraard ben je beter af met en ww-manager, het gros van mijn eigen wachtwoorden ken ik niet eens, maar voor de wachtwoorden die je dagelijks moet ingeven kan je wel degelijk gebruik maken van unieke passphrases.

Het.Draakje @IStealYourGun • 6 juli 2020 03:34

Ook dat stat in het artikel. Een salt hindert de hacker nauwelijks.

Jimmy_ @Het.Draakje • 5 juli 2020 14:57

Beetje raar om andere mensen de les te lezen om vervolgens een MD5 artikel te sturen zonder het zelf te onderbouwen.

Wat is volgens jou verkeerd aan zijn suggestie, en goed aan jouw password manager?

Het.Draakje @Jimmy_ • 5 juli 2020 15:28

Mensen denken dat password ge-brute-forced moet worden. Maar juist door dat algoritme wat mensen gebruiken wordt het makkelijker om het te ontcijferen. En wij hebben een algoritme nodig omdat we het anders niet kunnen onthouden.

Een password-manager heeft geen methode nodig. En kan hem gewoon onthouden. Voor al die honderden web-sites een ander password is ook geen probleem. Voor ons wel. De password-manager vervangt geen 0 voor een o, of een 1 voor een l. Want dat soort trucjes kent de hacker ook.

Ja, het artikel is 7 jaar oud. En MD5 is onveilig. Maar wij hebben over het algemeen geen flauw idee welke methode een web-site gebruikt. Ik durf niet te garanderen dat MD5 niet meer gebruikt wordt.

In die 7 jaar zijn de hacker-methodes verbeterd. En computers (en grafische kaarten) veel sneller geworden. Alleen erop vertrouwen dat de web-site een opslag gebruikt die niet kraakbaar is (of in de nabije toekomst kraakbaar is) en dus gewoon onthoud-trucjes hanteren die al jaren als onveilig bekend (zou moeten) zijn, lijkt mij niet handig.

Leer mensen geen trucjes aan. Leer ze gewoon dat ze altijd een password manager moeten gebruiken (zolang we met passwords opgezadeld zijn).

Jimmy_ @Het.Draakje • 5 juli 2020 16:19

Ik vond je reactie uitdagend om te lezen en goed gestructureerd de tegenargumenten te sommeren.

Dit is mijn beste poging, hopelijk begrijp ik je niet al te verkeerd hierin.

Zijn manier is slecht want:
- Mensen moeten zelf hun wachtwoord onthouden.
- Een algoritme dat mensen gebruiken, kunnen hackers makkelijker achterhalen waardoor ze de wachtwoorden makkelijker kunnen gokken.
- PCs en grafische kaarten zijn sneller geworden dus onthoud-trucjes werken niet want worden door de snelheid toch gekraakt(?).

Ik denk dat het aanleren van een algoritme voor wachtwoorden in zichzelf geen verkeerde strategie is.

Je geeft aan dat mensen slecht zijn in het onthouden van wachtwoorden, daar helpt een algoritme juist bij.

Een algoritme kan zodanig gebruikt worden om zowel voor elke unieke account een ander wachtwoord te genereren, én makkelijk onthouden te zijn. Je zou bij wijze van elke website/bedrijf dat je een wachtwoord voor gebruikt een subset van de naam kunnen gebruiken, een soort van uniek-salten.
Dit is juist super effectief tegen 'hackers' aangezien je hierdoor je wachtwoord ook immuun maakt voor rainbow table attacks. (Dit is iets wat ik mistte aan jouw reactie, je gaf geen uitleg waarom MD5 'onveilig' is - dus ik gok dat je o.a. collision bedoelde.)

Wanneer gebruikers dus hun eigen variaties van het algoritme bedenken wordt het extreem duur voor hackers om al die verschillende manieren te gebruiken voor de hack.

Je stelt dat computers sneller worden, en dus dat het kraken ook vlugger verloopt.
Het sneller worden van computers heeft ook een voordelige kant, bij het genereren van een wachtwoord kan de extra compute power gebruikt wordt om een duurdere algoritme (zoals Bcrypt) te gebruiken.

Verder geef je aan dat we websites niet kunnen vertrouwen gezien ze gedateerde technologieën kunnen gebruiken, en dat daarom Password Managers veiliger zijn. Maar volgens mij maakt het in dat geval niet eens uit of je een PM gebruikt of niet, de beveiliging is brak en geen enkele random generatie van een password manager kan je beschermen tegen een gedateerde/slecht verzonnen/plaintext wachtwoord database.

