'Wachtwoorden van 55+'ers dubbel zo veilig als die van jongeren'

Computergebruikers van 55 jaar en ouder kiezen wachtwoorden die gemiddeld twee maal veiliger zijn dan de passwords die jongeren gebruiken. Ook kiezen Duitsers en Zuid-Koreanen de veiligste wachtwoorden, zo blijkt uit een onderzoek.

Dat meldt NewScientist op basis van een onderzoek van Joseph Bonneau, een it-wetenschapper die is verbonden aan de universiteit van Cambridge. Bonneau onderzocht de wachtwoorden van circa 70 miljoen Yahoo-gebruikers. De inloggegevens die hij onderzocht waren via hashing versleuteld en door Yahoo ter beschikking gesteld.

Met behulp van analysesoftware kon Bonneau ondanks de hashing de kwaliteit van de gekozen wachtwoorden onderzoeken. Daarbij keek hij onder andere naar geografische en demografische patronen in de wachtwoordkeuze van Yahoo-gebruikers.

Uit de resultaten zou onder andere blijken dat Duitse en Zuid-Koreaanse gebruikers gemiddeld de meest veilige wachtwoorden kiezen, terwijl in Indonesië de meest zwakke passwords zouden worden gebruikt. Ook zouden jongeren aanmerkelijk zwakkere wachtwoorden kiezen dan 55+'ers.

Volgens Bonneau blijkt verder uit de onderzoeksgegevens dat een gebruiker gemiddeld een wachtwoord kiest met een 10bit-veiligheidsniveau; gemiddeld zou een dergelijk wachtwoord na slechts duizend pogingen zijn te achterhalen. De onderzoeker stelt dat het daarom wenselijk is om gebruikers bijvoorbeeld een negencijferig wachtwoord te laten kiezen. Dit staat gelijk aan een 30bit-veiligheidsniveau. Bovendien zouden negen cijfers relatief gemakkelijk zijn te onthouden omdat personen al gewend zijn om telefoonnummers te onthouden.

Door Dimitri Reijerman

Redacteur

Feedback • 03-06-2012 11:27240

03-06-2012 • 11:27

240 Linkedin

Lees meer

Nederlander kijkt gemiddeld drie uur per maand tv-programma's later terug Nieuws van 18 januari 2013
'Kwart West-Europeanen heeft onveilig wachtwoord' Nieuws van 9 augustus 2012
Last.fm waarschuwt voor mogelijk gestolen wachtwoorden Nieuws van 7 juni 2012
Hackers konden Hotmail-accounts overnemen door lek Nieuws van 27 april 2012
Klanten Argeweb moeten wachtwoorden wijzigen na inbraak Nieuws van 13 april 2012
Google werkt aan wachtwoordgenerator voor Chrome Nieuws van 20 februari 2012
Helft gebruikers Tweakers.net blijkt zwak wachtwoord te hebben Nieuws van 13 september 2011
Microsoft gaat zwakke Hotmail-wachtwoorden verbieden Nieuws van 15 juli 2011
MD5 opnieuw onder vuur na publicatie 'collision'-code Nieuws van 16 november 2005
Meer producten en artikelen
Privacy Internet Yahoo Beveiliging

Reacties (240)

-Moderatie-faq
-12400234+1154+210+32Ongemodereerd50
Wijzig sortering
lord taken1
3 juni 2012 11:33
mijn wachtwoord bestaat uit 6 letters en 2 cijfers
26x26x26x26x26x26x9x9= 25022177856 mogelijkheden
even blijven proberen dus :)
Whatson
@lord taken13 juni 2012 11:47
It would take a desktop PC
About 3 hours
to hack your password

http://howsecureismypassword.net/

Met het wachtwoord vgisrm65
_Grad_
@Whatson3 juni 2012 11:52
It would take a desktop PC
About 5 million years
to hack your password

ik denk dat ik het wel eventjes red ;)
Remcoder
@_Grad_3 juni 2012 11:55
It would take a desktop PC
About 1 quadrillion years
to hack your password
:+
Bansheeben
@Remcoder3 juni 2012 12:07
23 quadrillion years :) Goed dat Tweakers laatst een keer die password security check heeft gedaan. Mijn vorige wachtwoord zou namelijk na 600 jaar al gekraakt zijn (hier deden ze er geloof ik minder dan een half uur over, maar goed :') ), dus dat is wel een flinke verbetering.
alaintje
@Bansheeben3 juni 2012 12:30
It would take a desktop PC
About 7 sextillion years
to hack your password

Een hoofdletter en 21 kleine letters.
!nFerNo
@alaintje3 juni 2012 13:49
t would take a desktop PC
About 2 duodecillion years
to hack your password

29 characters "passphrase".
--Andre--
@!nFerNo3 juni 2012 16:45
It would take a desktop PC
About 51 billion years
to hack your password

Character Variety: Non-Standard Character

Your password contains a non-keyboard character. This should make it more secure.

Een heel simpel zweeds zinnetje. Letters als å ä ö zitten gewoon op een zweeds toetsenbord, dus de "This should make it more secure." slaat nergens op... tenzij je er van uit gaat dat je een amerikaan hackt, die enkel en alleen Engels spreekt.

===
Dezelfde zin in het nederlands levert het volgende resultaat op:

It would take a desktop PC
About 52 trillion years
to hack your password

Length: Long

Your password is over 16 characters long. It should be pretty safe.

===
In het Duits:

It would take a desktop PC
About 38 quintillion years
to hack your password

Length: Long

Your password is over 16 characters long. It should be pretty safe.
Character Variety: Non-Standard Character

Your password contains a non-keyboard character. This should make it more secure.

===

Maar uiteindelijk is het een hele simpele zin, die je (hopelijk) niet elke dag hoeft te zeggen.
MorgothG
@Remcoder3 juni 2012 13:19
Heb mijn tweakers wachtwoord er doorheen gehaald. Had ik nav een Tweakers topic over wachtwoorden aangepast naar 3 woorden. 3 quadrilion years :)

Met dank aan T.net. Mijn oude 'veilige' wachtwoord was goed voor ca. 1100 jaar. En rotter te onthouden :)
Struikrover
@_Grad_3 juni 2012 12:05
It would take a desktop PC
About 18 sextillion years
to hack your password

There's always a bigger fish :P.

Dit met een klein zinnetje waarin hoofdletters, cijfers en spaties zitten, die ik binnen 2 seconden kan uittypen ;)
Zoijar
@_Grad_3 juni 2012 11:54
Behalve dat die site nu je IP+wachtwoord weet :P
jeroenr
@Zoijar3 juni 2012 23:50
Gewoon niet je echt wachtwoord gebruiken, maar steeds een ander teken, uit dezelfde "klasse" gebruiken. Bijvoorbeeld, je wachtwoord is aapJe12!, tik je in bbdKr43#, wel de juiste input voor de berekening van de sterkte van je ww, maar niet je echte wachtwoord weggegeven.
Mijn rootwachtwoord komt trouwens op 32 miljard jaar :-)
Whatson
@Zoijar3 juni 2012 12:02
How Secure Is My Password uses JavaScript, which is a client side language - all the calculations are performed by your computer. This means that once you've loaded the site in your browser nothing else will pass between your computer and the server - nothing you type in leaves your computer. If you'd like to check this you can load the site and then turn off your internet connection - everything will continue to work.
Blokker_1999
@_Grad_3 juni 2012 12:11
Mja, heb net even mijn oud wachtwoord geprobeerd dat door t.net binnen het uur kon gekraakt worden, volgens die tool zou een desktop pc er 19 jaar overdoen, niet dus.
Mappy
@Blokker_19993 juni 2012 12:47
Dat zal komen omdat er rainbowtables gebruikt werden, en de berekening van howsecure van bruteforcen uitgaat.
qlum
@Whatson3 juni 2012 12:26
mijn wachtwoorden zijn meestal wel redelijk veilig
mijn zwakste wachtwoord is in 5 minuten te kraken maar gebruik ik ook nergens waar het echt boeit (6 letters met een cijfer aan het einde)

mijn een na zwakste wachtwoord is in 167 dagen te kraken het is gewoon het default wachtwoord van mijn vorige router wat ik voor de meeste forums waar daad werkelijk op zit gebruik. (10 letters en cijfers)

eena sterkste wachtwoord is 14 letters en cijfers en duurt 768 jaar om te kraken dit wachtwoord gebruik ik voor dingen als steam en mijn mail accounts.

mijn sterkste wachtwoord gebruik ik alleen voor bank zaken en betaalmethoden zoals paypal en bestaat uit 16 letters en cijfers met een hoofdletter in het midden, dit duurt 6 triloen jaar.


behalve voor het eerste wachtwoord zijn het allemaal willekeurige letters en cijfers en vormen ze geen patroon.
Blokker_1999
@lord taken13 juni 2012 11:38
Met de hand doe je er lang over, een computer doet dat redelijk snel hoor. Je rekensom is trouwens fout, omdat niet geweten is waar de cijfers zich bevinden en je 10 maar geen 9 cijfers hebt bekom je 36x36x36x36x36x36x36x36 .
jj71
@Blokker_19993 juni 2012 11:41
Zijn rekensom verraadt al dat de laatste twee tekens cijfers zijn en dat hij of alleen kleine letters of alleen hoofdletters gebruikt...
Archiebald
@jj713 juni 2012 11:46
En geen tekens als !@#$%^&*()-+=<>?, etc
lord taken1
@jj713 juni 2012 13:17
ik heb ze in een willekeurige volgorde staan :P kan zo zijn dat ze vooraan staan :D
comatoast
@Blokker_19993 juni 2012 11:49
en hoofdletters misschien nog!
komen er nog 26 bij op elke stap, 62x62x62x62x62x62x62x62 (218340105584896)
lord taken1
@Blokker_19993 juni 2012 13:16
sorry klein foutje maar dan hoort mijn berekening 26x26x26x26x26x26x10x10 te wezen :)
jj71
@lord taken13 juni 2012 11:38
Maar zijn het ook willekeurig gekozen letters en cijfers of is het een bestaand woord, waar je eventueel bepaalde letters door cijfers hebt vervangen (bijvoorbeeld 0 = O, 1 = I, 4 = A enz.)?

