image

Facebook noemt sterke wachtwoorden zwak

woensdag 11 april 2012, 12:43 door Redactie, 20 reacties

Websites zoals Facebook, PayPal, Yahoo! en eBay noemen sterke wachtwoorden zwak, terwijl ze zwakkere wachtwoorden wel toestaan en zelfs sterk noemen. Dat blijkt uit onderzoek door Dan Wheeler. Hij registreerde zich bij verschillende webdiensten met de wachtwoorden qwER43@!, Tr0ub4dour&3 en correcthorsebatterystaple. Deze wachtwoorden zijn afkomstig van een bekende XKCD-strip over wachtwoorden. Passphrases, oftewel wachtwoorden die uit meerdere woorden bestaan, zijn vanwege het aantal karakters veel sterker dan een kort wachtwoord met speciale tekens.

Ontwikkelaars van tal van webdiensten zijn echter niet bekend met het concept van passphrases en de bescherming die dit biedt. Van de drie wachtwoorden die Wheeler gebruikte is correcthorsebatterystaple het sterkst. PayPal, Facebook en Yahoo! noemen het een zwak wachtwoord, terwijl eBay, Citibank en de Bank of America het wachtwoord niet eens toestaan.

Google noemt de passphrase "good", maar bestempelde qwER43@! als 'strong', terwijl dit over het algemeen als een zwak wachtwoord wordt beschouwd.

Reacties (20)
11-04-2012, 13:17 door Anoniem
Wat is bij deze veilig?

Een dictionary attack lijkt me juist vele malen effectiever bij wachtwoorden (passphrase) zoals correcthorsebatterystaple.

Als we dan gaan kijken naar brute force, dan zijn inderdaad de kortere wachtwoorden met speciale tekens beter, toch?

Dan zou een passphrase met speciale tekens en opzettelijke typfouten toch het beste moeten zijn.

Correct me if i'm wrong!
11-04-2012, 13:19 door RickDeckardt
correct horse battery staple FTW
11-04-2012, 13:26 door Anoniem
Hmmm, ik ben geen rekenkundig wonder, maar een lange passphrase met alleen maar kleine letters is volgens mij ook lang nog niet zo veilig als hier beweerd wordt toch?
Liever een passphrase met ook cijfers en hoofdletters; dat is volgens mij ook wat "moeder" Certified Secure aanraadt
11-04-2012, 13:35 door Anoniem
Ik gebruik overal P@55Word. Altijd goed....
11-04-2012, 14:06 door NumesSanguis
Dat komt omdat woordenboek aanvallen dan vaker nut hebben en met vreemde tekens niet?
11-04-2012, 14:16 door Anoniem
correcthorsebatterystaple is voor de meeste diensten ook een slecht wachtwoord. Om een of andere reden (performance denk ik, dat is vaak een werkend excuus om niet aan veiligheid te doen) worden de passphrases afgekapt tot een teken of acht, en houd je 'correcth' over.

In sommige gevallen gelukkig wat meer, maar een sha512sum van een bestand als wachtwoord gebruiken gaat hem helaas vrijwel nergens worden.
11-04-2012, 14:24 door Anoniem
ik vraag me af of hier een eenduidig antwoord op is...

Het bekende XKCD stripje geeft voor het wachtwoord Tr0ub4dour&3 een entropie van 28 bits - wat kennelijk te kraken is in 3 dagen. Het 'correcthorsebatterystaple ' wachtwoord - alhoewel minder complex maar met meer tekens, zou een entropie hebben van 44 bits en dus veel lastiger.

Wikipedia heeft een heel stuk over de entropie van wachtwoorden op http://en.wikipedia.org/wiki/Password_strength#Random_passwords.

Theoretisch - bij volledig willekeurige wachtwoorden - geldt per karakter bij gebruik van de complete ascii set dat de entropie 6 1/2 bits is. Mijns inziens zou Tr0ub4dour&3 dan (12 karakters lang) een sterkte hebben van ongeveer 78 bits. Het wachtwoord correcthorsebatterystaple (25 letters) heeft door gebruik van alleen de lower-case karakters een entropie van 4.7 bits per karakter dus in totaal ongeveer 120 bits.
11-04-2012, 14:39 door Vergeten
Door NumesSanguis: Dat komt omdat woordenboek aanvallen dan vaker nut hebben en met vreemde tekens niet?

Hoeverre je dit woordenboek kan noemen, vaak is het gewoon een lijst in een bestandje met de meeste voorkomende "wachtwoorden". Dus die pakt ook speciale tekens als een "woord" dit bevat uit de lijst.

