image

11-jarige verkoopt sterke wachtwoorden voor 2 dollar

maandag 26 oktober 2015, 15:04 door Redactie, 20 reacties

Een 11-jarig meisje uit New York City verkoopt via internet sterke wachtwoorden voor 2 dollar per stuk. Volgens Mira Modi lijkt het betalen voor een wachtwoord misschien gek, maar is het zelf verzinnen van wachtwoorden nog veel gekker. De basisschoolleerling stelt dat mensen zwakke wachtwoorden kiezen, zoals 12345 of password. Met haar website DicewarePasswords.com probeert ze dit te veranderen.

Diceware is een methode voor het maken van passphrases en wachtwoorden. In het geval van Modi gebruikt ze deze methode voor het genereren van wachtwoorden van zes willekeurige woorden. Tegenover Ars Technica laat de 11-jarige weten dat veel van haar vrienden niet begrijpen hoe ze sterke en veilige wachtwoorden moeten maken.

Dobbelsteen

Zodra ze een bestelling ontvang rolt Modi haar dobbelsteen en zoekt ze het bijbehorende woord op op een geprinte versie van de Diceware-woordenlijst. Vervolgens schrijft ze met de hand het wachtwoord op een velletje papier en verstuurt dit per post naar de klant. Inmiddels zou ze zo'n 30 wachtwoorden hebben verkocht. Wat betreft de veiligheid van dit systeem zegt ze dat ze de wachtwoorden van klanten niet onthoudt en dus ook niet kan misbruiken. Ook zegt ze de wachtwoorden niet op haar computer op te slaan. Doordat ze de wachtwoorden via de post verstuurt kan de overheid ze alleen met een gerechtelijk bevel openen.

Reacties (20)
26-10-2015, 15:24 door Briolet
Sterk? De lijst bevat slechts 6x6x6x6x6 = 7776 woorden. Hiervan worden er 5 in willekeurige volgorde achter elkaar geplakt zodat je 6x6x6x6x6x5! = 933120 verschillende wacht-zinnen kunt maken.

Deze zin is alleen sterk als de methode niet populair wordt en daardoor niet in een standaard bibliotheek voor een woordenboek vergelijk meegenomen wordt.
26-10-2015, 15:28 door Anoniem
Doet me denken aan deze comic: http://imgs.xkcd.com/comics/random_number.png
26-10-2015, 15:34 door Anoniem
Door Briolet: Sterk? De lijst bevat slechts 6x6x6x6x6 = 7776 woorden. Hiervan worden er 5 in willekeurige volgorde achter elkaar geplakt zodat je 6x6x6x6x6x5! = 933120 verschillende wacht-zinnen kunt maken.

Deze zin is alleen sterk als de methode niet populair wordt en daardoor niet in een standaard bibliotheek voor een woordenboek vergelijk meegenomen wordt.

met 7776 woorden heb je voor een permutatie van 5 woorden 7776^5 mogelijkheden, "iets" meer dan jouw 933120 mogelijkheden....
26-10-2015, 15:43 door Dick99999 - Bijgewerkt: 26-10-2015, 15:58
Door Briolet: Sterk? De lijst bevat slechts 6x6x6x6x6 = 7776 woorden. Hiervan worden er 5 in willekeurige volgorde achter elkaar geplakt zodat je 6x6x6x6x6x5! = 933120 verschillende wacht-zinnen kunt maken.

Deze zin is alleen sterk als de methode niet populair wordt en daardoor niet in een standaard bibliotheek voor een woordenboek vergelijk meegenomen wordt.
Lees Diceware er eens op na,zie http://world.std.com/~reinhold/diceware.html

Jouw berekening is fout, het moet ~7776^5 zijn voor 5 woorden, ofwel ~2.8x10^19 wachtzinnen. Ongeveer omdat sommige zinnen niet goed zijn, bijvoorbeeld omdat bij hoge uitzondering een semantisch correcte zin zou kunnen worden gegenereerd. Zo zijn er nog een paar kleine reducties, die erg onwaarschijnlijk zijn.
En... de woordenboeken moeten juist wel bekend zijn anders levert het een vals gevoel van veiligheid op (security by obscurity). Ik heb daar al eens wat over geschreven, zie https://www.security.nl/posting/442947#posting443211

Diceware zinnen zijn daarnaast in de praktijk moeilijk te kraken omdat GPU's (nu nog?) moeite hebben met zinnen van meer dan 3 woorden (heb nog steeds geen bevestiging daarvan)

Aardig initiatief van een 11 jarige, die al jong van de sterkte van Diceware op de hoogte is. Maar een wachtwoord moet bij anderen niet bekend zijn, niet bij een systeem beheerder, en ook niet bij deze 11-jarige.
26-10-2015, 15:54 door Anoniem
Door Dick99999:
Diceware zinnen zijn daarnaast in de praktijk moeilijk te kraken omdat GPU's moeite hebben met zinnen van meer dan 3 woorden (heb nog steeds geen bevestiging daarvan)
Welke betekenis van het acroniem GPU verwijs je hier naar?
26-10-2015, 17:04 door Anoniem
Goh, Lastpass geneert automatisch een wachtwoord voor gratis en die zijn nog lastiger ook. Kan in feite ook hiermee geld verdienen of mis ik hier iets?

