FBI adviseert passphrase van minstens vijftien karakters
Wie zijn accounts wil beschermen doet er verstandig aan om geen wachtwoord te gebruiken, maar een passphrase van minstens vijftien karakters, zo adviseert de FBI. Organisaties zouden voor hun gebruikers of medewerkers een dergelijk lang wachtwoord of passphrase moeten verplichten, zonder te verplichten dat er hoofdletters, cijfers of speciale karakters worden gebruikt.
"Veel bedrijven en websites verplichten dat wachtwoorden uit hoofdletters, kleine letters, cijfers en speciale karakters bestaan. Recent advies van het National Institute of Standards and Technology (NIST) stelt dat wachtwoordlengte veel belangrijker is dan wachtwoordcomplexiteit", zegt FBI-agent Beth Anne Steele. Een passphrase is een wachtwoord dat uit meerder woorden bestaat.
"De extra lengte van een passphrase maakt hem lastiger te kraken, maar eenvoudiger voor jou om te onthouden", aldus Steele, die als voorbeeld de passphrases "VoicesProtected2020WeAre" en "DirectorMonthLearnTruck" geeft. Verder is het belangrijk dat organisaties wachtwoorden van medewerkers niet periodiek wijzigen, maar dit alleen doen als het netwerk is gecompromitteerd. Ook moet het gebruik van wachtwoordhints niet worden toegestaan.
Afsluitend raadt Steele het gebruik van een wachtwoordmanager aan, ondanks dat dit ook weer een risico met zich meebrengt. "Het nadeel van een wachtwoordmanager is dat als een aanvaller je wachtwoordkluis kraakt, hij al de wachtwoorden van al je accounts weet. Maar veel it-professionals zijn het erover eens dat de voordelen van een wachtwoordmanager veel groter zijn dan de risico's."
Reacties (21)
De vraag is of iets als DirectorMonthLearnTruck niet een vrij lage entropie heeft, daar het met een dictionary attack slecht een viertal variabelen is met een voorspelbare hoofdlettervariatie. Je kunt dat geenszins vergelijken met een wachtwoord met willekeurige karakters.
... die als voorbeeld de passphrases "VoicesProtected2020WeAre" en "DirectorMonthLearnTruck" geeft.
Ik vraag me af waarom dat CamelCase-wachtwoorden zijn en of men vindt dat er iets mis is met "voices protected 2020 we are" of "director month learn truck". Voor zover ik weet te beredeneren moet dat in kraakbaarheid geen noemenswaardig verschil maken terwijl het makkelijker foutloos in te typen is.De FBI is 10 jaar na XKCD eindelijk op hetzelfde niveau. :)
https://xkcd.com/936/
https://xkcd.com/936/
dus dit:
https://imgs.xkcd.com/comics/password_strength.png
helaas adviseren tot op de dag van vandaag instanties en bedrijven waar je van mag verwachten dat ze weten hoe het wel moet nog steeds dat je een reeks van moeilijke tekens moet gebruiken.. zoals de overheid en zelf een bedrijf als xs4all nog laatst in een reclame.
tja...
https://imgs.xkcd.com/comics/password_strength.png
helaas adviseren tot op de dag van vandaag instanties en bedrijven waar je van mag verwachten dat ze weten hoe het wel moet nog steeds dat je een reeks van moeilijke tekens moet gebruiken.. zoals de overheid en zelf een bedrijf als xs4all nog laatst in een reclame.
tja...
Als ze dan ook de fabrikanten op hun knieën dwingen dit mogelijk te maken! Ik heb hier bv. een Cisco RV320 en RV325 staan die vertellen mij doodleuk "The maximum length for password is 11."
"I like the FBI and the FBI likes me".
35 tekens, dus dat zit wel goed ;-D
35 tekens, dus dat zit wel goed ;-D
Door Anoniem: De vraag is of iets als DirectorMonthLearnTruck niet een vrij lage entropie heeft, daar het met een dictionary attack slecht een viertal variabelen is met een voorspelbare hoofdlettervariatie. Je kunt dat geenszins vergelijken met een wachtwoord met willekeurige karakters.
Stel dat er een miljoen woorden zijn in een taal. Dan zou je met 4 willekeurig gekozen woorden ongeveer 1.000.000 ^ 4 = 10ˆ24 mogelijkheden hebben. Eventuele CamelWachtwoord-variaties buiten beschouwing gelaten.
