'Kwart West-Europeanen heeft onveilig wachtwoord'

Een kwart van de inwoners van West-Europa heeft een onveilig wachtwoord, zoals een verjaardag, telefoonnummer of zelfs een oplopende reeks cijfers als '123456'. Het grootste deel van de gebruikers onthoudt wachtwoorden en schrijft ze niet op.

Circa een kwart van de West-Europeanen heeft een wachtwoord dat voor de hand ligt en eenvoudig kan worden geraden. Dat blijkt uit een onderzoek dat is uitgevoerd in opdracht van beveiligingsbedrijf Kaspersky en waarvoor 11.000 internetgebruikers werden bevraagd.

Maar liefst 8 procent van de West-Europeanen gebruikt zijn eigen verjaardag als wachtwoord, een even groot percentage gebruikt de naam van zijn huisdier en 3 procent gebruikt een variatie op de cijferreeks '123456'. Ook een tweede naam, het eigen telefoonnummer en het woord 'wachtwoord' worden gebruikt.

Overigens doen Europeanen het beter dan internetgebruikers uit andere regio's; wereldwijd gebruikt 34 procent een onveilig wachtwoord en internetgebruikers uit Azië en de Stille Oceaan doen het nog veel slechter, met bijvoorbeeld 26 procent van de gebruikers dat zijn eigen verjaardag als wachtwoord heeft ingesteld.

Verder onthoudt 73 procent van de internetters uit West-Europa zijn wachtwoorden simpelweg; zij schrijven hun wachtwoorden niet op als geheugensteuntje. 17 procent schrijft ze op in een kladblok, terwijl een op de tien ze opslaat in de browser en 4 procent ze als tekst opslaat op een smartphone. 6 procent gebruikt wachtwoordsoftware. Voorbeelden daarvan zijn KeePass en OnePass.

Uit het onderzoek blijkt verder dat 95 procent van de Windows-gebruikers met een desktop en 92 procent van de Windows-gebruikers met een laptop antivirussoftware heeft geïnstalleerd. Bij Macs is dat fors minder; 75 procent van de desktops en laptops met OS X draait antivirus. Opvallend is dat 43 procent van de iPhone-gebruikers en 57 procent van de iPad-gebruikers zegt een virusscanner te draaien, hoewel de gesloten structuur van iOS het onmogelijk maakt voor derden om effectieve beveiligingssoftware te ontwikkelen.

De meeste mensen met een virusscanner hebben een gratis variant geïnstalleerd; 70 procent van de wereldwijde gebruikers en 74 procent van de West-Europeanen betaalt niet voor beveiligingssoftware.

Reacties (81)

MoiZie 9 augustus 2012 10:15

"De meeste mensen met een virusscanner hebben een gratis variant geïnstalleerd; 70 procent van de wereldwijde gebruikers en 74 procent van de West-Europeanen betaalt niet voor beveiligingssoftware."

Ja euh, gratis of betaalt niet is een groot verschil... In welk percentage tellen de illegale kopieën van AV programma's hierin mee?

Plague @MoiZie • 9 augustus 2012 10:26

Inderdaad, wat een waardeloos onderzoek. Ook de uitkomsten lijken mij sterk afwijken van de werkelijkheid. 75% van de Mac-gebruikers draait anti-virus software? Ik moet de eerste nog tegen komen... Mensen hebben gewoon geen flauw idee wat wel/geen anti-virussoftware is, en denken dat PC Doctor of MacKeeper de heilige graal voor een veilige computer zijn.

Zie ook de antwoorden voor iPhone en iOS: Opvallend is dat 43 procent van de iPhone-gebruikers en 57 procent van de iPad-gebruikers zegt een virusscanner te draaien, hoewel de gesloten structuur van iOS het onmogelijk maakt voor derden om effectieve beveiligingssoftware te ontwikkelen.

[Reactie gewijzigd door Plague op 5 augustus 2024 14:41]

Verwijderd @Plague • 9 augustus 2012 11:39

The overwhelming majority of Windows desktop (95%) and laptop (92%) users have an antivirus program installed on their computers – ranging from basic solutions to Total Security products. The figure for Mac desktop users is 75%. The level of security software use on mobile devices, however, is worrying: 36% of smartphone users (except iPhone and BlackBerry) and 31% of tablet owners (except iPad) do not use antivirus software. 43% of iPhone users claim to have security software on their devices, but specific features of the platform make it is impossible to create a fully functional security system.

