11-jarige verkoopt sterke wachtwoorden voor 2 dollar
Een 11-jarig meisje uit New York City verkoopt via internet sterke wachtwoorden voor 2 dollar per stuk. Volgens Mira Modi lijkt het betalen voor een wachtwoord misschien gek, maar is het zelf verzinnen van wachtwoorden nog veel gekker. De basisschoolleerling stelt dat mensen zwakke wachtwoorden kiezen, zoals 12345 of password. Met haar website DicewarePasswords.com probeert ze dit te veranderen.
Diceware is een methode voor het maken van passphrases en wachtwoorden. In het geval van Modi gebruikt ze deze methode voor het genereren van wachtwoorden van zes willekeurige woorden. Tegenover Ars Technica laat de 11-jarige weten dat veel van haar vrienden niet begrijpen hoe ze sterke en veilige wachtwoorden moeten maken.
Dobbelsteen
Zodra ze een bestelling ontvang rolt Modi haar dobbelsteen en zoekt ze het bijbehorende woord op op een geprinte versie van de Diceware-woordenlijst. Vervolgens schrijft ze met de hand het wachtwoord op een velletje papier en verstuurt dit per post naar de klant. Inmiddels zou ze zo'n 30 wachtwoorden hebben verkocht. Wat betreft de veiligheid van dit systeem zegt ze dat ze de wachtwoorden van klanten niet onthoudt en dus ook niet kan misbruiken. Ook zegt ze de wachtwoorden niet op haar computer op te slaan. Doordat ze de wachtwoorden via de post verstuurt kan de overheid ze alleen met een gerechtelijk bevel openen.
Reacties (20)
26-10-2015, 15:24 door
Briolet
Sterk? De lijst bevat slechts 6x6x6x6x6 = 7776 woorden. Hiervan worden er 5 in willekeurige volgorde achter elkaar geplakt zodat je 6x6x6x6x6x5! = 933120 verschillende wacht-zinnen kunt maken.
Deze zin is alleen sterk als de methode niet populair wordt en daardoor niet in een standaard bibliotheek voor een woordenboek vergelijk meegenomen wordt.
Deze zin is alleen sterk als de methode niet populair wordt en daardoor niet in een standaard bibliotheek voor een woordenboek vergelijk meegenomen wordt.
Doet me denken aan deze comic: http://imgs.xkcd.com/comics/random_number.png
Door Briolet: Sterk? De lijst bevat slechts 6x6x6x6x6 = 7776 woorden. Hiervan worden er 5 in willekeurige volgorde achter elkaar geplakt zodat je 6x6x6x6x6x5! = 933120 verschillende wacht-zinnen kunt maken.
Deze zin is alleen sterk als de methode niet populair wordt en daardoor niet in een standaard bibliotheek voor een woordenboek vergelijk meegenomen wordt.
Deze zin is alleen sterk als de methode niet populair wordt en daardoor niet in een standaard bibliotheek voor een woordenboek vergelijk meegenomen wordt.
met 7776 woorden heb je voor een permutatie van 5 woorden 7776^5 mogelijkheden, "iets" meer dan jouw 933120 mogelijkheden....
Door Briolet: Sterk? De lijst bevat slechts 6x6x6x6x6 = 7776 woorden. Hiervan worden er 5 in willekeurige volgorde achter elkaar geplakt zodat je 6x6x6x6x6x5! = 933120 verschillende wacht-zinnen kunt maken.
Deze zin is alleen sterk als de methode niet populair wordt en daardoor niet in een standaard bibliotheek voor een woordenboek vergelijk meegenomen wordt.
Lees Diceware er eens op na,zie http://world.std.com/~reinhold/diceware.htmlDeze zin is alleen sterk als de methode niet populair wordt en daardoor niet in een standaard bibliotheek voor een woordenboek vergelijk meegenomen wordt.
Jouw berekening is fout, het moet ~7776^5 zijn voor 5 woorden, ofwel ~2.8x10^19 wachtzinnen. Ongeveer omdat sommige zinnen niet goed zijn, bijvoorbeeld omdat bij hoge uitzondering een semantisch correcte zin zou kunnen worden gegenereerd. Zo zijn er nog een paar kleine reducties, die erg onwaarschijnlijk zijn.
En... de woordenboeken moeten juist wel bekend zijn anders levert het een vals gevoel van veiligheid op (security by obscurity). Ik heb daar al eens wat over geschreven, zie https://www.security.nl/posting/442947#posting443211
Diceware zinnen zijn daarnaast in de praktijk moeilijk te kraken omdat GPU's (nu nog?) moeite hebben met zinnen van meer dan 3 woorden (heb nog steeds geen bevestiging daarvan)
Aardig initiatief van een 11 jarige, die al jong van de sterkte van Diceware op de hoogte is. Maar een wachtwoord moet bij anderen niet bekend zijn, niet bij een systeem beheerder, en ook niet bij deze 11-jarige.
