23 berichten aan het bekijken - 1 tot 23 (van in totaal 23)
  • Q:

    Bijdrager
    Bruce27

    wachtwoord; hoe lang duurt kraken bij ….?

    1. wachtwoord; hoe langer en gekker, etc. hoe beter.
    Maar hoe lang duurt het nu om een dergelijk ww te kraken? (wat uiteindelijk toch altijd lukt?)
    Kun je zoiets zeggen als: bij 5 tekens een uur en bij 15 tekens 100 uur met een snelle comp.?
    Ga uit van een part. met heel snelle comp. die je usb vindt en denk “proberen maar”. (de nsa en BVD kraken alles wel denk ik)

    2. Voor het geval je ook geen pasw.manager wil gebruiken: is het slim als je bv 5 ook weer volstrekt willekeurige tekens bv X keer achter elkaar zet als één wachtw. van 5.X karakters omdat zo’n combi best wel praktisch te maken is op het toetsenbord maar dan ook te onthouden.

    bvd!

    • Dit onderwerp is gewijzigd 1 jaar, 11 maanden geleden door  Pete.Z.

    Bijdrager
    Koning Frank

    Het is vooral slim om nergens twee keer hetzelfde wachtwoord te gebruiken. Dat is het (onder andere) het idee van een password manager. Ik zie niet hoe jouw suggestie daar iets aan verandert.

    Ik acht de kans vrij klein dat iemand dermate veel rekenkracht gaat inzetten om jouw wachtwoord te bruteforcen.


    Bijdrager
    Shmoo

    Mensen denken volgens mij vaak ook dat wanneer je een password manager gebruikt, dat je dan ineens in de keuken schijt en stopt met zelf nadenken.


    Bijdrager
    Koning Frank

    van die uitdrukking heb ik nou nog nooit gehoord


    Bijdrager
    pruus

    Daarom moeten in de passwords ook Emoji’s toegestaan worden en minimaal 50 karakters en of tekens bevatten. Dan wordt alles beter


    Bijdrager
    Jakko Westerbeke
    Bruce27 op 21 november 2016

    Maar hoe lang duurt het nu om een dergelijk ww te kraken? (wat uiteindelijk toch altijd lukt?)

    Daar is niks zinnigs over te zeggen, gezien de grote verschillen in rekenkracht, de entropie van het wachtwoord en de gebruikte methodes om het wachtwoord te achterhalen. Als je het bijvoorbeeld hebt over een „brute force”-aanval (d.w.z. gewoon alle mogelijke combinaties van letters e.d. systematisch proberen) dan kan het heel erg lang duren voordat je een wachtwoord gevonden hebt. Maar is het wachtwoord een (combinatie van) bestaand(e) woord(en), of andere termen die vaak in wachtwoorden voorkomen (een bestaand woord met de o vervangen door een 0 bijvoorbeeld) dan kom je er met behulp een woordenlijst waarschijnlijk veel sneller achter dan met brute kracht.

    En dan hangt het ook nog af van de manier waarop de computer die het wachtwoord controleert, ermee omgaat. Stel dat die computer maar één poging per vijf seconden toelaat, dan duurt het kraken ineens héél veel langer dan wanneer die zoveel pogingen toelaat als hij kan verwerken. (Voorbeeld uit de praktijk: iOS zal na vijf mislukte pogingen een minuut wachten tot je nog een keer mag proberen, dan vijf minuten, daarna vijftien, en dan een uur tussen pogingen 8, 9 en 10 — en geef je na poging nummer 10 nog een verkeerd wachtwoord, dan wordt de telefoon gewist. Wat je dan trouwens weer zou kunnen gebruiken om iemand te pesten, maar goed.)

    Bruce27 op 21 november 2016

    2. Voor het geval je ook geen pasw.manager wil gebruiken: is het slim als je bv 5 ook weer volstrekt willekeurige tekens bv X keer achter elkaar zet als één wachtw. van 5.X karakters omdat zo’n combi best wel praktisch te maken is op het toetsenbord maar dan ook te onthouden.

    Gebruik gewoon de sleutelhanger van OS X. Voor websites kan die zelf de wachtwoorden onthouden, en je kunt met behulp van Sleutelhangertoegang er ook met de hand aan toevoegen, of beveiligde notities maken met daarin gebruikersnamen en wachtwoorden die je kunt kopiëren zonder de notities te hoeven openen (en dus de gegevens op je scherm te hebben staan). Op deze manier hoef je geen wachtwoorden te maken die je ook kunt onthouden,¹ en dus kun je wachtwoorden gebruiken die zo lang en ingewikkeld zijn als de site toelaat.² Langer en willekeuriger is beter: druk met je ogen dicht toetsen in op je toetsenbord, of doe iets als

    date | shasum -a 256

    in de terminal, hoewel zoals pruus zegt het nog beter is als je ook tekens gebruikt die niet eens op een toetsenbord zitten.

