Computerbeveiliging - Hoe je bad guys buiten de deur houdt

soms een simpel wachtwoord het moeilijkst te kraken

18-01-2013, 13:49 door maxton, 14 reacties
geachte lezers,
Ik ben laatst een discussie aangegaan met mijn broer over in de titel beschreven bericht. hij beweerde dat een simpel wachtwoord zoals een plaatsnaam, moeilijker te kraken is.
Dit maakte mij nogal een beetje boos en schreef hem een bericht terug, een gedeelte van deze brief staat hier onder beschreven.

Graag zou ik van jullie willen weten wat jullie hiervan vinden en of het een beetje klopt wat ik schreef.

Maar soms is simpel het moeilijkst te kraken, dit is wat hij zij nadat ik hem vertelde dat een plaatsnaam wel een erg simpel wachtwoord is! Ik schreef Groote ONZIN!!! wat jij nu zegt, ik ben al een aantal jaren online en heb verschillende pc,s voor mensen vrienden kennissen en familie (her) geïnstalleerd en heb gezien wat er kan gebeuren!

Over veiligheid en securiteit, hou mijzelf op de hoogte van feiten en wat er gebeurd in de wereld van ICT en PC,( heb je laatst een mail gestuurd betreffende een gat in een webmaker o.a Joomla) ik lees forums en lees blogs, daar lees ik wat er regelmatig fout kan gaan.

De laatste tijd zie ik in het nieuws en ICT informatie kanalen dat nu zelfs de overheid juist dit soort fouten maak!
ze willen blijkbaar nog niet inzien dat er een WWW bestaat (die ze ook wel het wildwesten noemen) omdat zij niet up-to-date zijn en te naïef denken en met onze klant gegevens te laks omgaan, op dergelijke systemen of inlogsystemen zwakke wachtwoorden gebruiken!! zoek maar eens op DigiNotar, het EPD systeem enzovoort
Banken hebben een zekere waterdicht systeem maar zelfs die zijn te kraken.
En mede omdat de (gebruiker), jij, ik en anderen te naïef denken over internet en het gebruik en gebruik van te zwakke wachtwoorden niet willen inzien!!

Ontwikkelaars van virus,adware, spyware enzovoort, deze zitten niet stil, ontwikkelen listige manieren om slachtoffers te maken, *DE* (hacker) zit niet meer thuis achter een pc'tje op zijn donkere duffe zolderkamertje! nee het zijn tegenwoordig criminelen internetmaffia word dit genoemd en die werken met geautomatiseerde tools en aan elkaar koppelde computers, o.a BOTNET! (robot netwerken)en om mis/gebruik te maken en kunnen wachtwoorden, websites, surfers ICT systemen, makkelijk gekraakt of worden overgenomen, en ze kijken niet naar jou persoonlijk hoor of wie jij bent het gaat hun alleen maar om o.a. informatie!

Daar naast zijn er nog steeds script kiddies, crackers en hackers (zou je willen uitleggen wat ze verschillen van elkaar maar dat kun je zelf uit zoeken) deze zijn ook actief, dan wel op zulke zolderkamers! en die zoeken onwetend naar slachtoffers en als ze willen bewust naar personen en kunnen met dergelijk acties als hierboven genoemd uitvoeren en gebruik van maken! voor dit soort moet je de ook erg op je hoede zijn, je hoeft maar de verkeerde tegen te komen in je familie en vrienden, kennissen of omgeving.

Ik zeg in het algemeen steeds: er zijn onder andere 3 regels waar aan een wachtwoord moet voldoen:

1] uit minimaal 6 tot 7 tekens bevatten, letters, hoofd letters, cijfers en of speciale tekens hoe langer je wachtwoord des te beter!

2] geen namen, geboorte jaren, favoriete huisdier, plaats namen zoals jij gebruikte enz (er worden woordenboeken gebruikt die ze zelf samen stellen of van internet afhalen!

