Hoe veilig is uw (userbase) wachtwoord?

[krisken]

Doe nu zelf de test : http://howsecureismypassword.net/

[axs]

It would take a desktop PC about 2 billion years to crack your password

[Stroper]

En hoe veilig is het om je wachtwoord zomaar op een externe site in te geven?
voor de mensen die schrik hebben gekregen, het wordt via javascript op jouw eigen computer berekent.

Ik probeer altijd het volgend stramien te gebruiken voor een wachtwoord.
Een regel uit een songtekst, met hier en dan een letter vervangen door een cijfer en speciaal teken.
bv. Van4frikaTotInAmerika!@VanInDeHimalayaTotInDeWoestijn (is geen van mijn echte wachtwoorden, noch mijn muzieksmaak)
Zo kan je makkelijk een wachtwoorden maken van 40 á 50 karakters met hoofd- en kleine letters, cijfers en leestekens.
Probleem is alleen dat sommige sites een beperking hebben van 16 karakters ofzo.

Edit: mijn voorbeeldwachtwoord zal het blijkbaar 76 sesvigintillion jaren duren vooraleer het op een desktop pc gekraakt is.
Is ook de eerste keer dat ik de term sesvigintillion tegenkom

[krisken]

Ach wachtwoorden maken is niet zo moeilijk. Ze mogen gewoon niet voor te hand liggend zijn en combinatie van beetje van alles dat je kan gebruiken op een toetsenbord

Bvb iets dat ik dikwijls zeg tegen mensen als voorbeeld.
Je bent geboren in 1981 en je woont te 9000Gent en je naam is Maarten.

Maarten veranderen we in M@@rt€N
De rest plakken we er aan : 1981M@@rt€N9000 en nu zetten we gewoon er een vraagteken voor en een uitroepingsteken achter...
?1981M@@rt€N9000!

Resultaat : It would take a desktop PC about 39 quadrillion years to crack your password

Tegen dan mogen ze mijn gegevens weten en hebben

[bambipower]

de meeste paswoorden op websites zijn beveiligd tegen bruteforcen.... dus 1000den combinaties proberen doe je dan ook niet op 20seconden. Na 5 pogingen kan je bvb al 2minuten wachten. Kgeloof dus weinig van die website...

[Gent32m]

Volgens mij telt hij enkel het aantal tekens (en houdt geen rekening met cijfers, hoofdletters, kleine letters, speciale tekens, etc erin)

[xayana]

Wat een zever allemaal.
Jouw paswoord mag nog zo lang en zo ingewikkeld zijn als je wil, als er op de webserver waar userbase (of eender welke andere site) is gehost een admin zit die een minder moeilijk wachtwoord heeft of als er ergens een beveiligingslek zit; dan hebben ze inzage in de database en hebben ze in enkele seconden (ipv enkele sesvigintillion jaar) jouw paswoord te pakken.

[qless]

Nee das geen zever, elke fatsoenlijke site die gebruikerswachtwoorden opslaat, slaat deze hashed (one-way encrypted) op, en bij voorkeur met een salt. Dus zelfs als dan de complete database te downloaden valt, is er, binnnen een werkbare tijd, niks te doen met de wachtwoorden.

[krisken]

Klopt, md5 bijvoorbeeld

@gent32m : probeer eens hé : ik merk toch een duidelijk verschil als ik werk met hoofdletters, leestekens, cijfers, ... controle gebeurd niet alleen op de lengte!

[bambipower]

als ze al de database hebben... wat hebben ze dan nog aan uw paswoord? Dan doen ze met uw account toch wat ze willen.
Als ze willen passen ze uw paswoord aan...
Maar : gebruik op elke website een ander paswoord

[Doktor Avalanche]

Nee das geen zever, elke fatsoenlijke site die gebruikerswachtwoorden opslaat, slaat deze hashed (one-way encrypted) op, en bij voorkeur met een salt. Dus zelfs als dan de complete database te downloaden valt, is er, binnnen een werkbare tijd, niks te doen met de wachtwoorden.