Want als het niet willekeurig is, dan is je wachtwoord van 6 letters en 4 cijfers veel minder veilig dan je denkt. Er zijn allerlei slimme manieren (bijvoorbeeld dictionary attacks) waarbij veel minder dan 25022177856 pogingen nodig zijn om je wachtwoord te kraken als het niet willekeurig gekozen letters en cijfers zijn.
comatoast
@jj713 juni 2012 11:46
sowieso doe je er minder dan 25022177856 keer over, tenzij zijn wachtwoord zzzzzz99 is en je begint te proberen bij aaaaaa00 :)
bwerg
@jj713 juni 2012 20:14
Zo zou het meest gebruikte wachtwoord (zes cijfers) een miljoen mogelijkheden geven, maar "123456" wordt gek genoeg toch snel in één keer geraden. :+ willekeur is cruciaal.

Nog een opmerking @lord taken1: een cijfer heeft natuurlijk geen 9, maar 10 mogelijkheden.
Anoniem: 442878
@lord taken13 juni 2012 12:24
mijn wachtwoord bestaat uit 6 letters en 2 cijfers
26x26x26x26x26x26x9x9= 25022177856 mogelijkheden
even blijven proberen dus :)
Het hangt er ook vanaf of je hoofd danwel kleine letters gebruikt.Ik gebruik ergens een variant van twee wachtwoorden(8tekens, waarvan 3 cijfers en 5 letters), eentje met kleine letters(en cijfers) en diezelfde met een mix van kleine en grote letters, De eerste is te kraken in een paar uur, de variant (mix kleine en grote letters incl. cijfers) in 16 jaar!

[Reactie gewijzigd door Anoniem: 442878 op 3 juni 2012 12:26]

Jelle E
@lord taken13 juni 2012 12:47
Het Serienummer van een 1e generatie iPod nano doet het ook nog altijd goed.
26*26*9*9*9*26*26*9*26*26*9=18,241,167,657,024

Maar die wordt vaak gemiddelde wachtwoordsterkte toegekend ;)
demilord
3 juni 2012 11:30
Ik gebruik 11 tekens met hoofd en kleine en cijvfers en andere tekens.. zonder enige logica alleen voor mij
Whatson
@demilord3 juni 2012 11:33
Zoiets als dit dus http://xkcd.com/936/
Misschien moet je toch eens nadenken over de suggestie die daar wordt gedaan. :)
Part
@Whatson3 juni 2012 11:54
Tot dat iemand de woordenboek aanval gaat gebruiken. Dus gewoon een combinatie van veel gebruikte dagelijkse woorden. Dan blijft er van die 550 jaar waarschijnlijk nog geen halve dag over.
http://en.wikipedia.org/wiki/Dictionary_attack

[Reactie gewijzigd door Part op 3 juni 2012 11:56]

Toolskyn
@Part3 juni 2012 12:16
Dat zou je zeggen, maar zeg dat we 80 karakters waaruit we kiezen als we tekens gebruiken en stel dat je een wachtwoord van 10 tekens hebt, dan heb je zo'n 1019e wachtwoorden waaruit je kan kiezen, met als nadeel dat het irritant om te onthouden is, zeker als je er meerdere moet onthouden. Stel daar tegenover de zeg 200.000 woorden die het Nederland bevat die redelijk regelmatig gebruikt worden (ik geloof dat de Van Dale zo'n 250.000 woorden bevat), dan kom je bij een combinatie van slechts vier(!) woorden al uit op zo'n 1021e combinaties, een factor 100 groter vergeleken met de wachtwoorden van 10 karakters aan onzin. En laten we eerlijk zijn, iets als "fietsende salamanderfiguur op de boomstam" is een stuk makkelijker onthouden dan "1%aE95erG".

En laten we die zinnetjes nog iets moeilijker maken voor de computer: laten we twee of drie talen door elkaar gooien en een woordenboekaanval is al helemaal idioot geworden: "fietsende salamanderfiguur on the Baumtrunk" (Engels, Nederlands en Duits bij elkaar kunnen we toch al snel spreken over een woord of 500.000, en dan heb ik het nog niet eens over de idiote samenstelling die ik hier verzonnen heb) dat terwijl het nog steeds redelijk makkelijk te onthouden is.

Nu zou je nog kunnen zeggen: maar dat ziet eruit als een zin, dus het aantal mogelijk combinaties wordt nog een klein beetje beperkt. Prima, dan gooi je de woorden toch een beetje door elkaar: "salamanderfiguur Baumtrunk on the fietsende". Toegegeven het begint iets lastiger te worden om te onthouden, maar het is nog steeds duidelijk eenvoudiger dan het onthouden van "1%aE95erG".
Anoniem: 406468
@Toolskyn3 juni 2012 13:22
Hierbij merk ik graag op dat je er een beetje naast zit wat betreft het aantal mogelijke woorden, 500,000 is wat aan de lage kant. Daarbij moet je ook niet vergeten dat er veel verschillende woordvormen zijn. Fiets, Fietsen, Fietsend, Fietsende, Gefietst, enzovoort.

Mijn wachtwoord gebruikt zowel herkendbare woorden als willekeurige karakters, volgens http://howsecureismypassword.net/ kom ik hier op uit:

It would take a desktop PC about 14 quadrillion years to hack your password.

En dat terwijl het absoluut geen moeilijk wachtwoord is als je hem weet, zeer eenvoudig te onthouden, maar absoluut niet makkelijk te raden.
Jack_NL
@Anoniem: 4064683 juni 2012 14:11
Hoe komt jouw wachtwoord eruit op deze site: http://dl.dropbox.com/u/209/zxcvbn/test/index.html ?

Ik heb beide sites even ge-checked met 2 willekeurige wachtwoorden.

Bij het eerste wachtwoord gaf howsecureismypassword.net aan: 6 thousand years
terwijl zxcvbn test aangaf 4 years

Het tweede wachtwoord gaf howsecureismypassword.net aan als 25 million years
zxcvbn test gaf aan: 11 hours !

Er zit dus nogal wat verschil in password checkers
Best kans dat er van die 14 quadrillion years weinig overblijft als je het op een andere test los laat
debilero
@Jack_NL3 juni 2012 19:24
Daar komt bij dat als je je password in zon passwordchecker site typt hij waarschijnlijk geanalyseerd word en delen toegevoegd gaan worden in de dictionaries. Lekker slim bezig. Houd je wachtwoord lekker voor jezelf daar heeft niemand wat mee te maken.
Berendhoo
@Toolskyn3 juni 2012 22:28
Om die reden vind ik het ook jammer dat veel websites je verplichten om nummers en of leestekens op te nemen in je wachtwoord
SCS2
@Toolskyn4 juni 2012 21:50
Toch denk ik dat ik liever iedere dag 1 of meerdere keren "1%aE95erG" intyp, dan "fietsende salamanderfiguur op de boomstam".

Best leuk voor iets wat je vrijwel nooit gebruikt en toch onthouden moet,
maar in het dagelijkse leven?
BeosBeing
@Toolskyn6 juni 2012 11:34
Kortom, we zoeken het veel te moeilijk en zouden gewoon langere passwords moeten toestaan (helaas zijn veek systemen nog beperkt zoals de AS/400, maximaal 8 tekens).
Vervolgens de gebruikers voorlichten, iets dat we te weinig doen, en tenslotte die langere passwords, eventueel stapsgewijs, afdwingen.

Alle andere eisen zoals minimaal een cijfer en een hoofdletter, maken het alleen maar lastiger om te verzinnen en te onthouden voor de gebruiker, maar voegen blijkbaar verhoudingsgewijs weinig toe.
ThomasG
@Part3 juni 2012 12:14
Uhm, nee. Een Dictionary Attack heeft vrijwel alleen een voordeel om het moment dat er wachtwoorden als: 'pindakaas', 'koffie', ed. worden gebruikt. Op het moment dat je een wachtwoord als: 'broodje pindakaas' gebruikt schiet een Dictionary Attack zijn doel eigenlijk al voorbij. Je algoritme wordt dan namelijk al O(n^2). Helemaal in het Nederlands, aangezien je daar woorden kunt maken als: 'grauwkopsalamandersprongspecialistenvereniging'. Als er een zin met bijvoorbeeld leestekens wordt gebruikt ben je helemaal ver van huis, en is er met een Dictionary Attack geen beginnen meer aan.

Als je kiest voor een wachtwoord van 4 woorden, die op zichzelf geen relatie met elkaar hebben, kun je een Dictionary Attack zo goed als uitsluiten. Die is dan namelijk wel even bezig. O(n^4), op z'n minst. Lijkt misschien klein, n^4, maar een woordenlijst heeft een stuk meer mogelijkheden dan het alfabet + getallen + leestekens etc. Alleen in de Van Dale staal al +/- 240.000 woorden, om dan nog maar te zwijgen over de combinaties die je daarmee kunt maken. Dan zit je met 4 woorden al op een getal van 22 cijfers aan mogelijkheden.

[Reactie gewijzigd door ThomasG op 3 juni 2012 12:18]

Tribits
@ThomasG3 juni 2012 14:53
Er bestaat ook nog zoiets als een woord frequentie lijst. En aangezien een gemiddeld persoon in het dagelijks taalgebruik niet verder komt dan een woord of 3000 (met een totale kennnis van rond de 30000) worden daarmee de kansen van een dictionary attack een stuk beter. Een wachtwoord van twee veelvoorkomende (12*2=24) woorden is minder veilig als een wachtwoord van vier willekeurige karakters (7*4=28).
CyBeR
@Tribits3 juni 2012 21:58
Er bestaat ook nog zoiets als een woord frequentie lijst. En aangezien een gemiddeld persoon in het dagelijks taalgebruik niet verder komt dan een woord of 3000 (met een totale kennnis van rond de 30000) worden daarmee de kansen van een dictionary attack een stuk beter. Een wachtwoord van twee veelvoorkomende (12*2=24) woorden is minder veilig als een wachtwoord van vier willekeurige karakters (7*4=28).
De kansen van een dictionary attack op een wachtwoord bestaande uit vier woorden uit een bestand van 3000 woorden zijn nog altijd niet heel goed. Je hebt dan 30004 mogelijkheden om te proberen. Dat zijn er voor de volledigheid maarliefst 81000000000000. Daar ben je niet supersnel doorheen, hoor. En dan moet je zelfs nog wéten dat 't om vier woorden uit een bepaald bestand gaat. Als je dat niet weet heb je te maken met een enorm lang wachtwoord van individuele losse karakters.
Part
@ThomasG3 juni 2012 12:49
Daarom zeg ik ook "veel gebruikte dagelijkse woorden".
Meeste mensen gebruiken dit om het eenvoudig te houden en gebruiken daarbij woorden die bij de zeg tot de 1000 tot 2000 meest voorkomende (dagelijkse) woorden behoren.
Dan is pindakaaskoffie of koffiepindakaas al heel snel gevonden.
Leestekens maakt inderdaad een stuk sterker. Wel of geen relatie tussen woorden maakt niet uit. Je moet alleen een lijst hebben van veelgebruikte woorden zoals uit het gegeven voorbeeld.
De resterende 238.000 worden heb je voor de hoofdmoot niet nodig.