Geconcludeerd probeer ik dus te zeggen dat wachtwoord generatie algoritmes niet per se het kwaad hoeven te zijn, mits je weet hoe je ze moet gebruiken. Ik geloof niet dat Password Managers de end-all-be-all antwoorden zijn, gezien ze zelf ook risico's met zich meebrengen. Single-point-of-failure, Masterkey kwijt, online password manager kan ook aangevallen worden, Masterkey gehacked = al jouw accounts weg, offline PM data kwijtraken, slecht verzonnen masterkey, overheid inzage in online PM data, PM software dat lekken bevat, etc.

Grappig genoeg is het opschrijven van wachtwoorden in je notitieboekje en die altijd bij je houden helemaal geen unsecure idee tegen internet-hackers (mits je generatiemethode sound is).

Ik ben het met je eens dat wachtwoorden zélf een gedateerd concept is, en dat we hopelijk snel overal 2fa/FIDO/hardware keys kunnen gebruiken.

Aaargh! @Jimmy_ • 5 juli 2020 16:41

volgens mij maakt het in dat geval niet eens uit of je een PM gebruikt of niet, de beveiliging is brak en geen enkele random generatie van een password manager kan je beschermen tegen een gedateerde/slecht verzonnen/plaintext wachtwoord database.

Een PM helpt juist wel omdat die het mogelijk maakt een uniek, lang, random wachtwoord te gebruiken voor elke website. Als een wachtwoord dan niet veilig opgeslagen is dan is alleen die ene website gecompromitteerd, maar niet alle andere accounts die je hebt.

Een 'algoritme' om het te onthouden gaat je ook niet helpen in zo'n geval, als ze b.v. zien dat je wachtwoord voor t.net 'twea-geheim-kers' is, dan is het niet heel lastig raden welk wachtwoord je gebruikt op andere sites. Als je het als mens kan onthouden dan is het eigenlijk per definitie niet veilig genoeg. Het enige wat veilig is is een lang, volledig random wachtwoord (waarbij ook een goede random generator is gebruikt).

Jimmy_ @Aaargh! • 5 juli 2020 17:28

Ik denk dat je enigszins hackers overschat, ze gaan over het algemeen niet handmatig alle wachtwoorden af met hun mensen ogen; dat is onwijs inefficient.

Doen ze dat wél én hebben ze je plaintext wachtwoord te pakken, dan kunnen ze inderdaad 'gokken' welk algoritme je gebruikt.

Dan staan ze alsnog voor een uitdaging want;
- In jouw voorbeeldwachtwoord zou de cut-off niet altijd exact per lettergreep kunnen zijn.
- Ze weten niet waar jij nog meer accounts hebt.
Dit houdt in dat ze voor jouw individuele use case hun brute-force programma zouden moeten aanpassen, en andere websites moeten proberen om alleen jou als individu te hacken. Meestal moeite niet waard, tenzij je een super duper high value target/bekend persoon bent.

Het PM wachtwoord zouden ze in dit geval minder kunnen gebruiken, want het geeft wat minder weg. Echter kan het wel weggeven dat/welke PM je gebruikt, en jou als individu op dat punt op vele verschillende manieren aanvallen.

Dit is als de wachtwoord database dat ze in handen hebben gekregen een plaintext database zou zijn.
Als dat niet het geval is (bijv. als de website MD5 gebruikt), dan beschermt de PM wachtwoord jou net zoveel als jouw eigen gegenereerde wachtwoord. Immers zijn beide wachtwoorden nu hashes geworden die gemakkelijk met bijv. een rainbow table aangevallen kunnen worden.

Desalniettemin, inderdaad een unieke geval van een use-case waar de PM mogelijk voordelig zou kunnen zijn

Het.Draakje @Jimmy_ • 5 juli 2020 18:25

Hackers hebben al mijn user-id en wachtwoord gekraakt van FouteWebSite.BV en waarschijnlijk hebben ze ook al de klantendatabase te pakken. (Want ze stoppen niet bij alleen maar het password bestand).

Ze weten dus dat Het.Draakje@MailProvider een wachtwoord FouteWebSite.BV.Geheim heeft. Lijkt me dat Het.Draakje@MailProvider met MailGeheim ook login-poging mag verwachten. Dan kunnen ze ook mij post lezen, wellicht mijn bankgegevens buitmaken en zelfs wachtwoorden resetten.

Het wordt wel aantrekkelijk voor een hacker op toch even te kijken.

