image

Britse overheid adviseert wachtwoord van 3 woorden

woensdag 26 oktober 2016, 16:24 door Redactie, 7 reacties

De Britse overheid heeft nieuw advies voor sterke wachtwoorden online gezet en adviseert nu om een wachtwoord bestaande uit drie willekeurige woorden te kiezen. Zwakke wachtwoorden kunnen aanvallers namelijk helpen om toegang tot accounts te krijgen, wat weer tot identiteitsfraude kan leiden.

"Ons onderzoek laat zien dat de beste manier om een sterk wachtwoord te maken dat je kunt onthouden het gebruik van drie willekeurige woorden is. Het maakt niet uit wat je inspireert, van het kijken naar sport of uit eten gaan, willekeurig nadenken is de beste manier om jezelf op internet te beschermen", aldus een woordvoerder van het National Cyber Security Centre (NCSC), dat onderdeel van de Britse inlichtingendienst GCHQ is.

De woordvoerder benadrukt dat e-mail-, social media- en online bankaccounts te belangrijkste accounts van internetgebruikers zijn. "Het is dus belangrijk om voor die accounts sterke, verschillende wachtwoorden te gebruiken." Uit cijfers van de Britse overheid zou echter blijken dat pas 35% van de Britse internetgebruikers het advies van drie willekeurige wachtwoorden heeft opgevolgd. Om het advies onder de aandacht te brengen is #thinkrandom in het leven geroepen.

"Traditioneel werd gedacht dat een sterk wachtwoord uit verschillende symbolen, cijfers en hoofdletters bestond. Hoewel dit voor een vrij veilig wachtwoord zorgt, zijn ze lastiger te onthouden. Dit houdt in dat mensen of zwakke wachtwoorden kiezen of ze opschrijven. De makkelijkste manier om een sterk wachtwoord te kiezen dat te onthouden is, is het gebruik van drie willekeurige woorden", zegt rechercheur Rob King.

"Het aanpakken van cybercrime is niet alleen een gezamenlijke taak van opsporingsdiensten en overheid, maar vereist ook waakzaamheid van het publiek", gaat minister van Veiligheid Ben Wallace verder. "Ondanks dat de overheid de komende jaren 1,9 miljard pond in cybersecurity investeert kunnen we allemaal het verschil maken en onszelf via een aantal eenvoudige stappen tegen cybercrime beschermen, zoals het gebruik van drie willekeurige wachtwoorden om een sterk wachtwoord te maken."

Reacties (7)
26-10-2016, 16:52 door Anoniem
Ja en als iedereen dat doet is het super makkelijk om een wordlist te maken voor een brute-force aanval. De kracht zit hem er juist in dat iedereen iets unieks gebruikt waardoor je geen beperkte variabelen hebt waar je een wordlist op kan baseren.
26-10-2016, 17:18 door Erik van Straten
Uit dat nieuwe advies [1]:
There are some simple memory tricks and techniques that could help you if you’re struggling to remember your strong passwords. Just don’t write them down anywhere!

Lekker in tegenstrijd met [2], daaruit:
Tip 2: Help users cope with password overload

Users are generally told to remember passwords, and to not share them, re-use them, or write them down. But the typical user has dozens of passwords to remember – not just yours. An important way to minimise the password burden is to only implement passwords when they are really needed. Systems and services with no security requirements should be free from password control. Technical solutions (such as single sign-on and password synchronisation) can also reduce the burden on staff. These may incur additional costs, but this is outweighed by the benefits they bring to the whole system security.

You should also provide appropriate facilities to store recorded passwords, with protection appropriate to the sensitivity of the information being secured. Storage could be physical (for example secure cabinets) or technical (such as password management software), or a combination of both. The important thing is that your organisation provides asanctioned mechanism to help users manage passwords, as this will deter users from adopting insecure ‘hidden’ methods to manage password overload.

Password management software

Software password managers can help users by generating, storing and even inputting passwords when required. However, like any piece of security software, they are not impregnable and are an attractive target for attackers.

Het is voor normale mensen onmogelijk om veel wachtwoorden te onthouden, vooral als je ze niet elke dag gebruikt. Het advies in [1] vind ik daarom onzinnig, waarbij ik het volledig eens ben met het advies in [2] (en ook met [3] en een handig grafisch overzich in [4]).

Vanzelfsprekend is het wel belangrijk om een als veilig bekend staande password manager te gebruiken en er rekening mee te houden dat als er malware op jouw computer/portable device draait, aanvallers wellicht ook bij al jouw wachtwoorden kunnen. Toch is dit m.i. het veiligste compromis, want je kunt voor elke website een random wachtwoord genereren. Alle adviezen om "iets" te doen (zoals 3 woorden gebruiken met streepjes ertussen) verlagen de entropie aanzienlijk en kunnen al snel tot raadbare wachtwoorden leiden.

