Daardoor wordt het systeem alleen maar ZWAKKER, immers ieder wachtwoord wat niet gekozen mag worden beperkt
het aantal wachtwoorden wat je moet proberen om te raden.

Als je een systeem werkelijk nog wilt beveiligen met het verouderde systeem van wachtwoorden, dan moet je zorgen dat
mensen niet de kans krijgen om het wachtwoord te raden. Door het aantal wachtwoordpogingen te beperken, door te
zorgen dat wachtwoordhashes niet openbaar kunnen worden, door te zorgen dat er bij het hashen geen algemeen bekend
algorithme zonder extra informatie die ook bekend is gebruikt wordt.

Eisen stellen aan wachtwoorden maakt het systeem alleen maar slechter, omdat je het aantal mogelijkheden beperkt,
en omdat je de kans vergroot dat gebruikers het wachtwoord ergens anders opslaan omdat ze het anders niet meer
kunnen onthouden. Maar als je echt wat wilt verbeteren, stap dan af van dit systeem.

Hoezo wordt het systeem alleen maar zwakker? Hierdoor beperk je juist de doeltreffendheid van een dictionary attack. Want stel dát mensen één van deze wachtwoorden kiest is het dus zo gekraakt..

"Opvallend is ook het grote aantal schunnige woorden dat niet mag worden gekozen."

En als je het toch doet?
Weten ze dus jouw wachtwoord of zijn ze alleen bang dat de vrouwen bij de NSA zullen schrikken van deze woorden.

De kudde wordt gehoed. De boer zorgt dat je geen fout meer kúnt maken. Intensieve menshouderij. Individuele verantwoordelijkheid? Brrrr ...

Je zorgt ervoor dat aanvallers een aantal mogelijkheden niet hoeft te testen.Er blijven dus minder mogelijkheden over.

Hetzelfde geldt voor situaties waarbij er een minimaal aantal speciale tekens gebruikt moet worden. Je vermindert de entropie van het systeem en maakt het de aanvaller dus eenvoudiger.

Peter

Dat is dus precies wat er bedoeld wordt: EIGEN verantwoordelijkheid!

Yep. In plaats van enkele biljarden combinaties hoef je nu nog maar enkele biljarden minus 85.000 combinaties te proberen. Da's zeker schadelijk voor de beveiliging!
Je snapt dat dit ironisch bedoeld is?

Het is wel zo dat een beperking op het aantal te gebruiken tekens wel van invloed is. Met 26 kleine letters, 26 hoofdletters en 10 cijfers heb je per wachtwoord maar 62 tot de macht n opties, waarbij n de lengte van het wachtwoord is. Als de minimum lengte van een wachtwoord op 8 tekens is ingesteld dan zijn dat nog behoorlijk veel combinaties. Maar behoorlijk veel minder dan wanneer je ook diverse speciale tekens toelaat. Tien extra mogelijke tekens bij een lengte van minimaal 8 tekens zorgen ervoor dat er behoorlijk wat combinaties bijkomen.
Kortom, bepaalde tekens uitsluiten en bepaalde woorden blokkeren heeft invloed op het potentieel aantal combinaties die mogelijk zijn. Iets wat je weer kunt vermeerderen door de minimum wachtwoord-lengte op te hogen.
Maar een dictionary attack op een enkele account zal niet effectief zijn. Hackers werken dan ook met verzameling van accountnamen en dan bij voorkeur zoveel mogelijk. Miljoenen account-namen, indien mogelijk. Dan komt de dictionary erbij en wordt ieder woord uitgeprobeerd met de gehele lijst tot er een hit plaats vindt. En daarna het volgende woord. En de volgende. En dan is de kans groot dat 1 account een wachtwoord gebruikt dat in een dictionary voorkomt.
-
Het probleem is dat hackers graag wachtwoord-bestanden willen bemachtigen om zo hun dictionaries aan te vullen met nog meer wachtwoord-combinaties. Ze weten nu dat ze deze 85.000 woorden uit hun dictionary kunnen halen zodat er geen tijd wordt verspild aan combinaties die verboden zijn. En in dat opzicht heb je gelijk. Het scheelt hen tijd om deze woorden gewoon over te kunnen slaan. De rest van de woorden in de dictionary zullen waarschijnlijk wel de nodige hits opleveren.

Te makkelijk te raden wachtwoorden ontraden is natuurlijk niet slecht. Verbieden is iets anders.

Daarnaast zijn er verschillende diensten die ook je oude wachtwoorden onthouden en het gebruik daarvan verbieden. Ook hiervoor geldt in mijn ogen hetzelfde: "Ontraden maar niet verbieden".

De dienstverleners kunnen natuurlijk ook zelf de nodige maatregelen treffen waarmee "brute force" aanvallen worden ontmoedigd.

De meeste wachwoorden op deze lijst komen voor in andere bekende wachtwoordlijsten. Als je een reference/occurence check doet kom ik maar een aantal wachtwoorden tegen die niet in de "grotere" lijsten voorkomen. Kortom op zich niet zo gek. Als ik een public list had met alle wachtwoorden, is het gewoon een kwestie van "proberen". Er zijn helaas maar "weinig" systemen die bannen en toegang ontzeggen na laten we zeggen 5 verkeerde pogingen.

Het is eigenlijk lastig dat je van de meeste sites, waar je moet inloggen, niet weet of er een beperking is aan het aantal inlogpogingen achter elkaar.

Bij de banken (ik heb ING) is dat overduidelijk: na zoveel aanmeldpogingen wordt je geblokkeerd. Wordt ook direct aangegeven als je het één keer fout doet.

Maar bij inloggen om POP/Webmail op te halen (ik zit bij XS4ALL) of om het ADSL Modem aan te melden tbv internetverbinding is het volstrekt onduidelijk wat er zou gebeuren indien er een brute force attack zou plaatsvinden. Wordt het inloggen na x aantal keer fout password voor een bepaalde tjd gestopt of kun je oneindig doorgaan? Op de servicepagina's heb ik daarover niets kunnen vinden. Misschien moet ik er eens een vraag over stellen bij de helpdesk aldaar.

Hetzelfde geldt voor heel veel webshops: volkomen onduidelijk of hun inlogsoftware voorkomt dat er massaal inlogpogingen gedaan worden.

Op een forum waar ik regelmatig kom is het zo: na 2 verkeerde pogingen moet je al een extra captcha gevraagd, daarna wordt de wachttijd tussen de pogingen steeds langer. Zo zou het bij webshops eigenlijk ook moieten gaan. Ik heb wel eens wat geprobeerd bij zo'n shop, gewoon met de hand bewust een aantal keer verkeerde passwords invoeren. Kon ik oneindig lang blijven doen. Weet natuurlijk niet wat er gebeuren zou als dat veel sneller gebeurt via een programma. Zo'n (bot) programma heb ik niet en wil ik ook niet gebruiken, ook niet voor test.

Het is jammer dat bezitters van sites / shops niet wat meer aandacht besteden aan het veiligheidsaspect en duidelijk aangeven wat zij gedaan hebben om eventuele misbruikpogingen tegen te gaan. Bij beperking van het aantal inlogpogingen speelt het gebruik van een relatief kort/eenvoudig password een veel mindere rol dan bij onbeperkt proberen.