Over wachtwoordsterkte...

[fibrbuzz1]

Klopt wat in deze xkcd staat? Ik heb er wel eerder van gehoord... https://xkcd.com/936/

Dus als je moet kiezen tussen pakweg, "f1tn3ss2xw33k%%" of "fitnessdoeikelkeweekminstenstweekeer" dan is de tweede véél sterker?

[Stroper]

Als je het wil kraken met brute force wel
https://howsecureismypassword.net/
33 miljoen jaar vs.688 noniljoen of zoiets

Vgl het met getallen, er zijn slechts 10 getallen als je 2 cijfers gebruikt zijn er 10 mogelijkheden gebruik je cijfers dan zijn het er ineens 10x zoveel oftwel honderd.
Als je weet dat je wachtwoord kan bestaan uit hoofdletter, kleine letters, cijfers en speciale tekens dan is elk teken dat er bijkomt gelijk aan meer dan 60x keer zoveel mogelijke combinaties.

[cloink]

Klopt in principe, maar let op met echte woorden (i.f.v. dictionary attacks). Dialect should be fine.

[selder]

Als je het wil kraken met brute force wel
https://howsecureismypassword.net/
33 miljoen jaar vs.688 noniljoen of zoiets

Vgl het met getallen, er zijn slechts 10 getallen als je 2 cijfers gebruikt zijn er 10 mogelijkheden gebruik je cijfers dan zijn het er ineens 10x zoveel oftwel honderd.
Als je weet dat je wachtwoord kan bestaan uit hoofdletter, kleine letters, cijfers en speciale tekens dan is elk teken dat er bijkomt gelijk aan meer dan 60x keer zoveel mogelijke combinaties.

Maar dat is net waar de XKDC over gaat ... Je focust beter op de lengte van je password dan op een kort password met extra karakters erin. Een lang password met speciale tekens is misschien dan nog wat beter, maar dat onthoudt niemand...

[heist_175]

maar dat onthoudt niemand...

Passwordmanager?
Beveiligd met een lang, onmogelijk paswoord, maar dat is er dan maar 1tje dat je moet onthouden

[boonpwnz]

maar dat onthoudt niemand...

Passwordmanager?

Vind dat persoonlijk niet handig.

Heb vaak dat ik een toestel heb waar ik dat master passsword moet voor onthouden en het dan niet mee heb op een blaadje...

[8balljunkie]

Ik gebruik ook wachtwoord managers voor al mijn wachtwoorden + two factor auth. waar mogelijk.

Soms vraag ik mij af als websites regels opleggen voor wachtwoorden dat het voor hackers niet gemakkelijker wordt.
Als je weet dat een wachtwoord minstens 8 tekens, een hoofdletter en een cijfer bevat, dan kan je toch een gerichtere rainbow table aanleggen of ben ik hier mis.

[selder]

Het ergste waren nog websites waar je maar een bepaald _maximum_ aantal tekens kon gebruiken - al zijn er zo niet veel meer tegenwoordig...

[ubremoved_539]

Telenet kapte vroeger zelfs gewoon het paswoord af na het achtste karakter dacht ik.

Secretpassword45454548578878 was dus hetzelfde als Secretpa

[cloink]

+1 voor een password manager (persoonlijk vind ik LastPass echt top). 1 (lang) paswoord onthouden lukt me nog net en meeste toestellen is dat zelfs niet nodig door fingerprint scanner op zowel laptop als smartphone.

[fibrbuzz1]

Maar dan mag je zo niet paranoide zijn als ik , want stel... dat de server van de password manager gehackt wordt? Dan hebben ze ineens toegang tot álles, of? En dan geef je je wachtwoord van gmail, paypal, etc... eigenlijk "uit" aan een bedrijf of zie ik het fout? :/

[butskristof]

Hangt er van af hoe je data gesynct wordt. Als het een clouddienst van de softwaremaker zelf is wel. 1Password bijvoorbeeld synchroniseert bv gewoon via iCloud of Dropbox, waarin hij dan een encrypted container maakt.

[iceke]

Maar dat is net waar de XKDC over gaat ... Je focust beter op de lengte van je password dan op een kort password met extra karakters erin. Een lang password met speciale tekens is misschien dan nog wat beter, maar dat onthoudt niemand...

Is dat nu niet juist de bedoeling... dat je het niet kan onthouden ?