[Reactie gewijzigd door Part op 3 juni 2012 12:54]

Marcks
@Part3 juni 2012 13:02
De XKCD-strip beperkt zich al tot 'veelgebruikte dagelijkse woorden'. Er wordt namelijk gerekend met 11 bits per woord, precies de entropie die overeenstemt met een willekeurige greep uit de 2048 meest voorkomende woorden. Jouw dictionary attack is precies het scenario waarvan wordt uitgegaan en waarvan het dus ongeveer 550 jaren zou duren om alle mogelijkheden te proberen.
Anoniem: 278274
@Marcks4 juni 2012 09:46
Oh wauw, ben je zeker? Al eens geprobeert om zo'n wachtwoord door een strength meter te halen?
CyBeR
@Part3 juni 2012 21:53
Daarom zeg ik ook "veel gebruikte dagelijkse woorden".
Meeste mensen gebruiken dit om het eenvoudig te houden en gebruiken daarbij woorden die bij de zeg tot de 1000 tot 2000 meest voorkomende (dagelijkse) woorden behoren.
Reken eens uit hoeveel mogelijkheden er precies zijn als je uit 2000 woorden, vier willekeurige pikt.

Om 't je makkelijk te maken voor in je rekenmachine: dat is 20004. Als je er van uitgaat dat een gebruikt woord niet nog eens gebruikt mag worden kom je iets lager uit, namelijk 2000 * 1999 * 1998 * 1997. (En dat moet je dus ook niet doen-- "hallo hallo hallo hallo" is evengoed willekeurig mogelijk als "dit wachtwoord is uitstekend" of "dopje tang telefoon kabel".)

[Reactie gewijzigd door CyBeR op 3 juni 2012 21:55]

qlum
@Part3 juni 2012 12:44
om weer het voorbeeld van xkcd te gebruiken: een woordenboek aanval zal toch al gouw 4000 woorden gebruiken (niet de hele dikke van dale of Engelse equivalent er van), aangezien de volgoorden hier willekeurig is is het nog steeds ( 256000000000000) deel dat door twee en het zal best nog een tijdje duren om zelfs met een woordenboekaanval het te kraken.

[Reactie gewijzigd door qlum op 3 juni 2012 13:07]

vanaalten
@qlum3 juni 2012 12:50
... en als je dan ook nog spelfauten in je woorden gaat maken, dan gaat het helemaal lang duren... ;)
Gomez12
@Part3 juni 2012 12:17
Enig idee hoeveel woorden er zijn?
Ypho
@Gomez124 juni 2012 09:15
In principe zou je zeggen dat er oneindig veel wachtwoorden zijn, maar in praktijk dit hangt ook af van hoe de wachtwoorden worden opgeslagen.

In het geval van ongecodeerde opslag in de database hangt dit af van de maximale lengte van het veld, bv 16 karakters geeft het aantal tekens ^16 als mogelijke wachtwoorden. Bijvoorbeeld bij MD5 (oud, ik weet het) zijn de mogelijkheden in principe ook oneindig, maar er zijn maar 32^10 hashes beschikbaar, op een gegeven moment kan het zo zijn dat twee personen met verschillende wachtwoorden dezelfde MD5 hash hebben, dus wordt het dan geteld als verschillende wachtwoorden?

Als het bij MD5 dus puur om toegang gaat tot bijvoorbeeld een website op andermans account, kun je misschien beter hashes gaan vergelijken in plaats van een brute-force aanval.
fdh
@demilord3 juni 2012 11:33
dat is er gewoon om vragen:

http://xkcd.com/936/

;-)
MetalfanBlackness
@fdh3 juni 2012 12:06
Ik zie deze suggestie steeds vaker, maar er wordt hier de aanname gedaan dat het kraken van wachtwoord altijd via brute force gedaan wordt. Jammer genoeg bestaat er ook zoiets als een dictionary attack en het is ook niet uncommon om woorden achter elkaar te zetten. Hierdoor kan het zijn dat het "raden" van een aantal woorden achter elkaar veel makkelijker is dan het brute forcen van een wachtwoord met vreemde tekens.

Als 2e punt is dat als iedereen dit zou doen (het gebruik van alleen woorden) dan zou brute force een stuk makkelijker worden, want er zitten maar 26 letters in het alfabet en dan keer 2 vanwege eventuele hoofdletters. Dit zijn veel minder karakters van dat je ook nog alle speciale tekens nodig hebt.

Het probleem is dat mensen dadelijk gaan denken dat een wachtwoord als "HenkGeitPietHond" veiliger is dan "P=s@tDg!=".

[Reactie gewijzigd door MetalfanBlackness op 4 juni 2012 01:43]

robvanwijk
@MetalfanBlackness3 juni 2012 12:22
Ik zie deze suggestie steeds vaker, maar er wordt hier de aanname gedaan dat het kraken van wachtwoord altijd via brute force gedaan wordt. Jammer genoeg bestaat er ook zoiets als een dictionary attack
Nee, nee, NEE!

Elk van de vier woorden hebben elf bits entropy.
Brute-forcen (uitgaande van 26 kleine letters en een woord van vijf letters, zoals "horse") geeft al log2(26^5) ~= 24 bits. Zes letters ("staple") geeft ruim 28 bits en zeven letters ("correct", "battery") is goed voor 33 bits. (Overigens, dat woorden van verschillende lengte hetzelfde aantal bits entropy hebben is ook al een duidelijke aanwijzing, zonder rekenen, voor een dictionary attack.)
GamingZeUs
@robvanwijk3 juni 2012 15:08
Je mist hierbij finaal het punt dat je quoot. Bij een dictionary attack zijn de woorden, niet de characters, van belang. Wat nog belangrijker is is hoevaak dat ene woordt voorkomt in ieders wachtwoorden. De woorden die vaak voorkomen proberen op veel gebruikersnamen kan dus al snel een werkende combinatie opleveren.

Voorbeeld: Een tuiniersforum waar mensen minimaal 9 characters lange wachtwoorden moeten gebruiken. Mensen die een stel plantnamen achter elkaarzetten (zeg 4) krijgen een wachtwoord met (aantal tuinnamen)^(aantal woorden) MAXIMALE veiligheid. Als dennenboom bijvoorbeeld vaker voorkomt zal die vaker gekozen worden. Deze complexiteit is een stuk lager dan hoeveel combinaties er met die letters mogelijk zouden zijn geweest.

XKCD doelt er op dat het nemen van een weinig voorkomende zin (een willekeurige grap van een character in een onbekend boek bijvoorbeeld) het wachtwoord al snel te complex maakt om te brute forcen. Terwijl we nu wachtwoorden nemen die zo kort zijn dat het al snel te raden is EN niet te onthouden zijn. Helaas betekend het wegens dictionary attacks nog steeds niet dat iedereen een veilig wachtwoord heeft "lovepeanutsicecreamchocolat" zou bijvoorbeeld bovengemiddeld voorkomen en het aantal elementaire woorden is ook nog maar de vraag.

Als we dit willekeurige gebruikers gaan adviseren komen er nog steeds veel slechte wachtwoorden uitrollen, bedoel ik maar te zeggen.
robvanwijk
@GamingZeUs3 juni 2012 15:32
Voorbeeld: Een tuiniersforum waar mensen minimaal 9 characters lange wachtwoorden moeten gebruiken. Mensen die een stel plantnamen achter elkaarzetten ...
... volgen niet het principe van XKCD 936: "four random common words". Zeker op een tuiniersforum (maar ook op T.net) voldoet "roos tulp narcis lelie" daar absoluut niet aan.
Tenminste, ik denk dat we het erover eens kunnen zijn dat XKCD eigenlijk bedoelt dat de vier woorden onderling geen verband houden. Ook al is "random" misschien niet het beste woord om dat te omschrijven, het is een stuk begrijpelijker dan "four non-cross correlated words".
Deze complexiteit is een stuk lager dan hoeveel combinaties er met die letters mogelijk zouden zijn geweest.
Maar als je in aantallen letters denkt, dan doel je (neem ik aan?) op willekeurige strings, die dus weer niet te onthouden zijn. Het hele punt van XKCD 936 is dat de lengte van een password en de complexiteit (welke teken-klasses je gebruikt) in principe irrelevant zijn; het doel is veel bits entropie bij elkaar te zoeken.
Als we dit willekeurige gebruikers gaan adviseren komen er nog steeds veel slechte wachtwoorden uitrollen, bedoel ik maar te zeggen.
Als de wachtwoorden ongeveer even slecht zijn maar nu opeens wel te onthouden (en dus niet meer overal opgeschreven worden), dan denk ik dat het toch een stap in de goede richting is. Maar inderdaad, ook XKCD 936 is niet de heilige graal. (Helaas...)
Maarten21
@robvanwijk3 juni 2012 16:26
Kijk eens op deze link:
http://dl.dropbox.com/u/209/zxcvbn/test/index.html

Dit laat zien hoeveel tijd het kost om een opgegeven password te kraken. Er wordt dan ook meteen aangegevens wat voor pattern er gebruikt wordt.

bv:
password: zxcvbn
pattern: dictionary (passwords)
crack time: 0.006 seconds

password: Tr0ub4dour&3
pattern: Dictionary (english)
crack time: 22 hours

password: correcthorsebatterystaple (van xkcd 936)
pattern: Dictionary (english)
crack time: 65 years

password: briansmith
pattern: Dictionary (male names)
crack time: 0.001

etc.