[1] https://cyberaware.gov.uk/passwords
[2] https://www.ncsc.gov.uk/guidance/password-guidance-simplifying-your-approach
[3] https://www.ncsc.gov.uk/articles/problems-forcing-regular-password-expiry
[4] https://www.ncsc.gov.uk/content/files/protected_files/guidance_files/NCSC%20Password%20Security.pdf
26-10-2016, 21:23 door Vixen - Bijgewerkt: 26-10-2016, 21:25
[...] Het maakt niet uit wat je inspireert, van het kijken naar sport of uit eten gaan, willekeurig nadenken is de beste manier om jezelf op internet te beschermen [...]
Oke. Een extreem groot deel (Ik zou durven gokken op >10%) van de woorden die mensen met deze handleiding kiezen zal waarschijnlijk met voedsel of sport te maken hebben.
Daar hebben we flaw nummer 1.

Stel, er zijn 3 miljoen zelfstandig naamwoorden in een taal. Daarvan zijn er een half miljoen vaak genoeg gebruikt om bij mensen te binnen kunnen schieten bij 100% random denken. (theoretisch dus, als een mens 100% random kan kiezen)
500 000 woorden dus. 3 woorden in een wachtwoord.

500000^3 = 1.25e+17
Dat zijn dan 125 000 000 000 000 000 combinaties.

Bij een wachtwoord van 10 random alfabetische letters (hoofd en kleine letters) heb je 52 mogelijkheden op 10 posities.
52^10 = 1.4455511e+17
Dat zijn dan 144 555 110 000 000 000 combinaties.
Geen groot verschil daar dus.

Maar wat als bijvoorbeeld blijkt dat een groep van 10 000 zelfstandig naamwoorden bijna altijd (bijvoorbeeld in 80% van de gevallen) gekozen worden?
10000^3 = 1e+12
Dan heb je dus nog maar 1 000 000 000 000 veelgebruikte combinaties.

Een goede grafische kaart (de mijne even als voorbeeld genomen) kan 1 GigaHash per seconde berekenen. Als er dus een hashdatabase gehackt is (en de salt is bekend, indien gebruikt), kan ik in duizend seconden dus al waarschijnlijk minimaal 1 wachtwoord kraken. En als veel mensen dus, zoals ik al zei, een klein groepje woorden kiezen kan ik in duizend seconden misschien wel duizend wachtwoorden kraken...

Laat staan de groep van bijvoorbeeld 1 000 woorden die je bij het voorbeeld "sport en eten" kan bedenken. Nog minder mogelijkheden = nog sneller gekraakt.

Ik heb zelf niet heel veel vertrouwen in dit advies, gezien er toch snel "menselijke fouten" worden gemaakt, omdat mensen heel slecht random kunnen kiezen. Naar mijn idee zullen mensen woorden kiezen die ze vaak tegenkomen, of bijvoorbeeld in de afgelopen dagen nog gehoord hebben...

Vixen

Mijn hierboven voorgestelde theorie is volledig op voorstellingen en voorspellingen gebaseerd, dus echte getallen kunnen (erg) afwijken. Lees het dus ook als theorie, en absoluut niet als feit of waarheid.
27-10-2016, 10:26 door Anoniem
Ik herhaal opnieuw het advies van xkcd.com dat het advies onderschrijft, alhoewel zij adviseren om een combinatie van minstens 4 woorden te gebruiken, verbonden door " - ".
https://sites.google.com/site/easylinuxtipsproject/password

Zie ook de links in het artikel bij "You can find more explanations here (simple) and here (extensive)."
27-10-2016, 11:41 door Anoniem
Ik begrijp jullie zorg maar de veronderstelling dat alle burgers direct het advies van de NCSC gaan opvolgen, lijkt mij niet terecht. Het zal dus wel loslopen, er blijft genoeg variatie over.
28-10-2016, 21:26 door waaromdan
Uit cijfers van de Britse overheid zou echter blijken dat pas 35% van de Britse internetgebruikers het advies van drie willekeurige wachtwoorden heeft opgevolgd.
35% van ALLE Britse internetgebruikers heeft het advies netjes opgevolgd? Dat lijkt me behoorlijk veel. Foutje zeker. Men mag blij zijn als dat percentage ooit gehaald wordt.
08-11-2016, 10:02 door Dick99999 - Bijgewerkt: 08-11-2016, 10:04
Ik heb dit nieuws gemist. Gelukkig volgt maar 35% dit advies op volgens een van de referenties. Juist in Engeland zouden ze beter moeten weten, Diceware, de moeder der passphrases, adviseert 6 woorden in "Time to add a word ", zie https://diceware.blogspot.nl/2014/03/time-to-add-word.html.

Als je ook factoren als 'lage gevolgschade als het account gehackt wordt', 'een sterke hash toegepast' en 'aantal woorden in het gebuikte woordenboek', dan kan je soms met 4 woorden een hele goede bescherming krijgen, als ze niet te kort zijn.

Bijvoorbeel SausLoepWeerVoel is gemiddeld in 3,8 maanden te kraken als WiFi key, maar als het met MD5 gebruikt wordt, is het in gemiddeld 4 uur te vinden. Uitgaande dat het kraak systeem 8 moderne GPU kaarten heeft en het woordenboek bestaat uit 3000 korte Nederlandse woorden.

@Vixen , 3 miljoen als basis voor jouw theorie is theoretisch misschien 50.000 in het Nederlands en vermoedelijk zelfs 15.000. Dan wordt de theorie over wat gelijk is, wel anders. Ziehttps://en.wikipedia.org/wiki/Password_strength#Random_passwords
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.