Hoho, maar dan weer geen '<' en '>' want daar houdt ons zelf geknutselde hashingalgoritme niet van. En die tekens zorgen voor CSRF, dus die moet je toch standaard blokkeren? Oh ja, en je wachtwoord mag maar 18 tekens lang zijn. Oh je wilt unicode karakters gebruiken? Pfffffrt.

I_me_you

Nee lekker veilig.

Het veiligste wachtwoordbeleid is geen wachtwoorden gebruiken. #FiDO2

Nog maar een keertje dan:

https://imgs.xkcd.com/comics/password_strength.png

Fijn weekend allemaal.

Mijn wachtwoord is al jaren "Zeg ik niet". Als iemand er dan naar vraagt en ik zeg het per ongeluk in een reflex dan ben ik toch veilig. Ik moet alleen niet in een situatie komen waarin ik net zo lang geslagen wordt met een $5 wrench tot ik het vertel.

Al die kutwachtwoorden belasten de mens serieus. En het wordt alleen maar erger. Daar komt ook nog al die onzin van alle pop-ups en het verplicht klikken van "I agree with this site". Allemaal onzin.

Met advies van de ncsc.gov.uk kom je een heel eind in de goede richting, maar dat kan inderdaad beter :-)

https://laatjeniethackmaken.nl/#maak-een-zeer-sterk-wachtwoord-met-diceware

Op mijn synology nas kan ik wel unicode gebruiken. Een paar smilies in je wachtwoord is geen probleem. (-:
Maar dan wel een wachtwoord manager gebruiken, want even intikken is lastig.

Het verbaast me altijd hoeveel websites een random generated complex password van een password manager niet accepteren.
Scheier heeft hier zeker een punt want als de regels vergelijkbaar zijn kunnen dat soort tools prima passwords genereren. Het nadeel van erg lange passwords op websites is het moeten overtypen op de app in je mobiel :-) .
En zijn ook sites die passwords van over de 200 karakters accepteren. Dan weet je zeker dat niemand hem meer met de ahdn intoetst.

Honderdachtentwintig willekeurige nullen of enen achter elkaar (muntje opgooien) is ook superveilig. Dan komen de nul of de een wel meer als twee keer voor dus dat is dan geen probleem meer.

100% beveiliging is sowieso een illusie.

En als je de voorbeelden navolgt (35554 met wachtwoord kwibus) en je gaat dit vergelijken met Have I been Pwned (passwords) dan komt "kwibus" in de lijst van gestolen wachtwoorden voor. Dus zo veilig is deze methode niet.

Volgens mij is het de bedoeling dat je dit voor 7 woorden uit de lijst doet, zodat je bij iets uitkomt in de trant van kwibussplagaatbuskruidplofkipdriewielerartisjokjackrussell. Gooi er nog een cijfercombinatie achter die niet makkelijk te raden zijn, zoals de aanschafdatum van je goudvis, en je hebt een wachtwoord dat vrijwel zeker uniek is.

Je moet heel veel beter lezen, dan trek je niet de verkeerde conclusie.

Het advies is NIET dat je alleen _het woord_ kwibus uit de woordenlijst kiest . Dat is een zwakke keuze .

Het advies is dat je de *combinatie* van zeven willekeurig gekozen woorden uit de lijst neemt . Dat is _wel_ een goede keuze.

Bij Diceware kies je _echt random_ een set van woorden uit een lijst van doodgewone woorden die , als woord op zich , in een woordenlijst staan, en die woordenlijst komt beslist ook voor in de woordenlijsten die een aanvaller gebruikt.
Het gaat erom dat je heel random een serie van 7 woorden kiest , en die hele serie als wachtwoord zin gebruikt.

Je zou ook heel random eenn serie van een stuk of 16 letters/cijfers kunnen nemen - dat is ook heel veilig. Alleen mensen kunnen wat beter 7 woorden (ook al hebben die niets met elkaar te maken ) onthouden dan 16 tekens.

Nou ik kan dat allebei niet onthouden hoor.
Die adviezen beginnen allemaal met "kies een makkelijk te onthouden zin" of "kies 7 makkelijk te onthouden woorden"
maar als ik dat doe en een wachtwoord maak dan kan ik me een dag later ECHT niet meer bedenken wat die zin was
of wat die woorden waren. Wellicht lukt je dat als je jong bent maar daar komt echt een einde aan.
Dus ik moet het dan toch opschrijven of in een of andere vorm van wachtwoordmanager stoppen.
Dan kan ik net zo goed gewoon een random string laten maken door een scriptje of ander speciaal programma.

