image

Bank adviseert Google voor testen wachtwoord

woensdag 30 januari 2008, 10:33 door Redactie, 47 reacties

Een grote Italiaanse bank adviseert haar klanten om hun wachtwoord bij Google te testen om te zien of het veilig genoeg is. "Om de veiligheid van een wachtwoord te testen, type het in een willekeurige zoekmachine, bijvoorbeeld Google, en kijk naar het aantal resultaten. Als je minder dan tien resultaten krijgt is het een goed wachtwoord," zo schrijft de Fineco bank op haar website, die de volgende voorbeelden geeft:

pippo    = 767.000         -> erg slecht wachtwoord
05Fineco = 30 -> goed wachtwoord
F1n3co = geen resultaten -> uitstekend
Reacties (47)
30-01-2008, 10:45 door [Account Verwijderd]
[Verwijderd]
30-01-2008, 10:52 door Anoniem
vet!

"{"

Uw zoekbewerking - { - heeft geen overeenkomstige documenten
opgeleverd

een veilig eenletterig password!
30-01-2008, 10:57 door Anoniem
Op het moment dat je gaat zoeken wordt de zoekopdracht opgeslagen in
google. Een waanzinnig en achterlijk advies.
30-01-2008, 11:00 door Anoniem
En daarna staat dit wachtwoord in de lijst met zoekrestultaten van
Google ..... lijkt me ook niet handig.
30-01-2008, 11:00 door Anoniem
Wel, beter dan geen aanwijzingen of tips denk ik maar. Tips van gebruik
geen voornamen of woorden maar willekeurige letters en cijfers werken
ook niet echt voor Jan met de Pet
30-01-2008, 11:09 door Anoniem
Om maar een voorbeeld te noemen. Ik ben vaak met domeinnaam
registraties bezig en wat b.v. volledig uit den boze is om nieuwe
domeinnamen op te zoeken via zoek machines.

Zegt genoeg dacht ik zo.

Ik blijf erbij het is een achterlijk ongewenst advies.
30-01-2008, 11:10 door Anoniem
Door Anoniem
vet!

"{"

Uw zoekbewerking - { - heeft geen overeenkomstige documenten
opgeleverd

een veilig eenletterig password!
Lol hij is echt wel grappig
30-01-2008, 11:16 door [Account Verwijderd]
[Verwijderd]
30-01-2008, 11:23 door Anoniem
Ach ja, en ik maar een random string
intikken: "c4c9334bac560ecc979e58001b3e22fb", maar dat is niet veilig
genoeg, immers 2750 hits.

Doe ik wat vreemde tekens "digest???md5?????????????
???????????????????", krijg ik nog steeds 500 hits.

Erg lastig hoor, om een secure wachtwoord te genereren.

Groeten,
Hopsa
30-01-2008, 11:29 door Anoniem
Beste Niels
>Let op: Omdat u niet bent ingelogd wordt uw reactie eerst
gemodereerd.
Schiet dus niet op 'de faker' maar op de moderator.
Stoer hoor.
30-01-2008, 11:31 door Anoniem
Door Nielsk
Door Anoniem
vet!

"{"

Uw zoekbewerking - { - heeft geen overeenkomstige documenten
opgeleverd

een veilig eenletterig password!
Wouw een faker die denkt stoer te zijn door een soortgelijk
resultaat te
laten zien :') Te stoer hoor.


PS:
De meeste websites enzo laten ook spaties toe in hun
wachtwoord (heb ik
wel tenminste met me project). Het leuke hieraan is is dat
geen enkele
brute forcer ooit op het idee kwam om die ook te combinen in
hun lijst
waardoor het dus een goede zet is voro een wachtwoord;)

Moet je het vooral gaan uitleggen op een security site ;).