    ¹ Behalve dan het wachtwoord voor je account op de computer.
    ² Waarbij gezegd moet worden dat de wachtwoordeisen van veel sites belachelijk beperkend zijn.


    Bijdrager
    Bruce27

    dank voor de zinvolle uitleg en suggesties!


    Bijdrager
    madcat

    Hier een schatting hoe snel je wachtwoord brute force offline te kraken is:
    https://howsecureismypassword.net/

    Maar het is inderdaad wat complexer dan dat omdat dit niet opgaat voor online systemen, maar denk iig aan de volgende “regels”

    – Zorg voor lange wachtwoorden met kleine en hoofd letters, cijfers en speciale tekens.
    – Zorg er voor dat je niet allemaal dezelfde wachtwoord hebt omdat er nog wel eens een systeem gehackt wordt
    – Zorg ook voor 2 factor authentification waar mogelijk
    – Deel geen wachtwoorden met anderen, dus ook niet de backup van je password manager in de cloud opslaan.

    • Deze reactie is gewijzigd 1 jaar, 11 maanden geleden door  madcat.
    • Deze reactie is gewijzigd 1 jaar, 11 maanden geleden door  madcat.

    Bijdrager
    Broer T.

    Straks met die quantumcomputer die we binnenkort uit Delft zien komen zal het toch wel een stuk vlotter gaan allemaal.

    • Deze reactie is gewijzigd 1 jaar, 11 maanden geleden door  Broer T..

    Bijdrager
    fenkikon
    madcat op 22 november 2016

    Hier een schatting hoe snel je wachtwoord brute force offline te kraken is:
    https://howsecureismypassword.net/

    Goede adviezen, maar je moet wel erg naief zijn om je wachtwoorden op een website in te gaan voeren. Ik raad het gebruik van password-managers overigens altijd af. Heb je namelijk het hoofdwachtwoord dan heb je gelijk alle wachtwoorden die in het programmaatje staan. Het is overigens veiliger om een ww op te schrijven en thuis op een veilige plaats te bewaren. Alhoewel je zult denken dat dat niet zo is. Beste is natuurlijk om je wachtwoorden uit je hoofd te leren.

    • Deze reactie is gewijzigd 1 jaar, 11 maanden geleden door  fenkikon.

    Bijdrager
    Bruce27

    Een aantal dingen was me bekend en werk ik ook mee.
    maar uit hoofd leren?… no way.. op moment supreme ben je het kwijt als je iets ingewikkeld hebt.
    Op papier? o, waar heb ik dat nou weer gelaten…? werkt bij mij dus niet.
    Het gaat niet om één maar wel 80 plus inlognamen. Ik kan er drie onthouden…
    ik heb voor de pwmanager één hoofdpw en wel zo lastig te raden dat lukt niemand.
    En voor de veiligheid ook bekend bij een vertrouwd bekende van me.
    dank voor alle tips.
    Ik hoop dat die quantum mislukt. ik denk dat het gevaar van dergelijke snelle comp. compleet onderschat wordt.
    Dat is de vervolmaking van de mensheid onder optimale controle.
    Deze wereld wordt m.i. vooral geregeerd door tuig met een das om en zittend aan banket; volstrekt onbetrouwbaar.


    Bijdrager
    GoeieDag

    Aha, een Trump-stemmer?

    Afijn, wachtwoorden blijven problematisch. Daarom zou voor veel meer zaken 2-staps verificatie standaard aan moeten staan.
    Zo heb ik het op mijn DigiD aan staan -het is (nog) een keus, daar waar de meeste mensen dat niet hebben.

    • Deze reactie is gewijzigd 1 jaar, 11 maanden geleden door  GoeieDag.
    • Deze reactie is gewijzigd 1 jaar, 11 maanden geleden door  GoeieDag.

    Bijdrager
    Bruce27

    nee hoor, geen idee wat het wordt met trump maar als grootvader wel bezorgd over de wereld van mijn (klein)kinderen.
    (Zelf ben ik er na zo’n 15 jaar niet meer vlg de statistiek dan)
    Ik gebruik uiteraard waar zinvol en mogelijk 2-tr. verif.
    mvg


    Bijdrager
    Jakko Westerbeke
    fenkikon op 22 november 2016

    Ik raad het gebruik van password-managers overigens altijd af. Heb je namelijk het hoofdwachtwoord dan heb je gelijk alle wachtwoorden die in het programmaatje staan.

    Dat is zo, maar je moet afwegen hoe groot de kans is dat dat achterhaald wordt samen met een kopie van de (versleutelde) wachtwoordenlijst van het programma. Op je eigen computer thuis is die kans niet bijster groot — ik zou zeggen: veel kleiner dan de kans dat de wachtwoord-database van bijvoorbeeld een forum op een website gekraakt wordt.

    fenkikon op 22 november 2016

    Het is overigens veiliger om een ww op te schrijven en thuis op een veilige plaats te bewaren. Alhoewel je zult denken dat dat niet zo is.

