User Info

 
 
Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Who's Online

  • Dot gasten: 113
  • Dot verborgen: 0
  • Dot leden: 0

There aren't any users online.

Auteur Topic: Een goed wachtwoord hoeft niet complex te zijn  (gelezen 13348 keer)

0 leden en 1 gast bekijken dit topic.

Offline WebMaster

  • Administrator
  • *****
  • Berichten: 7
Een goed wachtwoord hoeft niet complex te zijn
« Gepost op: maart 04, 2012, 19:27:15 »
Copy/paste van wat materie die ik enige tijd geleden heb uitgezocht en een artikeltje van heb gemaakt.
Doe er je voordeel mee !






Er is niets nieuws onder de zon, maar de laatste tijd horen en lezen we natuurlijk veel over databases die zijn gekraakt waarbij persoonsgegevens, maar ook logins en wachtwoorden op straat komen te liggen.

Vanuit 'de oude garde' werd ons altijd verteld dat je je wachtwoord complex moet maken, maar is dat wel zo in dit nieuwe online tijdperk? Of zijn er veilige maar voor de eigenaar makkelijke wachtwoorden ?

Kortom, tijd om eens naar de wachtwoorden te kijken. Het is daarbij goed om te weten hoe een wachtwoord gekraakt kan worden.

Hoe wordt een wachtwoord gekraakt ?
Er zijn kortweg 7 methoden om een wachtwoord te kraken;

1) Vragen: Het is verbazingwekkend hoe makkelijk wachtwoorden worden weggegeven als iemand daar om vraagt. Hierbij maakt het dus geen verschil of je een complex wachtwoord gebruikt of niet.
2) Raden: Dit is een eveneens een veel gebruikte methode met veelal nog succes ook. Veel mensen gebruiken een wachtwoord wat makkelijk te onthouden is, omdat het aan hunzelf gerelateerd is. Je lievelingskleur, de naam van je hond, je favoriete motor, noem maar op. De enige oplossing hiervoor is om het niet te doen!
3) Keylogger: Keyloggers, het woord zegt het eigenlijk al, slaan elke toets die je indrukt op. Keyloggers kunnen in je toetsenbord en computer zitten (als hardware), maar het kan ook geinstalleerde software zijn. Zogenoemde phishing-sites (sites die zich voordoen als bijvoorbeeld de ING-bank, maar het niet zijn) doen eigenlijk niet anders. Hierbij maakt de complexiteit en lengte van je wachtwoord geen enkel verschil.
4) Meekijkers: Mensen (of camera's !!) die over je schouder meekijken terwijl je typt. De lengte van je wachtwoord is hierbij wel een cruciale factor, evenals je typ-snelheid, maar ook enige complexiteit van je wachtwoord maakt het bijzonder lastig voor de meekijker. Toch hoeft dit niet te betekenen dat je een 'onmogelijk' wachtwoord hoeft te gebruiken.
5) Brute Force Attacks: Vrij vertaald: Brute Kracht Aanvallen. De hacker probeert alle mogelijkheden totdat het lukt. Stel je wachtwoord is 'sun'. Bij een brute force attack wordt worden de volgende combinaties geprobeerd: a, b, c, d [...] aa, ab, ac, ad [...] aaa,aab,aac,aad [...] en vroeg of laat komt de hacker bij 'sun' uit en is je account gekraakt. En met brute kracht is uiteindelijk alles te kraken. Het doel is dus om dit proces te vertragen. Hier komt het principe vandaan om lange en complexe wachtwoorden te gebruiken.
6) Common Word Attacks: Vrij vertaald: Veel gebruikte woorden aanvallen. Eigenlijk een vereenvoudigde vorm van Brute Force Attack, waarbij niet alle mogelijke combinaties worden afgegaan, maar waarbij voor de hand liggende woorden eerst worden geprobeerd. Bij 3 letters bijvoorbeeld: aap, bas, dik, dom [...] sun
7) Dictionary Attacks: Vrij vertaald: Woordenboek Aanvallen. Hierbij gebruikt de hacker complete woordenboeken. In het engelse woordenboek staan circa 500.000 woorden.

