Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 402 reacties

Tweakers heeft het voortouw genomen om 24 november uit te roepen tot de nationale Verander Je Wachtwoorden Dag. Het initiatief wordt gesteund door onder meer het Openbaar Ministerie en is gezien recente voorbeelden helaas hard nodig.

Op wachtwoordbewust.nl kunnen mensen niet alleen controleren welke wachtwoorden wel en niet sterk zijn, maar zijn er ook enkele basistips te vinden en worden er handvatten gegeven hoe mensen een sterk wachtwoord kunnen bedenken en onthouden.

Wachtwoord BewustHoewel we hopen dat dit onder tweakers anders is, hebben we in het verleden al wel geconstateerd dat het geen vanzelfsprekendheid is dat iedereen altijd en overal een sterk wachtwoord gebruikt. De site is zo opgezet dat deze voor diverse soorten gebruikers bruikbaar is, al verwachten we dat jullie het niveau van de site inmiddels ontstegen zijn en je er dus niet helemaal thuis zullen voelen.

Aanleiding voor het initiatief is dat nog altijd veel mensen een relatief zwak wachtwoord hebben en internetters er niet vaak genoeg bij stilstaan om dit te wijzigen. Zelfs als gebruikers wel verstandig met hun wachtwoordbeleid omgaan, blijkt het in de praktijk bovendien vaak fout te gaan doordat derden er minder goed mee omgaan.

Tweakers snapt als geen ander dat wachtwoorden belangrijk zijn en heeft maatregelen genomen om onnodige risico's te voorkomen. Zo wordt er niet gevraagd om echte wachtwoorden te testen en worden ingevoerde wachtwoorden uiteraard niet opgeslagen. De check zelf gebeurt veiligheidshalve via Javascript in de browser aan clientzijde. De site wordt gehost door onze hostingpartner True en wordt, onder het mom van beter te veel dan te weinig, middels onder meer een ssl-certificaat met extended validation en hsts beschermd.

Door Wilbert de Vries


Wilbert was tussen 2007 en augustus 2015 hoofdredacteur van Tweakers. In die tijd heeft hij de redactie en het merk Tweakers enorm zien groeien, zowel in bezoekers en bereik als pageviews en onderwerpen waar Tweakers over schrijft.

Volg Wilbert op TwitterVolg Wilbert op Google+
Moderatie-faq Wijzig weergave

Reacties (402)

1 2 3 ... 11
Well what do ya know... "1234567890qwertyuiopasdfghjklzxcvbnm" is blijkbaar een veilig wachtwoord volgens de wachtwoord checker.
"Qwerty!M0pje" zou onveilig(er) zijn en "QwertyM()pje!" even veilig... (Gemiddeld)
Maar... Het absolute killer wachtwoord is: "aapnootmieswimzusjet" wat een 100% score krijgt... Maakt niet uit hoe je het typt, zelfs met deels hoofdletters of enkel hoofdletters krijgt ie nog een 100% score.

Ik denk toch dat "Qwerty!M0pje" een stuk minder snel gekraakt zou worden dan de US keyboard lay-out en een kinder versje wat waarschijnlijk in de meeste NL based cracktools wel zit opgenomen, inclusief dit soort variaties :P ... En dat terwijl een van de meest achterlijke wachtwoorden ooit er in verwerkt zit. ;)

En dat is dus het subjectieve van 't hele verhaal. Zo'n password checker controleert wat criteria, maar kan eigenlijk nooit werkelijk goed advies geven. Je moet het zien als een tool, niet als een werkelijke manier om te kijken of je wachtwoord veilig is.

En daar schort 't aan bij dit soort initiatieven...
Ik wil hier Tweakers niet mee aanvallen hoor, want het initiatief is erg goed, waarvoor complimenten en petje af enzo. Maar men vergeet kennelijk de gedachtengang van de meeste mensen... Die kunnen zo'n tool gaan gebruiken om iets te verzinnen wat ze erg makkelijk kunnen onthouden, proppen het er ff in en: Hee, hij zegt veilig!!
Mooi, dat wachtwoord neem ik... En vervolgens kunnen ze gekraakt worden door de eerste de beste redelijke tool die er is.

Dit soort initiatieven zijn het begin, maar ze moeten veel verder uitgebreid worden, en het belangrijkste is: zorg voor disclaimers!. Zet er heel duidelijk bij dat hoewel een wachtwoord als sterk uit de bus komt, deze wellicht niet altijd veilig is.

Dan heb je nog de tips voor je wachtwoorden... Er ontbreken er toch wel een paar imho:
- Gebruik niets dat (sterk) lijkt op iets uit een woordenboek
- Je geboortedatum gebruik is niet slim, noch enig ander materiaal dat via social engineering opgevraagd kan worden. (En gezien 80% hun facebook profiel op "publiek" heeft staan... Well.)
- Voeg symbolen **willekeurig** toe, vervang niet enkel letters/cijfers voor symbolen (bijvoorbeeld: ploert -> pl()3rt) maar voeg deze random toe; en dan kan je best nog wel een woord gebruiken (Pl0$$eR^&t! < en er zijn hele makkelijke ezelsbruggetjes om dat te onthouden)
- Gebruik altijd zowel hoofdletters, kleine letters, cijfers als (willekeurige) symbolen, zelfs als je een zin maakt
- ... Een zin KAN veiliger zijn, maar het mag best even gezegd worden dat deze absoluut niet *alitjd* veiliger zijn.
- RECYCLE JE WACHTWOORDEN NIET!!!

Dan nog de vragen...
"Gebruikt u uw wachtwoord al langer dan een jaar?"
Who cares? Serieus. Als je een sterk wachtwoord hebt dat slechts bij 1 dienst wordt gebruikt, is het niet bepaald noodzakelijk om deze jaarlijks te wijzigen.

Dan de tips...
Die zijn incompleet. En zaken als "Gebruik geen openbare wifi-netwerken" is ook onzin.
Natuurlijk kan je die gebruiken, maar dat moet je rephrasen naar "Gebruik geen openbare wifi-netwerken voor het versturen van gevoelige informatie OF wachtwoorden". Maw: als je ergens moet inloggen, doe dit dan niet; of enkel met SSL. (Dat laatste wordt *deels* opgevangen, maar er staat totaal niet hoe men dat moet doen of controleren... Oh jawel! Het staat er wel, heel vaagjes en onder een andere kop: "Ook is het belangrijk om te controleren of de verbinding wel is versleuteld. Dat kunt u zien aan het sleuteltje in de adresbalk."
Ik zie ook niets over two-factor authenticatie.

Dit kan zoveel beter. :)
En nogmaals: ik wil geen lul zijn noch de hele boel afkraken, i'm only saying... Dit helpt de gemiddelde person maar een heel erg klein eindje op weg, terwijl er juist een erg grote stap gemaakt moet worden.
Schrijf eens een keer een online cursus, beste Tweakers... I'm serious.
Ja dan moet men veel lezen en/of een aardig lange video kijken. Nou en? Gewoon een college basic beveiliging geven. :) Zet die gratis op het internet, maak wat deals met grote bedrijven dat al hun medewerkers die verplicht een keer moeten kijken en/of doorlezen, et cetera... Heck ,misschien willen die bedrijven wat kosten voor het produceren ervan dan zelfs wel sponsoren! :)
Er zullen denk ik ook wel wat Tweakers zijn die daar best aan willen meewerken om het te realiseren.

Daar bereik je veel meer mee dan een random website, met slechts een fractie van het verhaal, waarbij men eigenlijk sneller de illusie zal krijgen dat ze veilig zijn dan dat ze werkelijk veilig bezig zijn; en waarbij de uitleg op sommige vlakken sterk tekort schiet.
(En don't get me wrong... Ik snap dat het tekort schiet, want het moet kort en krachtig zijn. Maar de leek zal er weinig van opsteken... En die wachtwoord checker is lang niet alles, maar dat staat er niet bij vermeld.)

En last but not least: verander je wachtwoord dag? Please, god, have mercy.
Het veranderen van je wachtwoord is niet per definitie aan de orde. Ik zou het veel mooier vinden als men het gewoon "Veilig wachtwoord dag" hadden genoemd. Want dat is tienduizend keer zo belangrijk dan het wijzigen van je wachtwoord... Op misschien die eenmalige keer na dat je nu je brakke *** wachtwoord omzet in een sterker wachtwoord. :)

[Reactie gewijzigd door WhatsappHack op 25 november 2014 00:36]

Is het niet slimmer om een andere manier van authenticeren te gebruiken? Een of meerdere wachtwoorden onthouden (of zelfs opslaan in bv een password vault) is best wel lastig. Mensen gebruiken meestal simpele wachtwoorden om te kunnen onthouden en gebruiken deze vaak op verschillende sites. Wachtwoorden zijn vaak hetzelfde. Als een hacker deze heeft kan hij/zij vaak ook met hetzelfde account en wachtwoord inloggen.
Hoewel misschien complex kan dit probleem wellicht opgelost worden door gebruik te maken van een 2- factor of misschien wel 3-factor authenticatie. Je kunt hier denken aan wat iemand weet (wachtwoord) in combinatie wat iemand heeft (een pas (denk bv aan een pinpas)) en eventueel wat iemand is (fingerprint) of - wellicht iets verder gezocht - een irisscan. Als je 2 of desnoods 3 van deze authenticatiemiddelen gebruikt en hier een certificaat uit laat genereren (middels een root ca (certificate authority die als 'trusted' kan worden aangemerkt ben je naar mijn mening behoorlijk veilig bezig.
Ik begrijp dat hier wel eea voor komt kijken, maar zou heel goed gefaseerd ingevoerd kunnen worden. Dit zou naar mening een goede investering voor een veilige toekomst op internet kunnen zijn. Wellicht zullen er wat haken en ogen aan zitten, maar deze hoeven niet bij voorbaat onoverkomelijk te zijn.

Dat was het even in het kort. Als iemand nog vragen of interesse heeft, hoor ik dat graag
Ja, ga nog een boom in het bos planten ....

er zijn tientallen zo niet duizenden manieren bedacht en uitgebracht, maar zolang 'de gebruiker' niet zijn perceptie aanpast over veiligheid en een structuur aanbrengt, is ook jouw idee er één die niet veilig zal zijn.
Wellicht heb je een punt. Maar ik denk dat als je een combinatie maakt van wat iemand weet (PW) en iemand heeft (bv een pas) dan ben je denk ik toch wel aardig op weg. Toch?
Verder authenticeren met wat iemand is (fingerprint) en daaruit een certificaat genereren voor bv single signon is uiteindelijk ook nog gebruiksvriendelijk.
Jouw idee klopt best, maar we leven in een wereld waar de gemiddelde IT afdeling in een bedrijf al klachten krijgt omdat mensen na de lunch hun wachtwoord weer in moeten typen omdat de PC gelockt is. En er zijn ook genoeg plekken waar beveiliging heel belangrijk is, maar waar de tijd die het kost vaak nog meer gevolgen heeft. Het gevolg van te hoge/langdurige beveiliging is dat men deze meestal maar helemaal uitzet.
Klopt wat je zegt. De gemiddelde gebruiker is liever lui als het op beveiliging aan komt. Awareness moet dan ook breed uitgedragen worden wat mij betreft. Ik denk dat je die 'luie' gebruiker best een beetje kunt helpen. Laat ze hun pas in kaartlezer brengen (iets wat ze hebben) en vervolgens bv een pin inbrengen (iets wat de gebruiker weet) en vervolgens hebben ze toegang. Eigenlijk niet anders dan wat je doet als je geld uit de muur trekt.
De hele wachtwoord problematiek is echt een veel grotere issue dan iedereen denkt... was het maar zo makkelijk als de suggesties die gedaan worden..

Sowieso is die wachtwoord -checksite een wassen neus gezien de onderstaande testen:

zwakwachtwoord = heel zwak
zwakwachtwoor = sterk (??)
kawzdroowthcaw = sterk
droowthcawkawz = sterk

Sinds wanneer worden achterstevoren gespelde dictionary woorden als sterk gezien???

Kortom: van alles op aan te merken!

Als je echt wilt weten hoe ernstig de situatie inmiddels is, check dan dit Ars Technica artikel uit 2013 maar eens! Lengte, phrases etc. het maakt allemaal niet uit: het is inmiddels allemaal met brute force te kraken...

How the Bible and YouTube are fueling the next frontier of password cracking Crackers tap new sources to uncover "givemelibertyorgivemedeath" and other phrases.

Zo zijn onderstaande wachtwoorden ALLEMAAL gekraakt met behulp van de methodes zoals beschreven in het Ars Technica artikel.
  • !)@(#*$&%^Test123
  • !@#$%^&*()_+lisa
  • !@#wasdqweszxc
  • !rightchoice!!
  • !tryagainfuckoff
  • #1modernstuff
  • $current_keyword
  • &?"'(-?_??qwerty
  • "frequency modulation"
  • (dontlookbackinanger)
  • ********fadhilah
  • ********noorhisam
  • ********pengawal
  • ********zulkhairi
  • *tecno9654postgres
  • ,fnfhtqrf_ijrjkflrf
  • ...........bentong
  • ..........0008000
  • .36987410svetlana
  • /,infra18postgres
  • 00009999@4!@#$%@
  • 04.03.2011annalena
  • 0708JonasCharlie
  • 078KFW78bandrew
  • 090798Elite159753
  • 091192-090392
  • 0987POIUqwerasdf
  • 1 2 3 4 5 6 HACK
  • 10009!@#robben!@#
  • 100200123@4!@#$%@
Maar ook totaal obscure "phrases" zoals: "Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn1" zijn gewoon gehackt!

Stuk voor stuk worden deze als STERK aangemerkt door de password check tool van Tweakers... NIET DUS!

Meer must-reads:Choosing a password?

[Reactie gewijzigd door hgoor op 24 november 2014 16:46]

Uiteindelijk is alles te hacken, vraag is hoe lang je de tijd hebt. Als na drie pogingen het account gelocked wordt, ben je ook snel klaar. Veiligheid is een combinatie van een sterk wachtwoord en een systeem waarbij je niet ongelimiteerd in bulk kan blijven proberen.
Eh, helaas zijn de meeste hacks zijn niet (meer) op log-in pagina niveau, maar op het niveau van complete password files (c.q. databases) die middels een hack verkregen zijn....

Lees er het recente nieuws maar even op na...

Enne, van de in mijn aangehaald artikelen genoemde >16.000+ wachtwoorden was 90% in pakweg 20 uur gekraakt door middel van een Radeon 7970 video kaart en een "open-souce" hacktool... en het kon nóg sneller:

Using a commodity computer with a single AMD Radeon 7970 graphics card, it took him 20 hours to crack 14,734 of the hashes, a 90-percent success rate. Jens Steube, the lead developer behind oclHashcat-plus, achieved impressive results as well. (oclHashcat-plus is the freely available password-cracking software both Anderson and all crackers in this article used.) Steube unscrambled 13,486 hashes (82 percent) in a little more than one hour, using a slightly more powerful machine that contained two AMD Radeon 6990 graphics cards. A third cracker who goes by the moniker radix deciphered 62 percent of the hashes using a computer with a single 7970 card—also in about one hour. And he probably would have cracked more had he not been peppered with questions throughout the exercise.