Jullie zijn me voor...
Ik gebruik hier steeds Bcrypt voor...
http://www.mindrot.org/projects/jBCrypt/

Mvg Wim

[xayana]

Nee das geen zever, elke fatsoenlijke site die gebruikerswachtwoorden opslaat, slaat deze hashed (one-way encrypted) op, en bij voorkeur met een salt. Dus zelfs als dan de complete database te downloaden valt, is er, binnnen een werkbare tijd, niks te doen met de wachtwoorden.

Jaah,

Als ze toegang hebben tot de webserver hun database kunnen ze ook toegang hebben tot de code en niet net toevallig staat de salt IN DE CODE
Word eens wakker. Als ze willen kraken ze alles.

[Stroper]

Dan nog is het one-way hashing en geen two-way encryptie.
Voor verouderde hash-systemen(MD5) zijn er wel mogelijke kraakmechanismes, maar toch.

[MClaeys]

Alleen doen veel websites dit niet fatsoenlijk, en vaak weet je ook niet op voorhand of ze dat al dan niet doen. Daarom gebruik ik op fora ook hele simpele wachtwoorden, volgens de website in 2 seconden te kraken. Kheb liever dat ze mijn Userbase account kraken dan men mailbox

[iceke]

Mij kan het geen bal schelen, ik gebruik overal hetzelfde wachtwoord, behalve op de dingen die er echt toe doen, daar laat ik een password manager 1te genereren voor mij en wissel ik 4 keer per jaar van wachtwoord.

[Gent32m]

@gent32m : probeer eens hé : ik merk toch een duidelijk verschil als ik werk met hoofdletters, leestekens, cijfers, ... controle gebeurd niet alleen op de lengte!

Je hebt gelijk. Ik neem mijn woorden terug.
Ik was te snel met die conclusie.

Vergeef me mijn zonden, broeder

[krisken]

Alé nen onze vader en tis in orde

[Teebee]

pw: ikhaatpaswoordenzoeken (denk niet dat dit paswoord erg sterk is)

It would take a desktop PC about
106 trillion years
to crack your password


Soms zie je dat er staat: max 8 char
pw: !$%##*@$ (0,64 sec)


Zou een usbstick met vingerdrukscanner geen veiligere oplossing zijn? (Yubikey + lastpass + fingerscanner)

[fredo66]

Ach wachtwoorden maken is niet zo moeilijk. Ze mogen gewoon niet voor te hand liggend zijn en combinatie van beetje van alles dat je kan gebruiken op een toetsenbord

Bvb iets dat ik dikwijls zeg tegen mensen als voorbeeld.
Je bent geboren in 1981 en je woont te 9000Gent en je naam is Maarten.

Maarten veranderen we in M@@rt€N
De rest plakken we er aan : 1981M@@rt€N9000 en nu zetten we gewoon er een vraagteken voor en een uitroepingsteken achter...
?1981M@@rt€N9000!

Resultaat : It would take a desktop PC about 39 quadrillion years to crack your password

Tegen dan mogen ze mijn gegevens weten en hebben

hmmm ... stel dat de kraker individueel te werk gaat en eerst wat social data gaat verzamelen via facebook etc. alvorens een kraakpoging te ondernemen.
Hij kent dan je naam, postcode, woonplaats, misschien ook de geboortedatum. In dat geval zal in jouw voorbeeld het wachtwoord ?1981M@@rt€N9000! ook snel naar boven komen hoor... BF attacks kunnen gemengd worden met opgegeven zoektermen.

Veel beter is het dus om ook geen varianten op je persoonlijke gegevens te gebruiken.

[sirWard]

Zaken die er echt toe doen zou je kunnen voorzien van een verdomd zwaar wachtwoord (laten genereren) die je op een USB-stick zet met AES-TWOFISH-SERPENT encryptie in combinatie met random keyfiles op een USB stick waarvan je er pak 10 maakt van 1 tot 10 en waarvan je er 3 gebruikt, nog een pad toevoegen.

Je zult dan natuurlijk wel altijd de USB sticks en eventuele extra keyfiles nodig hebben die niet op de tweede stick staan en altijd de stick met de wachtwoorden op dismounten wanneer niet nodig.


