Security Tip van de Week: maak een veilig wachtwoord
maandag 19 november 2012, 10:15 door Hugo Leisink, 63 reacties
In de Security Tip van de week geeft elke week een andere professional, expert, onderzoeker of lezer een security tip. Persoonlijke tips, variërend van het veilig configureren van Windows, een handige security tool of het juist instellen van een firewall, waarmee de tipgever zijn systeem, applicatie of netwerk veiliger maakt.
Heb jij ook een leuke, originele, maar bovenal goede security tip die niet mag ontbreken, stuur dan een mail naar redactie@security.nl.
Deze week de tip van Hugo Leisink
Wachtwoorden
Als beveiligingsadviseur heb ik regelmatig gesprekken met klanten over ICT beveiliging en daarbij komt het onderwerp ‘wachtwoorden’ vaak voorbij. Ook op het internet zie ik geregeld iets voorbij komen over dit onderwerp, waarbij het dan met name gaat over sterke en zwakke wachtwoorden. Soms wordt beweerd dat je beter voor een zo lang mogelijk wachtwoord kan gaan, op andere momenten lees je weer dat een complex wachtwoord (met hoofdletters, cijfers en leestekens) beter is dan een lang wachtwoord. Om aan die onduidelijkheid een eind te maken leg ik hieronder uit wat een veilig wachtwoord is en hoe je een veilig wachtwoord kan kiezen dat ook nog makkelijk te onthouden is.
Wat is een veilig wachtwoord?
Een veilig wachtwoord is een wachtwoord waarbij het dusdanig veel tijd kost om via een bruteforce-aanval het wachtwoord te achterhalen, de aanvaller daar niet de middelen of tijd voor heeft om de aanval succesvol uit te voeren. Voor diegene die onbekend zijn met de term ‘bruteforce-aanval’: een bruteforce-aanval is een aanval waarbij een aanvaller het wachtwoord probeert te raden door alle mogelijke combinaties van een wachtwoord af te gaan. Bij bovengenoemde definitie laat het ik afluisteren van wachtwoorden of achterhalen van wachtwoorden door onveilige opslag buiten beschouwing.
Aantal te raden combinaties
Hoeveel middelen of tijd een aanvaller heeft weet je niet, daarom kan je maar het beste voor een zo sterk mogelijk wachtwoord gaan dat nog te onthouden is. Je moet dus een wachtwoord kiezen dat zo veel mogelijk bescherming biedt tegen een bruteforce-aanval. Deze bescherming wordt bepaald door het aantal combinaties dat een aanvaller af moet gaan om je wachtwoord te kunnen raden. Dit aantal combinaties wordt bepaald door de volgende formule:
Hierbij is c gelijk aan de grootte van de gebruikte tekenset en n gelijk aan de lengte van je wachtwoord. Heb ik een wachtwoord dat slechts uit 6 kleine letters bestaat, dan kan een aanvaller dit raden binnen 261 + 262 + 263 + 264 + 265 + 266 = 321 miljoen stappen. De aanvaller begint bij ‘a’ en heeft het wachtwoord geraden als hij bij ‘zzzzzz’ is aanbeland.
Bij het kiezen van een wachtwoord kan je dit aantal te raden combinaties verhogen door je wachtwoord langer te maken en/of tekens te pakken uit een tekenset groter dan alleen de kleine letters. Zo is het aantal te raden combinaties voor een wachtwoord van kleine letters, hoofdletters en cijfers van 6 tekens lang 57 miljard en voor een wachtwoord van kleine letters van 8 tekens lang al 217 miljard. Wat beter is hangt af van hoe lang je het wachtwoord kiest of welk tekenset je gebruikt.
Lengte of complexiteit?
Het toevoegen van een extra letter of cijfer aan je wachtwoord doet het aantal te raden combinaties sneller stijgen dan het toevoegen van wat tekens aan de tekenset waaruit je je wachtwoord kiest. Daardoor lijkt ‘groter’ beter dan ‘complexer’, maar hier zit een addertje onder het gras. Stel, we nemen het wachtwoord ‘prachtigverzonnen’. Het aantal te raden combinaties voor dit wachtwoord is: 11,7 * 1023. Het is namelijk een wachtwoord van 17 tekens, gekozen uit een tekenset van 26 letters. Echter, we kunnen het wachtwoord ook zien als twee woorden. Stel dat een aanvaller beschikt over een bestand met 100.000 Nederlandse woorden, waar ‘prachtig’ en ‘verzonnen’ toevallig inzitten.
We hebben dan dus te maken met een wachtwoord van 2 tekens lang, gekozen uit een tekenset van 100.000 tekens. Het aantal te raden combinaties is dan nog ‘slechts’ 10,0 * 109. Dit is een aanzienlijke vermindering van het aantal te raden combinaties! Naast ‘lengte’ en ‘complexiteit’ hebben we hiermee dus een derde veiligheidskenmerk voor een wachtwoord gevonden, iets wat we de ‘entropie’ van een wachtwoord noemen. De entropie zegt iets over de willekeurigheid van de in het wachtwoord aanwezige tekens.
Door je wachtwoord te laten bestaan uit normale woorden verlaag je de entropie en dus de veiligheid van het wachtwoord. Het aantal te proberen combinaties kan nog verder verlaagt worden indien de aanvaller de grammatica regels toepast. Het is namelijk niet raar om te veronderstellen dat als iemands wachtwoord bestaat uit normale woorden, daar de grammatica regels op toegepast zijn.
Kiezen van een veilig wachtwoord
Bij het kiezen van een wachtwoord moeten we dus letten op lengte, complexiteit en entropie. Is dat nog wel te doen? Jawel. Een handig trucje daarvoor is als volgt. Kies een makkelijk te onthouden zin, bijvoorbeeld een zin uit een liedje dat je goed kent. Neem van elk woord de beginletter en plak deze achter elkaar. Verander een willekeurige e door een 3, een o door een 0, een i door een 1, voeg nog wat speciale teken toe en klaar is je wachtwoord!
Als voorbeeld nemen we de eerste regel uit het liedje "Another brick in the wall" van Pink Floyd: "Hey, teacher! Leave them kids alone. All in all it's just another brick in the wall." levert op "H,t!Ltka.Aiaijabitw.".
Daar maken we het volgende wachtwoord van: "H,t!Ltka.Ai@1ja6itw.". Dit wachtwoord van 20 tekens is voldoende lang. Het bevat daarnaast voldoende complexiteit, namelijk kleine letters, hoofdletters, cijfers en leestekens. En de entropie is ook hoog, want de tekens uit het wachtwoord hebben geen dusdanige relatie dat een woordenboek kan worden gebruikt om het raadproces te versnellen.
Periodiek wijzigen van een wachtwoord
Om de impact van achterhaalde wachtwoorden te verkleinen wordt vaak van gebruikers geëist dat het wachtwoord periodiek, bijvoorbeeld iedere maand, gewijzigd moet worden. Hoewel dit als doel heeft om de veiligheid te vergroten blijkt in de praktijk vaak dat dit juist het tegenovergestelde effect heeft.
Om te voorkomen dat het nieuwe wachtwoord vergeten wordt, kiezen mensen vaak eenvoudige wachtwoorden, wordt een standaard wachtwoord voorzien van een volgnummer of het nummer van de maand of worden het wachtwoord zelfs opgeschreven. En daarbij kan je je afvragen waarom het een aanvaller niet zou lukken om het wachtwoord voor een tweede keer te achterhalen als het de eerste keer ook gelukt is. Periodiek wachtwoorden wijzigen biedt schijnveiligheid omdat het het daadwerkelijke probleem niet oplost.
Het probleem is dat gebruikers zwakke wachtwoorden kiezen en daar niet zorgvuldig genoeg mee omgaan. Het probleem ligt dus bij de gebruiker en dat los je niet op met een instelling op een server.
Hugo Leisink is ICT beveiligingsadviseur bij OGD
Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.
Reacties (63)
19-11-2012, 10:33 door
[Account Verwijderd]
[Verwijderd]
Hoe is "H,t!Ltka.Ai@1ja6itw." een gebruiksvriendelijk wachtwoord? Niet. En had ik nou voor de eerste of 2e a een @ gekozen?
"1Grasloze&kaleaalscholver?" Cijfer, hoofdletter, kleine letter, speciaal teken. En 10^x keer makkelijker te onthouden. En een woordenboekaanval is geen geldig argument tegen een bizarre zin.
De opmerking dat in het KXCD stripje er een bewust zwak wachtwoord is gekozen slaat de plank ietwat mis: het voldoet aan alle eisen die jarenlang aan gebruikers zijn opgelegd.
"1Grasloze&kaleaalscholver?" Cijfer, hoofdletter, kleine letter, speciaal teken. En 10^x keer makkelijker te onthouden. En een woordenboekaanval is geen geldig argument tegen een bizarre zin.
