Tja... passphrases zijn in essentie niets anders dan
passwords, je kosten alleen meer werk om ze te typen. Ik zie
de waarde er dus niet echt van in.
Pak dan een passphrase, en genereer daar een password van,
bijvoorbeeld door de 1e letters van de woorden te gebruiken.
Zoals boven al aangegeven is dit van vergelijkbare sterkte,
en stukken minder typewerk.
"Passphrases de oplossing voor wachtwoordproblematiek" kan
dan 'ppdovwwp' worden...bijvoorbeeld.

[/quote]Het probleem met wachtwoorden is dat ze moeilijk te
raden, maar makkelijk te herinneren moeten zijn.
[/quote]
Dat is geen probleem, maar juist een voordeel!

Het enige verschil tussen een passphrase en zijn familileden als pin,
password, of zelfs 'secure passwd' (contradictio in terminis) is het gemak
bij het onthouden en de hoeveelheid werk bij het raden.
Het blijft allemaal extreem kwetsbaar voor keyloggers, phishing, andere
vormen van social engineering, etc.
Persoonlijk heb ik er daarnaast last van dat ik er te veel van moet
onthouden, en dat ze veelal nog moeten worden veranderd ook.

Wat zijn de werkelijke redenen om ueberhaupt nog passwords (of
familileden) te gebruiken, terwijl er technisch gesproken toch vrij goede
(veilige) alternatieven zijn?
Als er een alternatief zou bestaan dat makkelijker, goedkoper, en veiliger is
dan passwords/phrases, zou er dan een einde komen aan de
heerschappij van het password?

Goedkoper dan passwords kan bijna niet. Bovendien is het beheer ervan
veel minder werk dan bijvoorbeeld het beheren van tokens (die kwijt raken,
vergeten kunnen worden, of die defect raken).


Sjaak (http://www.sjaaklaan.com)

Gewoon de passwoord *velden* minimaal 64 karakter lang
maken, dan kan de gebruiker zelf voor een passphrase kiezen
als hij/zij dat wilt. Het backend zou er niet op aangepast
hoeven worden, omdat daar (als het goed is) alleen maar een
hash aanwezig is en niet het wachtwoord in plain text.
Overigens kom ik nog regelmatig plekken tegen waar het
gebruik van een spatie in het wachtwoord niet is toegestaan
hoezo belachelijk...

Waarom is login/password niet veilig?

Het is vaak zo dat men niet detecteerd hoevaak een password
is gebruikt, maar als je bij 2 a 3 keer foutief inloggen een
password 48 uur blokkeert en de rechtmatige eigenaar een
mailtje stuurt van het feit dat iemand het geprobeerd heeft
(eventueel met deblokkeer url) is er geen vuiltje aan de lucht.

Het enige ECHTE gevaar van login/password dat men niet weet
WIE ze toepast en daarmee geen rechtsgeldigheid kan ontlenen
aan het feit dat iets alleen met login/password is beveiligd.

Hopelijk komt er geen einde aan het wachtwoord, want ik vind
het machtig handig. Ik heb hem altijd bij me en hij kan
niet zomaar van me gestolen worden, tenzij ze mijn kind
bedreigen, dan krijgen ze hem zo.

Het hele zogenaamde wachtwoord probleem, is helemaal geen
wachtwoord probleem maar heeft meer te maken met opvoeding
en opleiding van gebruikers. Hoogstens moet je iets
gebruiken als een slim wachtwoord-onthoud gereedschapje voor
de vergeetachtigen onder ons.

Verder met de eerste schrijver eens.

En liever geen andere rotzooi als bio toestanden en zo (een
chipkaartje gaat nog maar kan ik weer vergeten mee te nemen)
dat is allemaal veels te onveilig. Voor je het weet ligt die
database op straat. Zal niet de eerste keer zijn dat een
database met userid's op straat ligt.

Passphrases zijn net zo'n slecht idee als passwords op zich. Weleens van
keyloggers gehoord? Of de talloze lekken in operating systemen, slecht
geprogrammeerde applicaties, veel te open internetprotocollen van 40 jaar
oud (pop,SMTP, HTTP, FTP enz.) en gebruikers die niet meer weten waar
allemaal welk password is gebruikt en overal maar hetzelfde doen?