Bij mijn password staat "centuries", met als gebruikte pattern "Brute Force". Verder heb je ook nog de "spacial" pattern, wat bijvoorbeeld gebruikt wordt als je password gebaseerd is op de layout van je keyboard (bv 1qaz2wsx3edc).
The_Double
@Maarten213 juni 2012 17:56
die site gaat er van uit dat ze direct weten welke patterns achter elkaar gekoppelt moeten worden. Hij raad de naam van me kat zogenaamd meteen omdat delen van zijn naam (doppie) in het engelse woordenboek zitten. (do & i)

de maker geeft dat zelf ook toe:
zxcvbn is purposely underestimating, by giving a password’s structure away for free: It assumes attackers already know the structure (for example, surname-bruteforce-keypad), and from there, it calculates how many guesses they’d need to iterate through. This is a significant underestimation for complex structures. Considering correcthorsebatterystaple, word-word-word-word, an attacker running a program like L0phtCrack or John the Ripper would typically try many simpler structures first, such as word, word-number, or word-word, before reaching word-word-word-word.
Hiermee worden sommige passwords zwaar te kort gedaan. IRL zou mijn kat z'n naam waarschijnlijk helemaal gebruteforced moeten worden. Dan is het nog steeds geen ideaal password, maar wel al een stuk sterker.

inb4 shitstorm: ik gebruik niet de naam van me kat als wachtwoord.

[Reactie gewijzigd door The_Double op 3 juni 2012 17:57]

3raser
@The_Double4 juni 2012 15:37
die site gaat er van uit dat ze direct weten welke patterns achter elkaar gekoppelt moeten worden. Hij raad de naam van me kat zogenaamd meteen omdat delen van zijn naam (doppie) in het engelse woordenboek zitten. (do & i)
De site gaat er volgens mij tevens vanuit dat ieder deel van het wachtwoord apart gekraakt kan worden. Zelfs als je het patroon weet zul je de losse delen nog steeds gezamenlijk moeten testen. Dit kost aanzienlijk meer tijd dan simpelweg de onderlinge tijden bij elkaar optellen.
PuzzleSolver
@Maarten213 juni 2012 20:19
Maar nu staat jouw password in zijn dictionary en is deze ook niet meer safe ;). Verder gebuikt hij geen nederlandse dictionary.

Veel belangrijker is dat sites geen password hashes naar buiten blootstellen en brute force attacks weren door lockouts op het moment dat er te vaak een fout ww opgegeven wordt.
Knobby
@Maarten213 juni 2012 21:14
Zeer interessant linkje.
Ik zou graag een mijn eigen wachtwoorden eens willen testen, maar ben niet van plan om deze op een onbekende site in te voeren, zo te zien staan de dingen die jij daar hebt ingevoerd ook nog gewoon weergegeven, en het is natuurlijk de beste manier om je dictionary uit te breiden ;)
Kan iemand me vertellen hoe ik zelf een dergelijke analyse kan doen/hosten
Anoniem: 233094
@Knobby4 juni 2012 09:34
zet een webserver met passwoord op in je lan en probeer deze te kraken. Legaal en redelijk simpel + voor herhaling vatbaar.
AHBdV
@Maarten214 juni 2012 14:56
Ongelooflijk interessante link!
Als je een beetje probeert, dan zie je dat de dictionary een ongelooflijk grote invloed heeft. Soms kun je door één letter te verwijderen, van 6 minuten tot 6 year springen. Simpelweg, omdat je dan buiten de dictionary komt, en daardoor daadwerkelijk moet bruteforcen.

Passwords die in theory heel sterk lijken, blijken ongelooflijk zwak, omdat de dictionary mee speelt!
MetalfanBlackness
@robvanwijk4 juni 2012 02:22
Waar het mij om gaat is dat mensen moeten nadenken i.p.v. tegen (niet technische) mensen zeggen dat ze 4 random woorden moeten nemen. Random is iets wat een mens niet goed kan, meestal denken mensen onderbewust toch aan iets wat ze mee hebben gemaakt of iemand die ze kennen ofzo. Als bijvoorbeeld een hacker d.m.v. social netwerken een woordenboek maakt, kan het zijn dat daar alle woorden in komen die ze gekozen hebben.

Om er ook even een xkcd bij te halen beerbeerbeerbeer bestaat uit 4 random woorden: http://xkcd.com/221/ ;).

In theorie zou het wachtwoord HenkGeitPietHond met 256 permutaties kunnen worden gekraakt als het woordenboek maar bestaat uit Henk, Geit, Piet en Hond. (zeer onwaarschijnlijke situatie).
Pozo
@MetalfanBlackness3 juni 2012 12:24
Kan je dat wiskundig onderbouwen? M.i. is "HenkGeitPietHond" minstens zo goed als "P=s@tDg!=". :)

Dictionary attacks bestaan, maar het aantal permutaties om precies HenkGeitPietHond te krijgen is enorm.

Verder wat ThomasG hieronder zegt, zie ik nu net pas.
Tribits
@Pozo3 juni 2012 13:33
Als die vier woorden uit een 11 bit (2048 elementen) lijst komen zoals XKCD suggereert kom je dus op de aangegeven 44 bit. Als de negen tekens in het tweede wachtwoord volledige willekeurig gekozen zijn uit een 7 bit karakter set dan kom je aan 63 bit en is de laatste dus aanmerkelijk veiliger.

Het punt van XKCD is dat het gemiddelde wachtwoord geen willekeurige verzameling van tekens is en dat daarmee de entropy achteruit holt. Een intelligent brute force mechanisme kan het aantal combinatie sterk terugbrengen. Vandaar de 28 bits voor een wachtwoord met wat letter-cijfer vervanging en wat meer algemeen voorkomende trucjes.

Tweede punt van XKCD is dat het woordensysteem een (redelijk) veilig wachtwoord mogelijk maakt dat ook nog een keer goed te onthouden is.

Negen volstrekt willekeurige karakters zal je doorgaans op moeten schrijven en daarmee breek je eigenlijk op een andere manier het veiligheidsprincipe van een wachtwoord: het is iets dat alleen jij weet en zodra je het ergens opschrijft/opslaat is niet meer gegarandeerd dat jij de enige bent die het weet. Datzelfde geldt min of meer ook voor het gebruiken van hetzelfde wachtwoord op meerdere systemen.

[Reactie gewijzigd door Tribits op 3 juni 2012 13:35]

Xubby
@Tribits3 juni 2012 15:01
[...]
Het punt van XKCD is dat het gemiddelde wachtwoord geen willekeurige verzameling van tekens is en dat daarmee de entropy achteruit holt. Een intelligent brute force mechanisme kan het aantal combinatie sterk terugbrengen. Vandaar de 28 bits voor een wachtwoord met wat letter-cijfer vervanging en wat meer algemeen voorkomende trucjes.
[...]
Even zien: correcthorsebatterystaple = 25 characters, maar wel 4 woordenboek woorden.

Zelf zou ik dan misschien voor deze variant gaan: C0rr3cHOr$B@tt3r$t@p1 = 21 characters.

Lijkt me een stuk sterker: ingekorte woorden en "shift cijfers" , dus elke woordenboek aanval is zinloos ...
--Andre--
@Xubby3 juni 2012 16:09
een 3 voor e gebruiken, een $ voor s, een @ voor a lijken me common replacements. Een ietswat geävanceerde versie van een dictionary attack zou hier misschien zelfs op kunnen testen. Natuurlijk verhoogt het wel de entropie, maar aangezien het common replacements zijn, lijkt me een dictionary attack niet volkomen zinloos.

Ook het inkorten van de woorden maakt het een dictionary attack moeilijker, maar als ik je voorbeeld bekijk valt me op dat je enkel de laatste letter weglaat, en met zo'n regelmatig patroon zou ik een woordenboekaanval niet volledig zinloos noemen.

Je drijft de entropie wel omhoog, dat is zeker, maar een woordenboekaanval met spellingsvariaties lijkt me nog steeds effectiever dan te brute forcen.
Cocytus
@Xubby3 juni 2012 18:04
Wat dan weer compleet zinloos is omdat je dan alsnog een wachtwoord hebt dat niet te onthouden is (zie de xkcd-cartoon), en zoals gezegd neemt een intelligente dictionary attack 1337 verwisselingen mee.

[Reactie gewijzigd door Cocytus op 3 juni 2012 18:11]

Bacchus
@Tribits3 juni 2012 14:39
Negen volstrekt willekeurige karakters zal je doorgaans op moeten schrijven en daarmee breek je eigenlijk op een andere manier het veiligheidsprincipe van een wachtwoord: het is iets dat alleen jij weet en zodra je het ergens opschrijft/opslaat is niet meer gegarandeerd dat jij de enige bent die het weet.
M.i. moet je hier vooral rekening houden met je aanvaller: Voor een willekeurig niet-boeiend webforum zou ik het wachtwoord gewoon in mijn browsercache gooien, zelfs plaintext, desnoods. Voor webmail zou ik encrypted browsercache wel vertrouwen en opschrijven (maar niet op een postit op m'n monitor) ook wel. Voor desktop of windows-domein zou ik onthouden of veilig opschrijven.
djunicron
@Pozo3 juni 2012 13:26
Daarom kies ik liever voor iets als "Horse@2PMafternoontimes4!".

Je krijgt dan zeg maar een zinnetje met semi-logische volgorde waarin je "natuurlijk" tekens, cijfers en andere punctuatie gebruikt.

Daarnaast is het handig als je ze zo kiest dat je ze snel op je keyboard kunt inkloppen.
Patriot
@djunicron3 juni 2012 13:52
Daarom kies ik liever voor iets als "Horse@2PMafternoontimes4!".

Je krijgt dan zeg maar een zinnetje met semi-logische volgorde waarin je "natuurlijk" tekens, cijfers en andere punctuatie gebruikt.

Daarnaast is het handig als je ze zo kiest dat je ze snel op je keyboard kunt inkloppen.
Wat is toch altijd die neiging om geen spaties in een wachtwoord te hebben. Ik ben nog nooit een website tegengekomen waar ik problemen kreeg vanwege een spatie in het wachtwoord...
Mejust
@Patriot3 juni 2012 16:02
Omdat maar heel weinig sites en w/e spaties in hun wachtwoorden accepteren.