Wanneer is een wachtwoord veilig ?
Uit het lijstje hierboven valt op te maken dat je bij de methodes één tot en met vier zelf bij bent. Maar bij methodes vijf tot en met zeven kun je jezelf beschermen.
Een hacker gaat niet achter zijn toetsenbord zitten en stuk voor stuk het woordenboek in typen. Hier gebruikt hij een script voor wat het werk voor hem doet terwijl hij nog een bak koffie neemt. Dus het werkelijk antwoord op hoe veilig een wachtwoord is, is de tijd die een script er over doet om het te kraken. Ik kom hier later nog even op terug, maar laten we eens hoog inzetten; De meeste websites kunnen niet meer dan 100 inlog aanvragen per seconde afhandelen.
Dit betekend dat het wachtwoord 'sun' ongeveer de volgende tijd in beslag zal nemen om te kraken;
- Brute Force : 3 minuten
- Common Word : 3 minuten
- Dictionary : 1 uur 20 minuten

Dit is natuurlijk absoluut niet veilig. Maar hoeveel tijd is dan wel veilig ?
- Een wachtwoord wat in 1 minuut gekraakt kan worden is niet veilig.
- In 10 minuten ? Nee, ook niet veilig.
- In 1 uur ? Niet genoeg ...
- In 1 dag ? Nu komen we ergens. De kans dat iemand een hele dag besteedt aan het kraken van jouw wachtwoord is klein, maar wel aanwezig.
- In 1 jaar ? Dit is acceptabel, tenzij je bij de overheid werkt. Wie van ons heeft vijanden die een jaar gaan besteden aan je wachtwoord ?
- Levenslang, 100 jaar ? Dit is wel de limiet voor praktisch iedereen. Tenslotte, hoeveel mensen vinden het nog erg als hun wachtwoord is gekraakt nadat ze dood zijn ?

Laten we eens grof inzetten en kijken wat we moeten doen om een wachtwoord levenslang veilig te maken ? Hoewel, er bestaat altijd een kans dat de hacker een geluksdag heeft en je wachtwoord na 15 jaar kraakt ipv na 100 jaar ... shit happens. Dus we leggen de lat nog wat hoger en gaan voor een wachtwoord wat in 1000 jaar nog niet te kraken is, zeg maar 'secure forever'.

Gebruiksvriendelijk veilige wachtwoorden
Goed, nu we de lat erg hoog hebben gelegd en weten wat de voorwaarden zijn, is het de kunst om een wachtwoord te creëren wat ook nog gebruiksvriendelijk is, maar eveneens 'secure forever'.

Laten we beginnen met een overzichtje, waarbij 100 inlog aanvragen per seconde zijn afgehandeld op een wachtwoord van 6 tekens;



We zien hierboven dat complexiteit dus enorm veel scheelt. Een simpel woord als wachtwoord is dus kansloos. Moeten we dan toch concluderen dat we een complex wachtwoord moeten gebruiken ? Nee, de conclusie die we hieruit moeten trekken is dat een wachtwoord van 6 tekens te kort is.
Dus we gaan een vriendelijk, makkelijk te onthouden, langer wachtwoord maken. Iets wat snel en makkelijk te typen is, zelfs op je GSM.



We zien dan dat een wachtwoord bestaande uit twee simpele woorden ineens stukken veiliger is. Maken we daar drie woorden van, zijn we opeens extreem veilig. Bij 3 simpele woorden zal het ongeveer de volgende tijd in beslag nemen om te kraken;
- Brute Force : 1163859 jaar
- Common Word : 2537 jaar
- Dictionary : 39637240 jaar

Hier zien we dus dat het wachtwoord 'this is fun' tien keer zo veilig is als het wachtwoord 'J4fS<22'
Maar hierbij zijn 3 makkelijke kleine veelvoorkomende woorden gebruikt. Wat als we ongewone woorden gebruiken, die nog steeds makkelijk te onthouden zijn ?



Nu zien we dat een uitermate veilig wachtwoord niet per definitie complex hoeft te zijn!

Voorkomen is beter dan...
We hebben al gezegd dat de tijd die het kost om het te kraken de maatstaaf is. Dus met alleen een goed wachtwoord zijn we er nog niet helemaal (maar wel een heel eind). Zo is er ook aan de software kant eenvoudig wat roet in het eten te gooien.
Om het script wat de hacker gebruikt stukken minder effectief te maken, zonder dat de legale gebruiker daar last van heeft kun je het volgende doen;

1)Time Delay: Laat geen 100 logins per seconde toe. Na het ingeven van een fout wachtwoord moet bijvoorbeeld 5 seconde gewacht worden. Hier heeft de legale gebruiker nauwelijks hinder van, maar voor de hacker gaan we van 6000 logins per minuut naar nog maar 20.
2)Penalty Time: Wat zoveel wil zeggen, dat je na bijvoorbeeld 10 foute wachtwoorden een uur moet wachten om het opnieuw te mogen proberen.

