Wachtwoord wedstrijd bewijst lang is beter theorie
Het kiezen van een goed wachtwoord is nog steeds lastig voor internetgebruikers, waarbij zelfs de overheid te hulp schiet, en eigenlijk niet het juiste advies geeft. De meeste wachtwoorden bestaan uit zes tot acht karakters, en als men een hoofdletter gebruikt, staat die vooraan en is meestal een medeklinker, gevolgd door een kleine klinker. Voornamelijk de a, e en o worden veel gebruikt in wachtwoorden, met een kanspercentage van boven de 50%. Als er een nummer in het wachtwoord verstopt zit, is het meestal een 1 of een 2.
Bijna een jaar geleden startte Roger Grimes een wedstrijd waarbij deelnemers een complex wachtwoord van 10 letters en een eenvoudiger wachtwoord van 15 karakters moesten kraken. Voor de echte diehards was er ook een redelijk complex wachtwoord van 15 karakters. Het duurde vier maanden en duizenden pogingen voordat het complexe wachtwoord van 10 karakters werd gekraakt, het was S10wDr1v3r.
Nu is eindelijk ook het tweede wachtwoord gekraakt, myengagingwives, wat volgens Grimes aantoont dat lang en makkelijk beter is dan kort en complex.
n+1 scanning is hoe complexer minder relevant voor een tool die
duizenden wachtwoorden per seconden scant. Of het nu een 3 of F is,
maakt voor een BF tool niets uit. Wanneer 'hackers' intelligente tooling
gaan gebruiken ipv 1+1=2 tooling, DAN pas ga je zien dat complexe
wachtwoorden ook zinvol zijn (in combinatie met langere wachtwoorden)...
Dan is het ook minder slim om 'zinnen' aka passphrases te gebruiken,
daar die makkelijker te 'gokken' worden door intelligente scanners dan
bullshit wachtwoorden (wachtwoorden die geen verbastering zijn van
letters naar nummers, zoals 7334 of p0wned) maar IU@Y#@()*GF...
Helaas zijn die wat minder makkelijk in te kloppen.. Maar heej, hoeveel
mensen kloppen het wachtwoord maar 1 of 2 keer per dag in?
AS
met enkel kleine letters 15 lang zijn er 26^15 mogelijkheden.
dat andere zijn zo even (26+26+10)^10 mogelijkheden (enkel
kleine letters, hoofdletters en cijfers dan)
dan heb je inderdaad meer mogelijkheden met een simpel
wachtwoord van 15 tekens.
Maar als ze dan proberen te bruteforcen aan de hand van een
woordenboek, denk ik dat het lange simpele paswoord eerder
geraden zou moeten zijn dan het ingewikkelde.
gebruiken is een wachtwoord is je wachtwoord van 10 tekens
zo'n 200 keer sterker dan je eenvoudig wachtwoord van 15 tekens.
voorkomen, dan heeft bruteforcen ook niet veel zin meer.
Vooral niet als het een kunstmatige taal met kunstmatige
lettertekens bevat die ik zelf ontworpen heb. Geen enkel
woordenboek voorziet daarin!
Stel: ik gebruik tekens die niet in het normale alfabet voorkomen, dan heeft bruteforcen ook niet veel zin meer. Vooral niet als het een kunstmatige taal met kunstmatige lettertekens bevat die ik zelf ontworpen heb. Geen enkel woordenboek voorziet daarin!
Stel: ik gebruik tekens die niet in het normale alfabet
voorkomen, dan heeft bruteforcen ook niet veel zin meer.
Vooral niet als het een kunstmatige taal met kunstmatige
lettertekens bevat die ik zelf ontworpen heb. Geen enkel
woordenboek voorziet daarin!
Maar het authenticatiesysteem snapt er met zelf ontworpen
tekens ook niets van. Onbruikbaar dus!
Wat wel kan is het gebruik van bepaalde alt-codes in het
wachtwoord, zoals bijvoorbeeld alt+13 . Dit 'teken' zit
zelfs niet in de uitgebreide tekensets van cracktools en dit
maakt hash op de gebruikelijke manieren vrijwel onkraakbaar.
Zelfs als je een kort wachtwoord van twee posities hanteert,
maar dan moet een aanvaller natuurlijk niet weten wat de
wachtwoordlengte is.
Stel: ik gebruik tekens die niet in het normale alfabet
voorkomen, dan heeft bruteforcen ook niet veel zin meer.
Stel je gebruikt een Amerikaanse wachtwoordkraker om een
Chinees wachtwoord te kraken. Dat zou volgens jou dus niet
kunnen.
Voor zover ik weet gebruiken brutekrachtkrakers geen OCR en
maakt het dus geen bal uit of het teken wel of niet in het
normale alfabet voorkomt. Elk teken dat je op een computer
kan gebruiken, heeft een numerieke waarde. Die waarde wordt
via een tabel (ASCII, EBDIC) omgezet naar iets dat wij
mensen begrijpen.
Brutekrachtkrakers 'raden' alleen de numerieke waarden,
zonder zich te bekommeren om de grafische weergave daarvan.
Een lang wachtwoord zonder moeilijke tekens is net zo veilig
als een netzolang wachtwoord met moeilijke tekens. Waarom?
De brutekrachtkraker 'weet' niet of het wachtwoord wel of
geen moeiljike tekens bevat. Als de BKK moeilijke tekens
uitsluit, is er dus een goede kans dat-ie het wachtwoord
niet kan kraken.
Overigens hebben lange wachtwoorden (>8 tekens) alleen zin
als die extra tekens ook bewaard worden. DES doet dat
bijvoorbeeld niet.
de volgende opmerkingen, die intelligente tools zullen
gebruiken:
> De meeste wachtwoorden bestaan uit zes tot acht
karakters, en als men een hoofdletter gebruikt, staat die
vooraan en is meestal een medeklinker, gevolgd door een
kleine klinker. Voornamelijk de a, e en o worden veel
gebruikt in wachtwoorden, met een kanspercentage van boven
de 50%. Als er een nummer in het wachtwoord verstopt zit, is
het meestal een 1 of een 2.
maak nu nog eens je rekensommetje!
(ik gebruik altijd backspaces in mn wachtwoord ;-)
niet overal ondersteund.
Vriiendelijke groeten,
mw.afp.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
