Userbase

Weet iemand of er een reden is waarom Telenet wachtwoorden minimum en ook enkel 8 karakters kunnen zijn?

Heb dit toevallig ontdekt omdat ik een ander wachtwoord gebruikte waarvan de eerste 8 karakters hetzelfde waren en dit ook werkte?!

Lijkt me wel een enorm security risk.
Enige security savvy user weet dat de lengte van een wachtwoord belangrijker is dan de complexiteit, op deze manier belet Telenet dus deze users om hun account op een goede manier te beveiligen.

Over welk "Telenet wachtwoord" heb je het?

Mijn wachtwoord voor de "Mijn Telenet" account is minstens 12 tekens lang, bevat een combinatie van hoofdletters, kleine letters, cijfers.
Telenet belet dus niet dat je sterke paswoorden gebruikt , maar laat wel toe dat je (te) korte/eenvoudige paswoorden gebruikt .

Over het mijn telenet wachtwoord, als ik hiervan de eerste 8 karakters gebruik, kan ik ook inloggen.
Dit wilt dus zeggen dat Telenet enkel de eerste 8 karakters gebruikt en de rest gewoon dropt.

Ben je zeker dat jouw browser het paswoord niet heeft opgeslagen (en dus automatisch heeft aangevuld) ?

Ik meen dat dit vroeger zelfs zo vermeld was op de website, enkel de eerste 8 karakters worden in rekening gebracht.
Tegenwoordig is dit opgelost maar als je uw wachtwoord nog niet hebt aangepast gebruik je waarschijnlijk nog dat oude systeem.

philippe_d schreef:[...]minstens 12 tekens lang, bevat een combinatie van hoofdletters, kleine letters, cijfers.[...]

Het idee een wachtwoord tekens moet bevatten buiten alle letters (van A tot Z) zoals cijfers of leestekens/speciale tekens is een misvatting die precies maar héél moeilijk weg te krijgen is. Iedereen blijft dat maar doen, terwijl een "ingewikkeld" wachtwoord met allerlei speciale tekens voor een brute-force aanval helemaal niet veiliger is dan eentje met alleen letters van A-Z. Het duurt helemaal niet langer om een wachtwoord met speciale tekens te brute-forcen dan dat het voor eentje met alleen letters duurt.

Het enige wat je met een wachtwoord met speciale tekens in bereikt is dat iemand die meekijkt als je het intypt het wat moeilijker heeft - of die nu naar je vingers of naar je scherm kijkt. Maar als je zo'n moeilijke wachtwoorden ook nog eens lang maakt, dan wordt het al snel veel te moeilijk om alle wachtwoorden van alle verschillende diensten te onthouden - een wachtwoord hergebruiken is namelijk even slecht als een kort wachtwoord.

Het enige - maar dan ook het enige - dat telt bij een wachtwoord op welke manier dan ook (*) is de lengte. Hoe langer het wachtwoord hoe beter. Of die extra tekens nu gewoon letters van A tot Z zijn of speciale tekens maakt niet uit, het enige dat telt is het totaal aantal karakters, niets anders.

De beste manier om een lang wachtwoord te verzinnen is een zin te verzinnen die alleen door jouw te gebruiken is. Bijvoorbeeld een uitspraak van vroeger, of een hoop dingen die alleen in jouw hoofd verzonnen zijn. Zo is één van mijn wachtwoorden bijvoorbeeld alle straten waar ik ooit een huis gehad heb. Dat wachtwoord is maar liefst 38 karakters lang, en omdat het gewone woorden zijn die in m'n vingers zitten kan ik dat evensnel intypen als een "moeilijk" wachtwoord met allerlei combinaties van shift en alt en what not.




* Maar een wachtwoord alleen in combinatie met een login is niet meer van deze tijd. MFA (Multifactor Authentication) is veel beter, omdat goede beveiliging van een authentication pas goed wordt als je meer dan 2 componenten gebruikt. Of die derde component nu een certificaat of een OTP of iets anders is maakt op zich ook weer weinig uit. Een authentication systeem met MFA kan je namelijk niet brute-forcen, of beter gezegd: het duurt veel te lang en is daarom niet interessant om te doen.