Een "gewoon" wachtwoord, bestaande uit hoofd- en kleine letters, cijfers en vreemde tekens - samen goed voor pak 'm beet 82 mogelijkheden, zou dan een lengte moeten hebben van 12 karakters wil het net zoveel mogelijkheden opleveren. Dus 12 volledig random gekozen karakters zijn net zo sterk als 4 willekeurig gekozen woorden.
Welke kan jij het beste onthouden?
Door Anoniem: Als ze dan ook de fabrikanten op hun knieën dwingen dit mogelijk te maken! Ik heb hier bv. een Cisco RV320 en RV325 staan die vertellen mij doodleuk "The maximum length for password is 11."
Dat is om de backdoors van de FBI te ondersteunen...Als iets makkelijker te onthouden is dan is het ook makkelijker te kraken. Voorspelbaarheid is de factor.
FBI ? beter NIST: [url[https://pages.nist.gov/800-63-3/sp800-63b.html[/url[
FBI ? beter NIST: [url[https://pages.nist.gov/800-63-3/sp800-63b.html[/url[
Door Anoniem: Stel dat er een miljoen woorden zijn in een taal.
Ik denk dat dat een beetje optimistisch is, maar het komt voor, althans als je kijkt naar het aantal woorden in woordenboeken:https://en.wikipedia.org/wiki/List_of_dictionaries_by_number_of_words
Maar ik denk dat de meeste woorden die mensen in een wachtzin opnemen uit een veel kleiner aantal gangbare woorden wordt gekozen. Wat niet moeilijk te compenseren is door de wachtzin wat langer te maken.
19-02-2020, 16:35 door
The Avenger
random password generator zoals in keepass zit verwerkt, aangeven tot 32 karakters met alle tekens.
je kan natuurlijk ook blokken met karakters genereren met random een hoofdletter elke zoveel letters of een spatie als dat geaccepteerd wordt
je kan natuurlijk ook blokken met karakters genereren met random een hoofdletter elke zoveel letters of een spatie als dat geaccepteerd wordt
Door karma4: Als iets makkelijker te onthouden is dan is het ook makkelijker te kraken. Voorspelbaarheid is de factor.
Dat is niet per se waar. Als een mens iets makkelijk te onthouden vindt wat door het algoritme van de aanvaller niet wordt uitgeprobeerd dan mislukt het kraken. Dat het menselijke brein anders werkt dan zo'n algoritme is evident.Voorbeeld: de wachtzinnen die ik gebruik bestaan uit fantasiewoorden waarvan de gelijkenis met Nederlandse woorden niet verder gaat dan het feit dat ze voor een Nederlander goed uitspreekbaar zijn. Deze wachtwoorden zijn voor mij beduidend makkelijker te uit mijn hoofd te leren dan alles wat ik in de loop van de jaren door typische wachtwoordregels ben gedwongen te gebruiken, en toch bevatten ze niets dat in een dictionary-attack langs zal komen en zullen ze in zo'n aanval dus niet gekraakt worden. De kleinere verzameling tekens die ik gebruik compenseer ik ruimschoots door de grotere lengte, waardoor ik bij een aanval die tekencombinaties uitprobeert ook gunstiger zit dan bij die voor mij moeilijk te onthouden wachtwoorden.
Door The Avenger: random password generator zoals in keepass zit verwerkt, aangeven tot 32 karakters met alle tekens.
je kan natuurlijk ook blokken met karakters genereren met random een hoofdletter elke zoveel letters of een spatie als dat geaccepteerd wordt
Dan heb je nog steeds een goede wachtzin nodig om de wachtwoorddatabase te beschermen.je kan natuurlijk ook blokken met karakters genereren met random een hoofdletter elke zoveel letters of een spatie als dat geaccepteerd wordt
19-02-2020, 17:02 door
The FOSS
Door The Avenger: random password generator zoals in keepass zit verwerkt, aangeven tot 32 karakters met alle tekens.
