Security Professionals
- ipfw add deny all from eindgebruikers to any
NL wachtzin generator met sterkte indicatie voor verschillende hashes en hardware
De sterkte van wachtzinnen ( (Passphrase)) wordt mede bepaald door de willekeurigheid van de keuze van de woorden. Diceware gebruikt daarvoor dobbelstenen. De spreadsheet via onderstaande link doet iets dergelijks, het genereert een zin van willekeurige korte woorden afkomstig uit de interne 3 Nederlandse (of Engelse) woordenlijst.
Ook geeft de spreadsheet inzicht in de sterkte van de gekozen zin. De sterkte berekeningen maken onderscheid tussen woordenboek aanvallen en al dan niet slimme character-based brute force aanvallen. Voor TrueCrypt is een speciale sterkte regel toegevoegd.
De spreadsheet kan met/zonder Internet en met/zonder (met beperkingen) macro's werken en kan in NL of US talen werken. Indien Internet gebruikt wordt als bron van willekeurige getallen, wordt de woordenlijst eerst 'geschut' voordat de keuze gemaakt wordt.
Voor het echte werk moet de spreadsheet voor de veiligheid gedownload worden. Maar voor testdoeleinden kan deze ook op Skydrive uitgevoerd worden (zonder macro's). Zonder macro's blijven de kern functies werken, maar de uitgebreide help teksten bijvoorbeeld niet.
===== edit
Inmiddels is versie 2 uit, de definitieve plaats is:
http://www.itura.nl/infosec.html
versie 2 (7/2014) is uitgebreid met 2 unieke eigenschappen:
- Day 1 hit: kans dat wachtzin reeds op dag 1 geraden wordt (naast de berekening van de gemiddelde kraaktijd)
- Test op woordenlijst botsingen, waardoor een wachtzin slechts de sterkte heeft van een zin met 1 woord minder
Ook geeft de spreadsheet inzicht in de sterkte van de gekozen zin. De sterkte berekeningen maken onderscheid tussen woordenboek aanvallen en al dan niet slimme character-based brute force aanvallen. Voor TrueCrypt is een speciale sterkte regel toegevoegd.
De spreadsheet kan met/zonder Internet en met/zonder (met beperkingen) macro's werken en kan in NL of US talen werken. Indien Internet gebruikt wordt als bron van willekeurige getallen, wordt de woordenlijst eerst 'geschut' voordat de keuze gemaakt wordt.
Voor het echte werk moet de spreadsheet voor de veiligheid gedownload worden. Maar voor testdoeleinden kan deze ook op Skydrive uitgevoerd worden (zonder macro's). Zonder macro's blijven de kern functies werken, maar de uitgebreide help teksten bijvoorbeeld niet.
===== edit
Inmiddels is versie 2 uit, de definitieve plaats is:
http://www.itura.nl/infosec.html
versie 2 (7/2014) is uitgebreid met 2 unieke eigenschappen:
- Day 1 hit: kans dat wachtzin reeds op dag 1 geraden wordt (naast de berekening van de gemiddelde kraaktijd)
- Test op woordenlijst botsingen, waardoor een wachtzin slechts de sterkte heeft van een zin met 1 woord minder
Reacties (7)
Ik heb de sheet nog niet uitgeprobeerd, maar als ik in de tekst hierboven zie staan dat er een lijst met woordenboek-woorden wordt gebruikt heb ik er mijn vraagtekens bij. De lijst werkt twee kanten op; en zet kwaadwillenden op een wel heel eenvoudig spoor.
Beter zou het zijn om je eigenwoorden lijst in de sheet op te nemen, maar waar heb je dan een generator voor nodig?
Beter zou het zijn om je eigenwoorden lijst in de sheet op te nemen, maar waar heb je dan een generator voor nodig?
Inderdaad lijkt het intuïtief zo dat een onbekend woordenboek beter is. Goede encryptie maakt echter alles bekend behalve de wachtzin (geen 'security by obscurity'). Juist als als een kwaadwillende weet dat bijvoorbeeld de Diceware woordenlijst wordt gebruikt, gelden de sterkte berekeningen. Bij andere woordenboeken nemen de gemiddelde tijden allen maar toe omdat dit zo'n mooie korte lijst is.
Ook vanuit Diceware: de spreadsheet ondersteunt het versterken van de zin door slechts 1 woord op een specifieke, maar willekeurige, manier te verbasteren. Dan komt dat woord niet voor bij de aanvaller en voor aanvallen met verbaster-regels gelden dan de berekeningen weer.
De woordenlijst is overigens gemakkelijk aan te passen, alles blijft dan even sterk als er maar willekeurig gekozen wordt. Het is geen sinecure 7776 korte, makkelijk te onthouden woorden te vinden. En dan zou je voor de sterkte berekening moeten aannemen dat de aanvaller woorden wel of niet heeft in het aanvalslijst. Lijkt mij erg onzeker en weinig aan te rekenen.