En helaas: een hacker kijkt wel mee bij een kraakpoging. Al is het maar om een bewerking tijdig stop te zetten. Of om zijn criteria aan te passen.

Aaargh! @Jimmy_ • 5 juli 2020 20:08

Ik denk dat je enigszins hackers overschat, ze gaan over het algemeen niet handmatig alle wachtwoorden af met hun mensen ogen; dat is onwijs inefficient

Dat ligt er helemaal aan. Als ze gewoon zo veel mogelijk accounts van een bepaalde website proberen te bemachtigen, dan waarschijnlijk niet, maar als het een gerichte aanval is op een specifiek persoon dan wel.

Immers zijn beide wachtwoorden nu hashes geworden die gemakkelijk met bijv. een rainbow table aangevallen kunnen worden.

Rainbow tables zijn niet effectief als passwords netjes gesalt (en evt gepepperd) zijn. Het punt is meer dat als je het password achterhaald m.b.v. een brute-force op een lijst van een gecompromitteerde site, je niet wil dat ze op basis van dit wachtwoord het wachtwoord van een andere, niet gecompromitteerde site kunnen achterhalen.

Het.Draakje @Jimmy_ • 5 juli 2020 17:36

1) Je zou bij wijze van elke website/bedrijf dat je een wachtwoord voor gebruikt een subset van de naam kunnen gebruiken

Ik denk dat het heel gevaarlijk is om GeheimTweakers - GeheimING - GeheimMail te gebruiken (als ik jou goed begrijp).

Ook dit is een onthoud-trucje. En die gaat mis op het moment dat GeheimTweakers bekend is (uit een eerdere hack), dan is het afleiden van GeheimING of GeheimMail een fluitje van een cent. En daarmee ligt de beveiliging van al jouw accounts op straat.

Ik ben het eens met het door jouw gelinkte artikel:
Make it long — This is the most critical factor. Nothing shorter than 15 characters.
Use a mix of characters — upper-case and lower-case, numbers, and symbols.
Avoid common substitutions — DOORBELL or D00R8377, will crack with equal ease.
Don’t use memorable keyboard paths — do not use sequential keyboard paths.

Maar zodra je woorden gaat gebruiken: (Uit mijn link) "The combinator attack got it!" he said. Then referring to the oft-cited xkcd comic, he added: "This is an answer to the batteryhorsestaple thing." Het klinkt leuk dat xkcd-trucje maar daar wist die hacker 7 jaar terug al omheen te werken. Je maakt het iets moeilijker dan "Passw0rd01" maar in de tweede of derde ronde sneuvelt ook zo'n password.

2) Ik denk dat ik het verkeerd uitgelegd heb: al is de beveiliging brak (en aangezien we de beveiligingsniveau niet weten, ga ik daarvan uit) dan is een random string van 25 positie's een stuk veiliger dan een woord als BatteryHorseStapleCorrect (ook 25 positie's). Alleen kan ik geen tientallen random strings onthouden. Dat doet de password manager wel voor me.

3) Als je inderdaad een unieke methode zou hanteren dan is het extreem duur voor de hacker om die te achterhalen. Alleen (weer uit het artikel) op een web-site schijnen de gebruikers overeenkomsten te hebben in het gebruik van password methodes. Zie het als 'Great Minds think alike'. Blijkbaar zijn onze methodes niet zo uniek als we zelf denken. Er is daarom een kans dat met een bepaalde methode meerdere passwords revealed worden. En dan gaat de pay-load omhoog en wordt het minder duur voor de hacker.

(Dat is het mooie van het gelinkte artikel: het laat zien dat hacking niet gewoon maar een of ander scriptje is, maar dat er, soms veel, over nagedacht wordt hoe de boel te kraken is. Lukt het niet op manier a dan manier b, of zelfs a+b)

Uiteraard hebben sommige password managers ook nadelen. Ik gebruik mSecure op mijn desktop. Zodra mijn telefoon op hetzelfde Wifi zit (is uit te schakelen) synchroniseert hij. En hetzelfde gebeurd met de telefoon van mijn vrouw. Zo heb ik altijd drie bijgewerkte databases. Verder staat er niets in de cloud. Master password is bekend bij mijzelf en mijn vrouw. En mijn zoon heeft dat in zijn kluis liggen (voor als er iets met ons gebeurd, dan kan hij de accounts opheffen). Dus inderdaad, ook bij een password manager moet je nadenken hoe je het gebruikt (ik vertrouw cloud niet, dus die optie gebruik ik niet, al wordt het wel ondersteund).