Die van mij (KeePassXC op Linux) gaat tot 999 tekens:
oy7o6GnBgRwhDUXDLod{/#H*h?gJ=23i8}\U)B?sj(2"F_&mEgQmH~.Yjp>@>EBc/F${8ET<w&5=!Q5a3)(yj6YJ<Q(~A29b'z3!G\]RH+ob+EMeyJ58NyUrq(FQ[5vh$46kLJP*`Pwx.::)dBZ@"T;GvY[~)[sHoLs&i;yP@onut?\5)\^5V83n4ianWBC=U=->,kM7i"Y)=!/("%3x>[b.Wk&RR$ar~+XE&iw%vZT5F*$5]C4&+4&v"G~4z+/;[Y`S,?;&,[{pDbQr3L5GjU&@8YgUHd}g<m#TbUi`43WN4?jjKjVn$A/>=q8)DwPG;tAC<YWR/ZnWA{_p/3s@f8#[^QL:$hG'z%6@VH%`s,.?iiXRA-Qz2_A]R989^zx}N*PWM/XwT~Ar~hvJ\Efb$_&.MvuRTmAVCx@V_5`(o4ouopSe6KmT%'.h>urB)@+5XF(YT+UZ9,yw;.g@C}V96gUs*/nfm}Z8cf&Ydu\fa~V&cJiU{bR'M?.,'f=6,\p=x\`>\wRf(uJEAuF#~a'a8b[5'Y7>o<`rW4NTd{ttkXF\A`JH$o!&'z8-7nQz;iyNN}{>yNP92gXo$!%PAqrJHa&&jPZ~wm*D<N22!kYPpey-2#"we5--;X(&%~6-r~ZhBi_e<D?q4s%5uEJ/\PXd*G3(n4bSCP!4Eein)sZ'^cxx--=fJ4N;h!5{N+4h[RQ?sT&c6#H[&2Eb6w-<QZH{MjpK?pGV~7}"x>M#&UY=%(m*H?]dVP6Lc(m<YS+?Z`{%'!<[@}aN4hgTBn=gL@&:$TW+)gbn^PHzowjyw4]4iW8QLJ~}NQ`<E9K;E7f2oTvHD\vi[,Z@C(Q5^FzMH=/K,wCxbd\Z5@DP>~;!.WAUY]_4"Y2FW4pY&!gMc$NYwT7b"WM2E-AW#=wXe-!d-HbG@<(n/^My!N(Z3*iiT(^^n^'?e-Lv(xTa%q_x<N"Dq?~B\&NcNF?5UH.2S==Npp{>(4itGARyaDL[9j{W!#k
(bijvoorbeeld)
Door The Avenger: je kan natuurlijk ook blokken met karakters genereren met random een hoofdletter elke zoveel letters of een spatie als dat geaccepteerd wordt
#!/bin/sh
#
# Generate random password.
#
# See: https://www.howtogeek.com/howto/30184/10-ways-to-generate-a-random-password-from-the-command-line/
#
openssl rand -base64 32
#
# Generate random password.
#
# See: https://www.howtogeek.com/howto/30184/10-ways-to-generate-a-random-password-from-the-command-line/
#
openssl rand -base64 32
20-02-2020, 07:13 door
The FOSS
Door Anoniem:
Stel dat er een miljoen woorden zijn in een taal. Dan zou je met 4 willekeurig gekozen woorden ongeveer 1.000.000 ^ 4 = 10ˆ24 mogelijkheden hebben.
Door Anoniem: ...
Stel dat er een miljoen woorden zijn in een taal. Dan zou je met 4 willekeurig gekozen woorden ongeveer 1.000.000 ^ 4 = 10ˆ24 mogelijkheden hebben.
Combineer several langues und tu as er nog viel mehr than that.
Komt er ooit een dag dat advies omtrent sterke wachtwoorden verleden tijd is ?
Door The FOSS:
Combineer several langues und tu as er nog viel mehr than that.
Door Anoniem:
Stel dat er een miljoen woorden zijn in een taal. Dan zou je met 4 willekeurig gekozen woorden ongeveer 1.000.000 ^ 4 = 10ˆ24 mogelijkheden hebben.
Door Anoniem: ...
Stel dat er een miljoen woorden zijn in een taal. Dan zou je met 4 willekeurig gekozen woorden ongeveer 1.000.000 ^ 4 = 10ˆ24 mogelijkheden hebben.
Combineer several langues und tu as er nog viel mehr than that.
Die berekening klopt alleen als je ook werkelijk een corpus van een miljoen woorden beschikbaar hebt/neemt, en daar volledig random er vier uitkiest.
FWIW, er staan zo'n 240.000 woorden in de Van Dale. Je moet echt werken om 1M unieke woorden bij elkaar te krijgen.
In de OED zo'n 170.000 in current use, en 47.000 'obsolete' .
Als je 'gewoon uit je hoofd' vier willekeurige woorden neemt
1) - je kent echt geen miljoen worden om uit te kiezen
2) - mensen kunnen niet willekeurig kiezen.
