LastPass: sterk wachtwoord bestaat uit verschillende soorten karakters
Een sterk wachtwoord bestaat uit verschillende soorten karakters, zo stelt wachtwoordmanager LastPass, maar volgens het Amerikaanse National Institute of Standards and Technology (NIST), het Britse National Cyber Security Centre (NCSC) en de Wikimedia Foundation is dit achterhaald en slecht advies dat juist niet voor veilige wachtwoorden zorgt.
LastPass, dat een online wachtwoordmanager aanbiedt, kreeg het afgelopen jaren met meerdere ernstige incidenten te maken waarbij gegevens van klanten werden gestolen, waaronder kluisdata. Vandaag komt LastPass met advies voor beter "wachtwoordgedrag", waarbij het onder andere ingaat op sterke wachtwoorden. "Sterke wachtwoorden zijn lang, uniek en bestaan uit verschillende soorten karakters", aldus LastPass op het eigen blog. "Elk wachtwoord dat je maakt zou tenminste twaalf karakters lang moeten zijn, maar hoe langer hoe beter. Deze karakters moeten bestaan uit hoofdletters, kleine letters, cijfers en speciale tekens."
Dergelijke complexiteitseisen zijn echter al lang achterhaald, zo stellen verschillende organisaties. Lengte is namelijk belangrijker dan complexiteit, aldus de Wikimedia Foundation. Het toevoegen van speciale tekens of andere eisen aan wachtwoorden maakt die alleen lastiger te maken en te onthouden. Al meer dan vier jaar geleden besloot de Wikimedia Foundation het wachtwoordbeleid te veranderen, waarbij het kiest voor passphrases, wachtwoorden die uit meerdere woorden bestaan.
Ook het Britse National Cyber Security Centre adviseert om geen complexiteitseisen te gebruiken. "Het gebruik van complexiteitseisen, waar personeel alleen wachtwoorden kan kiezen die voldoende complex zijn, is een slechte verdediging tegen raadaanvallen." Volgens het NCSC zorgen dergelijke eisen voor een extra belasting van gebruikers, die dan vaak voor voorspelbare patronen zullen kiezen. Het NCSC kwam een aantal jaren geleden met een campagne waarin het mensen adviseerde om wachtwoorden bestaande uit drie woorden te kiezen.
Eerder besloot ook het Amerikaanse National Institute of Standards and Technology, een wetenschappelijke instelling die onder andere verantwoordelijk is voor het opstellen van cybersecurityrichtlijnen voor de Amerikaanse overheid, alle complexiteitseisen voor wachtwoorden uit hun richtlijnen te verwijderen. De NIST-medewerker die initieel verantwoordelijk was voor de complexiteitseisen liet in 2017 weten dat hij het advies betreurde. Desondanks verschijnen er nog altijd wachtwoordadviezen waarin complexiteitseisen zijn opgenomen.
Reacties (23)
16-03-2023, 15:42 door
majortom
Ik demk dat je hierin verschil moet maken tussen wachtwoorden die een gebruiker moet onthouden (zoals het masterwachtwoord van een wachtwoordkluis) en de wachtwoorden die in zo'n kluis zijn opgeslagen en gegenereerd. Onder de eerste categorie zou ik het NIST advies van toepassing willen laten zijn; bij de tweede categorie lijkt me het LastPass standpunt van toepassing (deze hoeven immers niet door een gebruiker onthouden te worden).
Maak het vooral makkelijk voor jezelf en voeg een spatie in je passwordphrase zoals “ikhebeenpassword” naar “ik heb een password” het wordt door de meeste systemen wel geaccepteerd.
DigiD verplicht ook complexe wachtwoorden. Zie https://tweakers.net/nieuws/96124/overheid-geeft-zwakke-digid-wachtwoorden-een-reset.html uit 2014.
Ik heb in 2014 een nieuw wachtwoord gegenereerd dat aan de minimale eisen voldeed en dat gebruik ik nu nog. Het wachtwoord daarvoor was ook al goed in mijn ogen, maar zonder lastig bijzonder leesteken (één maal, zo als bij de meeste mensen het geval zal zijn).
Voor wachtwoorden als verplicht door DigiD is het zeer belangrijk om het wachtwoord na het intypen zichtbaar te maken. Anders kunnen toetsenboordinstellingen en dingen als capslock roet in het eten gooien en dit is heel moeilijk te achterhalen voor veel (oudere) mensen.
Ik heb in 2014 een nieuw wachtwoord gegenereerd dat aan de minimale eisen voldeed en dat gebruik ik nu nog. Het wachtwoord daarvoor was ook al goed in mijn ogen, maar zonder lastig bijzonder leesteken (één maal, zo als bij de meeste mensen het geval zal zijn).
Voor wachtwoorden als verplicht door DigiD is het zeer belangrijk om het wachtwoord na het intypen zichtbaar te maken. Anders kunnen toetsenboordinstellingen en dingen als capslock roet in het eten gooien en dit is heel moeilijk te achterhalen voor veel (oudere) mensen.
Ondanks dat LastPass heel wat steken heeft laten vallen de laatste maanden, ben ik het eens met het advies van LastPass. De andere adviezen zoals van de NCSC zijn in mijn optiek begrijpelijk maar toch vreemd. We hebben onlangs binnen ons bedrijf weer aangetoond dat een AD wachtwoord bestaande uit een zin van meer dan 20 karakters relatief eenvoudig, binnen 24 uur te kraken was. Er is tot op heden nog nooit een (echt) complex wachtwoord (bestaande uit tenminste 12 karakters) gekraakt.
16-03-2023, 17:06 door
nnsa
Laat LastPass eerst hun eigen zaakjes maar eens op orde krijgen…
Door Anoniem: We hebben onlangs binnen ons bedrijf weer aangetoond dat een AD wachtwoord bestaande uit een zin van meer dan 20 karakters relatief eenvoudig, binnen 24 uur te kraken was. Er is tot op heden nog nooit een (echt) complex wachtwoord (bestaande uit tenminste 12 karakters) gekraakt.
Een dicewarewachtwoordzin bestaande uit 6 woorden heeft een entropie van 77 bits. Ga dat maar kraken.
https://en.wikipedia.org/wiki/Diceware
Een complex wachtwoord van 12 karakters (uit 95 mogelijke tekens van het toetsenbord) heeft 79 bits entropie. Dat is vrijwel even sterk, maar welke is makkelijker om te onthouden voor een mens? En is een door een mens bedacht complex wachtwoord echt maximaal complex of gebruikt de mens hazenpaadjes?
16-03-2023, 17:11 door
Erik van Straten
Door LastPass: "Deze karakters moeten bestaan uit hoofdletters, kleine letters, cijfers en speciale tekens."
Fout. Wachtwoorden moeten kunnen bestaan uit die verschillende "karakters".Wat echt oerstom is, is dat allerlei sites verschillende en belachelijke regels hanteren, zie https://dumbpasswordrules.com/sites-list/.
In https://tweakers.net/plan/3806/#r_18289856 beschreef ik wat zwakke wachtwoorden zijn, en in https://tweakers.net/nieuws/204814/#r_18286266 hoe je zelf een veilig wachtwoord zou kunnen bedenken.
Maar mijn belangrijkste advies is: verzin zelf zo min mogelijk wachtwoorden! Gebruik in plaats daarvan een betrouwbare wachtwoordmanager die dat voor jou doet, zoals https://keepass.info/.
Kenmerkend voor wachtwoorden is:
- niemand is het er over eens aan wat voor eisen ze moeten voldoen.
- wachtwoorden vormen op zich geen fatsoenlijke beveiliging.
- niemand is het er over eens aan wat voor eisen ze moeten voldoen.
- wachtwoorden vormen op zich geen fatsoenlijke beveiliging.
Als je denkt, waarom dan: https://youtu.be/aHaBH4LqGsI, geniaal, komisch, maar zo waar. 7 minuten meer dan waard om even te kijken.
Door Anoniem: Ondanks dat LastPass heel wat steken heeft laten vallen de laatste maanden, ben ik het eens met het advies van LastPass. De andere adviezen zoals van de NCSC zijn in mijn optiek begrijpelijk maar toch vreemd. We hebben onlangs binnen ons bedrijf weer aangetoond dat een AD wachtwoord bestaande uit een zin van meer dan 20 karakters relatief eenvoudig, binnen 24 uur te kraken was. Er is tot op heden nog nooit een (echt) complex wachtwoord (bestaande uit tenminste 12 karakters) gekraakt.
Een wachtwoord van meer dan 20 karakters binnen 24 uur te bruteforcen? Wat is dat voor ongein? Dit zou naar mijn weten tussen de 500M-1miljard jaar kosten.
