image

"Lange wachtwoorden zijn veiliger"

vrijdag 21 juli 2006, 14:45 door Redactie, 16 reacties

Websites en bedrijven die denken dat het beter is om een kort, maar ingewikkeld wachtwoord te hebben in plaats van één die lang en eenvoudig is, slaan de plank volledig mis, zo beweert security expert Roger Grimes. Grimes moest van het bedrijf dat zijn aandelen beheert een nieuw account aanmaken. Standaard gebruikt Grimes wachtwoorden van 31 karakters lang.

Op die manier is het lastig om te raden en kan het wachtwoord zelfs een brute force aanval overleven. Voor zijn nieuwe account moest Grimes precies zes karakters invoeren, die ook nog eens complex moesten zijn. Hij is blij met mensen die complexe wachtwoorden van zes tot negen karakters hebben. Als hacker maakt dat zijn leven een stuk eenvoudiger.

Een simpele rekensom laat namelijk zien dat je bij een lang wachtwoord veel meer mogelijkheden hebt dan bij een kort wachtwoord. Zeker tot negen karakters is het nog te doen om een wachtwoord te hacken, maar vanaf 10 karakters wordt het een stuk moeilijker. Mensen die hun wachtwoord willen verbeteren doen er dan ook verstandig aan om complexe karakters te laten voor wat ze zijn en gewoon voor een lang wachtwoord te gaan. Een lang en complex wachtwoord is de beste optie, maar vaak moeilijk te onthouden.

Grimes is zelfs een wedstrijd gestart waarbij deelnemers een complex wachtwoord van 10 letters en een eenvoudiger wachtwoord van 15 karakters moeten kraken. Voor de echte diehards is er ook een redelijk complex wachtwoord van 15 karakters. Grimes laat weten dat het 10 karakter wachtwoord waarschijnlijk eerder gekraakt zal zijn dan het langere en eenvoudigere wachtwoord.

Bill Burr van het National Institute of Standards and Technology (NIST) schreef dit artikel over het berekenen van de sterkte van een wachtwoord.

Reacties (16)
21-07-2006, 15:23 door Anoniem
Standaard gebruikt Grimes wachtwoorden van 31
karakters lang.
Tjonge, een wachtwoord van 31 karakters! Sjappoo! Dat is wel
heel erg lang! :P

Eén van de wachtwoorden die ik gebruik is 11 karakters lang,
en ik dacht dat die al lang was. Maar laatst wilde ik die op
een site gebruiken maar daar werd ie dus mooi niet
geaccepteerd. Waarschijnlijk té sterk. Ze vroegen om een
wachtwoord van minimaal 6 karakters waarvan minimaal 1
cijfer en 1 hoofdletter. Daar voldeed mijn wachtwoord aan,
maar hij werd geweigerd omdat er leestekens in zitten,
begint of eindigt met cijfers en langer dan 10 karakters
was... Dus zelfs als je zou willen, wordt het je door
sommige sites onmogelijk gemaakt om sterke wachtwoorden te
gebruiken... Beetje jammer...
21-07-2006, 15:40 door dman
Tsjah.. iedereen weet volgens mij wel dat langere wachtwoorden veiliger
zijn. (logica der bruteforce aanvallen (zegt overigens niets over dictionary
attacks.))

*maar praktisch is anders... elke keer moeten inloggen met een 31
karakter lang wachtwoord.. pfffffffffffffffffffffffffffffffffffff
21-07-2006, 15:53 door Anoniem
Och, kortere wachtwoorden EN een policy waarbij de wachtwoorden om de
paar weken gewijzigd moet worden, is ook veilig genoeg. De meeste
mensen bedenken toch een wachtwoord van minder dan 10 karakters,
waardoor jij, als beheerder voor hun moet zorgen :)
21-07-2006, 16:05 door Anoniem
Och, kortere wachtwoorden EN een policy waarbij de
wachtwoorden om de paar weken gewijzigd moet worden, is ook
veilig genoeg.
... die worden opgeschreven en in de
buurt bewaard :)
21-07-2006, 18:29 door Anoniem
Door dman
*maar praktisch is anders... elke keer moeten inloggen met
een 31
karakter lang wachtwoord..
pfffffffffffffffffffffffffffffffffffff