Als een wachtwoord voor je neus staat is het nooit meer veilig. "dat is makkelijk te raden" kun je achteraf wel van elk
wachtwoord zeggen, maar het raden binnen het aantal keren wat je hebt is een ander verhaal.

Tegen gelekte hashes helpt toch helemaal niks. Systemen die hashes lekken liggen open.

Afhankelijk of ze salted zijn en het zoutpotje goed verstopt is.

Salt hoeft niet verstopt te zijn, alleen uniek per wachtwoord en groot genoeg...
Pepper daarentegen:
https://en.wikipedia.org/wiki/Pepper_(cryptography)
Met salt en pepper is het natuurlijk nog lekkerder. ;-)

Wachtwoordregels - even lachen - want ik herinner mij nog goed dat ik ooit werd geattendeerd op het periodiek veranderen van mijn wachtwoord op een inlogpagina.
Mea culpa, want ik had er helemaal niet meer aan gedacht. Het was dacht bij de ING, kan ook Visa/ICS zijn geweest.
Het ging keer op keer fout met de melding dat het wachtwoord niet voldeed o.i.d. De exacte melding weet ik niet meer, maar ik kon dus niet meer inloggen.

Ik had daarop gebeld naar de desbetreffende financiële dienstverlener, en na nogal wat heen en weer gevraag kwam de aap uit de mouw: pas als ik ingelogd was kon ik lezen dat het wachtwoord aan bepaalde eisen moest voldoen...

(als ik er nu aan terugdenk schiet ik dus in mijn lach, maar indertijd was mijn gedachte: Je moet toch wel een uilskuiken zijn als webbeheerder om dát te verzinnen!)

Opmerkelijk: Het kan niet anders als dat ik wel héél erg toevallig voorheen wel aan de wachtwoordeis had voldaan zonder kennisname van de eis op zich, maar dit is wel hét voorbeeld van 'IT-krommunicatie' die ik sindsdien nooit meer zo bizar heb meegemaakt.

Nee, als je geen willekeurige woorden gebruikt is het niet veilig inderdaad. Erg knap als jij een woordenboek er bij pakt, at random een paar woorden er uit plukt en dan op dat wachtwoord komt.

Een vraag voor de linguïstisch aangelegde password IT Expert:

Zouden wachtwoorden samengesteld uit willekeurige Chinese karakters veiliger zijn dan bijvoorbeeld bij gebruik van Nederlandse woorden?
Een hoogbegaafde Chinees kent maar liefst 40.000 karakters uit het hoofd en een Chinees die taalkundig gemiddeld scoort ongeveer 12.000. Complicerende factor is ook dat elk karakter in de context van een zin een verschillende betekenis heeft en - nu twijfel ik of het klopt - die verschillende karakters nogal eens opgebouwd zijn uit verschillende, ik noem het maar: streepjes of boogjes.

Iemand met kennis van de Chinese taal die hier iets over kan melden?

Dat is vast zodat een eventuele aanvaller de wachtwoordregels niet zomaar kan zien, of iets vergelijkbaar doms.

Als ze samengesteld zijn uit *willekeurige* Chinese karakters zijn ze natuurlijk veel veiliger dan bestaande Nederlandse woorden.
Het sleutelwoord is *willekeurig* .

Maar een "woord" samengesteld uit willekeurige ascii karakters is precies zo veilig als een woord (van dezelfde hoeveelheid bits) samengesteld uit willekeurige Chinese tekens.


Dat is allemaal niet heel relevant voor password - en nog minder relevant als je geen Chinees kunt lezen . Dan levert het voor jou qua gemak niks op als je een serie Chinese tekens probeert te onthouden als password, in plaats van een serie willekeurige letters en cijfers.

Eerst : praktisch gezien - de feitelijke invoer van Chinese tekens als password levert natuurlijk op ontzettend veel westerse sites een groot probleem op, omdat die als invoer 'printable ascii' verwachten.

Je kunt Chinese (en allerlei andere niet-latijnse karakters) prima opslaan en weergeven als UTF-8 , dat gebruikt meerdere bytes om een Chinees (of Koreaans, of Arabisch, of Cyrillisch) teken op te slaan , maar het is niet gegeven dat een site of applicatie dat accepteert .
En je kunt ook tegen problemen aanlopen als je op een nieuw/ander device dat opnieuw moet invoeren, maar je invoer device niet ingericht is op die teken-invoer.
Voor een klein voorbeeld, vraag je maar af hoe makkelijk het gaat als een bezoekende Duitser z'n password met ringel-S wil ingeven op jouw toetsenbord .
Of dus andersom , als jij op bezoek bent in Duitsland, of Spanje, en je krijgt een Wifi password met ringel-S, tilde boven een letter,cedille om in te geven.