Door Dick99999:
Diceware zinnen zijn daarnaast in de praktijk moeilijk te kraken omdat GPU's moeite hebben met zinnen van meer dan 3 woorden (heb nog steeds geen bevestiging daarvan)
Welke betekenis van het acroniem GPU verwijs je hier naar?Diceware zinnen zijn daarnaast in de praktijk moeilijk te kraken omdat GPU's moeite hebben met zinnen van meer dan 3 woorden (heb nog steeds geen bevestiging daarvan)
Goh, Lastpass geneert automatisch een wachtwoord voor gratis en die zijn nog lastiger ook. Kan in feite ook hiermee geld verdienen of mis ik hier iets?
Maar prijs haar ondernemende geest aan, hopelijk blijft ze dit doorzetten!
Maar prijs haar ondernemende geest aan, hopelijk blijft ze dit doorzetten!
Altijd een moreel dilemma; geld verdienen aan goedgelovige mensen.. Wat zal haar volgende stap zijn, geprinte vingerafdrukken en iris lenzen op bestelling?
Buiten dat weinig mensen zo dom zullen zijn om hun wachtwoord überhaupt met iemand te delen wordt het zo ook een dure grap om meerdere complexe wachtwoorden voor verschillende systemen aan te houden of de wachtwoorden regelmatig te wijzigen.
Gevolg: klanten van deze jonge entrepeneur zullen overal hetzelfde wachtwoord gebruiken en dit zelden wijzigen. Dat maakt het geheime wachtwoordenschriftje van deze 11 jarige wel een behoorlijk aantrekkelijk doelwit.
Buiten dat weinig mensen zo dom zullen zijn om hun wachtwoord überhaupt met iemand te delen wordt het zo ook een dure grap om meerdere complexe wachtwoorden voor verschillende systemen aan te houden of de wachtwoorden regelmatig te wijzigen.
Gevolg: klanten van deze jonge entrepeneur zullen overal hetzelfde wachtwoord gebruiken en dit zelden wijzigen. Dat maakt het geheime wachtwoordenschriftje van deze 11 jarige wel een behoorlijk aantrekkelijk doelwit.
Leuk! Ik vraag me alleen af, of dit wachtwoord "e0@e)4f%E2#zu9)3A1?5^*)>n#g$K" dan voldoende sterk is om te kraken, afhankelijk wat de web-site er mee doet natuurlijk. (encryptie en salt) Daarvan ben je altijd afhankelijk en is moeilijk te bepalen. Ik heb een mail-adres bij KPN, die het wachtwoord afknijpt tot 12 tekens! Waardeloos dus.
Dit wachtwoord is nauwelijks te onthouden en sla ik op in een simpel tekst bestand. Dit tekst-bestand is ingepakt met een RAR-versleuteling en opgeslagen op een (alweer) beveiligde usb-stick.
Als iemand door die 2 buffers heen weet te breken, denkt die het wachtwoord te hebben. Jammer dan.
Ik pas dan de volgende systematiek toe:
Het 2e cijfer (hier een 4) bepaalt, in welke stukken het wachtwoord wordt gehakt. U ziet 3x hetzelfde teken: )
Dat betekent, dat alles achter het laatste ) wordt geknipt en geplakt in het wachtwoord, zodat het werkelijke wachtwoord: >n#g$K3A1?5^*)4f%E2#zu9)e0@e) is. Is het 2e cijfer een 5, dan staan er 4 dezelfde tekens enz.
Dus als de X-geheime dienst mij gaat meppen, kan ik met een gerust hart de 1e 2 wachtwoorden geven, dacht ik zo. Als het wachtwoord het niet doet, dan typen ze iets fout, zeg ik dan. Verlies ik de stick: dan is het helemaal succes ermee.
Ik vraag me alleen af, als je die gebruikte tekens in een kraakprogramma doet, hoelang het programma er dan over doet, om het werkelijke wachtwoord te achterhalen, omdat ze niet alle tekens hoeven te proberen.
Weet iemand dat toevallig?
Dit wachtwoord is nauwelijks te onthouden en sla ik op in een simpel tekst bestand. Dit tekst-bestand is ingepakt met een RAR-versleuteling en opgeslagen op een (alweer) beveiligde usb-stick.
Als iemand door die 2 buffers heen weet te breken, denkt die het wachtwoord te hebben. Jammer dan.