3] liefst elke 3 maanden je wachtwoord vernieuwen (als een bedrijf een goede ICT protocol hanteert zal dit automatisch worden ingesteld, heb zelf op automatisering afdeling gewerkt)

ik hoor je al denken wat ik vaak als reactie krijg ja hoor ben gek (naïef dus), ik blijf bezig!, waarom zouden ze mij moeten hebben, elke 3 maanden??, maar ik heb er meerdere (oja eenzelfde wachtwoord voor alle inlog accounts!!?? NIET DOEN! als ze 1 wachtwoord hebben kunnen ze dus overal in!
ik kan wel verder gaan hoor, en ik moet zeggen ben zelf ook wel eens naïef en laks ik heb meerdere accounts valt ook niet mee.
Ik doe de aanbeveling aan mensen om een wachtwoord beheer tool hiervoor te gebruiken, gebruik er zelf ook eentje. deze kan ook bepalen of je w8wrd sterk genoeg is!

als extra informatie hou je pc UP-TO-DATE, zowel je computer als je virus scanner, en scan regelmatig ook met andere anti adware tools en of virus scanners
Reacties (14)
18-01-2013, 14:30 door Preddie
Sorry maar wat wil je nu precies zeggen of vragen ?

De inhoud van je bericht gaat in tegen de titel en ook de onderlinge verbanden tussen de alinea's zijn moeilijk te leggen.

Per definitie zijn simpele wachtwoorden makkelijk te kraken. Simpel is relatief, en wanneer iets snel te kraken is kan je dit bestempelen als Simpel..... of doel je misschien op wachtwoorden die simpel te onthouden zijn? Dit zegt niks over de complexiteit van je wachtwoorden.

De noodzaak voor de complexiteit van het wachtwoord wordt bepaald door de gegevens die beschermd worden met dat wachtwoord en als we het dan hebben over vertrouwelijk tot zeer vertrouwelijke informatie dan is 6 tot 7 tekens echt wel te kort. (offline gecracked in 2 tot 5 uur met mijn thuis apparatuur) Het gebruik van bestaande woorden is nooit aan te raden en lijkt me dus een goede tip, dit geld ook voor bekend letter en cijfer rekensen (123456, qwerty enz. enz.). Elke 3 maanden veranderen is niet noodzakelijk en bedoeld het ermijn waarop een uitgelekt wachtwoord misbruikt kan worden te beperken.

Maargoed ik vraag me nog steeds af wat je hiermee probeert te zeggen of te vragen .... misschien zou je dit toe kunnen lichten ...
18-01-2013, 15:43 door maxton
Door Predjuh: Sorry maar wat wil je nu precies zeggen of vragen ?

De inhoud van je bericht gaat in tegen de titel en ook de onderlinge verbanden tussen de alinea's zijn moeilijk te leggen.

Per definitie zijn simpele wachtwoorden makkelijk te kraken. Simpel is relatief, en wanneer iets snel te kraken is kan je dit bestempelen als Simpel..... of doel je misschien op wachtwoorden die simpel te onthouden zijn? Dit zegt niks over de complexiteit van je wachtwoorden.

De noodzaak voor de complexiteit van het wachtwoord wordt bepaald door de gegevens die beschermd worden met dat wachtwoord en als we het dan hebben over vertrouwelijk tot zeer vertrouwelijke informatie dan is 6 tot 7 tekens echt wel te kort. (offline gecracked in 2 tot 5 uur met mijn thuis apparatuur) Het gebruik van bestaande woorden is nooit aan te raden en lijkt me dus een goede tip, dit geld ook voor bekend letter en cijfer rekensen (123456, qwerty enz. enz.). Elke 3 maanden veranderen is niet noodzakelijk en bedoeld het ermijn waarop een uitgelekt wachtwoord misbruikt kan worden te beperken.