Het lijkt meer te omvatten dan alleen anti-virus - valt little snitch er bijvoorbeeld onder ? lastig om conclusies uit te trekken. Dat van iPhone ontgaat me ook. Als er "security" apps zijn, dan zou ik me eerder zorgen gaan maken.

airell @Plague • 9 augustus 2012 10:53

Is het onderzoek waardeloos, of toont het onderzoek aan dat de mensen waardeloos zijn...?

vraag 1. gebruikt een Apple apparaat of pc?
vraag 2. heeft u antivirus software geïnstalleerd?

een gecombineerde conclusie kan dan zijn een Apple apparaat met antivirus software.

edit: hmm... ja, kan ook een waardeloos onderzoek zijn dat die optie mogelijk is... maar toch.

[Reactie gewijzigd door airell op 5 augustus 2024 14:41]

Gatygun @MoiZie • 9 augustus 2012 10:20

"Dat blijkt uit een onderzoek dat is uitgevoerd in opdracht van beveiligingsbedrijf Kaspersky en waarvoor 11.000 internetgebruikers werden bevraagd."

hier had alles uit kunnen rollen.

Zoijar @Gatygun • 9 augustus 2012 10:59

Krijgen we dat weer... leer nou eerst eens wat over statistiek voor elk onderzoek belachelijk wordt gemaakt...

P_Tingen 9 augustus 2012 12:13

Ja, heel erg leuk allemaal. En dan heb je een wachtwoord van een half A4-tje en dan belt iemand naar je provider en vraagt om je emailwachtwoord te resetten.

En zeg niet dat het niet gebeurt. Dat dacht Mat Honan ook namelijk:

At 4:33 p.m., according to Apple’s tech support records, someone called AppleCare claiming to be me. Apple says the caller reported that he couldn’t get into his .Me e-mail — which, of course was my .Me e-mail.

In response, Apple issued a temporary password. It did this despite the caller’s inability to answer security questions I had set up. And it did this after the hacker supplied only two pieces of information that anyone with an internet connection and a phone can discover.

Zie hier voor het volledige verhaal.

kwibus @P_Tingen • 9 augustus 2012 12:51

Zie mijn vorige post: 2-way authentication! Ook mr. Honan is het hier (tegenwoordig) roerend mee eens.

pkuppens 9 augustus 2012 10:57

Wil je weten hoe sterk je wachtwoord is?
Check een site als:
http://daleswanson.org/things/password.htm

De vraag is natuurlijk of je je echte wachtwoord moet gebruiken, of een kleine variatie, want hoewel het er redelijk betrouwbaar uit ziet, met een opslag algoritme erachter is het makkelijk om een dictionary te verzamelen.

12HOPPAKEE! is redelijk betrouwbaar (5 jaar)
P@ssw0rd is in een dik uur gehackt.

of
http://www.passwordmeter.com/

xelfer 9 augustus 2012 12:18

Het zijn uiteindelijk toch de grote bedrijven die je wachtwoorden vaak via een hack oid prijsgeven. Belangrijkste is waarschijnlijk dat je wachtwoord niet overal hetzelfde is.

mrlammers 9 augustus 2012 12:52

'Kwart Europeanen heeft onveilig wachtwoord'

Joh!

Dit 'onveilige' wachtwoord is maar relatief. Ook een relatief simpel wachtwoord kan veilig zijn met 'salt', of een key, met een blokkade na de derde mislukte poging.

Als je uitgaat van het bovenstaande, welk wachtwoord is veiliger denk je? Beide kun je niet zomaar raden:
1) M@ratH0n
2) mijnvaderispiloot

Ik moet iedereen die antwoord 1 kiest teleurstellen. Het maakt namelijk niets uit of je wel of geen 'speciale tekens' gebruikt. Een teken is een teken. En al helemaal niet als je de a vervangt door @, etc. Bots en brute force aanvallen pakken eerst library woorden en standaard substituties. Dat wachtwoord 2 bestaat uit vier normale woorden maakt niets uit.

Een wachtwoord is pas onveilig als je het ergens opschrijft.

