'Wet van Moore zal wachtwoord niet afmaken'
De wet van Moore, die stelt dat de rekenkracht van computers elke 18 maanden verdubbelt, zal niet het einde van wachtwoorden betekenen. Dat stelt de bekende wachtwoordonderzoeker Joseph Bonneau. "Computers worden exponentieel sneller, maar het menselijk brein is constant! Wachtwoordkrakers zullen toch zeker uiteindelijk het menselijke geheugen verslaan", is een stelling waar hij tegen ageert.
Regelmatig verschijnen in het nieuws berichten over nieuwe software of hardware voor het sneller kraken van wachtwoorden. Bonneau deed onderzoek naar de ontwikkelingen in het kraken van wachtwoorden van de afgelopen twintig jaar.
De snelheid is in die periode toegenomen met een factor 1.000 wat betreft het aantal raadpogingen per seconde. Daarmee loopt deze ontwikkeling bijna parallel aan de wet van Moore die een periode van achttien maanden tot twee jaar aanhoudt.
Hashing
Toch is de situatie niet verloren voor het wachtwoord. De hash-functies voor het 'versleutelen' van wachtwoorden, ontwikkelen zich ook. "Dit is een klassieke wapenwedloop en om bij te blijven moet het aantal iteraties in een wachtwoord-hash regelmatig worden vergroot", merkt Bonneau op.
Hij laat weten dat door het gebruik van geheugenfuncties het kraken van wachtwoorden ook lastiger te maken is. Dit komt omdat geheugensnelheden zich niet zo snel ontwikkelen en lastiger te parallelliseren zijn. Als voorbeeld geeft Bonneau de scrypt() key functie, die elke goed beveiligde applicatie zou moeten gebruiken volgens de onderzoeker.
Toekomst
Een nadeel van de huidige wapenwedloop is dat het niet goedkoper zal worden om wachtwoorden te hashen."Het hashen van een wachtwoord moet ook over twintig jaar van nu nog steeds traag en kostbaar zijn, anders heeft de veiligheid hier onder te leiden." De Wet van Moore zal echter nooit de kosten van het aanbieden van een authenticatiesysteem verminderen, omdat de veiligheid van deze kosten afhangt, stelt Bonneau.
Het probleem zit ergens anders, namelijk de verificatie van inloggegevens. Om echte veiligheid te bereiken zou het verifiëren van wachtwoorden mogelijk zelfs hele seconden moeten duren, gaat de onderzoeker verder. "Dit is helaas niet de ervaring van de afgelopen twintig jaar. MD5 is meer dan twintig jaar geleden gelanceerd en is nog steeds de meest gebruikte implementatie, ook al is de evaluatie ervan, van relatief kostbaar naar extreem goedkoop gegaan."
De Wet van Moore heeft volgens Bonneau inderdaad MD5 als een wachtwoord-hash gebroken. "Geen enkele serieuze applicatie zou het nog moeten gebruiken. Menselijk geheugen is geen groter probleem geworden dan het was. Het werkelijke probleem is dat we wachtwoordverificatie veel te goedkoop hebben laten worden."
Dat we regelmatig nieuwe algorithmes nodig hebben is niet vreemd; ook als we nu allemaal naar de nieuwste, hipste, gaafste, besteste overschakelen moeten we dat binnen 20 jaar wéér.
Wat vervelender is, zijn bedrijven die maar blijven roepen dat wachtwoorden als geheel eruit zouden moeten en laat toch iedereen op hun speciale versie van het single-sign-on idee overgaan. Waarmee ze eigenlijk zeggen "vertrouw ons maar met al je geheimen, bij ons zijn die veilig, echt waar" om vervolgens flink los te gaan op de inlogpatronen met hun analyses en datamining. Ja nee dat is fijn.
Doe mij maar gewoon wachtwoorden of inlogsleutels die ik in beheer heb; zolang de algorithmes solide genoeg zijn komen we er de winter wel mee door. Wat dat betreft is er geen reden tot paniek. Maar bij de les blijven, dat moet je bij elke cryptografische toepassing altijd.
Key loggers ook. Al heb je een complex password van 2048 karakters, met een keylogger onderschep je dat zo. Daarom kan je toch altijd het beste gebruik maken van multi-factor authenticatie waardoor een aanvaller weinig heeft aan een password dat hij in handen krijgt.
Ilja. _\\//
Het is te krom voor woorden dat gebruikers worden lastiggevallen met idiote wachtwoordeisen of extra authenticatiemechanismen, terwijl ontwikkelaars vrolijk door mogen blijven modderen met brakke query code etc.
U heeft gedeeltelijk gelijk. Een kort wachtwoord, laten we zeggen van drie tekens is met zgn. BruteForce-techniek te wijten aan de wet van Moore in zeer korte tijd te raden. Een blokkade helpt niet zoveel, want zodra je weer deblokkeert en net zo'n kort wachtwoord kiest begint de hacker weer. Ad infinitum (=tot Sint Juttemis) en vroeg of laat komt zij/hij bij je binnen. Daar kun je op wachten met ultrakorte wachtwoordjes.
Het is een psychologisch spelletje vergelijkbaar met het nemen van een penalty. Jij bent de keeper, de hacker de schutter. Schiet zij/hij links, rechtdoor of rechts, bovenin of over de grond? Snappie?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
