Nieuws
image

Wachtwoord wedstrijd bewijst lang is beter theorie

maandag 4 juni 2007, 10:31 door Redactie, 13 reacties

Het kiezen van een goed wachtwoord is nog steeds lastig voor internetgebruikers, waarbij zelfs de overheid te hulp schiet, en eigenlijk niet het juiste advies geeft. De meeste wachtwoorden bestaan uit zes tot acht karakters, en als men een hoofdletter gebruikt, staat die vooraan en is meestal een medeklinker, gevolgd door een kleine klinker. Voornamelijk de a, e en o worden veel gebruikt in wachtwoorden, met een kanspercentage van boven de 50%. Als er een nummer in het wachtwoord verstopt zit, is het meestal een 1 of een 2.

Bijna een jaar geleden startte Roger Grimes een wedstrijd waarbij deelnemers een complex wachtwoord van 10 letters en een eenvoudiger wachtwoord van 15 karakters moesten kraken. Voor de echte diehards was er ook een redelijk complex wachtwoord van 15 karakters. Het duurde vier maanden en duizenden pogingen voordat het complexe wachtwoord van 10 karakters werd gekraakt, het was S10wDr1v3r.

Nu is eindelijk ook het tweede wachtwoord gekraakt, myengagingwives, wat volgens Grimes aantoont dat lang en makkelijk beter is dan kort en complex.

Reacties (13)
04-06-2007, 11:04 door Anoniem
Nee, dit toont aan dat bruteforcing werkt door middel van n+1 scanning. Bij
n+1 scanning is hoe complexer minder relevant voor een tool die
duizenden wachtwoorden per seconden scant. Of het nu een 3 of F is,
maakt voor een BF tool niets uit. Wanneer 'hackers' intelligente tooling
gaan gebruiken ipv 1+1=2 tooling, DAN pas ga je zien dat complexe
wachtwoorden ook zinvol zijn (in combinatie met langere wachtwoorden)...
Dan is het ook minder slim om 'zinnen' aka passphrases te gebruiken,
daar die makkelijker te 'gokken' worden door intelligente scanners dan
bullshit wachtwoorden (wachtwoorden die geen verbastering zijn van
letters naar nummers, zoals 7334 of p0wned) maar IU@Y#@()*GF...
Helaas zijn die wat minder makkelijk in te kloppen.. Maar heej, hoeveel
mensen kloppen het wachtwoord maar 1 of 2 keer per dag in?
AS
04-06-2007, 11:05 door [Account Verwijderd]
[Verwijderd]
04-06-2007, 11:13 door Anoniem
sjah, das gewoon een rekensommetje maken.
met enkel kleine letters 15 lang zijn er 26^15 mogelijkheden.
dat andere zijn zo even (26+26+10)^10 mogelijkheden (enkel
kleine letters, hoofdletters en cijfers dan)

dan heb je inderdaad meer mogelijkheden met een simpel
wachtwoord van 15 tekens.
Maar als ze dan proberen te bruteforcen aan de hand van een
woordenboek, denk ik dat het lange simpele paswoord eerder
geraden zou moeten zijn dan het ingewikkelde.
04-06-2007, 11:31 door Anoniem
Als je trouwens alle ASCII tekens + extended ASCII kan
gebruiken is een wachtwoord is je wachtwoord van 10 tekens
zo'n 200 keer sterker dan je eenvoudig wachtwoord van 15 tekens.
04-06-2007, 12:25 door [Account Verwijderd]
[Verwijderd]
04-06-2007, 13:24 door Anoniem
Stel: ik gebruik tekens die niet in het normale alfabet
voorkomen, dan heeft bruteforcen ook niet veel zin meer.
Vooral niet als het een kunstmatige taal met kunstmatige
lettertekens bevat die ik zelf ontworpen heb. Geen enkel
woordenboek voorziet daarin!
04-06-2007, 13:38 door SirDice
Door AirForce One
Stel: ik gebruik tekens die niet in het normale alfabet voorkomen, dan heeft bruteforcen ook niet veel zin meer. Vooral niet als het een kunstmatige taal met kunstmatige lettertekens bevat die ik zelf ontworpen heb. Geen enkel woordenboek voorziet daarin!
Het is en blijft ASCII of je moet je wachtwoord in UTF-8 opgeven.. Onder windows kan dat... *nix niet.
04-06-2007, 13:43 door Anoniem
Door AirForce One
Stel: ik gebruik tekens die niet in het normale alfabet
voorkomen, dan heeft bruteforcen ook niet veel zin meer.
Vooral niet als het een kunstmatige taal met kunstmatige
lettertekens bevat die ik zelf ontworpen heb. Geen enkel
woordenboek voorziet daarin!

Maar het authenticatiesysteem snapt er met zelf ontworpen
tekens ook niets van. Onbruikbaar dus!
Wat wel kan is het gebruik van bepaalde alt-codes in het
wachtwoord, zoals bijvoorbeeld alt+13 . Dit 'teken' zit
zelfs niet in de uitgebreide tekensets van cracktools en dit
maakt hash op de gebruikelijke manieren vrijwel onkraakbaar.
Zelfs als je een kort wachtwoord van twee posities hanteert,
maar dan moet een aanvaller natuurlijk niet weten wat de
wachtwoordlengte is.
04-06-2007, 17:47 door Anoniem
Door AirForce One op maandag 04 juni 2007 13:24

Stel: ik gebruik tekens die niet in het normale alfabet
voorkomen, dan heeft bruteforcen ook niet veel zin meer.

Stel je gebruikt een Amerikaanse wachtwoordkraker om een
Chinees wachtwoord te kraken. Dat zou volgens jou dus niet
kunnen.

Voor zover ik weet gebruiken brutekrachtkrakers geen OCR en
maakt het dus geen bal uit of het teken wel of niet in het
normale alfabet voorkomt. Elk teken dat je op een computer
kan gebruiken, heeft een numerieke waarde. Die waarde wordt
via een tabel (ASCII, EBDIC) omgezet naar iets dat wij
mensen begrijpen.
Brutekrachtkrakers 'raden' alleen de numerieke waarden,
zonder zich te bekommeren om de grafische weergave daarvan.

Een lang wachtwoord zonder moeilijke tekens is net zo veilig
als een netzolang wachtwoord met moeilijke tekens. Waarom?
De brutekrachtkraker 'weet' niet of het wachtwoord wel of
geen moeiljike tekens bevat. Als de BKK moeilijke tekens
uitsluit, is er dus een goede kans dat-ie het wachtwoord
niet kan kraken.

Overigens hebben lange wachtwoorden (>8 tekens) alleen zin
als die extra tekens ook bewaard worden. DES doet dat
bijvoorbeeld niet.
05-06-2007, 10:29 door Anoniem
leuke rekensommetjes, maar jullie houden geen rekening met
de volgende opmerkingen, die intelligente tools zullen
gebruiken:

> De meeste wachtwoorden bestaan uit zes tot acht
karakters, en als men een hoofdletter gebruikt, staat die
vooraan en is meestal een medeklinker, gevolgd door een
kleine klinker. Voornamelijk de a, e en o worden veel
gebruikt in wachtwoorden, met een kanspercentage van boven
de 50%. Als er een nummer in het wachtwoord verstopt zit, is
het meestal een 1 of een 2.


maak nu nog eens je rekensommetje!


(ik gebruik altijd backspaces in mn wachtwoord ;-)
05-06-2007, 18:40 door Anoniem
Wachtzinnen verkleinen de kans op kraak, maar worden lang
niet overal ondersteund.
12-06-2007, 10:29 door [Account Verwijderd]
[Verwijderd]
21-04-2012, 09:06 door Anoniem
Aangezien ik als 74-jarige voor het eerst mij begeef op het pad van wachtwoorden, heb ik geen idee, wat nu precies nodig is. De ene keer hoor ik,dat een goed wachtwoord zo'n twintig plaatsen moet tellen, de andere keer weer niet te lang. Maar wat noem je niet te lang? Vandaar mijn aanwezigheid . Ik ben hier om wat wijzer te worden. Overigens, ik voel me een volkomen vreemdeling op dit terrein, alsof ik me in een prachtig land bevind, waar ik niemand kan verstaan.Wie weet is er nog hoop voor mij?

Vriiendelijke groeten,

mw.afp.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search