Nu je het met de wereld gedeeld hebt is het vrij simpel, natuurlijk.

Maar om hier een beetje inzicht in te krijgen moet je de vraag omdraaien. "Hoe kom ik binnen zonder dat ik jouw wachtwoord ken?" En dan wordt het me toch ingewikkeld. Dus het is niet echt een makkelijke vraag om een eenduidig antwoord op te krijgen. Maar als we ons beperken tot het scenario waar een lijst hashes gejat is waar je per bruut proberen passende invoer voor probeert te vinden, het volgende:

Het grote voordeel van zo'n lange zin is dat'ie veel makkelijker te onthouden is voor mensen. Het nadeel is weer dat het eigen aanvalswegen opent, bijvoorbeeld door willekeurige stukken uit willekeurige lappen tekst als aanvalswoordenlijst te gaan gebruiken. Wat je wil is toch zoveel mogelijk entropie in je wachtwoord, en zodra je correcte grammatica en spelling gebruikt zakt die dramatisch, bijvoorbeeld. Dus om nu te zeggen dat een lange zin automatisch beter is dan een onmogelijk te onthouden reeks letters, cijfers, en leestekens? Mischien is dat wat te simpel gedacht.

In dit scenario is het meestal voldoende om een wachtwoord te hebben dat sterker is (==minder snel gevonden wordt) dan een goed deel van de rest, omdat het een aanvaller meestal niet om jouw specifieke wachtwoord te doen is, maar gewoon een wachtwoord (of een stel wachtwoorden) waar'ie wat mee kan. Maar ook dat is lang niet altijd het geval. En dat heeft dan weer gevolgen hoe je de dreiging van wachtwoordraden moet zien. Zie je hoe zelfs deze versimpeling langzamerhand toch weer ingewikkelder begint te worden?

Om wat meer inzicht te proberen te krijgen kan je naar wachtwoordkraakprogrammas gaan kijken, en naar de lijsten van veelgevonden wachtwoorden, en zo is er nog wel meer te vinden. Maar staar je er ook weer niet dood op, want als je bijvoorbeeld zelf een webapp knutselt en je hebt supergoede wachtwoordbehandeling, maar een aanvaller kan simpelweg "langs de controlepoortjes wandelen", dan heb je nog niets. Dus het is maar een deel van het hele plaatje.

Wil je dieper, ga een curcus crypto doen, want dat geeft je de onderbouwing voor "cryptographic hash" waar wachtwoordmechanismen meestal op gebouwd zijn. (Er is bv. een "MOOC" van Dan Boneh.) En ga dan kijken wat er zoal in de praktijk gebeurt. Soms hele slimme dingen, vaak zat hele domme dingen. Het is ondertussen helemaal hip om geheel van wachtwoorden af te willen stappen, bijvoorbeeld, maar de meestal voorgestelde alternatieven of toevoegingen blijken maar al te vaak meer buzzword dan nuttig, soms zelfs ontzettend schadelijk. Het is op zich hele interessante materie en het laatste woord is nog lang niet gezegd.

<<Het nadeel is weer dat het eigen aanvalswegen opent, bijvoorbeeld door willekeurige stukken uit willekeurige lappen tekst als aanvalswoordenlijst te gaan gebruiken.>>

Je zou dus eigenlijk moeten zorgen voor 'schreifvouten' ?

Veilig tegen welke dreiging ?

- Phishing: Ineffectief
- Keylogger: Ineffectief

in principe hoe langer je wachtwoord hoe meer rekenwerk. maar je hebt vaak dat het systeem slechts de eerste 6 of 8 of niet alle tekens van je wachtwoord gebruikt bij het inloggen. de lengte van je wachtwoord is dus niet altijd van belang.

Allemaal bestaande woorden, welke met dictionary attacks te kraken zijn. Waarom geen getallen, geen speciale tekens, en andere zaken die het complexer maken ?


Hangt wel heel erg af van het soort aanval. Password complexity helpt tegen bruteforce/dictionary aanvallen. Maar voor andere aanvallen, waarbij wachtwoorden worden gestolen, is password complexity iets volstrekt irrelevants.