Een plaatje zegt meer dan woorden, dus hier komt die, waarbij we gebruik maken van het relatief beperkt onveilige wachtwoord 'alpine fun';



Online, Offline en Rainbows[
Bovenstaande theorie gaat over online gebruik. En natuurlijk, neem bovenstaande in je achterhoofd en maak het vervolgens comlex en je wachtwoord zal nog nog nog sterker zijn. Gebruik bijvoorbeeld niet "fluffy is puffy" maar "fluFfY%is%pUFfy" en je wachtwoord is bizar veilig. Alleen het is slecht te onthouden (welke letters waren hoofdletters ?) en het is vervelend te typen, zeker als je het regelmatig gebruikt. Trouwens op je GSM is het bijna niet te doen.
En waarom zou je ? Zoals je hierboven hebt kunnen zien, is het niet nodig!
We hebben gezien dat bij 100 logins per seconde en met een volledig dictionary attack het 2537 jaar duurt om het wachtwoord "this is fun" te kraken. Neem een kleiner woordenboek met veel gebruikte woorden van pak 'm beet 1000 woorden, dan duurt het nog steeds 115 dagen om te kraken. Binnen 115 dagen kraken, mag je toch wel verwachten dat een site als Facebook actie onderneemt? Daar komt nog bij dat wij Nederlanders zijn en het voor ons dus makkelijk is een wachtwoord met Nederlandse woorden te maken en die woorden staan niet in een Engelse dictionary.

Gebruik je een veilig wachtwoord, dan is het grootste risico wat je loopt dat de server wordt gehacked. Hierbij wordt de database met alle logins en wachtwoorden gedownload en vervolgens offline gehacked.
Als dit het geval is, is de hacker niet meer gebonden aan maximaal 100 logins per seconde, maar aan vele vele vele malen meer. Je complexiteit van je wachtwoord maakt dan dermate weinig verschil, dat dit te verwaarlozen is. Indien de hacker de database in handen heeft zou hij ook nog gebruik kunnen maken van Rainbow Tables wat ik hier niet verder ga uitdiepen.
Om dit te voorkomen moet je maar hopen dat de server administrator gebruik maakt van een goede, lange, complexe salt regel. Indien dit het geval is, vervalt overigens je eigen complexiteit van je wachtwoord. De sterkte van de het salt-wachtwoord is nu de cruciale factor.

Kortom, je moet accepteren dat een server gekraakt kan worden, want als gebruiker heb je hier geen invloed op. Wat je rest is de schade beperken, door eenvoudig weg niet op alle sites hetzelfde wachtwoord te gebruiken.

Samenvatting
Bespaar jezelf een hoop frustraties door gebruik te maken van bovenstaande theorie. Gebruik lange, makkelijk te onthouden, simpel te typen wachtwoorden. Deze zijn extreem veilig tegen online aanvallen.

Op dit moment zit ik met een bakje pinda's voor mn neus. Een perfect wachtwoord zou dus kunnen zijn "jammie lekkere zoute pinda's" .... een wachtwoord van 28 tekens, met 4 woorden, 4 speciale karakters (3 spaties en 1 apostrof), bijzonder makkelijk te onthouden en bijzonder makkelijk te gebruiken in het dagelijks leven.

Even op een rijtje ....
* Gebruik 3 woorden, maar liever meer
* Gebruik spaties, of een vervanger (sterretje, punt, uitroepteken wat jij wil)
* Gebruik geen woorden die onlosmakelijk aan elkaar verbonden zijn (zoals "Yamaha thunderace")
* Gebruik niet overal het zelfde wachtwoord. Accepteer en hou er rekening mee dat een server gekraakt kan worden.
* Heb je er geen vertrouwen in ? Gebruik dan een paar speciale karakters, maar maak het niet te complex voor jezelf.
* Neem je eigen verantwoording en doe hier wat mee !
* Wil je echt extreem, kijk dan hier : https://www.grc.com/passwords.htm