Bedenker van strenge wachtwoordeisen heeft spijt

quote:

Op dinsdag 8 augustus 2017 17:52 schreef Bart2002 het volgende:

[..]

Vooral punt 3 is heel kwalijk. Het mag niet langer zijn dan 13 tekens. Dat is werkelijk nergens op gebaseerd. Zij dachten daar duidelijk: als we maar heel veel regels verzinnen dan is het wachtwoord automagisch veilig. Dat idee klopt niet. Sterker nog: het is volkomen fout. Je moet niet denken als een mens als je de regels bedenkt.

Helemaal mee eens.

quote:

Op dinsdag 8 augustus 2017 17:31 schreef Bart2002 het volgende:

[..]

Idem. Alleen met iets anders ervoor Ik begon op 2008 en zit nu op 2029.

Ze zouden die wachtwoordwissel eigenlijk op jaarbasis moetne doen, dan wist je altijd je wachtwoord!

quote:

Op dinsdag 8 augustus 2017 17:52 schreef Bart2002 het volgende:

[..]

Vooral punt 3 is heel kwalijk. Het mag niet langer zijn dan 13 tekens. Dat is werkelijk nergens op gebaseerd. Zij dachten daar duidelijk: als we maar heel veel regels verzinnen dan is het wachtwoord automagisch veilig. Dat idee klopt niet. Sterker nog: het is volkomen fout. Je moet niet denken als een mens als je de regels bedenkt.

Ik wilde net aangeven dat dat belachelijk is. Veel van mijn wachtwoorden zijn langer dan 13 tekens.

quote:

Op dinsdag 8 augustus 2017 18:25 schreef Morrigan het volgende:

[..]

Ik wilde net aangeven dat dat belachelijk is. Veel van mijn wachtwoorden zijn langer dan 13 tekens.

In het algemeen: de "geheugenkunstenaars" werken volgens het principe in het onderste deel van de strip in #2. Als een wachtwoord makkelijk te onthouden is kun je dat voor veel wachtwoorden. Je moet een kleine hint naar het onderwerp van dienst doen: de site. Dat kan meestal niet in 13 tekens.

Het gaat er vooral om wat makkelijk te onthouden is. Want voor de systemen is het allemaal een 512 bits, 1024 bits, 2048 bits hashcode. Ook al is het wachtwoord 17 kantjes A4. De wachtwoorden gezien vanuit het systeem en vanuit de mens zijn heel verschillend.

quote:

Op dinsdag 8 augustus 2017 17:52 schreef Bart2002 het volgende:

[..]

Vooral punt 3 is heel kwalijk. Het mag niet langer zijn dan 13 tekens. Dat is werkelijk nergens op gebaseerd. Zij dachten daar duidelijk: als we maar heel veel regels verzinnen dan is het wachtwoord automagisch veilig. Dat idee klopt niet. Sterker nog: het is volkomen fout. Je moet niet denken als een mens als je de regels bedenkt.

AutomaTisch

Ik heb die vreemde variant al eens een keer gezien hier, dat was toch jij niet?

Bij sommige kut sites moet je nieuw ww letterlijk aan 6 criiteria voldoen

waaronder geen matchende tekens direct achter elkaar oftewel geen
Aa
22
o.i.d.

Dat is pas kut.

quote:

Op dinsdag 8 augustus 2017 17:41 schreef Flitskikker het volgende:
Hier op school:

[ afbeelding ]

Volgend jaar: Uw wachtwoord moet een ingewikkelde natuurkundige formule bevatten.

quote:

Op dinsdag 8 augustus 2017 19:00 schreef Eyjafjallajoekull het volgende:

[..]

Volgend jaar: Uw wachtwoord moet een ingewikkelde natuurkundige formule bevatten.

Dan kiest iedereen E=mc2 want simpel.

quote:

Op dinsdag 8 augustus 2017 17:44 schreef Bart2002 het volgende:

[..]

Tot het wachtwoord van deze manager aan de beurt is. Dan heb je ze allemaal in 1 keer. Slecht idee.

die hebben 2fa

quote:

Op dinsdag 8 augustus 2017 16:19 schreef Cyanide- het volgende:
[ afbeelding ]

Accurate

quote:

Op dinsdag 8 augustus 2017 19:04 schreef Manke het volgende:

[..]

die hebben 2fa

Dat maakt niet zoveel uit. De lengte in bits van de hashcode maakt het moeilijk te raden. 1 bit meer is meteen een factor 2. Maar daar gaat het natuurlijk niet om. Als e.e.a. uitlekt of geraden wordt door een bekende. Dan is het mis. Want dat betreft dan al je wachtwoorden. En het is ook nog mogelijk dat er in de software die deze dingen mogelijk maakt een backdoortje zit die gewoon beschikbaar is via "Welkom123" en dan alle hashcodes verklapt.