Hier gaat het al mis!
De lengte van het wachtwoord heeft niets te maken met de hoeveelheid rekenwerk.
DIe "neem een lang wachtwoord" verhalen zijn gebaseerd op het onderstaande scenario:
- de gehashte waarde van je wachtwoord is bekend
- iemand moet het bijbehorende wachtwoord zoeken door alle mogelijke wachtwoorden te hashen tot hij
diezelfde hash vindt
- hij begint met A t/m Z
- dan doet hij AA t/m ZZ
- dan AAA t/m ZZZ

in dit scenario zou het langer duren voor hij bij DITISEENHEELLANGWACHTWOORD komt en daarom
zou dat dan veiliger zijn dan een kort wachtwoord.

Echter als er op een of andere manier een ander scenario (zoals de al genoemde keylogger) is dan geldt dit niet meer.

Ich fuck! always soixante negen.

Dat is wel een hele lastige te brute forcen, meerdere talen dus een dictionary attack heeft weinig kans.
Tegen keyloggers is niks bestand.

leuk stripje hierover: https://xkcd.com/936/
je kan met de password generator hier https://xkpasswd.net/s/ ook zien hoeveel entropy de passwords hebben...

Er is een website die grofweg de tijd laat zien waarin je wachtwoord geraden kan worden middels het uitproberen van zoveel mogelijk combinaties. Een soort van brute-force aanval a.d.h.v een woordenboek.

De website is: https://howsecureismypassword.net/

Zoals andere mensen als aangaven, zolang je systeem niet besmet is met malafide meuk is er weinig kans dat iemand met kwaadwillende doeleinde je wachtwoord kan inzien en misbruiken.

Zelf gebruik ik het programma KeePas, dit is een programma dat een versleuteld bestand aanmaakt waar je al je wachtwoorden in op kan slaan. Kies dan wel en veilig en sterk wachtwoord om dit bestand in te lezen.
Dit programma heeft ook de optie om wachtwoorden te genereren voor bijv. websites die je bezoekt, dus i.p.v. 'Jantje123' als wachtwoord genereert het programma '1@3$5^7*9)-+' als wachtwoord en slaat deze voor je op.
Hierdoor hoef je eigenlijk alleen maar het wachtwoord van KeePass te onthouden en kan je voor de rest alles kopiëren en plakken vanuit KeePass.

Ja dat klopt wel, en gebruik geen wachtwoorden/wachtzinnen die al eens gepubliceerd of gehackt zijn.
Maar wachtzinnen met allemaal bestaande woorden zijn wel veel gemakkelijker te hacken dan willekeurige letters.
(hoewel dit natuurlijk meestal ook afhangt van hoeveel wachtwoorden of -zinnen per seconde er kunnen worden uitgeprobeerd) ; voor een indruk let eens op de tabel van
https://www.security.nl/posting/551346/Prestaties+wachtwoordkraker+Hashcat+sterk+verbeterd

Dus ik zou aanraden om daar nog wat aan te doen, en dan ook drastisch, dus niet simpel E in 3 veranderen of o in 0(nul),
want dat doen heel veel mensen namelijk en hackers weten dat. Verzin er bijv. een fantasiewoord bij smuRbuklaboyas of whatever. (verzin het zelf, neem dit niet over want het is nu gepubliceerd)

Ik kan me vergissen, maar volgens mij is dat alleen maar een bruteforce checker. Niks woordenboek.

Want als ik simpele zinnetjes zoals 'my dad is ill' of 'just one joke' invoer zegt ie dat het '2 thousand years' duurt voordat deze zin gekraakt zal worden. Een wachtwoord van 13 tekens in totaal met alleen kleine letters!
Met brute force waag ik dat al te betwijfelen (afhankelijk van de snelheid ervan), maar met een woordenboek zou dit toch veel sneller gevonden moeten zijn.

Er zijn veel van die password check sites die volgens de bruteforce methode werken. Ik vind dit een van de slechtere, omdat er hier niet bij staat onder welke omstandigheden (wat voor computer, welke snelheid) het betreffende password via bruteforce gekraakt zou worden. Zo zou je het idee krijgen dat een password met maar 13 tekens en alleen kleine letters vrijwel onkraakbaar zou zijn!

Wat dat betreft is deze site toch een tikje beter: https://www.grc.com/haystack.htm
Die geeft ook aan hoe ze aan het resultaat komen.