[Reactie gewijzigd door hgoor op 24 november 2014 17:09]

Makes sense... maar dan is het ook niet meer relevant dat wachtwoorden als 'zwak' of 'sterk' aangemerkt worden. Dat is puur om het brute forcen van een wachtwoord minder snel succesvol te laten zijn. Als je eenmaal bij de bron bent (database/password file) waar alle wachtwoorden in staan en je kunt die decrypten, ben je natuurlijk ook klaar.
Dus wil je een:

a) een compleet uniek wachtwoord voor iedere site, zodat áls er een site gehackt wordt niet als een olievlek al je accounts compromised raken!
b) een wachtwoord wat in de laatste 5 of 10% zit, zodat een hacker geen zin meer heeft om moeite te doen voor JOUW wachtwoord.
Ik heb een wachtwoord van 16 karakters, en volgens die website staat hij te boek als 'zeer zwak' ondanks onregelmatig gebruik van hoofdletters, kleine letters, cijfers en leestekens. :') Yeah right.

Een beter advies is mijns inziens: Laat je niet hacken. Oftewel: Zorg voor adequate beveiliging en doe geen domme dingen.

[Reactie gewijzigd door Zorian op 24 november 2014 07:05]

Verschillende tekens doen er niet echt meer toe. Om een brute force aanval tegen te gaan is een zo lang mogelijk wachtwoord belangrijker. Ik zou dan ook voor een wachtwoordzin gaan ipv een moeilijk te onthouden wachtwoord met allerlei rare tekens.

edit; moet ik wel zeggen dat ik 16 karakters niet heel erg kort vind.

[Reactie gewijzigd door Martijn19 op 24 november 2014 07:21]

Zoals het al zo vaak aangehaalde xkcd stripje:
http://imgs.xkcd.com/comics/password_strength.png

En over het hergebruik van wachtwoorden:
http://imgs.xkcd.com/comics/password_reuse.png
Dat stripje gaat voorbij aan het bestaan van woordenlijsten die gebruikt worden door hackers. Vier Nederlandse woorden achter elkaar, voorbeeld:

Juist + batterij + nietje + paard

Als je hier brute force op loslaat dan is het een lange reeks te raden karakters, nl. 24. Dat lukt praktisch nooit. Als je er een woordenlijst naast gaat houden van de Nederlandse taal (zoekend op alfabet, scannend op lengte van woorden etc) dan duurt het helemaal niet zo lang. Hoe groot is een woordenlijst Nederlandse taal, 100.000 woorden ofzo? Ik roep maar wat. Behalve wat overlap (begin en eindletters behorende bij woord 1 of 2 breng je het lange wachtwoord terug tot iets heel simpels, nl.

Woord 1 + woord 2 + woord 3 + woord 4

Nou is vier woorden alsnog erg lang, zeg 100.000 tot de macht vier en er komt al zo'n groot getal uit, reken ik overlap nog niet eens mee. Maar al een héél stuk korter dan 24 tot de macht 26 (zonder leestekens) waar het stripje vanuit gaat. Maar één bestaand woord uit een taal, hoe lang ook, of twee achter elkaar zorgt er simpelweg voor dat het aantal te raden combinaties beperkt is en geraden kan worden bij een doelbewuste aanval. (Bij één woord bv. slechts 100.000 combinaties uit de woordenlijst, bij twee dan 100.000 + (100.000)^2 enz.

Er heeft een keer een heel mooi artikel gestaan op Tomshardware hierover, misschien dat iemand een linkje heeft, ik vind het zo snel niet. Een beetje AMD Radeon deed iets van 50.000 wachtwoorden per seconden dus het wachtwoord met één bestaand woord werd binnen 2 seconden geraden.

-edit-

http://www.tomshardware.c...security-hack,2981-7.html

Ik dacht dat dit hem was, hoewel ik een stukje mis waar ze gedetailleerd ingaan op die woordenlijsten.

[Reactie gewijzigd door EvaluationCopy op 24 november 2014 08:36]

De grote denkfout in deze reactie van EvaluationCopy is dat hij er vanuit gaat dat kortere wachtwoorden random zijn. Dat zijn ze over het algemeen niet, zoals de xkcd-strip treffend aangeeft.

Natuurlijk is een wachtwoord dat volledig willekeurig is gegenereerd beter, echter in de praktijk moeten de menselijke hersenen deze wachtwoorden ook nog kunnen onthouden en daarom gebruiken veel mensen en bedrijven een woord met letters vervangen door cijfers en een uitroepteken erachter. Maar dat is dus helemaal niet veilig. De "wachtzin" van xkcd is een veiliger alternatief dat nog steeds enigszins te onthouden is.

Helaas wordt die "wachtzin" van xkcd ook niet goed gebruikt, omdat mensen gewoon een zinnetje bedenken en dat gebruiken ipv dat ze willekeurige woorden kiezen en daar een handige mnemonic voor bedenken om te onthouden. Dus dan ben je nauwelijks beter af, en weer kwetsbaar voor dictionary attacks.

p.s. Ik vind het altijd erg lachwekkend met dit soort initiatieven dat er van je wordt verwacht dat je:

1. voor elke site een verschillend wachtwoord gebruikt
2. dat je al deze wachtwoorden jaarlijks wijzigt, en
3. dat deze wachtwoorden uit willekeurige tekens bestaan

Niet realistisch, en iedereen die denkt dat het een zinvolle besteding van tijd is om mensen hier op te wijzen is bezig het verkeerde probleem op te lossen.
Dat, maar ik vind het persoonlijk ook altijd wel lastig, aangezien ik ooit eens heb begrepen dat de gewenste complexiteit/lengte van een wachtwoord afhangt van hoe men deze gaat hacken.

Is bijvoorbeeld zo'n key-generator op een USB stick voor alle hacks veiliger dan zinnen, dan zinnen met vervangende cijfers, dan random gekozen woorden of is dit slechts een verbeelding om je in de waan te laten van schijnveiligheid? Hoe (on)veilig is een kluis online/offline als Keepass/Lastpass, zo'n Windows kluis, een encrypted tekstdocument met alle wachtwoorden, etc. en wat voor wachtwoord moet je daar voor gebruiken, welke sterkte/opbouw?

Zoals hierboven ook al aangehaald is dat de site bepaalde wachtwoorden afkeurt, maar als ik deze check op een willekeurige andere wachtwoordchecksite dan lijkt het wel voldoende sterk. Welke site heeft het dan bij het rechte eind? Wat is altijd goed, wat is zelden/nooit goed, welke site is te vertrouwen, etc?

Vind het wel apart dat er maar zo weinig eenduidige informatie hierover te vinden is en dat elk nieuwsbericht/artikel of specifieke site alleen lijkt te zeggen wat waarheid is voor hunzelf. (al is dat mijn idee dat ik er altijd van krijg)

[Reactie gewijzigd door marcel87 op 24 november 2014 11:17]

Wachtwoorden zijn stom. Gebruik hetzelfde stomme wachtwoord voor alle websites waar het je echt niks kan schelen als iemand anders zou inloggen onder jou account. Voor alle websites waar dat wel een probleem voor je is gebruik je 2 factor authenticatie. Wat maakt de sterkte van je wachtwoord nou eigenlijk uit? Welke websites laten een oneindig aantal pogingen toe, 3 of 4 keer fout en dan komen de CAPTCHA's? En als hackers, van een website waar jij een account hebt, de database met hashes kopiëren ... dan konden ze sowieso al aan je gegevens op die website.

Oh ja en gebruik een password manager zodat je zelf maar een paswoord hoeft te onthouden en zelf nooit meer een stom wachtwoord hoeft te verzinnen.
Als je maar (1) voor elke site (3) een ander willekeurig wachtwoord gebruikt is (2) jaarlijks wijzigen niet echt nodig. Hooguit wordt je account voor één enkele site gehacked, maar daar kan iemand toch niets mee. Waarom zou je dan jaarlijks wijzigen? Het kost ook absurd veel tijd om dat te doen als je enigszins actief bent op internet.

Ter info: ik gebruik Keepass, en heb heb een tijdje geleden al mijn wachtwoord gerandomiseerd. Dat waren er ~150. Daar ben je zeker een halve dag mee bezig, en ik ben niet van plan dat ooit nog een keer te doen ;)
Daarom: KeePass, dan heb je bovendien ook nog eens een lijst van accounts zodat je niet meer hoeft na te denken waar je ook alweer wachtwoorden moest wijzigen ;) .

Introduceert alleen wel een single point of failure, dat wel.
Daarom: mix talen! Als je Duits, Nederlands en Spaans combineert, dan maak je het meteen een stuk complexer. En dat je geen Engels gebruikt maakt voor het cracken van je password niet uit, want hoe moeten ze dat weten? Dus moeten ze er wel op testen.
Bij slechts 1 woord, één letter veranderen door de numerieke variant (bijvoorbeeld E = 3), en die hele dictionary-attack gaat niet meer op. Wordt nog leuker als je bij alle vier de woorden zo'n letter vervangt.
Hierdoor wordt een wachtwoord wel gecompliceerd maar het went wel qua invoeren.
Anders gewoon tools als 1password gebruiken, heb ik ook op zowel mijn laptop als telefoon staan.
Helaas, het vervangen van E door 3 is zó typisch, dat het veel minder waarde heeft dan jij denkt. Het is namelijk weinig extra moeite om even die paar typische opties toe te voegen. Het is veel beter een cijfer ergens random in het woord toe te voegen, dan de letters op een zeer uiterst voorspelbare manier met cijfers te vervangen.

NB: Zo gauw de truuk om iets sterk te maken te algemeen worden, kunnen krakers het ook weer benutten...
Het aantal mogelijke vervangingen op een woordenlijst kan het aantal opties wel extreem verhogen. Als je het woord 'boter' moet matchen is dat 1 try
Even snel de o=0, t=7 en e=3 gepakt:
boter
b0ter
b0t3r
bot3r
b07er
b073r
bo73r
bo7er

Bij relatieve korten woorden van 5 tekens gaat je woordenlijst al snel x8. Bij langere woorden gaat het aantal combinaties nog sneller omhoog. Als je nog meer mogelijke vervangingstekens gaat gebruiken, bv X vervangen door >< en *, of de a door 4 of @ dan ga je nog eens harder in het aantal combinaties.

Bij het "kraken" van wachtwoorden is de beschikbare rekencapaciteit de limiterende factor. Het enige wapen hiertegen is dus zoveel mogelijk rekencapaciteit vragen voor het kraken van wachtwoorden en dat doe je door het aantal mogelijke combinaties te verhogen.

Kortom, vervangende tekens zijn wél een geschikte methode tegen woordenlijsten. (Met de nodige disclaimers zoals dat geen enkel wachtwoord 100% veilig is)

[Reactie gewijzigd door -RetroX- op 24 november 2014 10:38]

Het aantal mogelijke vervangingen op een woordenlijst kan het aantal opties wel extreem verhogen.
Maar waarom zou het erg zijn om gewoon woorden uit de woordenlijst te gebruiken? Als je een woordenlijst van 2048 woorden gebruikt, dan krijgt je wachtwoord bij het toevoegen van nog een extra woord direct 11bit entropie erbij, terwijl jouw substituties de entropie maar verhogen met 3bit en het tevens irritanter is om te onthouden welke variant je net gebruikt hebt in je wachtwoord.

Gewoon verschillende woorden die geen onderling verband hebben, is de sleutel tot succes.
Dat zeg ik ook niet. Wat ik stel is het wiskundige feit dat als je het aantal opties vergroot de uitkomst ook wordt vergroot.

Als je een wachtwoord wilt raden dan is bruteforcen bij een wachtwoord van 20 tekens geen optie meer. Simpelweg omdat het te veel rekenkracht kost.

The next-best thing is een woordenlijst gebruiken. Het aantal woorden in de Nederlandse of Engelse taal is niet zo heel groot. Het combineren zeg 4 woorden is nog wel te overzien.

Het "nadeel" is dat je elke schrijfwijze van het woord in je woordenlijst moet gebruiken omdat je vooraf niet weet wat deze is. Als je enkel woorden gebruikt met a-z en A-Z heb je al tal van mogelijkheden per woord.

Elke extra karaktermogelijkheid verhoogt het aantal spellingsmogelijkheden van een woord aanzienlijk. Nu gaat het niet zozeer om slecht de O te vervangen door de 0 maar denk ook aan andere tekens als á, é, ô en ñ.

Er zijn zat (zelfs grote) websites die alleen a-z en 0-9 (en een handjevol tekens) toelaten. Als je dat als 'kraker' weet dan hoef je enkel te richten op die tekens.

Een woord van 5 tekens is een woord van 5 tekens. Alleen of dat teken een mogelijkheid heeft van 26 (a-z), 52(azAz), 62(azAz09) of 5000 (unicode) variaties, dat maakt wel even verschil.
Dat klopt inderdaad helemaal, maar daar tegenover heb je het feit dat wachtwoorden met extra karakters en substituties veel minder makkelijk te onthouden zijn door de gemiddelde mens; en aangezien een wachtwoord uit het hoofd gekend moet zijn, is dat ook iets waarmee rekening dient worden gehouden.
De grootste beperking zit in het feit dat websites/systemen mogelijkheden beperken.

Het gebruik van een brede karakterset verhoogt de benodigde rekencapaciteit. Daarbij natuurlijk aangetekend dat het aantal herhalingen van "exotische" tekens niet belangrijk is.

Een wachtwoord als "battery horsê" is nagenoeg net zo 'veilig' als "b477éry hôR5ê". Immers, de kraker weet vooraf niet welke tekens kunnen voorkomen en moet breed testen.

In principe kan je dus prima een zin maken die makkelijk is te onthouden waarin 1 (of 2) niet standaard karakters zitten: bijvoorbeeld Één plus 2 is Drie :-)
Nee, het heeft geen/weinig zin om de corresponderende letters met nummers te veranderen. Ik had op youtube een filmpje gezien op een conferentie voor hackers (def con) over het kraken van wachtwoorden en die mensen lachen je uit om zulke naïviteit.

b07er is dus net zo zwak als boter omdat die attacks rekening houden met de corresponderende nummers.

Het aantal mogelijke combinaties gaat wel omhoog natuurlijk, maar als zoals hierboven geschets wordt dat een simpele videokaart al 50k woorden per seconden kan doen. Op 8+ letters/cijfers (combinaties) wordt het kraken natuurlijk wel een wat tijdroverende zaak.

[Reactie gewijzigd door sheez88 op 24 november 2014 12:03]

Rekening houden met = tijd voor calculatie verhogen.

Meer karakters * Meer combinaties = Veel hogere rekencapaciteit nodig = meer weerstand tegen "kraken".