Ik pas dan de volgende systematiek toe:
Het 2e cijfer (hier een 4) bepaalt, in welke stukken het wachtwoord wordt gehakt. U ziet 3x hetzelfde teken: )
Dat betekent, dat alles achter het laatste ) wordt geknipt en geplakt in het wachtwoord, zodat het werkelijke wachtwoord: >n#g$K3A1?5^*)4f%E2#zu9)e0@e) is. Is het 2e cijfer een 5, dan staan er 4 dezelfde tekens enz.
Dus als de X-geheime dienst mij gaat meppen, kan ik met een gerust hart de 1e 2 wachtwoorden geven, dacht ik zo. Als het wachtwoord het niet doet, dan typen ze iets fout, zeg ik dan. Verlies ik de stick: dan is het helemaal succes ermee.
Ik vraag me alleen af, als je die gebruikte tekens in een kraakprogramma doet, hoelang het programma er dan over doet, om het werkelijke wachtwoord te achterhalen, omdat ze niet alle tekens hoeven te proberen.
Weet iemand dat toevallig?
19:27 Door Anoniem: Dat maakt het geheime wachtwoordenschriftje van deze 11 jarige wel een behoorlijk aantrekkelijk doelwit.
Dat laatste heb je er natuurlijk zelf bij verzonnen.leuk initiatief, al ben ik benieuwd of er echt een 11-jarige achter zit (happened before ppl).
maar waarom de passphrases op een papiertje schrijven en deze mailen?
waarom niet de random selected passphrases op de website tonen na betaling?
geen log en de verkoper heeft geen notie van de gekozen passphrases.
heb je zelf ook minder werk aan.
maar waarom de passphrases op een papiertje schrijven en deze mailen?
waarom niet de random selected passphrases op de website tonen na betaling?
geen log en de verkoper heeft geen notie van de gekozen passphrases.
heb je zelf ook minder werk aan.
Door Anoniem: Leuk! Ik vraag me alleen af, of dit wachtwoord "e0@e)4f%E2#zu9)3A1?5^*)>n#g$K" dan voldoende sterk is om te kraken, afhankelijk wat de web-site er mee doet natuurlijk. (encryptie en salt) Daarvan ben je altijd afhankelijk en is moeilijk te bepalen. Ik heb een mail-adres bij KPN, die het wachtwoord afknijpt tot 12 tekens! Waardeloos dus.
Dit wachtwoord is nauwelijks te onthouden en sla ik op in een simpel tekst bestand. Dit tekst-bestand is ingepakt met een RAR-versleuteling en opgeslagen op een (alweer) beveiligde usb-stick.
Als iemand door die 2 buffers heen weet te breken, denkt die het wachtwoord te hebben. Jammer dan.
Ik pas dan de volgende systematiek toe:
Het 2e cijfer (hier een 4) bepaalt, in welke stukken het wachtwoord wordt gehakt. U ziet 3x hetzelfde teken: )
Dat betekent, dat alles achter het laatste ) wordt geknipt en geplakt in het wachtwoord, zodat het werkelijke wachtwoord: >n#g$K3A1?5^*)4f%E2#zu9)e0@e) is. Is het 2e cijfer een 5, dan staan er 4 dezelfde tekens enz.
Dus als de X-geheime dienst mij gaat meppen, kan ik met een gerust hart de 1e 2 wachtwoorden geven, dacht ik zo. Als het wachtwoord het niet doet, dan typen ze iets fout, zeg ik dan. Verlies ik de stick: dan is het helemaal succes ermee.
Ik vraag me alleen af, als je die gebruikte tekens in een kraakprogramma doet, hoelang het programma er dan over doet, om het werkelijke wachtwoord te achterhalen, omdat ze niet alle tekens hoeven te proberen.
Weet iemand dat toevallig?
Dit wachtwoord is nauwelijks te onthouden en sla ik op in een simpel tekst bestand. Dit tekst-bestand is ingepakt met een RAR-versleuteling en opgeslagen op een (alweer) beveiligde usb-stick.
Als iemand door die 2 buffers heen weet te breken, denkt die het wachtwoord te hebben. Jammer dan.
Ik pas dan de volgende systematiek toe:
Het 2e cijfer (hier een 4) bepaalt, in welke stukken het wachtwoord wordt gehakt. U ziet 3x hetzelfde teken: )
Dat betekent, dat alles achter het laatste ) wordt geknipt en geplakt in het wachtwoord, zodat het werkelijke wachtwoord: >n#g$K3A1?5^*)4f%E2#zu9)e0@e) is. Is het 2e cijfer een 5, dan staan er 4 dezelfde tekens enz.
