/dev/null - Overig

security.nl password generator

26-06-2014, 05:26 door Anoniem, 11 reacties
Is de security code onder de security.nl reageerpanelen, goed te gebruiken als wachtwoord?
Reacties (11)
26-06-2014, 08:16 door Dick99999 - Bijgewerkt: 26-06-2014, 08:24
Zonde te weten hoe die code gegenereerd wordt: nee, De code lijkt 7 tekens lang en dat wordt in het algemeen als te kort gezien. Je kan beter de wachtwoord generator binnen een wachtwoord kluis als LastPass, 1Password of KeyPass gebruiken. Dan wordt het ook nog automatisch opgeslagen en ingevuld.

Ook belangrijk is: waarvoor gebruik je het wachtwoord en wil je tegen online of offline (gestolen lijsten met wachtwoord hashes) aanvallen beschermen. Voor online is 7 tekens genoeg mits je account wordt geblokkeerd na 5-10 pogingen.

Mijn eindantwoord: voor het doel om een security NL antwoord insturen (on-line) is het genoeg. Die toepassing heeft echter wel wachtwoord aspecten (als je het makkelijk zou kunnen raden kan je het antwoord insturen), maar het is meer een OCR bescherming.
26-06-2014, 10:50 door Fwiffo
@TS: Wat je je moet afvragen is, "hoe zit het met de kwaliteit van de Random Number Generator". Of wel de "RNG".
Nu zal die best goed zijn op security.nl, maar omdat het een server is met vele gebruikers, zal er weinig random material zijn per CAPTCHA. Dat maakt het al ongeschikt.
Verder is het beter je wachtwoorden op hardware te genereren die je zelf onder controle hebt. Security.nl weet immers je CAPTCHA want het heeft deze zelf gegenereerd. Verder heeft security.nl SSL, maar ben je niet bang dat je CAPTCHA wachtwoord ergens onderweg weglekt of in je browser cache terecht komt?

Wat ik zelf doe (en ik heb dit al meerdere keren gepost), is GnuPG gebruiken om wachtwoorden te genereren. Want die moet voor mij wel de beste (en meest conservatieve) RNG hebben die er te vinden is. Voor de zekerheid gebruik ik ook nog een gewone 6 kantige dobbelsteen om 6 mogelijkheden per teken in mijn wachtwoord toe te voegen (1-6 posities overslaan). Maar dan nog moet je oppassen dat bijvoorbeeld je wachtwoord (in een .asc file in mijn geval) niet geïndexeerd wordt door een overijverig besturingssysteem. En ik doe een secure wipe nadat ik mijn wachtwoord heb opgeschreven op de .asc file (dit gaat weer mis op een SSD). Ook moet je een beetje weten waar in de .asc file je je wachtwoord tekens kiest. Want het begin en het einde van een .asc file zijn verre van random (het middenstuk is goed).

Ik heb moeite dit makkelijk uit te leggen. Misschien zijn de wachtwoord generatoren die Dick99999 noemt ook veilig genoeg. Ze zijn in ieder geval veel makkelijker te gebruiken als GnuPG/PGP. Aan de andere kant is het natuurlijk altijd handig om een beetje vaardigheden met GnuPG op te doen (Een sleutel aanmaken en daar iets naar encrypten. Een bestand digitaal ondertekenen en de handtekening controleren, etc.).

Wat wel een pluspunt van de CAPTCHA's is, is dat je ze op je harddisk op kunt slaan zonder bang te zijn dat malware deze geautomatiseerd kan uitlezen! Daar is echt een mens voor nodig. Maar dat is dan ook wel het enige voordeel.
26-06-2014, 10:51 door [Account Verwijderd] - Bijgewerkt: 26-06-2014, 10:52
[Verwijderd]
27-06-2014, 01:00 door Anoniem
Door Dick99999:
nee, De code lijkt 7 tekens lang en dat wordt in het algemeen als te kort gezien.

Je hebt de puntjes niet meegeteld
:-)
27-06-2014, 17:40 door Eric-Jan H te D
Door Hyper: Als je goede willekeurig gegenereerde wachtwoorden wilt hebben, kijk dan eens op deze pagina

Ja natuurlijk. Het eerste wat ik doe als ik een goed wachtwoord wil hebben is een onbekende en ongecontroleerde bron van het internet gebruiken.
27-06-2014, 18:52 door Anoniem
Op een linux systeem kan je bijvoorbeeld dit gebruiken:

dd if=/dev/random count=4096 | openssl sha1
27-06-2014, 23:26 door xclude
Kijk ook eens naar SoftFuse Password Generator, gratis voor privé gebruik en extreem goed http://www.password-generator.com/free.html
28-06-2014, 01:09 door Anoniem
Ik heb ooit eens zelf een password generator geschreven (https://github.com/blikjeham/genpass).
Ik moet er bij zeggen dat ik op een gegeven moment helemaal paranoide los ben gegaan op het verkrijgen van de seed:

Seeden met de tijd, een willekeurig aantal bytes lezen uit /dev/urandom en dat dan weer gebruiken als de seed. Het is behoorlijk overdreven, en er zijn vast wel betere methodes te vinden om een goede willekeur te verkrijgen.

In ieder geval, ik gebruik deze password generator al jaren. Het was sowieso een leuk projectje om de C-programmeertaal een beetje te leren kennen.

Captcha's zou ik niet gaan gebruiken, noch online password generators. Je weet nooit waar de gegevens terecht komen.
28-06-2014, 11:20 door Anoniem
Gebruik een wachtzin (passphrase) ipv een wachtwoord:

https://www.certifiedsecure.com/certificatedetails/extra/45/V92

@Anoniem 01:09: Werkt dat ook op widows?
29-06-2014, 02:41 door [Account Verwijderd] - Bijgewerkt: 29-06-2014, 02:41
[Verwijderd]
29-06-2014, 09:17 door Dick99999 - Bijgewerkt: 29-06-2014, 09:55
Door Anoniem: Gebruik een wachtzin (passphrase) ipv een wachtwoord:
https://www.certifiedsecure.com/certificatedetails/extra/45/V92
[...........]
De film van de consumentenbond over wachtzinnen is heel wat beter: http://www.consumentenbond.nl/test/elektronica-communicatie/veilig-online/privacy-op-internet/extra/wachtwoord-onthouden/
Het enige aspect dat daar ontbreekt is dat de woorden van een wachtzin willekeurig gekozen zouden moeten worden.

Anders kan je namelijk niet rekenen aan het geboden gemiddelde beschermingsniveau. Daarom adviseren zij vermoedelijk ook minimaal vijf woorden. Vier willekeurige woorden geeft evenveel bescherming als een wachtwoord van 6-8 willekeurige tekens, zie http://en.wikipedia.org/wiki/Password_strength, tabel "Lengths L of truly randomly generated passwords".
Die tabel geldt niet voor de zinnen van de consumenten bond, omdat daarbij de woorden niet willekeurig gekozen worden!

Vier woorden geeft dus niet veel bescherming, maar als de website blokkeert na 3-10 pogingen geeft het voldoende bescherming tegen online aanvallen, mits die 4 woorden willekeurig gekozen zijn!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.