image

Mensen kiezen veiliger wachtwoord als ze kraaktijd weten

vrijdag 9 maart 2018, 13:58 door Redactie, 11 reacties

Mensen kiezen veiligere wachtwoorden als ze weten hoe lang het duurt om een wachtwoord te kraken, zo blijkt uit onderzoek van de Universiteit van Plymouth. De onderzoekers keken naar twee verschillende manieren waarop gebruikers bij het kiezen van een wachtwoord geholpen kunnen worden.

Wanneer gebruikers standaardadvies ontvangen, zoals een wachtwoordmeter die de sterkte van het wachtwoord laat zien, is er 40 procent meer kans dat ze een veilig wachtwoord kiezen. Krijgen gebruikers echter te zien hoe lang het duurt voordat hun wachtwoord kan worden geraden of gekraakt, dan is de kans dat ze een veiliger wachtwoord kiezen tien keer zo groot.

Het onderzoek bestond uit twee experimenten. Bij het eerste experiment kregen 300 gebruikers bij het aanmaken van een online account verschillende wachtwoordmeters, emoji's, feedbackberichten of helemaal niets te zien. Wanneer gebruikers wel feedback ontvingen daalde het aantal zwakke wachtwoordkeuzes met 30 procent. Afhankelijk van de gebruikte wachtwoordmeters kan dit nog met eens 10 procent toenemen.

Bij het tweede experiment kregen 500 gebruikers naast de wachtwoordmeter ook feedback over hoe lang het duurt om een wachtwoord te kraken, hoe het wachtwoord zich verhoudt ten opzichte van andere wachtwoorden en de kans dat het gekraakt wordt. Deze gebruikers hadden meer inzicht in de risico's en kozen daardoor wachtwoorden die langer en zodoende tot wel tien keer sterker waren, aldus de onderzoekers.

"Deze resultaten bieden niet alleen een les voor wachtwoorden, maar voor de veiligheid van eindgebruikers in het algemeen, aangezien de combinatie van effectief advies en handhaving gebruikers de kans geeft om security vanaf het begin te begrijpen", zegt Steve Furnell, professor informatiebeveiliging.

Reacties (11)
09-03-2018, 15:25 door Anoniem
Daarbij ontbreekt natuurlijk wel de terugkoppeling "wat doen gebruikers vervolgens om die sterke wachtwoorden te
kunnen onthouden". Als ze die opschrijven en onder hun toetsenbord plakken is dat in bepaalde situaties wellicht
ernstiger dan wanneer ze een makkelijk te kraken wachtwoord kiezen wat ze wel kunnen onthouden.

Immers, dat "makkelijk te kraken" is alleen relevant in het specifieke scenario dat de partij waar ingelogd wordt de
security van de wachtwoordhashes niet goed voor elkaar heeft. En dat is lang niet altijd zo.
09-03-2018, 15:32 door Anoniem
Ja dat klopt helemaal. Na het lezen van een stuk tekst op Internet onlangs dat een wachtwoord van minimaal 12 letters (en in dit geval alleen kleine letters) zo'n 3000 jaar kost om te bruteforcen heb ik mijn hoofdwachtwoord voor Lastpass 15 tekens groot gemaakt en daarna alle websites afgegaan om al mijn wachtwoorden te vervangen voor verschillende wachtwoorden van minimaal 12 tekens (kleine letters, hoofdletters en tekens allemaal door elkaar).
Dit was een ware eye-opener voor mij en heb daarop meteen actie ondernomen.

Wachtwoorden zijn nog steeds het enige bewijs dat diegene die inlogt ook daadwerkelijk jij bent en daar valt of staat je security online mee.
09-03-2018, 17:29 door Anoniem
mensen moeten gewoon af van wachtwoorden. maar wachtzinnen gebruiken.

wat is er makklijker te onthouden AN#Sas10f-fd of MijnKatLooptDoorDeStraat
of iets dergelijks....
09-03-2018, 20:42 door Anoniem
Door Anoniem: Ja dat klopt helemaal. Na het lezen van een stuk tekst op Internet onlangs dat een wachtwoord van minimaal 12 letters (en in dit geval alleen kleine letters) zo'n 3000 jaar kost om te bruteforcen heb ik mijn hoofdwachtwoord voor Lastpass 15 tekens groot gemaakt en daarna alle websites afgegaan om al mijn wachtwoorden te vervangen voor verschillende wachtwoorden van minimaal 12 tekens (kleine letters, hoofdletters en tekens allemaal door elkaar).
Dit was een ware eye-opener voor mij en heb daarop meteen actie ondernomen.

Wachtwoorden zijn nog steeds het enige bewijs dat diegene die inlogt ook daadwerkelijk jij bent en daar valt of staat je security online mee.

