Nieuws

Facebook noemt sterke wachtwoorden zwak

woensdag 11 april 2012, 12:43 door Redactie, 20 reacties

Websites zoals Facebook, PayPal, Yahoo! en eBay noemen sterke wachtwoorden zwak, terwijl ze zwakkere wachtwoorden wel toestaan en zelfs sterk noemen. Dat blijkt uit onderzoek door Dan Wheeler. Hij registreerde zich bij verschillende webdiensten met de wachtwoorden qwER43@!, Tr0ub4dour&3 en correcthorsebatterystaple. Deze wachtwoorden zijn afkomstig van een bekende XKCD-strip over wachtwoorden. Passphrases, oftewel wachtwoorden die uit meerdere woorden bestaan, zijn vanwege het aantal karakters veel sterker dan een kort wachtwoord met speciale tekens.

Ontwikkelaars van tal van webdiensten zijn echter niet bekend met het concept van passphrases en de bescherming die dit biedt. Van de drie wachtwoorden die Wheeler gebruikte is correcthorsebatterystaple het sterkst. PayPal, Facebook en Yahoo! noemen het een zwak wachtwoord, terwijl eBay, Citibank en de Bank of America het wachtwoord niet eens toestaan.

Google noemt de passphrase "good", maar bestempelde qwER43@! als 'strong', terwijl dit over het algemeen als een zwak wachtwoord wordt beschouwd.

E-mailaanval op Windows- en Mac-gebruikers

Adobe stopt patchcyclus wegens succes sandbox

Reacties (20)

11-04-2012, 13:17 door Anoniem

Wat is bij deze veilig?

Een dictionary attack lijkt me juist vele malen effectiever bij wachtwoorden (passphrase) zoals correcthorsebatterystaple.

Als we dan gaan kijken naar brute force, dan zijn inderdaad de kortere wachtwoorden met speciale tekens beter, toch?

Dan zou een passphrase met speciale tekens en opzettelijke typfouten toch het beste moeten zijn.

Correct me if i'm wrong!

11-04-2012, 13:19 door RickDeckardt

correct horse battery staple FTW

11-04-2012, 13:26 door Anoniem

Hmmm, ik ben geen rekenkundig wonder, maar een lange passphrase met alleen maar kleine letters is volgens mij ook lang nog niet zo veilig als hier beweerd wordt toch?
Liever een passphrase met ook cijfers en hoofdletters; dat is volgens mij ook wat "moeder" Certified Secure aanraadt

11-04-2012, 13:35 door Anoniem

Ik gebruik overal P@55Word. Altijd goed....

11-04-2012, 14:06 door NumesSanguis

Dat komt omdat woordenboek aanvallen dan vaker nut hebben en met vreemde tekens niet?

11-04-2012, 14:16 door Anoniem

correcthorsebatterystaple is voor de meeste diensten ook een slecht wachtwoord. Om een of andere reden (performance denk ik, dat is vaak een werkend excuus om niet aan veiligheid te doen) worden de passphrases afgekapt tot een teken of acht, en houd je 'correcth' over.

In sommige gevallen gelukkig wat meer, maar een sha512sum van een bestand als wachtwoord gebruiken gaat hem helaas vrijwel nergens worden.

11-04-2012, 14:24 door Anoniem

ik vraag me af of hier een eenduidig antwoord op is...

Het bekende XKCD stripje geeft voor het wachtwoord Tr0ub4dour&3 een entropie van 28 bits - wat kennelijk te kraken is in 3 dagen. Het 'correcthorsebatterystaple ' wachtwoord - alhoewel minder complex maar met meer tekens, zou een entropie hebben van 44 bits en dus veel lastiger.

Wikipedia heeft een heel stuk over de entropie van wachtwoorden op http://en.wikipedia.org/wiki/Password_strength#Random_passwords.

Theoretisch - bij volledig willekeurige wachtwoorden - geldt per karakter bij gebruik van de complete ascii set dat de entropie 6 1/2 bits is. Mijns inziens zou Tr0ub4dour&3 dan (12 karakters lang) een sterkte hebben van ongeveer 78 bits. Het wachtwoord correcthorsebatterystaple (25 letters) heeft door gebruik van alleen de lower-case karakters een entropie van 4.7 bits per karakter dus in totaal ongeveer 120 bits.

11-04-2012, 14:39 door Vergeten

Door NumesSanguis: Dat komt omdat woordenboek aanvallen dan vaker nut hebben en met vreemde tekens niet?

Hoeverre je dit woordenboek kan noemen, vaak is het gewoon een lijst in een bestandje met de meeste voorkomende "wachtwoorden". Dus die pakt ook speciale tekens als een "woord" dit bevat uit de lijst.

Maar goed deze aanvallen werken vaak met één woord, niet vier willekeurige woorden. Dus als je Bruteforce aanval uitvoert waarbij hij alle tekens gebruikt zal dus een langere wachtwoord veel effectiever zijn. Deze meneer heeft dus 100% gelijk wat hij zegt, best stom eigenlijk als ik er nu over nadenk dat ik ook minstens 2 soorten tekens gebruik bij mijn wachtwoorden terwijl ik beter veel langere wachtwoorden kan gebruiken.

11-04-2012, 14:42 door Anoniem

Passphrases zonder spelfouten / extra tekens zijn supergevoelig voor dictionary attacks; de hoeveelheid correcte samenstellingen van letters - die dus woorden vormen is vele, vele malen kleiner dan de hoeveelheid mogelijke niet-correcte samenstellingen. Verzin een goed wachtwoord - liefst willekeurig, of op z'n minst lang met alle soorten tekens erin, en niet alleen her en der een A vervangen met een 4 of een S met een $, etc - en leer hem uit je hoofd, punt.

11-04-2012, 14:44 door Rasalom

Ik verwacht dat juist door die XKCD-strip deze wachtwoorden in veel woordenboek aanvallen zullen voorkomen. Dat ze als zwak aangemerkt worden is dus niet zo gek. Slecht onderzoek.

11-04-2012, 14:54 door Anoniem

Door Rasalom: Ik verwacht dat juist door die XKCD-strip deze wachtwoorden in veel woordenboek aanvallen zullen voorkomen. Dat ze als zwak aangemerkt worden is dus niet zo gek. Slecht onderzoek.

Waarom worden de kortere wachtwoorden uit dezelfde strip dan wel als sterk aangemerkt?
Je kunt als ontwikkelaar nooit tegen wordlists van bekende wachtwoorden checken, die verlopen veel te vaak, en zijn dus niet te onderhouden. Je kunt alleen checken of een wachtwoord voldoende entropie bevat, zodat een aanvaller veel te veel tijd kwijt is om een wachtwoord te kraken. De (oude) regels om speciale tekens te vereisen zijn tegenwoordig niet meer zo effectief omdat password cracking tools daar rekening mee houden. Uit een recente hack bleek dat wachtwoorden als G1rlp0wer! ook niet zo effectief meer zijn. Daardoor is het ook een stuk lastiger geworden om te controleren of een wachtwoord veilig is of niet.

11-04-2012, 15:20 door varttaanen

Supermooi dit!

11-04-2012, 16:31 door NumesSanguis

De oplossing is altijd simpel:
Pak een aantal woorden en zet er ook speciale tekens tussen :)

11-04-2012, 16:38 door Anoniem

beveiliging met enkel een wachtwoord dat meer als een keer is te gebruiken is altijd zwak.
Als Facebook, PayPal, Yahoo! en eBay bij iedere wachtwoord zou zeggen dat het zwak is dan hebben ze gelijk.

Greetingz,
Jacco

11-04-2012, 17:09 door Anoniem

Het aantal combinaties voor je wachtwoord is M^N. N maximaliseren (langere wachtwoorden) zet een stuk meer zoden aan de dijk dan M maximaliseren (meer speciale tekens). Dit soort 'simpele' lange wachtwoorden zijn niet vatbaarder voor dictionary attacks dan korte 'lastige' wachtwoorden. Een andere manier om er tegenaan te kijken is dat je alle woorden uit een taal als alfabet gebruikt in plaats van alle letters uit een taal. Dus in plaats van acht letters in je wachtwoord neem je nu acht woorden. En er zijn veeeel meer worden dan letters+cijfers+speciale tekens. dictionary of niet.

11-04-2012, 17:12 door Anoniem

Weet niet, ik gebruik altijd als passphrase (-;wie dit leest is gek;-)

11-04-2012, 21:50 door Anoniem

Door NumesSanguis: De oplossing is altijd simpel:
Pak een aantal woorden en zet er ook speciale tekens tussen :)

Dat voegt weinig toe. 'correct horse battery staple' heeft een search space van 3.9 * 10^49. 'corr 12 hor #$ batte ^& stap' wat evenveel karakters kent, maar ook cijfers en leestekens (en wat veel moeilijker te ondhouden is) is 'maar' 100 keer moeilijker te raden (search space 3.12 * 10^51)

Hoop geetter voor relatief weinig winst. Het toevoegen van een enkel woord maakt de search space 10^14 keer groter. 'correct horse battery staple factory' heeft een search space van 5.73 * 10^63. Nauwelijks moeilijker te onthouden, veel meer werk voor iemand die wil brute-forcen.

Een van de weinige keren dat lengte wel uitmaakt. Langer is beter dan complex, tenzij we overstappen op Koreaans (met 11.172 'letters' in hun 'alfabet'.)

11-04-2012, 23:48 door Anoniem

Door Rasalom: Ik verwacht dat juist door die XKCD-strip deze wachtwoorden in veel woordenboek aanvallen zullen voorkomen. Dat ze als zwak aangemerkt worden is dus niet zo gek. Slecht onderzoek.

Die wachtwoorden zijn juist heel sterk, mits je daadwerkelijk compleet willekeurige woorden neemt; in de engelse taal zijn er zo'n miljoen woorden; dus dat maakt (10^6)^4=10^24 combinaties. Laat daar maar een dictionary attack op los, dan duurt het nog een eeuwigheid.

12-04-2012, 09:58 door Anoniem

Neem een aantal woorden uit een aantal verschillende talen, niet alleen Nederlands en/of Engels.

13-04-2012, 08:06 door Anoniem

wie nog in username passwords denkt leeft niet in 2012.

zet op al je gevoelige applicaties toch eens een 2 factor authenticatie obv softtokens.
Koppel je simpel aan je login applicatie (bijv TAMeB) en daarna geen gedoe meer van zeus!

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Is geen nieuwe auto krijgen ook al schade onder de AVG?

20-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik las in een recent arrest dat een garagebedrijf onder de AVG(!) aansprakelijk werd gehouden voor een ...

12 reacties

Lees meer