Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Wachtwoord tip (ook voor UM et al)

03-01-2020, 15:41 door Erik van Straten, 46 reacties
Laatst bijgewerkt: 03-01-2020, 15:56
Voor studenten en medewerkers van de universiteit van Maastricht, maar feitelijk voor iedereen die verplicht wordt om een wat langer wachtwoord te kiezen: een korte pass-phrase is meestal een verstandige keuze. Deze zijn redelijk te onthouden en in te typen zonder veel kans op typo's.

Hoe: zoek bijvoorbeeld in een nieuwsartikel naar bijvoorbeeld 4 korte woorden (of delen van langere) die je kunt onthouden, en scheid deze zonodig met cijfers en/of symbolen.

Voorbeeld van een wachtwoord van 15 karakters dat aan de meest toegepaste criteria zal voldoen (onderstaand wachtwoord natuurlijk NIET hergebruiken!) op basis van https://www.nu.nl/binnenland/6021507/42-mensen-met-vuurwerkletsel-in-brandwondencentra-rond-jaarwisseling.html:

42men@RotBevGro

De getallen 42, 666 en 1337 kun je in echte wachtwoorden overigens beter vermijden ;-) en het beste gebruik je jouw favoriete boeken, muziek, security en/of ICT sites en vakliteratuur in jouw gebied niet als bron.

Je kunt ook beginnen met https://nl.wikipedia.org/wiki/Special:Randompage en, voor alle zekerheid, door een paar willekeurige kruisverwijzingen heenklikken tot je bij een onderwerp komt dat jou normaal gesproken niet interesseert. Het gebruik van één of meer woorden uit een andere dan jouw moedertaal (géén Engels kiezen!) maakt het aanvallers ook lastiger, maar vermijd daarbij woorden die bijna iedereen kent (zoals "bonjour" en "pardon").

In elk geval: gebruik je creativiteit en neem zo'n wachtwoord op in een wachtwoordmanager bijv. op je smartphone!

Een korte link naar dit artikel is https://security.nl/posting/637814.
(De tekst hierboven is deels een kopie van mijn eerdere bijdrage in https://security.nl/posting/637810).
Reacties (46)
03-01-2020, 15:54 door Anoniem
Hi Erik,

Respect voor al je bijdragen op deze site, erg informatief! Alleen hier sla je alleen de plank mis imo.

Zoals de Uni zelf aangeeft is een wachtzin beter: "Sterke wachtwoorden zijn niet altijd gemakkelijk om te onthouden. Gebruik daarom een gezegde, zin uit een liedje of andere zin die je goed kunt onthouden en die lastig te raden of kraken is. Als algemene regel geldt wel dat wachtwoordzinnen op grond van hun lengte veiliger zijn dan zogenaamd complexe wachtwoorden. Voorbeelden van goede wachtwoordzinnen zijn: “I like football!” (3 van de 4 criteria) of “We went 2 school!” (4 van de 4 criteria)."

Het wachtwoord 42men@RotBevGro is niet te onthouden en veel zwakker dan de wachtzin: Wachtwoordenmakenisnetalstot10tellen

De Uni heeft het alleen over minimaal 15 karakters, er staat geen maximale lengte.

https://www.maastrichtuniversity.nl/nl/welkom123-geen-sterk-wachtwoord
03-01-2020, 16:04 door Anoniem
Sorry hoor maar als ik een dergelijk wachtwoord moet bedenkenen ik moet het dan niet regelmatig intikken, dan weet
ik een week later ECHT niet meer welke wachtzin ik nou bedacht had en hoe ik daar de verplichte tekens in gewurmd heb.

Als het wachtwoord dan ook nog eens regelmatig veranderd moet worden dan houdt het helemaal op.
03-01-2020, 16:09 door Erik van Straten - Bijgewerkt: 03-01-2020, 16:12
Door Anoniem:Alleen hier sla je alleen de plank mis imo. ...
Het wachtwoord 42men@RotBevGro is niet te onthouden en veel zwakker dan de wachtzin: Wachtwoordenmakenisnetalstot10tellen

De Uni heeft het alleen over minimaal 15 karakters, er staat geen maximale lengte.
Het is aantoonbaar onnodig om langere wachtwoorden te gebruiken (tenzij systemen geheel geen account lockout ondersteunen, maar dan moet je veel meer dan 15 als minimum lengte vereisen, vooral als systemen meer dan 0 informatie teruggeven naarmate je "warmer" wordt).

Belangrijker, ik ken niemand die voor haar of zijn lol lange wachtwoorden gaat zitten invoeren elke keer als ze willen (of moeten) inloggen.

Bovendien is het gebruik van woorden die in woordenboeken voorkomen risicovol, dat is namelijk precies waar tools als hashcat gebruik van maken.

Desgewenst toon ik aan waarom langer onzin is.
03-01-2020, 16:44 door Anoniem
Ik gebruik altijd willekeurige dingen die ik zie en gebruik dan verschillende talen die ik spreek maar maak Dan ook nog expres spelfouten. Bijvoorbeeld: DeT@f3lh3EFtARartGlanzieUberSiech!Hvorf0r???. En met willekeurig bedoel ik dus ook echt willekeurig. Maar natuurlijk gebruik ik dit niet overal. Voor online diensten gebruik ik gewoon KeePass (XC of DX) en kies ik gewoon een lekker lang (103 karakters ofzo) wachtwoord. Anders wordt het voor mijn brein ook nogal een ding om al die wachtzinnen te onthouden. Ik gebruik ze alleen maar voor BIOS, GRUB, Encryptie, Wachtwoorden voor mijn computers enzo. Ik begrijp alleen dat dat voor velen niet te onthouden is. Maar ik heb het geluk dat dat wel lukt.
03-01-2020, 17:04 door Erik van Straten - Bijgewerkt: 03-01-2020, 17:16
Aanvulling m.b.t. "niet te onthouden": het voorbeeld dat ik gaf is afgeleid van "42 mensen in de brandwondencentra van Rotterdam, Beverwijk en Groningen". De bedoeling is dat je dat onthoudt, en daaruit telkens het wachtwoord afleidt. Je zult zien dat als je het vaak genoeg hebt ingetikt, dat je het vanzelf gaat onthouden. En mocht je het vetgeten (na een vakantie o.i.d.), dan staat het toch in je wachtwoordmanager?

Zelf gebruik ik dit principe voor al mijn wachtwoorden die ik regelmatig (d.w.z. vaak) moet invoeren. Alle andere wachtwoorden zijn willekeurig en onthoudt KeePass voor mij.

Door Anoniem: Als het wachtwoord dan ook nog eens regelmatig veranderd moet worden dan houdt het helemaal op.
Ik raad regelmatig gewdongen wachtwoordwijzigingen al jaaaaren af, en gelukkig zijn de meeste security-specialisten het ondertussen met mij eens. Ik mag hopen dat de UM dit incident aangrijpt om ook op dit punt te moderniseren.
03-01-2020, 17:14 door Anoniem
Ook is het mogelijk om als wachtwoord verschillende woorden achter elkaar te plakken. Gebruik hiervoor Diceware: dat is op dit moment de veiligste manier om een wachtwoord te maken dat je ook daadwerkelijk kunt onthouden.

https://laatjeniethackmaken.nl/#maak-een-zeer-sterk-wachtwoord-met-diceware

Deze techniek gebruikt een echte dobbelsteen en een woordenlijst. De instructies zijn kraakhelder en goed te volgen.
03-01-2020, 19:11 door Anoniem
Naar mijn idee kun je beter het volgende doen:

1 Stel een lastig wachtwoord in: bijvoorbeeld: +*789e75oiWdfu983ihj3g9"uihdfEWRDRTE=-)(

2. Na acceptatie wachtwoord selecteren en kopiëren om dit wachtwoord te gebruiken en in te loggen.

3. Natuurlijk ben je dit wachtwoord heel snel vergeten. Wil je opnieuw inloggen klik dan op de link "wachtwoord vergeten" en genereer een nieuw moeilijk te onthouden wachtwoord.