Door Anoniem:
Een wachtwoord van meer dan 20 karakters binnen 24 uur te bruteforcen? Wat is dat voor ongein? Dit zou naar mijn weten tussen de 500M-1miljard jaar kosten.
Door Anoniem: Ondanks dat LastPass heel wat steken heeft laten vallen de laatste maanden, ben ik het eens met het advies van LastPass. De andere adviezen zoals van de NCSC zijn in mijn optiek begrijpelijk maar toch vreemd. We hebben onlangs binnen ons bedrijf weer aangetoond dat een AD wachtwoord bestaande uit een zin van meer dan 20 karakters relatief eenvoudig, binnen 24 uur te kraken was. Er is tot op heden nog nooit een (echt) complex wachtwoord (bestaande uit tenminste 12 karakters) gekraakt.
Een wachtwoord van meer dan 20 karakters binnen 24 uur te bruteforcen? Wat is dat voor ongein? Dit zou naar mijn weten tussen de 500M-1miljard jaar kosten.
Het gaat hier om een wachtwoordzin dus dat zijn waarschijnlijk 2 a 3 woorden dus stuk minder mogelijkheden dan 20 willekeurige karakters.
17-03-2023, 09:34 door
Erik van Straten
Door Anoniem:
Een wachtwoord van meer dan 20 karakters binnen 24 uur te bruteforcen? Wat is dat voor ongein? Dit zou naar mijn weten tussen de 500M-1miljard jaar kosten.
De eerste anoniem schreef "kraken", niet "bruteforcen". Bovendien hangt het er vanaf wat de aanvaller "in handen" heeft.Door Anoniem: We hebben onlangs binnen ons bedrijf weer aangetoond dat een AD wachtwoord bestaande uit een zin van meer dan 20 karakters relatief eenvoudig, binnen 24 uur te kraken was. Er is tot op heden nog nooit een (echt) complex wachtwoord (bestaande uit tenminste 12 karakters) gekraakt.
Een wachtwoord van meer dan 20 karakters binnen 24 uur te bruteforcen? Wat is dat voor ongein? Dit zou naar mijn weten tussen de 500M-1miljard jaar kosten.
De volgende wachtwoorden zijn eenvoudig te "kraken", in de zin van dat als de aanvaller er een hash van heeft, evt. met salt, deze wachtwoorden daaruit herleiden zijn:
!)!@carelesswhisper!(&*
redan-niet-meer-welkom-bij-willem-ii
correct-horse-battery-staple
Die eerste twee omdat ze in een oude dictionary met gevonden wachtwoorden vóórkomen, die laatste staat ondertussen ook in dictionaries.redan-niet-meer-welkom-bij-willem-ii
correct-horse-battery-staple
Lengte en complexiteit zijn geen garantie voor een "unhackable" wachtwoord; vaak geldt hoe "menselijker" hoe slechter.
De eisen zijn:
• géén hergebruik:
• voldoende lengte;
• randomness;
• staat niet in password-dictionaries.
M.b.t. dat laatste: voor alle zekerheid kun je elk van jouw wachtwoorden testen tegen zo lang mogelijke dictionaries.
Door Anoniem:
Een wachtwoord van meer dan 20 karakters binnen 24 uur te bruteforcen? Wat is dat voor ongein? Dit zou naar mijn weten tussen de 500M-1miljard jaar kosten.
Door Anoniem: Ondanks dat LastPass heel wat steken heeft laten vallen de laatste maanden, ben ik het eens met het advies van LastPass. De andere adviezen zoals van de NCSC zijn in mijn optiek begrijpelijk maar toch vreemd. We hebben onlangs binnen ons bedrijf weer aangetoond dat een AD wachtwoord bestaande uit een zin van meer dan 20 karakters relatief eenvoudig, binnen 24 uur te kraken was. Er is tot op heden nog nooit een (echt) complex wachtwoord (bestaande uit tenminste 12 karakters) gekraakt.
Een wachtwoord van meer dan 20 karakters binnen 24 uur te bruteforcen? Wat is dat voor ongein? Dit zou naar mijn weten tussen de 500M-1miljard jaar kosten.
Ja, dat zou zo maar kunnen.
Stel dat iemand de als behoorlijk moeilijk overkomende wachtzin "werkgelegenheidsbevorderende aansprakelijkheidsverzekeringsmaatschappij" kiest. Dat zijn 71 tekens, en als je de entropie berekent op basis van alleen kleine letters en spaties dan is dat log2(27**71) = 337,6 bits. Maar als je de Nederlandse woordenlijst die voor spellingscontrole op menig Linux-bakkie te vinden is gebruikt, waar allebei die woorden in voorkomen, dan is de entropie slechts log2(413228**2) = 37,3 bits — waarbij 413228 het aantal woorden in /usr/share/dict/dutch is op mijn systeem. Ondanks de lengte van de woorden zijn het er maar twee en voegen ze niet meer entropie toe dan kortere woorden bij een aanval op basis van die woordenlijst.
Entropie is geen vast gegeven voor een wachtwoord of wachtzin, de entropie wordt bepaald door hoe de aanvaller te werk gaat. Als die alle mogelijke tekencombinaties gaat aflopen is de genoemde wachtzin niet te kraken. Als die combinaties van woorden uit een dictionary gaat aflopen en alle gebruikte woorden staan daarin dan is de entropie opeens schrikbarend laag.
Door Erik van Straten: [...]
M.b.t. dat laatste: voor alle zekerheid kun je elk van jouw wachtwoorden testen tegen zo lang mogelijke dictionaries.
Ook daar weer mee oppassen als je een online tool hiervoor gebruikt. Voor je het weet wordt het password dat je wilt controleren (of de hash ervan) in de dictionary (of rainbow table) opgenomen.M.b.t. dat laatste: voor alle zekerheid kun je elk van jouw wachtwoorden testen tegen zo lang mogelijke dictionaries.
17-03-2023, 12:20 door
Erik van Straten
Door majortom:
Dat is een terechte waarschuwing, dank!Door Erik van Straten: [...]
M.b.t. dat laatste: voor alle zekerheid kun je elk van jouw wachtwoorden testen tegen zo lang mogelijke dictionaries.
Ook daar weer mee oppassen als je een online tool hiervoor gebruikt. Voor je het weet wordt het password dat je wilt controleren (of de hash ervan) in de dictionary (of rainbow table) opgenomen.M.b.t. dat laatste: voor alle zekerheid kun je elk van jouw wachtwoorden testen tegen zo lang mogelijke dictionaries.
In een van de links die ik eerder noemde, https://tweakers.net/nieuws/204814/#r_18286266, verwees ik naar een oude dictionary met plain text wachtwoorden die je kunt downloaden vanaf https://crackstation.net/crackstation-wordlist-password-cracking-dictionary.htm. Daarmee kun je eenvoudig zelf (op je eigen computer) checken of jouw wachtwoorden, of delen daarvan, te vinden zijn in zo'n bestand. Ik raad iedereen aan om zo'n bestand eens te bekijken, om gevoel te krijgen van wat je zeker niet als wachtwoord moet gebruiken.
Voor lokale/offline checks vind je op internet verder vooral lijsten met volledige cryptografische hashes van wachtwoorden, zoals op https://haveibeenpwned.com/Passwords. Een download-tool (waar ik zelf geen ervaring mee heb) vind je bijv. in https://github.com/HaveIBeenPwned/PwnedPasswordsDownloader.
Het nadeel van deze lijsten is dat je lastig of niet delen van jouw wachwoord kunt checken (wat wel kan met zo'n plain text file). Ook kan het "lineair" zoeken naar een hash in zo'n gigantisch lange tekstfile best lang duren. Ik heb daar ooit een tooltje voor gehacked maar dat is zo gammel dat ik het niet ga delen. Op internet (github) is vast wel het e.e.a. te vinden.
Je kunt ook vertrouwen op jouw webbrowser (waarschijnlijk moet je dergelijke checks aanzetten in de instellingen) of bijv. Apple's keychain: die kunnen "k-anonimity"-checks doen, waarbij toegezegd wordt dat niet jouw echte wachtwoord wordt gedeeld "met de cloud", maar een bewust kort gehouden afgeleide daarvan - bijvoorbeeld slechts 4 bytes van een veel langere cryptografische hash. Het voordeel daarvan is dat een aanvaller niet zoveel kan met zo'n korte hash, omdat zeer veel theoretisch mogelijke wachtwoorden diezelfde korte hash opleveren. Het nadeel is dat je vals positieven kunt hebben, nl. dat jouw wachtwoord toevallig dezelfde korte hash oplevert als een ooit gelekt ander wachtwoord. De lengte van die korte hash is dus een compromis: hoe langer, hoe groter het risico dat een kwaadwillende de korte hash die jij opstuurt naar een "check-dienst" kan "reversen", maar hoe minder vals positieven - en vice versa.
Ik heb er niet naar gezocht, maar weet iemand of gëxperimenteerd wordt met (op wachtwoorden aangepaste) neural hashes om wachtwoorden te testen? Alhoewel het risico op reversing daarbij wel eens onvoorspelbaar zou kunnen zijn, en dat lijkt mij ongewenst.
I have dos cervessa in de kuhlschrank!
Onkraakbaar met de huidige technieken.
Onkraakbaar met de huidige technieken.
Door Anoniem: I have dos cervessa in de kuhlschrank!
Onkraakbaar met de huidige technieken.
Maar twee ;-) ?Onkraakbaar met de huidige technieken.
Het beste wachtwoord is volgens mij, “zoekwerk” nee maar serieus ik kan mij niet voorstellen dat als je een
wachtwoord met allemaal verschillende tekens met een lengte van boven twintig tekens gebruikt dat dit kan
worden geraden. En als je drie keer het verkeerde wachtwoord hebt ingegeven hoort het zo te zijn dat je een
periode van minimaal vijftien minuten moet wachten om op nieuw te beginnen.
wachtwoord met allemaal verschillende tekens met een lengte van boven twintig tekens gebruikt dat dit kan
worden geraden. En als je drie keer het verkeerde wachtwoord hebt ingegeven hoort het zo te zijn dat je een
periode van minimaal vijftien minuten moet wachten om op nieuw te beginnen.
17-03-2023, 16:53 door
Erik van Straten
Door Anoniem: I have dos cervessa in de kuhlschrank!
Onkraakbaar met de huidige technieken.
Ik ga de toekomst voorspellen.Onkraakbaar met de huidige technieken.
De SHA1 hash van:
I have dos cervessa in de kuhlschrank!
664c5cad2817a79d29e9b85729f3ff44a6e602cc
Op dit moment (17-03-2023 16:53) levert https://www.google.com/search?q=664c5cad2817a79d29e9b85729f3ff44a6e602cc nog geen resultaten op, maar ik verwacht binnen 1 uur wel.
En ja hoor, https://www.google.com/search?q=664c5cad2817a79d29e9b85729f3ff44a6e602cc vindt nu deze pagina.
Als een "hacker" een wachtwoordbestand met daarin die SHA1 wachtwoordhash in handen krijgt, en daarnaar Googled, weet hij of zij wat jouw wachtwoord is.
Aanvulling 17:04: https://duckduckgo.com/?q=664c5cad2817a79d29e9b85729f3ff44a6e602cc vindt deze pagina nu ook.
Als een "hacker" een wachtwoordbestand met daarin die SHA1 wachtwoordhash in handen krijgt, en daarnaar Googled, weet hij of zij wat jouw wachtwoord is.
Aanvulling 17:04: https://duckduckgo.com/?q=664c5cad2817a79d29e9b85729f3ff44a6e602cc vindt deze pagina nu ook.
Door Erik van Straten: En ja hoor, https://www.google.com/search?q=664c5cad2817a79d29e9b85729f3ff44a6e602cc vindt nu deze pagina.
Als een "hacker" een wachtwoordbestand met daarin die SHA1 wachtwoordhash in handen krijgt, en daarnaar Googled, weet hij of zij wat jouw wachtwoord is.
Aanvulling 17:04: https://duckduckgo.com/?q=664c5cad2817a79d29e9b85729f3ff44a6e602cc vindt deze pagina nu ook.
Als een "hacker" een wachtwoordbestand met daarin die SHA1 wachtwoordhash in handen krijgt, en daarnaar Googled, weet hij of zij wat jouw wachtwoord is.
Aanvulling 17:04: https://duckduckgo.com/?q=664c5cad2817a79d29e9b85729f3ff44a6e602cc vindt deze pagina nu ook.
Die is flauw, nou moet ik het ! vervangen door een .
Hoeft niet zo moeilijk, zolang password maar lang is. Er hoeven niet veel speciale characters gebruikt te worden, een brute force attack heeft al levenveel moeite met betekenisloze maar toch goed uit te spreken wachtwoorden met maar paar specials ertussen zoals "Kartwilozopo@77" hoeft echt niet zoals "Ik&^7Gp*hdBBsk&k$"
O ja, en als je password entropie of sterkt wilt checken, gebruik dan dat exacte wachtwoord vooral niet op vele internet checktools, die kunnen goed in handen zijn van de vele snuffelende overheidsorganen die dan hashes bewaren van al die fantastisch veilige wachtwoorden.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
