image

Expert: Aqenbpuu geen slecht wachtwoord

vrijdag 27 januari 2017, 12:10 door Redactie, 12 reacties

De nieuwe persvoorlichter van het Witte Huis Sean Spicer verstuurde gisteren twee tweets met wat volgens sommige mensen wachtwoorden zijn, maar een bekende beveiligingsexpert stelt dat het geen slechte wachtwoorden zouden zijn zoals sommige critici claimen.

Het gaat om tweets met de boodschap: n9y25ah7 en Aqenbpuu. Volgens beveiligingsexpert Robert Graham, ontwikkelaar van de BlackICE firewall en expert op het gebied van deep packet inspection (DPI), gaat het om adequate wachtwoorden. "Misschien niet de beste, maar zeker niet 'shitty'", zo laat hij op zijn eigen blog weten. Volgens de expert hangt het af van het dreigingsmodel. Veelvoorkomende dreigingen zijn het hergebruik van wachtwoorden en phishing, waar de sterkte van het wachtwoord niet uitmaakt.

Waar de sterke wel uitmaakt is als Twitter wordt gehackt en de wachtwoordhashes worden gestolen. Twitter maakt gebruik van het bcrypt-algoritme voor het hashen van wachtwoorden. Dit is een vrij sterk hashing-algoritme dat het lastig maakt voor aanvallers om de wachtwoordhashes te kraken en zo de oorspronkelijke wachtwoorden te achterhalen. Met een standaard computer zou het kraken van het wachtwoord volgens Graham 20 jaar duren. Een botnet of cloudcomputers zouden het wachtwoord echter in dagen kunnen kraken. "Het is geen goed wachtwoord, maar ook geen slecht wachtwoord." Het hacken van het Twitter-account zou een klein incident zijn. Iemand zou er niet veel middelen in investeren om het te kraken, gaat de expert verder.

Acht karakters voldoende

Volgens Graham is security een afweging. "Een berg goud zou je met Fort Knox-achtige maatregelen beschermen, maar dat zou je niet doen bij een berg hout. Hetzelfde geldt voor wachtwoorden. Zolang je wachtwoorden niet hergebruikt of slachtoffer van phishing wordt is een wachtwoord van acht karakters met kleine letters voldoende." Dit geldt helemaal als tweefactorauthenticatie is ingeschakeld. "In dat soort gevallen is een dergelijk wachtwoord meer dan voldoende", laat de expert weten. Spicer heeft de tweets inmiddels verwijderd en nog geen uitleg gegeven wat ze betekenden.

Image

Reacties (12)
27-01-2017, 12:36 door Anoniem
Niet vergeten: Welkom123!

Hoofdletters, Kleine letters, cijfers en speciaal teken. Super sterk.... maar dan wel vooral buiten Nederland :P.
27-01-2017, 12:46 door Anoniem
Ik weet waar jij gewerkt hebt lol Maar dat heb ik daar laten veranderen.
27-01-2017, 12:51 door rob
Fijn dat dit ook eens genoemd wordt.
Wat ik zelf ook wel een belangrijke overweging vindt, is of de service bruteforceable is. Een ftp account waarbij de ftp server is ingericht om een account te blokken na x aantal mislukte pogingen, daarvoor is wellicht een kort 6-8 char (random) password afdoende. Vooral als dit geen ftps is.
27-01-2017, 12:54 door Anoniem
Security is een afweging, totdat je die zo slecht maakt dat bruteforcen sneller werkt dan het bouwen van hashtables... zoals hier.
27-01-2017, 13:01 door Anoniem
Door rob: Fijn dat dit ook eens genoemd wordt.
Wat ik zelf ook wel een belangrijke overweging vindt, is of de service bruteforceable is. Een ftp account waarbij de ftp server is ingericht om een account te blokken na x aantal mislukte pogingen, daarvoor is wellicht een kort 6-8 char (random) password afdoende. Vooral als dit geen ftps is.
Ftp is sowieso uit den boze. Sftp is wel het minimum.

Volgens mij maakt het bij brute force niet uit of je wel of geen hoofdletters/cijfers combinatie gebruikt. Hoe langer hoe beter, meer combinaties om te proberen. Maar misschien zit ik ernaast...
27-01-2017, 13:49 door karma4
Door Anoniem: ...
Ftp is sowieso uit den boze. Sftp is wel het minimum.
Wat te denken van een passwordloze download zonder user/password. kan gebruikt worden voor OSS info. Zoiets als html.... Html en meer wordt toch eerst lokaal gezet (dowload) voordat de browser aan de slag kan.
27-01-2017, 14:21 door Anoniem
Wat ook heel belangrijk is, is hoe het systeem dat wachtwoord verder verwerkt.
Bijvoorbeeld in geval van een Wifi-wachtwoord is een wachtwoord van 8 karakters tegenwoordig toch echt te weinig.
27-01-2017, 15:56 door Anoniem
Niet vergeten: Welkom123![

Hoe weet jij mijn wachtwoord ? Ik ga nu aangifte doen !
27-01-2017, 22:00 door Briolet
Met een standaard computer zou het kraken van het wachtwoord volgens Graham 20 jaar duren.

Volgens mij moet dat veel sneller kunnen omdat deze woorden in een Tweet staan. Zulke wachtwoorden zijn waarschijnlijk met een uitgebreide woordenboek aanval te kraken. Als je op "Aqenbpuu" googled vind je al bijna 3000 treffers.
27-01-2017, 22:15 door Anoniem
Een berg goud zou je met Fort Knox-achtige maatregelen beschermen, maar dat zou je niet doen bij een berg hout.
Dat hangt er vanaf, als onze beschaving instort, dan zou het best kunnen dat een berg hout meer waard wordt dan een berg goud.

Met een berg hout kan je je verwarmen en desnoods kan je het opeten, met goud kan je niets, dat is alleen dood gewicht.
27-01-2017, 22:18 door Anoniem
Als je op "Aqenbpuu" googled vind je al bijna 3000 treffers.

Niet dat ik een fan ben van Sphincter, maar hoeveel treffers had je vorige week op "Aqenbpuu", ik gok heel wat minder.
28-01-2017, 07:39 door Anoniem
Maar WAAROM verstuurde hij deze tweets?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.