4. Na inloggen dit wachtwoord weer snel vergeten, en bij de volgende inlog weer "wachtwoord vergeten" gebruiken en ga weer naar 1.

Voordeel: je hoeft een zeer moeilijk passfrase of wachtwoord niet meer te onthouden en je wisselt via "wachtwoord vergeten" voortdurend van wachtwoord of passfrase. Je hebt ook geen software nodig om alle passfrasen en wachtwoorden te onthouden.

Wil je het nog beter doen, dan moet je een wachtwoord generator gebruiken die je op het internet vindt om de keuze-hankelijkheid van een wachtwoord te vermijden. Elk wachtwoord is dan uniek, zeer sterk, en is moeilijk te kraken. En bij diefstal heeft de hacker of dief er weinig aan, aangezien je dan toch weer met een nieuw wachtwoord komt aanzetten die hij niet kent.
03-01-2020, 22:00 door Erik van Straten
Door Anoniem: [...]
1 Stel een lastig wachtwoord in [...]
3. Natuurlijk ben je dit wachtwoord heel snel vergeten. Wil je opnieuw inloggen klik dan op de link "wachtwoord vergeten" en genereer een nieuw moeilijk te onthouden wachtwoord.[...]
BRILJANT!

Vooral als je voor wachtwoord-resets altijd jouw e-mail account opgeeft, beveiligd met een wachtwoord dat jij wel kunt onthouden (net als meeste van jouw soortgenoten, zo blijkt herhaaldelijk uit onderzoek, zie bijv. [1] en [2]), namelijk:

123456

What could possibly go wrong?

[1] https://www.security.nl/posting/544269/123456+en+password+nog+altijd+meestgebruikte+wachtwoorden
[2] https://www.security.nl/posting/375842/%27123456%27+meest+gebruikte+wachtwoord+van+2013
03-01-2020, 23:12 door [Account Verwijderd] - Bijgewerkt: 03-01-2020, 23:19
Door Erik van Straten:
Door Anoniem: [...]
1 Stel een lastig wachtwoord in [...]
3. Natuurlijk ben je dit wachtwoord heel snel vergeten. Wil je opnieuw inloggen klik dan op de link "wachtwoord vergeten" en genereer een nieuw moeilijk te onthouden wachtwoord.[...]
BRILJANT!

Vooral als je voor wachtwoord-resets altijd jouw e-mail account opgeeft, beveiligd met een wachtwoord dat jij wel kunt onthouden (net als meeste van jouw soortgenoten, zo blijkt herhaaldelijk uit onderzoek, zie bijv. [1] en [2]), namelijk:

123456

What could possibly go wrong?

[1] https://www.security.nl/posting/544269/123456+en+password+nog+altijd+meestgebruikte+wachtwoorden
[2] https://www.security.nl/posting/375842/%27123456%27+meest+gebruikte+wachtwoord+van+2013


Ik heb mij altijd verbaasd over het juist niet aanwezig zijn van de passphrase 'enigma' op de lijst van meest gebruikte wachtwoorden omdat het een aardige relatie heeft tot het doel van wachtwoorden: Verborgen houden van data voor onbevoegden. > gecodeerd m.b.v. enigma I machine (1942) > yjclo rnoeb wvssq purvs qxinj bmtxo ryoou fvskn wxaya bpyvb orfrq mbpjb fvvna uetzd iebuk qtinn ymaso gnfzy gebho hgleg kgamp jrnkj brcfa lztnr gtewh nrnym bvuzo cpmxy jffxp otrod mezdx lbzfn dbdke dijlv hvhqb mnvqe yyqgp myqqs tjkpt ckdlp o

https://cryptii.com/pipes/enigma-machine

Misschien overbodig maar toch een waarschuwing: Ga dus geen persoonlijke kritieke bestanden versleutelen hiermee want de decodering ligt dus voor het oprapen op bovenvermelde site.
03-01-2020, 23:31 door Anoniem
Door Erik van Straten:
Door Anoniem: [...]
1 Stel een lastig wachtwoord in [...]
3. Natuurlijk ben je dit wachtwoord heel snel vergeten. Wil je opnieuw inloggen klik dan op de link "wachtwoord vergeten" en genereer een nieuw moeilijk te onthouden wachtwoord.[...]
BRILJANT!

Vooral als je voor wachtwoord-resets altijd jouw e-mail account opgeeft, beveiligd met een wachtwoord dat jij wel kunt onthouden (net als meeste van jouw soortgenoten, zo blijkt herhaaldelijk uit onderzoek, zie bijv. [1] en [2]), namelijk:

123456

What could possibly go wrong?

[1] https://www.security.nl/posting/544269/123456+en+password+nog+altijd+meestgebruikte+wachtwoorden
[2] https://www.security.nl/posting/375842/%27123456%27+meest+gebruikte+wachtwoord+van+2013
Ik moet overigens bij zeggen dat niet elke website het selecteren, kopieren en plakken ondersteunt. Die eisen gewoon dat je het wachtwoord via het toetsenbord daadwerkelijk intypt, waardoor je hele kleine (en makkelijk te kraken) wachtwoorden krijgt. Maar gelukkig zijn er genoeg websites waar mijn methode wel mogelijk is.

Het idee heb ik overigens niet zitten uitdenken, maar kreeg opeens een inval toen ik een "wachtwoord vergeten" functie van een website gebruikte. Toen zag ik opeens in dat je deze functie kon gebruiken om elke keer een nieuwe passfrase of zeer sterk wachtwoord te gebruiken, zonder dat je de passfrase moest onthouden. Er zijn veel voordelen aan dit systeem, zoals het recyclen van wachtwoorden bijvoorbeeld, wordt hiermee voorkomen, waardoor het voor botnets niet meer zinvol is om met gestolen wachtwoordlijsten automatisch in te loggen op websites. En mochten ze toch iets stelen, dan is het wachtwoord of passfrase al weer veranderd. Nog een voordeel: deze lange en sterke passfrases zijn niet zo makkelijk te brute forcen. Nadeel is dat een nieuw wachtwoord of passfrase opnieuw moet worden aangevraagd voor de inlog. Dus het is wat bewerkelijker.
04-01-2020, 00:04 door Anoniem
Door Philias: Ik heb mij altijd verbaasd over het juist niet aanwezig zijn van de passphrase 'enigma' op de lijst van meest gebruikte wachtwoorden omdat het een aardige relatie heeft tot het doel van wachtwoorden:

Dat is een voor velen te moeilijk woord om te onthouden. Vraag dat maar eens op een geschiedenisles...

Misschien overbodig maar toch een waarschuwing: Ga dus geen persoonlijke kritieke bestanden versleutelen hiermee want de decodering ligt dus voor het oprapen op bovenvermelde site.

rotrr jyhyh oesld ffczo utjkv angjy ecqqv hohnu smjmw klguj jizqk xngxx zwnqn oocir qmmwd ktudb
04-01-2020, 12:23 door Anoniem
@Erik van Straten

De methode die ik via mijn bijdrage: "wachtwoord vergeten" bekend heb gemaakt, heb ik genoemd "OTP-Maastricht", aangezien ik ook in die plaats zelf woon (en wegens de ransomware aanval op de universiteit Maastricht eind vorig jaar).

Voor de niet-ingewijde: OTP betekent: One Time Password.

Meer info hier:
https://en.wikipedia.org/wiki/One-time_password
04-01-2020, 12:28 door Erik van Straten
Door Anoniem: Ik moet overigens bij zeggen dat niet elke website het selecteren, kopieren en plakken ondersteunt. Die eisen gewoon dat je het wachtwoord via het toetsenbord daadwerkelijk intypt, waardoor je hele kleine (en makkelijk te kraken) wachtwoorden krijgt. Maar gelukkig zijn er genoeg websites waar mijn methode wel mogelijk is.
Een universiteitswachtwoord zul je, in een deel van de gevallen, moeten gebruiken om lokaal op systemen in te loggen (zoals op PC's in vakgroepen en bibliotheek). D.w.z. voordat je ergens bent ingelogd en toegang hebt tot een clipboard.