Overkill, maar wel grappig.

[axs]

Ik gebruik een eigen specifieke codering betaande uit

bv www.userbase.be

eerste 2 karakters vd site (US) + fixed passphrase met speciaal karakter Password# + andere code voor 'betalende access' (bv ! voor betalend, N voor niet betalend) of niet + laatste 2 digits van domeinlocatie (be) + fixed character (R)


dus voor userbase.be zou het kunnen zijn
USPassword#!beR

[AndrewBourgeois]

Als ze toegang hebben tot de webserver hun database kunnen ze ook toegang hebben tot de code en niet net toevallig staat de salt IN DE CODE
Word eens wakker. Als ze willen kraken ze alles.

Een salt zorgt er enkel voor dat ze de hashes niet kunnen vergelijken met een op voorhand opgemaakte lijst van hashes (rainbow table). Ook al heb je de "hash" (= de hash die door de salt werd bewerkt) moet je nog heel veel gaan berekenen vooraleer je de echte hash (= zonder salt) hebt die je dan kan opzoeken in je lijst.

By BCrypt staat de salt zelfs in de opgeslagen "hash".

[meon]

Twitter: https://twitter.com/TheTimeCowboy/status/287536855828795393

[D3bian]

It would take a desktop PC about
A million years
to crack your password

En tis een stom paswoord dat je makkelijk kan onthouden, dus jah, ben niet overtuigd dat dat ding echt kan berekenen of het niet te kraken valt hoor.

[Joe de Mannen]

qwertyuiop wordt bestempeld als "instantly cracked" en qwertyuiop0 duurt een jaar
J.

[Ofloo]

It would take a desktop PC about 2 billion years to crack your password

hah, It would take a desktop PC about 377 billion years to crack your password

[ReLoad]

Code: Selecteer alles

It would take a desktop PC about 5 quintillion years to crack your password

Genereer password functie van lastpass, alles apart wachtwoord. Juist de belangrijke weet ik van buiten dropbox, mail, school related, beveiligde documenten, ....

"Your password only contains numbers and letters. Adding a symbol can make your password more secure. Don't forget you can often use spaces in passwords."

Spaties? Dat wist ik niet..

[Splitter]

20x @ zou je zo'n 2 miljoen jaar duren.... nochtans maar 1 karakter?

[qless]

En vooral hoe langer hoe beter:



[ Post made via mobile device ]

[lirec]

Als je absurd lange wachtwoorden maakt loopt het op tot "999 quadrillion nonagintillion years" (wat dat ook mag betekenen)
en daarna volgt: "Infinity years"

Volgt er dan echt geen vastgelegde term meer na "quadrillion nonagintillion years"? Ik neem aan dat je wel over kan gaan naar xxx thousand quadrillion nonagintillion years enzoverder maar bestaat er zoiets als de hoogste term die er momenteel bestaat in cijfers?

Lol

[Doktor Avalanche]

Was dat niet iets van een googel, waar de naam google van komt.

http://nl.wikipedia.org/wiki/Grote_getallen

Blijkbaar is het een googolplex

Mvg Wim

[lirec]

Interressant weetje wel die googol: http://nl.wikipedia.org/wiki/Googol (=10 tot de macht 100)maar stelt geheel niet het grootste getal voor: http://www.quadibloc.com/math/bignum.htm

Dat bestaat allicht niet dus....een voorbeeld: 10 tot de macht 31415926535 word uitgeschreven: one hundred quadrilliard quinquagintilliard septizillion septigizillion octadizillion nonagidizillion quinquabazillion trigintibazillion bitetrazillion quinquatetrazillion

edit: googleplex is idd nog groter maar er is (denk ik) geen term voor grootste mogelijk getal....logisch eigenlijk aangezien je altijd gewoon een nullertje achteraan kan toevoegen en daar dan zelf een naam op kan plakken als die nog niet bestond

[Mathy]

Ik ken mijn wachtwoorden zelfs niet, altijd c/p uit Keepass...