Over wachtwoordsterkte...

[ITnetadmin]

De principes van randomness gelden voor zowel paswoorden als encryptie.

[ubremoved_539]

Op een cijfer tussen 0 en één miljoen... is het cijfer 111111 even random als 783245.

Het cijfer 111111 is wel eenvoudiger te raden dan 783245 op basis van een "dictionary" attack.

De randomness van encryptie staat in verband tot het algoritme... bij een paswoord is er totaal geen algoritme !

Je haalt dus twee dingen gewoon door elkaar.

[ITnetadmin]

Nee hoor.
De principes zijn hetzelfde.
Het probleem bij *alle* random inputs is dat ze even goed "1111" of "abcd" kunnen zijn, dat geldt bij encryptie ook.

Alleen zit de randomness bij woorden in het absoluut willekeurig kiezen van die woorden; als dat niet gebeurt zit er niet genoeg entropie in de selectie.
Bij het kiezen van een goed paswoord horen ook algoritmes.
Vandaar dat mensen er zo slecht in zijn.

[ubremoved_539]

En toch ben ik niet akkoord... wachtwoorden "kraak" je niet, die moet je gewoon "raden" (in tegenstelling tot encryptie).

We hebben dus een andere mening hierover.

[JamesEarlGray]

Wachtwoordsterkte gaat echter ook over het voorkomen dat je wachtwoord gekraakt kan worden.

Vandaar dat er voldoende entropie in moet zitten, zodat ze het niet met realistische middelen jouw wachtwoord kunnen kraken binnen een relevante termijn. Zeker nu je vier beesten van GPU's kan gebruiken om het bruteforcen aan uit te besteden, die kunnen bv miljarden MD5-hashes per seconde berekenen en zo gemakkelijk belachelijk grote rainbowtables van korte(re) wachtwoorden aanleggen.

[ubremoved_539]

Wachtwoorden kraak je niet... algoritmes kraak je !

Wachtwoorden kan je alléén raden... en zolang je wachtwoord lang genoeg is hebben dictionary attacks en rainbow tables totaal geen nut meer, dan blijft enkel brute force over en de regel is daar dat iedere combinatie van een groot aantal tekens even willekeurig is als een andere.

[JamesEarlGray]

Goh, semantiek mijns inziens.

Ik heb zojuist een volledige wikipediapagina geschreven die jou tegenspreekt.

Daarnaast begrijp ik niet wat je bedoelt met het kraken van algoritmes. Je kan onbedoelde zwakheden vinden en uitbuiten, (cf. SSL Heartbleed) of de wereld kan zodanig evolueren dat het algoritme niet meer relevant is (cf. MD5 dat nu niet meer kan gebruikt worden als veilige hash voor een wachtwoord, wegens veel te snel te berekenen met de huidige hardware), etc. Maar 'kraken'? Wat bedoel je dan eigenlijk?

[brubbel]

Die heartbleed was een software bug, geen fout in het SSL algoritme.

[ubremoved_539]

Goh, semantiek mijns inziens.

Nee, helemaal niet.

Ik heb zojuist een volledige wikipediapagina geschreven die jou tegenspreekt.

Alles wat op het internet staat is juist hé

Maar 'kraken'? Wat bedoel je dan eigenlijk?

Een encryptie algoritme is een complex wiskundig iets wat ervoor zorgt dat je het enkel kan omkeren indien je beschikt over de sleutel (bij een paswoord zijn er geen sleutels omdat het gewoonweg geen algoritme is maar gewoon wat karakters, daarom kan je het ook niet "kraken"). Bij het kraken van een encryptie algoritme gaat men op zoek naar zwakheden in de achterliggende wiskundige berekeningen (en dat is vaak het gebrek aan entropie of eigenlijk de random generator en de impact ervan op het algoritme) om de gegevens te ontcijferen zonder de sleutel.

Zoals brubbel trouwens al aangaf... Heartbleed heeft niets met encryptie te maken (ook al zat het in de OpenSSL implementatie), en MD5 is een hashing algoritme en heeft dus ook niets met encryptie te maken. Als je dergelijke dingen dus niet echt begrijpt zou ik me dan ook onthouden van het schrijven van Wikipedia artikels over deze materie (ik ben trouwens ook geen specialist en ga dat dus zeker ook niet doen).

[JamesEarlGray]

Ik kan je wel volgen dat je encryptie kan 'kraken' (als in: decryptie bekomen zonder over de juiste sleutel te beschikken), maar dat kan je in zekere zin ook met wachtwoorden: als de hash maar overeenkomt, dan is is het originele wachtwoord ook niet nodig. Vandaar ook die rainbow tables en het concept van hash collisions.

[ubremoved_539]

maar dat kan je in zekere zin ook met wachtwoorden: als de hash maar overeenkomt

Dat is wederom niet kraken (zoals het breken van een algoritme)... het blijft gewoon een geoptimaliseerde aanval waar je hashes gaat vergelijken (gokken dus en daarbij maakt entropie dus niets uit).

Vandaar ook die rainbow tables

Rainbow tables zijn niets meer dan pre-calculated hashes om het CPU gebruik te beperken... trouwens tainbow tables worden al snel een probleem met langere paswoorden (dan moet je al databases gaan aanmaken van verschillende TB's). Bijvoorbeeld een mixed-alpha-numeric Rainbow table voor 8 karakters is 160 GB, voor 9 karakters is dit al 864 GB. Trouwens als de paswoord hash gesalt is zoals het hoort is dit zinloos.

hash collisions.

Hash collisions hebben niets te maken met het ontcijferen van een paswoord... maar zorgen er gewoon voor dat een andere input (bijvoorbeeld het programma voorzien van een backdoor) toch dezelfde hash geeft en dus aanzien wordt als het originele. Het concept van een hash collision gaat je nooit helpen om het originele paswoord te achterhalen (in tegendeel zelfs).

[ITnetadmin]

Passwords kan je wel degelijk "kraken".
Er is niet zoveel verschil tussen een encryptie key kraken of een paswoord; beiden gaat het om patronen vinden.
Bij passwords zitten die patronen in de woorden zelf (namen van kinderen, geboortejaren, ...) of de relatie tussen de woorden.
Raden is gewoon een van de mogelijke varianten van "kraken".

[Tomby]

Wat een geleuter over de semantiek van het woordje 'kraken' ...

[ubremoved_539]

Het gaat hem niet over de semantiek... dat is een gevolg van de discussie rond entropie (die bij het kraken van een algoritme een heel andere betekenis heeft dan bij het raden van een paswoord).

Ik denk dat er ondertussen genoeg over geschreven is.