Als je uitsluitend op afstand inlogd, vanaf door jou vertrouwde devices, en copy/paste werkt, kun je het beste een random gegenereerd wachtwoord gebruiken. Zonder copy/paste mogelijkheid is het soort wachtwoord dat ik voorstel m.i. sterk, redelijk makkelijk te onthouden en indien overtikken noodzakelijk is, gaat ook dat makkelijker dan bij een random wachtwoord (vooral als je weet wat de achterliggende woorden waren, in mijn voorbeeld mensen, Rotterdam, Beverwijk en Groningen).

Door Anoniem: Het idee heb ik overigens niet zitten uitdenken, maar kreeg opeens een inval toen ik een "wachtwoord vergeten" functie van een website gebruikte.
Een voormalig collega van mij gebruikte ook deze methode voor webshops e.d. waar hij zelden inlogde. Er is dan inderdaad wat voor te zeggen.

Bovendien maakt het qua veiligheid in eerste instantie niets uit als je altijd van password-reset gebruik maak om in te loggen, tenzij je de bijbehorende e-mails niet meteen verwijdert. Als een aanvaller dan toegang tot jouw mailbox weet te verkrijgen, kan hij mogelijkerwijs achterhalen waar jij allemaal accounts hebt, en al die accounts overnemen.

Een groter probleem dat ik met deze vorm van password-reset heb is dat mensen niet beseffen dat hun e-mail adres hun identiteit vertegenwoordigt, en er vaak een waardeloos wachtwoord voor gebruiken ("omdat ze toch niks te verbergen hebben"). Of erger, dat wachtwoord op hun mobiele devices nooit in hoeven te voeren (vaak bestaat die mogelijkheid niet eens in zo'n app). Waarmee hun identiteit, bij verlies of diefstal van zo'n device, slechts beschermd is door de unlock-screen procedure. En als dat alleen uit "vegen" bestaat en/of er bypass-aanvallen mogelijk zijn (zoals op de meeste iPhones, maar ook veel Android devices), is het risico op identiteitsdiefstal waarschijnlijk veel groter dan verreweg de meeste mensen zich realiseren.

Password-reset functionaliteit die op slechts 1 factor is gebaseerd, zoals toegang tot één e-mail account, vind ik dan ook onvoldoende veilig en zou wat mij betreft (bijv. onder de privacywetgeving) verboden moeten worden.
04-01-2020, 23:22 door Anoniem
Stukje humor:

Password: maastrichtuniversity
20 characters is too long.
05-01-2020, 10:23 door Erik van Straten - Bijgewerkt: 05-01-2020, 10:35
Op 2020-01-04 om 13:21 schreef Briolet in https://security.nl/posting/637917:
Door Erik van Straten:
Door The FOSS: Dan pleit ik voor spaties toestaan in wachtwoorden. Dan kan je gewoon hele zinnen intikken (hoeft niet eens heel lang te zijn).
Dan pleit ik ervoor om op elke positie van een wachtwoord alle 95 "printable" ASCII karakters (met byte-waardes van 32 t/m 126, beide inclusief) toe te staan.

Waarom zo beperkt? Sta gewoon alle unicode karakters toe. Op mijn synology nas is dat ook mogelijk. Je kunt dan griekse tekens als ß µ ? (beta, mu, gamma) gebruiken, of chinese tekens, emoticons etc.
Zeker bij andere culturen kan ik me voorstellen dat ze gewoon lokale courante tekst willen gebruiken, zeker als dat wachtwoorden sterker maakt. (Grieken, Chinezen, Russen etc. )
Daar valt absoluut veel voor te zeggen, en ik zou er graag meer over weten (i.v.m. wachtwoord-manager-achtige software die ik aan het ontwikkelen ben).

Enkele overwegingen (met mijn zeer beperkte kennis van, en ervaring met, andere toetsenbordindelingen en karaktersets):

1) Als de server de wachtwoordlengte beperkt aan de hand van het aantal bytes, krijg je zo nauwelijks sterkere wachtwoorden (en onderbuikgevoelsmatig sluit ik niet uit dat wachtwoorden dan juist zwakker kunnen worden; als iemand dit kan aantonen of uitsluiten lees ik dat graag);

2) Als langer dan 1 byte unicode producerende karakters met één toetsaanslag (evt. gecombineerd met shift o.i.d.) bereikbaar zijn, is het wel zo dat je minder hoeft te tikken voor een even sterk wachtwoord;

3) Met o.a. @ en " in een wachtwoord, begeef ik me al op een hellend vlak omdat die chars "onder" andere toetsen zitten op een NL toetsenbord (dan op een US-versie), zie http://ascii-table.com/keyboard.php/143 voor NL en http://ascii-table.com/keyboard.php/103P-1 voor US (die site ondersteunt helaas geen https). Met andere karaktersets wordt dat alleen maar erger vrees ik.

Ik denk niet dat Chinese studenten in o.a. Maastricht er blij van worden als ze voor elk karakter van hun wachtwoord de Alt-toets moeten indrukken gevolgd door meerdere cijfers op het numerieke toetsenbord, en ze ook nog eens al die getallen (naast hun feitelijke wachtwoord) moeten onthouden. Wellicht kan dit probleem enigszins worden verholpen als systeembeheer het overschakelen naar andere toetsenbord-layouts toestaat in het inlogscherm, en de user een toetsenbord-overlay meeneemt (of uit het hoofd weet welk karakter "onder" welke QWERTY toets zit).

Aan de andere kant zie ik ook niet meteen nadelen (anders dan mogelijk punt 1) bij het toestaan van unicode in wachtwoorden (bijv. iOS ondersteunt € in het lock-screen password, Android niet).

Graag lees ik aanvullende argumenten of correcties op de mijne, en ook welke software/devices/websites meer of andere karakters in wachtwoorden ondersteunen dan ASCII byte-waardes 32 t/m 126 (zie http://www.asciitable.com/)!
07-01-2020, 11:04 door Anoniem
Wanneer je het wachtwoord per mail weer kunt resetten; willekeurig wat intikken en laat Firefox (lokaal) het bewaren.
Gebruik daarbij altijd een uniek mailadres. Zet er iets herkenbaars in dan weet je ook altijd linea recta wie jouw mailadres gelekt heeft.
07-01-2020, 13:05 door Briolet
Door Erik van Straten:
Door Briolet: Waarom zo beperkt? Sta gewoon alle unicode karakters toe…
Ik denk niet dat Chinese studenten in o.a. Maastricht er blij van worden als ze voor elk karakter van hun wachtwoord de Alt-toets moeten indrukken gevolgd door meerdere cijfers op het numerieke toetsenbord, en ze ook nog eens al die getallen (naast hun feitelijke wachtwoord) moeten onthouden. Wellicht kan dit probleem enigszins worden verholpen als systeembeheer het overschakelen naar andere toetsenbord-layouts toestaat in het inlogscherm, en de user een toetsenbord-overlay meeneemt (of uit het hoofd weet welk karakter "onder" welke QWERTY toets zit).

Daar zit inderdaad het probleem van unicode tekens als je via verschillende devices wilt kunnen inloggen. Maar als je altijd met je eigen device inlogt, weet je of het wel/niet ondersteund wordt. Als je daar al standaard vreemde tekens intikt, zal dat geen probleem zijn.

Op de mac werkt het gebruik van alle unicode goed met de wachtwoord manager van de mac. Ik heb een account waar ik emoticons in het wachtwoord heb staan. Welke weet ik niet uit het hoofd, maar mijn wachtwoord manager vult ze netjes voor me in. (;-

Op mijn Android telefoon is dat inderdaad een stuk lastiger. Er zijn wel toetsenborden die alle unicode symbolen aan kunnen, maar dan moet je de code als getal intikken. Dat wil je alleen doen indien het éénmalig is en het daarna uit een wachtwoord manager opgehaald wordt. Maar als je er bepaalde emiticons in verwerkt, is dat ook op een Android en iOS toestel niet veel extra werk bij het intikken. (Met tekens als '#!%' etc moet je ook moeilijk doen bij die toetsenborden)
07-01-2020, 13:10 door Anoniem
Anno 2020 zou het goed zijn indien standaard multi-factor authenticatie wordt geimplementeerd (er zijn ook software matige oplossingen, welke goedkoper zijn dan tokens). Hierdoor voorkom je dat wachtwoorden, indien deze in verkeerde handen zijn, uberhaupt bruikbaar zijn. Of in ieder geval wordt een aanval veel moelijker.

Vergeet niet dat heel veel wachtwoorden niet worden gekraakt, maar worden gestolen met behulp van keyloggers, infostealers, en dergelijke. Wanneer dat het geval is, is password complexity irrelevant.

Discussie over sterke wachtwoorden zou eigenlijk al achterhaald moeten zijn.
07-01-2020, 14:39 door Erik van Straten - Bijgewerkt: 07-01-2020, 14:51
@Briolet: dank voor jouw reply!

Door Anoniem: Wanneer je het wachtwoord per mail weer kunt resetten; willekeurig wat intikken en laat Firefox (lokaal) het bewaren.
Daar heb je weinig aan als je interactief op een computer wilt inloggen (bijvoorbeeld in de bibliotheek van de universiteit van Maastricht). Of als je jouw Bitlocker/Veracrypt password moet invoeren. Of het screen-unlock wachtwoord op je smartphone of tablet.

Door Anoniem: Anno 2020 zou het goed zijn indien standaard multi-factor authenticatie wordt geimplementeerd (er zijn ook software matige oplossingen, welke goedkoper zijn dan tokens). Hierdoor voorkom je dat wachtwoorden, indien deze in verkeerde handen zijn, uberhaupt bruikbaar zijn. Of in ieder geval wordt een aanval veel moelijker.
Allemaal leuk en aardig, maar "something you have" kun je kwijtraken, kan defect raken en kan soms worden ge-bypassed of worden afgekeken (denk bijv. aan IMSI-catchers en SIM-swapping bij SMS-2FA). En "something you are" is aardig voor toegang tot een smartphone, maar al snel te riskant en onvoldoende betrouwbaar voor gebruik in het publieke domein - want, eens gelekt: altijd onveilig. En ook die factor kan slijten, is aan verandering onderhevig of kan geheel verloren gaan.

Door Anoniem: Vergeet niet dat heel veel wachtwoorden niet worden gekraakt, maar worden gestolen met behulp van keyloggers, infostealers, en dergelijke. Wanneer dat het geval is, is password complexity irrelevant.
Wanneer dat het geval is, biedt ook MFA geen bescherming (overigens ook niet als je een MitM aanval niet herkent en daarbij software als modlishka wordt ingezet, maar iemand die de domeinnaam checkt kan zich hier tegen weren).

Zodra key-logger malware op je PC of portable device draait (vooral indien deze root-access heeft, zoals bij deze ellende: https://www.security.nl/posting/638141/Malafide+apps+in+Play+Store+kaapten+telefoons+via+Android-lek), of als een kwaadwillende fysieke toegang heeft weten te krijgen tot zo'n device (indien dat device de twerde factor is, wat bij smartphones met bijv. Google authenticator of andere TOTP oplossingenen vaak het geval is), ben je kansloos - game over.

Los daarvan geloof ik er niets van dat de meeste wachwoorden zo "gestolen" worden. Ik ga ervan uit dat de verreweg de meeste wachtwoorden "op straat komen te liggen" via websites die gehacked worden en die wachtwoorden niet of onvoldoende veilig "verhaspeld" waren opgeslagen. Dit in combinatie met hergebruik van (vaak zwakke) wachtwoorden door klanten, waardoor er rainbow-tables en dictionaries zijn waarmee aanvallers de meeste (gehashte of anderszins verhaspelde) wachwoorden snel kunnen achterhalen. Een andere aanvalsroute zijn hashes van wachtwoorden opgeslagen op PC's (Windows, Linux etc.) en/of (onversleuteld) verzonden via het netwerk, vaak t.b.v. SSO (Single Sign On) functionaliteit. Ook als je aanvankelijk bij het inloggen gebruik hebt gemaakt van 2FA, wordt die tweede factor in SSO omgevingen zelden gebruikt voor vervolg-logons. Iets vergelijkbaars geldt voor authenticatie-cookies op websites: zodra je je hebt aangemeld met 2FA, hoeft een aanvaller alleen maar toegang te hebben tot dat enkele cookie om jouw sessie over te kunnen nemen.

Door Anoniem: Discussie over sterke wachtwoorden zou eigenlijk al achterhaald moeten zijn.
Dat is m.i. wishful thinking. Zolang wij geen algemeen geaccepteerd en betrouwbaar, en betrouwbaar verstrekt, digitaal alternatief voor ons paspoort hebben (dat, bij verlies of diefstal, ook gerevoked/ingetrokken moet kunnen worden - en wat dan), en je niet meer betrouwbaar (nagenoeg unspoofable) kunt beschikken over "something you have" of "something you are", rest slechts "something you know". Om die redenen valt "wachtwoord vergeten-" AKA password reset-functionaliteit uiteindelijk vaak terug op uitsluitend "something you know" (and -hopefully- nobody else).

Zijn wachtwoorden perfect? Verre van. Maar tegen het vergeten ervan bestaan hulpmiddelen die geen bijzondere hardware vereisen en vaak spotgoedkoop zijn (een wachtwoordmanager en/of pen, papier en een goede verstopplaats).
07-01-2020, 16:17 door Anoniem
Los daarvan geloof ik er niets van dat de meeste wachwoorden zo "gestolen" worden. Ik ga ervan uit dat de verreweg de meeste wachtwoorden "op straat komen te liggen" via websites die gehacked worden en die wachtwoorden niet of onvoldoende veilig "verhaspeld" waren opgeslagen.

Als malware analyst kom ik dagelijks duizenden nieuwe keyloggers, infostealers en andere malware tegen welke wachtwoorden stelen van je PC. Beiden scenario's komen veelvuldig voor, passwords kraken, en passwords onderscheppen.

Dat is m.i. wishful thinking.

Daarom ''zou moeten''. Dat de realiteit anders is, is toch duidelijk ? ;)
07-01-2020, 16:18 door Anoniem
Allemaal leuk en aardig, maar "something you have" kun je kwijtraken

Something you know kan je ook vergeten. En een verloren token is oplosbaar. Zou je pleiten voor afschaffen van autosleutels, omdat je die ook kan verliezen ?
07-01-2020, 18:40 door Erik van Straten
Door Anoniem: Als malware analyst kom ik dagelijks duizenden nieuwe keyloggers, infostealers en andere malware tegen welke wachtwoorden stelen van je PC. Beiden scenario's komen veelvuldig voor, passwords kraken, en passwords onderscheppen.
Zou het kunnen dat je daardoor een wat vertekend beeld hebt van wat de meeste mensen overkomt? Anders klopt de berichtgeving op sites zoals deze niet, en zou de enorme hoeveelheid hashes maal "sightings" van wachtwoorden zoals verzameld en gepubliceerd door Troy Hunt (https://haveibeenpwned.com/About) kleiner zijn dan via keyloggers e.d. wordt verkregen?

Door Anoniem: Daarom ''zou moeten''. Dat de realiteit anders is, is toch duidelijk ? ;)
Eens.

Door Anoniem: Something you know kan je ook vergeten.
Maar dat schreef ik toch ook?

Door Anoniem: En een verloren token is oplosbaar. Zou je pleiten voor afschaffen van autosleutels, omdat je die ook kan verliezen ?
Nee, maar van elke auto die ik had, had ik 2 sleutels (die ik geen van beide hoefde te updaten). Bovendien ben ik m'n hele lange leven nog nooit een sleutel kwijtgeraakt - maar dat is toegegeven meer geluk dan wijsheid. Wel is mijn eerste smartphone ooit gerold in de trein (gelukkig stond daar toen nog bar weinig voor anderen interessante info op). En het risico dat mensen een USB-stick in een computer vergeten, schat ik als aanzienlijk in, mede gezien het aantal dat ik er in mijn loopbaan gevonden heb.

Maar het lastigst is het tevens updaten van je back-up key, en achterhalen waar je allemaal accounts hebt als je één van die sticks kwijtraakt of deze kapot gaat. Dan is een wachtwoordmanager vaak een stuk behulpzamer.

En, zoals ik al schreef, als alles in elkaar dondert ben je uiteindelijk toch vaak aangewezen op "something you know" om jouw identiteit te bewijzen. Ik hoop, maar twijfel er sterk aan, dat iedereen haar/zijn "wachtwoord-vergeten" methodes met veilige middelen (waaronder wachtwoorden) beveiligt, en er rekening mee houdt dat bijv. een gewijzigd telefoonnummer of e-mail adres, je flink in de problemen kan brengen om te bewijzen dat jij jij bent - vooral als een ander ondertussen heeft "bewezen" jij te zijn.
08-01-2020, 21:53 door Anoniem
Gewoon geen wachtwoorden meer gebruiken misschien? De techniek is ervoor dus wellicht hoeven weer eerdaags alleen maar een pincode te onthouden ( en een gebruikersnaam) incl. één of meerder devices waarmee we de 2e of wellicht 3e factor mee aantonen of ontvangen. Gezichtsherkenning op telefoons wordt steeds beter en veiliger en datzelfde geldt ook voor vingerafdrukken. Maar wellicht zijn er nog meer mogelijkheden om aanvullende identificatie factoren te genereren.
Tijd voor de broodnodige innovatie op dit gebied.
09-01-2020, 08:58 door Anoniem
Mijn algoritme:
pak een zin, bij voorkeur iets dat van toepassing is op waar het wachtwoord voor dient, gebruik de eerste letters en gebruik hoofdletters voor namen en zelfstandige naamwoorden en kleinletters voor de rest, gebruik getallen als cijfers en vervang bepaalde voorde door tekens (not wordt !, is word =, and wordt +, in of more wordt > etc).
Voorbeeld van een wachtwoord die ik gebruikte op een systeem die rond 2005 is uitgefaseerd en waar Oracle op draaide:

LE=!trMa,BG=

Zinnetje:
Lerry Ellison is not the richest man alive, Bill Gates is.

Na 15 jaar kan ik het nog altijd feilloos intypen.
09-01-2020, 09:52 door Anoniem
Door Anoniem: Mijn algoritme:
pak een zin, bij voorkeur iets dat van toepassing is op waar het wachtwoord voor dient, gebruik de eerste letters en gebruik hoofdletters voor namen en zelfstandige naamwoorden en kleinletters voor de rest, gebruik getallen als cijfers en vervang bepaalde voorde door tekens (not wordt !, is word =, and wordt +, in of more wordt > etc).
Voorbeeld van een wachtwoord die ik gebruikte op een systeem die rond 2005 is uitgefaseerd en waar Oracle op draaide:

LE=!trMa,BG=

Zinnetje:
Lerry Ellison is not the richest man alive, Bill Gates is.

Na 15 jaar kan ik het nog altijd feilloos intypen.

Je ezelsbruggetje klopt niet Jeff Bezos was in 2018 de rijkste maar mensen onthouden wel vaker dingen die niet kloppen.
09-01-2020, 11:49 door Anoniem
Wat een overbodige onzin verkopen jullie. Security moet werkbaar zijn wil je de mens (ja de mens, niet security professionals) veilig gedrag aanleren.

Veilig gedrag is ook goed aan te leren door bestaand gedrag te kopiëren of te vergelijken met wat nog aangeleerd moet worden. Wat doen jullie hier de hele dag? Juist, zinnen typen. Waarom dit niet gebruiken voor een wachtworod? Pak een willekeurige Nederlandse zin met leestekens en cijfers en voila. Spaties zijn immers ook toegestaan.

Ik zeg maar wat, "Een dozijn is 22!", of een langere: "Krijg de kolere met 22 beren!".
09-01-2020, 12:35 door Erik van Straten
Door Anoniem:
Door Anoniem: [...]
LE=!trMa,BG=
Lerry Ellison is not the richest man alive, Bill Gates is.
Je ezelsbruggetje klopt niet Jeff Bezos was in 2018 de rijkste maar mensen onthouden wel vaker dingen die niet kloppen.
Een wachtwoord (of waar het van is afgeleid) hoeft niet te "kloppen". Sterker, als je onwaarheden of ongebruikelijke wijzigingen toepast, die niet op je Facebook pagina staan of om andere redenen eenvoudig te raden zijn, levert dat meestal een sterker wachtwoord op.

Voorbeelden (vanaf nu onveilig natuurlijk, niet hetgebruiken dus): "AltIsKorZie" (Altijd is Kortjakje Ziek) ligt meer voor de hand (o.a. voor opname in password dictionaries) dan "ZelIsLanGez", afgeleid van "Zelden Is Langjakje Gezond'. Maar is natuurlijk alleen handig als je zoiets kroms kunt onthouden.

Zo kun je ook iets afleiden van "Zaandam, hoofdstad van Nederland" etcetera, of -bij gebrek aan ideeën voor zulke onzin- beginnen bij (zoals ik eerder aangaf) https://nl.wikipedia.org/wiki/Special:Randompage. En desgewenst via klikken op willekeurige kruisverwijzingen in pagina's bij een onderwerp uitkomen dat je denkt te kunnen onthouden. Vooral als je er flauwekul van maakt, is de kans kleiner dat anderen hetzelfde wachtwoord gebruiken en het daardoor in dictionaries voorkomt en/of hashes ervan in rainbow tables.

Wat mij betreft was "LE=!trMa,BG=" een uitstekend wachtwoord, waren maar meer mensen zo creatief! D.w.z. voor wachtwoorden die je het vaakst gebruikt. Immers, als je zo'n wachtwoord zelden gebruikt is de kans dat je het wachtwoord zelf, of de associatie tussen server en slagzin, vergeet al gauw erg groot, en hergebruik op meerdere servers/sites is bijna altijd een slecht idee!

Voor wachtwoorden die je minder vaak gebruikt is de m.i. beste oplossing deze door een wachtwoordmanager te laten onthouden, en als je dat doet kun je ze net zo goed random laten genereren.
09-01-2020, 13:07 door [Account Verwijderd] - Bijgewerkt: 09-01-2020, 13:08
Door Erik van Straten:
Door Anoniem:
Door Anoniem: [...]
LE=!trMa,BG=
Lerry Ellison is not the richest man alive, Bill Gates is.
Je ezelsbruggetje klopt niet Jeff Bezos was in 2018 de rijkste maar mensen onthouden wel vaker dingen die niet kloppen.
Een wachtwoord (of waar het van is afgeleid) hoeft niet te "kloppen". Sterker, als je onwaarheden of ongebruikelijke wijzigingen toepast, die niet op je Facebook pagina staan of om andere redenen eenvoudig te raden zijn, levert dat meestal een sterker wachtwoord op.

[gewist]

Sorry, had in het andere topic moeten staan.
09-01-2020, 14:47 door Anoniem
Wat doen jullie hier de hele dag? Juist, zinnen typen. Waarom dit niet gebruiken voor een wachtworod? Pak een willekeurige Nederlandse zin met leestekens en cijfers en voila. Spaties zijn immers ook toegestaan.

Ik zeg maar wat, "Een dozijn is 22!", of een langere: "Krijg de kolere met 22 beren!".

Misschien vind je dit kommaneuken maar spaties zijn niet altijd toegestaan.
Als je voor wachtwoordzinnen kiest, zou ik overwegen nog iets meer afwisselende tekens te gebruiken dan een "gewone" Nederlandse zin heeft:

Bijvoorbeeld "Een1Dozijn2Is322!" of "Krijg!de@kolere#met$22%beren!"

"Een1dozijn2is322!" vervangt elke spatie door een oplopend cijfer (eerste spatie = 1, tweede spatie = 2, enz.)
"Krijg!de@kolere#met$22%beren!" vervangt elke spatie door een symbool (eveneens in "oplopende" volgorde op mijn toetsenbord)

Dergelijke variaties maken een "gewone" wachtwoordzin nog iets sterker.
Als je hiervoor kiest, kunt je deze variaties zo gemakkelijk of moeilijk maken als je zelf wilt met de toegestane tekens.
09-01-2020, 16:10 door Anoniem

Je ezelsbruggetje klopt niet Jeff Bezos was in 2018 de rijkste maar mensen onthouden wel vaker dingen die niet kloppen.

Zoals ik aangaf is het systeem in 2005 uitgefaseerd, toen het systeem in gebruik genomen werd was Gates wel de rijkste. Maar zoals de andere persoon aangaf is het niet belangrijk dat het zinnetje klopt, alleen dat je het kunt onthouden en omdat ik de wijziging van speciale leestekens etc. algoritmisch toepas krijg ik telkens een eenduidig, makkelijk te onthouden en moeilijk te kraken wachtwoord. Het moeilijkste is een goede zin vinden.
09-01-2020, 17:51 door [Account Verwijderd]
Dank je Erik.
10-01-2020, 01:36 door iCQ at SPCL.tk
[Verwijderd door moderator]
10-01-2020, 01:37 door iCQ at SPCL.tk
[Verwijderd door moderator]
10-01-2020, 02:06 door Anoniem
Door Anoniem: Mijn algoritme:
LE=!trMa,BG=

Zinnetje:
Lerry Ellison is not the richest man alive, Bill Gates is.

Na 15 jaar kan ik het nog altijd feilloos intypen.

Een van de weinige keren dat niet kunnen spellen of onbekwaam zijn een voordeel oplevert. Het is dus Larry, niet Lerry. En "=!" is "!=". Maar goed dat je de enige bent die zo denkt, en daar gaat het in feite om bij het kiezen van een wachtwoord.
10-01-2020, 09:23 door Anoniem
Door Anoniem:
Door Anoniem: Mijn algoritme:
LE=!trMa,BG=

Zinnetje:
Lerry Ellison is not the richest man alive, Bill Gates is.

Na 15 jaar kan ik het nog altijd feilloos intypen.

Een van de weinige keren dat niet kunnen spellen of onbekwaam zijn een voordeel oplevert. Het is dus Larry, niet Lerry. En "=!" is "!=". Maar goed dat je de enige bent die zo denkt, en daar gaat het in feite om bij het kiezen van een wachtwoord.
Thanks, natuurlijk moet het Larry zijn. Slechte typevaardigheden en lichte dyslexie eisen hun tol...
=! is bewust omdat ik dat niet als single token beschouw maar als twee woorden "is" en "not" die hun respectieve characters kregen.
10-01-2020, 10:44 door Anoniem
Door Erik van Straten:
Door Anoniem:Alleen hier sla je alleen de plank mis imo. ...
Het wachtwoord 42men@RotBevGro is niet te onthouden en veel zwakker dan de wachtzin: Wachtwoordenmakenisnetalstot10tellen

De Uni heeft het alleen over minimaal 15 karakters, er staat geen maximale lengte.
Het is aantoonbaar onnodig om langere wachtwoorden te gebruiken (tenzij systemen geheel geen account lockout ondersteunen, maar dan moet je veel meer dan 15 als minimum lengte vereisen, vooral als systemen meer dan 0 informatie teruggeven naarmate je "warmer" wordt).

Belangrijker, ik ken niemand die voor haar of zijn lol lange wachtwoorden gaat zitten invoeren elke keer als ze willen (of moeten) inloggen.

Bovendien is het gebruik van woorden die in woordenboeken voorkomen risicovol, dat is namelijk precies waar tools als hashcat gebruik van maken.

Desgewenst toon ik aan waarom langer onzin is.

Als algemene regel geldt volgens mij juist wel dat langere wachtwoorden veiliger zijn, zie ook deze site:
https://veiliginternetten.nl/wachtwoorden/
" .. Hoe langer je wachtwoord is, hoe sterker het is .."
" .. Veiliginternetten.nl is een gezamenlijk initiatief van het ministerie van Economische Zaken en Klimaat, het ministerie van Justitie en Veiligheid / Nationaal Cyber Security Centrum .."
(Het Ministerie van Justitie / Grappenhuis, daarin heb ik niet veel vertrouwen, maar wel in het NCSC, dus als zij hier een verkeerd advies geven moeten we dat aantonen).

Daarbij er van uitgaande dat dezelfde encryptiemethode ("hashing algoritm") wordt toegepast, en er geen woorden uit een woordenboek worden gebruikt want door de "voorspelbaarheid" wordt de wachtwoordsterkte verzwakt.

Met andere woorden: een lang(e) wachtwoord(zin) in combinatie met een zwak "hashing algoritm" (zoals het genoemde Lan Manager protocol) levert een goed kraakbare wachtwoordhash.
Maar een lang(e) wachtwoord(zin) in combinatie met een sterk "hashing algoritm" zoals "bcrypt" levert een zeer moeilijk te kraken wachtwoordhash.

Daarbij geldt de formule: key space = character set ^ length.
Oftewel het aantal wachtwoorden (keyspace) is het het aantal karakters (letters, hoofdletters, cijfers en speciale tekens = 93)
tot de macht (aantal karakters in het wachtwoord).

Dat levert voor een wachtwoord van 4 tekens 93^4 aantal wachtwoorden, en 93^8 voor een wachtwoord van 8 tekens. Met name deze "exponentiele stijging" maakt een langer wachtwoord sterker.
https://medium.com/@ScatteredSecrets/how-to-crack-billions-of-passwords-6773af298172
Deze site van Rickey Gevers en Jeroen van Beek is mijn leestip van vandaag.
10-01-2020, 11:50 door User2048 - Bijgewerkt: 10-01-2020, 12:41
Door Anoniem:Daarbij geldt de formule: key space = character set ^ length.
Oftewel het aantal wachtwoorden (keyspace) is het het aantal karakters (letters, hoofdletters, cijfers en speciale tekens = 93)
tot de macht (aantal karakters in het wachtwoord).

Het gebruik van letters, hoofdletters, cijfers en speciale tekens is vaak verplicht. Volgens mij worden wachtwoorden daardoor juist zwakker.

Als voorbeeld neem ik een iets simpeler scenario. Stel dat een wachtwoord een lengte van 8 moet hebben en mag bestaan uit hoofd- en kleine letters. Het aantal mogelijke wachtwoorden is dan 52^8. Stel nu dat het wachtwoord hoofd- en kleine letters moet bevatten. Als je dan 7 kleine letters hebt gebruikt, dan kun je voor het achtste karakter nog maar kiezen uit een van de 26 hoofdletters. Het aantal mogelijkheden is dan 52^7 * 26 < 52^8.

Nu ben ik nooit goed geweest in statistiek en kansberekening. Maak ik een denkfout?
10-01-2020, 13:10 door Anoniem
Door User2048:
Door Anoniem:Daarbij geldt de formule: key space = character set ^ length.
Oftewel het aantal wachtwoorden (keyspace) is het het aantal karakters (letters, hoofdletters, cijfers en speciale tekens = 93)
tot de macht (aantal karakters in het wachtwoord).

Het gebruik van letters, hoofdletters, cijfers en speciale tekens is vaak verplicht. Volgens mij worden wachtwoorden daardoor juist zwakker.

Als voorbeeld neem ik een iets simpeler scenario. Stel dat een wachtwoord een lengte van 8 moet hebben en mag bestaan uit hoofd- en kleine letters. Het aantal mogelijke wachtwoorden is dan 52^8. Stel nu dat het wachtwoord hoofd- en kleine letters moet bevatten. Als je dan 7 kleine letters hebt gebruikt, dan kun je voor het achtste karakter nog maar kiezen uit een van de 26 hoofdletters. Het aantal mogelijkheden is dan 52^7 + 26 < 52^8.

Nu ben ik nooit goed geweest in statistiek en kansberekening. Maak ik een denkfout?

Mij two cents:

".. Stel dat een wachtwoord een lengte van 8 moet hebben en mag bestaan uit hoofd- en kleine letters. Het aantal mogelijke wachtwoorden is dan 52^8. Stel nu dat het wachtwoord hoofd- en kleine letters moet bevatten. Als je dan 7 kleine letters hebt gebruikt, dan kun je voor het achtste karakter nog maar kiezen uit een van de 26 hoofdletters. Het aantal mogelijkheden is dan 52^7 + 26 < 52^8.."
Als je bedoelt (52^7) x 26 < 52^8 dan klopt dat volgens mij.

Maar beschouw nu de volgende beschrijving van het wachtwoord:
" .. Stel dat een wachtwoord een lengte van 8 moet hebben en mag bestaan uit hoofd- en kleine letters .."
en cijfers en leestekens. Dan kom je op 93 mogelijkheden per karakter.

Daarbij kan je de controle weglaten op " .. moet bevatten .." Dan val je in feite terug op een "key space" van 26^8 (je mag 93 karakters gebruiken, maar je gebruikt bewust alleen de 26 kleine letters), wat voor de hacker makkelijker is.

Of je laat de controle niet weg op "..moet bevatten .." Dan kom je uit op (93^7) x (93-10) als je de eerste 7 karakters hebt gevuld met cijfers, of (93^7) x (93-26) als je de eerste 7 karakters hebt gevuld met kleine letters.

(Het wordt ingewikkelder als je de eis uitbreidt tot "minstens een kleine letter, minstens een hoofdletter, minstens een cijfer en minstens een speciaal leesteken.)

En dan is 26^8 << (52^7)x26 << (93^7)x(93-26)
Dus dat getal 93 is wel belangrijk (sta kleine letters, hoofdletters, cijfers, (speciale) leestekens toe) om een zo groot mogelijke "key space" te bereiken.
En de controle op het gebruik daarvan beperkt het maximum aantal mogelijkheden inderdaad als je bewust zoveel mogelijk kleine letters gebruikt, maar het voorkomt dat je ongemerkt terugvalt op een veel lagere "key space" (26^8 in jouw voorbeeld).
10-01-2020, 13:59 door Anoniem
Wat een overbodige onzin verkopen jullie. Security moet werkbaar zijn wil je de mens (ja de mens, niet security professionals) veilig gedrag aanleren.

Veilig gedrag is ook goed aan te leren door bestaand gedrag te kopiëren of te vergelijken met wat nog aangeleerd moet worden. Wat doen jullie hier de hele dag? Juist, zinnen typen. Waarom dit niet gebruiken voor een wachtworod? Pak een willekeurige Nederlandse zin met leestekens en cijfers en voila. Spaties zijn immers ook toegestaan.

Ik zeg maar wat, "Een dozijn is 22!", of een langere: "Krijg de kolere met 22 beren!".

Goh, scheelt echt veel met de rest van de opinies hier, die je als overbodige onzin weg zet. Dank voor het intrappen van een open deur, niets nieuws. En niet zelf bedacht.
10-01-2020, 14:02 door Erik van Straten - Bijgewerkt: 10-01-2020, 14:09
Door Anoniem:
Door Erik van Straten: Desgewenst toon ik aan waarom langer onzin is.

Als algemene regel geldt volgens mij juist wel dat langere wachtwoorden veiliger zijn [...]
93^8 voor een wachtwoord van 8 tekens. Met name deze "exponentiele stijging" maakt een langer wachtwoord sterker.
Klopt! Dank voor het aankaarten, maar ook voor het aanleveren van bewijs ;-)

Een wachtwoord van 15 tekens van 93 mogelijke karakters kent dus 93^15 = 3 * 10^29 mogelijke combinaties, een astronomisch getal. Bij een volstrekt random wachtwoord zal de aanvaller gemiddeld de helft van de mogelijke combinaties moeten proberen om dit wachtwoord te brute-forcen. In de basis heb je gelijk: hoe langer het wachtwoord, hoe meer pogingen nodig zijn om het te achterhalen. Maar zoals zo vaak is de zaak ingewikkelder dan je op het eerste gezicht zou kunnen denken...

Belangrijke aspecten bij het kiezen voor een minimale wachtwoordlengte zijn m.i. in elk geval:
1) Hoeveel karakters kan en wil een gebruiker onthouden en redelijk snel invoeren (zonder dat dit tot zoveel foute pogingen leidt dat het account wordt gelocked, al is dat "maar" voor 30 minuten), inclusief voor mensen met allerlei handicaps en/of devices met kleine afmetingen;
2) Leidt de eis voor een langer wachtwoord, gecombineerd met andere eisen daaraan (zoals verplicht elke maand wijzigen) daadwerkelijk tot veiliger wachtwoorden en een veiliger omgang daarmee;
3) Wat valt er "te halen" bij specifieke soorten gebruikers;
4) Vanaf welke lengte wordt "kraken" (achterhalen) van een wachtwoord redelijkerwijs onrealistisch;
5) Hoe "niet random" mag een wachtwoord daarbij (punt 4) zijn, d.w.z. bestaan er trucs waarbij specifieke wachtwoorden, of delen daarvan, sneller kunnen worden achterhaald dan met brute force;
6) Bij passphrases: hoe groot is de woordenschat en worden de woorden daaruit daadwerkelijk random gekozen (of kiezen de meeste mensen voor "Correct-Battery-Horse-Staple" of een vergelijkbare "how to tip" in het universiteitsblad, omdat ze iets anders niet kunnen onthouden - m.i. een risico van "diceware" waarbij gebruikers, na het dobbelen, ervoor kunnen kiezen om 'lastige" woorden te vervangen);
7) Vanaf welke lengte heeft een langer wachtwoord geen zin, bijv. vanwege een gebruikt hashalgoritme of een bepaald toepassingsscenario (zie PtH verderop).

In het (m.i. uitstekende, dank!) artikel waar je naar verwijst (https://medium.com/@ScatteredSecrets/how-to-crack-billions-of-passwords-6773af298172), staat, in het kader van het "kraken" van afgeleiden van wachtwoorden:
Brute force, dictionary attacks and advanced rulesets are used for fast hashes. Advanced dictionary attacks and basic rules are used for medium speed salted hashes. Simple dictionary attacks and simple rules are used for slow hashes.
M.a.w. als er geen fast hashes worden gebruikt, is brute force sowieso niet realistisch meer (alhoewel ik er nog niet van overtuigd ben dan een 16-bytes lange cryptografische hash van een wachtwoord van 15 random karakters in een redelijke tijd gekraakt kan worden, maar laten we er maar even vanuit gaan dat dit klopt).

Sterker, het maakt niet uit hoe lang je wachtwoord is als de hash ervan zo zwak is dat je die sneller kunt kraken dan het wachtwoord zelf! (Brute-forcen van het wachtwoord zelf hoort overigens onrealistisch gemaakt te worden door een fatsoenlijk account-lockout algoritme). En bij het "kraken" van wachtwoord-afgeleiden maakt het niets uit of je het daawerkelijke wachtwoord achterhaalt of een collision (een schijnbaar wikkekeurige reeks karakters die toevallig dezelfde hash oplevert), wat de slagingskans van de aanval vergroot.

Tet illustratie daarvan: iedereen die wel eens een Excel 2003 wachtwoord heeft gekraakt met VBA code, weet dat dit meestal een wachtwoord oplevert dat geen mens zal bedenken, maar wel werkt (om daarna van een collega te horen dat hij "1234" had ingesteld - waar gebeurd overigens).

Met andere woorden, als zwakke en/of snelle hashes worden gebruikt, ben je sowieso kansloos - ongeacht hoe lang jouw wachtwoord is.

Een ander aandachtspunt is dat in veel SSO (Single Sign On) omgevingen het probleem van PtH (Pass the Hash) speelt. De reden daarvoor is dat gebruikers niet elke keer als ze van een resource gebruik willen maken, een wachtwoord willen invoeren. Hoewel het vermoedelijk nog steeds voorkomt (voor resources die geen PtH ondersteunen), wordt het in het algemeen als zeer onverstandig beschouwd om daarom maar het plain-text wachtwoord van de gebruiker in het geheugen (en/of op schijf) te bewaren.