Het spijt me zeer maar simpeler dan dit kan ik het voor je maken.

Ik vind het heel goed dat je fimpjes van defcon bekijkt om bekend te worden met de materie maar lees dan ook even bij in de basisprincipes. Het is wat jammer dat je nu goed bedoeld de verkeerde conclusies hebt getrokken.

In mijn voorbeeld gaat het om het frustreren van kraken via woordenlijsten, niet om het woordje zelf.

De beste beveiliging zijn lange wachtwoorden (wachtwoordzinnen) waarbij je gebruik maakt van meerdere karaktersets.

[Reactie gewijzigd door -RetroX- op 24 november 2014 13:04]

Jij denkt dat er maar 1 strategie is om wachtwoorden te kraken, namelijk bruteforcen. Maar er zijn ook dictionary attacks die, als het goed is, de eerste strategie is om iemands wachtwoord te kraken.

In het geval van een dictionary attack wordt b073r wel gevonden, maar bo3er niet (terwijl die met de bruteforce strategie gelijkwaardig zijn). Nog een voorbeeld: Dictionary attack 12 woorden:
dan is h47l3k1jntj3 (lang woord) net zo onveilig als b07er (in de zin van: binnen 5 minuten gekraakt).

Daarom geef ik terecht aan dat je met jouw reactie moet oppassen en dat in het geval van een dictionary attack zelfs het aantal tekens niet veel uitmaakt (onder de voorwaarde van corresponderende nummers).

[Reactie gewijzigd door sheez88 op 24 november 2014 13:33]

Jij denkt dat er maar 1 strategie is om wachtwoorden te kraken
Die aanname is onjuist waardoor je reactie ook niet juist is. Lees maar eens terug.

Zoals ik al eerder aangaf heeft mijn reactie betrekking op het woordenlijst gedeelte. Niet meer, niet minder.

Dat er meer methoden zijn spreekt voor zich en ik benoem zelfs een aantal hoe die tegen te gaan zijn. Ik snap daarom ook niet zo goed hoe je er in vredesnaam bij komt dat ik het tegenoverstelde wil zeggen?
Daarom vervang ik de 0 voor de o en andersom, ssst, niet doorvertellen hè

Maar goed, 1password geïnstalleerd vandaag, telt dat ook?

Eigenlijk bestaat het gros van mijn passwords fora en klantenlogins, er zijn er maar een stuk of 5,6 echt relevant en daar doe ik mijn best op
Ha, dat zou je denken, maar je kunt die dictonary zelf natuurlijk ook uitbreiden door alle woorden nog een aantal keer toe te voegen, maar dan in elke mogelijk combinatie waar een bekende vervanging is toegepast.

Zie ook: http://arstechnica.com/se...at-out-of-your-passwords/
Er even vanuitgaand dat je gelijk hebt wat betreft je 2 seconden voor een wachtwoord bestaande uit één woord, en 100.000-woordenboekwoorden:

2 seconden x 100.000^3 = 63 miljoen jaar

Toegegeven, van een andere orde dan 24^26, maar je gaat er wel vanuit dat de manier waarop je jouw wachtwoord opstelt bekend is (namelijk 4 woorden). Wanneer je er een enkel ander teken in stopt, of je een onbekende plaatsnaam gebruikt werkt deze manier dus al niet.

Ik denk dat het hergebruik van wachtwoorden een vele malen groter probleem is, dan de kans dat iemand een supercomputer inzet om een lang paswoord te raden.

De kans dat je wachtwoord wordt buitgemaakt bestaat uit meerdere factoren:
- kans dat je wachtwoord geraden wordt binnen X tijd
- hergebruik percentage
- manier waarop je de wachtwoorden opslaat
En waarschijnlijk wel meer factoren. Nu kan je wel één factor proberen dicht te timmeren, maar dat levert een schijnveiligheid op wanneer je het wachtwoord ook op andere plaatsen gebruikt. Liever een wat korter, en meerdere wacthtwoorden, dan één heel lang wachtwoord dat je maar hergebruikt omdat je het anders toch niet kan onthouden.
Je hebt gelijk hoor. De daadwerkelijke berekening is vele malen ingewikkelder hoewel het mijn VWO kansberekening kennis (verder gaat mijn gecijferdheid niet ;) ) wel correct op een rij te zetten is.

Strekking van het artikel was dat een WPA wachtwoord van 8 random karakters of langer heel moeilijk te bruteforcen was en bij 12 of meer werd het praktisch onmogelijk, zelfs met gebruik van distributed computing, supercomputers etc...

Te korte combi's van bestaande woorden zijn dus wel hackbaar. Die woordenlijsten zijn buitengewoon clever natuurlijk, het is eenvoudig om alle plaatsnamen toe te voegen, alle kindernamen etc... Wordt de lijst een stuk langer maar het idee blijft hetzelfde.
voeg spaties in een zin toe, een jaartal een ! teken en je hebt al meer mogelijkheden.

Waar het om gaat is iets praktisch.

Hoeveel mensen zullen 4fTgs^gb$ als wachtwoordt onthouden.
Dan kun je beter: ik bezoek tweakers.nl als wachtwoord gebruikt.

voeg een spelfout toe en je maakt bruteforce ook moeilijker.
Ik besoek tweakers.nl

[Reactie gewijzigd door bbob1970 op 24 november 2014 10:03]

Hoe maak je een brute force moeilijker met een spelfout? Daarmee maak je een educated guess moeilijker, een brute force probeert gewoon alle tekens, dus dan heeft een spelfout geen zin.

Om je te wapenen tegen een brute force gebruik je gewoon veel tekens.
bruteforce met spelfout had te maken met de opmerking als je woorden uit een woordenlijst gebruikt. Maak je bewust een spelfout dan grote kans dat die spelfout niet in het brute force woordenboek zit.

Veel tekens klopt maar daarmee kom je weer terug op hoe kun je dat als mens onthouden. frtJW63be43Nl47DFGEG
als jij dan kan onthouden, proficiat dan zit je bij ge 0,000000000001% van de mensen die dat kunnen.

Een zin gebruiken met spelfout is dan eenvoudiger te onthouden en zal ook met een brute force woordenboek aanval moeilijke te kraken zijn.
Ik ben absoluut geen expert, maar volgens mij is het zo dat je zodra je een woordenboek gebruikt niet aan het brute forcen bent. Het gebruiken van een woordenboek om een wachtwoord te kraken en brute forcen zijn twee verschillende dingen. http://nl.wikipedia.org/wiki/Brute_force_(methode)

Het blijft dus zo dat een spelfout geen invloed heeft op de tijd die het kost om een wachtwoord met brute force te kraken. Het maakt ook niet uit welke tekens je überhaupt gebruikt. Bij een brute force aanval worden álle mogelijkheden geprobeerd, één voor één: aaa, aab, aac... aba, abb, abc enzovoorts.

Dat een spelfout het wel moeilijker maakt als de aanvaller een woordenboek gebruikt dat begrijp ik. Ook snap ik dat meespeelt dat je een wachtwoord wilt kunnen onthouden. Daarom is het dus goed een lang wachtwoord van onbekende woorden/tekens te hebben, of, zoals ik verder naarboven ergens heb gezegd, een combinatie van wat random tekens (entropie) en domme (maar wel zelfbedachte) lengte. Hoe je zo'n wachtwoord maakt dat je ook nog kunt onthouden is voor iedereen eigenlijk verschillend.

[Reactie gewijzigd door Me_Giant op 24 november 2014 19:04]

Je hebt het stripje niet goed gelezen! Ze gaan wel degelijk uit van het aantal woorden, en niet van het aantal tekens in het woord. Dat is juist hun hele punt: 4 woorden zijn niet zo moeilijk te onthouden, en zijn veiliger dan 10 willekeurige karakters die lastig te onthouden zijn. Echter die 4 woorden worden als onveilig neergezet, en 10 random karakters zou wel veilig zijn.

Als we het over het probleem van moderne wachtwoorden hebben dan zou ik het gezeik met leestekens, hoofdletters, etc wel het voornaamste probleem noemen. Ik had een DigiD wachtwoord van bijna 20 willekeurige cijfers en letters (ja niet 4 woorden :P), en tada: heb hem moeten veranderen omdat hij 'onveilig' was, had er immers geen leestekens in :s.

En wat doet de gemiddelde persoon als hij dat moet doen?
Hoofdletters? Eerste letter hoofdletter
Cijfers? i -> 1, o -> 0, etc.
Leestekens? Uitroepteken of vraagteken aan het einde

De wachtwoorden worden er niks beter door, dictionary attack pakt ze nog steeds, maar wat IT'ers (/IT managers) voelen zich zoveel beter erdoor.

Het grootste gevaar voor je wachtwoord is nog steeds dat sites hun database laten hakken en die onvoldoende beveiligd hebben. Bij password re-use hebben ze dan ook de rest. En dan kan je wel zeggen dat je wachtwoorden niet moet hergebruiken, maar met het aantal dat je er hebt is dat wel realistisch (of je moet pass manager gebruiken, maar dat heeft ook nadelen). Ik doe het dan zelf dus lekker ook, ik heb drie locaties die een sterk, uniek, wachtwoord hebben: DigiD, Paypal en e-mail. Kan me verder er niet heel druk over maken als iemand mijn tweakers account, account bij random webshop (zonder CC info) of bij een willekeurig spelletje hackt.
Ik heb ooit geleerd om het volgende als wachtwoord te gebruiken:

Pak een woord die je goed zou kunnen onthouden, bijvoorbeeld 'computeren'
Splits dit woord in tweeën en voeg cijfers en/of leestekens toe
en gebruik een hoofdletter op een willekeurige plaats

dan krijg je bijv. 'coMp7.uteRen'

Het wachtwoord is:
lang genoeg -> 12 karakters
te onthouden -> gebaseerd op een simpel woord
complex genoeg -> verschillende tekens, niet bruikbaar voor brute force wachtwoordlijsten.
Bedoel je niet een artikel van Ars Technica?

http://arstechnica.com/se.../passwords-under-assault/
(Pagina 3: attack of the dictionaries)

Of deze:
http://arstechnica.com/se...eat-out-of-your-passwords

[Reactie gewijzigd door Tk55 op 24 november 2014 08:49]

Je hebt een beetje last van ongecijferdheid. Er staat in het stripje duidelijk hoeveel entropie er in de verschillende passwords zit. Common words: 11 bit => 2048 verschillende woorden. Uncommon base word: 16 bit ==> 65536 verschillende woorden.

[Reactie gewijzigd door SJCE op 24 november 2014 09:10]

Enerzijds juist, anderzijds zit je nog steeds met het probleem dat je een veelvoud moet proberen alleen ga je niet van a tot z tot 9 tot ! maar van Aap naar Zymose of iets dergelijks. En hoe meer woorden, hoe sterker hij is.

Maar denk jij dat ze bij de meeste aanvallen de woordenboeken gebruiken of de bruteforce op alle mogelijke letters? Volgens mij hangt dat af van wat de eisen zijn en hoe kort/lang een wachtwoord er moet zijn.
Alleen als aanvaller kun je niet weten of een password 'geheim' is of 'dikke lul drie bier' - je kunt wel beginnen met een eenvoudige dictionary attack van de meest voorkomende wachtwoorden, maar vervolgens moet je kiezen of je of eerst alle letters / cijfers / karakters ^ 16 doet, of eerst alle woorden uit het woordenboek ^ 4 doet (en 100.000^4 is ook al best veel)

Daar komt nog bij dat het bruteforcen moeilijker gemaakt wordt door:
* Flood control (max X loginpogingen / periode) op een webserver
* Salts (die de entropie / complexiteit van een wachtwoord met nog eens X verhogen) - mits de salt zelf niet gecompromitteerd is.
staple == nietje in het nederlands ;)
Heel vroeger had ik als wachtwoord "vergeten" uiteraard met "veilige" variaties bij belangrijkere sites zoals "v3rgEt3n". Op deze manier zou ik mijn wachtwoord weer herinneren zodra ik dacht:"shit, wachtwoord vergeten". :+
Waarom gebruik je niet die hele zin "shit, wachtwoord vergeten" als wachtwoord (inclusief komma en spaties). Dat is veiliger dan een het 8 letter wachtwoord "v3rgEt3n".
8-letterwoorden is iets uit de (8-bits) oude doos. Toen was het cijfer 8 zo alom aanwezig dat je het overal tegen kwam. Ook als minimum en maximum wachtwoordlengte.
Vandaar dat je dit nog steeds vaak tegen komt.

Wachtwoorden zijn een noodzakelijk kwaad wat verergerd wordt doordat overal wachtwoorden gevraagd worden met andere regels door andere mensen DIE NIET TE CONTROLEREN ZIJN door de gebruiker.

Het internet (de ICT) is gewoon niet geschikt voor veilig verkeer. Dat moeten we accepteren. Mensen bewust maken van veilige wachtwoorden is mooi, maar als mensen die wachtwoorden weer gaan vergeten moet je weer zwakheden in gaan bouwen om ze te kunnen resetten. Gevolg: dit plaatje

Zaken als vingerafdrukken e.d. wil je ook niet aan de eerste de beste site toevertrouwen dus een mens wordt selectief. Ik gebruik zwakke wachtwoorden voor relatief onschuldige sites als Tweakers (Sorry tweakers.net, maar mijn account hier kan me letterlijk gestolen worden) en ik heb een sterker wachtwoord bij Facebook. Daar is meer persoonlijke informatie te vinden.

Voor mijn bank heb ik ook een pas en een calculator nodig. Prima !
De sterke van password zinnen zijn extreem afhankelijk van het gebruikte woordenboek. ''shitpassword forgotten' blijkt verschrikkelijk zwak in wachtwoordcheck.nl omdat zowel password als shit en forgotten in de dictionary zitten. Zo'n 21 letter passzin blijkt dan verschrikkelijk slecht! Ook de Nederland variant is nauwelijks beter.

Ook v3rgEt3n is super slecht, omdat zowel het woord, als de truuk van het verwisselen van e met 3 in de software zit.

Het gaat er om dan je zo random mogelijk blijft... Truukjes zijn meestal té doorzichtig. Het aantal makkelijke variaties van letter cijfers verwisselingen is verschrikkelijk klein. Dat is heel makkelijk te testen. Niet-typisch karakter toevoegen is veel effectiever. vQrgQtQen is veel sterker. (Totdat iedereen dit gaat doen natuurlijk....)
Ik heb als password "incorrect" mocht ik het vergeten zijn dan vertelt de computer vanzelf wat het is: "Your password is incorrect" ;)
Hahaha baas! +1 grappig! :P
En erg voorspelbaar....
1 van de wachtwoorden waar ik mij altijd zeer goed mee vermaak is het wachtwoord: Raad maar!