Maar prijs haar ondernemende geest aan, hopelijk blijft ze dit doorzetten!
26-10-2015, 17:29 door Anoniem
Slim meisje, laat het geld maar rollen.
26-10-2015, 19:27 door Anoniem
Altijd een moreel dilemma; geld verdienen aan goedgelovige mensen.. Wat zal haar volgende stap zijn, geprinte vingerafdrukken en iris lenzen op bestelling?

Buiten dat weinig mensen zo dom zullen zijn om hun wachtwoord überhaupt met iemand te delen wordt het zo ook een dure grap om meerdere complexe wachtwoorden voor verschillende systemen aan te houden of de wachtwoorden regelmatig te wijzigen.

Gevolg: klanten van deze jonge entrepeneur zullen overal hetzelfde wachtwoord gebruiken en dit zelden wijzigen. Dat maakt het geheime wachtwoordenschriftje van deze 11 jarige wel een behoorlijk aantrekkelijk doelwit.
26-10-2015, 19:37 door Anoniem
Ik verkoop ze voor $1,75
26-10-2015, 22:33 door Anoniem
Leuk! Ik vraag me alleen af, of dit wachtwoord "e0@e)4f%E2#zu9)3A1?5^*)>n#g$K" dan voldoende sterk is om te kraken, afhankelijk wat de web-site er mee doet natuurlijk. (encryptie en salt) Daarvan ben je altijd afhankelijk en is moeilijk te bepalen. Ik heb een mail-adres bij KPN, die het wachtwoord afknijpt tot 12 tekens! Waardeloos dus.

Dit wachtwoord is nauwelijks te onthouden en sla ik op in een simpel tekst bestand. Dit tekst-bestand is ingepakt met een RAR-versleuteling en opgeslagen op een (alweer) beveiligde usb-stick.
Als iemand door die 2 buffers heen weet te breken, denkt die het wachtwoord te hebben. Jammer dan.

Ik pas dan de volgende systematiek toe:
Het 2e cijfer (hier een 4) bepaalt, in welke stukken het wachtwoord wordt gehakt. U ziet 3x hetzelfde teken: )
Dat betekent, dat alles achter het laatste ) wordt geknipt en geplakt in het wachtwoord, zodat het werkelijke wachtwoord: >n#g$K3A1?5^*)4f%E2#zu9)e0@e) is. Is het 2e cijfer een 5, dan staan er 4 dezelfde tekens enz.

Dus als de X-geheime dienst mij gaat meppen, kan ik met een gerust hart de 1e 2 wachtwoorden geven, dacht ik zo. Als het wachtwoord het niet doet, dan typen ze iets fout, zeg ik dan. Verlies ik de stick: dan is het helemaal succes ermee.
Ik vraag me alleen af, als je die gebruikte tekens in een kraakprogramma doet, hoelang het programma er dan over doet, om het werkelijke wachtwoord te achterhalen, omdat ze niet alle tekens hoeven te proberen.

Weet iemand dat toevallig?
26-10-2015, 23:30 door Anoniem
19:27 Door Anoniem: Dat maakt het geheime wachtwoordenschriftje van deze 11 jarige wel een behoorlijk aantrekkelijk doelwit.
Dat laatste heb je er natuurlijk zelf bij verzonnen.
27-10-2015, 08:36 door Anoniem
leuk initiatief, al ben ik benieuwd of er echt een 11-jarige achter zit (happened before ppl).
maar waarom de passphrases op een papiertje schrijven en deze mailen?
waarom niet de random selected passphrases op de website tonen na betaling?
geen log en de verkoper heeft geen notie van de gekozen passphrases.

heb je zelf ook minder werk aan.
27-10-2015, 08:47 door Anoniem
Door Anoniem: Leuk! Ik vraag me alleen af, of dit wachtwoord "e0@e)4f%E2#zu9)3A1?5^*)>n#g$K" dan voldoende sterk is om te kraken, afhankelijk wat de web-site er mee doet natuurlijk. (encryptie en salt) Daarvan ben je altijd afhankelijk en is moeilijk te bepalen. Ik heb een mail-adres bij KPN, die het wachtwoord afknijpt tot 12 tekens! Waardeloos dus.

Dit wachtwoord is nauwelijks te onthouden en sla ik op in een simpel tekst bestand. Dit tekst-bestand is ingepakt met een RAR-versleuteling en opgeslagen op een (alweer) beveiligde usb-stick.
Als iemand door die 2 buffers heen weet te breken, denkt die het wachtwoord te hebben. Jammer dan.