[selder]

Euh .. lees de comic dan nog eens opnieuw

Een kort password met allerlei rare tekens is moeilijk te onthouden en is niet eens zo veilig.
Een lang password zonder speciale tekens maar met woorden die je gemakkelijker onthoudt is veiliger dan dat korte password.

[bollewolle]

Het ergste waren nog websites waar je maar een bepaald _maximum_ aantal tekens kon gebruiken - al zijn er zo niet veel meer tegenwoordig...

Net vandaag van SAP een email gekregen dat ze (voor hun s-users) vanaf 1 november gaan afstappen van de verplichte exact 8 karakters lang Maw, zelfs zeer grote software bedrijven hanteren dit op dit moment nog altijd. Als je dan weet dat aan die s-users al je certificaten hangen en ook al de toegangen tot de backend van je klanten snap je wel dat het tijd werd dat ze hun password policy eens gingen aanpassen

[iceke]

Euh .. lees de comic dan nog eens opnieuw

Een kort password met allerlei rare tekens is moeilijk te onthouden en is niet eens zo veilig.
Een lang password zonder speciale tekens maar met woorden die je gemakkelijker onthoudt is veiliger dan dat korte password.

Yup, en dan ga je natuurlijk overal hetzelfde ww gebruiken....
Dan heb ik liever een moeilijk wachtwoord van 8 karakters dat voor elke site anders is en dat je opschrijft of in een password manager dumpt.
fitnessdoeikelkeweekminstenstweekeer gaat 8/10 keer toch niet lukken Fitnessdoeikelkeweekminstenst2keer 9/10 wel en dan raak je gefrustreerd en val je terug op je oude gewoonten of erger... je vergeet het en mag je oude wachtwoord niet meer gebruiken en dan kan je binnen de kortste tijd naar de Kinesist (Fitnessdoeikelkeweekminstenst3keer,Fitnessdoeikelkeweekminstenst4keer,Fitnessdoeikelkeweekminstenst5keer )

[xayana]

Manmanman... https://howsecureismypassword.net/ is zóóóó cool
Straks maakt daar iemand een kloon van en kan paswoorden beginnen farmen
Mijn eerste stap was dus checken wat er met mijn ingetikte 'paswoord' gebeurde.

[CCatalyst]

De man die de oorspronkelijke guidelines uitgevonden heeft van hoofdletters, kleine letters, speciale tekens, cijfers, etc, heeft er spijt van en staat er niet meer achter.

Het zal natuurlijk helaas nog jaren duren eer dat doorsijpelt bij de banken en de andere instellingen die het meeste nood hebben aan goede paswoorden.

Die howsecureismypassword moet je wel met een korrel zout nemen. Ze lijken uit te gaan van scenario met massa's krachtige GPU's etc, en dat is niet voor iedereen weggelegd. We weten ook niet wat er precies gekraakt wordt in dit scenario, want als het bv WPA2 paswoorden zijn dan gaat het nog een pak trager gaan omdat de SSID telkens in de passphrase hash geseeded moet worden. Soit, leuk ding, maar niet echt indicatief.

[ITnetadmin]

Uiteraard gaat niet iedereen akkoord met die xkcd cartoon. Ik geloof dat Bruce Schneier bv dit geen goed idee vindt, en meer entropie ziet in de "maak een zin en gebruik de eerste letter van elk woord" techniek.

Het probleem is uiteraard dat mensen niet random zijn. Als je geen random woorden gaat kiezen, maar woorden die bij mekaar horen, of zelfs woorden uit je eigen leven (dus bv de namen van je kinderen), dan zijn gerichte attacks zeer makkelijk uit te voeren.

Mensen kunnen geen paswoorden onthouden die veilig genoeg zijn, en daar zit hem het probleem.
Daar bestaan pwd vaults voor, of zelfs 2FA.
Maar bij pakweg 2FA heb je dan weer allemaal verschillende implementaties, ipv de standaard te volgen; er zijn teveel proprietary apps die je niet toelaten je secret key te exporteren (ook de Authy service laat dat bv niet toe).
En het master pwd van je vault is dan weer iets dat de meesten kunnen onthouden.

En dan hebben we het nog niet over de backdoors. De "I forgot my pwd" opties, die een reset email sturen, of een birthday vragen (of van die "secret questions" die voorspelbaar zijn als je ze eerlijk beantwoord, of waarvan je allang het antwoord niet meer herinnert als je gelogen hebt).