Gebruik ik altijd als gezamelijk wachtwoord, duurt over het algemeen lang voordat men het door heeft, maar wel erg veilig :')
Het probleem is ook dat we over een wachtwoord/paswoord spreken, en niet over een wachtzin. "correcthorsebatterystaple" is sterker dan "Tr0ub4dor&3" , maar in de praktijk gebruikt nog een overgroot deel van de gebruikers nog simpelere paswoorden. Die gewoon in de dictonairy's staan. Er word ook verwezen naar tweakers, wat ik me afvraag is of ze niet naar de gebruikers wijzen en zelf beter hun hashes zouden versterken met salts en een beter algoritme ... (tenzij ze dit reeds doen, en "vergeten" te melden zijn in het gerefereerde artikel)
Het is "correct horse battery staple" inclusief spaties, volgens mij. Maar in feite kan "lekker ding verdieping zeven" ook prima

[Reactie gewijzigd door Martinspire op 24 november 2014 09:33]

Dus dan schrijf je een scriptje die woordjes in een random volgorde probeert inplaats van characters. Een random zinnetje kan met simpele woordjes nog redelijk makkelijk gekraakt worden.

Woorden als "correct, horse, battery, staple" zijn zo veel voorkomend dat ze eigenlijk niet veel voorstellen een kort lijstje te maken. Okay het aantal "tekens" gaat omhoog (van characters naar woorden) maar het gebruikte aantal posities waar je deze "tekens" in past gaat naar beneden. (van 8+ naar 4 a 5).

Ik denk dat je nog steeds in speciale characters, spaties en hoofdletters en andere trukjes moet vervallen om het veilig te maken. Bijvoorbeeld eerst het zinnetje bedenken, daarna letters vervangen door nummers en speciale tekens en wat spaties door underscores, ergens zomaar een hoofdletter in plaats van een kleine... dat soort geintjes.
Maar dan heb je weer dat een wachtwoord lastiger te onthouden wordt. En dat was nou de reden om woorden te gebruiken.
Jup, ;). Wat een gedoe hè ;)?

Maar ja ik denk dat je niet er aan ontkomt om:
"correct horse battery staple"
om te schrijven tot iets als:
"C0rr3ct_hOrse b@ttery-2taplE"

Maar dan kan jij weer zeggen "Ach dan gaan ze toch letters vervangen door tekens en het weer proberen". Jup.... je hebt helemaal gelijk ;).
Volgens mij kun je ook gaan combineren tussen de twee methoden. Als je
"Ha238bs-12p3b0 correct horse battery staple"
kiest, dan gebruik je het beste van twee werelden. Het eerste gedeelte moet je even uit je hoofd leren, of je moet zorgen dat het een string is die voor jou wel gemakkelijk te onthouden is, en het tweede gedeelte zorgt voor extra lengte.

Dat laatste gedeelte maakt ook weinig uit, want entropie is ook niet alles. De kraker weet niet uit wat voor dingen je wachtwoord bestaat of hoe lang het is. Gewoon wat extra tekens is genoeg, als je maar zorgt dat het niet te voor de hand liggend is.

Zie ook https://www.grc.com/haystack.htm

[Reactie gewijzigd door Me_Giant op 24 november 2014 12:22]

Als haystack gelijk heeft is d0g.......... ook vrij goed. (voorbeeld van http://www.explainxkcd.com/wiki/index.php/Password_Strength)
Vrij eenvoudig te onthouden ;-)
Nee, d0g............... is geen goed password. Kun je op die wachtwoordcheck website simpelm uitproberen.

Het truukje van simpelweg veel dezelfde tekens achter elkaar te zetten, is ook bij de krakers bekend.
Haystack zegt erbij dat het niet werkt als zo'n truucje bekend is. Idee is dat je je eigen 'opvulmateriaal' bedenkt.

[Reactie gewijzigd door Me_Giant op 24 november 2014 14:33]

Ik heb het idee dat je je dan beter kunt focussen op slim wachtwoord met wat er gebeurd en moet gebeuren als hij wordt gekraakt 8)7
Ja, maar het voordeel is dat het gemakkelijker te onthouden is dan eenzelfde aantal random karakters maar even moeilijk te kraken.

Probeer iets als "c$rruct hur7e ba99ery stgple". Het enige dat je moet memoriseren zijn 5 substituties en 1 zin, de woordenlijstattack werkt niet (ook indien de woordenlijst vaak voorkomende varianten als s->5 bevat), en brute force is net zo moeilijk als "kaea41kxamermyx0angnld6amwnx".
Gebruik altijd woorden uit het woordenboek van de 18de eeuw. Niemand gebruikt die woorden nog. :) en cijfers voor extra.
Dus dan schrijf je een scriptje die woordjes in een random volgorde probeert inplaats van characters
Het hele punt is dat er met random woorden veel meer mogelijkheden zijn dan met random karakters. Dat wordt ook duidelijk uitgelegd in het plaatje van XKCD.

[Reactie gewijzigd door .oisyn op 24 november 2014 12:21]

En een ander probleem is dat het bij sommige wachtwoorden niet eens uitmaakt hoe complex of simpel ze zijn, ze zijn te omzeilen, ze zijn terug te vinden al dan niet in grote hoeveelheid en met encryptie of ze kunnen tijdens gebruik worden onderschept, om worden gekeylogged door geinjecteerde scripts.

Daarnaast gaat XKCD hier nog uit van 1000 guesses, mede doordat het natuurlijk over bandbreedte gaat, maar ik begreep dat een beetje overheids apparaat eerder aan een veelvoud met 1000 als basis getal zit wanneer er geen backdoor is en geen andere gemakkelijkere methode. Ook hier in de dienst waar het wachtwoord van is weer belangrijker dan het wachtwoord zelf, want wachtwoorden moeten natuurlijk niet geraden mogen worden maar er moet gewoon geblokkeerd worden na 2 fouten die meer dan wat tekens ernaast zitten.
Die meer dan wat tekens ernaast zitten?
En hoe wil je dat gaan bijhouden?
Wachtwoorden in plain text opslaan ter vergelijk lijkt me niet echt een goede optie.

Ik ken geen andere methode, loop ik achter?

Het lijkt me zelfs als je een protocol bedenkt waarmee dit mogelijk zou zijn, dat dit zeer ongewenst is voor wat de beveiliging betreft.
Dat zeg ik toch ook, maar je hebt wel minder "tekens" achter elkaar. Want je kunt een woord gewoon uit een woordenboek pakken met een random generator als index. En ik weet wel zeker dat een hakker dat tegenwoordig ook gewoon probeert ;).
Dat zeg ik toch ook, maar je hebt wel minder "tekens" achter elkaar.
Ja, en in totaal zijn er dus met woorden meer combinaties dan letters in een wachtwoord van, zeg, 8 tekens.
Je vergeet alleen één simpel gegeven: je weet niet wat voor een wachtwoord je doelwit heeft bedacht. Misschien is het één woord, misschien wat cijfers en hoofdletters erbij, misschien is het een wachtwoordzin, etc. Wanneer je dat dus niet weet, moet je in feite wel brute forcen met een compleet karakterset en dan ben je zoals bekend bij een lange wachtwoordzin te lang bezig om dit te kraken.
Ik vergeet helemaal niks, ik geef gewoon aan dat ook daar een patroon in zit waar en hacker rekening mee kan houden. Helemaal omdat het stripje zegt dat we ons aangeleerd hebben om moeilijk te onthouden wachtwoorden te gebruiken die makkelijk te kraken zijn. Terwijl als we allemaal dat soort zinnen zouden gebruiken we ook tegen patronen aan lopen die makkelijk te kraken zijn.

Je gaat dus zeker niet echt character voor character checken, je kijkt naar veel vorkomende combinaties en stel we zouden ons wel aanleren om simpelle zinnen te gebruiken.. dan kan je daar als hacker rekening me houden.

Het is dus niet zo makkelijk te op te lossen als de webcomic omschrijft. Want zoals al aangegeven, entropie is ook niet alles.
Je kunt altijd een lijstje maken in volgorde van meest waarschijnlijk/veelgebruikt naar minst waarschijnlijk/gebruikt.

Het probleem hierbij is voor de te beschermen data, dat de meestgebruikte of waarschijnlijke combinaties snel uit te proberen zijn, zodanig dat dit geen brute force meer te noemen is.

De klasieke brute force waarbij iedere mogelijke input uitgeprobeerd wordt is dus zodanig achterhaald dat het onzinnig is daarmee te vergelijken.

Wanneer je een wachtwoord hebt (met minimale lengte) dat zodanig uniek is dat de enige manier om deze te raden een echte brute force aanval is, zit je redelijk veilig.

Maar zelfs een dergelijk wachtwoord is slechts beperkt houdbaar, vanwege keyloggers, hergebruik van het wachtwoord op andere websites, MitM aanvallen (eventueel met behulp van een lek zoals heartbleed), etc.
Ik vraag me af of die xkcd er juist niet voor gezorgd heeft dat crackers meer op combinaties van woorden zijn beginnen testen.
Nee dat kan niet, want de woorden moeten willekeurig gekozen zijn.
Want de combinatie "lekker ding verdieping zeven" is zo veelvoorkomend? Nee, dat is het niet. "Lekker ding grote tieten" nou weer wel, maar het "verdieping zeven" gedeelte maakt het uniek en zeer random.
Ja, die combinatie is (in password termen) zeer veel voorkomend.

Concreet is het voorkomen van "ding" na "lekker" zeer gebruikelijk. Ter vergelijking, "lekker whiteboard" is veel zeldzamer. Op dezelfde manier is het gebruikelijk dat "verdieping" gevolgd wordt door een nummer.

Je password is effectief dus maar 2 woorden lang. Dat is niet voldoende; er zijn effectief 4 woorden nodig. "Lekker ding verdieping zeven onder water merel" is effectief dus wel 4 woorden.
Bij zit dat lekker ding op de eerste verdieping. Is dat ook goed? :P
Lekker ding in spiegel. O-)
"Liesje leerde Lotje lopen langs de Lange Lindelaan"
Geen willekeurige woorden, maar praktisch onkraakbaar (tenzij er tegenwoordig ook op dat soort zinnen wordt geprobeerd via de dictonary tools)

Ook een wachtwoord als " Spatie" is al zeer veilig :)

[Reactie gewijzigd door SunnieNL op 24 november 2014 12:30]

Ja, inmiddels hebben de password crackers dat "maak een zin" truukje ook door, en proberen ze eerst woorden die elkaar vaak opvolgen (markov chains).

Als je dus voor de woorden-als-wachtwoord aanpak gaat, moet je wel echt willekeurige woorden achter elkaar plakken, en niet een zin uit een boek of een songtekst.

De zoekruimte is nog steeds wel groot, maar die tools zijn echt wel zo slim dat ze eerst vaker voorkomende combinaties proberen voordat ze verder gaan met pure brute-force.
Markov chains zijn dan wel erg onbetrouwbaar. Om nog enigszins redelijk over te komen moeten ze veel leren en veel input krijgen, maar zelfs dan slaat het vaak als een tang op een varken.
Het werkt met hele korte zinnen wel redelijk, maar het stomme is dat het nog beter werkt met totaal achterlijke zinnen dan werkelijk logische en correcte zinnen.

In een poging om met Markov chains redelijke antwoorden te krijgen:
V: "did you forget everything you learned?"
A: "What did you forget everything you learned?"

V: "Fuck off"
A: "Not to worry, we'll be blown off of the world."

V: "You look good"
A: "You suck, your boobs look great today'."
(Wtf?)

V: "You suck"
A: "You have to answer to.. AMERICA, FUCK YEAH! So lick my butt and suck on my balls."
(Haha)

V: "Asshat"
A: "Yeah I had a "MaxRequestsPerProcess 50000" - found out today - that I guess."

Je kan het behoorlijke fine-tunen, maar om logische zinnen te construeren dan wel correcte antwoorden te geven op de input waarmee de Markov chain moet gaan werken, werkt het niet zo heel prettig.

[Reactie gewijzigd door WhatsappHack op 24 november 2014 23:55]

Niet alleen gebruikers, ook beheerders hebben er vaak een handje van om simpele wachtwoorden te gebruiken. Of nog erger, allemaal strikte en strenge regels voor gebruikers en dan simpele administrator/root wachtwoorden want beheerders hebben 'uiteraard' andere regels dan de simpele gebruikers.
Dat heb ik ook lang gedacht maar helaas die ook het xkcd stripje ook niet meer bij de tijd. Kijk maar eens naar deze TED Talk:
https://www.youtube.com/watch?v=0SkdP36wiAU
Ik heb ook zo'n hekel aan websites die mij verplichten om hoofdletters en speciale tekens te gebruiken. Verpest het gemak van de methode in je aangehaalde xkcd stripje nummer 1.
Leuk zo'n brute force aanval maar dan moet je al in beeld staan om gehackt te worden. Naast dat lijkt het mij dat een brute force aanval gedetecteerd kan worden en dus aan de beheerder kant ook een actie genomen kan worden door bv. het account inactief te zetten en de user op de hoogte te brengen.
Je hebt natuurlijk 2 vormen van brute force hier:
- Herhaaldelijk inloggen op een site, net zolang tot je het juiste wachtwoord hebt gevonden.
- De versleutelde wachtwoorden binnenhalen op je eigen omgeving en ze met zeer efficiente (gpu-based bijvoorbeeld) kraak-software brute forcen.

Dat eerste heeft vooral zin als je het met goede kandidaten doet, bijvoorbeeld wat varianten op voor- en achternaam. Zelfs als de site helemaal geen beperkingen heeft en het nooit doorkrijgt ben je aardig lang bezig om een wachtwoord te vinden. Simpelweg omdat je steeds met de overhead van het netwerk en http zit. In de tijd van 1 request had je misschien wel een paar miljoen (of miljard?) varianten kunnen proberen op je GPU.
Je hebt natuurlijk 2 vormen van brute force hier:
- Herhaaldelijk inloggen op een site, net zolang tot je het juiste wachtwoord hebt gevonden.
Hebben vele sites niet gewoon een maximum ingesteld hoe vaak je een inlogpoging kunt doen? Er wordt steeds in de media gezegd dat "in enkele seconden" je wachtwoord gekraakt kan worden door brute force, maar als je bijvoorbeeld maximaal 10 pogingen krijgt om in te loggen waarbij er minimaal 1 à 2 seconden tussen iedere poging moet zitten, dan sta je daar als kraker er lullig bij met je 200 miljoen varianten op wachtwoorden. Of zie ik iets over het hoofd?

Ik zie in de [reguliere] media in ieder geval veel aandacht besteed wordt aan de kant van de gebruiker [terecht overigens, bewustwording over dit inderwerp vind ik alleen maar goed]. Maar aan de website-kant, waar eventueel ongelimiteerd ingelogd kan worden, kan ook door regelgeving of best practices bereikt worden met misschien minder inzet dan je nu kwijt bent aan de 'gebruikerskant' van het verhaal.
Als de site uit je voorbeeld 1 miljoen gebruikers heeft, dan kan de hacker dus 10 miljoen pogingen doen in 10 a 20 seconden.

