image

EFF komt met Star Trek-woordenlijst voor passphrases

maandag 3 september 2018, 12:49 door Redactie, 14 reacties

De Amerikaanse burgerrechtenbeweging EFF heeft woordenlijsten uitgebracht die op Game of Thrones, Star Trek, Star Wars en Harry Potter zijn gebaseerd en gebruikers moeten helpen bij het genereren van willekeurige passphrases. Een passphrase is een wachtwoord dat uit meerdere woorden bestaat.

Beveiligingsexpert adviseren passphrases boven een normaal wachtwoord omdat ze eenvoudiger te onthouden en lastiger te kraken of te raden zijn. Om mensen te helpen bij het kiezen van willekeurige woorden voor hun passphrase zijn er verschillende systemen bedacht. De bekendste woordenlijst is de Diceware-lijst van Arnold Reinhold die in 1995 werd gepubliceerd en 7776 woorden bevat.

Door verschillende keren met een dobbelsteen te rollen komt er een getal uit, dat met een woord op de woordenlijst overeenkomt, vandaar ook de naam Diceware. Op deze manier kan er geheel willekeurig een passphrase van verschillende woorden worden samengesteld. In 2016 publiceerde de EFF al verschillende woordenlijsten die met een dobbelsteen kunnen worden gebruikt.

Vanwege Dragon Con 2018 dat afgelopen weekend en vandaag in Atlanta plaatsvindt heeft de EFF verschillende nieuwe woordenlijsten gepubliceerd die op Game of Thrones (pdf, txt), Star Trek (pdf, txt), Star Wars (pdf, txt) en Harry Potter (pdf, txt) zijn gebaseerd. De woorden op de woordenlijsten zijn afkomstig van verschillende officiële encyclopedieën en Wiki-pagina's. Elke woordenlijst bestaat uit 4.000 unieke woorden, die één keer zijn herhaald.

De lijsten zijn geoptimaliseerd voor een dobbelsteen met 20 zijden. Gebruikers krijgen wel het advies om de woorden nadat ze zijn gekozen niet te veranderen of opnieuw de dobbelsteen te rollen omdat ze de eerdere gekozen woorden niet fijn vinden. Volgens de EFF is een aanvaller die weet welke woordenlijst de gebruiker heeft gebruikt en over een computer beschikt die 15 miljoen wachtwoorden per seconden kan proberen, nog steeds 2000 jaar bezig om alle mogelijke combinaties te proberen, waarbij het gemiddeld 1000 jaar duurt om een wachtwoord te kraken.

Reacties (14)
03-09-2018, 13:22 door Anoniem
Nederlandse diceware password generator is hier te vinden: https://el-tramo.be/wachtwoorden/
03-09-2018, 14:52 door Anoniem
Door Anoniem: Nederlandse diceware password generator is hier te vinden: https://el-tramo.be/wachtwoorden/
Online wachtwoord generators gebruiken, ook al zijn ze in JavaScript geschreven, is het domste wat je een user kan vertellen te doen.
Het heet diceware, omdat je, offline, dobbelstenen moet gebruiken.
03-09-2018, 14:55 door wica128
Maar iets wat vandaag 2000 jaar kost, is over 5 jaar natuurlijk een stuk sneller te kraken.

Ik zie graag, dat dit soort voorspellingen rekening houden met de technologische ontwikkelingen.
03-09-2018, 15:53 door Anoniem
Zelfde lijsten zitten morgen dus geintegreerd in allerlij brute force hacking tools ? Beetje kortzichtig van EFF, zo maak je wachtwoorden meer voorspelbaar.
03-09-2018, 18:13 door Anoniem
Een erg beperkte woordenlijst is desastreus voor de betrouwbaarheid van een wachtwoord. Je kunt wel zelf twee onafhankelijke woordenboekwoorden combineren die tot een niet bestaand woord. Dat is veel veiliger. Bijvoorbeeld LuchtWeiland, BadkuipVrachtwagen of WijntonPilaar.

Makkelijker te onthouden dan "8lqS3BoG" en bestand tegen brute force en dictionary aanvallen.
03-09-2018, 20:47 door Anoniem
Het makkelijkst te onthouden is "VeiligWachtwoord001" en voor de volgende inlog een volgend nummer..

19 tekens en niemand verwacht dat je dat gebruikt. Handig toch?
03-09-2018, 23:57 door Anoniem
Door Anoniem: Het makkelijkst te onthouden is "VeiligWachtwoord001" en voor de volgende inlog een volgend nummer..