In het algemeen zijn dit soort dingen uitgevonden voor de mens opdat hij al zijn wachtwoorden mag vergeten omdat software dit voor hem regelt. In principe is zo'n systeem inherent onveiliger dan dat je ze zelf apart zou onthouden. Alleen kan een mens dat niet.

Het is een masterkey van de kluis. En als iemand die heeft kan hij de hele kluis leegroven. Dat is anders dan dat hij alleen je wachtwoord voor feestboek krijgt.

[ Bericht 4% gewijzigd door Bart2002 op 08-08-2017 20:46:21 ]

Het allerergste is nog wanneer je zo'n heel ingewikkeld wachtwoord moet invoeren bij een volstrekt irrelevante site, dus de website van school of van een krant om te kunnen reageren. Als iemand dat wachtwoord al zou willen kraken maakt dat nog niet zoveel uit.

Ik heb Gvd een schrift om al die ww bij te houden.

quote:

Op dinsdag 8 augustus 2017 20:10 schreef halfway het volgende:
Ik heb Gvd een schrift om al die ww bij te houden.

Daar gaat het al fout. Ze worden geacht om in jouw hoofd opgeslagen te zijn. Wat kansloos is, dat weten we allemaal.

quote:

Op dinsdag 8 augustus 2017 19:50 schreef LXIV het volgende:
Het allerergste is nog wanneer je zo'n heel ingewikkeld wachtwoord moet invoeren bij een volstrekt irrelevante site, dus de website van school of van een krant om te kunnen reageren. Als iemand dat wachtwoord al zou willen kraken maakt dat nog niet zoveel uit.

Dit inderdaad. Zoals je hierboven zag, die 34 regels waar een acceptabel wachtwoord aan dient te voldoen.... Voor de site van een school godbetert. Het is wel over the top allemaal.

quote:

Op dinsdag 8 augustus 2017 18:44 schreef Hdero het volgende:

[..]

AutomaTisch

Ik heb die vreemde variant al eens een keer gezien hier, dat was toch jij niet?

Automagisch FTW!!!!!11EINZ!

quote:

Op dinsdag 8 augustus 2017 20:47 schreef nogeenoudebekende het volgende:

[..]

Automagisch FTW!!!!!11EINZ!

Ik vond het vorige plaatje van je beter. Dat was volgens mij een leuke cynische Engelsman. Dat kwam helemaal overeen met het commentaar wat je doorgaans geeft.

quote:

Op dinsdag 8 augustus 2017 20:40 schreef Bart2002 het volgende:

[..]

Daar gaat het al fout. Ze worden geacht om in jouw hoofd opgeslagen te zijn. Wat kansloos is, dat weten we allemaal.

Het is ook maar net hoe je het bewaart. Je kunt heus wel wachtwoorden opslaan op je computer zonder dat andere kunnen zien dat het om wachtwoorden gaat. Niet allemaal uiteraard. De belangrijke onthoud je dan.

quote:

Op dinsdag 8 augustus 2017 20:42 schreef Bart2002 het volgende:

[..]

Dit inderdaad. Zoals je hierboven zag, die 34 regels waar een acceptabel wachtwoord aan dient te voldoen.... Voor de site van een school godbetert. Het is wel over the top allemaal.

Buiten dat het over de top is maakt het het brute force kraken ook simpeler. Je kunt al een hoop combinaties uitsluiten.

quote:

Op dinsdag 8 augustus 2017 16:17 schreef spijkerbroek het volgende:

[..]

http://www.nu.nl/internet(...)sen-heeft-spijt.html

Uw wachtwoord moet minstens 8 en maximaal 16 tekens bevatten.
Uw nieuwe wachtwoord moet minimaal het volgende bevatten:
- 1 hoofdletter
- 1 kleine letter
- 1 cijfer
- 1 speciaal teken

D0nd%r toch snel op
Een wachtwoord als "konijn wortel doperwt groen" is beter dan welk wachtwoord met speciale tekens en cijfers dan ook.

Gelukkig is deze man tot inkeer gekomen. Maar helaas is het kwaad al geschied.

Onzin. Je genoemde wachtwoord heeft helemaal niet zoveel entropie, vooral omdat je gerelateerde worden gebruikt. Een random string van 10+ karakters is waarschijnlijk veiliger dan dat. Als je deze methode wel wil gebruiken moet je echt random worden kiezen. Verder wordt tegenwoordig 6+ worden aangereden.