Eenvoudige techniekjes leveren al erg snel een password op, of die nu 10
of 100 char. lang is, of de persoon nu naast me zit of aan de andere kant
van de wereld, dat doet er echt niet meer toe!

Een authenticatiemiddel dat veilig is, is degene die maar 1x geldig is
binnen een kort tijdsbestek, over veilige media wordt getransporteerd en
waarbij een stevige dosis crypto wordt gebruikt, dus tokens!

Passwords zullen een zeker edood tegemoet gaan wanneer men zich wat
meer gaat verdiepen in hoe makkelijk het eigenlijk is om een wachtwoord
te achterhalen. Daar zou de discussie eens over moeten gaan i.p.v. over
hoelang een password moet zijn, laat staan passphrases!

Doe eens voor de grap een scan op je security eventlog in window$ en
zoek naar foutieve inlogpogingen. Ik weet namelijk zeker dat iedereen
weleens z'n password in het verkeerde veldje invult. En voila hij staat
netjes in the clear in de eventlog, die je ook vaak op afstand even leeg kan
trekken. Kortom iemand met een beetje verstand van computers komt echt
wel achter je pass-PHARCE.

Ik kan dat mailtje niet lezen want mijn account is voor 48
uur geblokkeerd.

Dit klinkt natuurlijk voor een rechtgeaarde IT-er met 25
mailboxen als een mooie oplossing, maar als het account op
mijn werkplek geblokkeerd is, kan ik ook geen mailclient
opstarten. En die koppeling is toch meer regel dan
uitzondering in bedrijven.

Trouwens, mijn internetprovider stuurt ook alle
administratieve mail naar de mailbox die bij mijn account hoort.

Passphrases zijn 'makkelijker' te compromiteren dan hex
key's...!

Helaas voor Nokia N80 - N95 gebruikers, die hebben alleen de
mogelijkheid om bij een WPA configuratie van passphrases
gebruik te maken (63 bit), een 64 bit hex key gaat daar NIET
werken Wimbo.
En laat het nu net Nokia zijn die veel WPA gebruikers stuurt
naar een minder beveiligd netwerk door enkel gebruik te
kunnen maken van een passphrase met WPA...

Een passphrase is nu eenmaal eenvoudiger te compromiteren
dan een hex key....
Doe een Nokia firmware update en al je netwerksleutels
worden overgedragen aan een Nokia server... maakt het
makkelijk voor overheden ...

IEDERE Nokia (en andere merken) telefoon heeft een GPS
transponder ingebouwd die ook indien uitgeschakeld zijn/haar
positie beschikbaar maakt voor GPS sattelieten !

http://www.thc.org/thc-rom/

"Passphrases dé oplossing voor wachtwoordproblematiek"

Wat is die problematiek?
1- de zwakte van onze geheimen? (wachtwoorden, pincodes)
2- het feit dat diefstal van een password/pincode lang
ongemerkt kan blijven?
3- of is password-management het probleem?

1: Zwakke wachtwoorden is een probleem van >>bewustzijn<<
bij de gebruiker, niet een probleem dat inherent is aan het
gebruik van wachtwoorden. Er is immers ook niets mis met het
wachtwoord "yturiSec!" (buiten dat het hier gepubliceerd
is). De passphrase is slechts één van de mogelijke truucjes
om een relatief sterk geheim te maken. Niet om te
verbeteren, maar om te zorgen dat in elk geval aan de
minimum maatstaf voor goede wachtwoorden wordt voldaan.
Passphrase is in essentie synoniem aan het wachtwoord: een
geheime reeks leestekens.

2: De passphrase is nog steeds één factor: een geheim. Bij
uitlekken van dit geheim is het hek van de dam. Bovendien
kan er veel tijd verstrijken voordat bij het slachtoffer
bekend is er iets mis is. Schade is meestal de eerste
indicatie van een probleem. Twee-factor authenticatie
vereist in elk geval dat ook de tweede factor (token,
smartcard, biometric) voorhanden is. Het is bovendien erg
lastig* om deze 2e factor ongemerkt te bemachtigen.