Nu wat linguistiek :

Ja - een Chinees teken wordt met een aantal strepen (oorsprong : penseelstreken) opgebouwd, en die worden ook in een standaard volgorde geschilderd , als je kalligrafeert . Je ziet de penseel aanzet (dun) en het loslaten (dikker, soms bijna een druppel ) terug in de strepen . Ook dus in de gedrukte vorm, of de letters op de ruit van het Chinese restaurant.

Basale tekens (man,vrouw) bestaan uit enkele streken, en complexere uit meer streken, of zijn in zekere zin een samenbouw van simpelere karakters.
(Het teken voor dak , en het teken voor varken , gezamelijk , vormen het begrip "huis" - een oud teken met een boeren achtergrond.
https://usa.chinadaily.com.cn/weekly/2011-10/07/content_13843121.htm

Je kunt wat dat betreft dus wat genuanceerd kijken naar het "aantal unieke karakters" in het Chinees. In de zin dat het een uniek teken is , ja - maar met dergelijke constructies kan een Chinees dus in zekere zin karakters begrijpen die 'm voorheen niet persé bekend waren.

https://studycli.org/chinese-characters/number-of-characters-in-chinese/

Geeft ook als voorbeeld dat het karakter(/deel) - "radikaal" voor water, samen met dat voor vis , het karakter voor "vissen/visserij" vormt.

Nederlands bijvoorbeeld heeft veel samengestelde woorden . Hoeveel "woorden" kent een Nederlander ? "maximumsnelheid" , "kinderopvangtoeslagaffaire" , technisch gezien unieke woorden . https://onzetaal.nl/taaladvies/samenstelling
Andere Europese talen stellen wat minder samen en dan telt het aantal woorden minder hard op.

Afhankelijk van context kan de betekenis van een teken ook wat verschuiven. (je kunt een analogie zien met homoniemen - (zit)bank vs (geld)bank , beurs (aandelen , of gekneusd), arm (weinig geld of lichaamsdeel) . )

Dit is ook een aardige uitleg over karakters, woorden van enkele karakters, basis bouwstenen van karakters, en de basis penseelstreken .
https://medium.com/@adrieng/a-simple-explanation-of-chinese-characters-50f922ebe4e6

Er zijn enkele standaard-transcriptie systemen om Chinees in Latijnse letters (met accenten) om te zetten.
Het bekendste systeem heet Pinyin. https://en.wikipedia.org/wiki/Pinyin
Het is een fonetisch schrift - een standaard manier om gesproken Mandarijn Chinees weer te geven , waar de Chinese karakters een 'teken' schrift zijn, ze geven een begrip weer, en worden op één manier uitgesproken in Mandarijn Chinees, maar heel anders in Kantonees-Chinees .(er zijn een fors aantal Chinese talen die meer of minder onderling verschillen. )

Maar anyway : als het naar een computer gaat, worden het uiteindelijk een serie van bytes.

En die series van bytes hebben frequenties , net als elke taal . Een Chinese systeembeheer die een nieuwe gebruiker [tekens lijken niet mogelijk] 01 / huanyíng01 (Welkom01) als password geeft , is net zo onhandig als z'n Nederlandse collega .

Je kunt hooguit speculeren dat in de typische dictionaries die westerse aanvallers gebruiken de chinese standaard passworden niet zo veel voorkomen.

Ik las ooit een paper over het succes van password cracking en de gebruikte dictionaries . De password files kwamen uit een universitaire omgeving (US, meen ik)- behoorlijk lang geleden . Met het toevoegen van een woordenboek van wat Chinese transcripties steeg meteen het succespercentage met een behoorlijk aantal procenten. Dus duidelijk een redelijk aantal studenten met Chinese achtergrond die dachten dat simpele passwords mits in Chinese transcriptie geschreven wel goed genoeg waren.

Aimgh leverde het toevoegen van wat Klingon of Elvish woorden ook nog enkele procentjes vondsten op.


Wel kun je stellen dat je met minder *random gekozen* Chinese karakters toe kunt versus random gekozen ascii-letters.
Dat is omdat een Chinees karakter veel complexer is . Een ascii-alphabet is ca 64 tekens groot, een Chinees 'alphabet' vele tienduizenden .

Diceware construeert passwords op basis van 7 willekeurig gekozen woorden uit een lijst van ca 7700 .
Je zou met dezelfde veiligheid 7 willekeurig gekozen Chinese karakters uit een lijst van ca 7700 kunnen kiezen.