EDIT: zoals beijvoorbeeld de ING en de VU.

[Reactie gewijzigd door Mejust op 3 juni 2012 16:02]

ArmadaOne
@Mejust3 juni 2012 17:53
Precies.
Niet alleen websites (email accounts, social media etc) maar ook software providers accepteren geen spaties in wachtwoorden.
Er zijn verscheidene redenen hiervoor, de belangrijkste is dat veel databases simpelweg geen spaties ondersteunen.
En terecht, want scheiding door spatie betekend twee aparte wachtwoorden.
Als je het wachtwoord in de database op zoekt, zal deze alleen het eerste woord pakken.
Dit is ook OS afhankelijk.
Op windows based servers wordt vaak wel spatie-gevoelige wachtwoorden ondersteund (kijk maar naar je windows login wachtwoord of screensaver) maar op Unix gebaseerde servers vaak weer niet, afhankelijk van het type.
Op mijn server die ik in een datacentre had draaide FreeBSD en net als OpenBSD en vergelijkbare text-based linux platformen kan je geen spaties gebruiken.
bwerg
@ArmadaOne3 juni 2012 19:51
En terecht, want scheiding door spatie betekend twee aparte wachtwoorden.
En dat is voor mij meteen een aanwijzing dat een beheerder (die de restricties aan de wachtwoorden bepaalt) zeer slecht bezig is, want wachtwoorden dienen eigenlijk altijd gehashed te worden en daarmee hef je meteen allerlei onnodige restricties op. Net zoals dat ik er vanmiddag toevallig achter kwam dat hotmail maar maximaal 16 tekens ondersteunt - onnodig, en als we het toch over sterke wachtwoorden hebben, een doorn in het oog. Niets vervelender dan een ijzersterk wachtwoord hebben, maar dat je hem moet inkorten (maar dan wel een speciaal teken ertussen moet proppen, vanwege veiligheid :S).

Al die irritante restricties dat je wachtwoord maximaal zo en zo lang mag zijn, en minstens twee speciale tekens en hoofdletters en cijfers moet hebben... liever zorgen ze ervoor dat ik niet steeds zo creatief moet zijn dat ik mijn wachtwoord vergeet, en geven ze gewoon tips voor hoe je sterke wachtwoorden bedenkt. Het zal me niets verbazen als ik in mijn leven minstens 100 accounts met wachtwoord heb aangemaakt (waarvan ik 90% al lang vergeten ben) dus dan is het wel prettig als websites zo min mogelijk restricties opleggen, wat prima mogelijk is.

Net als het periodiek moeten veranderen van je wachtwoord, ik heb nooit echt goed begrepen waar dat goed voor is. Als ik mijn wachtwoord niet lek (en de beheerders van hetgeen waar ik ermee inlog ook niet, mag ik hopen) dan wordt dat wachtwoord gewoon niet bij derden bekend. Waarom dan veranderen? Zorgt er alleen maar voor dat ik het op moet schrijven, wat natuurlijk zeer slecht is uit veiligheidsoogpunt.

[Reactie gewijzigd door bwerg op 3 juni 2012 20:17]

Jochem_
@bwerg4 juni 2012 08:52
Oei, ik zie nu jouw reactie pas, nadat ik net boven jou eigenlijk exact hetzelfde betoog voerde.
Wat me nog het meest stoort zijn (spaar)bank sites die je niet alleen op bovengenoemde manier beperken, maar ook nog een restrictie in lengte van het password opleggen. Daarbij maken ze het hele wachtwoord een stuk onveiliger (12 karakters?!!), terwijl ze aan de andere kant proberen te suggereren heel veilig te zijn door je elke x maanden een ander wachtwoord te laten kiezen, of je na het vergeten van je wachtwoord niet hetzelfde wachtwoord te laten gebruiken. Dit lijkt een goed idee, maar in de praktijk werkt het alleen maar in de hand dat mensen ergens hun wachtwoord op gaan schrijven.
Ik wist niet dat hotmail dat ook doet. Het is werkelijk onbegrijpelijk dat dit soort sites - waarvan je hoopt dat de ontwikkelaars toch enige sjoege hebben van de materie - onnodige restricties oplegt, en aan de andere kant een hoog veiligheidsniveau suggereert door onhandige maatregelen.

Ik ben mijn wachtwoord bij die twee bank-sites al meermaals vergeten, maar nadat ik een password-reset via een email-link had gedaan, bleek dat ik na het lezen van de restricties wederom datzelfde wachtwoord had gekozen. Dat mocht vervolgens niet (ze slaan de 6 laatste kennelijk op). Mijn wachtwoorden zijn voor mij namelijk enigszins logisch, doch niet altijd hetzelfde, maar ik werd door de restricties zo beperkt dat er hetzelfde resultaat uit kwam.

edit: typo

[Reactie gewijzigd door Jochem_ op 4 juni 2012 08:53]

Ronald
@ArmadaOne3 juni 2012 18:44
Ehm... Wie gaat de wachtwoorden plain text opslaan in de database 8)7
Pozo
@Ronald3 juni 2012 20:01
@Ronald:

Hopelijk niet alteveel lieden, maar ook voordat ze opgeslagen worden kan het zijn dat een spatie tricky is - alleen als je zeker weet dat de browser/server het als het goede ascii of unicode karakter interpreteert kan je het veilig gebruiken. Je wil niet dat mensen ineens alleen maar met Firefox kunnen inloggen omdat IE een spatie anders verzend :)

Beetje zelfde idee als end of line dingen: is het een carriage return, een newline, of combinatie van de twee? http://en.wikipedia.org/wiki/Newline

Zie hier welke codes er allemaal zijn voor whitespace:
http://en.wikipedia.org/wiki/Whitespace_character

[Reactie gewijzigd door Pozo op 3 juni 2012 20:02]

Jochem_
@Pozo4 juni 2012 08:42
Wat een onzin. Een spatie is wat anders dan een whitespace, en de vergelijking met EOL-characters/sequences gaat ook mank.

Een spatie is net als de hoofdletter A gewoon een vastgelegd teken in ASCII. Ik heb nog nooit een browser of programmeertaal gezien die een spatie anders definieert (tenzij er iets exotisch gebeurt waarbij ook de hoofdletter A anders wordt natuurlijk).

Het argument wat men aanhaalt dat veel sites geen wachtwoorden met spatie accepteren is WEL een geldige reden om geen spatie te kunnen gebruiken. Vaak zijn het hoofd- en kleine letters, nummers en een heel select gezelschap van speciale tekens.

Wat me nog het meest stoort zijn (spaar)bank sites die je niet alleen op bovengenoemde manier beperken, maar ook nog een restrictie in lengte van het password opleggen. Daarbij maken ze het hele wachtwoord een stuk onveiliger (12 karakters?!!), terwijl ze aan de andere kant proberen te suggereren heel veilig te zijn door je elke x maanden een ander wachtwoord te laten kiezen, of je na het vergeten van je wachtwoord niet hetzelfde wachtwoord te laten gebruiken. Dit lijkt een goed idee, maar in de praktijk werkt het alleen maar in de hand dat mensen ergens hun wachtwoord op gaan schrijven.

Ik heb het wachtwoord nog NET niet opgeschreven, maar wel mezelf voor 2 banken een mail met aantekeningen over hun wachtwoordrestricties gestuurd, zodat ik mijn eigen gedachtegang kan reconstrueren als ik wederom één van die wachtwoorden ben vergeten.
WaaaghNL
@Ronald3 juni 2012 23:57
ik ken verschillende bedrijven helaas
Goderic
@ArmadaOne3 juni 2012 22:14
Ik kan nochtans op Linux en FreeBSD zonder problemen spaties in mijn wachtwoorden zetten.
Jochem_
@Goderic4 juni 2012 08:46
Ja, en op Windows ook mister fanboy.

Je mist het punt.
hackerhater
@ArmadaOne4 juni 2012 10:41
Ik zie niet waarom een spatie in het wachtwoord een probleem voor de DB zou moeten zijn.
Tenzij ze zo achterlijk zijn om het wachtwoord niet te hashen!
Jochem_
@hackerhater4 juni 2012 11:14
En hetzelfde verhaal voor lengte-restricties.
mad_max234
@Pozo3 juni 2012 12:53
Kan je dat wiskundig onderbouwen? M.i. is "HenkGeitPietHond" minstens zo goed als "P=s@tDg!=". :)

Dictionary attacks bestaan, maar het aantal permutaties om precies HenkGeitPietHond te krijgen is enorm.

Verder wat ThomasG hieronder zegt, zie ik nu net pas.
Zitten ver weg meer woorden in taal dan dat we letters/tekens en cijfers hebben. Denk dat je dus wel punt heb, je gebruik maar vier woorden maar de combinaties zijn heel groot zeker als je ook meerder talen gaat combineren, bijvoorbeeld als je tweetalig bent is het helemaal niet moeilijk om te onthouden lijkt me.
BlueInk
@Pozo3 juni 2012 22:40
Is dit iets?
https://www.grc.com/haystack.htm
Voer beide wachtwoorden en zie/interpreteer het resultaat...
MetalfanBlackness
@Pozo4 juni 2012 02:46
Ik bedoel ook niet dat HenkGeitPietHond minder veilig is dan P=s@tDg!=, wat ik wil zeggen is dat je er goed over na moet denken i.p.v. deze aanname te maken.

Voor brute force is HenkGeitPietHond veel sterker dan P=s@tDg!=. Bij dictionary attack wordt de aanname gedaan dat het aantal woorden enorm, maar als het een belangrijk iets is om in te breken zou er ook wat onderzoek gedaan kunnen worden. Omdat ik denk dat het kiezen van random woorden niet echt het sterkste punt is van een mens lijkt het me toch "makkelijk" om bepaalde woorden hogere of lagere prio te geven of om een nieuw woordenlijst te maken.
GemengdeDrop
@MetalfanBlackness3 juni 2012 12:26
het aantal woorden waaruit je kan kiezen is pretty much eindeloos. Daardoor is een dictionary attack niet echt bruikbaar als het goed gedaan is. Met een goed opgestelde woorden lijst en een dobbelsteen kom je een heel eind. Je moet dus de woorden echt random kiezen, anders ben je inderdaad kwetsbaar voor taalkundig relevante woordkeuzens in geval van een attack. Een dictionary attack is immers ook een soort van bruteforce, alleen bij een dictionary attack is de zoekruimte per symbool nog eens veel groter.