De opmerking dat in het KXCD stripje er een bewust zwak wachtwoord is gekozen slaat de plank ietwat mis: het voldoet aan alle eisen die jarenlang aan gebruikers zijn opgelegd.
dit zullen de meeste wel weten ,maar ook veel niet ,maar wat ik echt wouw zeggen was ,er zijn veel accounts en websites met registreren die maar één soort letter of cijfer ondersteunen en niet echt je eiggen keuze zoals hoofdletters en lees tekens
zelf had ik vroeger ook van die domme wachtwoorden maar nu maak ik ook een helemix van kleine grote letters en tekens zo lang het kan
maar vraag dan soms wel eens af of het wel altijd veiliger maakt
want security.nl heeft hier wel eens n keer gepost toen een website gehackt was
en dat ze bepaalde wachtwoorden lieten zien waar somige ook lange wachtwoorden hadden
met zoals ze hier boven zeggen zoals "H,t!Ltka.Ai@1ja6itw.".
toen sony gehackt was zag ik ook genoeg wachtwoorden met deze mix van wachtwoord
of dit ligt anders ?
als ze je echt moeten hebben dan kun je een dik wachtwoord hebben ,wat toch geen nut heeft
het draait in de meeste gevallen toch dat je gewoon net pech moet hebben ,hoe dik je wachtwoord ook is !
zelf had ik vroeger ook van die domme wachtwoorden maar nu maak ik ook een helemix van kleine grote letters en tekens zo lang het kan
maar vraag dan soms wel eens af of het wel altijd veiliger maakt
want security.nl heeft hier wel eens n keer gepost toen een website gehackt was
en dat ze bepaalde wachtwoorden lieten zien waar somige ook lange wachtwoorden hadden
met zoals ze hier boven zeggen zoals "H,t!Ltka.Ai@1ja6itw.".
toen sony gehackt was zag ik ook genoeg wachtwoorden met deze mix van wachtwoord
of dit ligt anders ?
als ze je echt moeten hebben dan kun je een dik wachtwoord hebben ,wat toch geen nut heeft
het draait in de meeste gevallen toch dat je gewoon net pech moet hebben ,hoe dik je wachtwoord ook is !
19-11-2012, 11:01 door
[Account Verwijderd]
[Verwijderd]
19-11-2012, 11:03 door
N4ppy
Wat ik geheel mis is dat je niet het zelfde wachtwoord moet gebruiken voor elke site die je bezoekt.
Het is al heel vaak voorgekomen dat passwords in plain text of eenvoudig te kraken worden op geslagen.
Als je dan ^&*@ug3jhdkh7&*&Gjhgejlwhqekh7^&*^&*TGjhgjhlhilj378&TGYUGLH voor al je sites gebruikt dan ben je nog steeds het bokje en is met het stelen van dit wachtwoord bij vagesite.nl ook gelijk je gmail weg (waar al je password resets naar toe gaan) en je paypal leeg.
2 Factor (heb je toch wel aan staan op je google account?) zorgt er in ieder geval voor dat er elders niet nog een sessie gestart kan worden. (Maar ik verwacht binnenkort een botnet client die dan in de achtergrond die optie voor je uitzet ;)
Het is al heel vaak voorgekomen dat passwords in plain text of eenvoudig te kraken worden op geslagen.
Als je dan ^&*@ug3jhdkh7&*&Gjhgejlwhqekh7^&*^&*TGjhgjhlhilj378&TGYUGLH voor al je sites gebruikt dan ben je nog steeds het bokje en is met het stelen van dit wachtwoord bij vagesite.nl ook gelijk je gmail weg (waar al je password resets naar toe gaan) en je paypal leeg.
2 Factor (heb je toch wel aan staan op je google account?) zorgt er in ieder geval voor dat er elders niet nog een sessie gestart kan worden. (Maar ik verwacht binnenkort een botnet client die dan in de achtergrond die optie voor je uitzet ;)
19-11-2012, 11:08 door
[Account Verwijderd]
[Verwijderd]
19-11-2012, 11:27 door
Fwiffo
Goed artikel! Hulde.
Wat in de PGP nieuwsgroep werd aangeraden is Diceware http://world.std.com/~reinhold/diceware.html. Dan kies je met dobbelstenen een aantal woorden uit een uitgeprinte lijst van duizenden woorden. En de entropie van zo'n woord is te berekenen met de formules die je in je artikel gebruikt (uitgedrukt in 'bits' was gebruikelijk in de pgp nieuwsgroep omdat AES bijvoorbeeld ook in 'bits' wordt uitgedrukt).
Probleem is vaak dat sites vreemde tekens eisen of een limiet stellen aan de lengte van een wachtwoord. Ik kan mij ook voorstellen dat spaties niet toegestaan zijn, of erger, je wachtwoord afkappen bij de eerste spatie. Maar met PGP werkte het perfect ;-)
Nog iets over het verplicht veranderen van je wachtwoord: Wie zegt dat een aanvaller zo lang wacht met het misbruik van buitgemaakte login gegevens? Aangezien de meeste wachtwoorden (ook van 'professionals') waardeloos zijn, zijn de meeste wachtwoorden wel binnen een paar uur te kraken met een snelle grafische kaart. Misschien was het verplicht veranderen van je wachtwoord vroeger zinvol, toen computers traag waren en mensen maar één wachtwoord hoefden te onthouden, maar zelf schrijf ik alles tegenwoordig op. Dat is tegen een online aanvaller het veiligste. Bij een wachtwoord manager kan de master passphrase gelogd worden en ben je al je wachtwoorden in een keer kwijt. Ook van sites die je nauwelijks nog bezoekt. Mijn wachtwoord van security.nl ligt gewoon bij de computer (tot ik het uit mijn hoofd ken). Veel plezier voor degene die het weet te stelen van me <g>. Je kan nu posten onder mijn naam! (maar niet vanaf mijn IP).
Wat in de PGP nieuwsgroep werd aangeraden is Diceware http://world.std.com/~reinhold/diceware.html. Dan kies je met dobbelstenen een aantal woorden uit een uitgeprinte lijst van duizenden woorden. En de entropie van zo'n woord is te berekenen met de formules die je in je artikel gebruikt (uitgedrukt in 'bits' was gebruikelijk in de pgp nieuwsgroep omdat AES bijvoorbeeld ook in 'bits' wordt uitgedrukt).
Probleem is vaak dat sites vreemde tekens eisen of een limiet stellen aan de lengte van een wachtwoord. Ik kan mij ook voorstellen dat spaties niet toegestaan zijn, of erger, je wachtwoord afkappen bij de eerste spatie. Maar met PGP werkte het perfect ;-)
Nog iets over het verplicht veranderen van je wachtwoord: Wie zegt dat een aanvaller zo lang wacht met het misbruik van buitgemaakte login gegevens? Aangezien de meeste wachtwoorden (ook van 'professionals') waardeloos zijn, zijn de meeste wachtwoorden wel binnen een paar uur te kraken met een snelle grafische kaart. Misschien was het verplicht veranderen van je wachtwoord vroeger zinvol, toen computers traag waren en mensen maar één wachtwoord hoefden te onthouden, maar zelf schrijf ik alles tegenwoordig op. Dat is tegen een online aanvaller het veiligste. Bij een wachtwoord manager kan de master passphrase gelogd worden en ben je al je wachtwoorden in een keer kwijt. Ook van sites die je nauwelijks nog bezoekt. Mijn wachtwoord van security.nl ligt gewoon bij de computer (tot ik het uit mijn hoofd ken). Veel plezier voor degene die het weet te stelen van me <g>. Je kan nu posten onder mijn naam! (maar niet vanaf mijn IP).
Waar die wachtwoordveiligheidsfreaks meestal totaal aan voorbij gaan is dat dit hele issue pas gaat
spelen als er encrypted wachtwoorden op straat liggen.
Zodra dat het geval is kan de hacker aan de slag met het proberen van die 10^xx mogelijkheden waar
het over gaat.
Als het systeem gewoon veilig is en geen informatie op straat gooit dan speelt dat helemaal niet, want
via de gewone user interface kun je geen honderdduizenden pogingen doen en dan is ieder wachtwoord
wat niet heel voor de hand liggend is dus veilig genoeg.
spelen als er encrypted wachtwoorden op straat liggen.
Zodra dat het geval is kan de hacker aan de slag met het proberen van die 10^xx mogelijkheden waar
het over gaat.
Als het systeem gewoon veilig is en geen informatie op straat gooit dan speelt dat helemaal niet, want
via de gewone user interface kun je geen honderdduizenden pogingen doen en dan is ieder wachtwoord
wat niet heel voor de hand liggend is dus veilig genoeg.
19-11-2012, 11:41 door
RickDeckardt
Een spatie is ook een speciaal teken...
Door Hugo:
Ja, die eisen zijn inderdaad verkeerd geweest. Maar dat maakt KXCD niet fout, dát was mijn punt.
Het besteden van aandacht aan wachtwoorden kan ik alleen maar aanmoedigen. Alleen vind ik het dan jammer dat jij er in dit artikel juist voor kiest om een bizar ingewikkeld wachtwoord op te bouwen. Hoewel het ezelsbruggetje zélf inderdaad makkelijk is (de songtekst) is het afleiden van de gekozen tekens nog steeds ongebruiksvriendelijk. In tegenstelling tot mijn fijnbehaarde aalscholver.
De opmerking dat in het KXCD stripje er een bewust zwak wachtwoord is gekozen slaat de plank ietwat mis: het voldoet aan alle eisen die jarenlang aan gebruikers zijn opgelegd.
Dan zijn die eisen verkeerd geweest.Hoe is "H,t!Ltka.Ai@1ja6itw." een gebruiksvriendelijk wachtwoord? Niet. En had ik nou voor de eerste of 2e a een @ gekozen?