Ik pas dan de volgende systematiek toe:
Het 2e cijfer (hier een 4) bepaalt, in welke stukken het wachtwoord wordt gehakt. U ziet 3x hetzelfde teken: )
Dat betekent, dat alles achter het laatste ) wordt geknipt en geplakt in het wachtwoord, zodat het werkelijke wachtwoord: >n#g$K3A1?5^*)4f%E2#zu9)e0@e) is. Is het 2e cijfer een 5, dan staan er 4 dezelfde tekens enz.

Dus als de X-geheime dienst mij gaat meppen, kan ik met een gerust hart de 1e 2 wachtwoorden geven, dacht ik zo. Als het wachtwoord het niet doet, dan typen ze iets fout, zeg ik dan. Verlies ik de stick: dan is het helemaal succes ermee.
Ik vraag me alleen af, als je die gebruikte tekens in een kraakprogramma doet, hoelang het programma er dan over doet, om het werkelijke wachtwoord te achterhalen, omdat ze niet alle tekens hoeven te proberen.

Weet iemand dat toevallig?

Het kost een gemiddelde gebruiker 5.407285059062444e+24 jaar om "e0@e)4f%E2#zu9)3A1?5^*)>n#g$K" te brute-forcen.
Het is alleen een ellende om dit te onthouden. Dat is de hele filosofie achter het gebruik van passphrases. Makkelijk te onthouden, moeilijk te kraken.

Als een X-geheime dienst jou trouwens gaat meppen om je ww te achterhalen, gaan ze denk ik niet stoppen als jij ze vertelt dat ze een typfout maken. Maar succes daarmee hahaha.

Overigens, waarom doe je zoveel moeite met je textfile (?#!?) waar jij je WW's in plaintext in zet?
Waarom niet gewoon een Keepass database maken (AES, 128-bit blocksize/ 256-bit keysize) met een goede, maar makkelijk te onthouden passphrase? Dit is dusdanig veilig dat je de database zelfs op een cloudserver (ik zou Mega nemen) kan zetten en overal toegang hebt tot je WW's?
27-10-2015, 11:06 door Reinder
Afgezien van hoe sterk de methode en de wachtwoorden nu precies zijn, je moet bewondering hebben voor de ondernemersgeest en het initiatief van dit meisje. Die komt er wel denk ik. Om d'r te steunen ga ik zodadelijk denk ik eens een mooi wachtwoord bestellen, inclusief mooi kaartje dat je veilig off-line naast je computer kan bewaren.
27-10-2015, 14:26 door Anoniem
Door Reinder: Afgezien van hoe sterk de methode en de wachtwoorden nu precies zijn, je moet bewondering hebben voor de ondernemersgeest en het initiatief van dit meisje. Die komt er wel denk ik. Om d'r te steunen ga ik zodadelijk denk ik eens een mooi wachtwoord bestellen, inclusief mooi kaartje dat je veilig off-line naast je computer kan bewaren.

ben benieuwd wat de verzendkosten gaan worden hahaha.
27-10-2015, 16:19 door Dick99999
Door Anoniem:
Door Dick99999:
Diceware zinnen zijn daarnaast in de praktijk moeilijk te kraken omdat GPU's moeite hebben met zinnen van meer dan 3 woorden (heb nog steeds geen bevestiging daarvan)
Welke betekenis van het acroniem GPU verwijs je hier naar?
De eerste 50 of zo, als je GPU aan Google vraagt :-)
27-10-2015, 21:50 door Anoniem
@ 08:47 door Anoniem: dank voor uw antwoord. OT Ik vind Keepass een beetje onhandig, txt-file vind ik makkelijker.
En als ik dood ben, kunnen m'n huisgenoten er ook wat mee.
28-10-2015, 13:31 door Reinder
Door Anoniem:
Door Reinder: Afgezien van hoe sterk de methode en de wachtwoorden nu precies zijn, je moet bewondering hebben voor de ondernemersgeest en het initiatief van dit meisje. Die komt er wel denk ik. Om d'r te steunen ga ik zodadelijk denk ik eens een mooi wachtwoord bestellen, inclusief mooi kaartje dat je veilig off-line naast je computer kan bewaren.

ben benieuwd wat de verzendkosten gaan worden hahaha.

Helaas, shipping is alleen binnen de United States... Ik denk omdat de overheid het te sterke encryptie vind en het dus onder exportregulering valt...hmm ja dat zal het zijn denk ik.
02-11-2015, 12:50 door Anoniem
Ach, mocht iemand haar schriftje te pakken krijgen is natuurlijk de vraag voor de vinder:
a: wie gebruikt welk wachtwoord?
b: voor welk account wordt het gebruikt

zolang je dat niet weet heb je alleen een schriftje met wachtwoorden en dat is net zo willekeurig als ieder andere lijst met willekeurige tekens.....toch??
02-11-2015, 14:35 door Anoniem
https://grempe.github.io/diceware/

incl. HTML source-code die evt. offline te gebruiken is
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.