Ik ben het niet helemaal eens dat speciale karakters niets uithalen. De amateur brute-forcers zullen zich vooral focussen op letters en cijfers. Hoe minder karakters ge in rekening brengt om te brute forcen, hoe sneller het gaat (en er zijn toch wel bijzonder veel speciale karakters). Om niet te spreken van dictionary attacks.

Inherent veiliger: neen. Verkleint het de kans: toch wel enigszins.

Al is inderdaad een "password phrase" (liefst met hier en daar een kleine aanpassing om dictionaries te slim af te zijn) inderdaad vele malen veiliger (puur door de lengte) en een ingewikkeld kort paswoord.

Good: D1tGa1kVerzekerstNoo1tVergeten!?
Bad: &!1bC?#n

On-topic: er was inderdaad een tijd dat het Telenet paswoord maximaal 8 karakters lang kon zijn en - sterker nog - je daar niet op de hoogte van gebracht werd. Dus als je toen "D1tGa1kVerzekerstNoo1tVergeten!?" als wachtwoord gekozen had, was je eigenlijke paswoord "D1tGa1kV". Natuurlijk onvergeefelijk van Telenet. Ik dacht inderdaad wel dat dit onrdertussen aangepast was?

Blijkbaar bij bepaalde accounts dat dit nog actief is.
Ik heb met een ouder account getest (non standard password) en deze heeft dit probleem.

Daarna getest met een recent account en daar gaat het niet bij.

Een "gemiddelde" aanvaller die met brute-force probeert in te breken gebruikt hiervoor al snel een kant-en-klaar pakket/script/app/webapp, met een paar muisklikken heeft ie zo *tig dictionaires, charactersets en weet ik veel wat nog aan zijn script toegevoegd. Die gaat zich helemaal niet bezighouden met "zou ik nu speciale karakters toevoegen of niet?". Die karakters die jij aanhaalt in je voorbeelden, de zogenaamde "leet-speak", dat is ook al jaar en dag ingeburgerd, met een i door een 1 en een e door een 3 te vervangen ga je niemand verschalken hoor...

Het enige wat dus telt is de lengte, immers, per karakter dat je toevoegt aan je wachtwoord, duurt het bruteforcen ervan namelijk exponentieel langer!

Er zijn een miljard websites waar je je password kan testen, ik ben helaas de URL kwijt van eentje die ik al eens gebruikt heb, daar stond ook veel uitleg bij. Test het anders zelf eens met een paar van je wachtwoorden via https://www.grc.com/haystack.htm - zelfs m'n kortste wachtwoord met alleen A-Z tekens duurt daar 4.11 million centuries met one hundred trillion guesses per second.

selder schreef: De beste manier om een lang wachtwoord te verzinnen is een zin te verzinnen die alleen door jouw te gebruiken is.

Correct! (horse battery staple)

selder schreef: Het idee een wachtwoord tekens moet bevatten buiten alle letters (van A tot Z) zoals cijfers of leestekens/speciale tekens is een misvatting die precies maar héél moeilijk weg te krijgen is. Iedereen blijft dat maar doen, terwijl een "ingewikkeld" wachtwoord met allerlei speciale tekens voor een brute-force aanval helemaal niet veiliger is dan eentje met alleen letters van A-Z. Het duurt helemaal niet langer om een wachtwoord met speciale tekens te brute-forcen dan dat het voor eentje met alleen letters duurt.

Ik vind dat nogal kort door de bocht, en ja, ik ken ook die xkcd comic. Het lijkt me nogal evident dat een brute force attack eerst gaat proberen met de meest courante karakters, namelijk letters en cijfers, vooraleer ook speciale tekens te introduceren.

use5baz3RUL3Z : entropie 46 bits
u$e5baz3RU!3Z : entropie 56 bits

( bron: https://apps.cygnius.net/passtest/ )

EDIT: of om de door jou geciteerde password check te gebruiken (https://www.grc.com/haystack.htm). Die site zegt trouwens zelf dat hij alleen relevant is voor brute force berekening, en zeker geen paswoord-sterkte check is.

use5baz3RUL3Z : search space 2e23
u$e5baz3RU!3Z : search space 5e25

Dus jij zou bij een brute-force aanval het met de volgende volgorde aanpakken:

A tot en met Z
AA tot en met AZ
BA tot en met BZ
ZA tot en met ZZ
enzoverder tot
AAAAAAAAAAAAAAA tot AAAAAAAAAAAAB
en alles wat daarachter volgt...