Maar goed deze aanvallen werken vaak met één woord, niet vier willekeurige woorden. Dus als je Bruteforce aanval uitvoert waarbij hij alle tekens gebruikt zal dus een langere wachtwoord veel effectiever zijn. Deze meneer heeft dus 100% gelijk wat hij zegt, best stom eigenlijk als ik er nu over nadenk dat ik ook minstens 2 soorten tekens gebruik bij mijn wachtwoorden terwijl ik beter veel langere wachtwoorden kan gebruiken.
11-04-2012, 14:42 door Anoniem
Passphrases zonder spelfouten / extra tekens zijn supergevoelig voor dictionary attacks; de hoeveelheid correcte samenstellingen van letters - die dus woorden vormen is vele, vele malen kleiner dan de hoeveelheid mogelijke niet-correcte samenstellingen. Verzin een goed wachtwoord - liefst willekeurig, of op z'n minst lang met alle soorten tekens erin, en niet alleen her en der een A vervangen met een 4 of een S met een $, etc - en leer hem uit je hoofd, punt.
11-04-2012, 14:44 door Rasalom
Ik verwacht dat juist door die XKCD-strip deze wachtwoorden in veel woordenboek aanvallen zullen voorkomen. Dat ze als zwak aangemerkt worden is dus niet zo gek. Slecht onderzoek.
11-04-2012, 14:54 door Anoniem
Door Rasalom: Ik verwacht dat juist door die XKCD-strip deze wachtwoorden in veel woordenboek aanvallen zullen voorkomen. Dat ze als zwak aangemerkt worden is dus niet zo gek. Slecht onderzoek.
Waarom worden de kortere wachtwoorden uit dezelfde strip dan wel als sterk aangemerkt?
Je kunt als ontwikkelaar nooit tegen wordlists van bekende wachtwoorden checken, die verlopen veel te vaak, en zijn dus niet te onderhouden. Je kunt alleen checken of een wachtwoord voldoende entropie bevat, zodat een aanvaller veel te veel tijd kwijt is om een wachtwoord te kraken. De (oude) regels om speciale tekens te vereisen zijn tegenwoordig niet meer zo effectief omdat password cracking tools daar rekening mee houden. Uit een recente hack bleek dat wachtwoorden als G1rlp0wer! ook niet zo effectief meer zijn. Daardoor is het ook een stuk lastiger geworden om te controleren of een wachtwoord veilig is of niet.
11-04-2012, 15:20 door varttaanen
Supermooi dit!
11-04-2012, 16:31 door NumesSanguis
De oplossing is altijd simpel:
Pak een aantal woorden en zet er ook speciale tekens tussen :)
11-04-2012, 16:38 door Anoniem
beveiliging met enkel een wachtwoord dat meer als een keer is te gebruiken is altijd zwak.
Als Facebook, PayPal, Yahoo! en eBay bij iedere wachtwoord zou zeggen dat het zwak is dan hebben ze gelijk.

Greetingz,
Jacco
11-04-2012, 17:09 door Anoniem
Het aantal combinaties voor je wachtwoord is M^N. N maximaliseren (langere wachtwoorden) zet een stuk meer zoden aan de dijk dan M maximaliseren (meer speciale tekens). Dit soort 'simpele' lange wachtwoorden zijn niet vatbaarder voor dictionary attacks dan korte 'lastige' wachtwoorden. Een andere manier om er tegenaan te kijken is dat je alle woorden uit een taal als alfabet gebruikt in plaats van alle letters uit een taal. Dus in plaats van acht letters in je wachtwoord neem je nu acht woorden. En er zijn veeeel meer worden dan letters+cijfers+speciale tekens. dictionary of niet.
11-04-2012, 17:12 door Anoniem
Weet niet, ik gebruik altijd als passphrase (-;wie dit leest is gek;-)
11-04-2012, 21:50 door Anoniem
Door NumesSanguis: De oplossing is altijd simpel:
Pak een aantal woorden en zet er ook speciale tekens tussen :)

Dat voegt weinig toe. 'correct horse battery staple' heeft een search space van 3.9 * 10^49. 'corr 12 hor #$ batte ^& stap' wat evenveel karakters kent, maar ook cijfers en leestekens (en wat veel moeilijker te ondhouden is) is 'maar' 100 keer moeilijker te raden (search space 3.12 * 10^51)

Hoop geetter voor relatief weinig winst. Het toevoegen van een enkel woord maakt de search space 10^14 keer groter. 'correct horse battery staple factory' heeft een search space van 5.73 * 10^63. Nauwelijks moeilijker te onthouden, veel meer werk voor iemand die wil brute-forcen.

Een van de weinige keren dat lengte wel uitmaakt. Langer is beter dan complex, tenzij we overstappen op Koreaans (met 11.172 'letters' in hun 'alfabet'.)
11-04-2012, 23:48 door Anoniem
Door Rasalom: Ik verwacht dat juist door die XKCD-strip deze wachtwoorden in veel woordenboek aanvallen zullen voorkomen. Dat ze als zwak aangemerkt worden is dus niet zo gek. Slecht onderzoek.

Die wachtwoorden zijn juist heel sterk, mits je daadwerkelijk compleet willekeurige woorden neemt; in de engelse taal zijn er zo'n miljoen woorden; dus dat maakt (10^6)^4=10^24 combinaties. Laat daar maar een dictionary attack op los, dan duurt het nog een eeuwigheid.
12-04-2012, 09:58 door Anoniem
Neem een aantal woorden uit een aantal verschillende talen, niet alleen Nederlands en/of Engels.
13-04-2012, 08:06 door Anoniem
wie nog in username passwords denkt leeft niet in 2012.

zet op al je gevoelige applicaties toch eens een 2 factor authenticatie obv softtokens.
Koppel je simpel aan je login applicatie (bijv TAMeB) en daarna geen gedoe meer van zeus!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.