[Reactie gewijzigd door mrlammers op 5 augustus 2024 14:41]

com2,1ghz 9 augustus 2012 10:14

Je kan niet overal een ander wachtwoord hebben. Ten minste geen wachtwoord met verschillende letters met hoofdletters en cijfers gecombineerd met tekens.
Oh dat laatste gaat vaak fout ivm encoding.

bobbyprize @com2,1ghz • 9 augustus 2012 11:32

Ik gebruik sinds een paar maanden verschillende wachtwoorden op alle sites! Hoe?
Ik verwerk de desbetreffende site in m'n wachtwoord.
Voorbeeld: Voor ieder wachtwoord pak je de eerste letter en de laatste letter van de sitenaam en de tweede letter uit het TLD. Verder wat random karakters erbij bedenken die je al vaak in wachtwoorden gebruikte.
Dus bijvoorbeeld: (Qw1)(1ste letter site)($)(laatste letter site)34(tweede letter uit het TLD)(!)
Wachtwoord voor fb: Qw1f$k34o!
Wachtwoord voor linkedin: Qwlf$n34o!
Wachtwoord voor tweakers: Qwlt$s34e!
Geen hond die ziet dat deze ww's voor een bepaalde site zijn.
Natuurlijk kan je je algoritme het zo gek maken als je wilt...
Extra tip is het slim gebruiken van je toetsenbord. Stukjes als Asd, Rty, Dfg, #45 typen lekker snel.

Verwijderd @bobbyprize • 9 augustus 2012 18:18

Ik doe zelf iets vergelijkbaars, alleen dan om het echt uniek te maken:

#!/bin/bash
echo -e "Enter input: "
read -s input
echo -e "Please verify: "
read -s inputver
if [ "$input" != "$inputver" ]
then
echo "Does not match!"
exit
else
echo Qw1az34b!$input | openssl dgst -md5
fi

Het resultaat met input "Tweakers": 6a57ec41224b3171c621a9c5f981a1da

Het liefst had ik nog sha256 gebrukt om te digesten, maar veel services ondersteunen passphrases van die lengtes niet. Dus dan maar MD5. Voordeel is wel dat zelfs als je wachtwoordservice EN hun versleuteling (als je geluk hebt) gekraakt wordt, je nog steeds maar een gedigeste hash hebt. Tja, dan kun je bij m'n account op Tweakers. Moet je nog steeds zien uit te vogelen dat het een md5 hash is, en deze te reversen en de globale sleutel en $input scheiden.

Anyways, bovenstaande in scriptnaam.sh in een verre folder zetten, prefixen met een period om te hiden, dusdanig chmodden dat hij niet uit te lezen is, enkel uit te voeren en een alias in je ~/.bash_profile zetten.

En nee, MD5 is verder niet al te veilig, I know ;-)

[Reactie gewijzigd door Verwijderd op 5 augustus 2024 14:41]

AutCha @bobbyprize • 9 augustus 2012 11:58

Dat doe ik ook, al doe ik er ook een soort van Caesarrotatie overheen. Ik heb anders de angst dat als "men" 2 of meer passwords te pakken heeft, het algoritme te makkelijk te kraken is. Ik deel dit algoritme met mijn vrouw omdat we toch vaak gezamelijk dingen bestellen bij internetwinkels etc. Voor privezaken gebruik ik een ander algoritme.

Wat wel irritant is, is dat enkele sites limitaties hebben op het gebruik van bepaalde karakters, het aantal karakters enz. Daardoor breekt je algoritme en moet je uitzonderingen gaan bijhouden voor dit soort sites.

viperthepala @bobbyprize • 9 augustus 2012 14:22

Extra tip is het slim gebruiken van je toetsenbord. Stukjes als Asd, Rty, Dfg, #45 typen lekker snel.

het nadeel van deze methode is wanneer je opeenvolgende karakters gebruikt is de kans groter dat je ze terug vindt in een woordenboek
Qwerty ,Azerty ect zijn de eerste dingen waar op getest wordt samen met alle andere opvolgingen van letters gebaseerd op de layout van het keyboard.

[Reactie gewijzigd door viperthepala op 5 augustus 2024 14:41]

Iftert @com2,1ghz • 9 augustus 2012 10:21

ik heb 3 wachtwoorden. 1 voor sites waar ik eenmalig op moet (die is lekker simpel te onthouden) en 2 voor websites waar ik gegevens achter moet laten.

wat ook zou kunnen is dat je een wachtwoord hebt als ***tweakers dat je die toevoeging er achter doet voor de website om makkelijker te onthouden (en dan heb je een langer wachtwoord ook nog eens, dus moeilijker te kraken)

SPee @Iftert • 9 augustus 2012 10:41

Leuk voor sites^* die een maximum aantal tekens hanteren

Dan kun je dat truucje dáár niet toepassen, waardoor het toch nog ingewikkeld wordt.
Waarom hebben ook vele sites hun eigen login mechanisme en gebruiken niet OAuth/OpenID/oid

?