Om daarna dan die hele reeks nog eens opnieuw te doen maar dan met een & en $ en # ertussen?
Gelukkig ben jij geen hacker

Iemand die zich met brute forcen bezig houdt gaat die speciale karakters er van de eerste run al bijpakken, en niet eerst een hele reeks A-Z passwords proberen om daarna de $ ! en # erbij te pakken.

Er zal wel een sweet-spot zijn, maar als je de lengte van je wachtwoord in orde hebt (dus voorbij het sweetspot, mijn gevoel zegt iets à la 16 karakters) dan maken die extra speciale karakters echt geen fluit meer uit. Wat is het practische verschil tussen “duurt 500 jaar om te brute forcen“ en “duurt 650 jaar om te brute forcen”.

Het is net door de lengte van je password dat je aan die lange tijd zit, niet door de speciale karakters.


Nu, denk er wel aan dat dit allemaal heel specifiek is, en alles wat hier gezegd is is alleen toepasbaar op brute-force, daar hebben we het over. De meeste "hacks" gebeuren op een totaal andere manier. Apple's iCloud systeem is maar moeilijk te brute forcen, maar als je niet nadenkt bij de instellingen van je account en voor de hand liggende (of beter: opzoekbare via social media of andere informatiebronnen) antwoorden bij die 3 security-vragen (waar groeide je op, waar ben je geboren) neemt, dan ben je een vogel voor de kat. Vraag maar aan half vrouwelijk hollywood die op die manier hun account gehacked hadden...

Passwords zijn maar 1 deel van de schakel, je moet de schakel uitbreiden met een derde en eventueel een vierde component. Kijk maar naar je bank met je challenge/response code of met de ITsme app. Met je wachtwoord (of het nu A-Z is of *¨°'àç(!éàç"!'( is) alleen ben je niets.

selder schreef:Het enige - maar dan ook het enige - dat telt bij een wachtwoord op welke manier dan ook (*) is de lengte. Hoe langer het wachtwoord hoe beter. Of die extra tekens nu gewoon letters van A tot Z zijn of speciale tekens maakt niet uit, het enige dat telt is het totaal aantal karakters, niets anders.

Dit klopt niet helemaal, het is een combinatie van lengte en aantal mogelijke tekens.

Het aantal mogelijkheden is zeer eenvoudig te berekenen:
(aantal mogelijke karakters)^(lengte)

Met het toevoegen van een hoofdletter verdubbel je het grondgetal, met toevoegen van een cijfer voeg je 10 bij het grondgetal en met symbolen en speciale tekens kan je het grondgetal echt zeer groot maken.
Het extra gebruik van grote letters, cijfers en symbolen (op een azerty bord) verhoogt het aantal combinaties voor een wachtwoord met 8 tekens met een factor van 88 634 (grondgetal 108 ipv 26). Als het eerste te kraken is in 5 seconden is het tweede opeens al meer dan 5 dagen.


Ja lengte verhoogt de veiligheid veel sneller, maar soms zit je met een max aantal karakters helaas.

MaT schreef:Dit klopt niet helemaal, het is een combinatie van lengte en aantal mogelijke tekens.
[...]

Dat klopt helemaal, maar een wachtwoord als er geen gebruik gemaakt wordt van andere factoren (bijvoorbeeld MFA) moet ook wel een beetje gemakkelijk in gebruik zijn. Dat vindt ik wel heel goed weergegeven in de xkcd comic. Het is immers voor een doodnormale mens veel gemakkelijker om een reeks van A-Z woorden te onthouden dan eentje met allerlei speciale tekens in: "waar stond nu weer die 1 in plaats van de i?".

