image

Autoriteit Persoonsgegevens pleit voor passphrases als wachtwoord

maandag 27 november 2023, 13:49 door Redactie, 18 reacties

Bij het aanmaken van een wachtwoord kunnen gebruikers het beste voor een passphrase kiezen, een wachtwoord dat uit meerdere woorden bestaat en idealiter door middel van Diceware is gemaakt, zo stelt de Autoriteit Persoonsgegevens (AP). De privacytoezichthouder stelde onlangs al dat standaard wachtwoordeisen slechte wachtwoorden in de hand werken. De AP adviseerde toen om lange, willekeurige wachtwoorden te kiezen.

"Het risico van een lang en willekeurig wachtwoord is alleen dat u dit snel vergeet. Het menselijk brein is nu eenmaal gemaakt om te werken in patronen en structuren, niet om rijtjes letters en symbolen te onthouden", stelt AP-technoloog Jonathan Ellen vandaag. In plaats van een standaard wachtwoord is het beter om voor een passphrase te kiezen, een wachtwoord dat uit meerdere woorden bestaat.

Diceware

Om een passphrase te maken adviseert de AP als eerste het gebruik van Diceware. Om mensen te helpen bij het kiezen van willekeurige woorden voor hun passphrase zijn er verschillende systemen bedacht. De bekendste woordenlijst is de Diceware-lijst van Arnold Reinhold die in 1995 werd gepubliceerd en 7776 woorden bevat. Door verschillende keren met een dobbelsteen te rollen komt er een getal uit, dat met een woord op de woordenlijst overeenkomt, vandaar ook de naam Diceware.

Op deze manier kan er geheel willekeurig een passphrase van verschillende woorden worden samengesteld. "De grootste uitdaging zit in het onthouden van de volgorde. Een goede manier om dat te doen, is een verhaaltje te bedenken waar de woorden in de juiste volgorde in voorkomen", zegt Ellen over het gebruik van Diceware. Wanneer het te lastig is om de willekeurige wachtwoorden te onthouden kunnen mensen ook een zelfverzonnen zin gebruiken.

"Een nadeel van deze methode is dat u inlevert op willekeur. Juist als de zin logisch is, biedt dit kansen voor een crimineel om de zin te voorspellen of op te nemen in een lijst van 'te proberen wachtwoorden'. Bekende spreekwoorden, uitdrukkingen of songteksten zijn dus ongeschikt", waarschuwt de AP-technoloog.

Zelfs met goed te onthouden passphrases bestaat de kans dat gebruikers er teveel moeten onthouden. Voor dergelijke scenario's raadt Ellen het gebruik van een wachtwoordkluis aan. Het master password waarmee er toegang tot de wachtwoordkluis wordt verkregen zou uit een via Diceware gemaakte passphrase van acht woorden moeten bestaan, gecombineerd met multifactorauthenticatie (MFA).

Reacties (18)
27-11-2023, 14:12 door Anoniem
Waarom zou je nog een passphrase van 8 woorden aanraden als je toch een wachtwoordkluis gebruikt, doe dan gewoon het i.e. 64 tekens met maximale complexiteit. Je gaat het toch niet zelf schrijven, en dat is toch echt een stuk sterker dan een passphrase met 8 woorden.
27-11-2023, 15:26 door Anoniem
Straks mogen we ook al niet meer ons eigen wachtwoord kiezen. Dat moeten we dan verplicht door een softwaremonopolist laten doen, anders geen toegang. Dat wordt een hele interessante business case voor criminelen. De inzet wordt verhoogd met zo'n digitale kluis. Als je die kan hacken ben je spekkoper want dan heb je opeens alle wachtwoorden.
27-11-2023, 15:59 door Anoniem
Een issue met sterke wachtwoorden is de app op het mobieltje. Het is geen feest om 64 tekens op je mobiel over te tikken omdat in te loggen op je app.
27-11-2023, 16:15 door Anoniem
"Het risico van een lang en willekeurig wachtwoord is alleen dat u dit snel vergeet. Het menselijk brein is nu eenmaal gemaakt om te werken in patronen en structuren, niet om rijtjes letters en symbolen te onthouden", stelt AP-technoloog Jonathan Ellen vandaag.
Wat AP-technoloog Jonathan Ellen even vergeet is dat je misschien een willekeurig wachtwoord niet kunt onthouden, maar dat je ook een willekeurig gekozen zin niet kunt onthouden.
Als ik snel een willekeurige zin moet kiezen omdat ik ergens een wachtwoord voor moet hebben, en ik heb die niet een paar keer moeten invoeren, dan weet ik een paar dagen later als ik dat wachtwoord weer nodig heb echt niet meer welke willekeurige zin ik bedacht had.
27-11-2023, 16:58 door Anoniem
Door Anoniem: Een issue met sterke wachtwoorden is de app op het mobieltje. Het is geen feest om 64 tekens op je mobiel over te tikken omdat in te loggen op je app.

