image

EFF lanceert woordenlijst voor willekeurige passphrases

woensdag 20 juli 2016, 10:45 door Redactie, 8 reacties

De Amerikaanse burgerrechtenbeweging EFF heeft een woordenlijst gelanceerd die internetgebruikers moet helpen bij het genereren van willekeurige passphrases. Passphrases zijn wachtwoorden die uit meerdere woorden bestaan. Het voordeel is dat door de lengte passphrases lastiger te kraken en te raden zijn dan wachtwoorden. Doordat het echter om een reeks woorden gaat zijn die voor de gebruiker eenvoudiger te herinneren.

Aangezien mensen niet goed zijn in het kiezen van willekeurige woorden voor hun passphrases, zijn er systemen bedacht die willekeurige passphrases genereren. De bekendste woordenlijst is de Diceware-lijst van Arnold Reinhold die in 1995 werd gepubliceerd en 7776 woorden bevat. Door verschillende keren met een dobbelsteen te rollen komt er een getal uit, dat met een woord op de woordenlijst overeenkomt, vandaar ook de naam Diceware. Op deze manier kan er geheel willekeurig een passphrase van verschillende woorden worden samengesteld.

Hoewel de lijst al 20 jaar bestaat is er volgens de EFF ruimte voor verbeteringen. Zo zou de gebruiksvriendelijkheid van de lijst, doordat sommige woorden lastig te onthouden of te spellen zijn, te wensen overlaten. Ook zou de lijst vulgaire woorden bevatten. Daarom besloot de burgerrechtenbeweging een eigen woordenlijst van 7776 woorden (txt) samen te stellen, waarbij vreemde, korte en vulgaire woorden alsmede andere kritiekpunten zijn verholpen. De veiligheid van passphrases die via beide lijsten worden gegenereerd is volgens de EFF identiek. De verschillen zouden dan ook in de bruikbaarheid en niet in de veiligheid liggen. Voor de meeste gebruikers adviseert de burgerrechtenbeweging een passphrase van zes woorden.

Reacties (8)
20-07-2016, 11:03 door Anoniem
Een vraag van een leek voor de experts: Hoe is zo'n systeem niet vatbaar om te gebruiken als een soort rainbow table, die alle mogelijke combinaties van die 4 of 5 woorden probeert?
20-07-2016, 11:15 door PietdeVries
Voordeel van die lijst is dat je daarmee dan weer makkelijk John the Ripper wachtwoorden kan voeren in plaats van brute-force...7000 woorden is niet overdreven veel, en als een gebruiker er 'maar' 3 kiest, dan jast John redelijk snel alle mogelijke combinaties erdoorheen...
20-07-2016, 12:54 door User2048
EFF adviseert om zes woorden te gebruiken in de passphrase. Het aantal mogelijkheden is dan 7776^6=221.073.919.720.733.357.899.776. Dat is veel meer dan een wachtwoord van acht willekeurige karakters, iets wat doorgaans geadviseerd wordt.
20-07-2016, 13:21 door PietdeVries - Bijgewerkt: 20-07-2016, 13:23
Door User2048: EFF adviseert om zes woorden te gebruiken in de passphrase. Het aantal mogelijkheden is dan 7776^6=221.073.919.720.733.357.899.776. Dat is veel meer dan een wachtwoord van acht willekeurige karakters, iets wat doorgaans geadviseerd wordt.

Als die zes woorden gemiddeld 5 karakters lang zijn, dan kom je op een passphrase van 30 karakters (plus evt spaties). Probeer dat maar eens foutloos in te vullen op je iPhone of Samsung keyboard - de kans dat 't goed gaat is ongeveer 1 op 221.073.919.720.733.357.899.776 ;-)

Edit: de gemiddelde wachtwoordlengte van de diceware lijst is 40768/7789 = 5.12 karakters...
20-07-2016, 16:42 door Dick99999 - Bijgewerkt: 20-07-2016, 16:43
De EFF geeft aan verschillende lijsten te hebben, ook 1 kortere lijst met korte woorden, die dan natuurlijk iets minder veilig is. Het grote verschil met Diceware is dat deze lijsten heeft in bijna 20 talen. Ik vind dat meer gebruiksvriendelijkheid ook betekent 'woorden in je eigen taal'. Overigens heb ik enige jaren geleden Nederlandse lijsten gepubliceerd vanuit dezelfde standpunten. Ook 1 lijst met korte woorden voor sites die max 20 tekens toestaan. Zie SimThrow op https://itura.nl/infosec.html

