Is dat niet bijna altijd zo want, 6%4zHuT87 ligt n.l. niet zo lekker in het geheugen??

Je moet niet iets nemen wat te voor de hand liggend is.

Dus als je een kat hebt die Poekie heet en je hebt het op een forum alleen maar over Poekie en je paswoord is ook Poekie dan vraag je er om.

Maar als je er P03k1E van maakt, wat is daar op tegen ?

Het is vrij lastig om niet persoonlijke informatie te gebruiken, tenzij je gebruik maakt van 'wachtzinnen' zoals Bu1t3nSn33uwd3H3t! Of tools die het voor je doen.

Je moet het allemaal wel kunnen onthouden hè!?

Ja, wel onthouden wat lastig is als de grammaticaal correcte versie Bu1t3nSn33uwt3H3t! is...

Ben ik het niet helemaal mee eens. Wachtwoorden hebben vaak wel iets persoonlijks in, maar het hoeft niet perse een naam of wat dan ook te zijn.

Op een forum wat zich vooral bezig houdt met geschiedenis had ik ooit een wachtwoord 1568v1648@WvOq@

Heel simpel voor mij om te onthouden, omdat er de jaren van de 80 jarige oorlog er in zitten @ Willem van Oranje, die q@ is iets wat ik bij willekeurige wachtwoorden toevoeg. Ik heb voor bijna alle websites en zeker user accounts bij mij thuis of op me werk aparte wachtwoorden die ik allemaal prima onthoud door gewoon te varieren. Kan je wel hele simpele principes voor aanhouden, maar dan blijft voor een computer alsnog moeilijk te kraken, en de meeste mensen komen er ook niet op.

of gewoon fonetisch Haags dat is op zich al een zware encryptie ;-)

Tja, en als er een keylogger op een systeem staat, dan is ook wachtwoord vj38[gfj-54p9hgj42g854gj54wpgj8gh5g8h5gos5h4gpw5h5gw54g8ogw57gho4w585ghw547g54hgow47hgowhg8o 100% onveilig.

Sta me toe het even te vertalen: Bu1t3nSn33uwd3H3t! > B u i t e n S n e e u w d e H e t!
Oftewel, een zin in de verleden tijd, maar grammaticaal volledig correct Nederlands.
Ik denk dat jij die 3 voor de H over het hoofd hebt gezien. Of anders moet je maar eens opzoeken hoe je d's en t's gebruikt (http://lmgtfy.com/?q=d+en+t+uitleg&l=1) :-)

Gewoon Lastpass gebruiken. www.lastpass.com The last password you will ever need!

Zo raden ze h'm nooit! ;-)

Wachtwoorden als Po3k1e is ook al ernstig achterhaald. Daar zijn tools in de omloop die daar al lang rekening mee houden. D.w.z. dat ze automatisch de i of l in een 1 veranderen, e in een 3, etc. Overigens is een password als Po3k1e maar 6 karakters lang! Dat is ongeveer een minuut brute forcen!

lastpass.com...... ik ben er niet weg van om _mijn_ wachtwoorden op te slaan bij een third party waarvan jij niet weet of zij degelijk beheer doen!

Doe mij maar keepass.info. Een downloadable password manager waar je prima je 25 (of langer, afhankelijk of het systeem het aankan) wachtwoorden kunt laten genereren en bewaren. (je copy/paste dat naar de website waar je wil inloggen) De tools is open-source en beschikbaar voor alle platformen en ook voor tal van mobile devices.

Een goede passphrase die je "kluis" veiligstelt, and off you go......

Niet waar

Met 90 printbare karakters heb je even wat meer mogelijkheden n.l. 90 tot macht 6 =531,4 10 tot 9
Zeg even een BF doet 3 miljoen WW per sec (op basis van een 3Ghz proc) = 531 10^9/ 3 10^6= ongeveer 50 uur
Echter dan moet je al zeker zijn van die 6 karakters want anders moet je eerst 1 , 2, 3 , 4,en 5 karakters uitproberen anders is het een veelvoud ervan.


EN dan praatje je over een lokaal systeem, ga je dat over een NETWERK doen of over het INTERNET dan duurt dat helemaal de eeuwigheid. (probeer het maar eens)

http://lastbit.com/rm_bruteforce.asp

Dan moet je dus ook al zeker de username goed hebben.

