Ja een ww .12345 voor de rest ho maar

"Duizenden studenten Universiteit Maastricht wijzigen wachtwoord door één cijfer toe te voegen"

Als de UM graag wilt dat mensen een 15 karakter wachtwoord gaan gebruiken moeten ze dat afdwingen door de authenticatie software daarop in te richten.

Ze dwingen het ook af... zie hun password policy: https://www.maastrichtuniversity.nl/nl/welkom123-geen-sterk-wachtwoord

Dat is minder dan 15 karakters (maar "123451234512355" en "eentweedrievier" zijn wel lang genoeg).

Sowieso lijkt 15 me onpraktisch en onnodig lang (vooral als je account lockout goed voor elkaar hebt). Maar wie weet is voor 15 gekozen omdat er nog (Linux? Zie https://security.nl/posting/637703) systemen in het netwerk zijn die LM passwords ondersteunen? Zie bijv. https://duo.com/blog/password-palpitations-the-ongoing-threat-of-lm-hashing waarom je dat niet wilt.

Beheerders kunnen een deel van de slechte wachwoorden voorkomen door een gekozen wachtwoord te vergelijken met alle ooit eerder gebruikte en gelekte wachtwoorden (of door hashes van beide te vergelijken). Dat kan door de laatste lijst van haveibeenpwned te gebruiken, evt. in combinatie met een bloom-filter. Bij een match moet je de gebruiker een ander wachtwoord laten voorstellen.

Bij targeted attacks (zoals mogelijk plaats heeft gevonden in Maastricht) is het ook zeer wenselijk dat users geen karakterreeksen gebruiken die, op basis van hun identiteit of pseudoniemen, op internet te vinden zijn of waar vriend en vijand weet van hebben. Maar daar geautomatiseerd op checken is een stuk lastiger, alhoewel het mij niet zou verbazen als pentesters en criminelen dit soort tools al hebben ontwikkeld (in elk geval voor online te vinden informatie). Kent iemand dergelijke tools?

Voor de gebruikers lijkt me een korte pass-phrase hier een verstandige keuze. Zoek bijvoorbeeld in een nieuwsartikel naar 4 korte woorden (of delen van langere) die je kunt onthouden, en scheid deze zonodig met cijfers en/of symbolen.

Voorbeeld (dit wachtwoord NIET hergebruiken) op basis van https://www.nu.nl/binnenland/6021507/42-mensen-met-vuurwerkletsel-in-brandwondencentra-rond-jaarwisseling.html:


De getallen 42, 666 en 1337 kun je in echte wachtwoorden overigens beter vermijden ;-) en het beste gebruik je jouw favoriete boeken, muziek, security en/of ICT sites en vakliteratuur in jouw gebied niet als bron. Een willekeurige wikipedia pagina over een onderwerp dat jou normaal gesproken niet interesseert is wellicht een goed idee (klik gewoon door een paar kruisverwijzingen heen tot je bij zo'n onderwerp belandt). Het gebruik van woorden uit een andere dan jouw moedertaal (anders dan Engels) kan het aanvallers ook lastiger maken, maar vermijd daarbij woorden die bijna iedereen kent (zoals "bonjour").

In elk geval: neem zo'n wachtwoord op in een wachtwoordmanager bijv. op je smartphone!

Aanvulling: zie https://www.security.nl/posting/637814/Wachtwoord+tip+%28ook+voor+UM+et+al%29 voor een update van de tip hierboven.

@ Erik van Straten - Bijgewerkt: Vandaag, 15:48

Ik zou willen pleiten voor een combinatie van "woordenboekwoorden" die niet gerelateerd zijn zoals PlatvisKalkAuto. Resistent tegen dictionary attacks, simpel en geen noodzaak voor cijfers en leestekens. Toch is het voor mensen herkenbaar en makkelijk in te typen. De Nederlandse taal leent zich prima voor samengestelde woorden.

Cijfers en leestekens komen meestal achteraan een normaal woord en het leesteken is meestal '!'. Dat helpt niet tegen dictionary attacks.

Geen enkel wachtwoord is onkraakbaar, het gaat er om voldoende veilig te zijn.

Dan pleit ik voor spaties toestaan in wachtwoorden. Dan kan je gewoon hele zinnen intikken (hoeft niet eens heel lang te zijn).

Achteraf vermoed ik dat niemand van de reageerders op de nu.nl link geklikt heeft, maar zoals ik in de andere draad (in een reactie) beschreef, heb ik afgeleiden van gewone woorden in dat artikel gebruikt ("in" heb ik vervangen door "@"):
Dat levert een zo kort mogelijk wachtwoord op (niet-security-nerds haten lange wachtwoorden, vooral als ze die op een draagbaar device moeten invoeren) dat niet 100% random is waardoor het minder moeilijk is om te onthouden, en dat substrings bevat die niet in woordenboeken voorkomen.

Ik denk nu dat ik dat beter meteen duidelijk had kunnen maken :-(

De eis voor cijfers en leestekens is relevant bij korte (semi-random) wachtwoorden om het aantal mogelijkheden kunstmatig op te krikken, maar kan inderdaad vervallen bij langere wachtwoorden.

Om dictionary-attacks te voorkomen is het wel noodzakelijk dat je woordenlijst lang genoeg is. Bij een lijst van bijv. 3000 woorden, en een wachtwoord bestaande uit 3 van die woorden (zonder scheidingstekens), zijn er 3000 ^ 3 combinaties mogelijk, en is een rainbow-table wel degelijk realistisch. En helemaal als mensen combinaties van woorden uit gaan zoeken die ze makkelijker kunnen onthouden, dat levert ongetwijfeld bias op. Dat zal bij mijn voorstel ook wel gebeuren, maar doordat er delen van meer woorden in worden gebruikt, die niet in woordenboeken voor hoeven te komen, denk ik dat hiermee toch sterke (onvoorspelbare) wachtwoorden ontstaan die relatief kort zijn (vergeleken met echte pass-phrases).

Ik denk dat je een sterker wachtwoord krijgt als je delen van meer woorden gebruikt, vooral als die delen niet toevallig voorkomen in woordenlijsten. Maar je moet wel creatief zijn om zo'n wachtwoord te bedenken. En naast het onthouden van de oorspronkelijke woorden moet je ook de wijze van afkorten onthouden.

In mijn eigen ervaring is het echter zo dat ik die oorspronkelijke woorden niet onthoud, maar dat zo'n wachtwoord invoeren al snel een automatisme wordt (dat merk ik bij een andere toetsenbord-layout; vaak moet ik dan KeePass raadplegen om na te gaan uit welke feitelijke karakters mijn wachtwoord ook al weer bestaat).

Elk extra karakter verhoogt de entropie, maar inderdaad kun je in wachtwoorden het beste alles vermijden dat voor de hand ligt.

Het allerbelangrijkste is, vermoed ik, dat je wachtwoorden niet hergebruikt voor andere accounts.

Dan pleit ik ervoor om op elke positie van een wachtwoord alle 95 "printable" ASCII karakters (met byte-waardes van 32 t/m 126, beide inclusief) toe te staan. Random gegenereerde wachtwoorden hoeven dan niet eens lang te zijn om "onkraakbaar" te zijn. Belangrijker, dan hoef ik niet elke keer in KeePass onnodig de set van toegestane karakters voor elke site te wijzigen als ik een random wachtwoord laat genereren.

Ja, dat is inderdaad irritant! Maar het allerergst zijn sites die een bepaalde restrictie hebben/afdwingen maar die niet controleren. Dan douw je er een wachtwoord van 64 karakters in en kan je daarna niet inloggen. Blijkt het maar 21 karakters lang te mogen zijn of zoiets. Nog erger als ze een app hebben en je kan wel op de site inloggen maar niet op de app (want die laatste heeft dan een restrictie).

Ik gebruik meestal een aantal woorden uit een verschillende taal, wel te onthouden maar komen niet voor in een woordenboek.
Vaak met een spatie op het einde om meekijkers te verwarren of om slechte scripting tegen te gaan.

Ik heb veel geleerd van 2 jaar een honypot draaien.

@Anoniem 10:44: ik heb laatst ergens gelezen dat sommige sites spaties vooraan en achteraan verwijderen (in sommige programmeertalen bekend als de "trim" functie), kijk maar uit dat ze niet je wachtwoord accepteren bij het wijzigen ervan en vervolgens weigeren bij inloggen (vergelijkbaar met wat The Foss beschrijft).

@The Foss en Anoniem 10:44: ik stel voor dat we evt. verdere (m.i. interessante en leerzame) discussie over wachtwoorden voortzetten onder https://www.security.nl/posting/637814/Wachtwoord+tip+%28ook+voor+UM+et+al%29, dan zie ik het op de frontpage als er reacties zijn.

Waarom zo beperkt? Sta gewoon alle unicode karakters toe. Op mijn synology nas is dat ook mogelijk. Je kunt dan griekse tekens als ß µ ? (beta, mu, gamma) gebruiken, of chinese tekens, emoticons etc.
Zeker bij andere culturen kan ik me voorstellen dat ze gewoon lokale courante tekst willen gebruiken, zeker als dat wachtwoorden sterker maakt. (Grieken, Chinezen, Russen etc. )

@Briolet: zie https://security.nl/posting/637993.

Ja, tuurlijk, 'welkom' moet ook met een hoofdletter beginnen! Wat een blunder.

Anders laat je de spaties gewoon weg en plak je er een woordje extra bij.