Eindelijk eens wat goed advies...
Nu nog afkomen van die websites die vreemde tekens vereisen...

Ik hoop dat ze ook aan websites/bedrijven gaan adviseren om deze passphrases toe te staan.

Is er trouwens een (internationale) website waar digitaal beveiligingsadvies word gegeven aan eindgebruikers?
Een plek waar ze terecht kunnen met vragen over IT security, al dan niet over best practices of specifiek advies?

Het aantal gelekte wachtwoorden is enorm is toegenomen, waardoor de kans dat een wachtwoord vóórkomt in een lijst met gelekte wachtwoorden (dictionary) steeds groter is geworden. Daar kunnen passphrases tegen helpen.

Het wellicht grootste probleem van wachtwoorden is echter hergebruik door de eigenaar voor meerdere accounts. Dat los je niet op met passphrases. Een wachtwoordmanager gebruiken (die je random wachtwoorden laat genereren) is m.i. het minst onveilig, mits je het apparaat (of apparaten) waarop je zo'n tool gebruikt in optimaal veilige staat houdt.

het aantal woorden in engels is nu ook weer niet zo groot (~5M): met 4 woorden heb je dan evenveel entropy als met ~76 bits of 16 tekens uit een 26 letter alfabet. met 5 woorden heb je ~20 tekens uit het alfabet.

Het leuke van adviezen over wachtwoorden is dat er zoveel verschillende zijn. Als er niet een is die je bevalt kun je
gewoon wachten op het volgende advies.

Net als Rumag puntjes tussen de woorden zetten...
Opgelost!

Zo'n passphrase van meer dan 14 tekens gebruik ik al jaren. Maar alleen voor interne zaken zoals de wachtwoordmanager. Maar omdat ik vaak een wachtwoord uit de manager moet halen, blijft het soms een heel getik.

Je gaat er hierbij wel van uit dat de aanvaller weet dat een passphrase wordt gebruikt.
Daarbij kun je de boel nog wat ingewikkelder maken door (sommige) letters te vervangen door letters.
This is NOT @ seef pa55w0rd!

natuurlijk is een passphrase ook een security lek waiting to happen...

Wanneer ik een 18 character wachtwoord heb, en het begint met DitIsEenWachtwoord!
Dan is de context makkelijk te raden, zelfs voor een botje.
En theoritisch zijn bestaande woorden gemakkelijker te AI-en dan random letters.

Immers, het Nederlands kent iets van 18000 woorden en ze moeten ook in context staan...
Random 18 characters kent dan 2.7038646e+33 mogelijkheden, wat me veel meer lijkt...

passphrases lijken me dan ook inherent onveiliger.

voor brute forces en rainbow tables is enkel entropy van belang. Je gaat gewoon het gehele engelse woordenboek langs met LEET erbij aan toe. het zal die computer gene ene reet uitmaken of je hekjes en cijfers of letters gebruikt hoor!

Als we even uitgaan van het meestvoorkomende scenario, dat de hashes van de wachtwoorden gelekt zijn, dan
weet je helemaal niet waarmee het wachtwoord begint. De hash zegt daar niets over.
Dus wat wil je precies suggereren?

Je vergelijkt appels met peren.

Je aanname is dat een persoon met een wachtwoord van 18 karakters ineens een wachtwoord phrase moet gaan gebruiken.
Echter, geld dit advies eerder voor mensen die een wachtwoord van 8 karakters hebben zoals "12345678", wat nog steeds in de top 10 staat van gebruikte wachtwoorden in 2023.

Daarnaast is het advies ook om "onvoorspelbaar en uniek zijn".
Met andere woorden, niet "DitIsEenWachtwoord" maar bij je AH account "De gele yoghurt is hier heerlijk" (misschien nog wat symbolen om het sterker te maken etc).

Prima wachtwoord voor een waardenloos account

Passphrases kun je niet in de praktijk gebruiken door in te tikken.
Gaat het naar een passwoordmanager en die blijken dan weer lek te zijn.a

precies wat ik aangeef, wanneer ik 18 characters met 72 opties moet bruteforces of rainbow tablen, of met 18000 woorden logische zinnen maak, dan ben ik sneller met woorden dan met random.

Jij (de aanvaller) weet niet of ik een wachtwoord van 86 random tekens gebruik of een wachtzin van 15 Engelse woorden gemixt met wat Frans, Duits en plat Brabants al dan niet met wat Leetspeak.
Als de server er dan ook nog wat zout en peper over strooit, uiteraard zoals het hoort bij elke hash iets anders, dan wens ik je veel succes met je rainbow tables.

I.i.g is iets als Correct Horse Battery Staple al een stuk beter al 12345abc.

Dat is dan weer mooi van ons complexe Nederlands. Met spellvouten kan je de woordenschat fors uitbreiden...

De woordenlijst van de Nederlandse taal bevat 180.000 woorden, 10x zo veel. De dikke Van Dale bevat er iets van 240.000, en het bestand voor de Nederlandse spellingscontrole van Linux telt er ruim 413.000. Als je uit die laatste alleen de woorden neemt die uit kleine letters bestaan (er zitten namen in en een aantal nogal vreemde dingen met leestekens) dan zijn het er nog altijd zo'n 349.000.

Net als het Duits is het Nederlands een taal waarin samengestelde woorden aan elkaar worden geschreven, en dat levert eindeloos veel woorden op. Ook al hebben veel mensen onder invloed van het Engels de neiging om veel te veel los van elkaar te schrijven, dit ken je vast wel: hottentottensoldatententententoonstelling is één woord. Dat staat niet in woordenboeken en woordenlijsten, maar het is wél een geldig Nederlands woord.

Dat komt overeen met 6 woorden uit de woordenlijst van 349.000 woorden (349000^6=1,8e33; om precies uit te komen zou je 6,03 woorden nodig hebben). Een hele mond vol, maar zes willekeurige woorden in kleine letters zijn voor mij heel wat makkelijker uit mijn hoofd te leren dan 18 willekeurige tekens uit een tekenset van 72 tekens, waar jij mee gerekend hebt.

Dat klopt niet. Als je van de tekenset van 72 waar jij mee gerekend hebt teruggaat naar 27 (kleine letters en de spatie) dan overtref je het aantal mogelijkheden dat jij noemde voor 18 tekens uit de 72-tekenset al met 24 tekens uit de 27-tekenset. Dat is als je de entropie op basis van tekens berekent. Op basis van woorden (een dictionary-aanval met een woordenlijst) krijg je een berekening die die 6 woorden oplevert die ik al noemde.

Als je ze goed gebruikt zijn wachtzinnen bij dezelfde veiligheid makkelijker te onthouden dan wachtwoorden. En bij hetzelfde gemak dus veiliger. Bij zowel wachtwoorden als wachtzinnen bestaat natuurlijk het gevaar dat mensen te makkelijke dingen verzinnen: een woord waarvoor niet die 72^18 pogingen gedaan hoeven te worden omdat ze in een lijst met veel voorkomende wachtwoorden staan, en een zin die niet uit willekeurige woorden bestaat maar veel te veel samenhang bevat die mogelijk een keer geëxploiteerd kan worden. Maar dat gevaar bestaat dus bij allebei.

Wat ik persoonlijk heb gedaan is een paar wachtzinnen maken van onzinwoorden. Geen samenstellingen uit bestaande woorden, geen kleine aanpassingen op bestaande woorden, maar volslagen betekenisloze onzin die alleen wél uitspreekbaar is en goed te typen. Dat kan ik namelijk na enige oefening prima onthouden. Ik heb wachtzinnen van woorden die (zolang mijn eigen systeem niet gecompromitteerd is) gegarandeerd in geen enkele woordenlijst te vinden zijn. Die wachtzinnen gebruik ik alleen lokaal, niet voor websites of andere diensten. Een ervan is het master wachtwoord van mijn wachtwoordmanager (KeepassXC) die per login een random wachtwoord van veel meer dan 18 tekens heeft gegenereerd.

Dat ik zo'n wachtwoord alleen lokaal gebruik is voor mij genoeg, want ik ben niet iemand die via een smartphone leeft, die heb ik tot nu toe zelfs buiten de deur weten te houden (al vrees ik dat dat een keer gaat ophouden). ik vind een goed toetsenbord en een goed beeldscherm waardevol genoeg om veel dingen te laten wachten tot ik weer thuis ben.

bla bla bla, het advies in het originele post is drie engelse woorden te gaan gebruiken...

Ik lees iets anders:

inderdaad. mijn excuus. 4 is echter nog steeds niet zo veel lijkt me.

Een password zoals zYq-&&99.Dtx@!G gegenereerd door een password manager werkt ook.