Tja, die Yubikey en dergelijke ziet er leuk uit. Maar wordt nauwelijks gebruikt en kost een aardige stuiver. Mag toch voor dezelfde opzet als ik nu heb rekenen op enige honderden euro's. En zelfs als ik dat ervoor over heb, dan zie ik nog steeds niet die dingen massaal doorbreken en web-sites dat gaan gebruiken.

darkfader @Het.Draakje • 6 juli 2020 00:48

Op het moment dat een cloud password manager inderdaad encrypt op basis van iets dat alleen jezelf weet is het niet eens zo gevaarlijk.
Het gaat wel over hoe je je computer veilig houdt. Zo heeft lastpass bijv. een binary component wat je kunt installeren om evt. browser hacks uit te sluiten. Maar zelf dan zouden wachtwoorden denk ik nog opgevraagd kunnen worden, zij het weer een stuk lastiger.
Yubikeys zijn inderdaad niet echt handig. Zelfs soms handiger om wachtwoord te gebruiken dan naar voren te bukken om zo’n ding of vingerscanner te bedienen. Een telefoonapp is meestal wel in handbereik en bied gelijkwaardige of zelf betere veiligheid.

Het.Draakje @darkfader • 6 juli 2020 03:52

Cloud hoeft niet gevaarlijk te zijn. In alle gevallen (cloud of niet) staat of valt het met de beveiliging van je apparaten. Maar als je cloud gebruikt loop je ook het risico (hoe klein dan ook) dat jouw cloud-provider gehacked wordt. En laten we eerlijk wezen: zij zijn natuurlijk wel een doelwit van hackers (in tegenstelling tot ik).

laptopleon @Het.Draakje • 6 juli 2020 03:04

Wat ik grappig vond aan het artikel, is de uitspraak in de trant van… ‘tja dat is ook maar security through obscurity‘.

Grappig, omdat in feite ook heel het principe van een wachtwoord daarop gebaseerd is. En zo makkelijk is dat nou ook weer niet te ontrafelen want laten we eerlijk zijn, de meeste mensen hebben een lachwekkend eenvoudig wachtwoord en hergebruiken het overal en zeker zeven jaar geleden.

Obscurity is juist dé factor waar alles om draait. Als ik je de sleutel van een auto geef, zonder te zeggen waar hij zich op aarde bevindt, is dat een prima beveiliging. Als ik de inlogpagina van een site verander van de default /login naar /iets-anders-maar-wat, wordt je al op basis van IP geblokkeerd voordat je de eerste pagina van het woordenboek geprobeerd hebt, laat staan combinaties van meerdere woorden.

Het is ook niet eerlijk om dit artikel te noemen in verband met de veiligheid van je wachtwoord in de echte wereld omdat geen enkele zichzelf respecterende site een hacker toestaat in één minuut tig inlogpogingen te doen, laat staan 8 miljard per seconde, zoals in het artikel.

Het.Draakje @laptopleon • 6 juli 2020 03:38

Neen, ze doen geen 8 miljard inlog pogingen. Ze hebben de site gehacked en hebben daarom (onder andere) het password bestand gedownload. Dat staat dus op hun eigen pc (of server-clusters) en ze genereren gewoon volgens de methode van de site passwords en zien vanzelf of het resultaat overeenkomt met één van de waarde uit het wachtwoordbestand.

Het.Draakje @dec0de • 6 juli 2020 03:43

Net even getest. 2x dezelfde karakter komt gewoon ook voor (in mijn password manager). Lengte mag je instellen tussen 4 en 30 karakters. Dat - na iedere vijf positie's herken ik niet. Dat is niet random. Een fatsoenlijke password manager levert een random password af. Maar er zijn uiteraard ook brakke implementatie's van password managers.

dec0de @Het.Draakje • 6 juli 2020 10:04

2x wel ja, maar méér dan 2x zeg ik ook, en daarbij zeg ik ook heel duidelijk dat deze ruleser van password manager wisselt... daarbij is min 1 totaal onterecht, want het is geen spam troll of flamebait

Bij apple is bijv wel na elke 5 karacters een streepje

[Reactie gewijzigd door dec0de op 23 juli 2024 21:53]

Tjidde @dibrain2000 • 5 juli 2020 14:32

2FA met een zo'n wachtwoord voor je manager de rest gewoon random strings. Hoeft men maar een wachtwoord te weten.

akaash00 @dibrain2000 • 5 juli 2020 14:57

Dit helpt niet tegen dictionary attacks. Zeker niet als AI beter wordt

Sheean @dibrain2000 • 5 juli 2020 15:02

Moet je wel even onthouden op welke site, je welk deel uit welk lied had gebruikt en wat je daar ook alweer voor extra tekentjes tussen had gepropt (al dan niet om aan de wachtwoordeisen te voldoen). Dat deel is niet makkelijk voor een mens.