Ik ben het deels eens dat deze zaken gelogd worden (icm IP)
maar ik denk dat de trade-off dat er minder dictionary
attacks mogelijk zijn dat meer dan goedmaakt.
Moet je eens nagaan hoeveel passwords er in de GMAIL
accounts van mensen staat.
30-01-2008, 11:31 door Anoniem
Men mag ook altijd het betreffende wachtwoord direct naar
mij sturen, dan bekijk ik het even en meld terug aan
afzender hoe goed het is..... ;)
[email]Maakjewachtwoordpubliek@dommegebruikers.nl[/email]
30-01-2008, 11:53 door Jan-Hein
De zoektocht naar het veilige password is zo vermoeiend omdat het
gezochte eenvoudig niet bestaat.
Maar het is wel amusant om de pogingen te bekijken, want er wordt veel
creativiteit in gestoken.
30-01-2008, 12:14 door Anoniem
ik zou eerder de password sterkte meten door bij Gmail de
eerste stappen van een account aanmaken te doorlopen. Daar
staat een metertje dat de sterkte van je password aangeeft.
Voor zover dat wat zegt natuurlijk.. ;)
30-01-2008, 12:21 door [Account Verwijderd]
[Verwijderd]
30-01-2008, 12:24 door Anoniem
Is wel een beetje onzin. Lekker wachtwoorden testen op google?
Vreemd dat een nota bene een bank dit soort advies geeft
30-01-2008, 12:42 door robertjohan
Gaan nu alle klanten van die bank "F1n3co" als ww gebruiken???
30-01-2008, 12:42 door [Account Verwijderd]
[Verwijderd]
30-01-2008, 13:06 door Anoniem
Als ik m'n wachtwoord kwijt ben vraag ik het wel aan Google.
30-01-2008, 13:14 door Anoniem
Door Nielsk
Wie houd me tegen om mijn denk vermogen te delen met de
wereld ? jij soms weet je hoelang het duurt voor je 5
karakters met alle mogelijke combinaties hebt? Lang erg lang
aangezien ik dit zelf gedaan heb tot 8 chars (speciale
encryptie om me eigen veiligheid te testen).

5 karakters zijn te controleren in veel minder dan 1 seconde. 8 karakters
kost misschien een paar seconden. Als je er langer over doet gebruik je
een groot alfabet, een trage computer of er zijn verbeteringen mogelijk in
de code.

Maar nu we toch iemand met jouw denkvermogen hebben: bereken eens
hoeveel combinaties er zijn met een alfabet van 26 karakters en een
wachtwoordlengte van 5 (en voor 8) tekens?
30-01-2008, 13:42 door Dunes
Om een sterkte-indicatie te krijgen van je password kun je
terecht op de site van het PvIB:
http://www.gvib.nl/afy_info_ID_1186.htm

Of natuurlijk zelf L0phtcrack aanschaffen en je wachtwoord
testen. Duurt alleen wat langer ;-)
30-01-2008, 14:22 door [Account Verwijderd]
[Verwijderd]
30-01-2008, 14:32 door prikkebeen
Is een wachtwoord genereren op zo'n speciale site ook niet
veilig dan? Wat is eigenlijk nog wel veilig met de steeds
krachtiger wordende computers? Je zou er bijna paranoia van
worden.
30-01-2008, 14:34 door prikkebeen
Door Dunes
Om een sterkte-indicatie te krijgen van je password kun je
terecht op de site van het PvIB:
http://www.gvib.nl/afy_info_ID_1186.htm

Of natuurlijk zelf L0phtcrack aanschaffen en je wachtwoord
testen. Duurt alleen wat langer ;-)

Ministerie van Defensie. Windows only..
Nuttig hoor.
30-01-2008, 14:42 door Anoniem
"pippo = 767.000 -> erg slecht wachtwoord
05Fineco = 30 -> goed wachtwoord
F1n3co = geen resultaten -> uitstekend"

Wat voor functie zou degene hebben die dit "advies" heeft bedacht ?
30-01-2008, 14:45 door Anoniem
"Wel, beter dan geen aanwijzingen of tips denk ik maar. Tips van gebruik
geen voornamen of woorden maar willekeurige letters en cijfers werken
ook niet echt voor Jan met de Pet"

En je vind niet dat een bank zelf verantwoordelijk is om een mandatory
password policy op te stellen, en dus technisch af te dwingen dat men
strong passwords gebruikt om de veiligheid te waarborgen ?

Ik wil geen goedbedoelde (maar onzinnige) tips of adviezen, ik wil een
bank die waarborgt dat je geen zwakke wachtwoorden kunt gebruiken.

En uitgaande van bovenstaand advies heb je bijvoorbeeld al niet eens een
minimum password length, of enige andere eisen voor een goed
password, behalve dan "dat deze niet veel op google voorkomt".

Denk je soms dat een brute force password hacking applicatie alleen
woorden genereert die je op Google terug kunt vinden ? ;)
30-01-2008, 15:03 door Anoniem
Door Nielsk
Door Anoniem
Door Nielsk
Wie houd me tegen om mijn denk vermogen te delen met de
wereld ? jij soms weet je hoelang het duurt voor je 5
karakters met alle mogelijke combinaties hebt? Lang erg lang
aangezien ik dit zelf gedaan heb tot 8 chars (speciale
encryptie om me eigen veiligheid te testen).
5 karakters zijn te controleren in veel minder dan 1
seconde. 8 karakters
kost misschien een paar seconden. Als je er langer over doet
gebruik je
een groot alfabet, een trage computer of er zijn
verbeteringen mogelijk in
de code.

Maar nu we toch iemand met jouw denkvermogen hebben: bereken
eens
hoeveel combinaties er zijn met een alfabet van 26 karakters
en een
wachtwoordlengte van 5 (en voor 8) tekens?