Ik heb hier in het verleden wel eens een stukje onderzoek naar gedaan over het INTERNET en het valt allemaal in de praktijk veel meer tegen dan de theorie doet veronderstellen.
Nu met de huidige processor snelheden zijn de mogelijkheden veel beter dan toen maar het transport van je cliënt naar de server (om te testen) is wel een vreselijk vertragende factor en hoe verder ze uit elkaar liggen (lees hops), hoe trager het wordt .

Ik heb al wat bot-netjes gezien die dat prima voor je kunnen doen. Kracht van de grote zeg maar. Processorkracht en bandbreedte gebundeld in een mooi zombi parkje.

En dit klopt ook niet helemaal :)
De snelheid van een brute forcer is afhankelijk van het type wachtwoordschema (SHA-crypt, NTLM, MD5, etc.) dat gebruikt wordt en inderdaad de gebruikte hardware. Je hebt tegenwoordig grafische kaarten van een paar honderd euro die al 1,6 miljard mogelijkheden per seconde kunnen checken (in het geval van een MD5 hash), wat betekent dat het wachtwoord 'Po3k1e' binnen een paar minuten te kraken is. Daar komt nog bij dat slimme krakers brute force pas op het laatst doen. Eerst gebruiken ze combinaties van woordenboeken, mask-aanvallen en 'fingerprinting'. Een wachtwoord zoals 'Po3k1e' begint met een hoofdletter en hierin is de 'e' vervangen door een '3' en de 'i' door een '1' (wat masking heet). Dit zijn vrij standaard technieken die krakers ook benutten en daardoor neemt de entropie (=mate van informatie) van je wachtwoord vrij snel af. Een lang wachtwoord (>10) dat makkelijk te onthouden is, is vaak veiliger dan een kort 'complex' wachtwoord. Je moet er alleen voor zorgen dat je geen woorden uit een woordenboek gebruikt of een combinatie daarvan.


En dat is maar goed ook, anders zouden wachtwoorden allang niet meer als single-factor authenticatie gebruikt kunnen worden :) Maar bedenk wel dat wachtwoorden niet alleen in je hoofd bestaan, ze worden ook opgeslagen bij bedrijven in een versleutelde vorm. Dan moet jij als gebruiker maar hopen dat die bedrijven een goede versleuteling gebruiken en dat er niemand bij kan komen. Gebruik daarom dus ook nooit hetzelfde wachtwoord voor meerdere services.

Mhh, ook ik gebruik combinaties van persoonlijke zaken in wachtwoorden, maar wel meestal een combinatie die niet echt voor de hand ligt en tevens gecombineerd met leesteken.

Brute force is vanaf de servers gemakkelijk tegen te houden door na 15 foutieve pogingen je 10 of 30 minuten uit te sluiten (voor die gebruiker en ip). Tevens je gehele ip blokken als er in een uur meer dan 250 foutieve logins komen (enig risico hier, maar better safe then sorry). Op deze manier is het praktisch uitgesloten dat je er met brute force in komt. Ik vindt hetjammer dat de meeste server dit niet out of the box ondersteunen.

Theoretisch leuk verzonnen maar je volgende vertragende factor is de authenticatie server die het allemaal moet verwerken.
Je kan dus 100000000 clients simultaan diverse WW laten afschieten maar ze moeten wel verwerkt worden.
Kijk als je een gehashed WW hebt en je wilt die BF-en dat kun je lokaal met snelle machines/processors/rekenkracht (desnoods een hele batterij) doen maar over het Net is het vaak puur geluk hebben een blijft er van de BF weinig over.



Zeker maar het zijn allemaal theoretische waardes. Je zal moeten beginnen met passwords van 1 karakter te proberen en dan verder naar boven. Hieruit vloeit meteen de noodzaak dat je in ieder geval naast letter en cijfers ook de ander printbare karakters gebruikt (in ieder geval 1) dat verplicht de BF-attacker om alle 90 karkaters te gebruiken in zijn aanval.

Nogmaals de vertragende factor is altijd de netwerk connectie en de server die het moet valideren en dan blijven er van die theoretisch zo mooie waardes niet veel meer over.

Desalniettemin bedankt voor jullie reactie