Tenslotte zijn er nog veel te veel DBs die uw paswoord in plaintext opslaan (en emailen), of die geen salt gebruiken in de hash van het paswoord, waardoor alle identieke paswoorden ook dezelfde hash krijgen, waardoor men maar 1 keer een pwd hash moet identificeren om toegang te krijgen tot duizenden accounts.

[Tomby]

maar dat onthoudt niemand...

Passwordmanager?

Vind dat persoonlijk niet handig.
Heb vaak dat ik een toestel heb waar ik dat master passsword moet voor onthouden en het dan niet mee heb op een blaadje...

Ik snap je probleem niet. Essentie van een paswoord manager is juist dat je ÉÉN master paswoord hebt voor je gehele password manager. Het is juist de bedoeling van dat ene, moeilijke, master password te onthouden en dan overal heel moeilijke, if not random, paswoorden te gaan gebruiken. Als je dat ene master password al niet kunt onthouden, mja... Er zijn nochtans genoeg truukjes voor... Bvb: 0serbase#aster9asswordtipsRule! En paswoorden op een blaadje schrijven is al helemaal not done, en een master password al helemaal niet.

Zelf gebruik ik KeePass in combinatie met Dropbox. De database file (kdb) staat op Dropbox en is protected met master password én key file. Die key file staat enkel op mijn devices lokaal en niet in dropbox. Op die manier heb ik eigenlijk altijd overal al mijn paswoord bij mij : op mijn pc, op mijn iPad, op mijn Android telefoon...

[boonpwnz]

maar dat onthoudt niemand...

Passwordmanager?

Vind dat persoonlijk niet handig.
Heb vaak dat ik een toestel heb waar ik dat master passsword moet voor onthouden en het dan niet mee heb op een blaadje...

Ik snap je probleem niet. Essentie van een paswoord manager is juist dat je ÉÉN master paswoord hebt voor je gehele password manager. Het is juist de bedoeling van dat ene, moeilijke, master password te onthouden en dan overal heel moeilijke, if not random, paswoorden te gaan gebruiken. Als je dat ene master password al niet kunt onthouden, mja... Er zijn nochtans genoeg truukjes voor... Bvb: 0serbase#aster9asswordtipsRule! En paswoorden op een blaadje schrijven is al helemaal not done, en een master password al helemaal niet.

...

Nee nee ik heb het verkeerd geformuleerd.

Mijn probleem is dat ik soms op een plaatq kom waar ik geen lastpass bv kan gebruiken en om dan mijn wachtwoorden van sites te weten dat dat keilastig is. Daarom ben ik ervan afgestapt. Ik kom teveel op locaties waar ik dat niet kan gebruiken.

[Tomby]

Mijn probleem is dat ik soms op een plaatq kom waar ik geen lastpass bv kan gebruiken en om dan mijn wachtwoorden van sites te weten dat dat keilastig is. Daarom ben ik ervan afgestapt. Ik kom teveel op locaties waar ik dat niet kan gebruiken.

Daarom dat een paswoordmanager die je kan syncen met je telefoon zeer handig is. Die heb je normaal overal bij, dus kan je ook overal aan je paswoorden.

[selder]

Wat ben ik blij met iCloud Keychain die dat allemaal al van in macOS en iOS voor mij doet

[WalterB1]

Een vrij nieuwe, gratis, opensource, wachtwoordmanger is Bitwarden. Ben ik wel tevreden mee.

De gratis versie heeft ook ondersteuning voor 2-stapsverificatie, via google-authenticator of gelijkaardig. De betalende versie heeft nog veel meer systemen voor verificatie.

Dankzij Bitwarden gebruik ik nu zowat overal een uniek wachtwoord dat extreem veel veiliger is dan vroeger. En er zijn steeds meer websites die ook hun eigen 2-stapsverifcatie hebben;
Google, Facebook, Dropbox, mijn webhoster hostabulous,
... en CSAM werkt ook met google-authenticator

[Mr.Toma]

Wat ben ik blij met iCloud Keychain die dat allemaal al van in macOS en iOS voor mij doet

Vertel me, wat is die voordeel over andere applicaties?

[selder]

Ingebouwd in iOS en macOS, geen 3rd party software, dus geen 3rd party systeem-hooks in het OS, geen omzien naar eigelijk, beveiliging zit achter je authenticatie op je OS, geen geneuzel met updates en incompatibiliteit, geen functionaliteit die alleen in de betaalde versie werkt...