3: We moeten meer en meer wachtwoorden en pincodes onthouden
en die bovendien ook nog eens regelmatig veranderen. Dit
verleidt de gebruiker om op veel plaatsen hetzelfde
wachtwoord te gebruiken. Veranderen op al die plaatsen wordt
ook ondoenlijk, dus laten we ons wachtwoord jarenlang
onveranderd voor wat het is. Het zal duidelijk zijn dat de
passphrase totaal niets verbetert aan de hoeveelheid
geheimen die we moeten onthouden.

Mijn stelling is dus: De passphrase lost totaal niets op
rond de password-problematiek.

__________________________________________
*) Hoewel niet helemaal onmogelijk: Mitnick, Kevin, William
L. Simon. The Art of Deception: Controlling the Human
Element of Security. Indianapolis: Wiley, 2002

"Sommige experts zweren bij smartcards en tokens. Deze fysieke
objecten kan men echter verliezen, en moeten daarom meer als een
aanvullende maatregel worden gezien. Toch is er een beter alternatief
voor het wachtwoord, namelijk de passphrase, of in het Nederlands
wachtzin."

Dus je kunt beter 1-factor authenticatie dan 2-factor authenticatie
gebruiken ? Een passphrase (something you know) als substituut voor
een password + smartcard of token (something you know + something
you have) ?

Rare stelling van security.nl, want jullie adviseren degradatie van het
beveiligingsniveau.

"Passphrases zijn in principe een lange zin, en hebben als voordeel dat
gebruikers ze kunnen onthouden, ze willekeuriger en veel lastiger te
kraken zijn."

Het voordeel voor iemand die misbruik wil maken van het account van
een collega is hierbij, dat het makkelijker is om over iemand's schouder
mee te kijken en te onthouden wat zijn passphrase is, dan om ditzelfde
te doen bij een complex password.

"Door het toevoegen van cijfers of vreemde tekens kan men de
passphrase daarnaast behoorlijk versterken, iets wat met een willekeurig
wachtwoord onmogelijk is."

Dat doe je bij een willekeurig password toch juist per definitie wil je een
beetje veilig wachtwoord hebben ?

Stupide gebruikers die ingaan op phishing mails en hun password op
postits schrijven en die op hun monitor plakken / in hun lade stoppen..

Inderdaad is het zo dat je (zoals je stelt) zou moeten kunnen nagaan wie er
gebruik maakt van een bepaalde login / pass combinatie, maar dan kom je
(of ik moet iets over het hoofd zien) toch snel weer uit bij tokens en / of
biometrische toepassingen om een extra laagje 'veligheid' aan te leggen.

Het probleem met passwords zit hem in iets heel anders.
Namelijk in de hoeveelheid. Als je ziet voor hoeveel zaken
je allemaal een password nodig hebt. Als je een beetje
actief bent op internet zit je zo aan de 100.
En probeer maar eens om 100 verschillende goede passworden
te bedenken, te onthouden , en ook nog eens bij de juiste
toepassing
te houden.
Voor web aps is er bijvoorbeeld een heel goed alternatief
voor passwords, namelijk cacert.org certificaten. Maar
helaas zijn er niet
veel sites die daar gebruik van maken.
Als security.nl nou eens het goede voorbeeld zou geven, en een
https ingang zou creeren die op cacert.org certificaten
authentificeert.
Als er wat meer sites komen die zo'n voorbeeld volgen, dan
kan je
iedere site weer een extra wachtwoord schrappen dat je moest
onthouden.

Je hebt denk ik niet veel begrepen van passwordcracking...
de meeste LM-gehashde wachtwoorden zijn bijvoorbeeld vrij
snel gekraakt; ook die van 8 of meer posities en met
speciale karakters.


Wat bedoel je met 'helemaal over het internet'? Als ik een
hash te pakken heb dan kan ik lokaal cracken.


Keep on dreaming. Een aanval op een hash is niet onderhevig
aan zo'n blokkademaatregel. Pas als het username en ww
worden ingevoerd in het authenticatiesysteem gaat dit op. En
die voer je natuurlijk pas in nadat de hash gekraakt is.