Enter LessPass... een toestandsloze wachtwoord generator, zonder kluis, zonder synchronisatie, ...


https://www.lesspass.com

Sinds Schneier Password Safe in 2002 publiceerde (laatste versie juli 2021), heeft de ontwikkeling niet stilgestaan :-)


LessPass heeft de mogelijkheid om zowel de wachtwoordlengte als de tekenset te variëren. LessPass is ook beschikbaar als een UNIX commando. Met apg kun je die trucs ook uitvoeren, met /dev/urandom als seed:

Als onze politicy nu gewoon een wet maken die het inbreken op andermans account verbiedt, probleem opgelost, toch.

@ Anoniem,

Mijn complimenten voor deze werkelijk prachtige uitvoerige reactie, en ook nog voorzien van zoveel interessante links !
Heel wat leesvoer in het verschiet. Jammer dat het weekend voorbij is... ;-) maar dat zal de pret zeker niet drukken.

Het is te lang geleden, maar heel vaag herinner ik mij iets van dat na invoer van mijn oude wachtwoord ik werd verzocht een nieuw wachtwoord in te voeren. Dus een aanvaller moet dan wél mijn oude wachtwoord correct invoeren. In mijn geval is dat een behoorlijk gepuzzel want ik gebruik absoluut minimaal 10 tekens en nooit minder dan 15 tekens voor websites met gevoelige persoonlijke informatie. Financieel etc.

Wel dit is toch wel extreem toevallig....
Zojuist wil ik een betaling afronden ten gunste van Bol.com m.b.v. Ideal en ik krijg het verzoek mijn wachtwoord te veranderen. Dat ben ik dus alweer vergeten op tijd te doen ;-) en nu gaat mij het licht op dat het enkele jaren terug bij de ING was die de wachtwoordvereisten pas toonde nadat je ingelogd was.

Nu vragen zij, net als jaren geleden op dezelfde manier, om een nieuw wachtwoord in te stellen (oud ww + 2x nieuw ww, maar de wachtwoordvereisten staan nu keurig onder het veld voor de eerste invoer van het nieuwe wachtwoord.
De ING zal de klacht zoals ik die indertijd meldde zeker vaker hebben gekregen.
Ze hebben ervan geleerd ;-)

Belangrijker dan het lijkt, is het hebben van een goed wachtwoord metertje(zoals zxcvbn) zodat je (zwakke)gebruikers gemotiveerd zijn (iets)meer tekens te gebruiken dan het minimum.

Dan heb je gelijk. Geloof jij nou echt dat de huidige generatie van politici daartoe in staat zijn? En wil jij dat zelf?

Interessant dat mensen daar een programma voor gaan schrijven! Ik heb al sinds jaar en dag een scriptje daarvoor
wat als core dit heeft:

echo $(tr -dc '2-9A-HJ-NP-Za-km-z' </dev/urandom | dd count=8 bs=1 2>/dev/null)

Dit is dan voor wachtwoorden van 8 lang met de characterset '2-9A-HJ-NP-Za-km-z', dit kun je uiteraard aanpassen.

De cijfers 0 en 1 en de hoofdletters O en I missen in de set. Dan kun je ze bij het invoeren ook niet verwisselen. Slim :-)

Juist, dat is de reden dat dit gedaan is. Deze tekens geven te vaak verwarring bij overtypen. De kleine L ook.

Die wet is er natuurlijk al lang. Het heet computervredebreuk. https://www.om.nl/onderwerpen/cybercrime/hack_right/wetsartikel-computervredebreuk

En zoals Arnoud recentelijk aangaf, is het zelf strafbaar om een wachtwoord te gebruiken dat je legaal gekregen hebt, maar voor een ander doel.

Als het dan toch een keer persee 'complex' moet zijn, kan je altijd zelf nog een toevoegen, b.v. iets onschuldigs als -, om het algoritme tevreden te stellen.

Dat zie je fout, volgens een bekend liedje is vriendschap een illusie, niet 100% beveiliging.

Wachtwoorden met een lengte van slechts acht karakters zijn niet meer van deze tijd, zeker niet nu er redelijk goede wachtwoordbeheerders en USB-tokens voorhanden zijn om je het typwerk te besparen. Ik zou voor dd minstens een count=16 toepassen (ik gebruik zelf thans 64 bytes), om bruto force pogingen zwaar te ontmoedigen

https://www.security.nl/posting/731137/Onderzoeker%3A+aanvallers+bruteforcen+geen+lange+wachtwoorden

Die websites of accounts die alleen maar korte, simpele wachtwoorden accepteren, hebben hun zaakjes meestal niet op orde. Die kun je beter vermijden. Heb je zo'n account met een zwak wachtwoorbeleid voor je werk beslist nodig, dan wil het gaan klagen bij de verantwoordelijke "functionaris gegevensbescherming" meestal wel helpen.