^*niet gelimiteerd tot sites

airell @SPee • 9 augustus 2012 10:51

Juist... PayPal nota bene heeft een limiet op lengte van wachtwoorden die korter is dan mijn gebruikte wachtwoorden elders...

Iftert @SPee • 9 augustus 2012 11:28

Eigenlijk te absurd voor woorden dat er een maximum zit, op tekens voor een wachtwoord op een website. Zeker nu je leest dat er veel sites gehacked worden. Als site zou ik dan ingrijpen. Maargoed ik heb dus 2 types wachtwoorden 1 kort en 1 lang daarvoor.

Cronax @Iftert • 9 augustus 2012 18:13

De reden voor het maximum aantal karakters is vaak dat je password opgeslagen moet worden in een database, als alle gebruikers dan lange passwords gaan gebruiken kost dat meer database ruimte en daar willen veel websites nog even niet aan blijkbaar...

Ik ben het wel met je eens hoor, eigenlijk is het vreemd dat je je account niet beter kunt beveiligen als je dat zelf wil...

stresstak @Cronax • 9 augustus 2012 19:28

De reden voor het maximum aantal karakters is vaak dat je password opgeslagen moet worden in een database,

Foei. De wachtwoorden zelf dien je niet op te slaan.! Dus valt databaseruimte reuze mee.

TheNephilim

@Iftert • 9 augustus 2012 11:33

Zoiets gebruik ik ook, ongeveer 4 verschillende wachtwoorden waarvan ik er één gebruik bij websites waar je per se moet registreren terwijl het niet echt belangrijk ik.

Verder één wachtwoord voor alle 'belangrijkere' dingen en nog een wachtwoord voor 'belangrijke' zaken zoals mail en dergelijke. Als laatste één wachtwoord voor PayPal die ik verder niet gebruik.

Verwijderd @Iftert • 9 augustus 2012 13:14

Zelf hanteer ik er 4 over alle site's, vind het genoeg want er is niets te doen op die site's wat van enkel belang is. Zal men op tweakers of fok mijn wachtwoord raden, so be it, niet interessant genoeg om daar moeilijk over te doen. Voor de rest een site waar coronaplayer gebruikt wordt (haast niemand weet waar dat voor is.) en een site waar men de wolframplayer gebruikt, ik weet zeker als men daar komt dat men gillend weg rent omdat het alles te maken heeft met wiskundige modellen, kan mij niet voorstellen dat welke hacker ook ter wereld dat nu iets vindt om te kraken. Voor andere site's moet ik steeds mijn wachtwoord opvragen omdat ik ze nooit noteer, er zijn zelfs site's waar ik nooit meer kan inkomen zonder een nieuw account te maken omdat de e-mail adressen niet meer bestaan vanwege de 10 minuten maildiensten.

P.S. Alle belangrijke wachtwoorden van bank, giro, paypal etc etc staan niet op de computers maar gewoon in het bekende dressoir laatje in d ebekende mappen van de organisaties.

[Reactie gewijzigd door Verwijderd op 5 augustus 2024 14:41]

wpoely86 @com2,1ghz • 9 augustus 2012 12:14

Jawel, gebruik iets als lastpass of keepass. Je moet 1 lang en goed wachtwoorden onthouden en voor elke site gebruik je een random gegenereerd wachtwoord van 20 tekens. Als 1 site een lek heeft, dan is al de rest nog steeds veilig.

Verwijderd @wpoely86 • 9 augustus 2012 14:28

Dat gebruik ik ook. Mijn hoofdwachtwoord is er een die ik eens in de 4.5 jaar moet veranderen, want het is gebaseerd op mijn paspoortnummer met wat toevoegingen. Makkelijk om te onthouden (als je het paspoortnummer eenmaal weet) en ook nog eens na te zoeken als ik een blackout heb. Ik kom op 24 karakters en tekens.

Edit, met fast cracking kom ik uit op 6.3099 x 10^58 Years op de site die pkuppens postte hieronder. Voorlopig sterk genoeg dus.

[Reactie gewijzigd door Verwijderd op 5 augustus 2024 14:41]

.oisyn Moderator Devschuur®

Beveiliging

@com2,1ghz • 9 augustus 2012 10:23

Ik heb overal een ander wachtwoord bestaande uit random hoofdletters, kleine letters en cijfers, en die ik nergens heb opgeslagen.

