Nieuws

"Korte simpele wachtwoorden zijn veel veiliger"

maandag 12 maart 2007, 12:42 door Redactie, 12 reacties

Als het om wachtwoorden gaat wordt gebruikers regelmatig aangeraden een zo'n lang mogelijke combinatie van cijfers, letters en vreemde tekens te gebruiken. En dat is niet verstandig, want complexe beveiligingsmaatregelen verzwakken juist de beveiliging. In het geval van wachtwoorden kun je daarom beter een kort en simpel wachtwoord kiezen, aldus security expert Aviram Jenik.

Jenik moet zoveel lastige wachtwoorden onthouden dat hij z'n browser dit laat doen. De meeste wachtwoorden zijn dan ook te vinden in z'n digitale portemonnee of op een post-it note op zijn bureau. Een aanvaller moet tot één van de twee toegang krijgen om het leven van Jenik behoorlijk zuur te maken, behalve in het geval van z'n online bankrekening. Dit wachtwoord is zo simpel dat hij geen browser of papier nodig heeft.

Een korte risico analyse maakt de keuze van Jenik duidelijk. De banksite probeert hem namelijk te beschermen tegen iemand die zijn wachtwoord niet weet, en een brute force aanval moet uitvoeren om erachter te komen. "Als we ervan uitgaan dat mijn gebruikersnaam 10 pogingen heeft voordat het account voor 24 uur bevroren wordt, dan zal het zelfs met een wachtwoord van vier letters nog gemiddeld 62 jaar duren voordat het wachtwoord gekraakt is. Zelfs een viercijferig nummer kost een aanvaller gemiddeld een heel jaar."

"Het brute force probleem mag dan zijn opgelost, toch wordt ik gedwongen om lange complexe wachtwoorden te kiezen voor een probleem dat ergens anders moet worden opgelost". Volgens Jenik zijn mensen lui, en houden ze vast aan bekende patronen. Lange wachtwoorden waren leuk in de jaren '80, maar vandaag de dag totaal irrelevant.

Meer malware in 2006 dan afgelopen 15 jaar bij elkaar

Versleutelde Seagate harde schijf alternatief voor PGP

Reacties (12)

12-03-2007, 13:12 door koekblik

Da's heel leuk en aardig, maar werkt alleen als de
password-file van de bank (om het voorbeeld maar even te
volgen) goed beschermd is. Als je daar namelijk een kopie
van hebt, kan je op volle snelheid brute force aanvallen doen.

Het is vaak voorgekomen dat een lijst met geÃ«ncrypte
passwords uitlekte. Als dat gebeurd ben je er geweest met je
korte password. Ik gebruik liever makkelijk te onthouden maar
toch lange passwords, zoals "Ik draag dagelijks een schone
onderbroek!"

12-03-2007, 14:11 door meneer

Weg met wachtwoorden. Weg met inloggen.

Ok, te kort door de bocht. Maar eenmalig inloggen met
versterkte authenticatie en verder alleen maar single signon
is toch het handigste.
Ik hoop ook dat InfoCard-achtige oplossingen heel snel loskomen.

12-03-2007, 14:53 door koekblik

Door meneer
eenmalig inloggen met versterkte authenticatie en verder
alleen maar single
signon is toch het handigste.

Handig is het zeker, maar veilig kan ik het niet noemen. Dan
hoef je maar 1 systeem te kraken, en kan je overal bij!

12-03-2007, 15:21 door Anoniem

In Firefox hoef ik alleen maar het master password te
onthouden, vind ik toch redelijk makkelijk :)

12-03-2007, 16:09 door Anoniem

Het beste is passwoorden volgens een vast systeem op te bouwen. De
basis voor de passwords is een zin, aangevuld met speciale karakters. Ik
gebruik een letter van elk woord en wissel in een vast patroon hoofd en
kleine letters af. De zin kan b.v. gaan over mensen en plaatsen die je
bezocht heb. De maand waarin het bezoek is afgelegd, bepaald voor die
maand het password. Na een jaar begin je opnieuw, of je wisselt de
hoofdletter/kleine letters om.