K-aroq @dibrain2000 • 5 juli 2020 16:15

Voor brute force kraken maakt de inhoud niet zoveel uit. De lengte wel.

ashwin911 @dibrain2000 • 6 juli 2020 00:17

Je kan het beter in het Nederlands doen en dan ook nog is met verkeerd gespelde woorden. Bijvoorbeeld een wachtwoord van een reeks scheldwoorden maar dan verkeerd gespeld en een telefoonnummer er tussen door gemixt.

yij02viece01Konker23mangaal45heor67!!!

Verwijderd @dibrain2000 • 5 juli 2020 19:29

TakeyourseasideArmsandwritethenextLine,

Makkelijk te onthouden? Makkelijk in te typen? Tjeee jouw hersenen werken echt anders dan die van mij.

grrfield @dibrain2000 • 5 juli 2020 23:55

Spandau Ballet zou nochtans verplicht moeten worden. You are Gold.

Verwijderd 5 juli 2020 15:01

Wachtwoorden

Begin eens met 6 of 8 cijferige pin-codes

Ikheetchris @Verwijderd • 5 juli 2020 16:10

Dan voert de helft van de mensen hun geboortedatum, trouwdatum of een of andere leuke wiskundige constante in als ik mijn ervaring van telefoonpincodes van mensen in mijn omgeving extrapoleer.

[Reactie gewijzigd door Ikheetchris op 23 juli 2024 21:53]

kevlar01 @Ikheetchris • 6 juli 2020 19:20

Nog altijd beter dan 0000 of 1234...

LOTG @Verwijderd • 5 juli 2020 19:33

Pincodes zijn prima, maar alleen als ze lokaal gelden. Voor remote moet je geen pincodes gebruiken, alleen helemaal niet met 6 of 8 cijfers. Veel te makkelijk te brute forcen.

klakkie.57th @Verwijderd • 5 juli 2020 19:51

Dus een 8 digit pincode is moeilijker dan een password van 20 caracters

Verwijderd @klakkie.57th • 5 juli 2020 20:59

Hoe wil jij een PIN code van 8 cijfers 'raden' ...

K-aroq @Verwijderd • 5 juli 2020 16:17

4-cijferige PIN codes zijn prima als er ook andere unieke kenmerken zijn. Plus je kunt nog vrij eenvoudig time-outs invoeren na 2 of 3 pogingen. En een complete lock-out na meerdere time-outs. Dan heb je een aardig compromis tussen veiligheid en gebruiksgemak.

grrfield @Verwijderd • 5 juli 2020 21:42

na drie pogingen wordt je toegang verboden. Trouwens je moet ook al over de kaart zelf kunnen beschikken + ik ben verzekerd + de cash die ik kan afhalen is gelimiteerd + online betalingen zijn ook gelimiteerd in bedrag/per dag/per week + bij mij zul je zowiezo niet met duizenden euro's gaan lopen, wegens mijn sociale status

PhoenixT @Verwijderd • 5 juli 2020 22:57

En als je database uitlekt heb je die “wachtwoorden” in luttele seconden gekraakt.

Verwijderd @mutley69 • 5 juli 2020 18:15

Je moet eerst onderzoek doen voordat je beweringen maakt. Je beschuldigt Apple van iets dat alle grote browsers al een tijd doen en nee, er gaat echt geen wachtwoord naar Apple. Daar zijn al prima technische oplossing voor.

Ik zou hier normaal een link plaatsen waar het uitgelegd wordt maar gezien je te lui bent om er zelf maar een zoekopdracht naar te doen is dit voor de mensen die wel eerst nadenken voordat ze beweringen / beschuldigingen maken:

Chrome first sends an encrypted, 3-byte hash of your username to Google, where it is compared to Google's list of compromised usernames. If there's a match, your local computer is sent a database of every potentially matching username and password in the bad credentials list, encrypted with a key from Google. You then get a copy of your passwords encrypted with two keys—one is your usual private key, and the other is the same key used for Google's bad credentials list. On your local computer, Password Checkup removes the only key it is able to decrypt, your private key, leaving your Google-key-encrypted username and password, which can be compared to the Google-key-encrypted database of bad credentials. Google says this technique, called "private set intersection," means you don't get to see Google's list of bad credentials, and Google doesn't get to learn your credentials, but the two can be compared for matches.