Voor een site zoals de ING zijn 13 tekens overigens inderdaad onkraakbaar want daar mag je maar 7 keer een verkeerd password invoeren voor je geblokkeerd wordt. Om die reden is het eigenlijk net zo belangrijk een niet erg waarschijnlijke gebruikersnaam te kiezen (niets wat ip je eigen naam lijkt), want anders kan iemand anders je ING account supermakkelijk blokkeren. Als 'grapje' dus. Hij hoeft alleen maar 7 keer op jouw gebruikersnaam een willekeurig password in te voeren.

Daarom laat ik mijn inlognaam nooit op de PC bewaren. Eigenlijk raar dat dat kan bij de ING...

Van Pjotter

Hallo daar ben ik weer, ik snap dat je natuurlijk niet bestand is tegen een keylogger of phishing attack.
Ik kan aan het wachtwoord ook op het laatst een vraagteken toevoegen zoals:

Ik neem elke week een witte banaan van de Edah mee?

Vraag is dan is deze wachtzin dan bestand tegen een online brute force attack?

Opmerking in dit voorbeeld komt het dus niet voor in een woordenboek, en het is natuurlijk niet de wachtzin die ik normaal gebruik maar slechst een voorbeeld.

Dus is de wachtzin te kraken?

Ja, met voldoende rekenkracht en tijd is het te kraken, al is het over 16 triljoen jaar.

Binnen 5 jaar met kwantemkompjoeting ongeveer in een seconde tot een minuut.

Wachtwøørd?

Spierbol?
Bodiebuilder?
Krachtprutser?
Ketsjupflesperser?
Frachtwagenkantelaar?
Lantarunpalenstrikkurs?
Teleføønboekenscheurdermeurder?
Leetspeekbabbelarijendijenkletsurraadselz?

Sterktu!

Dat hangt van de voorkennis en/of aannames van de aanvaller af, en van hoe het aangevallen systeem reageert.

Ervan uitgaande dat het aangevallen systeem altijd meteen terugmeldt of de poging correct was of niet, en geen informatie prijsgeeft over "hoe dicht" de aanvaller bij het juiste wachtwoord is, blijven voorkennis en aannames van de aanvaller over.

Als de aanvaller weet of ervan uitgaat dat jij correct gespelde en veel gebruikte woorden, gescheiden door spaties, gebruikt - met de zin eindigend in een gebruikelijk leesteken, heeft zij een gigantische voorsprong op een ordinaire brute force aanvaller die voor elke positie alle denkbare tekens uitprobeert.

Van grote invloed is uit hoeveel woorden het door de aanvaller gebruikte woordenboek bestaat, en of daar merknamen zoals Edah in voorkomen. Als de aanvaller weet bij welke winkels jij jouw boodschappen doet en welke producten je zoal koopt (heb je een iets van een bonuskaart?) kan dat sneller succes opleveren (tenzij je bewust "liegt" natuurlijk). M.a.w. een aanvaller die jou of jouw gebruiken kent, heeft mogelijk een voorsprong.

Een andere vraag is of toegang tot jouw account de aanvaller meer oplevert dan van een doorsnee persoon, of dat de aanvaller een bijzondere reden heeft om toegang tot jouw account te krijgen (denk aan ex-partner of conculega). Als dat niet zo is zou ik me, met dat soort wachtzinnen, geen zorgen maken - jouw account is daarmee veiliger dan dat van de gemiddelde internetter met wachtwoorden als "12345" en "geheim".

Je kunt m.i. geen zinnig ja/nee anwoord op jouw vraag krijgen, want dat is van te veel onbekende factoren afhankelijk. Wat probeer je te bereiken?

Online aanval : dat is erg beperkend in het aantal testen dat een aanvaller per seconde kan doen . (anders stort de website in, en waarschijnlijk gaan er vroeg of laat wel alarmen af) .
brute force : dat is de domste aanval die je kunt hebben.

Een 'online brute force' aanval is beginnen met 'a' en door willeen gaan naar ,b', 'c', 'aa' etc tm 'zzzzzzzzzz' etc .
Je zin is veel te lang om op die manier te doen, en zeker niet 'online' , met misschien maar een honderd testen per seconde .
En dan doe je al de aanname dat het account niet gelocked wordt als er zoveel mislukkende logins gedaan worden.