Welnee joh, je neemt gewoon een stuk tekst wat op het login
scherm staat, kan je gewoon copy/pasten :-) . En nu maar
hopen dat de beheerder die tekst niet veranderd :-)
21-07-2006, 19:40 door Anoniem
Door Anoniem
Och, kortere wachtwoorden EN een policy waarbij de
wachtwoorden om de paar weken gewijzigd moet worden, is ook
veilig genoeg.
... die worden opgeschreven en in de
buurt bewaard :)


Inderdaad, en er wordt vaak ook een logica in aangebracht
waardoor hij eenvoudig te raden is, mocht je een keer een
oud wachtwoord onderschept hebben...
21-07-2006, 20:50 door Anoniem
Hmmmz bij mij ligt het eraan. Voor de gegevens die ik met pgp
versleuteld heb, die heb ik beveiligd met een lang stuk tekst dat
ik uit mijn hoofd ken. De punctuaties in dat stuk tekst heb ik
vervangen met andere tekens. Maargoed dat zijn dan ook mijn
meest beveiligde gegevens. Voor mijn email is mijn wachtwoord
op het moment 11 tekens. En sommige dingen zoals de login
voor Times.com zijn gewoon de minimale verplichte lengte van
de site.
21-07-2006, 21:17 door Anoniem
Sorry, maar als een beheerder heb ik ook een password van 17 char's.
22-07-2006, 23:15 door Anoniem
Gebruik je wachtwoorden als een tandenborstel, neem om 1 week een
nieuw wachtwoord en geef hem aan niemand anders ;)
24-07-2006, 00:14 door Mijnheer3
jeetje elke week een nieuwe tandenborstel !?
je bent wel erg voor die marketing truc gevallen vind ik (of
je koopt wel erg slechte tandenborstels) :-)
24-07-2006, 09:45 door Blowfish
Langere wachtwoorden mogen dan minder snel te kraken zijn, maar ze
zijn toch niet altijd veiliger. Als je het gebruikers te moeilijk maakt met
wachtwoorden, gaan ze die opschrijven en plakken in de buurt van de pc.
En dat maakt het er niet veiliger op, mits je natuurlijk wel fysieke toegang
hebt toch die werkomgeving. Het is belangrijk om de balans tussen
veiligheid en werkbaarheid te houden.
24-07-2006, 09:59 door Anoniem
Door dman
Tsjah.. iedereen weet volgens mij wel dat langere
wachtwoorden veiliger
zijn. (logica der bruteforce aanvallen (zegt overigens niets
over dictionary
attacks.))

*maar praktisch is anders... elke keer moeten inloggen met
een 31
karakter lang wachtwoord..
pfffffffffffffffffffffffffffffffffffff

Jaja, het dictionary kent ook erg veel woorden van 31
karakters waarschijnlijk ;-). Zelfs als je de woorden aan
elkaar gaat plakken vang je bot.
24-07-2006, 12:32 door carolined
Door Blowfish
Langere wachtwoorden mogen dan minder snel te kraken zijn,
maar ze
zijn toch niet altijd veiliger. Als je het gebruikers te
moeilijk maakt met
wachtwoorden, gaan ze die opschrijven en plakken in de buurt
van de pc.
En dat maakt het er niet veiliger op, mits je natuurlijk wel
fysieke toegang
hebt toch die werkomgeving. Het is belangrijk om de balans
tussen
veiligheid en werkbaarheid te houden.


Ben ik het niet mee eens hoor. Een lang wachtwoord in de
vorm van een zinnetje is heel gemakkelijk te onthouden over
langere tijd heen. Ik noem maar het wachtwoord: "44 vorig
Jaar ben ik in Italie geweest 22", dat is een lang
wachtwoord, niet makkelijk te kraken want welke idioot
verzint zoiets en heel gemakkelijk in te tikken en te
onthouden.
Je moet dan natuurlijk wel die idiote dertigdagen wachtwoord
wijzig regel weghalen, want die leidt juist werkelijk nergens
naar. Die leidt namelijk tot het opschrijven of volgorde
aanbrengen in een te kort kraakbaar wachtwoord.
Het is niet voor niks dat PGP je laat zien hoe sterk je
wacht woord is bij de generatie ervan, die is ook geheel
afhankelijk van de lengte.

