Door Anoniem: Ik zou willen pleiten voor een combinatie van "woordenboekwoorden" die niet gerelateerd zijn zoals PlatvisKalkAuto.
Achteraf vermoed ik dat niemand van de reageerders op de nu.nl link geklikt heeft, maar zoals ik in de andere draad (in een reactie) beschreef, heb ik afgeleiden van gewone woorden in dat artikel gebruikt ("in" heb ik vervangen door "@"):
42 mensen in brandwondencentra in Rotterdam, Beverwijk en Groningen
Dat levert een zo kort mogelijk wachtwoord op (niet-security-nerds
haten lange wachtwoorden, vooral als ze die op een draagbaar device moeten invoeren) dat niet 100% random is waardoor het minder moeilijk is om te onthouden, en dat substrings bevat die niet in woordenboeken voorkomen.
Ik denk nu dat ik dat beter meteen duidelijk had kunnen maken :-(
Door Anoniem: Resistent tegen dictionary attacks, simpel en geen noodzaak voor cijfers en leestekens.
De eis voor cijfers en leestekens is relevant bij korte (semi-random) wachtwoorden om het aantal mogelijkheden kunstmatig op te krikken, maar kan inderdaad vervallen bij langere wachtwoorden.
Om dictionary-attacks te voorkomen is het wel noodzakelijk dat je woordenlijst lang genoeg is. Bij een lijst van bijv. 3000 woorden, en een wachtwoord bestaande uit 3 van die woorden (zonder scheidingstekens), zijn er 3000 ^ 3 combinaties mogelijk, en is een rainbow-table wel degelijk realistisch. En helemaal als mensen combinaties van woorden uit gaan zoeken die ze makkelijker kunnen onthouden, dat levert ongetwijfeld bias op. Dat zal bij mijn voorstel ook wel gebeuren, maar doordat er delen van
meer woorden in worden gebruikt, die niet in woordenboeken voor hoeven te komen, denk ik dat hiermee toch sterke (onvoorspelbare) wachtwoorden ontstaan die relatief kort zijn (vergeleken met echte pass-phrases).
Door Anoniem: Toch is het voor mensen herkenbaar en makkelijk in te typen. De Nederlandse taal leent zich prima voor samengestelde woorden.
Ik denk dat je een sterker wachtwoord krijgt als je delen van meer woorden gebruikt, vooral als die delen niet toevallig voorkomen in woordenlijsten. Maar je moet wel creatief zijn om zo'n wachtwoord te bedenken. En naast het onthouden van de oorspronkelijke woorden moet je ook de wijze van afkorten onthouden.
In mijn eigen ervaring is het echter zo dat ik die oorspronkelijke woorden niet onthoud, maar dat zo'n wachtwoord invoeren al snel een automatisme wordt (dat merk ik bij een andere toetsenbord-layout; vaak moet ik dan KeePass raadplegen om na te gaan uit welke feitelijke karakters mijn wachtwoord ook al weer bestaat).
Door Anoniem: Cijfers en leestekens komen meestal achteraan een normaal woord en het leesteken is meestal '!'. Dat helpt niet tegen dictionary attacks.
Elk extra karakter verhoogt de entropie, maar inderdaad kun je in wachtwoorden het beste alles vermijden dat voor de hand ligt.
Door Anoniem: Geen enkel wachtwoord is onkraakbaar, het gaat er om voldoende veilig te zijn.
Het allerbelangrijkste is, vermoed ik, dat je wachtwoorden niet hergebruikt voor andere accounts.
Door The FOSS: Dan pleit ik voor spaties toestaan in wachtwoorden. Dan kan je gewoon hele zinnen intikken (hoeft niet eens heel lang te zijn).
Dan pleit ik ervoor om op elke positie van een wachtwoord alle 95 "printable" ASCII karakters (met byte-waardes van 32 t/m 126, beide inclusief) toe te staan. Random gegenereerde wachtwoorden hoeven dan niet eens lang te zijn om "onkraakbaar" te zijn. Belangrijker, dan hoef ik niet elke keer in KeePass onnodig de set van toegestane karakters voor elke site te wijzigen als ik een random wachtwoord laat genereren.