    Hoeveel veiliger is dat dan ze versleuteld op de computer te hebben staan? Niet zo héél erg veel, en in sommige situaties zelfs minder veilig: heeft iemand je hoofdwachtwoord, dan kan diegene bij de wachtwoorden die op de computer bewaard worden — dat voorkom je door ze in plaats daarvan op een papiertje te schrijven. Daarentegen kan iemand die fysiek bij je computer kan, maar die je hoofdwachtwoord niet weet, zo je papiertjes met wachtwoorden uit de bureaula pakken en inloggen bij je bank of je PayPal-account.

    Met andere woorden: er is geen pasklare oplossing. Weeg de risico’s van wachtwoorddiefstal af tegen de kans dat dat ook echt zal gebeuren en tegen het gebruiksgemak (hoewel dat laatste minder zwaar zou moeten tellen).

    fenkikon op 22 november 2016

    Beste is natuurlijk om je wachtwoorden uit je hoofd te leren.

    Veel plezier daarmee met wachtwoorden van 20+ willekeurige tekens. Ongetwijfeld zijn er geheugenkunstenaars die dat kunnen, maar ik vertrouw toch liever op de sleutelhanger van OS X om zulke wachtwoorden voor me te onthouden.


    Bijdrager
    joop mag het weten

    al wil je een goed wachtwoord gebruik dan kleine letters hoofdletters cijfers en tekens minimaal 8 of meer totaal en verdeel het aantal tekens en letters een beetje dat je niet een hoofdletter hebt en de rest klein. een voorbeeld: W@CHtw00?d


    Bijdrager
    Jakko Westerbeke

    Relatief eenvoudig te kraken met een woordenlijst en een paar vervangingsregels voor veelvoorkomende dingen (zoals a → @) als je het mij vraagt … Veel beter is puur willekeurige tekens, geselecteerd uit een zo groot mogelijke tekenset, en een wachtwoord dat zo lang is als toegelaten of praktisch is — alleen is dat inderdaad heel wat moeilijker te onthouden dan iets als W@CHtw00?d:)


    Bijdrager
    Bruce27

    ik doe dat heel lang met een héééél lange maar onzinnige zin waar ik van elk woord ook nog eens de laatste letter verander in een “logisch” ander teken incl mix van hoofd/klein en cijfers.
    uitgeschreven is het compleet abacadabra.
    Het ziet eruit als een door een ww-maker geproduceerd ww maar nu wél te onthouden.
    Meer kan ik niet doen tenzij ergens opslaan.


    Bijdrager
    koen
    Jakko op 26 november 2016

    Relatief eenvoudig te kraken met een woordenlijst

    Ik gebruik daarom vaak een woord uit een andere taal als basis.


    Bijdrager
    Bruce27

    volgens mij maakt dat voor een kraakmachine niets uit toch?


    Bijdrager
    Лукас

    Tsk tsk.. Doe het gewoon zo;


    Bijdrager
    Jakko Westerbeke
    koen op 27 november 2016

    Ik gebruik daarom vaak een woord uit een andere taal als basis.

    Mijn idee is dat je, als je een te onthouden woord wilt gebruiken als wachtwoord, je beter de spelling daarvan uit je lokale dialect kunt pakken, want de kans dat dat in een woordenlijst zal staan lijkt me veel kleiner dan voor hetzelfde woord volgens de ABN-spelling of uit een andere taal. Hollanders hebben dan wel een beetje pech, maar daar kan ik niet om rouwen:P

    LucasJV op 27 november 2016

    Tsk tsk.. Doe het gewoon zo;
    [snip XKCD]

    Dat werkt ook, zolang degene die je wachtwoord probeert te kraken niet weet dat je op die manier het wachtwoord gemaakt hebt — want dan is correct horse battery staple ineens niet zo heel veel beter meer dan chbs als wachtwoord (let wel: ik ben geen wiskundige en heb al helemaal geen zin om me genoeg te verdiepen in de berekeningen om aan te tonen hoeveel beter of slechter het ene is dan het andere:) ).


    Bijdrager
    koen

    Misschien is een password generator zoals 1Password veiliger?


    Bijdrager
    Bruce27

    1PW is in gebruik maar ook bij anderen in mijn directe omgeving. (groepsgebruik)
    aanvulling op mijn werkwijze: van die lange onlogische zin gebruik ik vervolgens van elk woord alleen de Xe letter en die gaat in de mallemolen.
    Het werkt prima dus de vraag was hoe lang het duurt voor je 10, 15, 20, X characters gekraakt hebt.
    en die is wel voldoende beantwoord nu.
    bedankt allemaal.

    • Deze reactie is gewijzigd 1 jaar, 10 maanden geleden door  Bruce27.
    • Deze reactie is gewijzigd 1 jaar, 10 maanden geleden door  Bruce27.
23 berichten aan het bekijken - 1 tot 23 (van in totaal 23)

Je moet ingelogd zijn om een reactie op dit onderwerp te kunnen geven.