Wat ik wel heb is een online database van salts, die icm mijn geheime hoofdwachtwoord die ik nergens anders voor gebruik het wachtwoord van een specifieke site oplevert.

watercoolertje @.oisyn • 9 augustus 2012 10:36

Wat ik wel heb is een online database van salts, die icm mijn geheime hoofdwachtwoord die ik nergens anders voor gebruik het wachtwoord van een specifieke site oplevert.

Hoe kan je dan eerst zeggen dat je ze nergens op slaat. En vervolgens ga je uitleggen hoe je ze opslaat...

Skizzik0 @watercoolertje • 9 augustus 2012 10:55

Omdat hij de complete wachtwoorden niet opslaat, enkel het basis-wachtwoord (wat enkel in zijn hoof opgeslagen is) in combinatie met de juiste salt uit de lijst geeft het juiste wachtwoord voor de site/whatever.

.oisyn Moderator Devschuur®

Beveiliging

@watercoolertje • 9 augustus 2012 12:51

Hoe kan je dan eerst zeggen dat je [de wachtwoorden] nergens op slaat. En vervolgens ga je uitleggen hoe je [de wachtwoorden] opslaat...

Ik heb nergens uitgelegd hoe ik de wachtwoorden opsla. Ik heb uitgelegd hoe ik een wachtwoord kan achterhalen gebruikmakend van wat opgeslagen informatie in combinatie met informatie die in mijn hoofd zit. Een attacker kan niets met de opgeslagen informatie, hij heeft alsnog mijn hoofdwachtwoord nodig om een wachtwoord voor een specifieke site te achterhalen.

[Reactie gewijzigd door .oisyn op 5 augustus 2024 14:41]

bonus @com2,1ghz • 9 augustus 2012 10:19

Precies, een uniek wachtwoord hebben is een, het ook daadwerkelijk onthouden dan is twee. Opschrijven raden ze af, dus je moet al een of ander ezelsbruggetje hebben wil je het onthouden. En als je dan voor iedere site oid een andere moet hebben ?!??!

Dus of je gaat naar iets wat eenvoduig is of je kiest er een die ingewikkeld is maar die gebruik je dan op meerdere plekken. Een password manager, klinkt leuk maar dat lijkt me ook niet de oplossing. Dan heb je er maar een nodig om je lijst te zien b.v. op je pc maar ik ben vaak onder weg en heb dan alleen mobiel bij me en dus niet de hele lijst.

Verwijderd @bonus • 9 augustus 2012 10:25

Waarom is het opschrijven niet goed? Alsof er dagelijks een inbreker door je huis loopt. Het opslaan van wachtwoorden op je PC vind ik veel dommer. Als je dan wordt gehackt en je PC wordt overgenomen dan heeft de hacker dus ook direct toegang tot al je wachtwoorden en accounts. En die kans schat ik groter in dan een gewone inbraak.

[Reactie gewijzigd door Verwijderd op 5 augustus 2024 14:41]

Verwijderd @Verwijderd • 9 augustus 2012 10:50

Je moet je wachtwoorden versleuteld opslaan. Je moet natuurlijk dan wél deze sleutel gaan onthouden maar verder heb je nergens last van.

Cronax @Verwijderd • 9 augustus 2012 18:07

Inderdaad, je hebt bepaalde stukjes software die dit gemakkelijk maken, zoals bijvoorbeeld keepass: http://keepass.info/

Die gebruik ik zelf, de sleutel om mijn wachtwoorden te decrypten bestaat uit een lang, sterk wachtwoord (wat toch makkelijk te onthouden is door het slim te kiezen) gecombineerd met een heel onschuldig PDFje...het PDFje neem ik mee waar mogelijk dus om de wachtwoorden te decrypten moeten ze al weten uit te vinden wat het wachtwoord is én het juiste PDFje vinden...of de database encryptie zelf kraken...ik kan op het werk even niet opzoeken hoe lang het precies gaat duren maar met de huidige technologie is het niet realistisch om te kraken zonder de key...

Goede beveiliging bestaat uit meerdere delen: "something you have" en "something you know", dus iets wat je bij je hebt en iets wat je weet. Combineer dat vervolgens met "something you are" dus bijvoorbeeld een vingerafdruk, een iris-scan of dna profiel oid, en het word al bijna onmogelijk om te kraken. Via diefstal/social engineering kan men je wachtwoord misschien nog achterhalen en misschien hetgeen je hebt ook stelen, maar een iris-scan of vingerafdruk stelen word al wat ingewikkelder...

