image

Australische overheid roept op wachtwoorden door passphrases te vervangen

maandag 1 mei 2023, 09:28 door Redactie, 20 reacties

De Australische overheid roept burgers op om wachtwoorden niet langer te gebruiken en te vervangen door passphrases. Dit zijn wachtwoorden die uit meerdere woorden bestaan. Door de lengte zijn ze lastiger voor criminelen om te kraken, maar omdat ze uit woorden bestaan zijn ze eenvoudiger voor gebruikers te onthouden, aldus het Australian Cyber Security Centre (ACSC).

Het ACSC adviseert passphrases van vier of meer woorden die bij elkaar opgeteld minstens veertien karakters lang zijn. "Het veranderen van je wachtwoorden door een sterke passphrase en het gebruik van multifactorauthenticatie waar mogelijk is een fantastische manier om je cybersecurity te verbeteren", aldus de Australische overheidsdienst. Volgens het ACSC zijn wachtwoorden door de tijd heen gelijk gebleven, maar hebben de tools gebruikt om ze te kraken zich wel ontwikkeld. Een passphrase maakt het lastiger om accounts te kraken, gaat het ACSC verder.

De overheidsdienst geeft drie principes voor een goede passphrase, namelijk dat ze lang, onvoorspelbaar en uniek zijn. "Door deze principes te volgen kun je je cybersecurity verbeteren en voorkomen dat je accounts worden gecompromitteerd." Een aantal jaren geleden kwam het Britse National Cyber Security Centre (NCSC) met een campagne waarin het mensen adviseerde om wachtwoorden bestaande uit drie woorden te kiezen.

Reacties (20)
01-05-2023, 09:52 door Anoniem
Eindelijk eens wat goed advies...
Nu nog afkomen van die websites die vreemde tekens vereisen...

Ik hoop dat ze ook aan websites/bedrijven gaan adviseren om deze passphrases toe te staan.

Is er trouwens een (internationale) website waar digitaal beveiligingsadvies word gegeven aan eindgebruikers?
Een plek waar ze terecht kunnen met vragen over IT security, al dan niet over best practices of specifiek advies?
01-05-2023, 09:54 door Erik van Straten
Volgens het ACSC zijn wachtwoorden door de tijd heen gelijk gebleven, maar hebben de tools gebruikt om ze te kraken zich wel ontwikkeld.
Het aantal gelekte wachtwoorden is enorm is toegenomen, waardoor de kans dat een wachtwoord vóórkomt in een lijst met gelekte wachtwoorden (dictionary) steeds groter is geworden. Daar kunnen passphrases tegen helpen.

Het wellicht grootste probleem van wachtwoorden is echter hergebruik door de eigenaar voor meerdere accounts. Dat los je niet op met passphrases. Een wachtwoordmanager gebruiken (die je random wachtwoorden laat genereren) is m.i. het minst onveilig, mits je het apparaat (of apparaten) waarop je zo'n tool gebruikt in optimaal veilige staat houdt.
01-05-2023, 10:14 door Anoniem
het aantal woorden in engels is nu ook weer niet zo groot (~5M): met 4 woorden heb je dan evenveel entropy als met ~76 bits of 16 tekens uit een 26 letter alfabet. met 5 woorden heb je ~20 tekens uit het alfabet.
01-05-2023, 10:43 door Anoniem
Het leuke van adviezen over wachtwoorden is dat er zoveel verschillende zijn. Als er niet een is die je bevalt kun je
gewoon wachten op het volgende advies.
01-05-2023, 11:34 door Anoniem
Door Anoniem: Eindelijk eens wat goed advies...
Nu nog afkomen van die websites die vreemde tekens vereisen...

Ik hoop dat ze ook aan websites/bedrijven gaan adviseren om deze passphrases toe te staan.

Is er trouwens een (internationale) website waar digitaal beveiligingsadvies word gegeven aan eindgebruikers?
Een plek waar ze terecht kunnen met vragen over IT security, al dan niet over best practices of specifiek advies?
Net als Rumag puntjes tussen de woorden zetten...
Opgelost!
01-05-2023, 12:13 door Briolet
die bij elkaar opgeteld minstens veertien karakters lang zijn.