Ook vanuit Diceware: de spreadsheet ondersteunt het versterken van de zin door slechts 1 woord op een specifieke, maar willekeurige, manier te verbasteren. Dan komt dat woord niet voor bij de aanvaller en voor aanvallen met verbaster-regels gelden dan de berekeningen weer.
De woordenlijst is overigens gemakkelijk aan te passen, alles blijft dan even sterk als er maar willekeurig gekozen wordt. Het is geen sinecure 7776 korte, makkelijk te onthouden woorden te vinden. En dan zou je voor de sterkte berekening moeten aannemen dat de aanvaller woorden wel of niet heeft in het aanvalslijst. Lijkt mij erg onzeker en weinig aan te rekenen.
16-09-2013, 14:52 door
Patio
Waarom zou je alleen korte woorden gebruiken en dan ook nog uit zo'n lijst die voor iedereen te raadplegen is. Gebruik zelfverzonnen woorden of woorden in een taal die bijna niemand kent. Dat maakt je sleutel moeilijker te kopiëren en je gegevens veiliger lijkt me. Kortom: eens met Anoniem 10:24
"Waarom zou je alleen korte woorden gebruiken en dan ook nog uit zo'n lijst die voor iedereen te raadplegen is"
Omdat die 2 punten niets uitmaken in de zin van "Voldoende sterk" en "nog sterker ?" dat het verschil zou kunnen zijn. Bij voldoende sterk zijn de kraaktijden gemiddeld al niet haalbaar, ook niet in de nabije toekomst.
Lees de FAQ maar op
http://world.std.com/~reinhold/dicewarefaq.html onder "How long should my passphrase be?"
"Nog sterker?" wordt het overigens vaak niet, vandaar het vraagteken. Zelf kan je (ik?) nauwelijks willekeurige zinnen produceren. En dan worden slimme aanvallen die grammatica en omgeving meenemen veel succesvoller.
'Lees' maar eens een paar zinnen uit de spreadsheet en vergelijk die eens met eigen 'willekeurige' zinnen. Een van de meest gehoorde bezwaren van de Engelse lijsten is dat ze moeilijke zinnen produceren. Daarom 7776 korte, eenvoudige woorden. Voor de sterkte is het niet zinvol lange woorden te nemen.
Samengevat, het is zo gemiddeld voldoende sterk. En hoe zit het met de sterkte berekeningen van de eigen zinnen?
Omdat die 2 punten niets uitmaken in de zin van "Voldoende sterk" en "nog sterker ?" dat het verschil zou kunnen zijn. Bij voldoende sterk zijn de kraaktijden gemiddeld al niet haalbaar, ook niet in de nabije toekomst.
Lees de FAQ maar op
http://world.std.com/~reinhold/dicewarefaq.html onder "How long should my passphrase be?"
"Nog sterker?" wordt het overigens vaak niet, vandaar het vraagteken. Zelf kan je (ik?) nauwelijks willekeurige zinnen produceren. En dan worden slimme aanvallen die grammatica en omgeving meenemen veel succesvoller.
'Lees' maar eens een paar zinnen uit de spreadsheet en vergelijk die eens met eigen 'willekeurige' zinnen. Een van de meest gehoorde bezwaren van de Engelse lijsten is dat ze moeilijke zinnen produceren. Daarom 7776 korte, eenvoudige woorden. Voor de sterkte is het niet zinvol lange woorden te nemen.
Samengevat, het is zo gemiddeld voldoende sterk. En hoe zit het met de sterkte berekeningen van de eigen zinnen?
Deze wachtzin generator geprobeerd op de apple Mac computer Na de installatie en openen via Excel 2011 krijg ik alleen maar fout meldingen klopt dit?
23-09-2013, 16:51 door
Dick99999
Vermoedelijk heb je de versie met macro's gedownload. Deze geeft bij opening 3 keuze mogelijkheden, waaronder enable en disable macro's. In beide gevallen kan je de spreadsheet gebruiken.
Als je de melding niet wilt hebben kan je kiezen de 'SAFE' versie te downloaden. Hier zijn de macro's al uit weggehaald. Zonder macro's werken de help functie en de knoppen niet. Maar het genereren, de sterkte- en kraaktijden-berekening werken wel.
Als je de melding niet wilt hebben kan je kiezen de 'SAFE' versie te downloaden. Hier zijn de macro's al uit weggehaald. Zonder macro's werken de help functie en de knoppen niet. Maar het genereren, de sterkte- en kraaktijden-berekening werken wel.
Wellicht is dit blog artikel een mooie aanvulling op deze post.
http://blog.e11even.nl/de-zin-van-een-wachtzin-het-nieuwe-wachtwoord/
http://blog.e11even.nl/de-zin-van-een-wachtzin-het-nieuwe-wachtwoord/
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.