Met KeepassDX kan men gewoon de ingebouwde schermtoetsenbordwoordenbibliotheek gebruiken om paswoorden over te hevelen, heel veilig. (Magikeyboard, ingebouwd in KeepassDX)
Dat is daarnaast veiliger dan het gebruik van het clipboard.
Overtypen hoeft gelukkig echt niet, dat zou inderdaad geen doen zijn.
27-11-2023, 17:45 door Anoniem
Wanneer het te lastig is om de willekeurige wachtwoorden te onthouden kunnen mensen ook een zelfverzonnen zin gebruiken.

"Een nadeel van deze methode is dat u inlevert op willekeur. Juist als de zin logisch is, biedt dit kansen voor een crimineel om de zin te voorspellen of op te nemen in een lijst van 'te proberen wachtwoorden'. Bekende spreekwoorden, uitdrukkingen of songteksten zijn dus ongeschikt", waarschuwt de AP-technoloog.
Als wachtzinnen gebruik ik zinnen die ik helemaal zelf heb bedacht en waarbij ik juist niet inlever op willekeur. Ik gebruik namelijk meerlettergrepige woorden die niet bestaan. Totale onzin die wel uitspreekbaar is. Die woorden staan in geen enkele woordenlijst. Ik heb gemerkt dat ik die, na enige oefening, uitstekend kan onthouden. Tot ik zo'n wachtzin wel kan dromen en hij ook goed in mijn motorische geheugen zit (letterlijk in mijn vingers bij het typen) heb ik steeds gezorgd dat ik een briefje achter de hand had waar het op stond, wat ik vernietigde als het niet meer nodig was. Het gaat maar om enkele wachtzinnen, een ervan dient om de wachtwoordendatabase van KeePassXC te ontsluiten.
27-11-2023, 18:51 door Anoniem
Heeft de AP een dealtje met Diceware? Een passphrase gebruiken die door een app van een voor mij onbekende partij is gemaakt? Nee dank je.
27-11-2023, 18:57 door Anoniem
Heel handig als grote groepen ontwikkelaars spaties niet toestaan in wachtwoorden. Oh, niet aan gedacht dat er naast letters en cijfers ook nog spaties bestaan.
27-11-2023, 20:00 door Erik van Straten
Door Anoniem: Met KeepassDX kan men gewoon de ingebouwde schermtoetsenbordwoordenbibliotheek gebruiken om paswoorden over te hevelen, heel veilig. (Magikeyboard, ingebouwd in KeepassDX)
Ik ben al een tijd aan het testen met KeepassDX op Android (en KeePassium op iOS), maar ik vond Magikeyboard slecht werken; ik heb dat uitgezet en voor de Android autofill gekozen.

Helemaal perfect werkt dat ook niet, vooral niet bij inloggen op deze site. Maar de pagina verversen en flink inzoomen lijkt goed te helpen; met mijn pinkafdruk kan ik de database openen. Na enkele keuzes worden automatisch de juiste inloggegevens (e-mailadres en wachtwoord) ingevuld.