Zo'n passphrase van meer dan 14 tekens gebruik ik al jaren. Maar alleen voor interne zaken zoals de wachtwoordmanager. Maar omdat ik vaak een wachtwoord uit de manager moet halen, blijft het soms een heel getik.
01-05-2023, 13:52 door Anoniem
Door Anoniem: het aantal woorden in engels is nu ook weer niet zo groot (~5M): met 4 woorden heb je dan evenveel entropy als met ~76 bits of 16 tekens uit een 26 letter alfabet. met 5 woorden heb je ~20 tekens uit het alfabet.
Je gaat er hierbij wel van uit dat de aanvaller weet dat een passphrase wordt gebruikt.
Daarbij kun je de boel nog wat ingewikkelder maken door (sommige) letters te vervangen door letters.
This is NOT @ seef pa55w0rd!
01-05-2023, 15:02 door Anoniem
natuurlijk is een passphrase ook een security lek waiting to happen...

Wanneer ik een 18 character wachtwoord heb, en het begint met DitIsEenWachtwoord!
Dan is de context makkelijk te raden, zelfs voor een botje.
En theoritisch zijn bestaande woorden gemakkelijker te AI-en dan random letters.

Immers, het Nederlands kent iets van 18000 woorden en ze moeten ook in context staan...
Random 18 characters kent dan 2.7038646e+33 mogelijkheden, wat me veel meer lijkt...

passphrases lijken me dan ook inherent onveiliger.
01-05-2023, 15:23 door Anoniem
Door Anoniem:
Door Anoniem: het aantal woorden in engels is nu ook weer niet zo groot (~5M): met 4 woorden heb je dan evenveel entropy als met ~76 bits of 16 tekens uit een 26 letter alfabet. met 5 woorden heb je ~20 tekens uit het alfabet.
Je gaat er hierbij wel van uit dat de aanvaller weet dat een passphrase wordt gebruikt.
Daarbij kun je de boel nog wat ingewikkelder maken door (sommige) letters te vervangen door letters.
This is NOT @ seef pa55w0rd!


voor brute forces en rainbow tables is enkel entropy van belang. Je gaat gewoon het gehele engelse woordenboek langs met LEET erbij aan toe. het zal die computer gene ene reet uitmaken of je hekjes en cijfers of letters gebruikt hoor!
01-05-2023, 15:36 door Anoniem
Door Anoniem: natuurlijk is een passphrase ook een security lek waiting to happen...

Wanneer ik een 18 character wachtwoord heb, en het begint met DitIsEenWachtwoord!

Als we even uitgaan van het meestvoorkomende scenario, dat de hashes van de wachtwoorden gelekt zijn, dan
weet je helemaal niet waarmee het wachtwoord begint. De hash zegt daar niets over.
Dus wat wil je precies suggereren?
01-05-2023, 15:42 door Anoniem
Door Anoniem: natuurlijk is een passphrase ook een security lek waiting to happen...

Wanneer ik een 18 character wachtwoord heb, en het begint met DitIsEenWachtwoord!
Dan is de context makkelijk te raden, zelfs voor een botje.
En theoritisch zijn bestaande woorden gemakkelijker te AI-en dan random letters.

Immers, het Nederlands kent iets van 18000 woorden en ze moeten ook in context staan...
Random 18 characters kent dan 2.7038646e+33 mogelijkheden, wat me veel meer lijkt...

passphrases lijken me dan ook inherent onveiliger.

Je vergelijkt appels met peren.

Je aanname is dat een persoon met een wachtwoord van 18 karakters ineens een wachtwoord phrase moet gaan gebruiken.
Echter, geld dit advies eerder voor mensen die een wachtwoord van 8 karakters hebben zoals "12345678", wat nog steeds in de top 10 staat van gebruikte wachtwoorden in 2023.

Daarnaast is het advies ook om "onvoorspelbaar en uniek zijn".
Met andere woorden, niet "DitIsEenWachtwoord" maar bij je AH account "De gele yoghurt is hier heerlijk" (misschien nog wat symbolen om het sterker te maken etc).
01-05-2023, 17:01 door karma4
Door Anoniem:
Echter, geld dit advies eerder voor mensen die een wachtwoord van 8 karakters hebben zoals "12345678", wat nog steeds in de top 10 staat van gebruikte wachtwoorden in 2023.
Prima wachtwoord voor een waardenloos account


Daarnaast is het advies ook om "onvoorspelbaar en uniek zijn".
Met andere woorden, niet "DitIsEenWachtwoord" maar bij je AH account "De gele yoghurt is hier heerlijk" (misschien nog wat symbolen om het sterker te maken etc).
Passphrases kun je niet in de praktijk gebruiken door in te tikken.
Gaat het naar een passwoordmanager en die blijken dan weer lek te zijn.a
01-05-2023, 17:05 door Anoniem
Door Anoniem:
Door Anoniem: natuurlijk is een passphrase ook een security lek waiting to happen...

Wanneer ik een 18 character wachtwoord heb, en het begint met DitIsEenWachtwoord!

Als we even uitgaan van het meestvoorkomende scenario, dat de hashes van de wachtwoorden gelekt zijn, dan
weet je helemaal niet waarmee het wachtwoord begint. De hash zegt daar niets over.
Dus wat wil je precies suggereren?

precies wat ik aangeef, wanneer ik 18 characters met 72 opties moet bruteforces of rainbow tablen, of met 18000 woorden logische zinnen maak, dan ben ik sneller met woorden dan met random.
01-05-2023, 17:24 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: het aantal woorden in engels is nu ook weer niet zo groot (~5M): met 4 woorden heb je dan evenveel entropy als met ~76 bits of 16 tekens uit een 26 letter alfabet. met 5 woorden heb je ~20 tekens uit het alfabet.
Je gaat er hierbij wel van uit dat de aanvaller weet dat een passphrase wordt gebruikt.
Daarbij kun je de boel nog wat ingewikkelder maken door (sommige) letters te vervangen door letters.
This is NOT @ seef pa55w0rd!


voor brute forces en rainbow tables is enkel entropy van belang. Je gaat gewoon het gehele engelse woordenboek langs met LEET erbij aan toe. het zal die computer gene ene reet uitmaken of je hekjes en cijfers of letters gebruikt hoor!

Jij (de aanvaller) weet niet of ik een wachtwoord van 86 random tekens gebruik of een wachtzin van 15 Engelse woorden gemixt met wat Frans, Duits en plat Brabants al dan niet met wat Leetspeak.
Als de server er dan ook nog wat zout en peper over strooit, uiteraard zoals het hoort bij elke hash iets anders, dan wens ik je veel succes met je rainbow tables.

I.i.g is iets als Correct Horse Battery Staple al een stuk beter al 12345abc.
01-05-2023, 17:30 door Anoniem
Door Anoniem:
Door Anoniem: Eindelijk eens wat goed advies...
Nu nog afkomen van die websites die vreemde tekens vereisen...

Ik hoop dat ze ook aan websites/bedrijven gaan adviseren om deze passphrases toe te staan.

Is er trouwens een (internationale) website waar digitaal beveiligingsadvies word gegeven aan eindgebruikers?
Een plek waar ze terecht kunnen met vragen over IT security, al dan niet over best practices of specifiek advies?
Net als Rumag puntjes tussen de woorden zetten...
Opgelost!
Dat is dan weer mooi van ons complexe Nederlands. Met spellvouten kan je de woordenschat fors uitbreiden...
01-05-2023, 21:02 door Anoniem
Door Anoniem: Immers, het Nederlands kent iets van 18000 woorden en ze moeten ook in context staan...
De woordenlijst van de Nederlandse taal bevat 180.000 woorden, 10x zo veel. De dikke Van Dale bevat er iets van 240.000, en het bestand voor de Nederlandse spellingscontrole van Linux telt er ruim 413.000. Als je uit die laatste alleen de woorden neemt die uit kleine letters bestaan (er zitten namen in en een aantal nogal vreemde dingen met leestekens) dan zijn het er nog altijd zo'n 349.000.

Net als het Duits is het Nederlands een taal waarin samengestelde woorden aan elkaar worden geschreven, en dat levert eindeloos veel woorden op. Ook al hebben veel mensen onder invloed van het Engels de neiging om veel te veel los van elkaar te schrijven, dit ken je vast wel: hottentottensoldatententententoonstelling is één woord. Dat staat niet in woordenboeken en woordenlijsten, maar het is wél een geldig Nederlands woord.

Random 18 characters kent dan 2.7038646e+33 mogelijkheden, wat me veel meer lijkt...
Dat komt overeen met 6 woorden uit de woordenlijst van 349.000 woorden (349000^6=1,8e33; om precies uit te komen zou je 6,03 woorden nodig hebben). Een hele mond vol, maar zes willekeurige woorden in kleine letters zijn voor mij heel wat makkelijker uit mijn hoofd te leren dan 18 willekeurige tekens uit een tekenset van 72 tekens, waar jij mee gerekend hebt.

passphrases lijken me dan ook inherent onveiliger.
Dat klopt niet. Als je van de tekenset van 72 waar jij mee gerekend hebt teruggaat naar 27 (kleine letters en de spatie) dan overtref je het aantal mogelijkheden dat jij noemde voor 18 tekens uit de 72-tekenset al met 24 tekens uit de 27-tekenset. Dat is als je de entropie op basis van tekens berekent. Op basis van woorden (een dictionary-aanval met een woordenlijst) krijg je een berekening die die 6 woorden oplevert die ik al noemde.

