image

Welk wachtwoord is beter: ieatkale88 of iloveyou88

vrijdag 13 mei 2016, 14:18 door Redactie, 17 reacties

Welk wachtwoord is beter: ieatkale88 of iloveyou88. Volgens deelnemers aan een Amerikaans onderzoek zijn beide wachtwoorden ongeveer even veilig, aangezien het om woorden uit een woordenboek gaat aangevuld met cijfers. De werkelijkheid is anders, zo stellen onderzoekers van de Carnegie Mellon University. Volgens de onderzoekers toont hun onderzoek aan dat gebruikers een verkeerde perceptie hebben van wat een veilig wachtwoord is en hoe aanvallers precies te werk gaan bij het kraken van wachtwoorden.

Het onderzoek (pdf) liet deelnemers verschillende wachtwoorden beoordelen. In het geval van ieatkale88 of iloveyou88 werden beide wachtwoorden als even veilig ingeschat. De onderzoekers ontwikkelden een model om beide wachtwoorden te kraken, waarbij het blijkt dat ieatkale88 vier miljard meer pogingen vereist om te kraken, aangezien de woordenreeks 'iloveyou' één van de meestgebruikte in wachtwoorden is.

"Hoewel deelnemers over het algemeen goed wisten wat een wachtwoord sterk of zwakker maakt, waren er ook belangrijke misvattingen over hoe wachtwoorden worden aangevallen en gingen deelnemers er ten onrechte vanuit dat wachtwoorden slechts een klein aantal pogingen om geraden te worden moeten kunnen weerstaan", zegt onderzoeker Blase Ur. Zo dachten deelnemers dat een wachtwoord met cijfers en symbolen een sterk wachtwoord is, wat niet altijd het geval is.

Zo vonden de deelnemers dat p@ssw0rd veel veiliger is dan pAsswOrd, maar uit het aanvalsmodel van de onderzoekers blijkt dat het kraken van pAssw0rd 4.000 meer pogingen vereist dan p@ssw0rd. Voor veel kraakprogramma's is het voorspelbaar om letters door getallen te veranderen. Een mogelijke oplossing voor het probleem is om gebruikers meer informatie te geven. Zo laten sommige websites wel zien dat de gebruiker een zwak of sterk wachtwoord kiest, maar wordt er niet uitgelegd waarom.

Reacties (17)
13-05-2016, 14:26 door Anoniem
Hoeveel passwords worden daadwerkelijk gekraakt vandaag de dag. En hoeveel onderschept met keyloggers en dergelijke ?
13-05-2016, 15:43 door Anoniem
Ja, en als ze het al doen (uitleggen waarom het zo is, dan is de redenering zo'n bullshit dat je daar toch niets van gelooft.

Zo heb ik een klant, en die beweert dat het wachtwoord 112233 veilig is voor 3 maanden gebruik, en het wachtwoord "d1tW@chtWOORD1s3chtveeltelangomtehacken123" als onveilig bestempeld. omdat er 3 opeenvolgende characters gebruikt worden...
13-05-2016, 16:31 door Anoniem
Jammer dat er tijd verkwist wordt aan dit soort onderzoek wat beter besteed had kunnen worden om het hele
systeem van "wachtwoord" wat totaal onwerkbaar geworden is te vervangen door iets beters!
13-05-2016, 16:50 door Anoniem
ikwordmoevanaldiepaswoordonderzoekjes666
13-05-2016, 16:52 door Dick99999 - Bijgewerkt: 13-05-2016, 16:54
ieatkale is zowel een tag op instagram als op twitter. En dus is het zeer makkelijk te kraken met een woordenlijst met zulke tags. 4 miljard meer lijkt mij daarom niet goed, maar wel 'model-goed' als het gebruikte model fout is.
13-05-2016, 23:03 door Anoniem
Waar gaat dit over, veilig is simpelweg niet van toepassing op de genoemde voorbeelden.
13-05-2016, 23:40 door Anoniem
Makkelijke onderzoekjes. Beetje rekenwerk. Klaar. Maar onderzoeken hoeveel schade er nu eigenlijk echt wordt aangericht - te ingewikkeld. Zie ook: discussie over frequent veranderen van wachtwoorden. En (nog erger); wachtwoorden vervangen door iets (technisch) "beters", meestal biometrie.