Ik praat over unieke encryptie methodes niet over md5 die in
de rainbow tables staat. Mijn pc een Dualcore AMD 5000+ met
4 GB intern haalt op een sloom niveau in de 20 tot 30
miljoen hashes per uur. Bereken het dan even 5 karakters is
een hele waslijst als je ook speciale tekens hebt met
bijvoorbeeld dubbele puntjes erop enz;)


Laag niveau....

Ja, we weten al dat dit ver onder je niveau is. Geef dan eens antwoord op
mijn vraag. Hoeveel combinaties zijn er bij alfabet van 95 bij 5 tekens?

95 karakters komt overeen met ASCII 32 t/m 126 (printables).
30-01-2008, 15:16 door Darkman
Ik gebruik KeePass altijd om wachtwoorden te genereren of op
sterkte te controleren.
Dan komt er bij te staan hoeveel bits dat wachtwoord is.
Nu vraag ik me alleen af hoeveel bits hij moet zijn om
veilig genoeg te zijn voor de rekenkracht waarover men
tegenwoordig kan beschikken.
30-01-2008, 15:20 door Nomen Nescio
Door Anoniem
Op het moment dat je gaat zoeken wordt de zoekopdracht opgeslagen
in
google. Een waanzinnig en achterlijk advies.
Ik dacht precies hetzelfde.
30-01-2008, 15:22 door Nomen Nescio
Door Nielsk
Door Anoniem
vet!

"{"

Uw zoekbewerking - { - heeft geen overeenkomstige documenten
opgeleverd

een veilig eenletterig password!
Wouw een faker die denkt stoer te zijn door een soortgelijk resultaat te
laten zien :') Te stoer hoor.


PS:
De meeste websites enzo laten ook spaties toe in hun wachtwoord
(heb ik
wel tenminste met me project). Het leuke hieraan is is dat geen enkele
brute forcer ooit op het idee kwam om die ook te combinen in hun lijst
waardoor het dus een goede zet is voro een wachtwoord;)
Laten we het maar niet te hard roepen, want we brengen anderen op
ideeën. Straks gaat een of andere gek een wachtwoord met een of
meer spaties er in op Google uitproberen.
30-01-2008, 15:25 door Nomen Nescio
Door Anoniem
"pippo = 767.000 -> erg slecht wachtwoord
05Fineco = 30 -> goed wachtwoord
F1n3co = geen resultaten -> uitstekend"

Wat voor functie zou degene hebben die dit "advies" heeft
bedacht ?
F1n3co moet je nou nog eens proberen bij Google. Zul je schrikken.
Waarmee meteen bewezen is wat een idioot advies dat was van die
bank.
30-01-2008, 17:23 door Anoniem
Haha Nomen, inderdaad
30-01-2008, 21:48 door [Account Verwijderd]
[Verwijderd]
31-01-2008, 07:06 door Anoniem
Een wachtwoord is altijd al een zwak punt bij beveiliging in
het algemeen, vandaar dat er voor het opslaan van
wachtwoorden versleuteling word toegepast en er in de meeste
gevallen bij communicatie tussen de apparatuur ook weer
versleuteling word toegepast.

Ooit was er privacy door de fragmentatie van onze "papieren"
gegevens en de beschikbaarheid daarvan, toen had men aan 1
algemeen ID (paspoort) nog genoeg.

Nu die gegevens elektronisch worden verwerkt is die
fragmentatie sterk afgenomen en de beschikbaarheid daarvan
toegenomen door die gegevens te koppelen. Daarom denk ik dat
de mogelijkheid van functionele fragmentatie van het ID
verder zou moeten worden onderzocht. (het wie, wat, waar,
waarom van het ID is hierbij essentieel)

Tijd voor koffie.......
(kan alleen de post-it met toegangscode naar de kantine niet
vinden in de bureaulade van mijn collega.;)
31-01-2008, 09:04 door Anoniem
Berekening? Duur woord voor 95 tot de macht 5...

Groeten,

ander anoniem stumpertje :)
31-01-2008, 09:50 door Anoniem
@Nielsk: Als je denkt dergelijke combinaties nog te moeten berekenen en
dus niet weet dat daar al gewoon standaard formules voor bestaan dan
mis je wat essentiele vakbekwaamheden...
31-01-2008, 10:28 door [Account Verwijderd]
[Verwijderd]
31-01-2008, 11:43 door Anoniem
Door Nomen Nescio
F1n3co moet je nou nog eens proberen bij Google. Zul je
schrikken.
Waarmee meteen bewezen is wat een idioot advies dat was van die
bank.

Nee, het was een perfect advies. Want iedereen die nu F1n3co
test, ziet dat het te veel hits geeft en zal het niet
gebruiken. Een soort self fulling profecy.

Peter
31-01-2008, 12:47 door Arno Nimus
Door Dunes
Om een sterkte-indicatie te krijgen van je password kun je
terecht op de site van het PvIB:
http://www.gvib.nl/afy_info_ID_1186.htm

Of natuurlijk zelf L0phtcrack aanschaffen en je wachtwoord
testen. Duurt alleen wat langer ;-)
LOL

Dat tooltje is volstrekt gestoord. Ik heb een wachtwoord die
hij een score van 100 geeft. Vul ik deze aan met een aantal
karakters tot 1 geheel waardoor ik ver boven de 40 karakters
kom dan komt dit gedrocht op de proppen met een score van
31,85.

Door Nielsk
Anoniem stumpertje, SirDice heeft een tijdje terug een
manier geplaatst om het aantal combinaties te berekenen.
Waarom zou ik mijn tijd besteden aan zo'n flut berekening
als ik er niet voor betaald krijg, tenzij jij mij er voor
wil betalen ben ik niet bereid om dit te doen.
Volgens mij ben ik langer bezig met m'n portomonnee uit m'n
broekzak vissen dan die berekening te maken: 5^95 (vijf tot
de macht vijfennegentig of 5 tot de vijfennegentigste macht;
géén 95 tot de macht 5 dus!). Deze krijg je gratis. Om het
te berekenen heb je dus geen ingewikkelde PHP-installatie of
een dure consultant nodig. Gewoon een rekenmachine is
genoeg... :-)
31-01-2008, 12:59 door [Account Verwijderd]
[Verwijderd]
31-01-2008, 13:07 door Anoniem
"Maar nu we toch iemand met jouw denkvermogen hebben: bereken
eens hoeveel combinaties er zijn met een alfabet van 26 karakters en een
wachtwoordlengte van 5 (en voor 8) tekens?"

Je had je kunnen realiseren, voordat je begon over het denkvermogen
van anderen, dat passwords ook andere tekens kunnen bevatten naast
letters, en vaak case-sensitive zijn. Ik vraag me dan ook af hoe je komt op
26 tekens, het aantal mogelijkheden ligt een stuk hoger.
31-01-2008, 13:21 door Arno Nimus
Door Nielsk
Jammer genoeg heb ik geen rekenmachine op me kantoor,
gelukkig heb
ik wel usbwebserver die zonder installatie werkt, geen
flauwekul dus
moest alleen even goed nadenken welke functie het kon
realiseren
aangezien ik beperkte rechten heb. :)
Je hebt geen rekenmachine? Ik las net ergens anders dat je
Ubuntu gebruikt. Ik gok dat ook daar wel ergens een
calculator ingebakken zit. En anders is er vast wel ergens
een Windows-PC te vinden met calc.exe. Het lijkt me
overigens niet eens uitgesloten dat je vanaf de prompt op
een willekeurige linux-bak deze berekening kunt uitvoeren.
(geen ervaring mee)

Je hebt het trouwens over 'jammer'... Wat ik nou jammer vind
is dat je mensen een bepaalde kwalificatie ("Anoniem
stumpertje") meegeeft of anderen wijst op hun taalfouten
terwijl dat doorgaans niets toevoegt aan de discussie.
Helemaal niet als je zelf ook nog eens de nodige taal- en
grammaticafouten maakt.

Nu weet ik niet of je hier 'nieuw' bent of niet (je naam
komt me niet bekend voor) maar het zou je sieren dergelijke
opmerkingen voor je te houden. Trollen wordt vrijwel nergens
op prijs gesteld.
31-01-2008, 16:31 door [Account Verwijderd]
[Verwijderd]
31-01-2008, 16:48 door Anoniem
Door Nielsk

Wedden dat als je bijvoorbeeld een nickname met spaties doet
bijvoorbeeld: Fatal1ty dus dan krijg je "F a t a l 1 t
y".
Als ik dit als password neem is de kans minder dan 0,001 %
dat hij gekraakt wordt aangezien de spatie niet wordt
gebruikt evenals chineze tekens in een bruteforcer ;)

Een dictionary attack zul je bedoelen ?
31-01-2008, 18:34 door [Account Verwijderd]
[Verwijderd]
31-01-2008, 21:48 door [Account Verwijderd]
[Verwijderd]
01-02-2008, 11:02 door Anoniem
Door Anoniem
Men mag ook altijd het betreffende wachtwoord direct naar
mij sturen, dan bekijk ik het even en meld terug aan
afzender hoe goed het is..... ;)
[email]Maakjewachtwoordpubliek@dommegebruikers.nl[/email]

Ohh ja vergeet niet erbij te vermelden waar het voor is...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.