image

1Password klaar voor wachtwoordkraker

maandag 6 augustus 2012, 10:54 door Redactie, 5 reacties

Wachtwoordprogramma 1Password zegt klaar te zijn voor wachtwoordkraker John the Ripper, maar hierbij moeten ook gebruikers hun verantwoording nemen. 1Password genereert voor gebruikers unieke wachtwoorden, bewaart die en plaatst die in de browser. Om toegang tot de wachtwoorden te krijgen moeten gebruikers een 'Master Password' kiezen.

"We hebben altijd geweten dat we niets kunnen doen aan een tool om automatisch het Master Password te raden dat aan de 1Password data is gekoppeld, en dus hebben we onze beveiliging ontwikkeld alsof dit soort tools bestaan", aldus Jeff Goldberg van Agilebits, het bedrijf dat 1Password ontwikkelde.

Passphrase
En het bestaan van dit soort tools is een stap dichterbij gekomen nu de bekende wachtwoordkraker John the Ripper ook 1Password gaat ondersteunen. Goldberg benadrukt dat de wachtwoordkraker geen zwakte in de software misbruikt. Zelf ging hij met John the Ripper aan de slag en de snelheden vallen nu nog tegen.

Binnenkort zal het programma ook de videokaart kunnen gebruiken om het 1Password Master Password te kraken en daarmee groeit het aantal te raden wachtwoorden explosief. Dat toont volgens Goldberg het belang van een sterk Master Password aan. Aan de hand van een tabel die hij maakte blijkt dat een wachtwoord van drie woorden niet sterk genoeg is. Meer dan vijf woorden is echter 'overkill', merkt Goldberg op.

Reacties (5)
06-08-2012, 13:32 door Fwiffo
Dat is een flinke GPU die 200x krachtiger is als een CPU. Verder zou je kunnen zeggen dat 1000 herhalingen van een enkele hash 10 bits toevoegt (2^10). Dus zonder die herhalingen (bijvoorbeeld bij PGP zover ik weet) is 5 woorden misschien te weinig. YMMV.
07-08-2012, 09:09 door Anoniem
Getallen moeten gedeeld door 2. Statistisch gezien is de kans groot dat je het wachtwoord vind in de helft van de tijd. Just saying...
07-08-2012, 11:39 door Fwiffo
Delen door twee kan je doen. Maar waarom niet door 4? Maar net hoeveel zekerheid je wilt dat je een wachtwoord kraakt (van n woorden uit een bekende woordenlijst). En het aantal iteraties kan je natuurlijk niet door twee delen. Dat zou onzin zijn ;-)
07-08-2012, 14:54 door SirDice
Door Anoniem: Getallen moeten gedeeld door 2. Statistisch gezien is de kans groot dat je het wachtwoord vind in de helft van de tijd. Just saying...
Lees even de legenda. Daar staat toch echt "Times are mean time to crack". M.a.w. de tijden zijn al gemiddelden.
11-08-2012, 09:46 door Dick99999
Hangen de (on)mogelijkheden van 'John' van niet sterk af van het gekozen woordenboek en het aantal woorden erin? Een goed gekozen echt Engels woord in een Nederlandse zin: geen succes voor John, tenzij je het woordenboek UK en NL combineert. Dan gaan de gemiddelde tijden echter enorm omhoog.
En 1 woord met 1 willekeurige extra letter middenin: geen succes.
Het aantal iteraties lijkt mij nu nog aan de hoge kant gezien het Blackhat onderzoek naar de veiligheid van een 15-tal password managers uit maart j.l. Dat heeft vooral te maken met de CPU-kracht van een smartphone.
En als laatste, 4 slecht gekozen korte woorden? Vermoedelijk ongeveer 'even goed/slecht' als 12 kleine letters: brute force. Dus 5 woorden lijkt mij.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.