Een off-line attack - als je de password hash te pakken krijgt kan enorm veel meer testen per seconde doen . Hoeveel, zoek naar (bv) 'hashCat performance' .
En dat is vooral een dictionary attack - van woorden, combinaties van woorden , permutaties [woorden achterstevoren, e en 3 vervangen etc ] .
Ik denk dat je zin te kort en te 'normaal' is om bestand te zijn tegen een langdurige dictionary attack .

Ik denk dat omdat ik een aantal van de passphrases zag die bovenkwamen uit recente password breaches. Die waren langer en lastiger dan de jouwe .

Wat ik iets minder begrijp - je vraag is al zo oud als het Internet . Er zijn een hele hoop papers en presentaties die password crackers, het soort rules dat ze gebruiken, en succes percentages op allerlei password lijsten beschrijven.
Als die opzoekt, leest en leert snappen kun je je eigen vraag beantwoorden. En weten of het antwoord van deze of gene anoniem of pseudoniem op een forum als dit ergens op slaat .

Er staat niet specifiek in of _jouw_ zin wel of niet kraakbaar is. Maar als je leest dat ''donothackusoryouwilldieamostpainfuldeath445645thispasswordneverstopsandneverwillbecauseweusesxipperftpmighthaveaproblemwithitthough55545454' )'

Gevonden werd uit een SHA-1 hash , dan denk ik dat jouw zin ook wel te vinden is , zolang je een hoop pogingen per seconde kan doen.

Dat is wel zo, maar veel password aanvallen zijn nogal ongericht - er is een batch een password hashes gelekt/gestolen, de hele batch gaat hashCat in, en na een bepaalde tijd zijn er een x-aantal accounts gekraakt . Sommige heel snel, sommige duurden lang, en sommige duurden _te_ lang en zijn niet gekraakt.

Als je in die situatie een vindbaar password hebt ben je de lul - ook al zijn een hoop 'qwerty' 'secret' en '123456' mensen voor je ook/eerder de lul. De aanvaller is niet zo zeer uit op één bepaald account, maar gewoon met alles dat binnen een bepaalde inspanning te vinden is.

Ik probeer gewoon te bereiken (en leren) wat veilig is en wat niet. Wat niet veilig is weet ik wel, ik probeer echter gewoon te voorkomen dat de dingen die ik doe goed doe.

Pjotter

Zoals hierboven al besproken zijn wachtwoord zinnen sterk omdat het lang is, toch is het verstandig om er ook hoofdtetters, nummers en speciale tekens in te verwerken, zodat het voor bruteforce kraken nog wat moeilijker wordt.
Dus het wachtwoord "Neem IK, elke week 1 banaan van de Edah mee?" zou nog wat beter zijn

Toch zijn wachtwoorden niet het enige middel om iets te beschermen, het komt vaak neer op 3 pijlers:
Ik weet iets (een wachtwoord, pincode)
Ik heb iets (een pasje, telefoon nummer)
Ik ben iets (vinger afdruk, gezicht)

Het is verstandig om bijvoorbeeld 2 factor authentificatie toe te passen als dit beschikbaar is, hierdoor heb je 2 van bovenstaanden nodig. Bij de bank gebruik je dat ook, je hebt een pasje + pincode nodig
Online komt het vaak neer op je telefoon nummer, email adres of een app plus een wachtwoord.
Op dit manier ben je voor malware al wat beter beschermt, nog niet onkraak maar maar wel een stukje veiiger.

Ook kan je er voor kiezen om je wachtwoorden te laten genereren en gebruik te maken van een paswoord manager.

"ik probeer echter gewoon te voorkomen dat de dingen die ik doe goed doe."

Je wil juist wel dat je de dingen goed doet. ;)

Je doet het goed indien je:

Een ww gebruikt van minstens 16 tekens.
Verschillende tekens / hoofd- en kleineletters etc. gebruikt.
Nergens opschrijft, eventueel een OFFLINE password manager gebruikt (b.v. keepass)
Niet her-gebruikt voor verschillende sites / toepassingen.
Niet ophogen met een nummer b.v. "dit is mijn wachtwoord _1" en "dit is mijn wachtwoord_2"
Niet met andere personen deelt

Ten eerste vraag ik me af of dit wachtwoord wel zelf verzonnen was, en ten tweede wist men dit te kraken m.b.v. een gelekte SHA1 hash van het wachtwoord.