Wat jij zegt is helemaal correct: maar als je in de praktijk meer gewicht geeft aan de lengte van je wachtwoord dan aan speciale tekens dan ben je veiliger bezig met een maximaal gebruikscomfort.

Vergeet ook niet dat het slechtste idee ooit is om je wachtwoorden te hergebruiken, dus hetzelfde wachtwoord op verschillende diensten gebruiken.

Ga jij al die verschillende wachtwoorden met overal speciale tekens van elke dienst onthouden? Een wachtwoord manager doet dat voor jou ja, maar die bestaan nog maar recent, 10 jaar geleden had ik dat nog niet hoor...

Wachtwoordmanager is inderdaad het antwoord want ik kan ook geen tientallen wachtwoorden onthouden voor tientallen accounts.
En eenmaal je een wachtwoord manager gebruikt kan het ook geen kwaad meer om wat extra complexiteit toe te voegen, zeker bij de wachtwoorden die beperkter zijn van lengte.

Hier, goed samengevat vind ik zelf:

Which of the following two passwords is stronger,
more secure, and more difficult to crack?
You probably know this is a trick question, but the answer is: Despite the fact that the first password is HUGELY easier to use and more memorable, it is also the stronger of the two! In fact, since it is one character longer and contains uppercase, lowercase, a number and special characters, that first password would take an attacker approximately 95 times longer to find by searching than the second impossible-to-remember-or-type password!

ENTROPY: If you are mathematically inclined, or if you have some security knowledge and training, you may be familiar with the idea of the “entropy” or the randomness and unpredictability of data. If so, you'll have noticed that the first, stronger password has much less entropy than the second (weaker) password. Virtually everyone has always believed or been told that passwords derived their strength from having “high entropy”. But as we see now, when the only available attack is guessing, that long-standing common wisdom . . . is . . . not . . . correct!

Weer zeer kort door de bocht... want als je het zo voorstelt, waarom zou iemand dan nog moeilijk te raden paswoorden kiezen. Gewoon 20 keer hetzelfde random karakter toevoegen en je zou zogezegd ineens een sterk paswoord hebben ?
Volgens die Cygnius test is de entropie van je hondenpaswoord 21 bits en te kraken in 5 minuten.

Nu ja, we zijn het er allemaal ook wel over eens dat het echte probleem elders zit : phishing, overal hetzelfde paswoord gebruiken, etc... Zelf gebruik ik overigens ook gewoon KeePass met daarin gegenereerde paswoorden van 12 random karakters. Voor paswoorden die ik vaak zelf moet intypen, gebruik ik een bepaald schema waarin sommige tekens afgeleid zijn van de naam van de dienst/website zodat ik nog altijd overal een ander paswoord heb. Toegegeven, soms moet ik wel effen nadenken wat een bepaald paswoord dan weer is, maar met 'correct horse staple battery' die je dan overal wijzigt, heb je het zelfde probleem, want 'correct horse staple battery userbase' is dan niet beter dan overal hetzelfde paswoord.

Tomby schreef:Weer zeer kort door de bocht... want als je het zo voorstelt, waarom zou iemand dan nog moeilijk te raden paswoorden kiezen. Gewoon 20 keer hetzelfde random karakter toevoegen en je zou zogezegd ineens een sterk paswoord hebben ?
Volgens die Cygnius test is de entropie van je hondenpaswoord 21 bits en te kraken in 5 minuten.

Bij deze een SHA-256 van dergelijk "passwoord" met lage entropie... ik kom over 5 minuten nog eens kijken

A3A17480A0B1A691FDF3290A4BC4547F5E9F7FB022507B8B41F1AAF0FD60F1D8

PS. SHA-256 is trouwens geen goed paswoord hashing algoritme.

Tomby schreef:Weer zeer kort door de bocht... want als je het zo voorstelt, waarom zou iemand dan nog moeilijk te raden paswoorden kiezen. Gewoon 20 keer hetzelfde random karakter toevoegen en je zou zogezegd ineens een sterk paswoord hebben ?

Als het alléén op brute force aankomt? Yep.

Daarover gaat het hier, maar zoals jij en ik al gezegd hebben is dat lang niet het hele verhaal.