Carol
25-07-2006, 18:06 door Anoniem
Al gehoord van rainbow project ?
Zij werken met tabellen en niet met bute force.
Windows aanmeld wachtwoorden t/m 14 karakters zijn binnen 8
min. gekraakt.
(zie video demonstratie)
Advies: gebruik meer dan 14 karakters.(huidige crack
techniek gaat maar tot 14 karakters via rainbow tabellen
techniek)
In de nabije toekomst is het mogelijk langere wachtwoorden
te kraken.
Het maken van deze tabellen vergt veel tijd. Men beweert 3
jaar gewerkt te hebben aan de tot stand koming van deze
techniek.

ps. Uiteraard kunnen Windows aanmeld wachtwoorden sneller op
een andere manier verkregen worden.
25-07-2006, 18:54 door Anoniem
Lange wachtwoorden onthouden is lastig.
Opschrijven of in de buurt van je pc laten slingeren kan ook
onveilig zijn, zoals een vorige bezoeker vermelde.

Tip: gebruik de titel van een artiest, maar dan wel met
andere tekens.
a=4, of @
b=8
e=3
i=1, of !
s= $
o=0

Voorbeeldje:
Artiest: Meatloaf
Nummer: Paradise by the dashboard life (normaal)

1) P4radi$3 by the dashb0ard lif3 (veilig)

2) P4r4d1$3 by th3 d4$h804rd l1f3 (minder veilig)

3 ) 911 P4radi$3 by the dashb0ard lif3 911 (veiligst)

In het begin is het misschien even lastig om te gebruik te maken
van andere tekens, maar dit went snel. Veel kids msn'nen op
deze manier.
Voordat je het weet gebruik je telkens de $ voor de letters s.

Het eerste voorbeeld is veilig, omdat sommige tekens
vervangen worden. Het tweede voorbeeld is minder veilig,
omdat alle tekens vervangen zijn.

Zet je een drie cijferigecode ervoor en erna, dan word het
echt lastig.
Dit lijkt mij de veiligste oplossing.

PS
In deze voorbeelden staan er spaties tussen de woorden om
het voorbeeld
ovezichtelijk te houden.
Uiteindelijk ziet het nieuwe wachtwoord er zo uit:

911P4radi$3bythedashb0ardlif3911

Succes, heeft iemand een aanvulling dan zie ik deze graag
terug op deze
site.
26-07-2006, 11:05 door Anoniem
Door Anoniem
Lange wachtwoorden onthouden is lastig.
Opschrijven of in de buurt van je pc laten slingeren kan ook
onveilig zijn, zoals een vorige bezoeker vermelde.

Tip: gebruik de titel van een artiest, maar dan wel met
andere tekens.
a=4, of @
b=8
e=3
i=1, of !
s= $
o=0

Voorbeeldje:
Artiest: Meatloaf
Nummer: Paradise by the dashboard life (normaal)

1) P4radi$3 by the dashb0ard lif3 (veilig)

2) P4r4d1$3 by th3 d4$h804rd l1f3 (minder veilig)

3 ) 911 P4radi$3 by the dashb0ard lif3 911 (veiligst)

In het begin is het misschien even lastig om te gebruik te maken
van andere tekens, maar dit went snel. Veel kids msn'nen op
deze manier.
Voordat je het weet gebruik je telkens de $ voor de letters s.

Het eerste voorbeeld is veilig, omdat sommige tekens
vervangen worden. Het tweede voorbeeld is minder veilig,
omdat alle tekens vervangen zijn.

Zet je een drie cijferigecode ervoor en erna, dan word het
echt lastig.
Dit lijkt mij de veiligste oplossing.

PS
In deze voorbeelden staan er spaties tussen de woorden om
het voorbeeld
ovezichtelijk te houden.
Uiteindelijk ziet het nieuwe wachtwoord er zo uit:

911P4radi$3bythedashb0ardlif3911

Succes, heeft iemand een aanvulling dan zie ik deze graag
terug op deze
site.
Ik vind die manier van beveiligen heel erg effectief, misschien ga ik die
gebruiken!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.