Lol'd @ laatste zin. In b4 iemand je een mail stuurt met een malafide bestand dat een keylogger en een permanente backdoor op je systeem pleurt.
Wachtwoorden zijn helemaal geen bewijs dat degene die inlogt daadwerkelijk jij bent, en ondanks dat ze een belangrijk component van overall security vormen, zijn ze verre van hetgeen waarmee je security online valt of staat.

Blindelings geloven dat je nu opeens safe zit op het gebied van security omdat je simpelweg een passwordmanager gebruikt met een complex genoeg hoofdwachtwoord gaat je security op de lange termijn helemaal niet ten goede komen.

'Defense in depth' en 'continuing education' zijn de sleutelwoorden hier ;)
09-03-2018, 21:04 door Anoniem
12345
:0

123456
:)
10-03-2018, 07:44 door Anoniem
Door Anoniem: 12345
:0

123456
:)

+1

Misschien moeten we daarnaast de mensen eerst maar eens leren wat HTTPS is en waarom "add exception" niet altijd zo'n strak plan is ;-)

"Ja maar dan werkt de site toch gewoon als je die uitzondering toevoegt?" Is helaas de reflex die de meeste mensen (zelfs ICT'ers) hebben.
10-03-2018, 20:26 door Anoniem
Door Anoniem: Daarbij ontbreekt natuurlijk wel de terugkoppeling "wat doen gebruikers vervolgens om die sterke wachtwoorden te
kunnen onthouden". Als ze die opschrijven en onder hun toetsenbord plakken is dat in bepaalde situaties wellicht
ernstiger dan wanneer ze een makkelijk te kraken wachtwoord kiezen wat ze wel kunnen onthouden.

Immers, dat "makkelijk te kraken" is alleen relevant in het specifieke scenario dat de partij waar ingelogd wordt de
security van de wachtwoordhashes niet goed voor elkaar heeft. En dat is lang niet altijd zo.


Onder het toetsenbord?
Altijd nog beter dan op de computer in een file onder wordpad bewaren, wat sommigen wel kunnen bedenken.
Een password manager zou ik ook nog niet vertrouwen.

Ik hanteer gewoon mijn eigen manier, een hele goede, maar ik zal zeker niet de enigste zijn met mijn wijze van handelen.

Maar onder het toetsenbord, u denkt toch niet dat de hacker even fysiek langs komt?
12-03-2018, 12:15 door hanspaint
Door Anoniem:
Door Anoniem: Daarbij ontbreekt natuurlijk wel de terugkoppeling "wat doen gebruikers vervolgens om die sterke wachtwoorden te
kunnen onthouden". Als ze die opschrijven en onder hun toetsenbord plakken is dat in bepaalde situaties wellicht
ernstiger dan wanneer ze een makkelijk te kraken wachtwoord kiezen wat ze wel kunnen onthouden.

Immers, dat "makkelijk te kraken" is alleen relevant in het specifieke scenario dat de partij waar ingelogd wordt de
security van de wachtwoordhashes niet goed voor elkaar heeft. En dat is lang
Onder het toetsenbord?
Altijd nog beter dan op de computer in een file onder wordpad bewaren, wat sommigen wel kunnen bedenken.
Een password manager zou ik ook nog niet vertrouwen.

Ik hanteer gewoon mijn eigen manier, een hele goede, maar ik zal zeker niet de enigste zijn met mijn wijze van handelen.

Maar onder het toetsenbord, u denkt toch niet dat de hacker even fysiek langs komt?
12-03-2018, 12:17 door hanspaint
Een passwordmanager niet vertrouwen is onzin je moet wel goed weten welke passwordmanager je kiest.
12-03-2018, 12:26 door Anoniem
Rekenkundig ben ik even lost. Wat is precies het verschil tussen 40% meer kans op een sterk wachtwoord, en 10 keer zoveel? Oftewel, hoe groot is de winst?

Het aantal zwakke wachtwoorden vermindert met 30% maar als er een andere wachtwoordmeter wordt gebruikt dan kan dit nog met 10% toenemen. Dus een vermindering van 33%? Of van 40%?

En wat zijn de absolute getallen eigenlijk? Zijn de resultaten significant?
12-03-2018, 12:29 door Anoniem
Door hanspaint: Een passwordmanager niet vertrouwen is onzin je moet wel goed weten welke passwordmanager je kiest.

Eh - dit is zoiets als "ik ben niet wantrouwig maar je weet maar nooit".

Om te weten of je een goede passwordmanager hebt, zul je toch niet moeten starten bij blind vertrouwen maar moet je er eerst vanuit gaan dat ze niet allemaal goed zijn. En dan heb je nog wat criteria nodig waarop je kan onderscheiden wat een goede en wat een slechte passwordmanager is. En er een kiezen, en die ga je dan vertrouwen tot iemand meldt dat dat niet (meer) gegrond is.

Voorlopig houd ik het maar op een papiertje in mijn broekzak. Wie mijn broekzak genaderd is, is zo dichtbij dat andere beveiligingsopties ook niet meer werken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.