Die keuze maak je helemaal zelf, dus dat heb je zelf in de hand. En ik daag je hierbij uit om het gewoon eens te proberen. Het onthouden van een zin uit een liedje dat je toch al kent is niet zo moeilijk!!Ja, die eisen zijn inderdaad verkeerd geweest. Maar dat maakt KXCD niet fout, dát was mijn punt.
Het besteden van aandacht aan wachtwoorden kan ik alleen maar aanmoedigen. Alleen vind ik het dan jammer dat jij er in dit artikel juist voor kiest om een bizar ingewikkeld wachtwoord op te bouwen. Hoewel het ezelsbruggetje zélf inderdaad makkelijk is (de songtekst) is het afleiden van de gekozen tekens nog steeds ongebruiksvriendelijk. In tegenstelling tot mijn fijnbehaarde aalscholver.
19-11-2012, 11:52 door
Ed Dekker
Als eerste: complimenten! Goed stuk.
Maar ...
Wanneer de aanvaller al weet welke tekenset jij gebruikt hebt, dan heeft hij een enorm voordeel.
"H,t!Ltka.Ai@1ja6itw." heeft maar 15 tekens. In de formule c=15, n=20: 'slechts' 3,56 * 10^23. [edit: hier stond 7 :-(]
Het zit 'm dus in de combinatie van de grootte van de tekenset die het systeem accepteert en de lengte van het wachtwoord dat jij zelf kiest. Daarnaast uiteraard de opmerkingen over woordenboek, entropie enz.
Maar ...
Bij het kiezen van een wachtwoord kan je dit aantal te raden combinaties verhogen door je wachtwoord langer te maken en/of tekens te pakken uit een tekenset groter dan alleen de kleine letters.
Dit klopt niet helemaal. Het gaat om de grootte van de tekenset die de aanvaller moet gebruiken, niet om de tekenset die jij gebruikt hebt.Wanneer de aanvaller al weet welke tekenset jij gebruikt hebt, dan heeft hij een enorm voordeel.
"H,t!Ltka.Ai@1ja6itw." heeft maar 15 tekens. In de formule c=15, n=20: 'slechts' 3,56 * 10^23. [edit: hier stond 7 :-(]
Het zit 'm dus in de combinatie van de grootte van de tekenset die het systeem accepteert en de lengte van het wachtwoord dat jij zelf kiest. Daarnaast uiteraard de opmerkingen over woordenboek, entropie enz.
19-11-2012, 11:58 door
N4ppy
Door Hugo:
Door N4ppy: Wat ik geheel mis is dat je niet het zelfde wachtwoord moet gebruiken voor elke site die je bezoekt.
Heb je helemaal gelijk in. Het heeft alleen niet direct wat te maken met of een wachtwoord sterk of zwak is. Het ging me hierbij puur om 'hoe kies je een sterk wachtwoord'. Zo kan ik ook wel melden dat je je wachtwoord niet op een post-itje moet schrijven die je vervolgens op je monitor plakt. Maar dat is nu niet het punt dat ik wil maken.Maar dat is juist wel van belang bij het kiezen van een sterk wachtwoord. Wachtwoorden worden links en rechts gejat en dan gaat het hele entropie verhaal niet meer op.
http://arstechnica.com/tech-policy/2011/06/lulzsec-heres-why-we-hack-you-bitches/
"Cheers for the paypal account with £250 in it! ;)"
"whoevers paypal account this is will be receiving; Giant Foam Trollface x 1, Mature Cum Eating Grannies Dvd x 1 and A Fishtank x 1."
"ordered a large pack of condoms for an elderly woman on Amazon."
Een wachtwoord kan 123456 bit zijn als het niet veilig opgeslagen is dan is de waarde 0
Dus uniekheid is een integraal onderdeel van het kiezen van een sterk/veilig wachtwoord.
19-11-2012, 12:02 door
[Account Verwijderd]
[Verwijderd]
19-11-2012, 12:11 door
WhizzMan
Er is nog een reden om wachtwoorden te vervangen. Officieel hoor je accounts van gebruikers die vertrekken af te sluiten, maar soms gebeurt dat helaas niet, om wat voor reden dan ook. Als failsafe kan je dan accounts die niet actief zijn automatisch locken omdat hun wachtwoord verlopen is. Personen die een "illegale" account hebben, worden daarmee verplicht om deze actief te houden en "slapende" accounts kunnen dus niet jaren blijven staan en ineens misbruikt worden. Of de misbruiker de originele houder van de account is of een aanvaller die op wat voor manier dan ook de account te pakken heeft gekregen, maakt niet uit hier.
Heb ik een wachtwoord dat slechts uit 6 kleine letters bestaat, dan kan een aanvaller dit raden binnen 26^1 + 26^2 + 26^3 + 26^4 + 26^5 + 26^6 = 321 miljoen stappen. De aanvaller begint bij ‘a’ en heeft het wachtwoord geraden als hij bij ‘zzzzzz’ is aanbeland.
Verander 'slechts uit 6' in 'uit maximaal 6' en de berekening klopt. Precies zes tekens leveren 26^6=309 miljoen combinaties op. De tweede zin laat zien dat Hugo inderdaad bedoelt dat wachtwoorden van 1 tot 6 tekens worden afgezocht.Het aantal te proberen combinaties kan nog verder verlaagt worden indien de aanvaller de grammatica regels toepast.
Sorry dat ik het even niet kan laten, maar pas de genoemde regels eens toe op deze zin ;-).Hoe ik het doe: ik gebruik een wachtwoordbeheerprogramma en laat die mijn wachtwoorden genereren met een entropie van 165 bits ofwel 4,7*10^49. Ik ken die wachtwoorden niet. Het wachtwoord voor de wachtwoordmanager zelf bestaat uit een zin van betekenisloze onzinwoorden die niet in woordenboeken voorkomen, maar die ik wel kan uitspreken en onthouden. Het zou bijvoorbeeld "milendovisy kestobakol vinobar driss" kunnen zijn. Volgens het programma 'ent' heeft een Nederlandse woordenlijst (/usr/share/dict/dutch) een entropie van 4,3 bits per bytes. Dat lijkt me een goede basis om mee te rekenen omdat mijn onzinwoorden een voor een Nederlander uitspreekbare lettervolgorde hebben. De 36 bytes van dat wachtwoord zouden dan een entropie van 155 bits of 2^(36*4,3) = 4*10^46 mogelijkheden opleveren. Helemaal niet slecht, nog meer zelfs dan het wachtwoord van Hugo. Onzin die ik uit kan spreken kan ik leren, bij een tekenreeks zoals Hugo die suggereert zou ik telkens moeten construeren. Mijn aanpak gaat me makkelijker af.
Maar het vergt wel dat ik zo'n zin uit mijn hoofd leer. In het begin schrijf ik hem op een klein papiertje dat ik heel zorgvuldig en diep wegstop, en vernietig het na een paar dagen als duidelijk is dat ik het niet meer hoef te raadplegen. Slimmer zou zijn om het zelf versleuteld op te slaan en het pas als wachtwoord te gaan gebruiken nadat ik genoeg geoefend heb om het uit mijn hoofd te kennen. Ik heb een paar van die zinnen, ik moet bijvoorbeeld op mijn computer aanloggen voor ik bij het wachtwoordbeheerprogramma kan en er zijn meer situaties waar ik het wachtwoordbeheerprogramma niet kan gebruiken.
19-11-2012, 13:06 door
Ed Dekker
Door Hugo:
Door Ed Dekker: Wanneer de aanvaller al weet welke tekenset jij gebruikt hebt, dan heeft hij een enorm voordeel.
Noem eens een realistisch scenario waarbij een aanvaller dat kan weten? En daarbij zegt voorkennis ook niets over de sterkte van een wachtwoord.Dat was precies mijn punt: een aanvaller dat niet kan weten. Daarom is het ook niet van belang welke tekens je kiest. Het gaat erom dat het systeem heel veel tekens toestaat. Een aanvaller moet dan wel de hele set op elke positie proberen bij een brute-force aanval.
Door WhizzMan: Er is nog een reden om wachtwoorden te vervangen. Officieel hoor je accounts van gebruikers die vertrekken af te sluiten, maar soms gebeurt dat helaas niet, om wat voor reden dan ook. Als failsafe kan je dan accounts die niet actief zijn automatisch locken omdat hun wachtwoord verlopen is. Personen die een "illegale" account hebben, worden daarmee verplicht om deze actief te houden en "slapende" accounts kunnen dus niet jaren blijven staan en ineens misbruikt worden. Of de misbruiker de originele houder van de account is of een aanvaller die op wat voor manier dan ook de account te pakken heeft gekregen, maakt niet uit hier.
Helaas is het wel zo dat als je de in Windows standaard ingebouwde wachtwoord expiration gebruikt, je dit NIET
beschermt tegen de bovenbeschreven situatie!
Je kunt wel instellen dat een wachtwoord na zoveel dagen verloopt en dat er zoveel dagen voor het verlopen aan de
gebruiker gevraagd moet worden het wachtwoord te wijzigen, maar als het dan zover is en het wachtwoord verloopt,
dan wordt het account NIET geblokkeerd maar wordt de gebruiker bij de eerstvolgende login verplicht om het
wachtwoord te wijzigen (ipv dat dit alleen gevraagd wordt).
Dus voor het verlopen van slapende accounts zul je toch zelf in actie moeten komen!
(door middel van een script of door het zelf in de gaten te houden)
"maak een veilig wachtwoord" had beter "maak een sterk wachtwoord" kunnen zijn.
19-11-2012, 13:22 door
[Account Verwijderd]
[Verwijderd]
19-11-2012, 13:30 door
[Account Verwijderd]
[Verwijderd]
Als ik Uw formule gebruik voor het berekenen van het aantal mogelijkheden van bijv de 2 getallen 0 en 1 kom ik met de formule op 6.
Als ik ze naast elkaar zet: 00 10 01 11 kom ik op 4 mogelijkheden.
Wat doe ik fout.
Groet ad
Als ik ze naast elkaar zet: 00 10 01 11 kom ik op 4 mogelijkheden.
Wat doe ik fout.
Groet ad
19-11-2012, 14:15 door
Ed Dekker
Door Hugo:
Je quote mijn reactie 'out of context' door alleen die ene zin te pakken.Door Ed Dekker: Dat was precies mijn punt: een aanvaller dat niet kan weten. Daarom is het ook niet van belang welke tekens je kiest. Het gaat erom dat het systeem heel veel tekens toestaat. Een aanvaller moet dan wel de hele set op elke positie proberen bij een brute-force aanval.
Maar... dan snap ik je eerste opmerking niet. We zeggen dan namelijk hetzelfde...In jouw tekst lijkt het alsof je zegt dat de gebruiker de tekenset kan kiezen en met die keuze invloed heeft op de veiligheid van zijn wachtwoord. Ik probeerde te zeggen dat - wanneer dat inderdaad mogelijk was - een aanvaller in dat geval mogelijk een manier zou kunnen hebben om het zichzelf een stuk makkelijker te maken, namelijk wanneer hij eerst zou kunnen achterhalen welke tekens je gebruikt hebt.
erg academische discussie hierboven maar... interessant leesvoer hieronder
http://www.wired.com/gadgetlab/2012/11/why-no-password-is-safe-from-hackers/
:-)
http://www.wired.com/gadgetlab/2012/11/why-no-password-is-safe-from-hackers/
:-)
19-11-2012, 15:00 door
[Account Verwijderd]
[Verwijderd]
Lengte is het enig wat helpt. Complexiteit is uit de tijd. Met de toegang tot reken clusters en mega grootte vooruit gerekende wachtwoord combinaties, bespaar jezelf de moeite met wachtwoorden met rare karakters.
Leuke voorbeeld site voor de hobbyisten:
https://www.grc.com/haystack.htm
En wat is het gevolg van complexe wachtwoorden, mensen schrijven ze op, slaan ze op in documenten, of erger op het internet, met of zonder encryptie.
Gewoon een leuk lang wachtwoord bedenken in de vorm van een zin is afdoende voor de 'normale' computer gebruiker.
Veel plezier met het bedenken van een leuk wachtwoord.
Leuke voorbeeld site voor de hobbyisten:
https://www.grc.com/haystack.htm
En wat is het gevolg van complexe wachtwoorden, mensen schrijven ze op, slaan ze op in documenten, of erger op het internet, met of zonder encryptie.
Gewoon een leuk lang wachtwoord bedenken in de vorm van een zin is afdoende voor de 'normale' computer gebruiker.
Veel plezier met het bedenken van een leuk wachtwoord.
19-11-2012, 15:24 door
Ed Dekker
Door Anoniem: Veel plezier met het bedenken van een leuk wachtwoord.
HetPaardVanSinterklaasIs!@#$%^&*WatKanDatNouTochZijn? :-)
19-11-2012, 17:27 door
[Account Verwijderd]
[Verwijderd]
@Hugo 17:27
Ik ben heel benieuwd naar de fout in het GRC artikel.
Met name of je wat vindt van het toevoegen van vul-punten.
Ik ben heel benieuwd naar de fout in het GRC artikel.
Met name of je wat vindt van het toevoegen van vul-punten.
19-11-2012, 21:14 door
[Account Verwijderd]
[Verwijderd]
Door Anoniem: Yubico stickje en Lastpass.
Eitje.
Idd. Al ruim 2 jaar mijn oplossing, heb ooit 3 yubikeys gekocht en dit was de best investering die ik gedaan heb. In combinatie met Lastpass, die dus ook de wachtwoorden voor je kan genereren (je kunt zelf instellen hoedanig en welke karakterset), hoef je nog maar 1 wachtwoord te onthouden. Als je zelf vindt dat een complex wachtwoord voldoende is, kun je het ook zonder de Yubikey doen. Maar ik vertrouw graag op de tweede factor van authenticatie...Eitje.
20-11-2012, 09:17 door
[Account Verwijderd]
[Verwijderd]
20-11-2012, 09:40 door
Fwiffo
Door Hugo: Het is hetzelfde als met dobbelstenen gooien. De kans dat je 5 keer een zes gooit is even groot als de kans op de combinatie 1,5,3,6,2. De kans op een cijfer staat los van het vorig gegooide cijfer.
Ik heb deze discussie ooit eens met mijn vader gevoerd. Ik vond dat mijn wachtwoord van 8 tekens (uit 26+26+10 tekens) voor 42% uit hoofdletters, 42% uit kleine letters en 16% uit cijfers moest bestaan. Dit kan natuurlijk niet! Afhankelijk van of je ook nog 'leestekens' e.d. gaat gebruiken (en welke, en vooral welke niet!) wordt het er niet gemakkelijker op.Mijn vader is nog steeds van mening dat willekeurig gegenereerde wachtwoorden willekeurig zijn en ik bijvoorbeeld niet 3 hoofdletters, 3 kleine letters, 1 cijfer en 1 leesteken hoef af te dwingen. Los daarvan wordt dit soms wel afgedwongen door websites dus dan is de beslissing al voor je gemaakt (en is het duidelijk voor een aanvaller dat hij zijn zoekruimte kan beperken tot wat de website afdwingt).
Ik gooi wachtwoorden die mij niet bevallen weg en genereer dan nieuwe. Ze moeten er voor mij wel willekeurig uitzien zonder patronen.
20-11-2012, 09:46 door
Rasalom
Hoi Hugo, leuk dat je zelf ook mee doet aan de discussie. Ik wil dan ook graag een vraag bij je neerleggen.
Hoe denk je over een oplossing als Lastpass waarbij je sterke wachtwoorden genereerd met een willekeurige combinatie van cijfers, hoofd/kleine letters en leestekens?
Ik heb dat zelf beveiligd met een masterpassword in de trant van "Hoi,hoi!"riepRoodkapje,"Hebik2taartjesgewonnen?"
Als je, zoals ik, veel wachtwoorden hebt voor nogal wat sites en diensten, dan is Lastpass naar mijn idee een goede verhouding tussen gemak en veiligheid. Je moet alleen niet vergeten om je account te blokken (browser sluiten) op het moment dat je je computer onbeheerd achter laat.
Ik ben wel benieuwd wat jouw mening is over dit soort hulpmiddelen. Zie ik veiligheidsaspecten over het hoofd? Zijn er betere methoden?
Laat ik daarbij voorop stellen dat zelf onthouden in mijn geval eigenlijk geen optie is. Puur al door het volume is dat niet haalbaar. Gmail, Tweaker, Security.nl, Dropbox, Skydrive, diverse webwinkels… ga zo maar door. En dat zijn bijvoorbeeld nog de sites waar je regelmatig komt. Op de sites die je maar 1 a 2 keer per jaar inlogt, zoals bijvoorbeeld dns provider “OpenDNS”, wordt het steeds lastiger om je wachtwoord te onthouden, waardoor het gevaar van een standaard wachtwoord op de loer ligt.
Hoe denk je over een oplossing als Lastpass waarbij je sterke wachtwoorden genereerd met een willekeurige combinatie van cijfers, hoofd/kleine letters en leestekens?
Ik heb dat zelf beveiligd met een masterpassword in de trant van "Hoi,hoi!"riepRoodkapje,"Hebik2taartjesgewonnen?"
Als je, zoals ik, veel wachtwoorden hebt voor nogal wat sites en diensten, dan is Lastpass naar mijn idee een goede verhouding tussen gemak en veiligheid. Je moet alleen niet vergeten om je account te blokken (browser sluiten) op het moment dat je je computer onbeheerd achter laat.
Ik ben wel benieuwd wat jouw mening is over dit soort hulpmiddelen. Zie ik veiligheidsaspecten over het hoofd? Zijn er betere methoden?
Laat ik daarbij voorop stellen dat zelf onthouden in mijn geval eigenlijk geen optie is. Puur al door het volume is dat niet haalbaar. Gmail, Tweaker, Security.nl, Dropbox, Skydrive, diverse webwinkels… ga zo maar door. En dat zijn bijvoorbeeld nog de sites waar je regelmatig komt. Op de sites die je maar 1 a 2 keer per jaar inlogt, zoals bijvoorbeeld dns provider “OpenDNS”, wordt het steeds lastiger om je wachtwoord te onthouden, waardoor het gevaar van een standaard wachtwoord op de loer ligt.
20-11-2012, 09:57 door
Chasalin
Door Hugo: Zo kan ik ook wel melden dat je je wachtwoord niet op een post-itje moet schrijven die je vervolgens op je monitor plakt.
Laat dat nou precies zijn wat ik vorig jaar zag op een open dag van het DUO2-gebouw in Groningen op de afdeling Douane...
20-11-2012, 10:19 door
Chasalin
Door Rasalom: ... waardoor het gevaar van een standaard wachtwoord op de loer ligt.
Een 'standaard' wachtwoord is inderdaad niet slim, maar de uitdaging is groot.
In mijn idee is het risico van iets als LastPass op zichzelf klein, maar heb je ook gelet op de beveiliging van je computer waarop de database staat? En heb je een backup van die DB?
Wachtwoordstandaardisatie is ook een optie in mijn idee; Neem een standaard tekenreeks (of hoogst ongebruikelijk woord) en voeg daar iets aan toe wat te associeren valt met de dienst waar het voor is. Stop er nog een kleine variatie bij en je bent een heel eind. Als je het aantal variaties beperkt houdt, heb je bij iedere dienst maar een stuk of 3 mogelijkheden om te verwarren. Meestal binnen de limiet van het aantal foute invoeren. 'SecurFlierp42' zou op die manier een wachtwoord kunnen zijn: Secur als afgeleide van de sitenaam, Flierp als basiswoord (komt geloof ik uit de Donald Duck) en 42 als variabele toevoeging.
Aangezien Secur geen woordenboekwoord is en Flierp ook niet, heb je een lange tekenreeks.
Tevens is de gebruikte tekenset beperkt, waardoor je het ook kunt gebruiken voor diensten die een zeer beperkte tekenset toestaan en het bevat wel 2 hoofdletters, 2 cijfers en kleine letters
Mocht een speciaal teken vereist zijn, dan is SecurFlierp!42 mogelijk...
Ik gebruik dit principe (met een ander basiswoord en andere variaties uiteraard) al jaren met als gevolg dat een gekraakt account (wat me heus wel eens is overkomen dank zij plain-text DB) niet leidt tot andere problemen.
Natuurlijk moet je hierbij iets meer op je geheugen vertrouwen dan met gebruik van een wachtwoordkluis, maar dat valt te trainen ;)
20-11-2012, 10:27 door
[Account Verwijderd]
[Verwijderd]
Onderstaand wachtwoord is 16 tekens.
Wil ik deze bijvoorbeeld gebruiken voor Hotmail is deze dan sterk genoeg?
Er zitten wel geen cijfers in, en andere tekens, maar Horse komt ook weer niet voor in een Nederlands woordenboek
en ook niet in de combinatie met de liggende streepjes.
Dus zou ik hem zo gebruiken als onderstaande hoe veilig is deze dan?
Is_Mijn_Horse_?_
Wat is trouwens de minimale lengte? 16 of 18? (snap wel dan 20 een meer beter is)
Trouwens waarom maakt niet ELKE site een soort van policy waarin staat dat indien 2 a 3 maal fout is ingelogt
je account voor een uur wordt geblokkeerd? Dan is het online brute forcen zo afgelopen lijkt me zo.
Op 24 uur zouden de brute forcers dan maar 72 pogingen hebben, en de kans van slagen beperk je hiermee enorm.
In de loop der jaren heb ik drie ISP's gehad, maar een echt lang wachtwoord instellen gaat niet eens.
Dus ISP's en website's werken ook niet echt mee aan een betere wachtwoord beveiliging.
Zou het niet mooi zijn als we over zouden kunnen stappen op alles mogelijke caraters? Denk aan wingdings of al
die andere mooie :-)
Waarom hebben ze hier nooit over nagedacht?
Wil ik deze bijvoorbeeld gebruiken voor Hotmail is deze dan sterk genoeg?
Er zitten wel geen cijfers in, en andere tekens, maar Horse komt ook weer niet voor in een Nederlands woordenboek
en ook niet in de combinatie met de liggende streepjes.
Dus zou ik hem zo gebruiken als onderstaande hoe veilig is deze dan?
Is_Mijn_Horse_?_
Wat is trouwens de minimale lengte? 16 of 18? (snap wel dan 20 een meer beter is)
Trouwens waarom maakt niet ELKE site een soort van policy waarin staat dat indien 2 a 3 maal fout is ingelogt
je account voor een uur wordt geblokkeerd? Dan is het online brute forcen zo afgelopen lijkt me zo.
Op 24 uur zouden de brute forcers dan maar 72 pogingen hebben, en de kans van slagen beperk je hiermee enorm.
In de loop der jaren heb ik drie ISP's gehad, maar een echt lang wachtwoord instellen gaat niet eens.
Dus ISP's en website's werken ook niet echt mee aan een betere wachtwoord beveiliging.
Zou het niet mooi zijn als we over zouden kunnen stappen op alles mogelijke caraters? Denk aan wingdings of al
die andere mooie :-)
Waarom hebben ze hier nooit over nagedacht?
20-11-2012, 10:55 door
Chasalin
Door Anoniem: Zou het niet mooi zijn als we over zouden kunnen stappen op alles mogelijke caraters? Denk aan wingdings of al
die andere mooie :-)
Waarom hebben ze hier nooit over nagedacht?
die andere mooie :-)
Waarom hebben ze hier nooit over nagedacht?
Heel eenvoudig: Wingdings is een lettertype: vormpjes die gekoppeld zijn aan een numerieke waarde die een teken representeert. Dus of je nou een vliegtuig of een hoofdletter D (ik noem maar wat) in je wachtwoord zet, de code achter het teken blijft dezelfde.
Je kunt dan nog overwegen: "dan pakken we de chinese, japanse thaise en wat voor tekenset dan ook erbij". Dat lost enerzijds het genoemde probleem (deels) op, maar anderzijds moet dan de site, dienst of applicatie ook die tekenset gaan ondersteunen. De opslagruimte die daar voor nodig is loopt dan flink op. En je kunt niet verwachten dat een site die zich op Nederland richt, al die tekensets ondersteunt...
20-11-2012, 11:01 door
Rasalom
Natuurlijk moet je hierbij iets meer op je geheugen vertrouwen
Au... kansloos in mijn geval. ;-) Voor een paar essentiele sites ken ik de wachtwoorden uit het hoofd, maar er is een duidelijke grens aan mijn geheugen. En daarbij gebruik ik in grote lijnen de methode die jij beschrijft. Een basis met variaties.En heb je een backup van die DB?
Het is een cloud oplossing, dus dat is een constant punt van zorg. Ik heb een backup in mijn Truecrypt volume, maar dat houdt ik niet vaak genoeg bij. Bedankt voor de reminder.Zeker bij online oplossingen is dat een issue om goed over na te denken.
Dat is inderdaad wel een punt van zorg, maar wat ik toch heb genomen als een gecalculeerd risico. Ik gebruik de wachtwoorden op meerdere devices waardoor een cloud oplossing voor mij veel toegevoegde waarde biedt.Lastpass gaf aan in haar FAQ's dat je master password gebruikt wordt om de database te versleutelen. Je ziet dan ook dat je database opnieuw versleuteld wordt als je je wachtwoord wijzigt. En Lastpass geeft aan dat ze je niet kunnen helpen als je je wachtwoord verliest. Ik weet niet welke versleuteling Lastpass hanteert, maar ik neem aan dat bij een hack van Lastpass niet direct alle informatie op straat ligt.
De veiligheid van de applicatie zelf is inderdaad ook een issue. Daar heb je een punt waar ik minder aan had gedacht. Daar staat dan wel weer tegenover dat je met malware op je pc sowieso een beetje in een security limbo terecht komt. Maar dit is wel een punt waar ik verder in ga duiken.
Ik geef grif toe, dat een offline oplossing ook mijn voorkeur had gehad. Ik heb wel geëxperimenteerd met usb sticks met een wachtwoord manager, maar het bleek lastig om de sticks synchroon te houden. Het nadeel als je sites deelt met je partner.
Bedankt voor jullie input.
20-11-2012, 11:15 door
Rasalom
Door Anoniem: Trouwens waarom maakt niet ELKE site een soort van policy waarin staat dat indien 2 a 3 maal fout is ingelogt je account voor een uur wordt geblokkeerd?
Dat vraag ik me ook vaak af. Al zou ik dan een iets flexibeler schema voorstellen. Bijvoorbeeld: Na 3 keer 10 minuten, na 6/9/12... keer een uur en na 18 keer een dag. Of een variatie daarop natuurlijk. Brute force aanvallen worden door zo'n schema alsnog een stuk lastiger. Alleen, nu ik er over nadenk, krijg je dan wellicht vraagstukken als digitaal pesten, waarbij iemand buiten zijn account wordt gesloten omdat een digitale pester zijn account blijft voeren met foute inlogggegevens. En hoe ga je om met een gedistribueerde aanval, die grote hoeveelheden accounts aanvalt verspreid over een langere tijd, waardoor een tijdelijke blokkering wordt omzeild?
Ik kan me daarom de huivering bij sites voor dat soort maatregelen wel voorstellen.
20-11-2012, 12:09 door
[Account Verwijderd]
[Verwijderd]
20-11-2012, 12:46 door
Rasalom
Door je wachtwoord te laten bestaan uit normale woorden verlaag je de entropie en dus de veiligheid van het wachtwoord.
Op die manier had ik woordenboek aanvallen nog niet bekeken. Ik was nog altijd in de veronderstelling dat het woordenboeken van veelgebruikte wachtwoorden bevatte. De beschreven aanvalsvector klinkt helaas ook heel aannemelijk.Het is officieel: Ik haat woordenboek aanvallen omdat ze de sterkte van mijn master password omlaag trekken. ;-)
Terug komend op mijn voorbeeld master password "Hoi,hoi!"riepRoodkapje,"Hebik2taartjesgewonnen?"
Misschien 'Roodkapje' maar eens vervangen door 'Rotkappchen' en de vraag door 'DidIrealywin2appelpies', om woordenboek aanvallen te bemoeilijken.
Beveiliging is duidelijk complexer dan ik me had gerealiseerd.
20-11-2012, 13:03 door
[Account Verwijderd]
[Verwijderd]
20-11-2012, 13:28 door
[Account Verwijderd]
[Verwijderd]
Door Chasalin:
Laat dat nou precies zijn wat ik vorig jaar zag op een open dag van het DUO2-gebouw in Groningen op de afdeling Douane...
Door Hugo: Zo kan ik ook wel melden dat je je wachtwoord niet op een post-itje moet schrijven die je vervolgens op je monitor plakt.
Laat dat nou precies zijn wat ik vorig jaar zag op een open dag van het DUO2-gebouw in Groningen op de afdeling Douane...
Dat komt omdat de gemiddelde gebruiker geen affiniteit heeft met het gebabbel in dit topic.
En terecht natuurlijk.
Als je maar genoeg eisen stelt aan wachtwoorden dan worden ze vanzelf opgeschreven.
Alleen een nerd snapt dat niet en verzint keer op keer nieuwe dingen.
20-11-2012, 15:00 door
[Account Verwijderd]
[Verwijderd]
Door Hugo:
Ik heb anders nog niet gezien waarom die onveilige wachtwoorden nou een probleem zijn.
In een goed opgezette applicatie is het niet mogelijk om miljoenen wachtwoorden uit te proberen, dus dat
kan het niet zijn.
Als ik voor Security.NL het wachtwoord SecurityOpenJe kies dan zul jij meteen roepen "onveilig wachtwoord!!!"
maar de kans dat iemand dat in enkele tientallen pogingen raadt is heel klein en tegen die tijd horen er alarmbellen
af te gaan bij Security.NL
Het scenario hele woordenboeken doorzoeken dat kan alleen als de hashes van de wachtwoorden al op straat liggen.
En dat hoort niet te gebeuren.
Door Anoniem:
Dat komt omdat de gemiddelde gebruiker geen affiniteit heeft met het gebabbel in dit topic. En terecht natuurlijk.
De gemiddelde gebruiker is inderdaad niet zo bewust van de gevaren van een zwak wachtwoord. Het lijkt me niet geheel terecht.Dat komt omdat de gemiddelde gebruiker geen affiniteit heeft met het gebabbel in dit topic. En terecht natuurlijk.
Ik heb anders nog niet gezien waarom die onveilige wachtwoorden nou een probleem zijn.
In een goed opgezette applicatie is het niet mogelijk om miljoenen wachtwoorden uit te proberen, dus dat
kan het niet zijn.
Als ik voor Security.NL het wachtwoord SecurityOpenJe kies dan zul jij meteen roepen "onveilig wachtwoord!!!"
maar de kans dat iemand dat in enkele tientallen pogingen raadt is heel klein en tegen die tijd horen er alarmbellen
af te gaan bij Security.NL
Het scenario hele woordenboeken doorzoeken dat kan alleen als de hashes van de wachtwoorden al op straat liggen.
En dat hoort niet te gebeuren.
20-11-2012, 15:42 door
[Account Verwijderd]
[Verwijderd]
[q]Voor diegene die onbekend zijn met de term ‘bruteforce-aanval’: een bruteforce-aanval is een aanval waarbij een aanvaller het wachtwoord probeert te raden door alle mogelijke combinaties van een wachtwoord af te gaan. [/q]
http://nl.wikipedia.org/wiki/Brute_force_%28methode%29
[q]Bij bovengenoemde definitie laat het ik afluisteren van wachtwoorden of achterhalen van wachtwoorden door onveilige opslag buiten beschouwing. [/q]
Waar gaat het artikel over?
1) Over dat je middels challenge-response tegen een authenticatie mechanisme middels een brute-force wachtwooren kan "testen"
Als het daarover gaat, dan heb je een heel ander en voornamelijk structureel probleem indien je meer dan 5 keer een verkeerd wachtwoord mag proberen.
of
2) Dat je nadat je password file te pakken hebt de hashes gaat brute-forcen om zo van andere (of sysadmin/root) password te achterhalen.
Maar aangezien "onveilige" opslag van passwords niet tot de scope behoorde volgens bovenstaande citaat is het waarschijnlijk optie één.
In alle gevallen is er een veel groter gevaar voor een organisatie dan de afhankelijkheid van wachtwoorden, te weten een adviseur die niet weet waarover hij het heeft.
Afhankelijkheid van wachtwoorden is achterhaald en mocht het uit legacy niet anders kunnen zorg er dan als bedrijf voor dat men voordat ze een verouderde authentificatie middel gebruikt eerst de nodige fysieke en/of logische veiligheidsmaatregelen heeft doorlopen, zodat een derde ook al heeft hij het wachtwoord hem niet kan toepassen. (clientside browser certificaten en andere pre-shared keys authenticatie)
Ik heb artikel een paar keer gelezen en ik snap niet voor welk doelgroep het bedoeld is en wie er wat aan heeft.
Tot slot "compute" power om te bruteforcen (voorzover dat mogelijk is) kan dan in theorie bepaald worden door het aantal mogelijkheden maar dat is de afgelopen tijd ingehaald door het budget dat men ter beschikking heeft.
Bij online bruteforcen (zie comment bij 1) is het eerder wenselijk dat je iemand wel toelaat en de bruteforce doet stoppen, dan dat iemand door zijn pogingen telkens een dure hash proces doorloopt die je authenticatie server frustreert.
Tevens kost een langer wachtwoord meer computing power en bij sommige implementaties in het verleden werden alleen de eerste X karakters gehashed.
Bovendien overschat men de kans dat men gaat bruteforcen, in de praktijk worden alleen password files (offline) gebruteforced en naar gelang hoe belangrijk het voor de aanvaller is kan hij daar hele clouds met rainbow table van 1 Terrabyte waarmee ze elke password van 14 karakters of minder binnen 10 minuten kan kraken.
Men zal zich veel drukker moeten maken over actieve webpagina's die troep installeren middels de vele lekken die er zijn en op die manier gelijk je wachtwoorden pakken en daarmee je "uberveilig" gevoel van je complexe wachtwoord meteen in perspectief plaats.
Vertrouwen op een wachtwoord is als vertrouwen op een gecertificeerde SLOT op je voordeur terwijl de deur en raam van je woonkamer van glas is. Als men toch binnen wil komen, zal dat SLOT hen niet weerhouden. Integendeel dat veilig gevoel, maakt het kwaadwillende alleen maar makkelijker, aangezien men het password voor veel meer plekken gaat gebruiken en zelden noodzakelijk achten om het te veranderen.
http://nl.wikipedia.org/wiki/Brute_force_%28methode%29
[q]Bij bovengenoemde definitie laat het ik afluisteren van wachtwoorden of achterhalen van wachtwoorden door onveilige opslag buiten beschouwing. [/q]
Waar gaat het artikel over?
1) Over dat je middels challenge-response tegen een authenticatie mechanisme middels een brute-force wachtwooren kan "testen"
Als het daarover gaat, dan heb je een heel ander en voornamelijk structureel probleem indien je meer dan 5 keer een verkeerd wachtwoord mag proberen.
of
2) Dat je nadat je password file te pakken hebt de hashes gaat brute-forcen om zo van andere (of sysadmin/root) password te achterhalen.
Maar aangezien "onveilige" opslag van passwords niet tot de scope behoorde volgens bovenstaande citaat is het waarschijnlijk optie één.
In alle gevallen is er een veel groter gevaar voor een organisatie dan de afhankelijkheid van wachtwoorden, te weten een adviseur die niet weet waarover hij het heeft.
Afhankelijkheid van wachtwoorden is achterhaald en mocht het uit legacy niet anders kunnen zorg er dan als bedrijf voor dat men voordat ze een verouderde authentificatie middel gebruikt eerst de nodige fysieke en/of logische veiligheidsmaatregelen heeft doorlopen, zodat een derde ook al heeft hij het wachtwoord hem niet kan toepassen. (clientside browser certificaten en andere pre-shared keys authenticatie)
Ik heb artikel een paar keer gelezen en ik snap niet voor welk doelgroep het bedoeld is en wie er wat aan heeft.
Tot slot "compute" power om te bruteforcen (voorzover dat mogelijk is) kan dan in theorie bepaald worden door het aantal mogelijkheden maar dat is de afgelopen tijd ingehaald door het budget dat men ter beschikking heeft.
Bij online bruteforcen (zie comment bij 1) is het eerder wenselijk dat je iemand wel toelaat en de bruteforce doet stoppen, dan dat iemand door zijn pogingen telkens een dure hash proces doorloopt die je authenticatie server frustreert.
Tevens kost een langer wachtwoord meer computing power en bij sommige implementaties in het verleden werden alleen de eerste X karakters gehashed.
Bovendien overschat men de kans dat men gaat bruteforcen, in de praktijk worden alleen password files (offline) gebruteforced en naar gelang hoe belangrijk het voor de aanvaller is kan hij daar hele clouds met rainbow table van 1 Terrabyte waarmee ze elke password van 14 karakters of minder binnen 10 minuten kan kraken.
Men zal zich veel drukker moeten maken over actieve webpagina's die troep installeren middels de vele lekken die er zijn en op die manier gelijk je wachtwoorden pakken en daarmee je "uberveilig" gevoel van je complexe wachtwoord meteen in perspectief plaats.
Vertrouwen op een wachtwoord is als vertrouwen op een gecertificeerde SLOT op je voordeur terwijl de deur en raam van je woonkamer van glas is. Als men toch binnen wil komen, zal dat SLOT hen niet weerhouden. Integendeel dat veilig gevoel, maakt het kwaadwillende alleen maar makkelijker, aangezien men het password voor veel meer plekken gaat gebruiken en zelden noodzakelijk achten om het te veranderen.
20-11-2012, 20:48 door
Dick99999
Door Ed Dekker:
Dat was precies mijn punt: een aanvaller dat niet kan weten. Daarom is het ook niet van belang welke tekens je kiest. Het gaat erom dat het systeem heel veel tekens toestaat. Een aanvaller moet dan wel de hele set op elke positie proberen bij een brute-force aanval.
Brute force en woordenboek aanvallen werken slimmer. De aanvaller gebruikt ondermeer aannames. Als ik in deel 1 vam mijn aanval aanneem dat de meeste mensen kleine letters gebruiken en cijfers, dan probeer ik die 'set' natuurlijk eerst. Daarna het tweede deel, het grote werk, zodat uiteindelijk alle combinaties geprobeerd worden. Het maakt dus wel uit welke set je echt gebruikt. Anders kom je in deel 1 terecht.Dat was precies mijn punt: een aanvaller dat niet kan weten. Daarom is het ook niet van belang welke tekens je kiest. Het gaat erom dat het systeem heel veel tekens toestaat. Een aanvaller moet dan wel de hele set op elke positie proberen bij een brute-force aanval.
Variaties als 1 hoofdletter aan het begin en mutaties als @ voor a, vallen natuurlijk ook onder deel 1!
edit------
En in reactie op de anonieme vorige post: brute force gaat over off-line aanvallen. Bijvoorbeeld omdat iemand alle hashes te pakken krijgt, of doordat WiFi is afgeluisterd, of een VPN is afgeluiterd of iemand je encrypted kluis in cloud te pakken krijgt of ..... .
Tja er zijn nu eenmaal meer wachtwoorden i omloop dan die voor toegang tot een bedrijfsnetwerk. Maar daarvoor heb je echt een adviseur nodig :-)
20-11-2012, 21:17 door
Dick99999
Er is volgens mij niets mis met een zin van onverbasterde woorden. De formule doet zijn werk namelijk. Die formule kan voor het gemak qua ordegrootte teruggebracht worden tot 50.000^6 als de zin uit 6 woorden bestaat en het woordenboek kent 50.000 woorden. In dat geval kom je in de buurt van ' 1 met 28 nullen' combinaties. Wie/wat kan dat aan?
Ook hier geldt echter dat aannames veel eerder tot resultaat leiden. Neem bijvoorbeeld eerst een woordenboek met de 5000 meest gebruikte woorden. Daarom is het verstandig 'binnen in' 1 of 2 van de woorden een extra letter of symbool te zetten: bijvoorbeaeld.
Kijk ook naar Diceware. Dat woordenboek bestaat slechts uit zo'n 7800 heel goed gekozen korte normale woorden. Toch is een passphrase met 4 a 5 woorden uit het Diceware woordenboek al erg sterk, ook al bestaat deze uitsluitend uit gewone woorden. Helaas is er nog geen Nederlandse Diceware woordenlijst dacht ik?
Ook hier geldt echter dat aannames veel eerder tot resultaat leiden. Neem bijvoorbeeld eerst een woordenboek met de 5000 meest gebruikte woorden. Daarom is het verstandig 'binnen in' 1 of 2 van de woorden een extra letter of symbool te zetten: bijvoorbeaeld.
Kijk ook naar Diceware. Dat woordenboek bestaat slechts uit zo'n 7800 heel goed gekozen korte normale woorden. Toch is een passphrase met 4 a 5 woorden uit het Diceware woordenboek al erg sterk, ook al bestaat deze uitsluitend uit gewone woorden. Helaas is er nog geen Nederlandse Diceware woordenlijst dacht ik?
Anoniem van 19:54:
Ik ben het helemaal met je eens. Het is totaal onduidelijk wat de doelgroep is en wat er nou precies bereikt moet
worden met die moeilijke wachtwoorden en in welke normaal voorkomende omstandigheden dat nou van belang is.
(zeker binnen een bedrijf, waar de adviseur het over heeft)
Ik denk nog steeds dat die nerds die dit soort systemen bedenken zich niet kunnen verplaatsen in de gedachtenwereld
van de gemiddelde gebruiker en daardoor hun doel (als er al een doel is) totaal voorbijschieten.
Het eindigt met passwords op post-it briefjes onder op het toetsenbord. Echt.
Je kunt je beter richten op maatregelen om te voorkomen dat wachtwoorden met collega's worden gedeeld, dat zet
in het gemiddelde bedrijf veel meer zoden aan de dijk.
Ik ben het helemaal met je eens. Het is totaal onduidelijk wat de doelgroep is en wat er nou precies bereikt moet
worden met die moeilijke wachtwoorden en in welke normaal voorkomende omstandigheden dat nou van belang is.
(zeker binnen een bedrijf, waar de adviseur het over heeft)
Ik denk nog steeds dat die nerds die dit soort systemen bedenken zich niet kunnen verplaatsen in de gedachtenwereld
van de gemiddelde gebruiker en daardoor hun doel (als er al een doel is) totaal voorbijschieten.
Het eindigt met passwords op post-it briefjes onder op het toetsenbord. Echt.
Je kunt je beter richten op maatregelen om te voorkomen dat wachtwoorden met collega's worden gedeeld, dat zet
in het gemiddelde bedrijf veel meer zoden aan de dijk.
Wat ik zelf regelmatig gebruikte was een directe ALT code. (http://duena.telenet.be/ALT_toetsen_lijst.htm)
De wachtwoord zin "1/2 Bruin Brood" wordt dan ALT171Bru!nBr00d. Maar van dat systeem ben ik afgestapt omdat er heel,heel veel systemen zijn die het invoeren van ALT codes niet ondersteunen.
Nogal jammer omdat het gebruiken van meer weinig gebruikte codes het aantal combinaties behoorlijk laat toenemen. Standaard wachtwoorden gebruiken ongeveer 95 tekens. (Zie ook http://nl.wikipedia.org/wiki/Brute_force_%28methode%29) Door alle ALT codes te gebruiken worden dat 250 tekens.
Dat betekent dat een brute force op een 10 letter password langer gaat duren.
Voor een standaard wachtwoord zijn er 95^10=2*10^19 combinaties mogelijk. Voor een extended set 250^10= 2*10^23 combinaties. Dat is toch langer werk voor een brute force terwijl het voor de gebruiker niet echt meer werk is om een password zin te onhouden.
De wachtwoord zin "1/2 Bruin Brood" wordt na wisselen "1/2 Wit Brood", "1/2 Volkoren Brood" "1/2 Oud Brood" "1/2 Vers Brood" Een makkelijk systeem dat vele wisselingen mee kan. De gebruiker hoeft alleen maar de alt code te onthouden.
De wachtwoord zin "1/2 Bruin Brood" wordt dan ALT171Bru!nBr00d. Maar van dat systeem ben ik afgestapt omdat er heel,heel veel systemen zijn die het invoeren van ALT codes niet ondersteunen.
Nogal jammer omdat het gebruiken van meer weinig gebruikte codes het aantal combinaties behoorlijk laat toenemen. Standaard wachtwoorden gebruiken ongeveer 95 tekens. (Zie ook http://nl.wikipedia.org/wiki/Brute_force_%28methode%29) Door alle ALT codes te gebruiken worden dat 250 tekens.
Dat betekent dat een brute force op een 10 letter password langer gaat duren.
Voor een standaard wachtwoord zijn er 95^10=2*10^19 combinaties mogelijk. Voor een extended set 250^10= 2*10^23 combinaties. Dat is toch langer werk voor een brute force terwijl het voor de gebruiker niet echt meer werk is om een password zin te onhouden.
De wachtwoord zin "1/2 Bruin Brood" wordt na wisselen "1/2 Wit Brood", "1/2 Volkoren Brood" "1/2 Oud Brood" "1/2 Vers Brood" Een makkelijk systeem dat vele wisselingen mee kan. De gebruiker hoeft alleen maar de alt code te onthouden.
21-11-2012, 13:37 door
Dick99999
Door Hugo:
Ik denk dat het prima oplossingen zijn. Een puntje qua beveiliging is wel dat de bescherming van je wachtwoorden afhangt van hoe veilig de applicatie is. [.............] Is een offline applicatie (dus een die je op je eigen computer installeert) voor jou werkbaar? Dan is dat natuurlijk beter dan een online applicatie.
Grappig, volgens mij is een goede online "wachtwoord kluis" (dus niet in het algemeen 'de cloud') applicatie veiliger dan een offline applicatie. Zet de risico's van online en lokaal maar eens op een rij.Ik denk dat het prima oplossingen zijn. Een puntje qua beveiliging is wel dat de bescherming van je wachtwoorden afhangt van hoe veilig de applicatie is. [.............] Is een offline applicatie (dus een die je op je eigen computer installeert) voor jou werkbaar? Dan is dat natuurlijk beter dan een online applicatie.
Voor een online wachtwoord kluis kom ik niet verder dan:
- iemand kan in mijn online account inbreken: niet zo erg want de sleutel staat er niet in bij een goede kluis.
- iemand kan de provider's online database (met alle kluizen) bemachtigen door in te breken: niet erg want daarvoor heb ik nu juist een sterke kluis sleutel (~wachtwoord). Het kost de dief decennia om die mijn sleutel te kraken.
- iemand kan het webverkeer afluisteren: niet erg, bij een goede kluis wordt alles al/pas op mijn PC gecodeerd/gedecodeerd.
Naast dit grote veiligheidsvoordel speelt ook mee dat 'natuurlijk' mijn wachtwoorden automatisch gesynchroniseerd op mijn telefoon, tablet, laptop en ook online beschikbaar zijn en....... ook veilig!
21-11-2012, 16:12 door
rob
Makkelijke manier om een sterk wachtwoord te maken die je gemakkelijk kan (leren) onthouden:
1. Gebruik een tool als Keepass
2. Genereer een 5-letter wachtwoord in Keepass:
2.a) Zet 'entropy collection' AAN
2.b) Zet alleen 'upper Letters' aan als Character group
3. Voorbeeld gegeneerd wachwoord: MBAVK
4. Maak vervolgens van elke letter een woord (in welke taal dan ook). Bijv.: MailBenAdVisionKan
5. Voeg een cijfer en teken toe: +MailBenAdVisionKan3
Da's een 20-char sterk wachtwoord! En na een paar keer gebruiken weet je 'm uit je hoofd.
Het is bovendien sterk omdat de random generated hoofdletters een beetje entropy erin brengen.
1. Gebruik een tool als Keepass
2. Genereer een 5-letter wachtwoord in Keepass:
2.a) Zet 'entropy collection' AAN
2.b) Zet alleen 'upper Letters' aan als Character group
3. Voorbeeld gegeneerd wachwoord: MBAVK
4. Maak vervolgens van elke letter een woord (in welke taal dan ook). Bijv.: MailBenAdVisionKan
5. Voeg een cijfer en teken toe: +MailBenAdVisionKan3
Da's een 20-char sterk wachtwoord! En na een paar keer gebruiken weet je 'm uit je hoofd.
Het is bovendien sterk omdat de random generated hoofdletters een beetje entropy erin brengen.
21-11-2012, 18:13 door
Dick99999
Dat lijkt mij een goede tip. Volgens mij moet je wel eisen stellen aan de woorden. 20 tekens is voor brute force gewoon voldeonde, maar voor een woordenboek aanval zijn 5 veel gebruikte korte woorden onvoldoende. Een cijfer erbij maakt voor een woordenboek aanval niets uit, het zijn gewoon 96 'woorden' van 1teken erbij in het woordenboek.
Zoals velen al opmerkten, is 'goed' voor een wachtwoord situatie afhankelijk. Online aanvallen worden door een goede applicatie geweerd na een aantal keren proberen. Off line aanvallen moeten tegen brute force, woordenboeken en rainbow bestand zijn. Als de laatste kan worden toegepast ( zoals soms bij wifi) is zelfs 5 woorden of 20 ramdom tekens verre van voldoende.
Zoals velen al opmerkten, is 'goed' voor een wachtwoord situatie afhankelijk. Online aanvallen worden door een goede applicatie geweerd na een aantal keren proberen. Off line aanvallen moeten tegen brute force, woordenboeken en rainbow bestand zijn. Als de laatste kan worden toegepast ( zoals soms bij wifi) is zelfs 5 woorden of 20 ramdom tekens verre van voldoende.
goed verhaal maar ik mis nog iets.
Ik gebruik eigeniljk geen wachtwoorden meer aangezien ik altijd probeer 2factor authenticatie in te zetten.
zelf gebruik ik nu mydigipass.com van vasco en ik hoorde dat je binnenkort hier ook je eigen bookmarks kan aanmaken. dus secure 2fa single sign on.en het is gratis.
Dus ik log in met een digipass app op mijn iphone door op mijn scherm de qr code te scannen, iphone app leest dit en stuur vnaf het toestel een one time password naar mydigipass.com. daar ben ik dan ingelogged ebn kan dan veilig door naar mn 25 applicaties. Sommige worden onderwater met 2fa beveiligd en sommigen met oauth attributen.
dus ik ga zeker geen lange wachtwoorden meer aanmaken die ik niet kan onthouden en dus zal opslaan of opschrijven. wachtwoorden zijn zooooo 2011
Ik gebruik eigeniljk geen wachtwoorden meer aangezien ik altijd probeer 2factor authenticatie in te zetten.
zelf gebruik ik nu mydigipass.com van vasco en ik hoorde dat je binnenkort hier ook je eigen bookmarks kan aanmaken. dus secure 2fa single sign on.en het is gratis.
Dus ik log in met een digipass app op mijn iphone door op mijn scherm de qr code te scannen, iphone app leest dit en stuur vnaf het toestel een one time password naar mydigipass.com. daar ben ik dan ingelogged ebn kan dan veilig door naar mn 25 applicaties. Sommige worden onderwater met 2fa beveiligd en sommigen met oauth attributen.
dus ik ga zeker geen lange wachtwoorden meer aanmaken die ik niet kan onthouden en dus zal opslaan of opschrijven. wachtwoorden zijn zooooo 2011
22-11-2012, 15:00 door
[Account Verwijderd]
[Verwijderd]
24-11-2012, 13:00 door
Lucas28
Een mooi verhaal, Hugo, maar waarom van een o een nul maken en van een i een 1? Decryptie programma's houden daar rekening mee omdat deze truc te vaak wordt gebruikt. Geldt ook voor de @ in de plaats van een a en een 3 ipv een e.
Om cijfers in het wachtwoord te krijgen kan de prijs van een artikel worden vermeld, bijvoorbeeld:
"€78 kostte de broek bij C&A"
In deze zin zitten cijfers, vreemde tekens (de € en de &) en hoofdletters. Toch is het een normaal te onthouden wachtwoord. Wil je dat er geen woorden uit een woordenboek in voorkomen dan kan je bijvoorbeeld van ieder woord de laatste letter weglaten. De zin ziet er dan wel vreemd uit, maar is even gemakkelijk in te tikken.
Ik vind het gebruik van "normale" zinnen als wachtwoorde beter dan een regel uit een boek of een lied.
Om cijfers in het wachtwoord te krijgen kan de prijs van een artikel worden vermeld, bijvoorbeeld:
"€78 kostte de broek bij C&A"
In deze zin zitten cijfers, vreemde tekens (de € en de &) en hoofdletters. Toch is het een normaal te onthouden wachtwoord. Wil je dat er geen woorden uit een woordenboek in voorkomen dan kan je bijvoorbeeld van ieder woord de laatste letter weglaten. De zin ziet er dan wel vreemd uit, maar is even gemakkelijk in te tikken.
Ik vind het gebruik van "normale" zinnen als wachtwoorde beter dan een regel uit een boek of een lied.
24-11-2012, 14:50 door
Dick99999
Veel van de reacties gaan over wachtwoorden voor authenticatie. Daarom zijn er bijvoorbeeld reacties zoals een goede app houdt dat tegen na een aantal keren proberen.
Wachtwoorden worden echter ook gebruikt als bron voor encryptie sleutels, bij zwakke beveiliging is die sleutel gelijk aan het wachtwoord. Die encryptie zorgt voor beveiliging als een aanvaller om de authenticatie heen weet te komen, bijvoorbeeld door een database te kopiëren. Een sterke sleutel zorgt in dat geval dat de dief offline ook geen kans maakt.
Er was eerder op het forum weinig belangstelling voor dat laatste geval. Mijn vraag: hoe kan ik te weten komen dat het wachtwoord in het geval van een cloud backup app, inderdaad omgezet wordt tot een sterke encryptiesleutel? En waarom moet ik het wachtwoord bij veel backup apps maar 1 keer opgeven?
Wachtwoorden worden echter ook gebruikt als bron voor encryptie sleutels, bij zwakke beveiliging is die sleutel gelijk aan het wachtwoord. Die encryptie zorgt voor beveiliging als een aanvaller om de authenticatie heen weet te komen, bijvoorbeeld door een database te kopiëren. Een sterke sleutel zorgt in dat geval dat de dief offline ook geen kans maakt.
Er was eerder op het forum weinig belangstelling voor dat laatste geval. Mijn vraag: hoe kan ik te weten komen dat het wachtwoord in het geval van een cloud backup app, inderdaad omgezet wordt tot een sterke encryptiesleutel? En waarom moet ik het wachtwoord bij veel backup apps maar 1 keer opgeven?
26-11-2012, 16:01 door
[Account Verwijderd]
[Verwijderd]
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