Voorbeeld: ik trof loes in knokke in de maand mei van 1996
Het password wordt dan ITLikiDMmv1996!!
Lijkt moeilijk maar eenmaal gewend is het supermakkelijk.

12-03-2007, 16:18 door Anoniem

Door Anoniem
In Firefox hoef ik alleen maar het master password te
onthouden, vind ik toch redelijk makkelijk :)

Natuurlijk niet, want dan staan de wachtwoorden in je systeem. dit is
natuurlijk nog veel gevaarlijker.

12-03-2007, 16:19 door Anoniem

De ene expert adviseert de ene keer het gebruik van ingewikkelde
wachtwoorden, de andere heeft het een andere keer over lange maar
simpele woorden en deze mijnheer heeft het nu over korte en simpele
wachtwoorden.

De simpele gebruiker wordt hier toch hoorndol van?

12-03-2007, 18:36 door Anoniem

Ha! De ENTER komt in geen enkele woordenlijst voor. Ben ik nu veilig als
ik dat als wachtwoord blijf gebruiken?

12-03-2007, 22:47 door Anoniem

Deze mijnheer heeft volkomen ongelijk.

Ten eerste, hij gaat ervan uit dat het onmogelijk is dat de
password hashes uitlekken. Als iedereen zijn advies zou
opvolgen zou een korte bruteforce op een uitgelekte hashes
een ramp worden.

Vervolgens houd hij er geen rekening mee dat er op het
moment van schrijven nog heel veel producten en websites
geen rekening houden met bruteforce aanvallen. Ook het
gebruik van proxy's kan in veel gevallen de bruteforce
aanval versnellen omdat de maximale inlogpogingen vaak
gebonden worden aan ip-adressen.

Het is inderdaad helemaal niet zo moeilijk een wachtwoord te
onthouden dat langer dan 8 tekens is. In de tijd die hij nam
om zijn idee te publiceren had hij er al lang een kunnen
bedenken.

Lange wachtwoorden zullen voorlopig nog wel het veiligst
zijn. Persoonlijk zorg ik ervoor dat al mijn wachtwoorden
random zijn en boven de 10 tekens. Mijn root wachtwoord is
boven de 20 tekens.

Adriaan

13-03-2007, 02:52 door Anoniem

kort en makkelijk, lijkt me niet zo best... men dient ten
aller tijden wachtwoorden te gebruiken die geen enkele
persoonlijke band hebben met de gebruiker. Gebruikt men
"poes" of "hond", omdat men zo'n viervoeter heeft, ga je
voor gaas... ook al moet je 10 jaar wachten na iedere
verkeerde input. Gaat men "#4><0|2" gebruiken, heb je de
poppen alweer aan het dansen ...heel onpersoonlijk, dus zo
vergeten (behalve sommige onder ons ;-) ).

Laat de computer het werk doen. Gebruik daarom KeePass. Kun
je desnoods een wachtwoord gebruiken van 256 tekens of meer,
zonder het zelf te hoeven onthouden of ooit te hoeven intypen.

Vertraging is voor het grote plaatje misschien een
oplossing, maar dan nog zal men menselijk begrijpelijke
teken of cijfer reeksen gaan gebruiken, waardoor op grote
schaal weer een probleem ontstaat... luiheid is niet voor
niets Ã©Ã©n van de zeven zonde!

13-03-2007, 06:59 door Anoniem

Door meneer
Weg met wachtwoorden. Weg met inloggen.

Ok, te kort door de bocht. Maar eenmalig inloggen met
versterkte authenticatie en verder alleen maar single signon
is toch het handigste.
Ik hoop ook dat InfoCard-achtige oplossingen heel snel loskomen.

Tuurlijk, kruip naar een technologie oplossing.

"Er bestaat geen patch of systeem voor stommiteit van eindgebruikers"

13-03-2007, 10:37 door Anoniem

Korte simpele wachtwoorden, pincodes of passphrases zijn
veilig, als ze tenminste alleen voor je cryptographische
token worden gebruikt, en het token de rest van de
aanmeldingen voor zijn rekening neemt.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer