Beveiligingsbedrijf: goed wachtwoord bestaat uit 7 tekens
Een Amerikaans beveiligingsbedrijf stelt dat een goed wachtwoord uit minimaal zeven tekens bestaat, wat ingaat tegen het advies van experts die juist lange passphrases adviseren. "Een goed wachtwoord bestaat uit minimaal zeven tekens en bevat letters, nummers en niet-alfanumerieke tekens zoals ‘&’ en ‘@’. Vermijd vanzelfsprekende namen of simpele wachtwoorden zoals ‘123’ of ‘abc’", aldus beveiliger GFI Software.
Veel datalekken ontstaan doordat websites worden gehackt en aanvallers er met de databases met wachtwoorden vandoor gaan. Websites kunnen de wachtwoorden versleutelen via bijvoorbeeld het MD5 of SHA1 hashing-algoritme. Door de opkomst van rainbow tables en snelle videokaarten wordt het steeds eenvoudiger om het bij de hash behorende wachtwoord te achterhalen. Daarbij geldt hoe korter het wachtwoord, des te eerder dit wordt achterhaald.
Passphrase
Omdat het lastig is een lang wachtwoord van willekeurige tekens te onthouden, worden passphrases geadviseerd. Een zin van verschillende woorden, al dan niet bestaand uit nummers en niet-alfanumerieke tekens. Het voordeel van een passphrase is dat die lang, maar toch eenvoudig te onthouden is. Versleutelingsprogramma TrueCrypt adviseert gebruikers bijvoorbeeld een passphrase van minimaal 20 tekens.
GFI adviseert in persbericht ook passphrases: "Je kunt een zin bedenken met niet-alfanumerieke tekens tussen de woorden, zoals ‘Mijn%hond%heet%Boris’. Je zou ook de letter ‘o’ kunnen vervangen door de nul: ‘Mijn%h0nd%heet%B0ris’." Maar geeft daarna ook het advies om een patroon kiezen op het toetsenbord om zo het wachtwoord niet te vergeten. "Bijvoorbeeld ‘zaq12wsx’. Let er hierbij op dat het patroon niet te voor de hand liggend is, zoals ‘123qweasd’."
Wijzigen
Tevens adviseert het eindgebruikers om elke maand het wachtwoord te wijzigen. Volgens beveiligingsgoeroe Bruce Schneier is dit onzin, zeker voor consumenten.
Zodra een aanvaller een wachtwoord steelt zal hij dit bij eindgebruikers in de meeste gevallen meteen misbruiken en zal de gebruiker dit ontdekken. Daarnaast zorgt het regelmatig wijzigen van wachtwoorden ervoor dat gebruikers een steeds zwakker wachtwoord kiezen, aldus Schneier.
Overigens denk ik wel dat we over moeten naar wat anders. 2factor misschien?
Beveiliging tegen brute force van buiten
7 tekens PLUS detectie van foute pogingen is dan in principe genoeg tegen brute force
Beveiliging tegen brute force van "binnen"
Als de password (hash) database gejat is dan maakt het in principe niet meer uit omdat als ze zo ver zijn ze waarschijnlijk ook de data achter het password hebben.
Als je VERSCHILLENDE passwords gebruikt voor verschillende sites dan maakt het kraken meestal niet meer uit.
Belangrijk is de er geblocked wordt bij foute pogingen en dat password hash databases niet gejat worden.
Van beide mag je niet uitgaan dus zul je op zijn minst moeten zorgen voor verschillende passwords.
mydigipass.com heeft voor mij de toekomst. leuk is dat je via een app de qr code welke in een pop up kunt scannen en zodoende via een One time password inlogged. en als ik mijn iphone niet bij me hebt kan ik gewon een OTP via mijn Intel processor generen. altijd veilig.
64^11 = 66bits entropie of ben ik niet goed wakker?
Ok in dat voorbeeld nemen ze een dictionary word met wat l33tsp34k substituties, eerste letter hoofdletter en 2 trailing chars, maar mensen zullen er evengoed in slagen om slechte passphrase te kiezen, die volgens mij even gemakkelijk te brute-forcen zouden zijn. Ik vraag me trouwens af hoeveel er al niet "correct horse battery staple" als passphrase hebben
Gewoon uit nieuwsgierigheid... ;-)
Gewoon uit nieuwsgierigheid... ;-)
Als je windows gebruikt.
http://exchangepedia.com/2007/01/what-is-the-real-maximum-password-length.html
$ john pass.txt --wordlist=rockyou.txt --format=raw-md5
Loaded 1 password hash (Raw MD5 [SSE2 16x4x2 (intr)])
zaq12wsx (kraakmij)
guesses: 1 time: 0:00:00:00 DONE (Sun Jun 24 12:02:52 2012) c/s: 36977 trying: nick123 - 98765432
goed advies man!
Zo'n bereking geld alleen als alle tekens met gelijke waarchijnlijkheid op alle posities gaan voorkomen, dat is niet zo.
Een en ander is verantwoord in de comic zelve: tel de vierkantjes.
Het is slordig dat XKCD niet als bron wordt vermeld voor zijn eigen werk en dat hij geen 'link love' krijgt.
Ook is het opvallend dat het plaatje is gecopieerd terwijl de licentie dat expliciet verbiedt voor commerciele sites.
Hier is een leesbare versie: http://xkcd.com/936/
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.