Aangezien men normaal zo'n 20.000 tot 30.000 worden gebruikt is het argument dat 'woorden makkelijker te onthouden zijn' dubieus wanneer die gekozen worden uit corpora van 1M woorden - daar zullen heel veel obscure / jargon woorden bij zitten die je gewoon niet kent.
Wat meer woorden uit een kleinere lijst (het Diceware model) is wat dat betreft waarschijnlijk beter.
1. de discussies heirboven over het aantal woorden in een taal / woordenboek gaan allemaal voorbij aan een ander probleem: als mensen random wachtwoorden van 8 tekens of meer (zo op het oog meer entropy dan een beperkte reeks woorden, maar let op in punt 2) moeten onthouden per site, dan gaan ze die opschrijven. die komen dus op post-its naast het scherm. dan is het hebben van onthoudbare wachtwoorden met iets minder entropy per lengte toch nog steeds beter.
maar verder,
2. vwb die aantal woorden; er zijn maar twee bits, de 0 en de 1 en door en maar genoeg te gebruiken kun je toch meer informatie en entropy hebben. woorden kun je zien als een soort bit per woord die niet twee maar veel meer states heeft. door maar genoeg woorden te gebruiken kun je ook weer genoeg entropy genereren.
voorbeeldje (pak er maar een calculator bij die logaritmes overweg kan), stel een woordenboek met 10000 woorden: 32 bits (4 tekens/bytes zonder beperkingen) komt dan overeen met 3 woorden. voor een 8 teken wachtwoord zonder beperkingen is slechts 6 woorden voor nodig. dat is ook logisch want er zijn maar twee bits en in het gekozen voorbeeld kan elk woord eentje uit 10000 zijn.
nu hebben de meeste system ook nog eens beperkte teken sets als wachtwoorden (iets met een toetsenbord enzo): beperkt bijvoorbeeld tot [a-z,A-Z,0-9] (62 tekens) heeft een 8 teken wachtwoord slechts 4 woorden weer nodig (62^8 < 10000^4).
efin, 10000 woorden in een woordenboek is weinig en als er dus wachtzinnen van 6 woorden gebruikt worden, die vele male makkelijker te onthouden zijn voor mensen, dan ben je er wel hoor vwb entropy / informatie.
zo dom is die FBI in mijn ogen eigenlijk dus niet!
maar verder,
2. vwb die aantal woorden; er zijn maar twee bits, de 0 en de 1 en door en maar genoeg te gebruiken kun je toch meer informatie en entropy hebben. woorden kun je zien als een soort bit per woord die niet twee maar veel meer states heeft. door maar genoeg woorden te gebruiken kun je ook weer genoeg entropy genereren.
voorbeeldje (pak er maar een calculator bij die logaritmes overweg kan), stel een woordenboek met 10000 woorden: 32 bits (4 tekens/bytes zonder beperkingen) komt dan overeen met 3 woorden. voor een 8 teken wachtwoord zonder beperkingen is slechts 6 woorden voor nodig. dat is ook logisch want er zijn maar twee bits en in het gekozen voorbeeld kan elk woord eentje uit 10000 zijn.
nu hebben de meeste system ook nog eens beperkte teken sets als wachtwoorden (iets met een toetsenbord enzo): beperkt bijvoorbeeld tot [a-z,A-Z,0-9] (62 tekens) heeft een 8 teken wachtwoord slechts 4 woorden weer nodig (62^8 < 10000^4).
efin, 10000 woorden in een woordenboek is weinig en als er dus wachtzinnen van 6 woorden gebruikt worden, die vele male makkelijker te onthouden zijn voor mensen, dan ben je er wel hoor vwb entropy / informatie.
zo dom is die FBI in mijn ogen eigenlijk dus niet!
Het probleem van lange wachtwoorden is dat als je vergeet om je schermbeveiligingstijd niet te verlengen je er niet meer in komt.
26-02-2020, 18:04 door
Jan Kol
Hier is al een aantal keren KeePass genoemd. In principe is dat een veilige wachtwoordmanager mits op de juiste wijze gebruikt. Ik heb mijn KeePass database op een USB-stick staan, welke alleen toegankelijk is als ik de computer gebruik; en heb uiteraard en kopie op een andere USB-stick staan "voor het geval dat". Voorzien van een wachtwoord van "maar" 14 tekens. Andere wachtwoordmanagers, zoals LastPass hebben het nadeel dat zij alleen via het internet werken en mede daardoor kwetsbaarder zijn.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
