Dit is gericht op particulieren e.d. en wat dat betreft is het wel goed.
M'n oma gebruikte altijd dingen als "vaasje" als wachtwoord en dan is 8 tekens met hoofd- & kleine letters, cijfers en symbolen al een hele verandering. WiFi is wat anders idd, maar dit gaat vooral over accounts.
Daarnaast zijn de meeste rainbow-tabellen hier al niet echt tegen opgewassen.

Pass-Phrases zijn nog beter natuurlijk, maar je moet ergens beginnen en niet alle accounts kunnen phrases aan.

Ik denk dat je onderscheid moet maken tussen toepassingen.

Als het gaat om beveiliging van kritieke zaken (men heeft het over de energiesector): daar zijn wachtwoorden niet
geschikt voor. Punt. Daar waar wachtwoorden gebruikt worden moet dit worden vervangen door iets beters.

Als het gaat om belangrijke persoonlijke zaken zoals een eigen provider account of een bank login: daar gebruik je
een goed wachtwoord voor, bijvoorbeeld zoiets wat hier staat. Je gaat er van uit dat de aanbieder de gecrypte wachtwoorden niet laat lekken en een beveiliging heeft ingebouwd tegen het snel proberen van veel wachtwoorden via
de login interface.
Mochten de gecrypte wachtwoorden toch uitlekken dan verander je je wachtwoord.

Tenslotte heb je de onbelangrijke accounts, zoals bij webwinkels, forums, fabrikanten en leveranciers, e.d. Het soort
bedrijven waar de boel met regelmaat gehacked wordt en de klantendatabase inclusief wachtwoorden op straat komt
te liggen.
Daar gebruik je gewoon een flutwachtwoord. Who cares als het bekend wordt, en het is dan niet gelijk aan je belangrijke
wachtwoord dus het raakt je bank ofzo niet.

Technisch gezien heb je uiteraard gelijk. No question there.

Echter speelt imho hier meer, denk ik. Ik denk dat in dit initiatief vooral bedoeld is op het verhogen van het bewustzijn bij eindgebruikers zonder de drempel gelijk al te hoog te maken. En dan is 8 random karakters altijd beter dan 'wachtwoord' of '12345'.

With all do respect, maar online een zelfgebrouwen generator aanbieden is per definitie onbetrouwbaar. Het gaat al tegen mijn gevoel in het te downloaden en te auditten.

Je biedt het wel aan via Skydrive ipv een eigen website, dat doe je dan wel weer goed.

Tja, niemand verplicht je te downloaden. Het is een van de weinige, vermoedelojk de enige, tool die kraak - t i j d e n schat. En als je dan een vergelijkingen maakt met sites die wachtwoorden genereren, en de sterkte meter geven, kom je tot verrassende conclusies.

En niets online, tenzij je een echte random generator wilt gebruiken. Maar dan nog draait de rest off-line. En wat is er nu simpeler dan een spreadsheet om erin te kijken? Vertrouw je de macro's niet? Gebruik dan de safe versie zonder macro's. Niet zo fraai, maar werkt wel.

Alleen om te testen? Neem een gratis Skydrive account, kopieer de tool en draai het geheel bij microsoft.

Een audit zou trouwens zeer welkom zijn.......en ik zal alle vragen beantwoorden, alles in het belang van passphrases! Oh ja, zelf gebrouwen? Maar dat zijn veel apps ook, ook die van mij op de palm. En zellf gebrouwen? Maar dan wel op basis van de beste priciepes: die van Diceware: zoiets als gooi een dobbelsteen en kies een woord.

@Dick99999: Ik heb de site bezocht en vind die vrij waardeloos. De eerste keer haakte ik af op de vrij persoonlijke vragen (die ook vaak door sites als een password reset worden gebruikt). Daarna wat onzin ingevuld, maar dat leverde niet een makkelijk te onthouden wachtwoord voor mij op.