Mijn vuistregel is dat 99% van alle data die over het net gaan vol-ko-men oninteressant is voor hackers cs. Wel voor andere partijen, die kunnen zorgen dat je out-of-the-blue moeilijkheden kunt krijgen bij kredieten, reisdocumenten, keyless entries enzovoorts. Kleine kans, grote gevolgen, irreparabel want niet reconstrueerbaar. Maar daar helpt geen wachtwoord of oogscan tegen.
14-05-2016, 12:29 door Anoniem
Mijn wachtwoord is meestal: geheim
14-05-2016, 14:52 door Anoniem
Door Anoniem: Mijn wachtwoord is meestal: geheim
Hé dat is handig. Mijn wachtwoord ook!
Dus als ik het mijne vergeten ben, vraag ik het even aan jou. Goed?
14-05-2016, 18:43 door Anoniem
Is goed... ;)

Het blijft: geheim.
14-05-2016, 21:06 door Anoniem
Geen van beide!!
14-05-2016, 21:20 door Anoniem
Door Anoniem:
Door Anoniem: Mijn wachtwoord is meestal: geheim
Hé dat is handig. Mijn wachtwoord ook!
Dus als ik het mijne vergeten ben, vraag ik het even aan jou. Goed?
Mag ik ook mee doen, ben nog al vergeetachtig, kan ik altijd mijn wachtwoord aan jullie vragen,
ik maak mijn ook geheim, alvast bedank en groetjes.
14-05-2016, 21:44 door Anoniem
Door Anoniem: Jammer dat er tijd verkwist wordt aan dit soort onderzoek wat beter besteed had kunnen worden om het hele
systeem van "wachtwoord" wat totaal onwerkbaar geworden is te vervangen door iets beters!
Wat dan? Biometrisch? No go. Posfoto herkenning? No way. Token generator? Conceptueel het net niet. En nu?
15-05-2016, 18:23 door Anoniem
Wat dan? Biometrisch? No go. Posfoto herkenning? No way. Token generator? Conceptueel het net niet. En nu?
Is nu wel duidelijk toch? Je wachtwoorden allemaal "geheim" houden...
15-05-2016, 20:47 door Anoniem
Door Anoniem:
Door Anoniem: Jammer dat er tijd verkwist wordt aan dit soort onderzoek wat beter besteed had kunnen worden om het hele
systeem van "wachtwoord" wat totaal onwerkbaar geworden is te vervangen door iets beters!
Wat dan? Biometrisch? No go. Posfoto herkenning? No way. Token generator? Conceptueel het net niet. En nu?

Misschien vormt SQRL binnenkort wel een alternatief.
17-05-2016, 08:49 door Arie1980
Als mensen al simpelweg een passwordmanager icm zoveel mogelijk 2step authenticatie gaan gebruiken en voor elke site een password laten genereren, dan voorkomen we al een hoop ellende.
Het grootste probleem is niet zozeer die zwakke wachtwoorden, maar het hergebruiken van wachtwoorden. Waarom? Als er ook maar 1 site is die een zwakke implementatie heeft om wachtwoorden op te slaan, dan kunnen andere sites dat wel leuk gedaan hebben maar das compleet waardeloos en zijn andere beschermingsmaatregelen absoluut noodzakelijk. Dat heb ik ondervonden bij klanten van me die duidelijk last hadden van oa. de Adode en LinkedIN hacks. De hackers hadden uiteindelijk een slagingskans van 7% door de gehackte user+pass te proberen.
Ook bijvoorbeeld FaceBook is nog steeds niet goed beschermd tegen dit soort aanvallen. Mijn klanten immidels wel :)
17-05-2016, 13:23 door Anoniem
hmmm ben m'n wachtwoord voor Security.nl kwijt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.