SHA1 is niet zo veilig meer, en wordt daarom in bijv. certificaten al een tijd niet meer gebruikt
Dus je kan denken "lekker lang origineel wachtwoord, komen ze nooit achter", maar als het bedrijf van wie de online-dienst is jouw wachtwoord opslaat als een SHA1 hash, en die online-dienst wordt gehackt en de paswordhashes van de gebruikers lekken, dan heb je niet heel veel meer aan een sterk wachtwoord.
Maar als het een sterk origineel password zou zijn en er zou geen hash van gelekt zijn zou het veel langer standhouden.
(onder voorwaarden dan, want:)

Verder dient men zich te realiseren dat je wachtwoord zo sterk is als de zwakste schakel.
Bijv. bij online wachtwoorden heeft het geen zin om je wachtwoord veel sterker te maken dan de https encryptie.
Immers zou iemand de https encryptie weten te kraken dan is snel te herleiden wat het wachtwoord was.
(de op komst zijnde quantumtechniek zou daar gemeen goed in zijn)
Of bij simpel een Man In The Middle komt je plain wachtwoord in vol ornaat voor de ogen van de hacker langs,
dus je hebt niets aan een sterk wachtwoord voor een online-dienst als er niet ergens een scherpe controle is waardoor je zeker weet dat je rechtstreeks op de goede site zit, en ook dat je niet op een nepsite zit die sprekend op de echte lijkt.

Dus veiligheid voor online gebruik hangt niet alleen van de sterkte van je wachtwoord af, en je ziet dan ook steeds vaker dat er met 2-factor moet worden ingelogd.

Veiligheid van offline wachtwoorden (bijv. een encrypted 7-zip bestand) hangt af van de sterkte van je wachtwoord én het algoritme dat er wordt gebruikt voor versleuteling. Het is gunstig wanneer een versleutelings algoritme zoveel vertraagd (en ook niet te omzeilen of teveel te vereenvoudigen is) zodat bruteforce mogelijkheden in hoge mate worden belemmerd,
omdat elke poging dan immers relatief veel tijd kost.

Eerst omdenken.

Waarom zou ik het wachtwoord nodig hebben?
Om je mail te lezen op je werk?
Dan kan ik bijvoorbeeld proberen via het admin account iets voor elkaar te krijgen.
Even bellen namens Microsoft, wat CVE nummers noemen, ICT-termen gebruiken en via Teamviewer even helpen.....

(voorbeeld)

Vervolgens lachen mensen je uit, en hangen ze weer op (of denk je dat dit altijd succesvol is) ? Even nadenken.


Hebben de meeste hackers toegang tot dat admin account ? Nee. Even nadenken.

Volslagen onzin. Als je de HTTPS encryptie kraakt, dan is het password nog altijd encrypted. Daarnaast wil je neem aan niet dat indien men HTTPS weet te kraken, HTTP weet te forceren, of een SSL stripper gebruikt, het password verder plain text is.

Wat dat betreft is je advies niet erg goed bruikbaar.

Verder (indien je er controle over hebt) :

- Max password attempts
- IP en/of account lockout na bereiken max password attempts
- Implementeren/aanzetten 2 factor authenticatie
- IP restrictie voor account zodat je vanaf onbekend IP niet in kan loggen
- Email warning naar gebruiker bij failed password attempts

Dergelijke extra maatregelen helpen om het moeilijker te maken om passwords te kraken, en om te voorkomen dat je met een gekraakt/onderschept wachtwoord toegang kunt krijgen tot de omgeving.

Staar je niet blind op het ''sterke wachtwoord'', en denk verder. Tegen veel aanvallen is een sterk wachtwoord alleen immers nutteloos (keylogger, infostealer, phishing etc).

Een andere manier op sterke wachtwoordzinnen (passphrases) te genereren is https://en.wikipedia.org/wiki/Diceware. Maak bij voorkeur gebruik van echte dobbelstenen! Met 6 sterke woorden (neem, elke, week, witte, banaan, Edah) heb je volgens het Diceware systeem voldoende entropie.

Wat ik doe is een wachtzin van niet bestaande woorden gebruiken. Zoiets als (deze zuig ik voor deze gelegenheid uit mijn duim):

klidometoza veromaplidi kroepezonam dekzista

Zo'n wachtwoord leer ik niet in een keer uit mijn hoofd, ik schrijf het op een spiekbriefje dat ik heel zorgvuldig op een plek bewaar waar niemand eraan komt en dat ik vernietig als ik het niet meer nodig heb. Dit zal van persoon tot persoon verschillen, natuurlijk, maar onzin die ik uit kan spreken onthoud ik aanzienlijk makkelijker dan iets dat vol speciale tekens staat.