19 tekens en niemand verwacht dat je dat gebuikt. Handig toch?
Dat is wel slim ja. Dat wil ik ook wel. Als jij VeiligWachtwoord 001 neemt, dan neem ik wel VeiligWachtwoord002.
04-09-2018, 00:41 door Anoniem
Startrek? Wat moet ik me daar bij voorstellen? Annunak123!, GiantL1zard, EnlilEnkiABC, Mindyedi, ZombiCity, MarsWarpspeed?
04-09-2018, 09:45 door Anoniem
Door Anoniem: Nederlandse diceware password generator is hier te vinden: https://el-tramo.be/wachtwoorden/
Leuke NL wachtwoorden op een BE site.

Door Anoniem: Het makkelijkst te onthouden is "VeiligWachtwoord001" en voor de volgende inlog een volgend nummer..

19 tekens en niemand verwacht dat je dat gebruikt. Handig toch?

Alleen letters en cijfers, geen echt sterk wachtwoord, en bij een volgende wijzing ga je waarschijnlijk naar 002 toe?
04-09-2018, 10:51 door Anoniem
Deze lijsten zijn nu dus ook toegevoegd aan de betere dictionairy's en de hackmethodes zijn aangepast zodat er ipv letters/cijfers/leestekens nu combinaties van woorden worden gebruikt.

Volgens mij een behoorlijk domme zet om dit soort lijsten te publiceren om wachtwoorden te genereren.
04-09-2018, 12:58 door Cornelius
Nice, zijn m'n rainbowtables gelijk weer uitgebreid :-D
04-09-2018, 17:20 door Anoniem
Voor iedereen die moeilijk doet over het "lekken" van deze woorden-lijsten:

53.459.728.531.456 = combinaties van wachtwoord bestaande uit 8 cijfers, kleine letters en hoofdletters.
218.340.105.584.896 = combinaties van wachtwoord bestaande uit 8 cijfers, kleine letters, hoofdletters en 10 meest gebruikte speciale tekens.
4.096.000.000.000.000 = combinaties van: 4(!) woorden uit de "star trek" lijst.

Ik weet wel welke ik zou kiezen. Helemaal omdat 8 woorden makkelijker zijn te onthouden dan 8 van de bovengenoemde tekens.

Dat is overigens 1,6777216e+31 (4.096.000.000.000.000 x 8000 x 8000), succes met de rainbow tables.
04-09-2018, 22:49 door Anoniem
Door Anoniem: Zelfde lijsten zitten morgen dus geintegreerd in allerlij brute force hacking tools ? Beetje kortzichtig van EFF, zo maak je wachtwoorden meer voorspelbaar.

Wat is het toch met mensen die graag laten zien dat ze dingen niet snappen ?

Ietwat slimmere mensen denken misschien "Hm, voorstel van de EFF - ik denk dat ze iets heel doms doen in hun voorstel.
Zouden ze echt niet gezien hebben wat ik zag ? Laat ik even goed controleren of _mijn_ inzicht misschien niet klopt, voordat ik roep dat ze iets simpels gemist hebben "

Diceware (concept) vereist niet dat de woordenlijsten geheim zijn - alleen dat de keuze van de woorden goed random gedaan wordt en dat voldoende woorden gekozen worden . Dan zit er meer dan genoeg entropie in om bestand te zijn tegen bruteforce .

Het concept heeft als voordeel dat mensen een set van random gekozen woorden net wat makkelijker onthouden dan een setje van random gekozen karakters
06-09-2018, 01:03 door Anoniem
Door Anoniem: Voor iedereen die moeilijk doet over het "lekken" van deze woorden-lijsten:

53.459.728.531.456 = combinaties van wachtwoord bestaande uit 8 cijfers, kleine letters en hoofdletters.
218.340.105.584.896 = combinaties van wachtwoord bestaande uit 8 cijfers, kleine letters, hoofdletters en 10 meest gebruikte speciale tekens.
4.096.000.000.000.000 = combinaties van: 4(!) woorden uit de "star trek" lijst.

Ik weet wel welke ik zou kiezen. Helemaal omdat 8 woorden makkelijker zijn te onthouden dan 8 van de bovengenoemde tekens.

Dat is overigens 1,6777216e+31 (4.096.000.000.000.000 x 8000 x 8000), succes met de rainbow tables.

Hoe heb je dat berekend? Misschien wat copy/paste foutjes gemaakt of is je bron abuis?

52^8 = 53,459,728,531,456 (26 kleine letters, 26 grote letters)
62^8 = 218,340,105,584,896 (10 cijfers, 26 kleine letters, 26 grote letters)
72^8 = 722,204,136,308,736 (10 cijfers, 26 kleine letters, 26 grote letters, 10 andere tekens)

"10 meest gebruikte speciale tekens" zorgt voor beweging in de mondhoeken. :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.