Dan het hangslotje, die is niet van de Nederlandse Overheid maar van Comodo. De oorsprong van de site is wel duidelijk door de nietszeggende domeinnamen die de overheid altijd uitkiest de laatste jaren ;-D

De wiskunde is een beetje weggezakt bij mij, maar laten we uitgaan van 1 vreemd teken, 1 hoofdletter, 4 kleine letters en 2 cijfers. Er vanuit gaande dat iedereen die deze site bezoekt deze verdeling krijgt, krijg je dus iets van 32 * 26 * 26^4 * 10^2 mogelijkheden. En dan nog alle permutaties erbij.
Door op alle posities alle tekens toe te laten krijg je (26+26+10+32)^8 mogelijkheden (geen rekening houdend met dubbele combinaties door dubbele tekens in je wachtwoord). Dit lijkt mij duidelijk meer.

Maar de 'wisseljewachtwoordelaar' site gebruikt maar een paar vreemde tekens, en gebruikt deze dus precies één keer waardoor je op een van de 8 posities een handjevol mogelijkheden krijgt. Dit is makkelijker te bruteforcen als helemaal geen vreemde tekens te gebruiken (bijvoorbeeld alfanumeriek met hoofd en kleine letters, dat 62 mogelijkheden op die vrijgekomen achtste positie geeft).

Maar het is beter als de naam van je huisdier die overal op je youtube account staat ;-)

Hou je in de schatting van de kraak- t i j d e n ook rekening met 't feit of 't wachtwoord (of een variant) daarvan in 'n wordlist voorkomt, of ooit in 'n password-dump gestaan heeft? Want daar ontbreekt het in de meeste van dit soort tooltjes aan.

Die zeggen tegen een gebruiker, dit wachtwoord wordt pas over 30.000 jaar gehackt, en denkt dus veilig te zijn, maar ondertussen staat CorrectBatteryHorsteStaple in diverse wordlists en is het in seconden gekraakt...

@ Fwiffo
Mee eens. En wel heel droevig als je bedenkt dat dit een onderdeel van een campagne is van onze Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). Zij zondigen tegen 3 princiepes:
- Het wachtwoord bestaat niet uit een willekeurige (random) gekozen tekens
- Zij promoten impliciet 'Security Through Obscurity' http://nl.wikipedia.org/wiki/Security_through_obscurity omdat het generatie process niet verteld wordt
- Het is niet duidelijk of het wachtwoord lokaal (OK) of op de server (FOUT) gegenereerd wordt.

Ik moet er niet aandenken dat ik dit advies en tool zou gebruiken voor mijn aandelen handel of App shop. Gelukkig vraagt die aandelen site min 12 tekens, ZONDER speciale symbolen, die worden overigens toch vaak geweigerd.

Als mijn berekening goed is, brengen zij het aantal keren dat brute force geraden moet worden terug tot 4.8E12 (zie onderaan). Vier biljoen lijkt veel.
Echter, laten we aannemen dat het wachtwoord voor Microsoft (NTLM) gebruikt wordt. Dan kan een huis computer met bijvoorbeeld 2 snelle grafische kaarten het wachtwoord in ~ 6 sec achterhalen.
Of laten we eens aannemen dat oma haar WiFi sleutel "vaasje" verandert, dan is die sleutel in 20 dagen achterhaald met 8 grafische kaarten. (Dat alles voor de Off-line aanval).


@ 30-10-2013, 23:14 door Anoniem : het initiatief van NCTV is voor 'burgers' en 'bedrijfsleven' (de overheid weet het allemaal al). En denk je echt dat oma "vaasje" gaat veranderen in Us90#Ree als voorbeeld? Rainbow tabellen zijn sporadisch bruikbaar en kunnen als bruikbaar al een paar jaar t/m 8 tekens alles snel raden. Referentie volgt.

@ 01-11-2013, 16:50 door Anoniem : Antwoord is: Ja, mits en Ja, maar. Ik zal nog een beter antwoord geven. Het antwoord is zoiets als dat niemand zich zorgen maakt dat een goede random teken wachtwoord generator voor 10 (!) tekens ook met het woord W@chtwoord kan komen.


Mijn advies aan de overheid:
- Kies een aanbevolen of beter een in NL-ontwikkelde wachtwoordkluis (veel kaf onder het koren en anti-Snowden effect)
- Daar zit bijna altijd een goede wachtwoord generator in, die LOKAAL werkt
- Adviseer minimaal 9 tekens of 10 voor wachtwoorden zonder symbolen zoals :-) Als het in de kluis zit kan je net zo goed 13 tekens nemen en kunnen dat alleen kleine letters en cijfers zijn: makkelijk op de smartphone.
- En adviseer/ondersteun wachtzinnen: zie mijn post bovenaan


===== berekening
(@ Fwiffo, Met weggezakte wiskunde zit het wel goed dacht ik :-) . Nog iets gedetailleerder:
Het lijkt erop dat het wachtwoord als volgt wordt opgebouwd:
- 2 posities met hoofdletters: 26 mogelijkheden per positie
- 1 posities met eerste cijfer van streefgewicht, we beginnen met 5 t/m 9: 5 mogelijkheden
- 1 posities met het 2-de cijfer van het gewicht: beginnen met 0 of 5, geeft 2 mogelijkheden
- 1 positie voor een symbool: 8 mogelijkheden (dat is wat de tool biedt)
- 3 posities met kleine letters: 26 mogelijkheden per positie

Totaal aantal mogelijke combinaties 52^2*5^1*2^1*8^1*26^3 = 3,8 miljard (3.8E9) mogelijkheden als de volgorde zoals bovenstaand zou zijn: eerst 2 hoofdletters dan een cijfer etc. Maar dat is niet zo, dus nu nog alle volgordes.

Zoals je aangaf nu nog de permutaties, ik doe het dom en sta dubbele letters toe, daar lijkt mij niets tegen (hoewel Aaa55?Aa ook ?) , ongeveer 7! (geen 8! vanwege gewicht) permutaties = 5040 volgordes fie getest moeten worden.

Totaal de aantal combinaties voor de brute force aanval: 3.8E9 * 5040 ofwel maximaal 4.8E12 keer raden (ik werk even niet met gemiddelden). Dat tegenover 96^8 = 7.2E15 combinaties voor een echt random wachtwoord zonder persoonlijke vragen.

==== edit 1: 8! veranderd in 7! en gevolgen. WiFi voorbeeld toegevoegd.

Dat denk ik niet, dat weet ik zeker. ;]
Dat komt overigens niet omdat de overheid dat gezegd heeft, of omdat jij je dingetje hier loopt te promoten.

*zucht...*
Voor wie is dat makkelijk?

Maar als het gekozen symbool zoals een hashtag, slechts 1x voorkomt op een wachtwoord van 8 tekens, is de keuze toch alleen daarom al niet willekeurig in de zin dat op elke positie een willekeurige keuze tot stand komt? En het zelfde geldt voor de andere posities. Bijvoorbeeld als er 2 cijfers voorkomen, komen op de andere posities geen cijfers meer voor.

Willekeurigheid is alleen van belang bij het achterhalen van het wachtwoord. Als het een echt willekeurig keuze betreft (elke teken van de gekozen tekenset kan op elke positie voorkomen met dezelfde waarschijnlijkheid) kan je alleen alle combinaties afgaan bij een herstelpoging. In mijn berekening wordt duidelijk dat je dat hier niet hoeft te doen (als de berekening goed is).

@ Gisteren, 10:35 door Anoniem
Welke van de volgende wachtwoorden tikt makkelijker op een smartphone of tablet? Mijn ervaring is dat het gebruiksgemak afneemt van boven naar beneden:
blanco elft hout zwaar
cprtuhkh83z4v
3!O4l^Hbq2~

Volgens mij bedoelde deze Anoniem door middel van sarcasme over te brengen dat dit voornamelijk makkelijker wordt voor eventuele hackers.

Dan is die sarcastische anoniem een aanhanger van een groot en moeilijk uit te roeien misverstand dat wachtwoorden complex zouden moeten zijn. Dus wachtwoorden met kleine & hoofdletters & cijfers & symbolen. Wachtwoorden van alleen kleine letters zouden per definitie (?) zwak zijn.

Vaak voeren die aanhangers als 'bewijs' van hun gelijk misinterpretaties aan van sites zoals die van Gibson Research en de NY times. Zie:
-- https://www.grc.com/haystack.htm
-- http://www.nytimes.com/2012/11/08/technology/personaltech/how-to-devise-passwords-that-drive-hackers-away.html?nl=technology&emc=edit_tu_20121108&_r=1&
-- http://forum.kpn.com/t5/Ondernemen-in-de-Cloud/Een-veilig-wachtwoord-kun-je-niet-onthouden/bc-p/143761#M61 En wat te denken van deze laatste?

Mijn echte bewijs vanuit 4 invalshoeken:
1. Lengte wint het van complexiteit bij wachtwoorden
Intuïtief zullen velen terecht zeggen dat het 1-ste 'wachtwoord' sterker is:
04671173995310541608212859140432873648665008891541329934974249315638521128370441
y0#A45*1
En als ik er 1 cijfer vanaf haal? De eigenlijke vraag is: bij welke lengtes blijft het 1-ste wachtwoord sterker dan het 2-de?

2. Kijk in de wikipedia: http://en.wikipedia.org/wiki/Password_strength
Daar wordt vergeleken hoe lang een wachtwoord moet zijn om een bepaalde sterkte te hebben. Die lengte is afhankelijk van de set van tekens waaruit gekozen wordt. De tekenset kan bijvoorbeeld bestaan uit alleen cijfers of uit alleen letters of uit letters en cijfers of alle mogelijke tekens etc. Een bewijs dat een wachtwoord met alleen kleine letters net zo sterk kan zijn als een complex wachtwoord met keuzes uit alle (95) tekens.
Er staat ook een handige tabel in die aangeeft dat voor een wachtwoord met een sterkte van bijvoorbeeld 64 bits gebruikt kunnen worden (willekeurige!) keuzes vanuit: of 20 cijfers, of 13 kleine letters, of 11 kleine & hoofdletter & cijfers, of 9 'all printable charcters'.

De 'aanhangers' verwarren hun stellingname met het feit dat wachtwoorden met dezelfde lengte natuurlijk sterker zijn naarmate er uit meer tekens per positie gekozen kan worden (zie punt 3).

3. Reken het uit
Dat is echt vrij simpel. Als een wachtwoord bestaat uit:
- 4 cijfers, zijn 0 t/m 9999 mogelijk, ofwel 10x10x10x10 = 10.000 mogelijkheden. (Excel =10^4)
- 4 willekeurige hoofdletters, geeft 26x26x26x26= 26^4 = 456.976 mogelijkheden

Bij punt 1 bestaat het wachtwoord y0#A45*1 uit 8 tekens, met voor ieder van de 8 posities 94 teken mogelijkheden (spatie niet meegerekend). Dat levert 94^4 = 609 biljoen mogelijkheden! (6 met 15 nullen)
Echter, het lange getal bij punt 1 bestaat uit 80 cijfers, dus 10^80 mogelijkheden (1 met 80 nullen en aannemende dat de aanvaller de lengte van het getal kent). Dat getal is als wachtwoord dus ongelofelijk veel sterker, maar niet werkbaar tenzij een wachtwoord kluis met auto-fill mogelijkheid wordt gebruikt

4. Gebruik mijn SimThrow tool, dan hoef je niet te rekenen
Tool: http://www.itura.nl/simthrow.html
Schermafdrukken van de berekening/tool output voor het korte en lange 'wachtwoord' uit punt 1: https://skydrive.live.com/redir?resid=27C8533B3AA9E42B!2571&authkey=!ANVV2gZNdrr6_iU

Dit alles bij al dan niet smart 'character based brute force attacks' en echt willekeurige keuzes. Mijn tool doet dezelfde (en meer) berekeningen ook voor woordenboek aanvallen.