Beste optie is toch echt de password manager. Dat is dan de zwakke plek, maar anders ga je zeker wachtwoorden gebruiken en ben je de Sjaak als van een van deze sites de wachtwoorden lekken. Toch een stuk groter risico.

Verder gewoon two factor authenticatie gebruiken voor belangrijke zaken.

quote:

Op dinsdag 8 augustus 2017 17:00 schreef LXIV het volgende:
Bij het bedrijf waar ik werkt krijgt iedereen bij binnenkomst het wachtwoord Welcome01 en je moet dan iedere drie maanden een nieuw wachtwoord kiezen. Mijn wachtwoord is nu Welcome17

Herkenbaar.

quote:

Op dinsdag 8 augustus 2017 19:35 schreef Bart2002 het volgende:

[..]

Dat maakt niet zoveel uit. De lengte in bits van de hashcode maakt het moeilijk te raden. 1 bit meer is meteen een factor 2. Maar daar gaat het natuurlijk niet om. Als e.e.a. uitlekt of geraden wordt door een bekende. Dan is het mis. Want dat betreft dan al je wachtwoorden. En het is ook nog mogelijk dat er in de software die deze dingen mogelijk maakt een backdoortje zit die gewoon beschikbaar is via "Welkom123" en dan alle hashcodes verklapt.

In het algemeen zijn dit soort dingen uitgevonden voor de mens opdat hij al zijn wachtwoorden mag vergeten omdat software dit voor hem regelt. In principe is zo'n systeem inherent onveiliger dan dat je ze zelf apart zou onthouden. Alleen kan een mens dat niet.

Het is een masterkey van de kluis. En als iemand die heeft kan hij de hele kluis leegroven. Dat is anders dan dat hij alleen je wachtwoord voor feestboek krijgt.

linux gebruiker?

een hash is toch altijd even lang?

ik bedoel die managers gebruiken dan wel één wachtwoord om toegang te krijgen tot de rest, met 2fa ingeschakeld heb je niks aan alleen het wachtwoord. dan denk ik aan lastpass.

quote:

Op dinsdag 8 augustus 2017 22:23 schreef kipknots het volgende:
Onzin.

Inderdaad. En de rest van wat je schrijft ook. Jouw post schetst precies het misverstand wat er leeft en wat leading is. "Random" (zeer moeilijk te onthouden voor een mens) maakt voor de computer geen enkel verschil. Zie het plaatje in post 2 over "entropie". Men gebruikt dat vaak maar snapt niet precies wat het eigenlijk is.

quote:

Op dinsdag 8 augustus 2017 22:46 schreef Manke het volgende:
een hash is toch altijd even lang?

Ja. Hier gaan we de essentie raken van hoe het werkt. Ze zijn even lang. En ze zijn bijzonder random. Zelfs als je bijna hetzelfde wachtwoord als input hebt. Door de lengte qua hoeveelheid bits zijn ze in principe niet automatisch te kraken. Als je tenminste een limiet zet op het aantal pogingen en de pauze daarna.

De discussie over het wachtwoordgebeuren gaat m.i. over heel iets anders: hoe zijn zij voor de mens te handelen.... De systemen zijn perfect als ze voldoen aan het pauzegebeuren. Het echte probleem zetelt dus in de mens. Men zou het moeten hebben over hoe het voor de mens handelbaar en tevens veilig is. En dat gaat niet met die gibberish wachtwoorden.

Een eerste vereiste voor dit alles is: je moet de bitlengte groot maken. Als al je wachtwoorden worden omgezet naar een hashcode van 16 bits dan raad je alles binnen een seconde. Het kan ook zonder hashcode maar dan moet je een wachtwoord als plain-tekst opslaan. Wat veel beter is dan een hashcode omdat de lengte van het wachtwoord dan altijd in het voordeel werkt. Hoe langer hoe beter. Maar dat heeft dus voor de hand liggende nadelen.

Al met al is een wachtwoord een magisch getal. Voorkennis helpt hier veel. En mensen gebruiken voor alles overal hetzelfde wachtwoord. Dat maakt dat als je het weet voor een random site (dat gaat vaak toevallig) dat je het dan weet voor alles. Het probleem van een wachtwoord is niet hoe computers dit kunnen kraken maar hoe anderen er achter kunnen komen.

[ Bericht 6% gewijzigd door Bart2002 op 08-08-2017 23:14:44 ]