[Mr.Toma]

Bedankt voor uw informatie, ik had geen zicht op het bestaat hiervan.
Ik heb aldus de vraag gelanceerd of wij toelating hebben dit te gebruiken binnen de entreprise.

[brubbel]

Als je het wil kraken met brute force wel
https://howsecureismypassword.net/
33 miljoen jaar vs.688 noniljoen of zoiets

Wat ben ik blij met iCloud Keychain die dat allemaal al van in macOS en iOS voor mij doet

Maar nee, remote op MacOs inbreken duurt hoogstens een paar seconden
MacOS High Sierra Users: Change Root Password Now: https://krebsonsecurity.com/2017/11/mac ... sword-now/

[Tomby]

Het straffe is dat dit blijkbaar al 2 weken geleden, mogelijk onbewust, gedisclosed is op het Apple Dev forum maar het 2 weken geduurd heeft eer iemand inzag wat de consequenties zijn : https://forums.developer.apple.com/thread/79235

[brubbel]

Het toont toch maar aan dat het model met 'accounts' en 'privileged users' niet meer van deze tijd is. Hetzelfde met breaches waar miljoenen paswoorden gestolen worden. In welk universum kan het nuttig zijn een login-systeem te hebben waar je alle paswoorden (of salted hashes whatever) tegelijk wil of kan dumpen naar de buitenwereld? Security flaws by design zou ik denken. Pas op ik kan het niet beter hoor, maar ik zou bijvoorbeeld al beginnen met monitoring op database I/O om plotse onverwachte trends te blokkeren/throttlen.

[woutervh]

Het hangt er eigenlijk toch ook maar vanaf wel algoritme een computer gebruikt om een paswoord te "kraken"?
Mijn volledig uitgeschreven adres zou slechts in 640 QUINTILLION YEARS te kraken zijn. Maar als het algoritme de witte gids afloopt, zal het wel zo lang niet duren

[ubremoved_539]

Er zijn duizenden witte gidsen (en miljoenen andere boeken) in de wereld... dus waarom zou het precies die van België aflopen ?

Dictionary attacks kunnen snel zijn... als je maar de juiste dictionary hebt natuurlijk.

[JamesEarlGray]

Zélfs met een dictionary attack is het gebruik van een combinatie van doordeweekse woorden aan te raden boven de monsters met bizarre tekens die men u verplicht te bedenken.

Neem nu exact dat voorbeeld uit de XKCD-comic: die woorden zijn specifiek gekozen uit de top 2000 meest gebruikte woorden, net om aan te tonen dat zélfs met een dictionary van enkel die 2000 woorden het meer moeite zal kosten om dat wachtwoord te kraken dan om het bizarre wachtwoord intelligent* te bruteforcen.

* Intelligent, als in: met leet-speaksubstituties, variaties van hoofd- en kleine letters en de waarde en plek van cijfers gekozen volgens de hoogste verwachtingen die zijn opgebouwd naar ervaring van hoe mensen hun wachtwoorden eigenlijk op wel vrij te voorspellen wijze opbouwen.

TL;DR: Wanneer je woorden gebruikt die iets exotischer zijn dan de woorden in de top 2000 meest gebruikte woorden, dan maakt dat je wachtwoord nog eens stukken veiliger.

Goed kijkvoer: How to Choose a Password - Computerphile

[ITnetadmin]

TL;DR: Wanneer je woorden gebruikt die iets exotischer zijn dan de woorden in de top 2000 meest gebruikte woorden, dan maakt dat je wachtwoord nog eens stukken veiliger.

Op voorwaarde dat die woorden absoluut random gekozen zijn.
Woorden kiezen die met mekaar verband houden gebruiken maken je paswoord ineens veel zwakker.

Zoals alles in IT security, passwords en encryption, zijn oa "randomness" en "non-repetition" zeer belangrijke concepten.

[JamesEarlGray]

Dat is zoals zeggen dat klassieke wachtwoorden enkel sterk zijn als de *karakters* willekeurig gekozen worden.

Dat is ook geen waar, toch?

Dus waarom is dit criterium ineens zo belangrijk voor een combinatie van woorden ipv een combinatie van karakters?