Voor dit probleem is een "briljante" oplossing bedacht: in plaats van het werkelijke wachtwoord voor elke resource in het domein, bewaar je gewoon de hash daarvan. En zodra een gebruiker op zo'n resource wil inloggen (bij netwerkdrives gebeurt mounten vaak al automatisch op het moment dat de gebruiker interactief inlogt), wordt die hash als "wachtwoord" (als bewijs van identiteit) naar de resource gestuurd. Het uitgangspunt hierbij is dat andere devices in een domein de PC, waarop de gebruiker aanvankelijk en met een echt wachtwoord zijn/haar identiteit heeft aangetoond, onvoorwaardelijk vertrouwen.

Maar ja, zodra malware kan wat die gebruiker kan, kan ook die malware, gebruikmakend van (cached) hashes i.p.v. echte wachtwoorden, inloggen op (als dat al niet automatisch is gebeurd) en misbruik maken van allerlei andere resources in het domein. En dat is vaak wat malware, zoals gebruikt in Maastricht, doet om zich binnen een domein te verspreiden. Ook in dit scenario hebben langere wachwoorden geen enkele meerwaarde.

Lang verhaal kort (ik ben ook al weer te lang bezig ;-) : alles afwegende denk ik dat voor doorsnee gebruikers een langer wachtwoord dan 15 karakters onzin is, mits ongevoelig voor dictionary attacks, en mits er geen slechte authenticatiemethodes worden gebruikt. Maar ik laat me graag overtuigen met steekhoudende argumenten die mijn ongelijk bewijzen!
10-01-2020, 14:10 door Anoniem
(Het Ministerie van Justitie / Grappenhuis, daarin heb ik niet veel vertrouwen, maar wel in het NCSC, dus als zij hier een verkeerd advies geven moeten we dat aantonen).

Hoezo moeten 'wij' wat doen, op basis van de vraag in wie jij wel/geen vertrouwen hebt ? Is die vraag niet aan ons allen ?
10-01-2020, 14:20 door Anoniem
En ja, ik ben een groot tegenstander van diensten die het toelaten dat er gebruikers op werken die zich niet deugdelijk
geidentificeerd hebben zodat deze informatie aan justitie kan worden overhandigd. Ik vind dat dit soort diensten verplicht
moet worden om dat bij te houden en dat anders de steker eruit moet. Dat gaat voor mij boven het lot van Tibetaanse
vrijheidsstrijders.

Vorm een wereldregering, en kom met wereldwijd beleid ;))
10-01-2020, 14:27 door Erik van Straten - Bijgewerkt: 10-01-2020, 14:31
Door User2048: Als voorbeeld neem ik een iets simpeler scenario. Stel dat een wachtwoord een lengte van 8 moet hebben en mag bestaan uit hoofd- en kleine letters. Het aantal mogelijke wachtwoorden is dan 52^8. Stel nu dat het wachtwoord hoofd- en kleine letters moet bevatten. Als je dan 7 kleine letters hebt gebruikt, dan kun je voor het achtste karakter nog maar kiezen uit een van de 26 hoofdletters. Het aantal mogelijkheden is dan 52^7 * 26 < 52^8.

Nu ben ik nooit goed geweest in statistiek en kansberekening. Maak ik een denkfout?
Nee, wat je schrijft klopt volledig. Sterker, deze restricties zijn een blok aan het been voor mensen (en software) die met zo min mogelijk random karakters zo veilig mogelijke wachtwoorden proberen te maken. De reden om aanvullende eisen te stellen is dan ook niet een technische, maar een menselijke (wellicht psychologische).

De praktijk is namelijk dat mensen "lui" zijn en bij voorkeur alleen kleine letters gebruiken. Geen hoofdletters, geen cijfers en al helemaal geen symbolen. Sterker, ze kunnen binnen de al beperkte karakterset van 26 kleine letters ook hun voorkeuren hebben, bijv. op basis van de plaats van letters op het toetsenbord (vandaar dat rijtjes als 123456 en qwerty zo populair zijn). Aanvulling: "lui" is misschien niet het juiste woord, als je weet dat al jouw wachtwoorden uitsluitend uit kleine letters bestaan, zijn ze makkelijker te onthouden (je hoeft niet meer na te denken of die tweede letter nou een hoofdletter was of niet).

Daardoor is de kans groot dat ze een wachtwoord met een "entropie" van hooguit 8^26 kiezen, terwijl wellicht 8^93 is toegestaan. Door ze te dwingen dat uit te breiden, hopen securityspecialisten vooral op "minder zwakke" dan op "maximaal veilige" wachtwoorden. Maar inderdaad is dit een helaas-pindakaas compromis.
10-01-2020, 16:18 door Anoniem
Door Erik van Straten:
Door User2048: Als voorbeeld neem ik een iets simpeler scenario. Stel dat een wachtwoord een lengte van 8 moet hebben en mag bestaan uit hoofd- en kleine letters. Het aantal mogelijke wachtwoorden is dan 52^8. Stel nu dat het wachtwoord hoofd- en kleine letters moet bevatten. Als je dan 7 kleine letters hebt gebruikt, dan kun je voor het achtste karakter nog maar kiezen uit een van de 26 hoofdletters. Het aantal mogelijkheden is dan 52^7 * 26 < 52^8.

Nu ben ik nooit goed geweest in statistiek en kansberekening. Maak ik een denkfout?
Nee, wat je schrijft klopt volledig. Sterker, deze restricties zijn een blok aan het been voor mensen (en software) die met zo min mogelijk random karakters zo veilig mogelijke wachtwoorden proberen te maken. De reden om aanvullende eisen te stellen is dan ook niet een technische, maar een menselijke (wellicht psychologische).

De praktijk is namelijk dat mensen "lui" zijn en bij voorkeur alleen kleine letters gebruiken. Geen hoofdletters, geen cijfers en al helemaal geen symbolen. Sterker, ze kunnen binnen de al beperkte karakterset van 26 kleine letters ook hun voorkeuren hebben, bijv. op basis van de plaats van letters op het toetsenbord (vandaar dat rijtjes als 123456 en qwerty zo populair zijn). Aanvulling: "lui" is misschien niet het juiste woord, als je weet dat al jouw wachtwoorden uitsluitend uit kleine letters bestaan, zijn ze makkelijker te onthouden (je hoeft niet meer na te denken of die tweede letter nou een hoofdletter was of niet).

Daardoor is de kans groot dat ze een wachtwoord met een "entropie" van hooguit 8^26 kiezen, terwijl wellicht 8^93 is toegestaan. Door ze te dwingen dat uit te breiden, hopen securityspecialisten vooral op "minder zwakke" dan op "maximaal veilige" wachtwoorden. Maar inderdaad is dit een helaas-pindakaas compromis.

Je bedoelt in de laatste zin 28^8 en 93^8 ? Dan zijn we het eens ;-)
10-01-2020, 16:24 door Anoniem
Sorry; ik bedoel 26^8 en 93^8
10-01-2020, 17:06 door Erik van Straten - Bijgewerkt: 10-01-2020, 17:07
Door Anoniem:
Door Erik van Straten: Daardoor is de kans groot dat ze een wachtwoord met een "entropie" van hooguit 8^26 kiezen, terwijl wellicht 8^93 is toegestaan.
Je bedoelt in de laatste zin 28^8 en 93^8 ? Dan zijn we het eens ;-)[...]
Sorry; ik bedoel 26^8 en 93^8
Ook sorry van mijn kant (te lang doorgegaan zonder koffie?): inderdaad bedoelde ik "... hooguit 26^8 kiezen, terwijl wellicht 93^8 is toegestaan".

(Overigens wel jammer dat het niet andersom is, 8^26 is véél meer dan 26^8 - om nog maar niet van die 93 te spreken ;-)

Checkcheck... gelukkig heb ik dat niet door elkaar gehaald in mijn bijdrage daarboven. Dank voor het melden!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.