De hacker wil geen toegang tot een specifiek account, elk account is goed.
Maar dan een IP checker dan toch ook erop zetten? Dat kan tegenwoordig toch ook makkelijk erop? Dat na 10 pogingen de IP gewoon wordt geblokkeerd voor een tijdje.
De hacker wil geen toegang tot een specifiek account, elk account is goed.
Je hebt helemaal gelijk dat een hacker niet uit hóeft te zijn op een specifiek account, daar had ik niet over nagedacht, helder :)

Alleen wordt er wel op gehamerd dat dan jou account brute force gehackt kan worden. Bij brute force aanval met 10 miljoen pogingen over 1 miljoen accounts ligt het probleem niet bij een gebruiker, maar bij de 'websitet'-kant van het verhaal. Waar het voor mijn gevoel dus te weinig aandacht aan wordt besteed.

Daarnaast zou de betreffende hacker ook 1 miljoen loginnamen in zijn bezit moeten hebben. Om die nou brute force te genereren, daar zou de betreffende hacker ook niet echt iets mee opschieten. Als hij/zij ze wel al heeft, dan is het weer de 'website'-kant van het verhaal...
'Vele sites'? Nee, ik denk dat de sites die wel een beperking op het aantal inlogpogingen juist de uitzonderingen zijn.
Ook al is het op zich verstandig om zoiets wel in te bouwen.

Het is namelijk iets waar je over na moet denken en ook niet echt zo triviaal als je misschien denkt. Al is het alleen maar omdat je ergens moet bijhouden welke ip's en/of accounts probeerden in te loggen. Want wat voor grens stel je in als je beseft dat alle duizenden medewerkers van organisaties van Shell, Rabobank en de diverse ministeries via een beperkt aantal ip's naar buiten gaan.

Uiteraard kom je met hele ruime, vriendelijke limieten best ver: een paar honderd loginpogingen per uur is ook voor dergelijke ip's ongebruikelijk veel, maar je moet dus wel wat beter opletten.

En wat doe je tegen mensen die via de 'cloud' (een zee aan gehackte computers in dit geval) steeds maar een paar login-pogingen doen voor een specifiek account? Je kan niet zomaar die accounts gaan blokkeren als ze te vaak proberen inloggen, want dan kan je er effectief voor zorgen dat de eigenaar van dat account nooit in kan loggen (dus effectief een specifiek account op een site DoS-en).

[Reactie gewijzigd door ACM op 24 november 2014 11:15]

Het is namelijk iets waar je over na moet denken en ook niet echt zo triviaal als je misschien denkt.
Daar heb je helemaal gelijk in, maar het gaat mij er om dat er in dit verhaal met name gericht is op de gebruiker-kant als 'probleem'-kant. Terwijl er volgens mij ook [meer?] winst te behalen is door beter naar de 'website'-kant van het verhaal te kijken. Brute force hacking hoeft helemaal geen gebruikersprobleem te zijn, waar wel de nadruk op wordt gelegd.
Het bijhouden van bijvoorbeeld een activity-log per account met als minimaal toegestane tijdseenheid van 1 à 2 seconden tussen belangrijke [login!] activiteiten zou bijvoorbeeld al erg schelen in dit aspect, maar waar een gebruiker niets ten nadele zal merken. Of een nader te bepalen best practice, ik beweer niet het optimale antwoord te hebben.
Je kan niet zomaar die accounts gaan blokkeren als ze te vaak proberen inloggen, want dan kan je er effectief voor zorgen dat de eigenaar van dat account nooit in kan loggen (dus effectief een specifiek account op een site DoS-en).
Mee eens. Met daarbij wel de opmerking dat het verhaal hier gaat hier over een beveiligingseis, niet service-eis. De gebruiker van het account [of uiteindelijke eigenaar van het account: bank, overheid, etc.] heeft vast liever een stilstaande service, dan dat informatie bij een hacker ligt.
De brute-force scenario's die ik genoemd zie worden in dit soort contexten gaan vooral uit van het downloaden van een bestand met encrypted wachtwoorden. Waarbij je dus aan de hosting/serverkant niets meer te vertellen hebt over de latency per wachtwoord en/of de beschikbare rekenkracht.

Je kan als softwarebouwer voor dat scenario eigenlijk nog maar een heel beperkt aantal dingen (vooraf) doen; ervoor zorgen dat elk wachtwoord uniek versleuteld is (wat je normaliter met een 'salt' doet), ervoor zorgen dat de versleuteling niet omkeerbaar is (hashes ipv encryptie gebruiken) en ervoor zorgen dat het doorrekenen van een brute-force poging zo lang mogelijk duurt (moderne hash nemen, en combineren met zaken als key-stretching).

Maarja...of iemand 1 nanoseconde of 10 milliseconde nodig heeft tussen de pogingen? Daar kan je niks aan doen.

Als iemand inderdaad gewoon herhaaldelijk probeert in te loggen kan je daar wel wat tegen doen. Zoals je zelf al zegt. Al is het alleen maar met de invoering van e.o.a. captcha-optie na X pogingen (dus dat dan in principe nog mogelijk is als je in staat bent de captcha te ontcijferen).
Met daarbij wel de opmerking dat het verhaal hier gaat hier over een beveiligingseis, niet service-eis. De gebruiker van het account [of uiteindelijke eigenaar van het account: bank, overheid, etc.] heeft vast liever een stilstaande service, dan dat informatie bij een hacker ligt.
Op zich ben ik dat met je eens. Maar daarbij ga je er wel van uit dat het een hacker is die op je wachtwoord uit is. En niet iemand die er op uit is om domweg accounts/bankrekeningen (tijdelijk) te laten blokkeren ;) Want dat scenario bestaat dus ook :/
De website-kant is idd een onderbelichte kant van het verhaal. Dat ligt enerszijds aan de media (hoeveel connaisseurs zijn er in die wereld - die verder kijken dan twitter bedoel ik dan), hun doelpubliek dat honger krijgt als je over salt & pepper begint en het feit dat de meeste websites hun 'achterkant' uiteraard niet in de media gaan uitleggen. Hier als NLtalige journalist over beginnen (terwijl de lezer meestal op buitenlandse sites surft) brengt weinig zoden aan de dijk.

Als je dan al aan volksverheffing wil doen, kan je dus beter het volk leren zichzelf enigszins te beschermen (elke poging is dankzij 't volume wellicht een verbetering). En jij leerde toch ook eerst dat 10=10 alvorens te beseffen dat 10=2? Stap voor stap dus ;)
Bij een beetje bedrijf val je door de controle op 'invalid logins' natuurlijk direct door de mand.😉
Je hebt natuurlijk 2 vormen van brute force hier:
- Herhaaldelijk inloggen op een site, net zolang tot je het juiste wachtwoord hebt gevonden.
- De versleutelde wachtwoorden binnenhalen op je eigen omgeving en ze met zeer efficiente (gpu-based bijvoorbeeld) kraak-software brute forcen.
Het verschil tussen die twee methoden is een stuk kleiner als je salts goed gebruikt. Salts werken daarvoor op twee manieren: ten eerste helpen ze tegen "rainbow tables" en andere vormen van precomputed aanvallen, en ten tweede verhogen ze de tijd die nodig is om elk kandidaat-password te testen - ook in offline mode.
Precies, een beetje bedrijf heeft een pakket in place on dit te detecteren en de alarmbellen te laten rinkelen.
Een beetje bedrijf heeft z'n website bij een externe hoster geoutsourced. Het is dan maar hopen dat die in orde is..
Inderdaad, bij een 'beetje' bedrijf horen de alarmbellen te gaan rinkelen.
bruteforce werkt natuurlijk niet op een website.. Maar gebruikt men om een wachtwoorden bestand dat gestolen is van een website om deze te kraken, en zodra men dan deze heeft, gaat men weer terug naar deze website of analyseert men de wachtwoorden en probeert men deze op andere sites..
Altijd dolle pret met web-gebaseerde interfaces. Die sturen een login voor elk plaatje enzo op een pagina. Als je wachtwoord gewijzigd is en je klikt op een bookmark van het intranet, dan gaat je account op slot wegens 25 mislukte inlogpogingen in een seconde.

Als ik een printjob start vanaf mijn linux machine en mijn Windows wachtwoord is gewijzigd, dan gaat mijn account ook op slot.

Leuke is, dan bel of mail ik de helpdesk, en die unlocken het en sturen me desgewenst even een nieuw wachtwoord (dat ik de komende 24 uur niet kan wijzigen!) zonder op enigerlei wijze te controleren of ik wel ben wie ik beweer te zijn.
@Martijn,
Eindelijk iemand die hier iets zinnigs over zegt.
Het is een zeer bekende foutieve gedachte dat je cijfers - hoofd en kleine letters - leestekens door elkaar MOET gebruiken. Dat wekt het vertrouwen dat het wachtwoord sterk is.
Het enige wat echt werkt is een groot aantal tekens...

Makkelijkste manier om te onthouden is: bedenk een kort onzinnig verhaaltje van bijvoorbeeld 20 woorden. Het wachtwoord is dan de eerste letter van ieder woord.
Vind je dat echt makkelijk?? Waarom niet gewoon een zinnetje van een paar woorden en dat onthouden en waarbij dat het gehele wachtwoord is...

Maar over je eerdere verhaal. Het punt van verschillende karaktergroepen gebruiken is dat je daarmee doorgaans de zoekruimte per teken vergroot. Dus als je zeker weet (of vermoed) dat een wachtwoord slechts kleine letters uit het alfabet heeft, dan hoef je maar 26 mogelijkheden per karakter te bruteforcen.
Als ook hoofdletters en cijfers erbij staan gaat dat omhoog naar 62 mogelijkheden per karakter.

Dus 20 karakters die allemaal kleine letters, alfabetisch zijn vs 16 karakters die varieren in hoofdletters, kleine letter en cijfers:
26^20 = 19928148895209409152340197376
62^16 = 47672401706823533450263330816

Die laatste heeft dus 3x zoveel mogelijke combinaties. Nou is 3x in deze context niet zo spannend, maar het geeft wel aan dat puur en alleen op lengte focussen ook niet genoeg is.

Binnen Tweakers bepalen we een 'entropy' van je wachtwoord. Daarbij proberen we rekening te houden met hoeveel verschillende soorten tekens je gebruikt en hoeveel lengte het wachtwoord heeft. Dat samen bepaald dan hoe moeilijk het is om te brute forcen en dus hoe veilig het wachtwoord zou moeten zijn.
Enige nadeel is natuurlijk dat een wachtwoord als Tweakers123 dan ook best hoog uit kan komen, maar als je je brute forcer uitrust met een woordenlijst, dan heb je dat wachtwoord waarschijnlijk vrij snel gevonden.
Zelf heb ik acht verschillende wachtwoorden van zes tot acht willekeurige tekens onthouden die ik, afhankelijk van hoe belangrijk ik een account vind, alleenstaand of in combinatie met elkaar gebruik. Op die manier heb je zonder een compleet nieuw wachtwoord te bedenken toch een nieuw wachtwoord.

Ik hekel om die reden websites die alleen bepaalde speciale tekens toestaan, zoals DigiD (in het verleden?). Elk jaar moet ik weer een nieuw wachtwoord aanvragen omdat ik simpelweg geen wachtwoord heb/had die aan hun eisen voldoet (voldeed?). Extra vervelend is dat je maar een paar keer per 24 uur mag proberen in te loggen, wat in mijn ogen dikke onzin is aangezien je bijvoorbeeld met maximaal 3x per minuut ook wel een bruteforce afweerd.

Je kan vaak trouwens ook arabische of aziatische tekens gebruiken voor je wachtwoorden. Kleine kans dat een brute force programma deze tekens meeneemt.
"Elk jaar moet ik weer een nieuw wachtwoord aanvragen omdat ik simpelweg geen wachtwoord heb/had die aan hun eisen voldoet."

Ik ben dus niet de enige!

Ik was het zo beu dat ik het wachtwoord maar op de belastingformulieren van vorig jaar heb geschreven.
Ik maak het zelf ook vaak mee dat ik opeens een nieuw wachtwoord moet aanmaken omdat mijn huidige niet sterk genoeg is, maar ik vraag mij dan af: hoe weten zij dat mijn wachtwoord niet veilig is? De enige manier is een encryption te gebruiken ipv hashing... dan is het opslaan van het wachtwoord per definitie niet veilig, want het is omkeerbaar. Een andere manier die ik kan bedenken is bijhouden hoeveel hoofdletters, kleine letters cijfers en speciale tekens iemand's wachtwoord bevat (wat ook niet echt handig is om op te slaan...)
De wachtwoord hash in hun database kan matchen met de hashes uit een rainbow table..

[Reactie gewijzigd door pim op 24 november 2014 16:35]

Een goede website gebruikt een hash icm een willekeurige salt, dus kunnen twee dezelfde wachtwoorden een andere hash krijgen.
Een beetje website vangt ook de foute inlogpogingen op. Als er een bot in omloop is die bepaalde wachtwoorden randomized uitprobeerd zul je een log opbouwen met veel gebruikte wachtwoorden.

Bij de inlogroutine kan je het wachtwoord van jou dan checken tegen deze 'veel gebruikt bij foute inlog'-lijst en de gebruiker adviseren een nieuw wachtwoord aan te maken.
Dat heb ik ook, en in mijn mail heb ik dan staan, mijn mail kan ik overal lezen maar een ander snapt er geen bal van:
Tweakers:
watercoolertje (user)
passw1 +passw5 (password)

In in sommige gevallen zet ik achter die combinatie ook nog is het domein van de website (niet de extentie) om wat extra lengte te creëren :) En bij sommige gebruik ik maar 1 deel...

[Reactie gewijzigd door watercoolertje op 24 november 2014 11:38]

Binnen Tweakers bepalen we een 'entropy' van je wachtwoord. Daarbij proberen we rekening te houden met hoeveel verschillende soorten tekens je gebruikt en hoeveel lengte het wachtwoord heeft. Dat samen bepaald dan hoe moeilijk het is om te brute forcen en dus hoe veilig het wachtwoord zou moeten zijn.
Enige nadeel is natuurlijk dat een wachtwoord als Tweakers123 dan ook best hoog uit kan komen, maar als je je brute forcer uitrust met een woordenlijst, dan heb je dat wachtwoord waarschijnlijk vrij snel gevonden.
Ook vreemd. Dat heeft alleen zin als de aanvaller weet welke sets mogelijk zijn. Als hoofdletters, kleine letters, cijfers en leestekens allemaal gebruikt kunnen worden, is de entropie van een wachtwoord dat uit alleen cijfers bestaat niet kleiner dan een die uit alle sets bestaat. De aanvaller weet dat namelijk niet, en heeft nog steeds de complete zoekruimte voor zich als uitdaging.
Het kan alsnog interessant zijn om eerst met een beperkte set mogelijke karakters te beginnen. Bijvoorbeeld eerst alle mogelijkheden voor t/m 10 karakters met alleen kleine letters.
Dat heeft alleen zin als de aanvaller weet welke sets mogelijk zijn.
En dat is dus precies waar de aanvallers naar kijken.... Brute-force kraken werkt alleen op korte passwords. Daarná moet je intelligent gaan kraken. En dat doen ze doordat ze weten dat mensen geen daadwerkelijke willekeurige reeks van karakters gebruiken. Ze weten dat hoofdletters typisch als eerste karakter gebruikt wordt, en dat de cijfers typisch achteraan staan. Ze weten dat mensen typisch een woord gebruiken als onderdeel van het password.
Als dit soort zaken maakt dat de entropy van het password veel lager word...
Policies als deze maken het makkelijk om wachtwoorden te raden. Bij een bedrijf waar je elke twee maanden een nieuw wachtwoord moet invoeren waar hoofdletters en tekens in moeten zitten, heeft de helft van het personeel een wachtwoord in de vorm van een 5-letter woord met een hoofdletter, een streepje en dan twee cijfers (ik ook). Er zijn maar een paar duizend vijfletterwoorden (daarom moest Lingo op zes over) dus het personeelsbestand in combinatie met een woordenboek en een teller en je bent snel binnen, want je hoeft alleen maar het wachtwoord van een willekeurig account te raden, en niet een specifiek account.

Ik tik liever een wachtwoord van 12 karakters. Dat is veel makkelijker te onthouden, en veel moeilijker te brute-forcen. Die "speciale tekens" zijn maar schijnveiligheid. Ze lijken wel entropie toe te voegen, maar in praktijk liggen de patronen ervoor vrijwel vast.

Bij het natlab liep vroeger (toen het nog natlab heette) een deamon over de /etc/passwd heen die de hele nacht probeerde wachtwoorden te kraken. Als dat lukte kreeg je een mailtje dat je wachtwoord niet goed was. Nou DAT is nog eens empirisch bepalen of je wachtwoord te kraken is.
Heb je het nu over een 'Policy' bij Tweakers of verwijs je naar je eigen voorbeeld? Dat van Tweakers is namelijk helemaal geen wachtwoordpolicy, nouja, het enige wat we ermee doen is zeggen dat we een bepaalde uitkomst te laag vinden :)

Maar je kan op diverse manieren de entropy van de wachtwoord-tekst hoog genoeg maken. Door meer tekens te typen, spaties te gebruiken (aka zinnetjes), andere speciale tekens toe te voegen, etc. Je bent daar verder volledig vrij in.

Het is wel vrij gebruikelijk dat de cijfers aan het eind staan en/of dat mensen denken dat het heel moeilijk is voor een wachtwoordkraker om "leet-speak"-varianten van normale woordenboek-woorden te gebruiken (de tool die wij gebruikten had dat als standaardoptie om ook te testen...).
Ik triggerde eigenlijk op je "Tweakers123" voorbeeld, die voldoet aan zo'n policy. Praktijktest wijst uit dat die een score "zeer zwak" krijgt.

Overigens: Ik zou liever de ruwe entropie waarde zien, dan een vage aanduiding als "zwak" of "sterk".
Maar de site van deze actie draait zo te zien op zxcvbn, en die checkt juist ook dictionaries en patronen op je toetsenbord. Tweakers123 zou daar heel makkelijk heel slecht in kunnen scoren, want dictionary-woord "tweakers" plus patroon "123".

Misschien een idee om zxcvbn ook in de entropy berekening van Tweakers zelf op te nemen?
uhh.. en wat maakt dat het wachtwoord sterker? het is nog steeds een wachtwoord van +/- 20 characters..
Wat het sterker maakt is de lengte, natuurlijk. Omdat het random letters zijn kan je 't alleen brute forcen, en 26^20 is te veel om te brute forcen.

De wiskundige reden is dat x^y verhogen sneller gaat als je y verhoogt dan dat je x verhoogt. 26^20 is veel meer dan 27^19.
Jij bedoelt iets als dit:
Een twee drie vier, hoedje van, hoedje van,
Een twee drie vier, hoedje van papier.

Wat zich vertaald naar: "1234hvhv1234hvp" of "etdvhvhvetdvhvp". Nou is dat wel beter dan "wachtwoord123", maar nog steeds vrij kort ivm de hele zin.
Neen neen en nog eens neen.

Wat is belangrijk:
- overal een ander wachtwoord
- het bestaat uit willekeurige tekens zonder betekenis
- het is voldoende lang ( alles vanaf 8 karakters is voldoende lang)

Waarom:

- zodat een gecompromiteerd wachtwoord niet gebruikt kan worden op een andere service
- zodat je wachtwoorden niet te voorspellen zijn of te raden adhv je persoonlijke info
- net zoals een bankkaart: de kans dat je het wachtwoord raadt moet klein genoeg zijn

En net als een bankkaart, moet elke service je wachtwoord blokkeren of verhinderen dat er meer dan 3 pogingen (per dag) gedaan worden.:
- Zo heeft brute forcing geen zin
- Elk systeem waar een hacker over kan beschikken, moet gezien worden als gecompromiteerd

Als iemand zoveel pogingen mag doen als hij wil, om je wachtwoord te raden, dan is het bij voorbaat al verloren, het is enkel een kwestie van tijd en technologie.

Als iemand fysieke toegang tot je apparaat heeft, ben je verloren. Je wachtwoord hoeft niet geraden te worden, het kan gewoon overschreven worden of gebypassed worden. Voor sommige encryptie-technieken is dat onwaar, maar evengoed kan je toetsenbord gebugged worden, fysieke keylogger, etc. En ooit moet je je wachtwoord eens intypen.
1. bootaccess = rootaccess
2. fysieke toegang = system compromised
3. iemand heeft mogelijkheid tot bruce forcen = system compromised

En vooral het laatste is belangrijk om te snappen. Het is niet omdat jouw wachtwoord 32 tekens heeft, dat het niet geraden kan worden. Toevallig kan het na 1 uur al gekraakt worden... Er zijn namelijk ook mensen die de loterij winnen...

En random is ook niet zo random als je zou denken bij computers. Dat is ook nog een groot veiligheidsprobleem.
Hmm, ik zou toch graag wat bronnen zien. Want wat jij zegt klopt niet helemaal. Ik heb het over bruteforcen, jij haalt wat punten aan die meer met social engineering en andere factoren te maken hebben.
Wanneer er password hashes buit zijn gemaakt en de hacker wil ze gaan bruteforcen is 8 random tekens toch echt niet veilig in vergelijking met een wachtwoordzin.
- overal een ander wachtwoord
Dit is inderdaad verstandig. Kan ik niets tegen in brengen.
- het bestaat uit willekeurige tekens zonder betekenis
- het is voldoende lang ( alles vanaf 8 karakters is voldoende lang)
Waarom? Als we uitgaan van 100.000 woorden in een woordenboek en ik gebruik 5 woorden in een wachtwoordzin. Zelfs bij 4 woorden is het nog veiliger. Het Engels woordenboek heeft 170.000 woorden en ik vond een bron die over 200.000 woorden in onze taal had.

100000^5 = 10,000,000,000,000,000,000,000,000 (1e+25)
100000^4 = 10,000,000,000,000,000 (1e+16)

Of in jouw geval 8 willekeurige tekens
62^8 = 218,340,105,584,896 combinaties

Welke heeft de computer eerder geraden denk jij?

[Reactie gewijzigd door Martijn19 op 24 november 2014 10:33]

In feite allebei door toepassen van multithreads en per thread bepaalde ranges doorlopen d.m.v. slimme algoritmes.
Leuk dat er 100.000 woorden in een woordenboek staan.... In de praktijk gebruik je er maar een paar duizend. En het aantal woorden men daadwerkelijk in passwoorden gebruikt zal niet meer dan een paar honderd bedragen.

Dat wil niet zeggen dat het opzichzelf geen goede methode is, maar het is veel minder goed dan mensen denken. Ook hiet moet je proberen om buiten het woordenboek te komen.

Voorbeeld: "thisisagoodpassword" is een zin van 19 karakters. Dat zou supersterk moeten zijn. In de wachtwoordcheck is het echter heel zwak.
In het Nederlands wordt het sterker... maar dat betekent natuurlijk alleen maar dat de test software uit het buitenland komt. Een hacker die Nederlandse sites aanvalt, zal natuurlijk ook een Nederland woordenboek gebruiken...

Je wachtwoord zin moet dus bestaan uit niet-typische woorden. Want anders ben je lang niet zo veilig als je denkt!
Waar het over gaat is dit:

Of er nu 100 miljard of 100 triljard mogelijkheden zijn: dat doet er niet toe.
Als er maar 3 per keer geraden kunnen worden, dan is zelfs 10.000 veilig. (je bankkaart werkt ook zo)

Het gaat er om dat eens je hash of elk eender afgeleide of meta-data van je wachtwoord "in the open" is, je het als verloren moet zien.

Je wachtwoord is enkel veilig als het systeem ook veilig is.

Zoals ik al aanhaalde, die 100 triljard is enkel veilig omdat we nu niet de technologie hebben om er snel iets op te vinden. Maar dat kan in de toekomst veranderen en misschien al zo zijn (NSA).

Trouwens heeft een hacker helemaal geen 1e+25 guesses nodig? Je hackt het systeem en download al de data die je wil. Welk wachtwoord jij gebruikt en of dat nu een supersterk is of niet: dat is irrelevant op dat moment.

Als een hacker aan de hash kan, dan is de kans groot dat hij ook aan de data kan. Dus in dat opzicht maakt het niks uit of er nu 6, 8 of 27 karakters zijn. Er is namelijk niemand geinteresseerd in je wachtwoord, het is enkel een tool om andere data van jou te stelen.

Trouwens: woorden in een zin zijn ook niet zo slim. Ga jij voor elke site een andere zin onthouden? Of zit er een patroon in? Ook gevaarlijk. En jij kent HEUS geen 100k woorden. Als jij meer dan 10.000 woorden kent, ben je al een uitzondering/ Je gebruikt ongeveer 5.000 woorden in je privésfeer. In de selectie van je wachtwoord, zal de kans heel groot zijn dat je frequent gebruikte woorden zal selecteren. Battery Horse Staple Correct? Dat zijn héél gewone woorden. Niet zoiets als "onomatopee"... Dus opeens zijn de combinaties al veel minder.

[Reactie gewijzigd door ? ? op 24 november 2014 21:09]

En dan vervang je sommige letters voor een cijfer of een leesteken (bijv. de i voor !, en de 0 ipv o) :)
Het probleem daarmee is dat het standaard vervangingen zijn. Iedereen komt zulke cijfers/leestekens omdat het woord nog zo lekker l335b@@r is. Password crackers schijnen ook dit truukje te kennen.
Je kunt beter de o door een 3 vervangen en de i door een %.
Beste is: lange wachtwoorden.
Sterker nog, in een dictionary bruteforcer kun je zelf zulk soort vervangingen aangeven, en dus altijd de mogelijkheden uitbreiden.
Maar dat betekend niet dat het geen nut heeft.

Stel we hebben een woorden lijst met 3 woorden.

aap
noot
mies

Deze drie woorden combineren geeft ons 6 mogelijkheden.

Als we hier aan toevoegen dat een "o" vervangen kan worden door een 0 hebben we ineens 24 mogelijkheden. Ondanks dat we dus nog steeds een dictionary gebruiken.
Oh absoluut met je eens hoor :)

Maar veel mensen zijn in de waan dat wanneer je maar 'gekke tekens' gebruikt, je veilig bent.

Van die gedachten moeten we af. Lange wachtwoorden zijn beter, lange wachtwoorden met 'gekke tekens' zijn nog beter :)
Je zult meestal wel moeten met de debiele eisen.
Als je met een wachtwoordzin bedoelt echt een zin als wachtwoord,
Geen goed idee. zo een wachtwoord is te achterhalen mer een dictionary attack

Een wachtwoord dat bestaat uit een willekeurige reeks cijfers, lelters en andere tekens is een veel tragere brute force aanval voor nodig. (bij correcte salted en hashed opslag van wachtwoorden duurt dit te lang om bruikbaar te zijn)
Een daadwerkelijk willekeurige reeks karakters is echter niet te onthouden.... en een wachtwoord managers is niet voor alles toepasbaar of wenselijk.
edit; moet ik wel zeggen dat ik 16 karakters niet heel erg kort vind.
Realiseer wel dat een wachtwoordzin van 16 karakters een lage entropie heeft bij een dictionary-attack en dus relatief zwak is.

Kortom, een wachtwoordzin is een relatief goede methode mits de wachtwoordlengte echt lang is. Helaas accepteren de meeste websites geen lange wachtwoorden. (bijv Outlook.com max. wachtwoordlengte is 16 karakters). Nu nog even "echt lang" specificeren...
Wachtwoordzin? En dan krijg je vervolgens weer een lijst met veel gebruikte zinnen :Y)
Je kan beter een wachtwoord manager toepassen en daar wachtwoorden van c.a. 128 tekens of langer laten genereren. Lokaal de gegevens bewaren, niet via de cloud of wat voor luiheid-methodes dan ook.

[Reactie gewijzigd door BoringDay op 24 november 2014 11:11]

Gaat weinig helpen als de site waarbij je het wachtwoord gebruikt wordt gehackt.
Dat ia namelijk de insteek van de hele actie. Zorgen dat je je wachtwoord regelmatig wijzigd.
Maar dat doet toch niets tegen een hack die daarna meteen wordt gebruikt om gegevens te stelen? Het zorgt er alleen voor dat ze op de lange termijn niets kunnen, maar dat is nou juist niet waar de meeste schade wordt berokkend.
Regelmatig wachtwoord wijzigen?
Compleet zinloos het is veel belangrijker een goed wachtwoord te hebben.
De site heeft gewoon een goed encryptie systeem nodig waarbij data wordt geanonimiseerd en ook de gebruikersnaam niet te herleiden valt naar het wachtwoord/hash.
Het gebruik van hoofdletters, en cijfers maakt in de praktijk weinig uit... Ze zijn vaak nogal voorspelbaar... Hoofdletters zet men typisch in het begin, en cijfers achteraan. Met dat soort structuren in het achterhoofd, wordt het aantal te proberen tekens nauwelijks groter. Ook de e vervangen door een 3 e.d. is allemaal té simpel, en wordt dus ook uitgeprobeerd
Het aantal karakters zegt ook niet alles. Tegenwoordig gebruiken wachtwoordkrakers een woordenboek, met veel typisch gebruikte woorden. Als je dan meerdere woorden achter elkaar zet, dan lijkt het wachtwoord veilig, omdat het zo lang is, maar dat is dus illusie, omdat men gaat kraken met combinatie van woorden.