Nou nog even doorleren en dan beweer je wel anders dat 'de
onveiligheid van wachtwoorden zwaar overtrokken is...'

ik zie niet in waarom iets biometrisch zoals de stem of de
iris niet kan voldoen? die gegevens kunnen toch ook gehashed
worden, zodat de database daarvan ook weer niet zo kritisch is.

Alleen door te combineren wordt het veilig.
En dan heb je 3 aspecten:
- Iets dat je weet (gebruikersnaam en wachtwoord)
- Iets dat je hebt (een token, een smartcard of wat dan ook
maar)
- Iets dat je bent (je vingerafdruk, iris, palmafdruk,
gelaat, stem, enz)

Wil je echt secure zijn moet je alle 3 de aspecten
combineren. Als iemand dan in jouw gebruikersaccount wil
komen moet hij dus. Ten eerste je gebruikersnaam en
wachtwoord weten. Je token afjatten en je vinger meenemen.
Hmm nu ik er overnadenk wil ik misschien toch alleen maar
een wachtwoord ;-).

Verder vindt ik de discussie van het wachtwoord nog tot daar
aan toe. Elk type wachtwoord heeft zo zijn voor en nadelen.
Het begint eigenlijk al bij je gebruikersnaam. Op je werk
zal waarschijnlijk iedereen dezelfde stramien hebben. Iets
van de eerste 3 letters van de voornaam en de eerste 3 van
de achternaam. Dit is al je eerste beveiligingslek. Want ik
weet nu ineens alle gebruikersnamen van de collega's. Als je
hier bijvoorbeeld een 6 cijferig nummer van maakt en dan
constant een willekeurig aantal overslaat dan ben je alweer
een stuk veiliger.

Groet,
TheM

"Door het toevoegen van cijfers of vreemde tekens kan men de
passphrase daarnaast behoorlijk versterken, iets wat met een willekeurig
wachtwoord onmogelijk is.""

Ehm. Het argument was toch dat het toevoegen van cijfers en vreemde
tekens NIET veel bij zou dragen aan de beveiliging, en daarnaast is
een ''willekeurig password'' toch opgebouwd uit ''cijfers of vreemde
tekens'' ?

bij ons wordt de passphrase geconverteerd naar een code met
een daar speciaal voor gekozen algoritme en die moeten we
gebruiken om op het netwerk te kunnen

Lijkt mij zeer onwaarschijnlijk, maar als dat zo is, daag ik
de auteur van dit artikel uit, op mijn LAN in te breken...

Bereikbaar via DynDNS op:

http://ml2mst.homelinux.net

Vol verwachting klopt mijn hart :-p

Met dank aan SirDice, die mij van mijn ziekelijke (security)
paranoïde heeft afgeholpen ;-)

Edit: url aangepast, was .org (fout) is nu .net (correct) :-)

Toch blijft een cryptographisch token aan mijn sleutelbos te
prefereren boven een passphrase.

Een Irisscan is tijdens de enrollment te eenvoudig te
beduvelen, vingerafdrukken zijn te makkelijk te kopiëren,
een retinascan is griezelig...

"Als security.nl nou eens het goede voorbeeld zou geven, en een
https ingang zou creeren die op cacert.org certificaten
authentificeert."

Ik sluit me hier helemaal bij aan.

100% secure is gewoon nooit haalbaar. Je kunt het alleen wel
zo moeilijk mogelijk maken zodat ze jou met rust laten en
bij de buurman gaan kijken.

En combineren is de enige manier om het moeilijker te maken.
Zie het als de beveiliging van een pand:
- een deur in plaats van een opening is al veiliger
- een slot op die deur maakt het al beter
- een alarminstallatie zodat je beveiligt tegen het
openbreken van de deur
- naast bewegingssensoren ook warmtesensoren
- gooi er nu wat laserstralen bij rondom dat waardevolle object
- een tijdsbeperking van wanneer dingen uitgeschakeld kunnen
worden
- enz
- enz

Bovenstaande oplossingen zijn allemaal goed en werken
(grotendeels) ook redelijk op zichzelf. Maar juist door het
combineren maakt het alles een stuk veiliger.

Passbooks da werkt pas ! ;)