Dat zou ondoenlijk zijn als overal waar ik een wachtwoord nodig heb zoiets moet verzinnen, dan zou ik al snel vergeten welk wachtwoord ik waarvoor nodig had en weinig gebruikte wachtwoorden zou ik niet onthouden. Daarom gebruik ik een wachtwoordmanager (KeepassX in mijn geval) en heb ik zo'n wachtwoord om dat te ontsluiten, en nog een om aan te loggen op mijn eigen systeem. Ik gebruik bewust niet de in de webbrowser ingebouwde wachtwoordmanager. Dat draait in hetzelfde proces als JavaScript, Flash en andere uitvoerbare code die uit bronnen komt waarop je niet kan vertrouwen. Dat kan goed afgeschermd zijn in je webbrowser maar ik heb meer vertrouwen in een wachtwoordmanager die in een eigen proces draait. En ik kies nadrukkelijk voor een wachtwoordmanager die ik op mijn eigen systeem installeer, ik ben ook niet kapot van wachtwoorden die in de cloud bewaard worden.

Voor de vraagsteller nog wat achtergrond. De term entropie is al verschillende keren gevallen. Dat is een maat uit de informatieleer die aangeeft wat de informatiedichtheid van data is. Dat is bij wachtwoorden een nuttige maat omdat hij iets zegt over hoeveel werk een aanvaller met een brute-force-methode, dus door domweg uit te gaan proberen tot het lukt, gemiddeld moet verrichten tot hij slaagt. Hoe meer entropie, hoe sterker het wachtwoord.

Als een wachtwoordmanager als Keepass of KeepassX wachtwoorden samenstelt door elk teken willekeurig uit 97 tekens te kiezen (kleine- en hoofdletters, cijfers, leestekens) dan is de entropie 6,6 bits per teken. Bij de diceware-methode zoals in de link van MathFox beschreven is de entropie 12,9 bits per woord. Maar zo'n berekening gaat er wel van uit dat de aanvaller de beschreven woordenlijst gebruikt, of een even lange woordenlijst die de woorden in het te kraken wachtwoord bevat. Als je een woord in je wachtwoord opneemt dat niet in de woordenlijst van de aanvaller zit dan is de entropie effectief oneindig en wordt het wachtwoord niet gekraakt. Maar als de aanvaller de letters a-z en de spatie willekeurig combineert (en je wachtzin bestaat uit kleine letters en spaties) dan heb je voor die aanvalsmethode met 4,75 bits per teken te maken.

De juiste entropieberekening is dus afhankelijk van hoe de aanvaller eigenlijk te werk gaat bij het kraken van een wachtwoord, en voor een en hetzelfde wachtwoord kunnen verschillende aanvalsmethoden verschillende uitkomsten opleveren. En je weet natuurlijk nooit wat een aanvaller precies doet.

Het type wachtzinnen dat ik gebruik staat in geen enkele woordenlijst, dus met op woordenlijsten gebaseerde aanvallen worden ze niet gekraakt. Op basis van de gebruikte tekens zou ik op de genoemde 4,75 bits entropie per teken uitkomen. Ik heb me ooit afgevraagd wat een aanval op basis van lettergrepen op zou leveren, als een van de mogelijke benaderingen die een aanvaller die zich op de uitspreekbare onzin die ik gebruik richt. Het is lastig om daar berekeningen op los te laten, maar ik heb wel eens een poging gedaan en kwam, teruggerekend naar de entropie die dat gemiddeld per teken oplevert, uit op gemiddeld 3,1 bit per teken.

(Voor wie het interesseert: ik heb me gebaseerd op een Nederlandse woordenlijst zoals spellingscontrole op Linux die gebruikt; het algoritme voor woordafbreking van LaTeX gebruikt om daar lettergrepen uit te destilleren; en aannames gedaan over het gemiddelde aantal lettergrepen per woord waarvan ik echt niet weet of die terecht zijn).

