image

Beveiligingsbedrijf: goed wachtwoord bestaat uit 7 tekens

vrijdag 22 juni 2012, 09:52 door Redactie, 13 reacties

Een Amerikaans beveiligingsbedrijf stelt dat een goed wachtwoord uit minimaal zeven tekens bestaat, wat ingaat tegen het advies van experts die juist lange passphrases adviseren. "Een goed wachtwoord bestaat uit minimaal zeven tekens en bevat letters, nummers en niet-alfanumerieke tekens zoals ‘&’ en ‘@’. Vermijd vanzelfsprekende namen of simpele wachtwoorden zoals ‘123’ of ‘abc’", aldus beveiliger GFI Software.

Veel datalekken ontstaan doordat websites worden gehackt en aanvallers er met de databases met wachtwoorden vandoor gaan. Websites kunnen de wachtwoorden versleutelen via bijvoorbeeld het MD5 of SHA1 hashing-algoritme. Door de opkomst van rainbow tables en snelle videokaarten wordt het steeds eenvoudiger om het bij de hash behorende wachtwoord te achterhalen. Daarbij geldt hoe korter het wachtwoord, des te eerder dit wordt achterhaald.

Passphrase
Omdat het lastig is een lang wachtwoord van willekeurige tekens te onthouden, worden passphrases geadviseerd. Een zin van verschillende woorden, al dan niet bestaand uit nummers en niet-alfanumerieke tekens. Het voordeel van een passphrase is dat die lang, maar toch eenvoudig te onthouden is. Versleutelingsprogramma TrueCrypt adviseert gebruikers bijvoorbeeld een passphrase van minimaal 20 tekens.

GFI adviseert in persbericht ook passphrases: "Je kunt een zin bedenken met niet-alfanumerieke tekens tussen de woorden, zoals ‘Mijn%hond%heet%Boris’. Je zou ook de letter ‘o’ kunnen vervangen door de nul: ‘Mijn%h0nd%heet%B0ris’." Maar geeft daarna ook het advies om een patroon kiezen op het toetsenbord om zo het wachtwoord niet te vergeten. "Bijvoorbeeld ‘zaq12wsx’. Let er hierbij op dat het patroon niet te voor de hand liggend is, zoals ‘123qweasd’."

Wijzigen
Tevens adviseert het eindgebruikers om elke maand het wachtwoord te wijzigen. Volgens beveiligingsgoeroe Bruce Schneier is dit onzin, zeker voor consumenten.

Zodra een aanvaller een wachtwoord steelt zal hij dit bij eindgebruikers in de meeste gevallen meteen misbruiken en zal de gebruiker dit ontdekken. Daarnaast zorgt het regelmatig wijzigen van wachtwoorden ervoor dat gebruikers een steeds zwakker wachtwoord kiezen, aldus Schneier.

Reacties (13)
22-06-2012, 10:37 door Anoniem
Dat wachtwoorden passé zijn, weten we wel zo'n beetje. Maar om nu een advies uit 1995 te gaan herhalen is me wat te gortig. XKCD heeft het inderdaad op perfecte wijze weergegeven: Entropie, daar gaat het om.

Overigens denk ik wel dat we over moeten naar wat anders. 2factor misschien?
22-06-2012, 10:58 door Anoniem
Een goed wachtwoord is een "contradictio in terminis", wachtwoorden hebben hun langste tijd gehad
22-06-2012, 11:23 door N4ppy
Volgens mij worden er een paar zaken door elkaar gehaald.

Beveiliging tegen brute force van buiten
7 tekens PLUS detectie van foute pogingen is dan in principe genoeg tegen brute force

Beveiliging tegen brute force van "binnen"
Als de password (hash) database gejat is dan maakt het in principe niet meer uit omdat als ze zo ver zijn ze waarschijnlijk ook de data achter het password hebben.
Als je VERSCHILLENDE passwords gebruikt voor verschillende sites dan maakt het kraken meestal niet meer uit.

Belangrijk is de er geblocked wordt bij foute pogingen en dat password hash databases niet gejat worden.

Van beide mag je niet uitgaan dus zul je op zijn minst moeten zorgen voor verschillende passwords.
22-06-2012, 12:11 door sloepie
Oh, dus dan zit ik met allemaal verschillende sterke wachtwoorden van 20 tekens voorlopig nog wel goed. :-)
22-06-2012, 14:19 door Anoniem
ik gebruik steeds vaker een digipass. Vorral om ibn te loggen bij mijn online games, mijn bank , webmail, citrix, vpn etc.
mydigipass.com heeft voor mij de toekomst. leuk is dat je via een app de qr code welke in een pop up kunt scannen en zodoende via een One time password inlogged. en als ik mijn iphone niet bij me hebt kan ik gewon een OTP via mijn Intel processor generen. altijd veilig.
22-06-2012, 14:22 door zatlander
wat ik niet goed begrijp in die comic is hoe ze maar aan 28 bits entropie komen voor een paswoord van 11 chars met hoofd+kleine letters en speciale tekens, wat toch een charset van 64+ is.
64^11 = 66bits entropie of ben ik niet goed wakker?
Ok in dat voorbeeld nemen ze een dictionary word met wat l33tsp34k substituties, eerste letter hoofdletter en 2 trailing chars, maar mensen zullen er evengoed in slagen om slechte passphrase te kiezen, die volgens mij even gemakkelijk te brute-forcen zouden zijn. Ik vraag me trouwens af hoeveel er al niet "correct horse battery staple" als passphrase hebben
22-06-2012, 16:05 door quikfit
Wat is het maximaal aantal tekens dat je voor je account op de PC kan invoeren?
Gewoon uit nieuwsgierigheid... ;-)
23-06-2012, 16:45 door golem
Door quikfit: Wat is het maximaal aantal tekens dat je voor je account op de PC kan invoeren?
Gewoon uit nieuwsgierigheid... ;-)

Als je windows gebruikt.
http://exchangepedia.com/2007/01/what-is-the-real-maximum-password-length.html
24-06-2012, 12:06 door Anoniem

$ john pass.txt --wordlist=rockyou.txt --format=raw-md5
Loaded 1 password hash (Raw MD5 [SSE2 16x4x2 (intr)])
zaq12wsx (kraakmij)
guesses: 1 time: 0:00:00:00 DONE (Sun Jun 24 12:02:52 2012) c/s: 36977 trying: nick123 - 98765432

goed advies man!
24-06-2012, 13:50 door Anoniem
Door zatlander: wat ik niet goed begrijp in die comic is hoe ze maar aan 28 bits entropie komen voor een paswoord van 11 chars met hoofd+kleine letters en speciale tekens, wat toch een charset van 64+ is.

Zo'n bereking geld alleen als alle tekens met gelijke waarchijnlijkheid op alle posities gaan voorkomen, dat is niet zo.
Een en ander is verantwoord in de comic zelve: tel de vierkantjes.

Het is slordig dat XKCD niet als bron wordt vermeld voor zijn eigen werk en dat hij geen 'link love' krijgt.
Ook is het opvallend dat het plaatje is gecopieerd terwijl de licentie dat expliciet verbiedt voor commerciele sites.

Hier is een leesbare versie: http://xkcd.com/936/
25-06-2012, 11:00 door RickDeckardt
Beste redactie, waarom plaatst u dit artikel?
25-06-2012, 11:01 door RickDeckardt
1992 called, it wants it article about 7 character passwords back!
11-11-2014, 17:15 door Anoniem
Elke keer zegt de website geen goeie wachtwoord wat is een wachtwoord met :
- minimaal 1 letter(s) - minimaal 1 numerieke karakter(s) - minimaal 1 speciale karakter(s) (!@#$%^&*()[]'":;,.|\+-=_?/) en dient minimaal 6 karakters lang te zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.