Typisch zie je dan ook dat wachtwoorden sterker worden wanneer je enkele letters van een woord weglaat. Dan valt het buiten het woordenboek, en wordt het dus moeilijker te raden...
dat is apart? mijn wachtwoord is 14 karakters lang en bij 8 geeft ie al "sterk" aan?
terwijl mijn eerste 8 karakters alleen maar cijfers en letters zijn?
Een beter advies is mijns inziens: Laat je niet hacken. Oftewel: Zorg voor adequate beveiliging en doe geen domme dingen.
Het gaat niet om beveiliging die jezelf kunt regelen. Je hebt immers vaak geen controle over de plekken waar jij je wachtwoorden gebruikt. Als die gehackt worden ben je de klos. Zeker als je overal hetzelfde wachtwoord gebruikt en dat al jarenlang doet ook.
Je hebt geen invloed hoe er met je wachtwoorden wordt omgegaan dus laat je niet hacken is een wat zinloze opmerking. Het enige dat je kunt doen is goeie wachtwoorden gebruiken, zo divers mogelijk. En zoals hier in het artikel aangegeven moet je je wachtwoorden ook regelmatig veranderen. Komt er ooit ergens een wachtwoord van jou naar boven dan zal die niet eeuwig blijven werken.
Is het trouwens nog steeds zo dat een wachtwoord onder de 14 karakters een LM hash mee krijgt en dus per definitie onveilig is?
Mijn 8 karakters zijn "sterk", misschien geen html5 supported browser?
De mijne zijn niet zo sterk, 8 karakters, Sneeuwitjeendezevendwergen ..
Maar de site accepteerde het wel.
kijk daar houden wij van, kwaliteitsgrappen. Chapeau!
Onze ictmanager kon er niet om lachen, aangezien ze inderdaad een max hadden ingesteld tot 8 tekens ...

"het past niet "
wat niet
"mijn wachtwoord van 8 karakters"

zucht en steun, maar ondertussen is het beleid wel aangepast, en is het minimaal 8 tekens, en niet hetzelfde als de afgelopen 30 dagen.
Dus wat krijg je dan: men gebruikt 1 of 2 verschillende wachtwoorden en varieert door een getal aan te passen aan de nieuwe maand/jaar oid. Nee, echt veilig zijn wachtwoorden die je echt regelmatig moet wijzigen ook niet.
idd dit; ik zit bij een bank en hun wachtwoordpolicy is zodanig vaag / strikt (zoiets als minstens 2 cijfers, maar ze mogen niet vlak na elkaar, 1 hoofdletter maar niet aan het begin, etc), zodat je niet een random password kunt gebruiken en het eigenlijk gissen is of je een volgens de bank "veilig genoeg" wachtwoord invult. Oh ja, en hij moet tussen de 8 en 12 karakters lang zijn. En je username is ook semi-random, alleen je hebt twee verschillende en het is niet duidelijk welke je moet gebruiken voor het dozijn intranet apps die in gebruik zijn.

IIG, wat er dus gebeurt is dat je alleen het laatste karakter met 1 durft te verplaatsen, elke 3-6 maanden dat je het wachtwoord opnieuw in moet stellen. En je mag nooit een wachtwoord opnieuw gebruiken.
Dat doe ik hier ook... zit ondertussen op wachtwoord + 12.
Wel handig om bij te houden hoe lang je al voor je baas werkt :P
Een collega van me vond de beste truck: Seizoen+jaar. :)
En toen ik zoiets tegenkwam in een app voor selfbanking verdween die app onmiddelijk terug in de vuilbak.
Het ergste wat eens ben tegen gekomen was dat je ergens een wachtwoord van maximaal 8 tekens mocht invoeren .. Ehh what? .. Ik pass.

[Reactie gewijzigd door xoniq op 24 november 2014 09:55]

Ik gebruikte zelf tot een tijdje geleden "dezeiswelerrugsterruk" voor mijn Hotmail.
Voldoet volgens de test ook.
Maar ik verander mijn passwords sowieso regelmatig. Of omdat ik het tijd vind, of omdat ik ze vergeten ben, en een nieuwe moet aanvragen.

Voor mijn Google account is het password nu inmiddels echt bizar lang met combinaties van vroegere passwords, nieuwere toevoegingen en correcties om ze niet hetzelfde te laten zijn als eerder.

Die vergeet ik dus snel weer, en dan mag ik weer een nieuwe aanvragen.
Dat is ook een veilige manier. :+

Voorbeelden van sterk:
Probeerdezemaareenstekrakuh
Dezevindjetochechtnie

Mooie mixen van NL taal, maar verbasterd. Good luck.
"Goodluck" is dan weer minder sterk. NL taal is en blijft een goeie om je accounts te beveilgen. Zeker met wat verbasteringen en wat in accent of dialect geschreven taal.

[Reactie gewijzigd door HMC op 24 november 2014 08:41]

Maar hoe weet jij dat als je ergens dat wachtwoord intypt, de site het niet ergens plain text opslaat?
Vanaf dan is je wachtwoord gewoon te lezen voor elke hacker. En als je het dan ergens anders gebruikt hebt...
Wat een dooddoener zeg. Sjonge jonge.
Nou hier dan: Ik hoop dat Google en Microsoft, je weet wel, die best wel grote bedrijven, dat niet doen. 8)7
Dat weet je niet, daarom altijd unieke wachtwoorden gebruiken.
NIemandweetdatikrepelsteeltjeheet?
Wat was dat wachtwoord, kan ik hem ook even proberen :+

/ einde social engineering grapje. ;)
Hij is makkelijker dan je zelf denkt, meer zeg ik niet. :p
Hij is makkelijker dan je zelf denkt, meer zeg ik niet. :p
Bovenstaande quote als wachtwoordzin is sterk volgens de website :)
Ik heb een wachtwoord van 16 karakters, en volgens die website staat hij te boek als 'zeer zwak' ondanks onregelmatig gebruik van hoofdletters, kleine letters, cijfers en leestekens. :') Yeah right.
Nou maak je me wel hééééél erg nieuwsgierig! Wat is dat wachtwoord dan?
Je wachtwoord kan ergens in een database of dictionary verschenen zijn. Misschien is het juist een goede test...
Op mijn oude werk ook
Wachtwoord moet voldoen aan:
  • minimaal 8 karakters
  • geen bestaande woorden
  • minimaal 1 hoofdletter, 1 kleine letter, 1 leesteken en 1 cijfer.
  • Elke 3 maanden een nieuwe, die niet op de oude lijkt.
Gevolg: Bij 90% staat het wachtwoord ergens binnen 1 meter van de computer op een papiertje. Meestal een post-it op de monitor.
Hoe checken ze dat een wachtwoord niet op de oude lijkt? Lijkt op een serieus beveiligingsprobleem als ze de database te pakken hebben, je kunt namelijk moeilijk wachtwoorden vergelijken of ze op elkaar lijken als ze encrypted zijn.
Geen idee hoe ze het doen. Maar 1 cijfertje veranderen geeft een foutmelding.
Bijvoorbeeld van "WachtWoord-01" naar "WachtWoord-02".

Van 1-1EenEen naar 2-2TweeTwee mocht wel O-)
Dat betekent dat ze de oude wachtwoorden ongehashed opslaan. Dat is een groot potentieel probleem dat zo'n strakke wachtwoordpolicy niet gaat oplossen.
Meestal moet je bij het opgeven van je nieuwe wachtwoord ook je oude opgeven. Die hebben ze op dat moment dus gewoon in plain text beschikbaar.
+2. Is overigens wel een ander probleem mee: client trust. Als server die de nieuwe hash van de client ontvangt moet je maar geloven dat die client inderdaad het oude en het nieuwe password vergeleken heeft.

Er zijn theoretisch gesproken hashing schema's mogelijk waarin de client naar de server kan bewijzen dat er inderdaad 2+ karakters veranderd zijn, maar we hebben daar nog geen praktisch bruikbare implementaties van.
Misschien is het meer richtgeving dan dat dit geautomatiseerd is.
Dit. Teveel eisen en mensen schrijven het op. En dan voor onderliggende systemen 'welkom01' voor iedereen en die kan je dan weer niet te veranderen...
Helemaal mee eens, heb ook heel veel wachtwoorden, hier in Duitsland ook bij elke bank krijg je een klantnummer met een moeilijk wachtwoord voor internetbankieren (niet te wijzigen) en ja nu staan ze inderdaad allemaal op een papiertje.

Als bedrijven allemaal onderling eigen regels verzinnen voor een wachtwoord of ze zelf maken en opsturen dan is het te verwachten dat de klanten ze op gaan schrijven of naar zichzelf emailen, of als tekst document op de dekstop zetten.
Keepass, kan je per site de gegevens opslaan, en evt via autotype laten invoeren.

Van mijn site's tot aan DigiID, alles staat in die database, en is bereikbaar via al mijn apparaten.
Och, dat mensen een briefje hebben met hun wachtwoorden is voor vervelend voor hun privacy tegenover de famlie/collega's/etc. in de buurt van dat briefje. Boevengespuis dat je wachtwoord wil weten is meestal niet het type dat je huis binnenbreekt op zoek naar post-it velletjes..
Helemaal mee eens, heb ook heel veel wachtwoorden, hier in Duitsland ook bij elke bank krijg je een klantnummer met een moeilijk wachtwoord voor internetbankieren (niet te wijzigen) en ja nu staan ze inderdaad allemaal op een papiertje.
Nou, bijna elke bank dan.

Ik ken ook een Duitse bank waarbij het login hetzelfde als het oude nationale rekeningnummer en het wachtwoord is een code van precies vijf tekens, waarbij je gelukkig wel cijfers en letters (verschil in kleine en hoofdletters, maar geen leestekens) kunt gebruiken.

Voor het doen van een overboeking heb je dan een uniek getal nodig, dat staat op een brief die de bank je toestuurt per 100 stuks.

Niet echt een perfect veiligheidsconcept, lijkt me.
Ik vraag me altijd af, ook bij sites als Ebay, hoe weten hun dat een nieuw wachtwoord op een eerder ingevoerd oud wachtwoord lijkt?
Bedoel, als je het netjes (met een salt) gehashed hebt opgeslagen, dan is 1 letter/cijfer verschil al een totaal andere hash en niet te vergelijken.
Krijg ik dan de kriebels van als ik zo'n melding krijg.
Ik vraag me altijd af, ook bij sites als Ebay
Ik vraag me af waaom je bij een site als Ebay geen spaties in je wachtwoord mag hebben ... 8)7
Wat ik niet snap, is dat soms bij beveiligingsapparatuur (CheckPoint VPN...) je maar een wachtwoord van maximaal 8 tekens, zonder speciale tekens kan ingeven.

In België is ook Telenet een voorbeeld daarvan (of toch de laatste keer dat ik dat controleerde, een paar maanden geleden).
Ja, vindt je het gek? Je kunt ook niet van mensen verwachten dat ze lange op jibberisch lijkende wachtwoorden kunnen onthouden, zeker als men zegt dat er geen bestaande woorden gebruikt mogen worden... Ik ben geen machine, ben al blij dat ik mijn pincode en de code van het alarmsysteem uit mijn hoofd ken..
Gevolg: Bij 90% staat het wachtwoord ergens binnen 1 meter van de computer op een papiertje. Meestal een post-it op de monitor.
Beter op een post-it dan vanaf een afstand via internet uit te lezen. Maar verder is het inderdaad een zwak punt in de beveiliging. Overigens hangen er niet alleen post-its als het wachtwoord moeilijk is. Ook als het vaak veranderd moet worden bijvoorbeeld. En sommige mensen hebben het er gewoon hangen.
Misschien voor post-its en dergelijke ook eens regels op gaan stellen binnen het bedrijf.
Dus? Liever een collega op je laptop dan een hacker.
klopt .alleen zit je ook nog met keyloggers. kan je 500 tekens ww hebben met hoofdletters en kleine letters door elkaar. en letter is cijfers en tekens veranderen. binnen 1 min hebben ze het toch wel weer. en helaas word daar weer heel weinig aandacht aan besteed terwijl het wel een groot probleem is.
Want bedrijfsgegevens kunnen niet door een collega worden gejat? Of bedrijfsspion?

[Reactie gewijzigd door Martinspire op 24 november 2014 09:32]

Op sites waar het mij niet zoveel boeit gebruik ik stiekem hetzelfde wachtwoord. Op mail accounts 2-factor authenticatie en op alle andere sites gewoon een random wachtwoord wat uit 1password komt rollen.

Je zou toch verwachten dat zo'n site niet nodig is bij het tweakers publiek. Wat is het aantal gebruikers dat het afgelopen jaar bijv. zijn wachtwoord niet veranderd heeft?
Password veranderen is onnodig bij het merendeel van de sites... Er is echt niks aan de hand als iemand mijn Tweakers password kraakt. Dus ook geen reden om dat hard aan te passen.
We moeten niet gaan doen alsof alle sites even belangrijk zijn.
Vergeet niet dat die ‘iemand’ dan ook gewoon uit jouw naam op Tweakers mensen kan uitlokken, oplichten, bedreigen als jouw account gehacked wordt en je password wordt gekraakt. Gaat niet alleen om hoeveel gegevens beschikbaar zijn, maar ook wat iemand uit jouw naam kan aanrichten wat voor anderen legitiem lijkt.

Laatst nog een documentaire over gezien, een tiener meisje waarvan haar account werd gebruikt voor mensen omlaaghalen, stalken e.d. en die krijg er behoorlijk wat gedonder zijn.

Het is wel een uiterste situatie, maar het KAN voorkomen.
Ik doe precies hetzelfde. Ik gebruik mijn geheugen liever om dingen te onthouden die wel relevant zijn. Alsof je veilig bent met alleen een goed wachtwoord ...

Je hebt nog keysniffers. Websites die je wachtwoord niet encrypteren en vervolgens gehackt worden.

Het enige wat een beetje veilig is, is 2-factor authenticatie met een smartphone. Of nog beter, zo'n random reader systeem.
Websites die je wachtwoord niet encrypteren en vervolgens gehackt worden.
Kerel .. Dat is nou juist het hele nut ervan!
Als een website je wachtwoord plain-text opslaat, en gehacked wordt, en je hebt hier een losstaand wachtwoord die je bijhoud in een wachtwoorden applicatie, en je gebruiker losse wachwoorden voor losse websites, zal dit ene wachtwoord niet toegang verschaffen tot je accounts op andere sites.

Ik heb wel voor elke site een ander wachrwoord en waar mogelijk 2-factor authenticatie.
Elke app sla ik ook op in 1password op mijn mobiel en laptop met extensies voor automatisch inloggen zodat ik die wachtwoorden niet hoef te onthouden.
hier is er alvast één :D
Specificeer "zijn wachtwoord"?