Ik wens je veel succes en desgewenst plezier.
Zelfs plekjes waar geen daglicht schijnt worden zo nu en dan nog wel eens bezocht.
Dat hoeft zelfs niet om een wachtwoord te gaan, discussie aangaan bij een parkeergarage om een kleinigheidje kan al genoeg zijn.

"Hoe was jouw dag?"
"O, had de pliesie op visite, erg diep maar niet zinnig allemaal."

Google maar.

Veel succes. Ik zou je hard uitlachen.

Wat is je e-mailadres? Dan help ik je graag verder met je vraag. ;)

En denk je werkelijk dat politie en andere diensten de capaciteit hebben alle verborgen plekjes binnen de tijd dat zo'n briefje bestaat te bezoeken? En dat ze dat doen bij alle verborgen plekjes van mensen die nergens van verdacht worden? Hoeveel politiemensen denk je eigenlijk dat er per burger rondlopen?

Ik wens je veel realiteitszin toe, die kan je in jouw droomwereld wel gebruiken.

Het ligt er allemaal maar net aan hoe en waar en waarom jouw systeem wat je met dit wachtwoord beschermt aangevallen wordt.

Is het online op internet? Is het thuis op een LAN, thuis met een LAN en gast-wifi zonder wifi-client-isolatie?

Even bassaal gezegd... Waar wordt er tegen beschermd?
Iemand die met brute-force jouw wachtwoord probeer te gokken?
Dan zouden andere systemen in gang moeten springen om te achterhalen waarom jij meer dan 3 of 5 keer een foutief wachtwoord in voert en het IP address even op de pause knop zetten, en eventueel jou een berichtje sturen via EMAIL of SMS dat iemand een verkeerd wachtwoord heeft ingevuld.

Ik denk dat na 400 keer het wel begint op te vallen dat er iemand probeert te bruteforces, toch?

Echter is jouw wachtwoord niet jouw wachtwoord maar een HASH van jouw wachtwoord en die is te grazen genomen op een wordpress website met 200 foute plugins die volledige toegang boden tot de website en de wachtwoorden hash database zonder salting of andere foefjes, dan maakt het geen drol uit hoe lang je wachtwoord is.

Dus ja, je hebt mierenneukers die willen dat je elke 5 minuten je 12+ character wachtwoord wijzigt in een nog nooit in de mensenheid eerder gebruikt wachtwoord, een wachtwoord met minstens 3 cijfers, 3 letters, 3 hoofdletters en 3 speciale characters.

Of je hebt mensen die eerst gaan kijken waar je nu eigenlijk tegen wil beschermen...

Nog steeds weet ik niet wat daadwerkelijk een sterk wachtwoord is.
Heel Google struin ik af,en nergens zie je 'n eenduidige defintie van HET sterke wachtwoord.

Wat is nu de beste definitie,oftewel..het enige echte recept voor een sterk wachtwoord ?!

Wil je nou _weer_ deze hele thread herhaald hebben ?

Tussen al die dingen die je gelezen zegt te hebben moet je toch ook de randvoorwaarden en beperkingen van elke definitie of advies gevonden hebben ?
Zorg dat je die snapt , in plaats van als zoveelste weer een password discussie te starten.

Als brute force mogelijk is (zoals bij een versleuteld bestand zoals een AES256 encrypted zip file), of als je niet zeker weet of een website voldoende tegenmaatregelen heeft genomen: zorg dat het brute-forcen zo lang duurt dat het economisch niet rendabel is voor aanvallers om ongeautoriseerde toegang te verkrijgen.

Als je heel zeker weet dat brute force aanvallen niet realistisch zijn (zoals bij de pincode van een bankpas): dan volstaan relatief korte pincodes.

Nooit goed is een pincode of wachtwoord dat snel geraden kan worden als de aanvaller wat van jou weet (geboortejaar, postcode etc).

Zeker nooit goed is een pincode of wachtwoord hergebruiken voor verschillende toepassingen.

Gebruik gewoon een wachtwoordmanager zoals KeePass en laat deze willekeurige wachtwoorden van minstens 16 tekens genereren, uniek per toepassing natuurlijk. Zorg dat je het master password hiervoor nooit vergeet en zorg te allen tijde voor een actuele backup van de (versleutelde) database.

Tip van een USA univ.: http://seclists.org/educause/2018/q1/278

dude extra rare tekentjes en getallen in een WW gaan ook niet helpen tegen phising / keyloggers