Dus als de X-geheime dienst mij gaat meppen, kan ik met een gerust hart de 1e 2 wachtwoorden geven, dacht ik zo. Als het wachtwoord het niet doet, dan typen ze iets fout, zeg ik dan. Verlies ik de stick: dan is het helemaal succes ermee.
Ik vraag me alleen af, als je die gebruikte tekens in een kraakprogramma doet, hoelang het programma er dan over doet, om het werkelijke wachtwoord te achterhalen, omdat ze niet alle tekens hoeven te proberen.
Weet iemand dat toevallig?
Het kost een gemiddelde gebruiker 5.407285059062444e+24 jaar om "e0@e)4f%E2#zu9)3A1?5^*)>n#g$K" te brute-forcen.
Het is alleen een ellende om dit te onthouden. Dat is de hele filosofie achter het gebruik van passphrases. Makkelijk te onthouden, moeilijk te kraken.
Als een X-geheime dienst jou trouwens gaat meppen om je ww te achterhalen, gaan ze denk ik niet stoppen als jij ze vertelt dat ze een typfout maken. Maar succes daarmee hahaha.
Overigens, waarom doe je zoveel moeite met je textfile (?#!?) waar jij je WW's in plaintext in zet?
Waarom niet gewoon een Keepass database maken (AES, 128-bit blocksize/ 256-bit keysize) met een goede, maar makkelijk te onthouden passphrase? Dit is dusdanig veilig dat je de database zelfs op een cloudserver (ik zou Mega nemen) kan zetten en overal toegang hebt tot je WW's?
27-10-2015, 11:06 door
Reinder
Afgezien van hoe sterk de methode en de wachtwoorden nu precies zijn, je moet bewondering hebben voor de ondernemersgeest en het initiatief van dit meisje. Die komt er wel denk ik. Om d'r te steunen ga ik zodadelijk denk ik eens een mooi wachtwoord bestellen, inclusief mooi kaartje dat je veilig off-line naast je computer kan bewaren.
Door Reinder: Afgezien van hoe sterk de methode en de wachtwoorden nu precies zijn, je moet bewondering hebben voor de ondernemersgeest en het initiatief van dit meisje. Die komt er wel denk ik. Om d'r te steunen ga ik zodadelijk denk ik eens een mooi wachtwoord bestellen, inclusief mooi kaartje dat je veilig off-line naast je computer kan bewaren.
ben benieuwd wat de verzendkosten gaan worden hahaha.
27-10-2015, 16:19 door
Dick99999
Door Anoniem:
De eerste 50 of zo, als je GPU aan Google vraagt :-)Door Dick99999:
Diceware zinnen zijn daarnaast in de praktijk moeilijk te kraken omdat GPU's moeite hebben met zinnen van meer dan 3 woorden (heb nog steeds geen bevestiging daarvan)
Welke betekenis van het acroniem GPU verwijs je hier naar?Diceware zinnen zijn daarnaast in de praktijk moeilijk te kraken omdat GPU's moeite hebben met zinnen van meer dan 3 woorden (heb nog steeds geen bevestiging daarvan)
@ 08:47 door Anoniem: dank voor uw antwoord. OT Ik vind Keepass een beetje onhandig, txt-file vind ik makkelijker.
En als ik dood ben, kunnen m'n huisgenoten er ook wat mee.
En als ik dood ben, kunnen m'n huisgenoten er ook wat mee.
28-10-2015, 13:31 door
Reinder
Door Anoniem:
ben benieuwd wat de verzendkosten gaan worden hahaha.
Door Reinder: Afgezien van hoe sterk de methode en de wachtwoorden nu precies zijn, je moet bewondering hebben voor de ondernemersgeest en het initiatief van dit meisje. Die komt er wel denk ik. Om d'r te steunen ga ik zodadelijk denk ik eens een mooi wachtwoord bestellen, inclusief mooi kaartje dat je veilig off-line naast je computer kan bewaren.
ben benieuwd wat de verzendkosten gaan worden hahaha.
Helaas, shipping is alleen binnen de United States... Ik denk omdat de overheid het te sterke encryptie vind en het dus onder exportregulering valt...hmm ja dat zal het zijn denk ik.
Ach, mocht iemand haar schriftje te pakken krijgen is natuurlijk de vraag voor de vinder:
a: wie gebruikt welk wachtwoord?
b: voor welk account wordt het gebruikt
zolang je dat niet weet heb je alleen een schriftje met wachtwoorden en dat is net zo willekeurig als ieder andere lijst met willekeurige tekens.....toch??
a: wie gebruikt welk wachtwoord?
b: voor welk account wordt het gebruikt
zolang je dat niet weet heb je alleen een schriftje met wachtwoorden en dat is net zo willekeurig als ieder andere lijst met willekeurige tekens.....toch??
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