Het punt is dan wel weer dat je voor een beetje password wel ~10 woorden nodig hebt. Maar voor websites is het aantal mogelijke pogingen voordat ingegrepen word veel kleiner, dus dan kan je wellicht volstaan met maar 5 woorden.

Het probleem is juist die websites. Die verplichten je namelijk een wachtwoord van een bepaalde format te kiezen. Sorry hoor, maar met al die websites waar je moet registreren (bijv webwinkels) trek ik het niet meer. Dat onthoud ik nooit. Zeker ook omdat je die wachtwoorden misschien eens in de 12 of zelfs 24 maanden gebruikt.
merauder
@GemengdeDrop3 juni 2012 13:48
De verplichte registraties voor zaken wat je af en toe nodig hebt zijn ook de zaken waardoor serieuze beveilingsissues ontstaan. Veel gebruikers die ik ken gaan in dergelijke situaties op meerdere sites zelfde wachtwoorden gebruiken.

Registreer je vervolgens op een niet al te betrouwbare site, dan maken mensen het mogelijk dat de webmaster beschikking heeft over deze wachtwoorden. Wat qua veiligheid natuurlijk niet een erg fijne gedachte is.

Waar ik zelf erg blij mee ben, is dat het tegenwoordig op steeds meer sites mogelijk wordt om met je gmail of Facebook account in te loggen.
--Andre--
@GemengdeDrop3 juni 2012 16:18
Om het moeilijker te maken, misschien zelfs woorden uit verschillende talen gebruiken.
Al vertrouw ik veel sites nog niet om non-ascii tekens correct te verwerken, dus accenten op tekens blijven tricky.

als we "correctbatteryhorsestaple" vertalen, krijgen we bijvoorbeeld "richtigpilehästnietje"
(let wel op de ä, dus dit kan problemen opleveren met character encoding)

Met dictionary attacks loopt het aantal mogelijke woorden op, aangezien we hier met meerdere talen rekening moeten houden. Als we gaan brute forcen, en we staan accenten toe, loopt het aantal mogelijkheden ook op.

(NB, ik heb het franse pile voor battery gekozen, omdat ik woorden willen kiezen die niet op het origineel lijken.)
kiang
@GemengdeDrop3 juni 2012 14:42
GFebruik lastpass? dan meot je al die wachtwoordnew niet onthouden EN ze zijn veilig
MetalfanBlackness
@kiang4 juni 2012 02:08
En als ik jouw lastpass master wachtwoord kraak, dan heb je tenminste een mooie collectie wachtwoorden. Naast dat je een mooie collectie wachtwoorden hebt weet je ook precies waar je ze kunt gebruiken en dat is helemaal mooi voor hackers.

Beveiliging is even goed als de zwakste schakel.
Baardmeester
@MetalfanBlackness3 juni 2012 12:21
Daarom moet je aan het voorbeeld even een kleine cijfer combinatie en special teken toevoegen. 'iseendaner1234!' is veel makkelijker te onthouden dan 'P=s@tDg!=' en velen malen sterker.
SKiLLa
@MetalfanBlackness3 juni 2012 12:33
"HenkGeitPietHond" is ook veiliger dan "P=s@tDg!=", er vanuitgaand dat de aanvaller niets over de wachtwoorden weet ! Dat is nou juist de hele grap :)

Ook dictionary attacks beginnen gewoon met lengte 1 (of 6), net zoals brute-force. Daarnaast weet een aanvaller niet of er stiekem toch niet een getal of leesteken tussenstaat, dus zal die eigenlijk altijd met een 'extend charset' moeten aanvallen. Vanuit dat oogpunt is 'HenkGeitPietHond' dus weldegelijk veel veiliger. De cartoon beschrijft de antropy toch ook juist ...

Cruciaal is de lengte, niet de 'speciale leestekens'. [A-Z,a-z,0-9] vs [A-Z,a-z,0-9,leestekens] scheelt maar max. 1 bit antropy per character. Een 'simpeler' wachtwoord van 2 of 3 characters langer is dan al veiliger. En de letters vervangen door '1337-5p34k' cijfers is zo afgezaagd; je kan echt beter gewoon "Password01IsDeBom" schrijven dan een variant als "P@ssw0rd01!" De aanname dat je daarmee dictionary-attacks voorkomt is allang achterhaalt, meestal zijn het hybride-attacks die dergelijke 'substition chars' gewoon meetesten in alle denkbare varianten.
silexh
@MetalfanBlackness3 juni 2012 12:52
XKCD neemt juist aan dat een dictionary attack gebruikt wordt: elk woord krijgt 11 bits of entropy (2048 mogelijkheden) wat er van uit gaat een klein woordenboek gebruikt wordt waar al deze woorden in staan. Om je eigen voorbeeld te volgen:

HenkGoatPeteDog geeft ruwweg 48 bits of entropy, hierbij het ik enkele woorden vertaald omdat die niet in de dictionary van de test staan: een indicatie dat het door jou genoemde HenkGeitPietHond mogelijk sterker is.

P=s@tDg!= geeft in dezelfde test 46 bits of entropy - dit is dus minder dan het eerder genoemde wachtwoord. Wel moet ik er bij vermelden dat dit komt doordat s@t en ! als dictionary woord met aanpassing gezien worden: als het geheel als bruteforce gezien wordt is het wachtwoord een stuk sterker.

Het 2e punt is misschien zo voor de voorbeelden die je genoemd hebt, maar als we er Marie-ÉliseChèvrePierreChien van maken gaat het niet op.
Tevens maakt het niet uit dat het wachtwoord slechts 52 verschillende tekens zou kunnen bevatten: het is 16 tekens lang. Dit geeft je zoveel mogelijkheden dat zelfs als je uit 1000 verschillende tekens zou kunnen kiezen voor het tweede wachtwoord dit wachtwoord nog steeds slechter zou zijn.

Edit: taalfoutjes - als je die in je wachtwoord stopt is het nog sterker...

[Reactie gewijzigd door silexh op 3 juni 2012 12:56]

Anoniem: 278274
@fdh4 juni 2012 09:36
Een langer wachtwoord betekent niet dat het veiliger is. Foute logica!
JoeriBlaau
@demilord3 juni 2012 11:34
Ik gebruik 8 cijfers, letters, hoofdletters en tekens door elkaar zonder logica voor mezelf. Gewoon een keer blind wat typen.
SuperDre
@demilord3 juni 2012 19:55
zonder enige logica alleen voor mij
Dus er is wel enige logica....
Ramzzz
3 juni 2012 11:30
Ik vind het best opmerkelijk dat dit resultaat eruit komt.

Je zou toch echt verwachten dat met name ouderen (55+) meer moeite hebben met het onthouden van hogere-bits wachtwoorden.

Ik neem aan dat de geachte onderzoekert niet naar de spiekbriefjes in iemands portemonnee heeft gekeken?

Zo kan ik het namelijk ook: eerst een super lastig wachtwoord verzinnen, en dat dan opschrijven om te onthouden.

En dat is nou net niet de bedoeling. En niet te meten volgens deze methode.

Mijn wachtwoorden zijn redelijk safe, en alleen in mijn hoofd aanwezig. (40+)
Anoniem: 398412
@Ramzzz3 juni 2012 11:46
55+ zijn nog nog niet vergeetachtig he. De meeste die in de fase van vergeetachtigheid zijn zitten in de leeftijd waarop computers rare dingen zijn en waarschijnlijk geen Yahoo account hebben.

Ik denk dat oudere mensen gewoon meer onthouden dan jongeren. Wij onthouden geen telefoonnummers of geboortedatums meer. Dat doen onze telefoons voor ons. Daardoor kunnen zij gemakkelijker combinaties maken met cijfers denk ik.

[Reactie gewijzigd door Anoniem: 398412 op 3 juni 2012 11:48]

Joostje123
@Ramzzz3 juni 2012 11:54
Je moet niet vergeten ouderen hebben heel vaak een boekje naast hun computer met de wachtwoorden. Om dat te onthouden.

En misshcien wel de belangrijkste ouderen hebben vaak ook niet heel veel op het internet en als ze iets op het internet durven willen ze dat dan wel heel veilig doen.

Voor de jongeren die hebben voor alles wel een account en dan is het weer zo wachtwoord veldje oh ik vul wel weer dit woord in.

Als je 1 registratie formulier hebt doe je dat goed als je 10 registratie formulieren hebt doe je dat wel oh boeie gewoon even snel.
Anoniem: 146814
@Ramzzz3 juni 2012 12:02
Ik denk dat ouderen een andere waarde hechten aan hun yahoo account. Ik gebruik zelf ook verschillende gradaties van wachtwoorden: van "abc123" voor m'n lokale printer tot niet-bruteforcebaar-binnen-30-miljard-jaar.

Ouderen zullen nog een echt yahoo mail account hebben en dat als primair gebruiken, terwijl jongeren vaak alleen maar een yahoo account zouden maken om te kunnen flickr'en.
Anoniem: 442878
@Ramzzz3 juni 2012 12:09
Ik vind het best opmerkelijk dat dit resultaat eruit komt.

Je zou toch echt verwachten dat met name ouderen (55+) meer moeite hebben met het onthouden van hogere-bits wachtwoorden.
Het gaat over het bedenken van een wachtwoord . Hoe dat onthouden wordt en waar is ff niet belangrijk.
Computergebruikers van 55 jaar en ouder kiezen wachtwoorden die gemiddeld twee maal veiliger zijn dan de passwords die jongeren gebruiken.
Ik ken een hoop jongeren die slechter kunnen onthouden dan iemand van 55+
Ik neem aan dat de geachte onderzoekert niet naar de spiekbriefjes in iemands portemonnee heeft gekeken?

Zo kan ik het namelijk ook: eerst een super lastig wachtwoord verzinnen, en dat dan opschrijven om te onthouden.

En dat is nou net niet de bedoeling. En niet te meten volgens deze methode.

Mijn wachtwoorden zijn redelijk safe, en alleen in mijn hoofd aanwezig. (40+)
Waar staat dat? Nergens toch?
Daarbij of je ze nu opschrijft, of in een appje in je telefoon stopt, is er een verschil in het onthouden? NEE!
Ik heb nog nooit een oudje bij een pinautomaat of in een winkel gezien de code aflezend vanaf een briefje.