Door PietdeVries: Voordeel van die lijst is dat je daarmee dan weer makkelijk John the Ripper wachtwoorden kan voeren in plaats van brute-force...7000 woorden is niet overdreven veel, en als een gebruiker er 'maar' 3 kiest, dan jast John redelijk snel alle mogelijke combinaties erdoorheen...
OK, maar niemand in de passphrase community adviseert 3 woorden. Probeer het dan eens met 5 of 6 woorden. Langzaam tot eeuwig is dan een betere uitdrukking voor de snelheid. En de vraag kan John wel 5 of 6 lijsten aan?
20-07-2016, 18:20 door Anoniem
Door PietdeVries:
Als die zes woorden gemiddeld 5 karakters lang zijn, dan kom je op een passphrase van 30 karakters (plus evt spaties). Probeer dat maar eens foutloos in te vullen op je iPhone of Samsung keyboard - de kans dat 't goed gaat is ongeveer 1 op 221.073.919.720.733.357.899.776 ;-)

Onzin, ik heb er eentje van 32 letters en cijfers en gaat tot nu toe vrijwel altijd goed (of ik moet gedronken hebben).
20-07-2016, 19:16 door karma4
Door Anoniem:
Onzin, ik heb er eentje van 32 letters en cijfers en gaat tot nu toe vrijwel altijd goed (of ik moet gedronken hebben).
Ik heb ook genoeg problemen met het intoetsen via zo'n smartphone, het moet ook nog blind ingevoerd worden. Het gaat er om wat de meerderheid van de mensen er mee kan leef je eens in, jij kan best die unieke uitzondering zijn.

3 woorden uit een woordenschat van 8K. Dat zij 8k ** 3 = 512 G (512.000.000.000) Met 3 tekens uit de utf-8 reeks (32k per teken) zit je 32768 G. Met de beperking naar veel gebruikte woorden/tekens en veel gebruikte combinaties zal er via Rainbows uiteindelijk makkelijk te kraken zijn Het is wachten op de gelekte databases met gerkraakte passphrases..
20-07-2016, 20:44 door Dick99999 - Bijgewerkt: 20-07-2016, 20:48
Door karma4:
[....]
3 woorden uit een woordenschat van 8K. Dat zij 8k ** 3 = 512 G (512.000.000.000) Met 3 tekens uit de utf-8 reeks (32k per teken) zit je 32768 G. Met de beperking naar veel gebruikte woorden/tekens en veel gebruikte combinaties zal er via Rainbows uiteindelijk makkelijk te kraken zijn Het is wachten op de gelekte databases met gerkraakte passphrases..
Door PietdeVries: Voordeel van die lijst is dat je daarmee dan weer makkelijk John the Ripper wachtwoorden kan voeren in plaats van brute-force...7000 woorden is niet overdreven veel, en als een gebruiker er 'maar' 3 kiest, dan jast John redelijk snel alle mogelijke combinaties erdoorheen...
Waar komt dat getal 3 toch vandaan? Zelfs de fameuze phrase correct horse battery staple bestond uit 4 woorden.

Door User2048: EFF adviseert om zes woorden te gebruiken in de passphrase. Het aantal mogelijkheden is dan 7776^6=221.073.919.720.733.357.899.776. Dat is veel meer dan een wachtwoord van acht willekeurige karakters, iets wat doorgaans geadviseerd wordt.
User 2048 haalt de EFF goed aan: 6 woorden. En de orde grootte van de berekening is ook goed. Maar in die formule wordt o.a. geen rekening gehouden met het onbekende aantal woorden en niet met scheidingstekens tussen de woorden.

Door Anoniem: Een vraag van een leek voor de experts: Hoe is zo'n systeem niet vatbaar om te gebruiken als een soort rainbow table, die alle mogelijke combinaties van die 4 of 5 woorden probeert?
Bij meer dan 3 woorden is een rainbow table niet meer haalbaar (4 geeft 3E17 mogelijke zinnen), nog los van het feit dan rainbow tables alleen voor ongezouten hahshes bruikbaar zijn. En wie gebruikt die nog ........?

Als je de gegenereerde zin wilt versterken, pas dan het Diceware advies toe: voeg 1 willekeurig teken toe op een willekeurige plaats. Dit is bijna gelijk aan een extra woord in de passphrase. En veelal komt 1 woord daardoor niet voor in het woordenboek.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.