Ik heb er al zo'n 50 in Securesafe staan, dan nog apart degenen die rampzaliger zouden zijn indien gehackt (bank, paar mailadressen en nog een paar)

De tweede categorie verander ik vaker, maar ook niet strucureel, de eerste boeit me niet zo, als iemand onder mijn naam hier op tweakers gaat posten, gaat de kwaliteit alleen maar omhoog 8-)
ik. en gebruik vaak de zelfde. ja is slecht. maar als ik mijn inlog history van bv WoW en Gmail en mijn hotmail bekijk is er 1 keer via gmail ingelogd uit de omgeving van japan. maar dat was tevens de tijd dat gmail gehackt was. dus had het ww alsH0LL3B0lleGijsGinguitEteninmastrichtop19-11-1976 ook weinig effect gehad.
Leuk dat jullie mensen bewust maken van een goed en veilig wachtwoord. Maar daarbij vergeten jullie volgens mij iets heel belangrijks. Heel veel mensen HEBBEN een veilig wachtwoord, maar kunnen dit NIET GEBRUIKEN. Dit komt omdat er nog steeds websites en instanties zijn, die bijvoorbeeld een fwslash of backslash in een wachtwoord NIET ACCEPTEREN en daardoor een foutmelding geven. Zelfs gewone koppelstreepjes en teksthaakjes (-) geven vaak een foutmelding. De wil bij gebruikers is er wel, maar in denk dat een groot deel van het probleem bij de websites en instanties ligt. Ik vind dat jullie hier minstens evenveel aandacht aan moeten schenken.
Ook heb je veel sites die een maximaal aantal karakters toestaat.
Ja klopt helemaal. Ik kom wel eens op sites waar je slechts tussen de vier en acht tekens mag gebruiken.
Dit komt natuurlijk ook omdat de verschillende platformen gebruik maken van de betreffende passwordrules die bij dat specifieke platform worden gefaciliteerd. Als vervolgens een beheerder of security administrator daar bovenop zijn eigen regels definieert... Nou dat maakt het voor de eindgebruiker er niet bepaald makkelijker op.
Het is onzin dat veel mensen een veilig wachtwoord hebben. Het is vele malen bewezen in onderzoeken dat mensen vaak te simpele en generieke wachtwoorden gebruiken. Er zijn waarschijnlijk maar enkele mensen die tegen jouw probleem aanlopen.
Hoewel ik het met je eens ben dat dergelijke beperkingen zeer storend zijn, is het natuurlijk wel erg onveilig om hetzelfde password op meer dan één plek te gebruiken. Als je een veilig password hebt, dan heb je in feite geen veilig password omdat je dat 'veilige' password op meer dan één plaats gebruikt.
Goeie actie!

Op die website bij wachtwoord hulpen staat bij ondersteunde platformen nergens Linux bij. Ik weet uit ervaring dat in ieder geval Lastpass wel degelijk op Linux werkt. Het is namelijk gewoon een Browser plugin die zowel voor Google Chrome en Firefox beschikbaar is.

[Reactie gewijzigd door InflatableMouse op 24 november 2014 07:48]

Lastpass heeft eerder last gehad van een lek. Zou daarom voor Linux KeePass gebruiken, eventueel in combinatie met browser plug-ins/apps.
Lastpass had zelf geen lek, het waren de bookmarklets die het mogelijk maakte om wachtwoorden te achterhalen. Dat is gefixed.

Omdat het een lek heeft gehad betekent niet dat je het meteen niet meer kan gebruiken of zo hoor. Alles heeft wel een lek het is alleen een kwestie van tijd wanneer het naar buiten komt.

For all you know heeft Keepass ook al jaren een lek is het alleen nog niet bekend. Zou zo maar kunnen dat je dat volgende week ineens op Tweakers leest dat het ook al jaren misbruikt wordt.

Als je niets kan/wil gebruiken dat een lek heeft moet je je computer weggooien. En je telefoon. En je tablet. En je Smart TV. En je router. Je modem.....
Omdat het een lek heeft gehad betekent niet dat je het meteen niet meer kan gebruiken of zo hoor.
Deze uitspraak vind ik voor een oplossing waarbij credentials centraal worden opgeslagen wel wat dubieus. Bij Lastpass zijn wel vaker vragen gesteld of hacks vermoed. Een enkel geval (waarbij Lastpass overigens vermoedde dat er uiteindelijk niets gestolen is) is vermeld in dit interview

[Reactie gewijzigd door Bor op 24 november 2014 08:52]

Ja dat klopt, maar de wachtwoorden zijn geencrypt en salted opgeslagen dusdanig dat brute force onder normale omstandigheden niet meer realistisch is. Het master wachtwoord kunnen ze dus wel vergeten.

Waar ze mogelijk wel wat aan hebben is de login naam en email adres en als dat dan een simpel wachtwoord op zit, zou het te raden zijn. Ook daar is wat aan te doen, 2-factor authentication maar ook ip adressen of landen van waar je mag inloggen op je account. De kans is groot dat je daarmee dus ook voorkomt dat zelfs als ze je wachtwoord hebben, ze niet kunnen inloggen. Ze kunnen dan het ip adres waar ze vandaan komen gaan spoofen, maar tegen die tijd heb jij een emailtje met een warning zodat je actie kan ondernemen.

Maar dan komen we op het volgende punt: wat voor een ongelovelijke oelewapper ben je als je een tool als lastpass gebruikt en daar dan een simpel te raden wachtwoord op zet?

Het grootste probleem is dan dus niet Lastpass of om het even welke andere password manager, maar de gebruiker zelf. Daarmee zeg ik niet dat het geen probleem is dat ze bij Lastpass mogelijk binnen zijn gekomen en dat er mogelijk gegevens zijn gestolen. Dat is niet goed. Wat wel goed is, is hoe Lastpass hiermee om gaat. Hoeveel berichten hebben we het afgelopen jaar gezien over hacks en leaks, en hoe vaak heeft het veels te lang geduurd voordat het getroffen bedrijf hier actie op had ondernomen? Vaak werd het nog dagenlang ontkend.

Ik ben dus van mening dat je bij Lastpass helemaal niet zo slecht zit als dat sommige mensen je willen doen geloven. Ze handelen snel, ze zijn open maar zoals met alle dingen, veel hangt af van de gebruiker en hoe hij met zijn wachtwoorden en credentials omgaat.

Simpele tips:
gebruik een lang, random, sterk master password
installeer de (lastpass) plugin alleen op vertrouwde pc's
log niet in op de lastpass website op niet-vertrouwde pc's. Ik log dan in op de lastpass app op m'n mobiel en typ het over. lastig soms, maar beter dan het alternatief
gebruik sterke, random wachtwoorden, niet verzonnen maar gegenereerd!
gebruik wachtwoorden die lang zijn, 24 characters of zo, of zo lang als de website ondersteunt
vul je credentials niet in als mensen over je schouder staan mee te kijken.
run de lastpass security check en negeer de waarschuwingen die er uit komen niet! als je 60 of 70% haalt is het niet genoeg!

Last but not least, als er een vulnerability is op een webserver waar je een account hebt, denk niet het zal wel, nee wijzig je wachtwoord. Tijdens de heartbleed en bash vulnerability, heb ik meerdere keren achter elkaar al mijn wachtwoorden (100+!!) gewijzigd naar nieuwe, random passwords.

Ik begrijp mensen niet die er zo lakoniek over doen. Ach is maar een forum account, het is maar dit, het is maar dat. Schijnbaar hebben ze geen idee hoeveel schade er aangericht kan worden met zo'n forum account en hoe ongelovelijk je in de problemen kan komen. Al heb je nog nooit gepost en heb je alleen maar een account om te kunnen zoeken op een site, als er met dat account ineens kinderporno gepost wordt staan ze mischen wel dezelfde dag aan jouw deur! En hoe ga je dat uitleggen dan? De gevolgen zijn niet te overzien.
Random wachtwoorden in een cloud service stoppen, die er op willekeurige momenten uit kan klappen / totaal mee kan stoppen, lijkt mij dan wel weer wat riskant. Daarbij is het feit dat KeePass open-source (en dus gratis) is voor mij erg belangrijk. Maar goed, ieder zijn voorkeur. Ik kan me voorstellen dat Lastpass wat meer usability biedt.
De plugin in een browser en de mobile app werken ook offline met gecachte data.
Ah, dat scheelt al. Echter, stel dat Lastpass abrupt haar dienst beëindigt, is het dan ook mogelijk deze cache over te hevelen naar een ander systeem / password manager?
Ja, een export is mogelijk naar csv. De gein is wel dat de wachtwoorden er gehashed/versleuteld in staan en ik moet eerlijk bekennen dat ik niet weet hoe dat werkt als je het wil importeren in KeePass bijvoorbeeld.

[Reactie gewijzigd door InflatableMouse op 24 november 2014 13:43]

Dan moet het ook aantoonbaar zijn, je kan niet op basis van een account iemand beschuldigen. Er zijn dan feiten nodig en er bestaat nog iets als log-systemen (website, computer, modem/router, provider), (ip-adres, mac-adres, datum ect) . Er valt dan ook niks uit te leggen er valt alleen maar iets aan te tonen wat op feiten gebaseerd moet zijn.
Neem aan dat je het over misbruik van een gehacked account hebt. Compleet offtopic maar here goes ...

Tuurlijk moet er bewijs boven water komen voordat iemand schuldig bevonden kan worden maar daar gaat een heel proces aan vooraf waar je verwikkeld raakt. Voor de meeste mensen is de schade dan al geleden. Het feit dat je je moet verantwoorden, mischien je pc (tijdelijk) moet afstaan aan de recherche, mogelijk in een strafproces verwikkeld raakt ... heb je enig idee wat dat alleen al met mensen doet? Het feit dat je daar als onschuldig bevonden persoon uiteindelijk vanaf komt doet dan niet meer ter zake.
Sommigen leren enkel op basis van harde lessen :).
Overdrijven is ook een vak.

Genoeg log files om na te gaan waaruit snel dingen al naar boven komen of het wel of niet klopt.

[Reactie gewijzigd door BoringDay op 24 november 2014 18:50]

KeePass wordt tegenwoordig aangevallen door Citadel: http://arstechnica.com/se...victims-master-passwords/. Zou daarom Mitro gebruiken, maar dat is vooral omdat ik benieuwd ben naar hoe dat werkt :Y)
Buiten dat dit (redelijk) op te lossen valt met 2-factor authentication, is dit vooral een probleem voor de Windowsversie :)
Uh ja, wat wordt er níét aangevallen door malware tegenwoordig? Als je een keylogger op je PC hebt ben je sowieso niet meer veilig. Dat lijkt me geen reden om te wisselen van password manager, eerder een reden om niet zomaar alle .exe's uit te voeren.
Goede! Heb ik even toegevoegd.
Wanneer is het Stop Met Rare Wachtwoordeisen Dag? Veel sites stellen eisen aan je wachtwoord, maar dat werkt vaak contraproductief. Hoe meer eisen worden gesteld, hoe korter het lijstje voor de brute force hackers.

De Kamer van Koophandel maakt het brute force hackers erg gemakkelijk:
- Het wachtwoord moet minimaal 6 en maximaal 10 tekens hebben.
- Het wachtwoord mag geen twee aangrenzende cijfers bevatten, cijfers moeten van elkaar gescheiden zijn door een letter.
- Het wachtwoord mag niet met een cijfer beginnen.
- Het wachtwoord mag alleen uit letters en cijfers bestaan.

[Reactie gewijzigd door StephanVierkant op 24 november 2014 07:54]

Precies. Ik had veel liever gezien dat T.net daar meer inhoud aan zou geven. De gebruikers aansporen tot een ww wijziging lijkt heel nobel maar is ook een beetje een open deur. Als T.net echt iets wil verbeteren hamer dan op die belachelijke en onnodige eisen (en soms zelf beperkingen) van wachtwoorden.
Alles in stapjes. Geduld :)
Eerst geven we spijkers en volgend jaar de hamer?

(ik steun de actie overigens van harte maar ik heb iets minder vertrouwen in het OM als het gaat om IT)
Ja idd.
Ook heel vervelend dat ik op sommige site bij de 2e (controle)invoer niet kan plakken.
Een supersterk wachtwoord intypen gaat me dan weer net even te ver.
Die mensen begrijpen weinig van entropie. Die denken: een wachtwoord van 10 tekens met zoveel gekke tekens op die en die manier heeft een hoge entropie. Ja, dat is zo, als niet iedereen dat patroon volgt. Omdat het een ongewoon patroon is. (Als iedereen sAdms9sxwCcYwdSkeYwx als wachtwoord gebruikt, wat op zich een prima wachtwoord is, gaat de veiligheid er toch niet echt op vooruit.. :) )
Ik heb nu een ratjetoe aan wachtwoorden, wat het onthouden er niet makkelijker op maakt ;) .. Mijn idee was nu als volgt:

- één basiswachtwoord, van genoeg tekens, een hoofdletter en inclusief een cijfer en raar teken
- één letter die steeds per site verschilt en refereert aan de site

Bijvoorbeeld:

Bladieblatra21!T voor Tweakers,
Bladieblatra21!G voor gmail,
Bladieblatra21!R voor Runkeeper,
etc.

Wat denken jullie, zou zoiets een risico vormen? Maakt het wel een stuk makkelijker om verschillende wachtwoorden te hebben per site en toch maar één woord moeten onthouden...
Qua lengte zit je goed in het geval je ww lekt in gehashte en gesalte vorm.

Het grootste risico zit in het gevaar als je wachtwoord plain-tekst lekt door een brakke website (en die zijn er nog best wel veel), een keylogger of een wormpje die bijvoorbeeld je wachtwoorden uit je filezilla.xml vist.

Het laatste teken matchen met de de beginletter van de domeinnaam komt is vrij snel te herkennen/testen voor degene die je plaintekst ww heeft.

Je moet daarom nog iets toepassen wat minder voor de hand ligt. Bijvoorbeeld positie x van het wachtwoord voorzien van de eerste letter van de domeinnaam extensie waarbij positie x de lengte is van de domeinnaam:

Bladieblntra21!T voor Tweakers = 8 ->.net = n

Andere (stuk simpelere) variant is het aantal tekens of de beginletter van de extensie toe te voegen op een vaste plek:

Bnladieblatra21!T

[Reactie gewijzigd door -RetroX- op 24 november 2014 09:16]

Dat is wel een goede tip.

NB: Volgens de genoemde site is mijn wachtwoord, bestaande uit 12 karakters waarvan 1 hoofdletter, 1 speciaal teken en 1 cijfer, nog altijd 'zeer zwak' en van hetzelfde niveau als 'welkom123' .. Terwijl het wachtwoord wél aan alle genoemde 'tips' voldoet. Gaat dus ergens iets mis, of bij de tool of bij de tips ;)
Helaas wordt die methode vaker gebruikt en zal dus intussen ook wel bekend zijn bij crackers.
Dus als dan 1 "sterk" wachtwoord gecompromitteerd is (bijvoorbeeld door slechte beveiliging van 1 site) dan kunnen ze gemakkelijk bij je andere accounts komen.

Dus echt veilig is het niet in mijn ogen.
Het zou beter zijn de variabele ergens midden in het basis deel te zetten. Achteraan varieren is té standaard, en dus makkelijk uit te proberen.
1 2 3 ... 11

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True