[Reactie gewijzigd door Anoniem: 442878 op 3 juni 2012 12:19]

Patriot
@Anoniem: 4428784 juni 2012 01:41
[...]
Waar staat dat? Nergens toch?
Hij doet een aanname, dat maakt hij duidelijk genoeg.
Daarbij of je ze nu opschrijft, of in een appje in je telefoon stopt, is er een verschil in het onthouden? NEE!
Nee.. dat zegt hij dan ook niet. Hij heeft het over het verschil tussen onthouden en noteren. Slechts onthouden (en dus niet noteren) is bij eenzelfde wachtwoord áltijd de meest veilige oplossing.
Ik heb nog nooit een oudje bij een pinautomaat of in een winkel gezien de code aflezend vanaf een briefje.
Een pincode onthouden is meestal wel te doen inderdaad (hoewel iedereen die een baantje heeft gehad als kassier(ster) kan beamen dat ook die wel eens worden opgeschreven). Echter, als ik bij oudere mensen langskom die last hebben van computerproblemen komt er meestal een stapeltje papieren tevoorschijn waar alle wachtwoorden op staan.

Nu is het natuurlijk mogelijk dat ik nou net toevallig die 30 mensen in héél Nederland ben tegengekomen die hun wachtwoord opschrijven, maar dat lijkt me een beetje naïef.
Zoijar
3 juni 2012 11:33
Is wel eerder hier gezegd, maar gebruikers moeten gewoon pass-phrases kiezen. Al dat gedoe met hoofdletters en kleine letters, speciale tekens... vergeet je allemaal en dan moet je het opschrijven (...) Gewoon een korte zin intypen. "mijnwachtwoordiseenkortezin" Vrijwel onkraakbaar 27 karakter wachtwoord en je vergeet het nooit.
Blokker_1999
@Zoijar3 juni 2012 11:39
alleen zo spijtig dat men in bedijfsomgevingen dit weer bemoeilijkkt door elke x maanden een nieuw wachtwoord te verplichten dat niet gelijk mag zijn aan de Y vorige met een complexiteit die net kleine en hoofdletters + cijfers vereist.
redstorm
@Blokker_19993 juni 2012 11:43
Dan maak je er toch: "Mijnwachtwoordis1kortezin" van?
Het principe van een lang en "simpel" (te onthouden) wachtwoord is nog steeds sterker en makkelijker dan een kort en ingewikkeld wachtwoord.

Helaas kom ik het vaak genoeg tegen dat systemen geen lange wachtwoorden ondersteunen.
Of nog erger, wat mij laatst overkwam dat het veld in de database maar 15 tekens groot was.
Het script controleerde de lengte niet dus mijn wachtwoord werd als "Mijnwachtwoordi" opgeslagen, en als de password recovery via post verloopt ben je mooi klaar.

[Reactie gewijzigd door redstorm op 3 juni 2012 11:45]

Blokker_1999
@redstorm3 juni 2012 12:13
probleem is dat 1 van onze applicaties nu al 3 cijfers vereist. Waar ga je die aanplakken? Niet tussenin maar achteraan, en je kan er zeker van zijn dat vele mensen gewoon beginnen bij 001 en beginnen op te tellen. Goed bedoeld maar het probleem is dat er in de wachtwoorden dus een systematiek komt te zitten door dit soort policies en net dat zou je moeten vermijden.
Rrob
@redstorm3 juni 2012 11:58
En als je dan ook nog spaties gebruikt is je wachtwoord makkelijker te onthouden, makkelijker te typen en moeilijker te kraken
thegve
@redstorm3 juni 2012 12:39
Raet Online is ook zo'n applicatie. Wilde laatst mijn wachtwoord veranderen, eerst een nieuw wachtwoord van 20 karakters random gegenereerd, "maximaal 15 karakters" foutmelding.
Vervolgens genereer ik (al mopperend) een nieuw wachtwoord van 15 karakters lang, kan ik hier vervolgens met geen mogelijkheid mee inloggen, oftewel een of andere bug die vermoedelijk de karakters in mijn wachtwoord is gaan interpreteren.
En dit is een salarisadministratie systeem dat in ieder geval ook bekend is van de radio, en waar vermoedelijk honderdduizenden nederlanders hun salarisadministratie in hebben staan.
Whatson
@redstorm3 juni 2012 11:50
Ook lekker dat het wachtwoord in die db wordt opgeslagen ipv de hash
Zoijar
@Blokker_19993 juni 2012 11:54
alleen zo spijtig dat men in bedijfsomgevingen dit weer bemoeilijkkt door elke x maanden een nieuw wachtwoord te verplichten dat niet gelijk mag zijn aan de Y vorige met een complexiteit die net kleine en hoofdletters + cijfers vereist.
Maar die vereiste moet men dan laten vallen, van hoofdletters en cijfers ed. Verplicht gewoon minimaal 20 karakters en leg mensen uit hoe ze die kunnen onthouden.
centr1no
@Blokker_19993 juni 2012 12:00
Plus dat er gewoon software is die maximaal 8 tekens toelaten in het password veld.

Maar waar zit het verschil nou bij die Duitsers?
Is het de lengte van de passwords? Zijn het de speciale tekens in hun taal?
DannyXP1600
@Zoijar3 juni 2012 11:53
Volgens tweakers.net is mijn korte zin toch echt onveilig, kreeg ik in beeld toen tweakers daar onderzoek naar deed en gebruikers ging waarschuwen...
haifisch
3 juni 2012 11:35
Maar hebben deze 55 'ers geen briefje met wachtwoorden naast de pc hangen net zoals "het briefje met de pincode"?
Ik gebruik een wachtwoord van 12 tot 16 tekens dat op elke site voor een deel verschilt.
fdh
@haifisch3 juni 2012 11:39
Onlangs was hier nog een korte discussie over bij QI, en daar werd gesteld dat een briefje (thuis) met je code erop best wel veilig was omdat de mensen die inbreken bij je thuis niet de mensen zijn die je accounts zullen hacken.

Op een werk omgeving is het natuurlijk wel iets anders.
Tsurany
@fdh3 juni 2012 12:09
http://www.youtube.com/watch?v=nrnHgOCZdb8

There you go :)
280562
@Tsurany3 juni 2012 13:20
Dank. Erg grapping.

Een beetje verbazend dat "bekende britten" ook gewoon webaccounts aanmaken. En zelf hun wifi-router proberen te installeren. Tsja, ook Jeremy Clarkson moet natuurlijk bij zijn porn kunnen.
Ortep
@haifisch3 juni 2012 11:46
En denk je dat 55+ers niet op die gedachte kunnen komen? Dementie komt meestal pas in de buurt van de 75-80 jaar en dan nog maar voor een klein deel.
Ik heb voor iedere systeem een apart paswoord van 9-14 tekens, hoofd en kleine letters, cijfers en speciale tekens. Voor mij doodsimpel te onthouden en practisch onmogelijk te raden.

Vergeet niet dat er al in 1980 computers in de huiskamers stonden en dat mensen beneden de 75 er min of meer aan gewoon zijn. Die waren toen net in de 40. Ze zijn opgegroeid met die dingen.

Het verbaast me eigenlijk helemaal niets dat 55+ een sterker password kiest. Die zijn zich heel erg goed bewust van risico's en sommige zijn zelfs wat bang op het net. Ze draaien ook de huisdeur achter zich dicht als ze naar buiten gaan :)
Om even verder te generaliseren 25- is zich meestal niet echt van veiligheid bewust. Niet in de echte wereld en niet op het net. Als je ziet wat een persoonlijke gegevens ze over het net strooien via Facebook Twitter dat schrik je. Spreek je ze er op aan dan halen ze hun schouders op. Veiligheid en privacy bestaan gewoon niet voor ze.

[Reactie gewijzigd door Ortep op 3 juni 2012 11:49]

Anoniem: 442878
@Ortep3 juni 2012 12:44
Vergeet niet dat er al in 1980 computers in de huiskamers stonden en dat mensen beneden de 75 er min of meer aan gewoon zijn. Die waren toen net in de 40. Ze zijn opgegroeid met die dingen.
Behalve hobbymatig zitten er onder de oudere computer gebruikers mensen die binnen de ICT werkzaam waren, zoals Cobol programmeurs. Nu zijn er op uni's nog steeds ICT leraren die op "leeftijd"zijn. Er zijn maar weinig jonge hoogleraren binnen de ICT.

Kijk naar de de Nederlandse "Godfather"van het internet in Nederland, Piet Beertema. Zonder hem geen internet.Laats nog een artikel/video over hem hier op Tweakers.En die werkt nog steeds binnen de ICT
http://www.godfatherof.nl/
Het verbaast me eigenlijk helemaal niets dat 55+ een sterker password kiest. Die zijn zich heel erg goed bewust van risico's en sommige zijn zelfs wat bang op het net. Ze draaien ook de huisdeur achter zich dicht als ze naar buiten gaan :)
Om even verder te generaliseren 25- is zich meestal niet echt van veiligheid bewust. Niet in de echte wereld en niet op het net. Als je ziet wat een persoonlijke gegevens ze over het net strooien via Facebook Twitter dat schrik je. Spreek je ze er op aan dan halen ze hun schouders op. Veiligheid en privacy bestaan gewoon niet voor ze.
Daarbij hebben jongeren wel wat anders aan hun hoofd dat een 50plussers niet (meer) heeft. Die is vaak uit de kleine kinderen. Hoeft niet meer uit te gaan. Hij is rustiger.Dat draagt allemaal bij bij dit onderzoek. Hij heeft geen (meer) last van de perikelen van een 25-jarige.
En denk je dat 55+ers niet op die gedachte kunnen komen? Dementie komt meestal pas in de buurt van de 75-80 jaar en dan nog maar voor een klein deel.
offtopic:
Wat een onzin om het over dementie te hebben. Alsof iedereen steevast dement wordt. Je KAN dement worden, ook op een leeftijd vanaf 50 jaar. Net zoals dat je ook als 25-jarieg je heup kan breken. Of een hartaanval/stilstand kan krijgen.
Ook hangt dementie af van [quote]
In april 2012 stellen wetenschappers een verband tussen vroege dementie en een ongezonde leefstijl[/quote]en tegenwoordig kunnen ze er wat van die jongeren, van zuipen. Prima om je hersen naar de k**** te helpen!
http://nl.wikipedia.org/wiki/Dementie

[Reactie gewijzigd door Anoniem: 442878 op 3 juni 2012 12:48]

Ossebol
3 juni 2012 11:47
Ik vind het een vreemd verhaal. Hoe kan Yahoo namelijk zomaar de wachtwoorden van zijn gebruikers doorsluizen naar een onderzoeker? Mag dat überhaupt?
Joostje123
@Ossebol3 juni 2012 11:57
JE hebt niet zo veel aan als je alleen de wachtwoorden krijgt, met waar ze vandaan komen en de leeftijd.
Als je geen email adres en naam er bij geeft kan ik je ook wel vertellen.