Maargoed ik vraag me nog steeds af wat je hiermee probeert te zeggen of te vragen .... misschien zou je dit toe kunnen lichten ...
de titel "maar soms is simpel het moeilijkst te kraken" kreeg ik van mijn broer als reactie nadat ik gereageerd zo van dat wachtwoord is wel erg makkelijk, omdat hij een plaatsnaam als veilig inlog wachtwoord beschouwde. dat bestreed ik in deze brief met als uitleg hoe ik er over denk.
de tussen de alinea beschreven inhoud wilde ik hierbij nogmaals citeren en gaf nog een reactie voor af!
ik zal deze proberen aan te passen zodat men het beter begrijpt.
wat ik probeer te vragen en te zeggen word door jou al redelijk beantwoord ik vraag om een reactie wat men er in het algemeen hier van vind of mee omgaat, zo ook of het bij jullie herkenbaar is hoe sommigen er over denken.
daarnaast vraag ik: Graag zou ik van jullie willen weten wat jullie hiervan vinden en of het een beetje klopt wat ik schreef als reactie in mijn brief aan mijn broer.
simpel wachtwoord lijkt mij niet veilig genoeg zoals een plaatsnaam, dan alleen simpel te onthouden!
6 tot7 tekens is wat ik meestal aanbeveel, ik gebruik zelf meer dan 10 of anders een complexer wachtwoord afhankelijk waar voor het is. maar mensen vinden het in het algemeen al moeilijk genoeg om complexere wachtwoorden te gebruiken of langer, ze doen het toch niet en reageren zoals ik beschreven had in mijn brief.

bedankt alvast voor je reactie Predjuh
18-01-2013, 16:10 door Preddie
Door maxton:
Door Predjuh: Sorry maar wat wil je nu precies zeggen of vragen ?

De inhoud van je bericht gaat in tegen de titel en ook de onderlinge verbanden tussen de alinea's zijn moeilijk te leggen.

Per definitie zijn simpele wachtwoorden makkelijk te kraken. Simpel is relatief, en wanneer iets snel te kraken is kan je dit bestempelen als Simpel..... of doel je misschien op wachtwoorden die simpel te onthouden zijn? Dit zegt niks over de complexiteit van je wachtwoorden.

De noodzaak voor de complexiteit van het wachtwoord wordt bepaald door de gegevens die beschermd worden met dat wachtwoord en als we het dan hebben over vertrouwelijk tot zeer vertrouwelijke informatie dan is 6 tot 7 tekens echt wel te kort. (offline gecracked in 2 tot 5 uur met mijn thuis apparatuur) Het gebruik van bestaande woorden is nooit aan te raden en lijkt me dus een goede tip, dit geld ook voor bekend letter en cijfer rekensen (123456, qwerty enz. enz.). Elke 3 maanden veranderen is niet noodzakelijk en bedoeld het ermijn waarop een uitgelekt wachtwoord misbruikt kan worden te beperken.

Maargoed ik vraag me nog steeds af wat je hiermee probeert te zeggen of te vragen .... misschien zou je dit toe kunnen lichten ...
de titel "maar soms is simpel het moeilijkst te kraken" kreeg ik van mijn broer als reactie nadat ik gereageerd zo van dat wachtwoord is wel erg makkelijk, omdat hij een plaatsnaam als veilig inlog wachtwoord beschouwde. dat bestreed ik in deze brief met als uitleg hoe ik er over denk.
de tussen de alinea beschreven inhoud wilde ik hierbij nogmaals citeren en gaf nog een reactie voor af!
ik zal deze proberen aan te passen zodat men het beter begrijpt.
wat ik probeer te vragen en te zeggen word door jou al redelijk beantwoord ik vraag om een reactie wat men er in het algemeen hier van vind of mee omgaat, zo ook of het bij jullie herkenbaar is hoe sommigen er over denken.
daarnaast vraag ik: Graag zou ik van jullie willen weten wat jullie hiervan vinden en of het een beetje klopt wat ik schreef als reactie in mijn brief aan mijn broer.
simpel wachtwoord lijkt mij niet veilig genoeg zoals een plaatsnaam, dan alleen simpel te onthouden!
6 tot7 tekens is wat ik meestal aanbeveel, ik gebruik zelf meer dan 10 of anders een complexer wachtwoord afhankelijk waar voor het is. maar mensen vinden het in het algemeen al moeilijk genoeg om complexere wachtwoorden te gebruiken of langer, ze doen het toch niet en reageren zoals ik beschreven had in mijn brief.

bedankt alvast voor je reactie Predjuh

Bedankt voor je toelichting. Wellicht kan het gewoon aan mij liggen dat ik niet alles goed begreep. Maar je toelichting maakt een hoop duidelijk.

Je hebt inderdaad helemaal gelijk door te zeggen dat een plaatsnaam makkelijk "kraakbaar" is. Zoals je aangeeft worden voor wachtwoord aanvallen vaak worden boeken gebruikt. Plaatsnaam zijn hier vaak in terug te vinden.

De reacties die je van veel mensen krijgt zijn voor mij ook herkenbaar, deze mensen kunnen of naief of onwetend zijn (onwetendheid kan ook tot naïviteit leiden) naar mijn mening komt dit vaak doordat de materie niet tastbaar is. Terwijl als je het vergelijkt met de sleutel van de voordeur, dan snapt iedereen dat het niet zo bijster slims is om een slot te kiezen dat te je vervolgens afsluiten met een sleutel in de vorm van een ijsstokje..... echter wanneer men het over IT heeft lijkt het toch allemaal niet is moeilijker begrijpbaar voor de mensen.

Opzich vind ik dat je goeie tips geeft, alleen zou ik er daar nog graag één aan toevoegen die een hoop narigheid kan voorkomen. Werk namelijk altijd onder een account met beperkt rechten (user/gebruiker) en wanneer je een installatie moet doen of instellingen moet aanpassen kun je tijdelijk als administrator inloggen.

Laten we ff een aantal basic tips op een rijtje zetten:

- Gebruiker een wachtwoord van 10 á 12 tekens, probeer gebruik te maken van letters, cijfers, tekens en spaties
- Probeer periodiek je wachtwoord te veranderen
- Schrijf je wachtwoorden niet op, indien je een password manager gebruikt zou je deze het best op een standalone systeem kunnen zetten.
- Bedenkt een algoritme voor je wachtwoorden waardoor je het wachtwoord zelf niet hoeft te onthouden maar alleen de methode waardoor je op elk authenticatie platform een andere wachtwoord kan gebruiken.
- Daar waar mogelijk, kies voor two-factor-authenticatie, bijv. op basis van SMS
- probeer het gebruik van één wachtwoord voor meerdere diensten zoveel mogelijk te beperken (liever helemaal niet)
- Gebruik een account met beperkte rechten (user/gebruiker)
- Installeer een virusscanner en nog belangrijker, configureer deze juist (een autogordel is een goeie maatregel alleen moet je hem wel zelf om doen)
- Installeer een firewall en als bij de virusscanner moet je deze juist configureren
- Update de definities van je virusscanner en andere anti-malware programmatuur regelmatig
- Installeer altijd de laatste beveiligingsupdate van het besturingssysteem alsmede de software en mee geïnstalleerde plugins.
- Open geen bestanden die bij verdachte bronnen vandaan komen. Zeker bij uitvoerbare bestanden, wil deze toch uitvoeren gebruik hiervoor dan bijv. een sandbox. (geld voor email, twitter, sms, vleesbroek en andere bronnen waar je bestanden over kunt ontvangen.
- Pas op met het gebruik van USB apparatuur, indoen mogelijk laat eerst je virusscanner standaard het station scannen voordat je er gebruik van kunt maken.
- Als je ooit je PC vervangt wipe dan de harde schijven, bij formateren wordt er geen data gewist alleen onzichtbaar gemaakt. Bij wipeing wordt de harde schijf overschreven en is het met huis-tuin-en-keuken apparatuur bijna niet meer mogelijk om informatie terug te halen.


Dit is een leuk begin, er zijn nog voldoende maatregelen die we hieraan toe kunnen voegen maar ik laat deze maatregelen graag ook invullen door andere gebruikers, zodat er wat ruimte voor discussie is.....

Als er mensen zijn die dit lijst graag zouden willen uitbreiden.... be my guest !
18-01-2013, 16:11 door SirDice
Laat 'm eens een dictionary attack zien, of een rainbow table... Mensen moeten vaak eerst iets zien voordat ze het geloven.
18-01-2013, 16:16 door S.lenders
https://www.security.nl/artikel/44763/1/%2790%25_wachtwoorden_binnen_seconden_te_kraken%27.html

citaat: "Een machine met algemeen verkrijgbare virtualisatiesoftware en snelle videokaarten kan een wachtwoord van acht karakters binnen vijf uur kraken"

Probeer het zelf eens met een Brute Force programma, vraag hem een kort wachtwoord laat hem het coderen in een hash, 5 tekens neemt je enkele minuten, 6 duurt een half uurtje. (en dan heb ik het alleen nog op het gebruiken van je CPU, er zijn methodes om je GPU te gebruiken dit gaat vele malen sneller)
18-01-2013, 16:18 door S.lenders
Door SirDice: Laat 'm eens een dictionary attack zien, of een rainbow table... Mensen moeten vaak eerst iets zien voordat ze het geloven.

Die was ik in mijn post vergeten, een woord uit het woordenboek gebruiken is nog slechter dan een kort wachtwoord bestaand uit random tekens.

Tip: passphrase | http://en.wikipedia.org/wiki/Passphrase
24-01-2013, 10:21 door maxton
Heel erg bedankt voor jullie reactie, mn Broer moest toch wel ff toegeven nadat ik heb het zo had uitgelegd.
Ik hoefde voor hem alleen niet zo een zware brief op te zetten !? haha tja.........
30-01-2013, 22:27 door Anoniem
Dag,
Mag je ook een zin als wachtwoord gebruiken?
Bijv: Ik bedrieg mijn vrouw met Jannie.
Is zo'n wachtwoord slim en erg veilig?
31-01-2013, 10:59 door Anoniem
correct horse battery staple
31-01-2013, 15:14 door Anoniem
"Ik zeg in het algemeen steeds: er zijn onder andere 3 regels waar aan een wachtwoord moet voldoen"

Regel 4: Zorg dat de beveiliging van je computer op orde is, zodat je wachtwoord niet met een keylogger ofzo wordt onderschept. Als je computer besmet is met malware, en er een keylogger op je systeem staat, dan helpt password complexiteit immers in het geheel niet.

"Daar waar mogelijk, kies voor two-factor-authenticatie, bijv. op basis van SMS "

Een zeer goed advies, voor zover je daar als gebruiker voor kan kiezen, om het onderscheppen van wachtwoorden met keyloggers en dergelijke zinloos te maken.
31-01-2013, 15:42 door Mysterio
Ik gebruik altijd de eerste letters uit een zin zoals bijvoorbeeld: alle dieven mogen in niets

Werkt uitstekend!
01-02-2013, 11:14 door Anoniem
Het is niet goed, maar soms is geen wachtwoord lastiger te raden. Tegenwoordig gaat iedereen er wel van uit dat je een wachtwoord gebruikt en proberen ze die optie niet. Ik raad het overigens wel ten sterkste af natuurlijk :)

Daarnaast kan ik mij ook voorstellen dat wachwoorden van 2 karakters niet eens geprobeerd worden, maar ook daar zou ik niet op vertrouwen.

Mijn advies: Gebruik een wacht-zin (passphrase) met schrijffauten. Makkelijk te onthouden en redelijk sterk.
01-02-2013, 12:20 door FlamingFireFunky
Door Mysterio: Ik gebruik altijd de eerste letters uit een zin zoals bijvoorbeeld: alle dieven mogen in niets

Werkt uitstekend!

Hahaha, dat doe ik ook, ik gebruik de eerste letters van de volgende zin: peter at snel super warme oliebollen, ronde dus
04-02-2013, 16:09 door Anoniem
Door Anoniem: correct horse battery staple
Precies, XKCD rules.
4 a 5 woorden die in alle rainbow tables staan maar gecombineerd nergens op slaan.
Makkelijk te onthouden want zelf gekozen, visualiseer er desnoods een afbeelding van.
Je hebt echt geen pw nodig als (((@&%PKl78JhT^^[/url] om bijv. je email account degelijk te beveiligen.

Visualiseer bijv. 7 bierdrinkende herdershonden in een Mercedes en walla; je wachtwoord: zevenbierherdersmercedes.
Al dit soort wachtwoorden (van bijv. minimaal 16 karakters) zijn sterk zat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.