Dus ofwel karakters willekeurig én woorden willekeurig, ofwel geen beider. Maar karakters onwillekeurig (en dat zou OK zijn) en dan woorden ZEKER willekeurig (want anders is het NIET OK) lijkt mij meten met twee maten en gewichten.

Allez, niet dat ik wil zeggen dat willekeur niet belangrijk is, maar ik bedoel maar: niet overdrijven, hé.

[ubremoved_539]

Dus waarom is dit criterium ineens zo belangrijk voor een combinatie van woorden ipv een combinatie van karakters?

Dan moet je kijken naar hoe dictionary attacks precies werken... of ze ook de afzonderlijke woorden gaan combineren of niet.

Je zou kunnen denken van wel maar checked men dan ook combinaties zoals Woord1@Woord2, of Woord1-Woord2, of Woord1!Woord2, ... ?

[JamesEarlGray]

Ja, natuurlijk, maar een combinatie van een klein aantal woorden is vele malen moeilijker te gokken dan bijvoorbeeld tien willekeurige tekens die op naar ervaring makkelijker te gokken zijn dan via pure bruteforce-methodes omdat mensen er toch niet in slagen om willekeurige karakters te kiezen voor een wachtwoord.

Niet vergeten dat een dictionary attack gemaakt is om wachtwoorden van één of twee woorden met allerhande variaties met hoofdletters, substitutie naar elitespeak en de plaatsing en waarde van cijfers te proberen voorspellen op basis van al-opgedane-ervaring.

De pointe van die comic van XKCD is deze: aangezien mensen toch makkelijker te voorspellen zijn dan ze denken, is het nutteloos om moeilijk-te-onthouden tekens in een wachtwoord te gebruiken. Veel beter is om een (uiteraard willekeurige) combinatie van woorden te kiezen.

En hij heeft de worst-case gekozen om aan te tonen dat vier woorden wel degelijk sterker zijn: allen komen ze uit de top 2000 meest gebruikte engelstalige woorden. Als je namelijk ook maar één van die woorden vervangt door een exotischer woord, zoals een zeer regionaal woord, dialect, een naam of iets anders obscuur, dan is je wachtwoord bijna onkraakbaar.

Maar goed, strikt gezien blijft ITnetadmin zijn punt wel staan: gewoon een bekende zin of een verzameling van zeer relevante woorden is uiteraard minder veilig. Maar beeld je eens in hoeveel zinnen er bestaan in de wereld. Onnoemelijk veel.

Of tiens... is Google gewoon een zinnen-rainbowtable aan het bouwen met hun Google Books en Google Scholar?

[ubremoved_539]

Ik betwijfel of "DitIsTochWelEenHeelToffeWebsite" minder veilig is dan gewoon 31 willekeurige karakters

[ITnetadmin]

Dat is zoals zeggen dat klassieke wachtwoorden enkel sterk zijn als de *karakters* willekeurig gekozen worden.
Dat is ook geen waar, toch?

Dat is absoluut *WEL* waar, uiteraard
Enfin, ze zijn "sterker" dan wachtwoorden met niet willekeurig gekozen letters.

Dat volgt uit de standaardwetten van de encryptie.
Patronen zijn zwaktes die gedetecteerd en uitgebuit kunnen worden.
Afhankelijk van de taal die je gebruikt kan men zelfs trucs zoals frequentie analyse gebruiken om encryptie te verzwakken (bv de letter E komt het meest voor in de Engelse taal, de letter T iirc is op de tweede plaats).

Een echte random gekozen serie letters is veel veiliger dan een combinatie.
Stom voorbeeld: "azerty" of zelfs "ytreza" is veel minder veilig dan "dklgor".
En zelfs als je denkt random te zijn ben je dat niet; je bent nl vrij afhankelijk van de positie van de letters op je toetsenbord.
Je moest maar ns zien hoevaak in "random gekozen combinaties" dingen als "sdf", "jkl", etc terugkomen.

[ubremoved_539]

Ik denk dat je hier twee dingen door elkaar aan het halen bent... encryptie algoritmes kraken en wachtwoorden kraken.

Het is niet omdat men analyses doet van encryptie dat "azerty" of zelfs "ytreza" veel minder veiliger zou zijn dan "dklgor" als wachtwoord.

Wat azerty minder veilig maakt is dat het onderdeel is van een dictionary attack... maar met uitzondering van dat is het voor allen een brute force (en dan speelt gewoon de lengte van het paswoord).