Hier is een wachtwoord:
Test123 van een Nederlander die 22 jaar is.

Succes met inloggen!
Ossebol
@Joostje1233 juni 2012 12:08
Het gaat er mij niet om dat iemand anders ermee kan inloggen, maar dat het persoonlijke informatie is, die - zelfs al is het 'maar' een wachtwoord, een locatie en een leeftijd - niet hoort bij een externe partij. Ik vind dat Yahoo als bedrijf zijn boekje te buiten is gegaan. Het gaat immers om miljoenen mensen.
Nixo
@Ossebol3 juni 2012 12:23
Het gaat niet om de wachtwoorden zelf maar om de Hash... succes ermee dan
FreezeXJ
@Ossebol3 juni 2012 12:23
Ze hebben de wachtwoorden niet doorgegeven maar de hash van de wachtwoorden. Dat zijn de al versleutelde dingen, waar je nog wel het een en ander aan kunt zien (en door er gewoon een solide brute-force op los te laten weet je ook meteen hoeveel er zwak waren :) )

Daarnaast heb je niet gek veel aan wachtwoorden zonder de gebruikersnaam erbij, en als je in 1 klap 10 miljoen gehashte wachtwoorden krijgt, ga je die echt niet allemaal uittesten op 1 gebruikersnaam.
SMGGM
3 juni 2012 11:44
Probleem met veel wachtwoorden is dat je het na een tijd gewoon zo kotsbeu bent als wat. Bij mijn broer heeft hij een wachtwoord voor login, SAP, inlog in applicatie A, B, C... elk van die wachtwoorden vervallen dan nog eens om de zoveel maand (en uiteraard niet allemaal samen).
Dit maakt dat je iedere maand wel een nieuw wachtwoord moet gaan verzinnen dat anders is als het vorige en waar de ene de nodige complexiteit vraagt. Van pure miserie ga je wachtwoorden gebruiken als Juni2012 en die zijn allesbehalve veilig.

Naar mijn mening de schuld van de beheerder. Dit moet zelf kunnen beslissen wat als haalbaar aanzien kan worden als wachtwoord beleid. Te strikt maakt dat mensen het opschrijven of gewoonweg een te simpel wachtwoord gebruiken. Bij een minder strikt valt dan wel de verantwoordelijkheid bij de gebruiker om 1 degelijk te gebruiken (en daar loopt het vaak wel wat mis).
Ortep
@SMGGM3 juni 2012 11:58
Bij mijn broer heeft hij een wachtwoord voor login, SAP, inlog in applicatie A, B, C... elk van die wachtwoorden vervallen dan nog eens om de zoveel maand (en uiteraard niet allemaal samen).
Vaak is het bedrijfs politiek en niet altijd door de beheerder bepaald. Maar je kan het niet allemaal samen probleem prima oplossen hoor. Als je een appplicatie hebt die om de 3 maanden een nieuwe password wil en een andere die dat om de 4 maanden wil en nog een die om de 6 maanden wil, verander je ze gewoon alle 3 om de 3 maanden. Dan kan je ze lekker synchroon laten lopen en krijg je passwords als
Q10racleG3He1m2012
Q1SapG3He1m2012
Q1NetwerkG3He1m2012

En volgend jaar neem je niet Q1,2,3,4 maar Kw1,2,3,4

Lekker veilig, zelf kan je uitrekenen wat het password is en een ander snapt er niets van

[Reactie gewijzigd door Ortep op 3 juni 2012 12:00]

Anoniem: 434945
@SMGGM3 juni 2012 12:32
Ik gebruik meestal serienummers van apparaten.. Zijn over t algemeen behoorlijk veilig en als je m vergeet (aan t begin) dan kun je hem zo weer opzoeken want t wachtwoord van de bank is dan gewoon wat achterop de koelkast staat.
Creepy Casper
3 juni 2012 17:47
Waarom zo moeilijk allemaal?

Hoe? (voorbeeldje)

CreepyCasperxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.......x

It would take a desktop PC
About 1 octovigintillion years

Je hoeft enkel je passwoord te onthouden (CreepyCasper) en je blijft op een (voor jou) gekende toets drukken (x) tot je ten einde bent.

Niet veel te onthouden eigenlijk. En die laatste toets blijven indrukken is maar een hele kleine moeite.
Ook al Bezet
@Creepy Casper3 juni 2012 17:52
Je hoeft enkel je passwoord te onthouden (CreepyCasper) en je blijft op een (voor jou) gekende toets drukken (x) tot je ten einde bent.

Niet veel te onthouden eigenlijk. En die laatste toets blijven indrukken is maar een hele kleine moeite.
Dat trucje werkt alleen als er A) inderdaad een limiet zit op hoeveel tekst je kunt invoeren*, en b) Die limiet ongewijzigd blijft.

*NB: Dus niet hoeveel de database accepteert maar hoeveel er in het tekstvak past.

[Reactie gewijzigd door Ook al Bezet op 3 juni 2012 17:52]

Luuk Fiets
@Creepy Casper3 juni 2012 23:08
Totdat je ongewenste brute force vrienden een slim algoritme inbouwen die eerst het vorige teken controleert...
Maldar
3 juni 2012 11:32
"Bovendien zouden negen cijfers relatief gemakkelijk zijn te onthouden omdat personen al gewend zijn om telefoonnummers te onthouden."

Wie onthoudt hier tegenwoordig nog telefoonnummers? Oke, je eigen telefoonnummer kennen de meesten nog wel ja, maar meer ook niet.

OT: Zijn duitsers en zuid-koreanen misschien ook wat achterdochtiger ofzo?
bartvl
@Maldar3 juni 2012 12:08
Zouden Duitsers en Koreanen misschien hun speciale leestekens gebruiken, voor hun standaard gebruik, voor ons klinkt dat meteen een stuk 'specialer' en veiliger.
alaintje
@bartvl3 juni 2012 12:28
"Ö, Ü en Ä" bijvoorbeeld al, die zitten vaak misschien nog niet eens in een brutefore kraker omdat een hacker uit china er nog nooit van heeft gehoord 8-| .
Als je al een je wachtwoord Über09 is. Is dat al een stuk moeielijker te kraken als Uber09 denk ik.
Maargoed.
Andros
@bartvl3 juni 2012 14:44
ß, nuff said :)
--Andre--
@Andros3 juni 2012 16:33
IJsland dan? met ð þ ø, streepjes en puntjes op letters.
Supremo
@Maldar4 juni 2012 11:24
Omdat de Amerikanen zo achterdochtig waren hebben de Koreanen in het verleden gekozen om 128 bit encryptie via ActiveX te implementeren en niet te wachten tot de VS de export ban had opgeheven. http://webstandards.or.kr...active-x-issues-in-korea/

Wat de Koreanen niet voorzien hadden, was dat ActiveX zo lek als een mandje is. Erg grappig om een hele sterke sleutel te kiezen, terwijl het slot zo brak is als maar kan. Door de hele afhankelijkheid van ActiveX zijn de Koreanen zo geconditioneerd dat ze overal maar "Install" klikken, omdat de zoveelste ActiveX beveiligingsapplicatie gedownload moet worden voordat ze toegang krijgen. Zuid-Korea wordt altijd het hardst geraakt wanneer er weer eens een ActiveX virus uitbreekt.

http://english.chosun.com.../10/27/2009102700899.html

Het is dus niet zo raar dat de Zuid-Koreanen zo paranoia zijn, maar een goede kans dat de Zuid-Koreanen ook het meest geinfecteerd zijn met keyloggers, waardoor een veilig wachtwoord meteen teniet wordt gedaan.

Heel langzaam wordt ActiveX stapje voor stapje verwijderd, maar het zal waarschijnlijk nog wel een paar jaar duren voordat Zuid-Korea eindelijk af is van een beslissing uit 1998! Hier zie je maar weer eens dat je je architectuur goed moet kiezen en hoe lang het kan duren voordat je een slechte beslissing ongedaan hebt gemaakt.

Overigens kent het Koreaanse alfabet slechts 24 karakters. http://thinkzone.wlonk.com/Language/Korean.htm
AvanCade
3 juni 2012 14:34
Ik ben begonnen met een makkelijke. En om de zoveeltijd voeg ik er een raar teken en een woord aan toe. Een woord dat niks betekend maar makkelijk te onthouden is. Zo kom ik inmiddels aan een 24 karakter wachtwoord. Het nadeel is dat veel sites dat niet aankunnen... Zoals de site van de Visa-card.
airell
@AvanCade3 juni 2012 17:21
Visa ook al? Ook PayPal accepteert mijn moeilijke wachtwoord niet.

Je zou toch verwachten dat zulke sites geen beperking hebben op wachtwoorden!
[Remmes]
@airell4 juni 2012 04:24
24 karakters is dan ook gewoon overdreven, echt allemaal leuk en aardig, maar de kans dat ze jou wachtwoord voor iets gaan proberen te raden is nihil, en als je dan een keylogger hebt oid, dan ben je gewoon de lul, met een wachtwoord van 8 or 50 karakters...

Kies score Let op: Beoordeel reacties objectief. De kwaliteit van de argumentatie is leidend voor de beoordeling van een reactie, niet of een mening overeenkomt met die van jou.

Een uitgebreider overzicht van de werking van het moderatiesysteem vind je in de Moderatie FAQ

Rapporteer misbruik van moderaties in Frontpagemoderatie.
1 2 3 ... 7

Op dit item kan niet meer gereageerd worden.

Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee