image

Hoeveel jaar kost het om jouw wachtwoord te kraken?

dinsdag 7 mei 2013, 15:35 door Redactie, 20 reacties

Vandaag is het 'Verander je wachtwoord' dag en speciaal voor deze gelegenheid berekent chipgigant Intel hoelang het duurt om wachtwoorden te kraken. Via een wachtwoordmeter kunnen gebruikers zien hoe lang het duurt voordat hun wachtwoord is gekraakt. Intel benadrukt dat de weergegeven duur geen garantie biedt en dat het alleen voor referentiedoeleinden gebruikt kan worden.

Passphrase
Verder krijgen gebruikers tips voor het maken van een veilig wachtwoord, of beter gezegd een passphrase. Dit is een wachtwoord dat uit meerdere wachtwoorden bestaat, indien gewenst aangevuld met spaties of vreemde tekens en hoofdletters. Een lang wachtwoord uit meerdere woorden is volgens Intel sterker dan een kort wachtwoord dat uit verschillende tekens bestaat.

Informatie die internetgebruikers op de website invullen wordt niet bewaard en de sterkte van het wachtwoord wordt op de computer van de gebruiker uitgevoerd. Toch adviseert Intel om niet het echte wachtwoord op de website in te vullen.

Reacties (20)
07-05-2013, 15:57 door busyr
Jammer dat sommige tips de wachtwoorden juist minder veilig maken...

* Hoofdletter-gebruik alleen aan begin van woorden?
* 'Vreemde tekens' alleen als afsluiter van je wachtwoord?

Kom op, voor 'n beetje password-cracker zijn dit de 1e dingen die geprobeerd worden...

En als 'n echte "password-master" verwerk je natuurlijk de naam van de website in je wachtwoord???? Als je Twitter-wachtwoord "My 1st Password!: Twitr" op straat ligt, kost je Facebook-wachtwoord slechts een paar extra pogingen...

Leuke poging, en tuurlijk, beter dit dan P@$$w0rd, of password1234, maar toch...

(en wie garandeert mij dat Intel (of iemand anders) de ingevoerde wachtwoorden niet stiekum toch opslaat voor verdere "analyse")
07-05-2013, 16:00 door [Account Verwijderd]
[Verwijderd]
07-05-2013, 16:14 door [Account Verwijderd]
[Verwijderd]
07-05-2013, 18:17 door 0101
2.2215848065614085e+22 jaar voor een van mijn wachtwoorden. Dat zit wel goed.

Overigens kun je om praktisch zonder risico te testen eerst de browser in offline-modus zetten en achteraf het tabblad sluiten voordat je de browser weer online laat (zodat het niet alsnog uitlekt).
07-05-2013, 18:49 door [Account Verwijderd]
[Verwijderd]
07-05-2013, 21:35 door Anoniem
Het random gegenereerde wachtwoord "Sr9vTy9JYfHvg5sV35jF" kost volgens de check 557245108788 jaar om te kraken.
07-05-2013, 22:37 door Anoniem
Ja, ik ga daar mijn wachtwoorden in een willekeurige webpagina zitten tikken. Die is gek.
07-05-2013, 22:52 door cyberpunk
Iets gelijkaardig dan wat ik momenteel gebruik:

CONGRATULATIONS!
It would take about 1847 years to crack your password.


Dat zit wel snor, denk ik dan...
07-05-2013, 23:19 door Anoniem
En dan... blijkt deze site over HTTP te werken? was een SSL-cert te duur?
08-05-2013, 00:30 door Anoniem
boate*LAKA5 duurt 2 uur en nuile*KALA5 duurt 5 jaar.
Iemand een verklaring?
En dan nog wat vreemds.

eenaapdie2banaantjeseet zou 14322198192935107000 jaar duren om te kraken?
08-05-2013, 05:38 door quikfit
214325 Years....Hmmm,lijkt me genoeg....
08-05-2013, 06:11 door Ilja. _V V
Hmmmm,....
Ik tiep 2x Enter & ik krijg een pop-up met de mededeling:

"Passwords must not be blank!"

Discrimispinazie... ;-)
08-05-2013, 08:41 door lucb1e
Dit zegt alles:

http://www.ismytwitterpasswordsecure.com/

De mijne was veilig ;-)

Door 0101: Overigens kun je om praktisch zonder risico te testen eerst de browser in offline-modus zetten en achteraf het tabblad sluiten voordat je de browser weer online laat (zodat het niet alsnog uitlekt).
Koekjes :). Daarnaast zou ik de offline modus niet vertrouwen (waarom bestaat die überhaupt nog trouwens?) maar gewoon internet disconnecten.

Door Hugo: Bij elk wachtwoordtest gaat er een request naar de webserver. Deze vertrouw ik dus per definitie niet!
Wat?! Dat maakt het zaakje wel héél zorgelijk...
08-05-2013, 09:04 door Anoniem
Je gaat je wachtwoorden toch niet zomaar ergens intypen? Dit zou dus zomaar een een social enginering test kunnen zijn.

Ik werk met Keypass en ik kan geen van mijn wachtwoorden onthouden, behalve mijn masterwachtwoord. Maar om die te vinden/kraken ben ik allang al lang onder de zoden.
08-05-2013, 09:43 door Rasalom
Door Anoniem: eenaapdie2banaantjeseet zou 14322198192935107000 jaar duren om te kraken?
Kennelijk houdt de tool absoluut geen rekening met woordenboek aanvallen. Dat is ook te verwachten aangezien de site niet om je taal vraagt. Het is een leuke gadget om gebruikers aan het denken te zetten over wachtwoorden, maar echt veel heb je er verder niet aan.
08-05-2013, 09:56 door N4ppy
Door Hugo: Wat een rare testtool.

9876543210 kost 0,0272 seconden, maar 7416092538 (welke uit dezelfde tekenset gevormd kan worden) kost 17,5 minuten. Dit is alleen logisch als je er vanuit gaat dat het eerste wachtwoord in een dictionary voorkomt. Maar dan zou 98765x43210 weer lang moeten duren, maar die is ook slechts 0,184 seconden. Dit is niet logisch.

987654 zit in de toppasswords :)

var str = this.replace(toppasswords, "a");

Geen idee wat voor algoritme ze gebruiken en wat voor aannames ze doen.
Cracken ze een hash? Wel salt/geen salt?
Proberen ze brute force? Als na 5 pogingen de boel een uur op slot gaat dan ga je er toch echt wat langer over doen
08-05-2013, 15:32 door Anoniem
@N4ppy

Het gebruikte algorithme is volgens mij tamelijk simpel.

Het feit dat je zaken zoals toppasswords en dat replace-statement hebt gevonden geeft aan dat je op de juiste plek hebt gekeken om dat algorithme te achterhalen, nl de javascript-file
<script src="/content/dam/www/public/us/en/apps/password-security-toolkit/js/password.js"></script>

De eerste stap van het algorithme is: in het password alle substrings die ook voorkomen in de toppasswords vervangen door een enkele "a". Als het password bijvoorbeeld "querty123456" is, wordt dit dus omgezet in "aa".
Die vervanging is gebaseerd op de aanname dat een hacker zou kunnen achterhalen dat een trial-password gedeeltelijk juist is. Als het password-controle-algorithme gebruik maakt van een hash, eventueel in combinatie met een salt, dan is die aanname niet juist. controle-algorithmes zonder Hashes en salts zouden sowieso verboden moeten zijn.

Na deze omzetting worden het aantal karakters bepaald van de 4 soorten lowercase (a-z), uppercase (A-Z), cijfers (0-9) en specials (zoals punten komma's dollartekens etc)

Die vier getallen worden in een formule gestopt waarmee de z.g. entropy van het password wordt berekend.
(het gaat hier om het omgezette password) (zie de gelijknamige variabele in het javascript-programma)

Die entropy wordt vervolgens gedeeld door een factor die afhangt van de beschikbare computing power.
Deze factor zal waarschijnlijk of empirisch (door ervaring) bepaald, of anders gewoon uit de duim zijn gezogen.
De (op zich redelijke) aanname hier is: hoe complexer het password, dus hoe groter de entropie, hoe langer het duurt.

@Rasalom
De tool houdt wel degelijk rekening met woordenboekaanvallen: dat blijkt uit de aanwezigheid van de variabele 'toppasswords' in het javascript-programma.

Woordenboekaanvallen werken echter alleen als het password bestaat uit 1 woord van het woordenboek,
of uit een combinatie van een handvol woorden.
(Waarbij je dan ook nog wat gegoochel met upper-lowercase in de aanval kan inbouwen.

Uitproberen van combinaties uit een woordenboek loopt echter ook al gauw uit de hand.
Voor een combinatie van 4 woorden uit een lijstje van 1000 zijn er al 10 tot de 10e macht aan mogelijkheden.
Daarom zal eenaapdie2banaantjeseet best wel lang duren, ook met een woordenboek-attack.

Op het algorithme en de aannames die in de tool verwerkt zijn, valt volgens mij het nodige aan te merken.
De onjuistheden die erin zitten leiden er echter toe dat sommige passwords als minder veilig worden aangemerkt dan dat ze in werkelijkheid zijn. De lichte paranoia die daaruit voortkomt is dan juist weer een goeie zaak.

Jos van Kesteren.
08-05-2013, 21:10 door musiman
Ik ben dol op wachtwoorden die ik niet kan onthouden. Zoals eentje die er zo lang over doet om gekraakt te worden:


CONGRATULATIONS!
It would take about 2.55470113936391e+146 years to crack your password.


:P

Ik vind het overigens wel goed dat er steeds meer gedaan wordt aan password complexity awareness. Dat gebeurt nog veel te weinig bij alle bedrijven in Nederland. Van de 100 cursisten in mijn trainingen zijn er hooguit 1 à 2 die een beleid hebben waarbij gebruikers bij aanvang dienstverband een instructie krijgen over het gebruik van het bedrijfsnetwerk en hoe met de security om te gaan PLUS een verplichte herhaling ieder jaar (of zelfs bij één bedrijf dat ik ken ieder half jaar). Vooral dat laatste, de verplichte herhaling, ontbreekt bij bijna alle bedrijven in ons land.
09-05-2013, 09:59 door Anoniem
snoffiplofdie duurt 8243 jaar om te kraken!
11-05-2013, 16:35 door 0101
Vergeten te vertellen dat ik ook gebruik heb gemaakt van een private browsing venster, zodat er helemaal geen sporen achter blijven.

De site is overigens ook te bekijken via SSL: https://www-ssl.intel.com/content/www/us/en/forms/passwordwin.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.