Het.Draakje @mutley69 • 5 juli 2020 15:50

Je hebt een password. Je kiest ervoor om hem in je key-chain op te slaan of niet. Als je hem opslaat dan vertelt Apple je of het een veilig wachtwoord is. En als je (zoals helaas nog velen) je password hergebruikt (en hij is al bekend door een hack) dan waarschuwt Apple je ook.

En als je jouw opgeslagen password (nogmaals: eigen keuze) gebruikt voor een web-site dan leest Apple die uit jouw key-chain en waarschuwt je als die onveilig en/of gehacked is.

Je hoeft het wachtwoord niet op te slaan. Het gebruik van key-chain is niet verplicht. Je mag een andere wachtwoord manager gebruiken en je mag het zelfs (van Apple) gewoon opschrijven als je dat liever hebt.

Macshack 5 juli 2020 13:04

De melding wanneer een wachtwoord is compromised is een mooie toevoeging waardoor minder technische mensen ook op de hoogte zijn van dit feit.

Donstil

Apple iOS
Apple

5 juli 2020 14:12

Ik kreeg hem ook over tweakers, maar kan mij eigenlijk niet herinneren dat ik daar eerder informatie over gezien heb. Het wachtwoord is ook een unieke voor tweakers enz.

Olaf van der Spek @Donstil • 5 juli 2020 15:22

Een random wachtwoord van minimaal 12 tekens?
Of uniek als in 123-tweakers?

Donstil

Apple iOS
Apple

@Olaf van der Spek • 5 juli 2020 15:24

Als in uniek in mijn wachtwoorden kluis

Wel jammer dat je hem geraden hebt

Verwijderd 5 juli 2020 19:32

Ik denk dat dit iets is wat Microsoft en Google zo snel mogelijke moeten overnemen want gisteren zag ik nog dat ik een nieuw Google account kon maken met een password dat reeds 5 jaar bekend was.

MAX3400 5 juli 2020 13:11

Kan het iets duidelijker in het artikel?

Ik lees eigenlijk "Keychain gaat opgeslagen passwords reverse analyseren en dan waarschuwen of ze te kort, makkelijk, breached zijn".

Ongetwijfeld is dat niet zo maar er staat voor de gemiddelde lezer niet "precies" op welk moment de waarschuwingen optreden.

NanoSector @MAX3400 • 5 juli 2020 13:21

“ De wachtwoordmanager doet suggesties en aanbevelingen, bijvoorbeeld als gebruikers een zwak wachtwoord hebben gekozen. Ook wordt er gewaarschuwd voor gelekte wachtwoorden.”

Ik denk niet dat het nog duidelijker kan? Er komt een menuutje waar je die waarschuwingen kan zien zoals in de screenshot te zien is.
“In de nieuwe versie van het mobiele besturingssysteem zit een menu met aanbevelingen voor opgeslagen wachtwoorden in Keychain.”

[Reactie gewijzigd door NanoSector op 23 juli 2024 21:53]

Rutger Muller 5 juli 2020 16:15

Superfijn. iCloud keychain was al super handig, kan niet zonder. Vooral als je een iPhone en Macbook gebruikt werkt het super smooth, iig met Safari, Apps, etc. Gewoon laten genereren die wachtwoorden.

[Reactie gewijzigd door Rutger Muller op 23 juli 2024 21:53]

Miki 5 juli 2020 16:42

Ik ben benieuwd of Apple ook nog iets gaat doen icm iCloud en family sharing. We gebruiken momenteel 1Password naar volle tevredenheid met name doordat je een kluis kunt delen met meerdere gebruikers. Voor abbo’s waaronder Netflix, Spotify maar ook van dienstverleners zoals Vattenfall en AH is het fijn dat je op veilige manier binnen het gezin wachtwoorden kunt delen. Ik heb immers liever niet dat wachtwoorden via whatsapp of iMessage onderling gedeeld worden.

Op dit item kan niet meer gereageerd worden.

Apple doet in iOS 14 aanbevelingen voor opgeslagen wachtwoorden

Lees meer

Apple iOS 14 en iPadOS 14 Preview

Reacties (105)

Sorteer op:

Weergave: