Dit is niet nieuw.

ik heb ooit het volgende WPA wachtwoord gebruikt.
H3t1nstell3nV@ne3nwachtw0ordalsd1tiskut
op een pc nog redelijk te doen met copy/past, kuch.
maar op een telefoon was het horror..

Hier heb je weinig aan als er iemand een policy instelt dat je je wachtwoord regelmatig moet wijzigen...
Omdat iedereen er in een andere richting aan trekt, zal het hele idee "wachtwoord" toch onbruikbaar blijven.
Wordt tijd dat we daar eens vanaf stappen.

'slechts' 21% had de code opgeschreven ... dat lijkt me toch wel een belangrijke finding. mensen KUNNEN het onthouden, maar als je ze met zo'nlange code confronteerd gaat een groot deel van de gebruikers het dus opschrijven.

Met het "risico" ;) dat de redactie nu werkt aan een nieuwsitem hierover:

Gisteren is een ander wachtwoordonderzoek gepubliceerd door Microsoft medewerkers Dinei Florencio and Cormac Herley en Paul C. van Oorschot van de Carleton University, Canada, getiteld: "Password portfolios and the Finite-Effort User: Sustainably Managing Large Numbers of Accounts" (PDF: http://research.microsoft.com/pubs/217510/passwordPortfolios.pdf; bron: http://www.theregister.co.uk/2014/07/16/redmond_says_password_reuse_is_more_than_okay_its_necessary/).

Uitgangspunt in dat onderzoek is dat het voor mensen onmogelijk is om "voldoende complexe" wachtwoorden voor een groot aantal toepassingen/websites te onthouden. De onderzoekers keken daarbij ook naar de risico's van password managers (ik heb het even gescand, moet nog beter lezen).

De reden dat twee woorden met vier letters overeenkomen is dat ze een lijst van 26x26=676 woorden gebruikten. Dat mensen dit kunnen leren vind ik geen verrassing, wat ze handig hebben gedaan is mensen ertoe bewegen de moeite te doen iets te leren.

Ik word door dit soort berichten altijd weer even geprikkeld om uit te rekenen hoe ik er zelf qua wachtwoordsterkte voorsta met de gewoontes die ik daarvoor heb. Om te beginnen laat ik de meeste wachtwoorden door keepassx random berekenen, en die zitten dan op een forse entropie maar zijn niet bepaald makkelijk te onthouden. Maar voor de toegang tot keepassx en enkele andere zaken onthoud ik wel wachtwoorden.

Ik gebruik wachtzinnen die uit onzinwoorden bestaan, woorden die niet bestaan maar die wel uitspreekbaar zijn. Zo'n wachtwoord schrijf ik eerst op een klein papiertje op, dat ik bijvoorbeeld onderin in dat kleine zakje van de spijkerbroek die ik draag wegstop, en vernietig als ik ervan overtuigd ben dat ik het niet meer nodig heb. Dat gaat redelijk vlot, uitspreekbare onzinwoorden kan ik kennelijk vrij goed leren.

Ik zuig ter illustratie even een nieuwe uit mijn duim: badoekaram zevonade brivolka

Dat zijn 29 tekens. Hoeveel bits zijn dat? Minder dan de log(27) / log(2) = 4,75 die je op grond van de gebruikte tekens (kleine letters en spatie, vandaar 27) zou verwachten. Het zijn namelijk goed uitspreekbare woorden, die qua lettervolgorde en -combinaties op het Nederlands lijken, en dat vermindert het aantal mogelijkheden. Om een idee te krijgen van de entropie van Nederlandse woorden pak ik de Nederlandse woordenlijst die voor spellingscontrole op mijn Linux-bak staat, vertaal ik alle hoofdletters in kleine letters, verwijder ik woorden die andere tekens dan kleine letters en spaties bevatten, vervang ik regelovergangen door spaties, en bereken ik de entropie:


Dat blijft nog boven de 4 bits per teken, dat valt mee. Een wachtwoord van 29 tekens komt overeen met 4,244 × 29 = 123 bits.

Neem de vaak gestelde eis dat wachtwoorden uit kleine letters, hoofdletters, cijfers en speciale tekens moeten bestaan. Dat levert, als ik alle tekens neem die ik op het toetsenbord in kan typen, maar geen áccêntt€??ns en andere moeilijke gevallen, een entropie van 5,432 bits per teken op. Om dezelfde entropie te halen heb ik met mijn benadering dus 5,432 / 4,244 = 1,28 keer zoveel tekens nodig. Maar op een manier die (voor mij althans) aanzienlijk makkelijker te onthouden is.

Daar maakte ik een foutje, dit had het moeten zijn: 6,564 / 4,244 = 1,55 keer zoveel tekens.

[knip entropie woorden e.d. ]

Een vergelijkbaar argument, en methode is 'diceware' .

Je kiest random (met een dobbelsteen, vandaar diceware ) woorden uit een voldoende groot woordenboek als passphrase.
http://world.std.com/~reinhold/dicewarefaq.html
http://en.wikipedia.org/wiki/Diceware

En (random) reeks van bestaande woorden onthouden is voor mensen makkelijker dan een (kortere) string van random tekens.
Per saldo moet je hetzelfde aantal bits informatie onthouden, maar voor mensen is het één makkelijker dan het ander.

Wat heb je aan wachtwoorden waarbij je blijkbaar 12% kans hebt dat je hem al in 3 dagen bent vergeten. Slechts één kandidaat was er maar van overtuigd dat hij het echt onthouden had. Ik zou mijn harde schijf niet met zo'n wachtwoord durven te versleutelen.

Blijft grappig om te zien hoe techneuten aan de gang blijven om het gebruik van wachtwoorden nog te verdedigen door ze steeds complexer te maken. Stop met die onzin en ga eens naar je gebruikers luisteren, deze zitten niet op nog meer complexe wachtwoorden te wachten want die zijn het al helemaal zat dat ze iedere 3 maanden hun wachtwoorden moeten wijzigen. Ik heb het al vaker gezegd, hoe complexer de wachtwoorden hoe groter het risico. In plaats van dat techneuten veel te veel tijd besteden aan het geneuzel over complexere wachtwoorden zouden ze eens wat meer tijd moeten besteden aan meerwegs authenticatie methoden en het gebruikersvriendelijk toe passen ervan. Wachtwoorden alleen zijn passé en dat lijken er maar weinig te begrijpen. Meerwegs authenticatie is waar het naar toe moet.

Gelukkig komen daar geen 'techneuten' bij kijken..... ;)

Leuk die lengte van wachtwoorden maar er zijn veel systemen waar deze lengte niet eens is toegestaan. Laat staan bij je windows live account waar je nog steeds maximaal 16 karakters kan gebruiken. Ik snap dat vanwege snelheid de keuzes worden gemaakt om het kort te houden maar vanuit security is dit verschrikkelijk.

Laat die bedrijven nou maar eens heel erg gauw in het openbaar zorgen gaan maken over de veiligheid van zeg maar meer hidden software als in chips zoals netwerkkaarten, routers etc.

Ze hebben toch ook bedrijfsgeheimen enzo?

Waarom horen we zelden onze bedrijven zorgen maken over de kwaliteit van de hardware waarmee gewerkt wordt?