Belangrijk hierbij vind ik dat dit op basis van de domeinnaam gebeurt: evt. phishing wordt daarmee enorm lastig gemaakt.
27-11-2023, 21:39 door Anoniem
Waarom moeten wij alsmaar door meer hoepels springen. Digitalisering zou alles toch makkelijker maken.
Daar klopt geen hout van.
27-11-2023, 23:15 door Anoniem
Door Erik van Straten:
Door Anoniem: Met KeepassDX kan men gewoon de ingebouwde schermtoetsenbordwoordenbibliotheek gebruiken om paswoorden over te hevelen, heel veilig. (Magikeyboard, ingebouwd in KeepassDX)
Ik ben al een tijd aan het testen met KeepassDX op Android (en KeePassium op iOS), maar ik vond Magikeyboard slecht werken; ik heb dat uitgezet en voor de Android autofill gekozen.

Helemaal perfect werkt dat ook niet, vooral niet bij inloggen op deze site. Maar de pagina verversen en flink inzoomen lijkt goed te helpen; met mijn pinkafdruk kan ik de database openen. Na enkele keuzes worden automatisch de juiste inloggegevens (e-mailadres en wachtwoord) ingevuld.

Belangrijk hierbij vind ik dat dit op basis van de domeinnaam gebeurt: evt. phishing wordt daarmee enorm lastig gemaakt.

Ik vul ook inderdaad altijd de URL in van de desbetreffende website in Keepass om phishing te voorkomen.
Ik log als volgt in;

1: Ik open KeepassDX.
2: Ik selecteer de desbetreffende service waarop ik wil inloggen.
3: Ik selecteer de URL binnenin deze service in Keepass, deze brengt me naar de inlogpagina van de desbetreffende service.
4: op de inlogpagina houd ik de spatie lang ingedrukt en selecteer ik magikeyboard.
5: De dienst wordt automatisch geselecteerd door het toetsenbord en laat deze overzetten door de toetsenbordbibliotheek met twee kliks.
6: Daarna nog even mijn pincode via de Yubikey aanmelden.

Het magikeyboard van KeepassDX werkt inderdaad niet lekker als de juiste URL niet is ingevult, de dienst wordt in dat geval niet herkend en moet men deze achteraf handmatig selecteren.

Maar ieder diet het op zijn of haar eigen manier, ik schreef het zelf eerst op een papiertje, maar die verloor ik weleens...
28-11-2023, 08:53 door Anoniem
Welke idioot in de veiligheid industrie denkt dat het advies van decenia geleden nog veilig is.
We hebben net bericht gehad dat men geslaagd is in pasieve afluistering van ssh rsa private versleuteling tot 1024 wat grote gevolgen zal hebben voor alles dat niet al TLS 1.3 doorgevoerd heeft of sterkere verleuteling.
https://eprint.iacr.org/2023/1711

En hier heeft het AP het over slecht huis tuin keuken advies en dragen ze een lijst uit 1995 als voorbeeld aan die al lang gekraakt kan worden op een geautomatiseerde manier maar dat vertellen ze er weer dan niet bij.

Vervolgens wordt het goede advies gegeven een keymanager met mfa om vervolgens terug te vallen op hun dicewear marketing. Nee je hoeft niet 8 woorden lang (wat niks zegt behalve dat het 8 woorden zijn) te gebruiken je moet een complex en lang wachtwoord verzinnen en onthouden en of dat woorden zijn doet er niet toe.

Als ik 8 woorden van 3 letters achter elkaar plak wil dat nog niet zeggen dat het veilig is. En voor de wachtwoorden in de kluis volg je niet standaardisering je maakt ze zolang als kan voor de dienst mogelijk is en met zo veel mogelijk ascii variatie als is toegestaan. En nooit hergebruiken wat ook weer eens niet genoemd is.

Mensen zijn niet goed in het onthouden van data dat niet gekoppeld zit aan een gebeurtenis wachtwoorden wil je niet onthouden hell als ik mijn wachtwoorden moest onhouden in mijn vak dan zat ik over de duizend en wordt ik gillend gek.

Kap met die achterhaalde adviezen. Adviseer gewoon wachtwoord kluizen 1 supersterk wachtwoord of zin met mfa als extra beveiliging en vergeet de rest van de onzin.

En zeg er ook voor de eerlijkheid bij dat de meeste wachtwoorden gejat worden door slechte database beveiliging en niet door eindgebruikers en dat je daar zelf niks tegen kan doen en pas na gemiddeld een half jaar over te horen krijgt en dat dit de reden is waarom we sterke wachtwoorden aanraden om te zorgen dat gestolen versleutelde wachtwoord informatie niet gekraakt is voor men met een datalek melding komt bij de eindgebruiker en deze maatregelen kan treffen.

Voor bijna alle overige gevallen is er spraken van exfiltratie via malware door onvoorzichtigheid van de gebruiker wua software en dan maakt wachtwoord beleid ook geen donder meer uit.
28-11-2023, 09:29 door Anoniem
Door Anoniem: Heeft de AP een dealtje met Diceware? Een passphrase gebruiken die door een app van een voor mij onbekende partij is gemaakt? Nee dank je.
Diceware is geen "app" en ook geen "partij" waar een "dealtje" mee gemaakt kan worden. Het is gewoon een (open beschikbare) woordenlijst van 7776 woorden waardoor je de resultaten van een worp met 5 dobbelstenen kan linken aan 1 van de woorden op de lijst.
28-11-2023, 10:05 door Graaf Snuifkever
Door Anoniem: Waarom moeten wij alsmaar door meer hoepels springen. Digitalisering zou alles toch makkelijker maken.
Daar klopt geen hout van.

Oh, je hoeft niet door de hoepels te springen hoor. Je mag gewoon het wachtwoord met 8 karakters dat je vroeger van je internetprovider gehad hebt blijven gebruiken. Alleen lift Igor uit Oezbekistan dan mee op jouw account. Wat jij wilt.
28-11-2023, 11:28 door Anoniem
Door Anoniem: Waarom moeten wij alsmaar door meer hoepels springen. Digitalisering zou alles toch makkelijker maken.
Daar klopt geen hout van.
Volgens die vriendelijke verkoper en een paar positiviteitsgoeroes zou het inderdaad allemaal beter worden. In de praktijk zijn heel veel organisaties en individuen in een brak bootje met zeer beperkte stuurmanskunsten de grote oceaan opgesleept met een enorm zware storm op komst... De digital divide was al groot, maar nu hebben we ook nog te maken met een security divide onder de IT'ers.
28-11-2023, 15:04 door Anoniem
Door Anoniem:
Door Anoniem: Heeft de AP een dealtje met Diceware? Een passphrase gebruiken die door een app van een voor mij onbekende partij is gemaakt? Nee dank je.
Diceware is geen "app" en ook geen "partij" waar een "dealtje" mee gemaakt kan worden. Het is gewoon een (open beschikbare) woordenlijst van 7776 woorden waardoor je de resultaten van een worp met 5 dobbelstenen kan linken aan 1 van de woorden op de lijst.
Dus in feite 7776 tekens. (het woord lijkt complex maar telt als 1 waarde)
Hoe groot is de kand om dat te vinden?
Liever een paar woorden ertussen die niet bestaan.
28-11-2023, 15:46 door Erik van Straten
Door Anoniem: [...]
1: Ik open KeepassDX.
2: Ik selecteer de desbetreffende service waarop ik wil inloggen.
3: Ik selecteer de URL binnenin deze service in Keepass, deze brengt me naar de inlogpagina van de desbetreffende service.
4: op de inlogpagina houd ik de spatie lang ingedrukt en selecteer ik magikeyboard.
5: De dienst wordt automatisch geselecteerd door het toetsenbord en laat deze overzetten door de toetsenbordbibliotheek met twee kliks.
6: Daarna nog even mijn pincode via de Yubikey aanmelden.

Het magikeyboard van KeepassDX werkt inderdaad niet lekker als de juiste URL niet is ingevult, de dienst wordt in dat geval niet herkend en moet men deze achteraf handmatig selecteren.
Dank voor jouw reactie!

Ik ben, vooral voor minder digitaalvaardige internetters, op zoek naar oplossingen tegen phishing. Als een internetter klikt op een link in een ontvangen bericht en er een pagina opent die als twee druppels water lijkt op bijvoorbeeld login.microsoftonline.com, maar een afwijkende domeinnaam heeft, dan helpt een wachtwoordmanager niet als de internetter daarin handmatig diens Microsoft logingegevens opzoekt en op de één of andere manier invult op de nepsite.

Android autofill weet overigens niet welke domeinnamen in de KeePassDX database bekend zijn. Idealiter werkt het als volgt:

1) Stel ik ontvang een bericht met een link naar een inlogpagina zoals https://isc.sans.edu/login.html en klik daarop.

2) Als ik klik in het "Email Address" veld, verschijnt er (helaas niet altijd) een popup met daarin:
isc.sans.edu
Sign in with KeePassDX

3) Als ik op die onderste regel druk, moet ik een te laden database kiezen, dat doe ik.

4) Die database moet ik ontgrendelen met mijn pinkafdruk of wachtwoord.

5) KeePassDX zoekt vervolgens naar een record met daarin een domeinnaam die eindigt op sans.edu (helaas niet naar isc.sans.edu; als die bestaat en bijv. ook test.sans.edu krijg je een popupmenu met keuzes te zien). Ook helaas krijg je geen grote waarschuwing te zien als de domeinnaam niet gevonden wordt (Nb. in de KeePassDX instellingen heb ik "Form filling" > "Autofill settings" > "Manual selection" uit staan, maar kan dan toch handmatig records openen of ernaar zoeken; niet bepaald fool proof dus).

6) Als er een record bestaat en ik druk op de popup daarvoor, worden zowel het e-mailadres als het wachtwoord ingevuld.

Ik heb KeePassDX zo heb ingesteld dat deze hierna automatisch sluit.

Irritant is dat Android autofill niet altijd een KeePassDX popup geeft als je op een user-ID veld klikt. Dit gebeurt meestal wel als je op een wachtwoordveld klikt, maar dan wordt het user-ID veld niet automatisch ingevuld.

Wat ik feitelijk zoek is een passkey-equivalent, maar dan zonder de nadelen van passkeys.
29-11-2023, 11:54 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Heeft de AP een dealtje met Diceware? Een passphrase gebruiken die door een app van een voor mij onbekende partij is gemaakt? Nee dank je.
Diceware is geen "app" en ook geen "partij" waar een "dealtje" mee gemaakt kan worden. Het is gewoon een (open beschikbare) woordenlijst van 7776 woorden waardoor je de resultaten van een worp met 5 dobbelstenen kan linken aan 1 van de woorden op de lijst.
Dus in feite 7776 tekens. (het woord lijkt complex maar telt als 1 waarde)
Hoe groot is de kand om dat te vinden?
Liever een paar woorden ertussen die niet bestaan.

Als je 6 woorden kiest uit de lijst van 7776 woorden dan heb je al een best wel goed wachtwoord met zo'n 78bits aan entropie. Dat gaat er dan al van uit dat je weet welke woordenlijst wordt gebruikt. In praktijk is het niet zeker welke woordenlijst iemand gebruikt. Plus kan je ze op verschillende manieren achter elkaar zetten met een leesteken naar keuze tussen de woorden, en kunnen hoofdletters worden toegevoegd. Wat allemaal de entropie verhoogt.

Als iemand de woordenlijst niet weet dan is het een wachtwoord van makkelijk meer dan 40 tekens waarmee je dus makkelijk 130 bits aan entropy kan halen. Met als voordeel dat het iets is wat je als mens ook nog makkelijk kan onthouden en intypen. Soms ontkom je er niet aan dat je een wachtwoord zelf moet invoeren.

Tuurlijk een reeks van 128 willekeurige tekens is sterker, maar dat is niet praktisch als je het ooit moet invoeren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.