Als je ze goed gebruikt zijn wachtzinnen bij dezelfde veiligheid makkelijker te onthouden dan wachtwoorden. En bij hetzelfde gemak dus veiliger. Bij zowel wachtwoorden als wachtzinnen bestaat natuurlijk het gevaar dat mensen te makkelijke dingen verzinnen: een woord waarvoor niet die 72^18 pogingen gedaan hoeven te worden omdat ze in een lijst met veel voorkomende wachtwoorden staan, en een zin die niet uit willekeurige woorden bestaat maar veel te veel samenhang bevat die mogelijk een keer geëxploiteerd kan worden. Maar dat gevaar bestaat dus bij allebei.

Wat ik persoonlijk heb gedaan is een paar wachtzinnen maken van onzinwoorden. Geen samenstellingen uit bestaande woorden, geen kleine aanpassingen op bestaande woorden, maar volslagen betekenisloze onzin die alleen wél uitspreekbaar is en goed te typen. Dat kan ik namelijk na enige oefening prima onthouden. Ik heb wachtzinnen van woorden die (zolang mijn eigen systeem niet gecompromitteerd is) gegarandeerd in geen enkele woordenlijst te vinden zijn. Die wachtzinnen gebruik ik alleen lokaal, niet voor websites of andere diensten. Een ervan is het master wachtwoord van mijn wachtwoordmanager (KeepassXC) die per login een random wachtwoord van veel meer dan 18 tekens heeft gegenereerd.

Dat ik zo'n wachtwoord alleen lokaal gebruik is voor mij genoeg, want ik ben niet iemand die via een smartphone leeft, die heb ik tot nu toe zelfs buiten de deur weten te houden (al vrees ik dat dat een keer gaat ophouden). ik vind een goed toetsenbord en een goed beeldscherm waardevol genoeg om veel dingen te laten wachten tot ik weer thuis ben.
02-05-2023, 14:12 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: het aantal woorden in engels is nu ook weer niet zo groot (~5M): met 4 woorden heb je dan evenveel entropy als met ~76 bits of 16 tekens uit een 26 letter alfabet. met 5 woorden heb je ~20 tekens uit het alfabet.
Je gaat er hierbij wel van uit dat de aanvaller weet dat een passphrase wordt gebruikt.
Daarbij kun je de boel nog wat ingewikkelder maken door (sommige) letters te vervangen door letters.
This is NOT @ seef pa55w0rd!


voor brute forces en rainbow tables is enkel entropy van belang. Je gaat gewoon het gehele engelse woordenboek langs met LEET erbij aan toe. het zal die computer gene ene reet uitmaken of je hekjes en cijfers of letters gebruikt hoor!

Jij (de aanvaller) weet niet of ik een wachtwoord van 86 random tekens gebruik of een wachtzin van 15 Engelse woorden gemixt met wat Frans, Duits en plat Brabants al dan niet met wat Leetspeak.
Als de server er dan ook nog wat zout en peper over strooit, uiteraard zoals het hoort bij elke hash iets anders, dan wens ik je veel succes met je rainbow tables.

I.i.g is iets als Correct Horse Battery Staple al een stuk beter al 12345abc.

bla bla bla, het advies in het originele post is drie engelse woorden te gaan gebruiken...
02-05-2023, 15:24 door Anoniem
Door Anoniem: bla bla bla, het advies in het originele post is drie engelse woorden te gaan gebruiken...
Ik lees iets anders:
Het ACSC adviseert passphrases van vier of meer woorden die bij elkaar opgeteld minstens veertien karakters lang zijn.
02-05-2023, 16:39 door Anoniem
Door Anoniem:
Door Anoniem: bla bla bla, het advies in het originele post is drie engelse woorden te gaan gebruiken...
Ik lees iets anders:
Het ACSC adviseert passphrases van vier of meer woorden die bij elkaar opgeteld minstens veertien karakters lang zijn.

inderdaad. mijn excuus. 4 is echter nog steeds niet zo veel lijkt me.
08-05-2023, 12:54 door hanspaint
Een password zoals zYq-&&99.Dtx@!G gegenereerd door een password manager werkt ook.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.