Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Spaties in passphrases niet optimaal
Wachtwoorden zijn dood en begraven, daarom ben ik groot voorstander van passphrases. Makkelijk te onthouden zinnen die moeilijk te raden zijn. Echter, veel mensen die ik ken en een passphrase gebruiken, gebruiken ook spaties tussen de woorden in. Dat is volgens mij niet verstandig. Iemand die meeluistert kan namelijk horen uit hoeveel woorden je zin bestaat, en hoe lang die woorden zijn (je zou het geluid kunnen opnemen en later analyseren). Dat gecombineerd met enige voorkennis van de persoon, zou dat het raden naar de passphrase heel heel stuk makkelijker kunnen maken.
Je kan in ieder geval een enorm groot deel van de mogelijkheden uitsluiten. Zeker in een tijd waarbij je moet opletten tijdens het inloggen voor je collega's of schoudersurfende omstanders, is dit een handige tip. De passphrase zou bij voorkeur ook een zin moeten zijn die iets ontkent. Dus niet: "ikbenopeenwoensdaggeboren", maar eerder "ikbennietop12decemberjarig".
Zoek ook even door.. probeer een passphrase te vinden die makkelijk en snel typt.. hoe sneller je hem in kan typen, hoe beter (moeilijker af te kijken / raden).
Op UNIX systemen kan je ook, als je echt twijfelt of iemand meekijkt, tussendoor even ctrl-u (wis input) doen.. dan wordt je password ineens een heel stuk langer, denkt de meekijker of luisteraar. Uiteraard is een passphrase bestaande uit een aantal willekeurige wachtwoorden nog beter, maar dat is weer lastiger onthouden.
Wat trouwens ook niet verstandig is, is het invoeren van garbage wachtwoorden om alleen bij een bestelling of login het wachtwoord opnieuw op te vragen. Die mail wordt namelijk onversleuteld verstuurd, waardoor bijvoorbeeld iemand op een publiek draadloos netwerk er zo met je login vandoor kunt gaan.
Je kan in ieder geval een enorm groot deel van de mogelijkheden uitsluiten. Zeker in een tijd waarbij je moet opletten tijdens het inloggen voor je collega's of schoudersurfende omstanders, is dit een handige tip. De passphrase zou bij voorkeur ook een zin moeten zijn die iets ontkent. Dus niet: "ikbenopeenwoensdaggeboren", maar eerder "ikbennietop12decemberjarig".
Zoek ook even door.. probeer een passphrase te vinden die makkelijk en snel typt.. hoe sneller je hem in kan typen, hoe beter (moeilijker af te kijken / raden).
Op UNIX systemen kan je ook, als je echt twijfelt of iemand meekijkt, tussendoor even ctrl-u (wis input) doen.. dan wordt je password ineens een heel stuk langer, denkt de meekijker of luisteraar. Uiteraard is een passphrase bestaande uit een aantal willekeurige wachtwoorden nog beter, maar dat is weer lastiger onthouden.
Wat trouwens ook niet verstandig is, is het invoeren van garbage wachtwoorden om alleen bij een bestelling of login het wachtwoord opnieuw op te vragen. Die mail wordt namelijk onversleuteld verstuurd, waardoor bijvoorbeeld iemand op een publiek draadloos netwerk er zo met je login vandoor kunt gaan.
Reacties (14)
Flarden uit minder bekende liedjes of gedichten zijn ideaal. Bijvoorbeeld: "endaartussenzitdevisser". Maak er nog een paar spelfouten in: "endartusensitdeviser", voeg nog een getal toe: "endartusensitdeviser787", en maak een paar letters groot: "enDarTusensitdeViser787" - en je bent een heel eind. Kun je dat onhouden? Jazeker, gekke dingen onthoud je veel gemakkelijker dan alledaagse.
03-09-2008, 12:01 door
toor
Door Anoniemparanoide !!!!
zeker..
03-09-2008, 12:18 door
meneer
Wachtwoorden zouden dood en begraven moeten zijn, klopt, maar wat is een passphrase anders dan een wachtwoord? Het blijft single factor authentication. Dus ook passphrases zouden dood en begraven moeten zijn.
03-09-2008, 13:00 door
toor
een passphrase van 25 chars is een heel stuk lastiger te brute-forcen dan een pwd van 8 chars.
03-09-2008, 13:23 door
root
Een goed wachtwoord voldoet aan 3 voorwaarden:
- complex
- lang genoeg
- makkelijk te onthouden
Voorbeelden:
"20%van20=4"
"Ik lust geen kaas!"
"Johan, waar ben je nou?"
"regel 1: niet schelden."
Het is allemaal zo makkelijk, maar de gebruikers willen het niet snappen :(
- complex
- lang genoeg
- makkelijk te onthouden
Voorbeelden:
"20%van20=4"
"Ik lust geen kaas!"
"Johan, waar ben je nou?"
"regel 1: niet schelden."
Het is allemaal zo makkelijk, maar de gebruikers willen het niet snappen :(
Bij een (diceware) passphrase met vijf woorden zal je 28,430,288,029,929,701,376 mogelijkheden hebben (ongeveer 65 bits aan entropie. Een wachtwoord van 8 tekens (hoofdletters, kleine letters, cijfers, 4 leestekens) heeft 360,040,606,269,696 mogelijkheden (ongeveer 48 bits aan entropie).
De verdeling van woorden met verschillende lengtes zit bij een diceware passphrase zo in elkaar:
Length 1: 51 words
Length 2: 784 words
Length 3: 853 words
Length 4: 2346 words
Length 5: 3111 words
Length 6: 631 words
Je hoort nu dus de spaties in het wachtwoord en je weet dus de lengtes van de woorden. In het voorbeeld gaan we er even van uit dat de lengtes 5, 5, 4, 3, 1 zijn. Het aantal wachtwoorden dat nu nog mogelijk is, is: 3111*3111*2346*853*51 = 987,750,452,394,198. Dit is nog ongeveer 50 bits aan entropie.
De passphrase in het voorbeeld is waarschijnlijk iets zwakker dan de gemiddelde diceware passphrase, gezien een woord van één teken maar in 3.26% van de passphrases voorkomt. Toch heeft het in het voorbeeld nog iets meer entropie dan een "random 8 tekens" wachtwoord.
Verder geen mening... het maakt je wachtwoord wel makkelijker leesbaar natuurlijk mocht je het ergens opschrijven! ;-)
De verdeling van woorden met verschillende lengtes zit bij een diceware passphrase zo in elkaar:
Length 1: 51 words
Length 2: 784 words
Length 3: 853 words
Length 4: 2346 words
Length 5: 3111 words
Length 6: 631 words
Je hoort nu dus de spaties in het wachtwoord en je weet dus de lengtes van de woorden. In het voorbeeld gaan we er even van uit dat de lengtes 5, 5, 4, 3, 1 zijn. Het aantal wachtwoorden dat nu nog mogelijk is, is: 3111*3111*2346*853*51 = 987,750,452,394,198. Dit is nog ongeveer 50 bits aan entropie.
De passphrase in het voorbeeld is waarschijnlijk iets zwakker dan de gemiddelde diceware passphrase, gezien een woord van één teken maar in 3.26% van de passphrases voorkomt. Toch heeft het in het voorbeeld nog iets meer entropie dan een "random 8 tekens" wachtwoord.
Verder geen mening... het maakt je wachtwoord wel makkelijker leesbaar natuurlijk mocht je het ergens opschrijven! ;-)
03-09-2008, 15:47 door
Jozo
B3t3r1v0g3l1nd3h@ndd@n101nd3l^cht
Geen password dat ik gebruik maar wel met een systematiek die ik veel gebruik.
Geen password dat ik gebruik maar wel met een systematiek die ik veel gebruik.
03-09-2008, 15:59 door
toor
Van de site van diceware over spaties in een passphrase:
http://world.std.com/~reinhold/dicewarefaq.html#spaces
http://world.std.com/~reinhold/dicewarefaq.html#spaces
lengte doet er eigenlijk niet meer toe hoor, op hoeveel pc's staat er een wachtwoord op de bios?
indien niet: booten met een live-cd en je overschrijft wat je wil,
akkoord dit dat dan gereset wordt bij het connecteren aan een netwerk
en ook dat je altijd de bios kan benaderen door de backupbatterij even te deconnecteren,maar bij een laptop bvb is dat heel moeilijk
in elk geval kan je sowieso aan alle niet geencrypteerde bestanden op de pc, los van lengte wachtwoord
indien niet: booten met een live-cd en je overschrijft wat je wil,
akkoord dit dat dan gereset wordt bij het connecteren aan een netwerk
en ook dat je altijd de bios kan benaderen door de backupbatterij even te deconnecteren,maar bij een laptop bvb is dat heel moeilijk
in elk geval kan je sowieso aan alle niet geencrypteerde bestanden op de pc, los van lengte wachtwoord
04-09-2008, 12:33 door
Darkman
Wachtwoord plus sleutelbestand dan.
Het sleutelbestand kan je dan op een USB stick bewaren.
Ik maak zelf gebruik van [url=http://keepass.info/]KeePass[/url], staat ook op m,n [url=http://portableapps.com/]Portable Apps[/url] stick.
Het sleutelbestand kan je dan op een USB stick bewaren.
Ik maak zelf gebruik van [url=http://keepass.info/]KeePass[/url], staat ook op m,n [url=http://portableapps.com/]Portable Apps[/url] stick.
04-09-2008, 14:38 door
Nomen Nescio
En weer wordt het sprookje opgevoerd van die "onherkenbare" toegangscodes, terwijl uit onderzoeken steeds weer blijkt dat dingen als de verjaardag van mijn oma minstens zo goed zo niet beter zijn als beveiliging. En makkelijk te raden? Wie kent nou mijn oma? En wie weet dan haar geboortedatum? Er wordt altijd zo krampachtig gedaan terwijl op een andere manier het raam wijd open staat.
Heel vroeger had ik een programma om blindtypen te leren. Die gaf dan weer welke toetsen je het snelst kon vinden. De 'e' vind je ook sneller als de 'x', dus als ze je toetsaanslagen met een stopwatch kunnen timen dan kunnen ze zo-wie-zo wel slim zoeken. Spaties ertussen of niet.
Ik vind het trouwens onzin om je wachtwoord elke maand te veranderen. Dat is erom vragen dat mensen hem op gaan schrijven, of erger, trukjes gaan bedenken om hetzelfde wachtwoord te kunnen hergebruiken.
Het beste is eerst opschrijven en veilig opbergen. En als je het wachtwoord uit je hoofd kent het papiertje vernietigen. En niet hergebruiken natuurlijk!
Ik vind het trouwens onzin om je wachtwoord elke maand te veranderen. Dat is erom vragen dat mensen hem op gaan schrijven, of erger, trukjes gaan bedenken om hetzelfde wachtwoord te kunnen hergebruiken.
Het beste is eerst opschrijven en veilig opbergen. En als je het wachtwoord uit je hoofd kent het papiertje vernietigen. En niet hergebruiken natuurlijk!
05-09-2008, 03:08 door
draw59
Via KeePass, zoals al eerder vermeld, is het mogelijk om gebruikersnaam en wachtwoord te kopiëren en te plakken. Na x seconden (zelf aan te geven) wordt de info uit het klembord verwijderd dus m.i. een safe progje.
Knappe Keylogger die dat herkent!
Knappe Keylogger die dat herkent!
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