[Reactie gewijzigd door Cronax op 5 augustus 2024 14:41]

Fealine @bonus • 9 augustus 2012 13:08

Je kan ook een dynamisch uniek wachtwoord bedenken die makkelijk te onthouden is en toch op elke website verschillend. Als voorbeeld:

henk@<id>1980

Je wachtwoorden voor verschillende websites worden dan:

tweakers: henk@Tweakers1980
paypal: henk@PP1980

De combinaties zijn eindeloos, makkelijk te onthouden, je gebruikt kleine letters, hoofdletters, non-alpha characters en cijfers en het zijn dus erg sterke wachtwoorden.

Ik gebruik deze manier al jaren en bevalt mij nog steeds prima. Inmiddels heb ik al 20+ verschillende wachtwoorden en kan ze prima onthouden.

[Reactie gewijzigd door Fealine op 5 augustus 2024 14:41]

martijnve @Fealine • 9 augustus 2012 18:04

Tot dat een hacker een van die wachtwoorden ergens uit een database vist en het patroon natuurlijk meteen door heeft en even op allerlij andere site waar hij weet / denkt dat je een account hebt inlogt.

Verwijderd 9 augustus 2012 11:09

WolframAlpha, een zeer slimme zoekmachine heeft de functie om paswoorden te analyseren, het kijkt je wachtwoord na op verschillende punten zoals: hoofdletters, kleine letters, cijfers, speciale teken, afwisseling in de teken,... Het geeft een redelijk goed beeld van hoe sterk je wachtwoord wel is. Het zegt er zelfs bij hoe lang het zou duren om het te kraken. Simpele wachtwoorden als iloveyou worden vaak binnen de dag gekraakt door een computer, wachtwoorden als Wx5-q34_rT9 nemen meer tijd in beslag. .

Zo is iloveyou, zeer zwak en haalt het een score van -11. Het kraken er van zou om en al 24 dagen duren, aan 100 000 wachtwoorden per seconden.

Het wachtwoord Wx5-q34_rT9 daarintegen is zeer sterk en haalt een score van 120. Het kraken er van zou om en al 408.9 miljoen jaar duren aan de zelfde snelheid.

En op vlak van beveiliging is dat een wereld van verschil. Natuurlijk wanneer je het toch simpel wil houden kan je best compleet random blijven, zoals ilovemiloudekatenschildedeshildpad. Het is nog steeds zeer zwak, maar heeft een tijd nodig om te kraken die je je niet meer kan voorstellen. De beste wachtwoorden zijn dus een mix van tekens of iets compleet random.

[Reactie gewijzigd door Verwijderd op 5 augustus 2024 14:41]

blorf @Verwijderd • 9 augustus 2012 11:38

Wat is het belang ervan? Dit gaat alleen maar over het brute-forcen van wachtwoorden waarbij de gebruikte characterset als een talstelsel wordt gezien om het aantal mogelijke combinaties uit te rekenen. Voorwaarde om dit toe te passen is dat de te kraken wachtwoordbeveiliging niet door heeft dat er duizenden foutieve pogingen achter elkaar gedaan worden op een of enkele gebruikersnamen. Weinig kans dat dat gaat werken, het is geen encryptiemethode die je langzaam kan oplossen door combinaties uit te sluiten. Je moet het wachtwoord letterlijk raden.
En of dat bruteforcen volgens de theorie nou 100 jaar of 3 miljard jaar kost zal het verschil niet maken. Overigens is die tijdsberekening op zich al nattevingerwerk omdat dat puur afhankelijk is van de hoeveelheid rekenkracht je er zelf tegenaan gooit en de maximale snelheid waarmee je wachtwoorden op je target kan vuren. Bij een webbased password-controle duurt een enkele poging al gauw een seconde. Dat schiet niet op natuurlijk: met een wachtwoord van 3 kleine letters kan je dan al 26*26*26 seconden nodig hebben.

[Reactie gewijzigd door blorf op 5 augustus 2024 14:41]

robinverl @blorf • 9 augustus 2012 12:54

Nog los van het feit dat je waarschijnlijk na 5, 10, .. keer een blokkade krijgt gedurende X minuten.

intGod 9 augustus 2012 10:19

Wat is er onveilig aan 12HOPPAKEE! ?

Propheticus

@intGod • 9 augustus 2012 10:35

Vrij weinig, misschien iets aan de korte kant?
Makkelijk een lang WW maken doe je door een voor jou te onthouden (onzin-)zin te bedenken. Ik zelf gebruik een vaste zin waarvan ik per site een bepaald deel aanpas door volgens een vaste methode letters uit de URL te gebruiken. Voeg nog een (of meer) cijfer(s) toe en je hebt zo'n lang en gevarieerd wachtwoord, dat het met brute-force of woordenboek (en/of rainbow tables) pogingen al oneindig lang zou duren om het te kraken.

[Reactie gewijzigd door Propheticus op 5 augustus 2024 14:41]

Verwijderd @Propheticus • 9 augustus 2012 10:54

"11 Appels zijn lekker op tweakers"

Het is een sterk wachtwoord wat ook nog eens makkelijk te onthouden is.
Vervang gewoon het laatste woord door de naam van de site

intGod @Verwijderd • 9 augustus 2012 11:13

Het wachtwoord is sterk, maar als ze het wachtwoord 1 keer te pakken hebben kunnen ze al je wachtwoorden op andere sites afleiden.

Ik gebruik zelf een algorithme zoals dat van Propheticus.

Verwijderd @intGod • 9 augustus 2012 12:11

Dat is alleen nogal moeilijk te onthouden. Een beetje een onlogische zin met een getal er in maakt het een stuk makkelijker te onthouden. Natuurlijk moet je dan wel uitkijken met waar je je wachtwoord opgeeft. Zo zou je op een onbelangrijke site bv de eerste letters nemen: 11Azlot en als ze dan nog eens een vereiste van minimaal 8 karakters hebben zet je er een willekeurig getal/leesteken achter.

ADT_Phantom @intGod • 9 augustus 2012 10:22

ik zou nog een paar kleine letters gebruiken en niet alleen hoofdletters

stresstak @ADT_Phantom • 9 augustus 2012 19:35

ik zou nog een paar kleine letters gebruiken en niet alleen hoofdletters

Maakt niks uit. Is alleen lastiger tikken met dat shift-gedoe.

lieziewiezie @intGod • 9 augustus 2012 10:50

Wel... Het staat op tweakers.

:-)

TvdW 9 augustus 2012 10:13

Tijd voor de invoering van een internetrijbewijs?

JerX @TvdW • 9 augustus 2012 10:18

En dan elke 10 jaar verversen en 50 euro betalen? Nee dank je, laat staan wat er dan gebeurt met de openheid van het internet..

Ontopic:
Ik heb verschillende wachtwoorden. De een wat sterker dan de ander, verschilt erg per site. Gelukkig browse ik vrij veilig met Firefox en verschillende plug-ins (en geen flash+java). Uiteraard is er altijd een virusscanner aanwezig..

Ken ook zat mensen die wachtwoord als wachtwoord hebben of de naam van hun hond x2, bijvoorbeeld maxmax...

TDeK

Beveiliging

@JerX • 9 augustus 2012 10:35

Wat er in je wachtwoord staat is van ondergeschikt belang als er maar genoeg entropie in zit, je het makkelijk kunt onthouden, hij niet op elke website hetzelfde is en je nooit direct antwoord geeft op een geheime vraag (wordt heel vaak gebruikt bij het inbreken op accounts). Dus op de vraag 'Hoe heet je hond' geef je 'Opel Corsa' op oid, als het maar geen antwoord is op de vraag, want 'Hoe heet mijn moeder' weer iedereen in je directe omgeving. Persoonlijk vind ik die geheime vragen dè achilleshiel van het moderne password-based authenticatie systeem.

jrfloor @TDeK • 9 augustus 2012 10:40

Ja geheime vragen zijn een beetje raar. Je moet een ultraveilige wachtwoord instellen met HOofdletters, cijf3rs en speciale karakters! maar hebt er ook een die direkt aan jou gelinkte woord. Want het antwoord op die vraag is gewoon een wachtwoord. Toch zijn het de mensen zelf die het probleem vormen. Als je ww 12356 of je geeft het aan iemand van de helpdesk die belt dan valt er verder niks aan te doen.

Waterbeesje @jrfloor • 9 augustus 2012 12:08

Veilige wachtwoorden zijn niet overal mogelijk: van een kennis hoorde ik laatst dat de Zeelandnet webmail toestaat: 6 tot 8 tekens, hoofdletters, kleine letters en cijfers. Speciale tekens of meer dan 8 tekens zijn niet toegestaan. Veilig toch?

Verder zijn bestaande woordenboek-woorden makkelijker te kraken dan willekeurige tekenreeksen, niet starten met een hoofdletter etc, etc.

Ik kom voor mijn werk nogal eens in verschillende ict omgevingen terecht, en vaak zijn login accounts van bedrijven met embargo's erg simpel: Welkom, [bedrijfsnaam] of admin kom ik vaak tegen als wachtwoord! En dat zijn accounts die nooit veranderd worden!

Veiligheid... neem het maar met een korreltje zout.

(zegt iemand die zijn wifi met 24 tekens op WPA2_P beveiligt)

Stoney3K

Internet

@jrfloor • 9 augustus 2012 14:12

Ja geheime vragen zijn een beetje raar. Je moet een ultraveilige wachtwoord instellen met HOofdletters, cijf3rs en speciale karakters! maar hebt er ook een die direkt aan jou gelinkte woord.

Oh? Is dat nu echt serieus zo veel veiliger dan?

Een wachtwoord langer maken geeft veel meer extra entropie dan een wachtwoord van 6-8 tekens waar allerlei rare grappen in zitten. Daarom is het ook zo achterlijk dat systemen een wachtwoord van 'minstens 8 tekens, met een hoofdletter, cijfer en een leesteken' eisen.

Cronax @Stoney3K • 9 augustus 2012 17:58

Sterker nog, als je een beperking hebt van een bepaald aantal karakters word het gelijke en stuk sumpeler om zo'n wachtwoord te kraken, je hoeft immers alleen cijfer/letter/karakter combinaties van totaal 6, 7 en 8 tekens te proberen...

Een wachtwoord wat bijvoorbeeld uit een zin bestaat is vele malen makkelijker te onthouden dan allerlei rare tekens en nog veel moeilijker te kraken ook, alleen al omdat er meer tekens in zitten...

Niemand_Anders

Beveiliging

@TDeK • 9 augustus 2012 10:43

Waarom? De systemen welke werken met een geheime vraag gebruiken deze als extra drempel bij het verzoek om het wachtwoord te resetten. Zolang je de vraag niet correct beantwoord, wordt de password reset email niet verstuurd.

Afhankelijk van welke vraag wordt gebruikt maakt dat social engineering juist een stuk lastiger, mits het antwoord niet op je facebook of LinkedIn pagina staat.

Je moet de geheime vraag meer zien als een captcha voor een hacker. Voor jouw persoonlijk eenvoudig te beantwoorden, maar voor een hacker een stuk lastiger..

psychodude @Niemand_Anders • 9 augustus 2012 10:56

Indien het een hacker is ja. Maar indien jij net als velen op social network sites zit dan wordt het al een stuk makkelijker, en als je dan ook nog eens iemand binnen persoonlijke kringen hebt is het snel gedaan.

Als je het mij vraagt, questions afschaffen en bij nieuw ip danwel andere hardware confirmatie code via email danwel sms. En mail als zwakste schakel, confirnatie via sms danwel post. Maarja, zie bedrijven de stap maar eens maken.

Verwijderd @Niemand_Anders • 9 augustus 2012 13:08

Dat is het zeker b.v. mijn moeders naam kent niemand meer omdat degene die haar ooit hebben gekend al jaren dood zijn. Mijn echte moeder is in het begin van de 50er jaren overleden en familie die haar hebben gekend zijn nu verdwenen naar de grote stoel van Petrus. Mijn vriend is uit het begin 60er jaren en heb ik zelf al sinds 1972 niet meer gezien, zelfs mijn vader wist zijn naam niet meer, dan houdt het toch echt op, want mensen die hem hebben gekend heb ik zelf al sinds 1978 niet meer gezien en er zijn er veel van overleden inmiddels

erikmeuk3 @Niemand_Anders • 10 augustus 2012 15:47

Maar dan snap ik nog steeds niet, dat de geheime vragen zo beperkt zijn.
"De naam van je favoriete huisdier" is bepaald geen veilige vraag.(hotmail)
Je denkt er niet aan....maar de foto van fikkie staat op je faceboek met de naam er onder.

kwibus 9 augustus 2012 10:36

2-way authentication, gereguleerd vanuit een centrale non-profit organisatie 'seulement' voor het W3C!

Pasje in de cardreader drukken, gegenereerde controlegetallen uit een randomizing token invoeren en de handel aanvullen met je persoonijke code (PIN).

Een beetje zoals Internetbankieren, maar dan gestandariseerd. Mooi toch? Weg met de standaard paswoorden!

Verwijderd @kwibus • 9 augustus 2012 10:55

Maar dan moet er wel een simpele en vooral gratis SDK voor komen waarmee elke simpele ziel zijn / haar site van dit systeem kan voorzien.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (81)

Sorteer op:

Weergave: