Als internetter heb je al gauw enkele tientallen wachtwoorden nodig om in verschillende omgevingen in te loggen. In deze blog sta ik uitgebreid stil bij de complexe wereld van wachtwoorden en geef ik achtergrondinformatie en tips om het wachtwoord op een optimale manier te gebruiken om zo maximale bescherming te bieden.

Wat is een wachtwoord?
De term wachtwoord komt uit het verleden. Oorspronkelijk werden accounts op kantoorsystemen beschermd door een wachtwoord van vaak 8, en soms slechts 6 tekens. Tegenwoordig kunnen wachtwoorden veel langer zijn, soms tot 256 tekens of zelfs ongelimiteerd. Hoewel we dus van wachtwoord spreken, zouden we ook wachtzin of wachtstring kunnen zeggen. Verderop leg ik uit hoe belangrijk de lengte van het wachtwoord is.

Als het goed is worden wachtwoorden niet rechtstreeks opgeslagen in de omgeving waar ze gebruikt worden. Meestal zit er een ingewikkelde wiskundige bewerking op (hash function) die van het originele wachtwoord een ander “woord” maakt – een verhaspelde vorm.

De sterkte van een wachtwoord en het kraken ervan
Hoe gaat het kraken van wachtwoorden in zijn werk? De indringers gaan, geautomatiseerd en systematisch, alle mogelijkheden af tot ze het juiste wachtwoord hebben gevonden. Deze methode noemen we trial-and-error en het kan razendsnel. Met sommige tools kun je miljarden wachtwoorden per seconde proberen. Hoe langer een wachtwoord is, hoe meer tijd een wachtwoord-cracker nodig heeft om alle mogelijkheden te proberen.

Een rekenvoorbeeld: Als we uitgaan van 90 keuzes -per teken in een wachtwoord- en een lengte van 12 tekens van het wachtwoord, doet een cracker er 9012 pogingen over om alle combinaties te proberen, ofwel 282429536481000000000000 pogingen. Een aanvaller die er een miljard per seconde uitprobeert, is dan 282429536481000 seconden bezig om alle mogelijke combinaties uit te proberen, wat neerkomt op bijna negen miljoen jaar!

In hoeverre hebben lengte en variatie van een wachtwoord invloed op de tijd dat het kost om een wachtwoord met trial-and-error te achterhalen? Zie de tabel. Daarbij ga ik uit van 1 miljard pogingen per seconde, en dat de treffer waar naar gezocht wordt min of meer in het midden van de test valt. Door de waardes te verdubbelen, krijgt men de absolute bovengrens: in die tijdsspanne zijn alle mogelijke combinaties getest.

wachtwoordsterkte
(lengte en variatie)
lengte = 6 lengte = 8 lengte = 10 lengte = 12
variatie = 26 0,15 seconden 1,75 minuten 19,5 uur 1,5 jaar
variatie = 52 10 seconden 7,5 uur 2.29 jaar 62 eeuw
variatie = 62 28 seconden 30,5 uur 13.3 jaar 511 eeuw
variatie = 90 4,5 minuten 25 dagen 552 jaar 4.500 millennia

 

Naast lengte helpt het om de gebruikte tekens te variëren (kies dus niet alleen kleine of hoofdletters, maar ook cijfers en leestekens). Maar de lengte van het gekozen wachtwoord is doorslaggevend voor de sterkte ervan. Size does matter! Dat leidt tot tip 1:

TIP 1
KIES EEN LANG WACHTWOORD
(of wachtzin; een spatie is net zo goed een geldig teken als alle andere tekens). Op dit moment is een lengte van 12-16 tekens een goede standaardkeuze, maar langer is veiliger. Een lengte van 8 is volkomen ongeschikt.

Wachtwoorden, wachtwoorden. En nog meer wachtwoorden
We hebben steeds meer wachtwoorden nodig. Het dilemma is: overal hetzelfde wachtwoord gebruiken (met alle risico’s van dien als dat alomvattende wachtwoord op straat belandt), of het gebruik van verschillende wachtwoorden, die je allemaal moet onthouden. Dit laatste kun je oplossen met een tool die al je wachtwoorden administreert. De tool is afgeschermd met 1 eigen wachtwoord. De voordelen zijn legio: alle wachtwoorden worden bewaard inclusief de omgeving waar ze betrekking op hebben, ze zijn afgeschermd tegen onbevoegd gebruik, en vele uitvoeringen van deze tool bieden extra functionaliteit zoals het genereren (“verzinnen”) van veilige wachtwoorden, en het plaatsen in de juiste context van eventuele verdere invulgegevens. Het is uiteraard wel zaak om het wachtwoord van de tool zelf een zeer veilig wachtwoord te laten zijn, van voldoende lengte (liefst 16 of meer) en samengesteld uit een brede variatie van tekens.

TIP 2
GEBRUIK EEN WACHTWOORDTOOL
(password manager) om de wachtwoorden voor web-omgevingen, accounts of andere omgevingen op 1 centrale plek op te slaan. Stel een zeer veilig wachtwoord in voor de tool zelf en maak op gezette tijden een back-up van de gegevens die in de tool zijn opgeslagen. Er zijn momenteel verschillende goede wachtwoordtools beschikbaar, sommige betaald, sommige zonder vereiste betaling. Enkele bekende zijn:

o   1Password
o   KeePass
o   iCloud-sleutelhanger
o   LastPass

Op de website van de Consumentenbond staat een vergelijkende test van vijf wachtwoordmanagers.

Ben ik nu veilig?
Bovenstaande tips helpen in belangrijke mate om je gegevens veiliger te laten zijn, maar ze geven geen volledige garantie. Ze beschermen niet tegen aanvallen zoals:

  • De installatie van kwaadaardige software die (bijvoorbeeld) het toetsenbord afluistert op het moment dat je wachtwoorden intoetst. De beste bescherming hiertegen biedt nog altijd een optimaal onderhouden systeem, met up-to-date virusscanners e.d.
  • Het ontfutselen van inloggegevens op vervalste websites. Controleer dus altijd goed of een omgeving wel echt de vertrouwde plek is waar je denkt te zijn. Ziet het er anders uit? Voer dan niet zomaar je wachtwoord in! Controleer de navigatiebalk en verifieer dat de URL ook die is die je kent van eerdere bezoeken.

TIP 3
VERIFIEER DE ECHTHEID
van een site alvorens een wachtwoord in te voeren. Let daarbij op allerlei kenmerken, zoals vorm, tekst, en de exacte samenstelling van het eerste deel van het webadres.

Wachtwoord kwijt – wat nu?
De meeste omgevingen hebben een methode voor wachtwoordherstel. Vaak komt dat neer op een specifieke vraag die alleen de gebruiker kan beantwoorden (de achternaam van je opa van moeders kant, de roepnaam van je eerste huisdier). Een andere methode is via een vooraf ingesteld contactgegeven (e-mailadres, mobiel nummer), waar je dan een reset-link o.i.d. op ontvangt. Let hierbij goed op. Immers, hoe sterk het wachtwoord ook is (was), het enige dat een indringer hoeft te doen is het herstel-geheim kennen om een nieuw wachtwoord in te (laten) stellen.

Stuurt een omgeving het originele wachtwoord opnieuw toe? Dat is zeer risicovol: zij hebben het wachtwoord kennelijk in onverhaspelde vorm opgeslagen, met alle risico’s van dien. Als gebruiker kun je je afvragen of, en zoja welke gegevens je aan zo’n omgeving toevertrouwt.

Sommige omgevingen kunnen niet aan wachtwoordherstel doen, zoals webmaildiensten die de mail automatisch en onherroepelijk versleutelen. Ofschoon zij ironisch genoeg een risico vormen voor de houdbaarheid van de opgeslagen gegevens, zijn zij wel het veiligste in termen van gegevensbescherming. Er kan niemand bij de gegevens, ook de dienstverlener zelf niet, en ook de wachtwoorden zijn niet opgeslagen.

Komt er ooit iets anders?
In feite zijn wachtwoorden als beveiligingsmechanisme enigszins achterhaald. In opkomst is wat we noemen multi-factor authenticatie. Deze methode gebruikt ook iets dat de gebruiker in bezit moet hebben, naast iets wat hij of zij moet weten. Een extra stap is een biometrische factor – een biologisch en onlosmakelijk element van de gebruiker zelf, zoals de iris of een vingerafdruk.

Een voorbeeld van multi-factor authenticatie is wat banken doen. Al sinds jaar en dag gebruiken zij 2-factor authenticatie: bij het elektronisch bankieren heeft de gebruiker zowel een logincode nodig als een aparte omgeving of apparaatje dat eenmalige codes genereert. Deze trend zal ook in andere omgevingen zichtbaar worden.

Ook XS4ALL is op dit moment bezig met voorbereidingen om aan gebruikers een 2-factor authenticatie als alternatief aan te bieden voor de klassieke gebruikersnaam/wachtwoord combinatie. Totdat dergelijke nieuwe en veiligere methodes op grote schaal zijn ingevoerd zullen we het beste moeten maken van de oude vertrouwde wachtwoorden. Dat is, mits bewust gebruikt, nog steeds een behoorlijk veilige methode.

 

Deel dit:

Reacties

  1. R says:

    Ik doe regelmatig pasword-audits en wat me opvalt is dat veel gebruikers herkenbare patronen hebben, of wachtwoorden welke in wordlists voorkomen, of gebaseerd zijn op woorden welke in wordlists voorkomen (nu zeg ik bewust wordlists en geen woordenboek, want qwerty is geen woord, en ook geen sterk wachtwoord.. evenals qazwsxedc etc…). Gemiddeld kraak ik 90% van alle wachtwoorden (gemiddeld zo’n 15000-40000 per set) binnen een halve dag. En ja, daar zitten soms ook wachtwoorden van +20 tekens tussen (LangeHuppeldepubweg12a) o.i.d.

    Ja, lengte is belangrijk, maar zorg vooral dat die lengte niet komt uit ‘n standaard woord (en o vervangen door 0 helpt een beetje, maar is 1 van de word-mangle-rules die op de wordlists worden losgelaten…)

    • Wagwoordt says:

      Een halve dag voor het kraken van een wachtwoord…

      Veel mensen haken al af na 5 minuten.

      Waarschijnlijk gebruikt je ook nog eens een ‘tool'(software), gezien het feit dat je praat over wordlists…

      Dus handmatig (zonder brute force attack + wordlists) valt het allemaal wel mee :-)

  2. Arno says:

    Iedereen begrijpt het waarschijnlijk wel. Een type-fout. Tagcode moet zijn Tancode.

  3. Pierre Wolters says:

    Wat ik niet snap, is dat er geen limiet gesteld wordt aan het aantal pogingen om in te loggen. XS4All kan toch blokkeren als er een of ander computerprogramma vele pogingen doet? Er zijn sites die hier gebruik van maken. Wat maakt dat XS4All dit niet kan of niet wil doen?

  4. Arno says:

    Natuurlijk is er de angst voor misbruik door anderen bij gebruik van een minder veilig wachtwoord. Bedenk dat alleen bij websites waarmee je financiële transacties kan doen (koopsites, bank, iDeal etc.) het extra van belang is om een sterk wachtwoord te kiezen. Voor andere sites is dat van minder belang. Dus het aantal wachtwoorden kan beperkt zijn. Wanneer iedereen mobiel bereikbaar zou zijn dan zou het versturen van een tagcode(banken) een extra beveiliging kunnen zijn. Helaas is dat nog niet de oplossing.

  5. Dirk Z says:

    NB Gewoon een moderne vingerafdruklezer toepassen. Die kosten niet veel en zijn op redelijk wat laptops al ingebouwd.

  6. Dirk Z says:

    En bij welk systeem kun je een miljard wachtwoorden per seconde testen? Je kan er toch van uit gaan dat de gecrypte string niet bij de krakers bekend is.
    Overigens werken zinnen als wachtwoord beter dan doorwrochte korte wachtwoorden.

  7. BoekMarc says:

    Naast dat ik een wachtwoord tool gebruik, en dus nauwelijks iets hoef in te tikken of te onthouden, en mijn wachtwoorden 24 tekens of meer zijn, heb ik ook een domein met email, speciaal voor inlog-email bij wachtwoorden.
    Alle mail komt op 1 adres binnen, en ik kan onbeperkt email adressen aanmaken.
    Bij elke nieuwe inlog gebruik ik dus naast het nieuwe wachtwoord, ook een nieuw emailadres.
    Dus als er eens 1 bekend raakt doordat een site lek is, is die niet direct te koppelen aan alle andere inloggevens.
    Simpel maar doeltreffend. Wel alleen in combinatie met de wachtwoordtool, die alle inlogggevens opslaat en invult wanneer nodig.

  8. Bewaarplicht says:

    Met de bewaarplicht kun je altijd nog je wachtwoord bij de AIVD opvragen, handig ! :-)

  9. Johan says:

    De Kat Van De Buren Op 16 Heet Jimmy – DkVdBo16Hj
    In 1980 Heeft Tante Jo Een Dwarslesie Gehad – I198OhTjEdG
    Oom Jan Rijdt In Een Volvo 340 Uit 1973 – 7391u043VeIrJo
    17 Januari Ging Ik om 12 Uur met Lijn 13 Naar De Tandarts – 17JgIo12UmL13nDt
    In De Zomer Van 2010 Heb Ik In Rio Angelique Ontmoet die Cupmaat 85c Had – IdZv2010HiIrAoDc85cH

    En zo kun je eindeloos vaste zinnen die je eenvoudiger kan onthouden, in behoorlijk sterke wachtwoorden omzetten.

  10. woud says:

    Lange wachtzinnen hebben zo hun voordelen. (Als je ze maar 1x hoeft in te typen en niet iedere keer)

  11. Phox says:

    Had liever een stukje gezien inzake “Bewaarplicht” Het blijft helemaal stil bij Xs4all omtrent deze internationale(EU-hof) affaire. Niet verwacht van Xs4all zogenaamde “privacy voorvechter”…

  12. Michael says:

    Wat ik hier mis is het volgende. Je zegt dat hackers tig-miljoen inlogpogingen per seconde kunnen doen, maar hebben de meeste belangrijke servers niet een beveiliging daartegen? Meestal krijg ik al na éen foute poging een waarschuwing dat de toegang zal worden afgesloten na ± 3 foute pogingen.

    • Dirk Z says:

      Meestal wel maar behalve bij de vergeten wachtwoord site van Apple waar Jennifer Lawrence en vele anderen werden geraden.

    • Arthur van der Harg says:

      En daarom moet je dus zorgen dat hackers niet bij de versleutelde wachtwoordbestanden/-tabellen kunnen komen. Hebben ze die, dan kunnen ze lekker offline hobbyen.

  13. Secret says:

    Op zolder ligt bij mij onder een stapel oude rommel een telefoonboek van 2003. Daar zijn op pagina 380 en verder met verschillende kleuren pen stipjes onder een aantal letters/cijfers gezet. De kleuren stemmen overeen met verschillende instanties waar ik een wachtwoord bij heb. Het tweede en het vijfde stipje is altijd vals.

    Wie mijn wachtwoorden wil, moet fysiek inbreken, de hele zolder doorzoeken en op het idee komen dat net in dát telefoonboek codes staan. Spaar u de moeite overigens. Misschien ligt het telefoonboek wel bij mijn vriendin, is het de tuinencyclopedie in de kast, moet pagina 380 eigenlijk 178 zijn, staan de wachtwoorden achteruit genoteerd en zijn er andere stipjes vals.

  14. Jaap says:

    Geef de klant de mogelijkheid om in te stellen dat er na drie foute logins een wachttijd ingaat voordat er opnieuw ingelogd kan worden. Variërend van bijvoorbeeld 1 tot 24 uur.

    Zelfs een simpel wachtwoord is dan goed genoeg.

  15. Lil says:

    Laatst ben ik op mijn ING, outlook, instagram en nog meer websites gehackt.
    Toen heb ik met een password generator nieuwe wachtwoorden gemaakt.
    Ben lang bezig geweest met het wijzigen, want op outlook hebben ze nu een code die je naar een ander account moet sturen.
    Mijn hacker had een fake account gemaakt waar die code dan heen gestuurd zou worden.

    Goed na uren heb ik alles gewijzigd.
    Vooral bij instagram heb ik vaak problemen.
    Als ik mijn wachtwoord dan wijzig, zegt hij dat ik mijn oude wachtwoord gebruik, dat snap ik niet, dan had mijn wachtwoord het gewoon moeten doen.

    Snap het niet, mensen in mijn omgeving hebben de meest simpele wachtwoorden en hun worden niet gehackt.

    Mijn ex werkt in een datacenter, en zei dat hij er overnagedacht had mij te hacken, maar hij heeft het niet gedaan.

    Zou niet weten wat ik nog meer kan doen.

  16. Ineke van der Maat says:

    Een biometrische functie als wachtwoordvervanging kunnen alleen personen bedenken die zelf gezond zijn en nooit iets voor een ander die dat niet is, hoeven doen.
    Je zult maar in coma liggen en hoe moet het dan als alles digitaal gaat ?
    Verzin wat anders zodat een ander ook iets digitaal voor je kan regelen als de nood aan de man is.
    Alles op papier is nog steeds daarom het makkelijkste.

    Op de Duitse tv was zelfs een programma waarin ze lieten zien hoe de NSA met speciale apparatuur zelfs een computer kan uitlezen die uitstaat.

    • Nico says:

      Je hebt de NSA hiervoor neit nodig, zelfs MythBusters (Discovery programma) heeft het al enkele keren aangetoond.
      Net zoals de CCC hackersclub in Duitsland. (Ook met de iOS fingerprint scanner).

    • Arthur van der Harg says:

      Mogelijk maken dat iemand anders iets voor je doet moet je niet doen door wachtwoorden te delen. Hoe meer mensen je wachtwoord kennen, hoe groter de kans dat het ergens op een geeltje aan een monitor hangt of bij iemand in de agenda zit op een briefje “Wachtwoorden Ineke”…

      De beste oplossing is om een ander persoon met een eigen wachtwoord de mogelijkheid te geven dingen voor jou te regelen, liefst een goed omschreven set handelingen (zoals bijvoorbeeld account opheffen of login uitschakelen). Maar goed, dat vergt aanpassingen die in de meeste systemen niet gemaakt zullen worden, want dat vereist implementatie van een trust-systeem.

  17. Wim says:

    2 TIPs:
    – moeilijk wachtwoord
    – veel moeilijke wachtwoorden

    * moeilijk wachtwoord toch onthouden *

    Neem voor jezelf een reeks woorden en getallen, die je nooit zal vergeten. Als voorbeeld noem ik het gezin waaruit je komt (of dat van jouw ouders):
    + voornamen
    + trouwdatum
    + geboorteplaatsen
    + geboortedatum (jaar / maand / dag)

    componeer hiermee een lang stuk tekst; eventueel schrijf je voor jezelf op HOE jouw wachtwoord is opgebouwd, niet de tekens zelf, voorbeeld:

    vader moeder trouwmaand kindnaam geboortedagnummer

    Hiermee kent de lezer mijn wachtwoord nog niet.
    Pas als je weet dat de namen en jaren de volgende zijn:
    Theo Truus 1983 Kees 28 Flip 19 Moniek 11
    pas nu weet je het wachtwoord (waarbij ik de mannen hoofdletters geef)

    Tt1983K28F19m11

    Omdat ons gezin niet (meer) verandert, kan ik steeds vrij snel het wachtwoord opnieuw opbouwen, als ik het opbouw-protocol weer lees.

    Zorg dat jouw tekstregel minstens 16 tekens lang is. Het is slim om er minstens EEN “apart” teken aan toe te voegen, bijv. % of ()

    Omdat ik dit gedeelte vaak gebruik (zelfs altijd, zie tip-2), tik ik dit bijna vanzelf in.

    * VEEL verschillende moeilijke wachtwoorden maken *

    (en onthouden !)

    Maak voor elk geval een ander wachtwoord; hoe houd je die uit elkaar?

    Heel eenvoudig:
    + elk wachtwoord bestaat uit 3 delen:
    .1. uniek startstukje
    .2. sterk lang wachtwoord (zie boven; altijd hetzelfde)
    .3. uniek staartstukje

    Ik geef weer een voorbeeld voor een aantal inlogpagina’s, dan zie je hoe het werkt:
    In mijn binnenzak zie je het lijstje
    gmail .com
    hotmail .nl
    xs4all .nl
    abn amro
    (ing:) postbank – ing
    rabo ra bo
    (bieb, lidnr) 123647 839

    Daarvan maak ik de unieke, en sterke wachtwoorden
    (om niet steeds het hele lange middenstuk te tikken, zet ik daar nu even neer…)
    (de spaties zijn om het nu leesbaar te maken, laat die eventueel weg)
    gmAIl .cOm
    hOtmAIl .nl
    xs4All .nl
    Abn AmrO
    pOstbAnk Ing
    rA bO
    123647 839

    Nu heb je in iedere omgeving een ANDER wachtwoord
    en elk wachtwoord is STERK, omdat het middenstuk stevig is gecomponeerd.

    * elke maand MOET je jouw wachtwoord veranderen *

    (lekker lastig? toch niet!)

    Maak voor deze login een wachtwoord, zoals hierboven beschreven, maar:
    in januari vervang je de eerste LETTER in jouw wachtwoord door een 1 (EEN)
    in februari vervang je de 2e letter door een 2, en zet je de eerste letter weer op z’n plek
    in maart …, een voorbeeld is sneller:
    mijn wachtwoord is : 9Pak0Maar5Iets
    januari: 91ak0Maar5Iets
    februari: 9P2k0Maar5Iets
    maart: 9Pa30Maar5Iets
    april: 9Pak04aar5Iets
    enz.

    Hopelijk kunnen jullie hier iets mee.
    een tevreden XS4ALL-er

    • Gert-Jan says:

      @Wim
      Het laatste wat je moet doen is één zwaar password gebruiken met lichte aanpassingen voor een bepaalde dienst.

      gmAIl ‘wachtwoord’.cOm. Zodra de hacker, om wat voor reden dan ook, dat wachtwoord van jou weet, dan weet hij ze (eenvoudig) te achterhalen voor alle andere diensten. Als bijvoorbeeld autoscout gekraakt wordt dan is jouw Amrobank wachtwoord ook bekend.

      Hackers kijken naar patronen. En jouw voorbeeld is er zeker een.
      Hetzelfde geldt voor een password wat iedere maand maar een beetje veranderd. Hebben ze hem in januari gekraakt, dan is die voor februari niet moeilijk af te leiden.

      Andere voorbeelden van zijn Hoofdletter, kleine letter(s), Cijfer, Speciaal-teken. Zoals: Amsterdam2000!
      Eerste letter van een woord in een zin: EIGG ( Zin: Er Is Geen Gerechtigheid) tenzij je praat als Yoda (Gerechtigheid Niet Er is). Gebruik geen gewone woorden, plaatsen of namen. 19Ajax88! is geen goed wachtwoord.

      Ieder patroon wat jij kan verzinnen, kan een hacker ook verzinnen en dus herkennen.

      Gebruik een password manager en laat iedere maand een password per dienst genereren.

      • Nico says:

        Ben je erg zeker van password managers?

        http://www.techrepublic.com/blog/it-security/mobile-password-managers-cracking-the-security-mechanisms/

        en van de implementatoren voor mobile gebruikers.?

      • Gert-Jan says:

        Alles kan gekraakt worden, maar dan heeft men wel toegang nodig tot mijn telefoon of computer. De meeste mensen merken het gauw als deze ontvreemd worden.

        Ik gebruik een password manager die geen gegevens op het internet opslaat en ik gebruik ook de optie niet om het door mijn programma automatisch in te laten vullen op een website. Mijn telefoon heeft geen pincode van slechts vier positie’s, dat heb ik zelf ingesteld op een lange tekenreeks (cijfers en letters). Vervolgens een pincode voor mijn manager en daarna een zwaar wachtwoord voor mijn database met gegevens.

        Mijn backup van de telefoon is ook encrypted. Mijn pc gebruikt zowel een harddisk password en een gewoon user-account. (Geen gebruik van administrator of root). Belangrijke dingen staan in TrueCrypt.

        100% veilig is het nooit, maar volgens mij ben ik redelijk veilig bezig.

  18. SiSt says:

    Jammer dat de teneur weer is dat de arme gebruiker, die al een dozijn wachtwoorden heeft, nu ook nog met 2-factor authentificatie wordt belast. Kan dat nou niet anders?
    Wat mij bijvoorbeeld opvalt is dat nogal wat systemen bij fout inloggen dat onmiddellijk melden. Als je daar drie seconden mee wacht is het onmogelijk meer dan 1200 pogingen per uur te doen. Met een wachtwoord van 6 letters, in hoofdletters(!), ben je dan 30 jaar zoet. Succes!
    Voor de gebruiker verandert er niets; normaal zal hij/zij gewoon goed inloggen en ver-typt hij/zij zich, dan kost dat helemaal 3 seconden. Ook geen probleem.
    Ik zie een groot deel van de oplossing bij een fatsoenlijke inlogprocedure en bewaking op veel foute inlogpogingen. Dat kan zelfs op het niveau van het netwerk zelf. Het voelt een beetje wrang dat we een overheid hebben die al ons netwerkverkeer opslaat maar blijkbaar onvoldoende waakt waar anderen mijn veiligheid in gevaar brengen. Terwijl je dat met dezelfde middelen zou kunnen doen.

    • Wim says:

      simpel oud inlog-protocol op een unix-machine:

      * bij 1e foute inlog 1 sec wachten
      * bij elke volgende foute poging verdubbelt de wachttijd

      Dus 2e poging 2 sec, 3e poging 4 sec. en
      bij de 10e poging zit je al op 17 minuten! wachttijd.

      Dit betekent een kleine aanpassing in het inlogprogramma
      en levert een enorme veiligheid op.

      • Wim says:

        Bij elke poging verdubbelt de wachttijd, en andere methodes die een tijdselement inbouwen – dat werkt allemaal zolang je probeert toegang tot een computer (of ander fysiek systeem) te krijgen. Inloggen op een internetsite is anders. Als het vanuit een computer niet lukt, begint een beetje met een botnet gewoon vanaf een andere computer opnieuw. De server met de beveiligde site krijgt dan een aanvraag van een ander IP-adres en zal opnieuw gaan tellen.

        Ik zie mensen al denken: “Ja, maar dan telt de server toch vanaf elke aanvraag tot toegang tot een account, ongeacht vanuit welk IP-adres de aanvraag wordt gedaan?” Met zo een systeem kunnen kwaadwilligen de toegang tot een site voor jaren blokkeren, gewoon door een keer of dertig automatisch fout in te loggen en de wachttijd elke keer te laten verdubbelen.

        Bij de ‘automatisch drie seconden wachten’ methode, voor aanvragen vanuit welk IP-adres dan ook, kan een hacker nog steeds de toegang blokkeren door automatisch elke drie seconden opnieuw met een fout IP-adres in te loggen.

      • SiSt says:

        Precies! En bij die oude Unix systemen moest je ook met EN naam EN password inloggen. En dus niet, zoals bijvoorbeeld Ubuntu, een naam uit een lijstje selecteren. Daarmee is de helft van het geheim al weg.

        Dat hele verhaal over lange wachtwoorden gaat alleen op voor encryptie. Maar bedenk goed als je een geheim hebt; het zal maar tijdelijk geheim blijven. Als iemand of een dienst jouw encrypted verkeer opneemt en vervolgens dus als data beschikbaar heeft kunnen er wel een miljard pogingen per seconde ondernemen worden. Met de komst van steeds snellere systemen is alles te kraken. Wen er maar vast aan.

        Dit verhaal ging juist over inloggen bij verschillende sites. Zoals we dat allemaal doen. En fatsoenlijk wachtwoord is dan gewenst. Maar als de club waar je inlogt niet te vertrouwen is, helpt ook het langste wachtwoord daar niet aan.

      • Nico says:

        Dus moet je de encryptie keys ook regelmatig vervangen en moet je gebruik maken van Perfect Forward Secrecy.

  19. Bas says:

    Als de indringers zo ver in het systeem zijn dat ze bij de gehashte wachtwoorden kunnen, dan kunnen ze waarschijnlijk zo veel dat ze mijn wachtwoord helemaal niet meer nodig hebben. Dus die nadruk op lange wachtwoorden begrijp ik niet zo goed.

    • Jacques Schuurman says:

      Natuurlijk, als de indringers je gehashte wachtwoord te pakken hebben zitten ze vermoedelijk redelijk diep in het systeem. Maar ik heb dit geschreven vanuit het perspectief van de gebruiker, en de zaken die hij of zij WEL kan beinvloeden. En daar is wachtwoordlengte er nadrukkelijk een van; in mijn ogen zelfs de belangrijkste.

  20. Eugen says:

    Waarbij in de test gewoon uitgegaan wordt van slechts 1 hackende persoon of PC. Tegenwoordig is deze taak weggelegd aan botnets die in de 10.000 den tegelijk (net als bij een DDoS aanval) je wachtwoord proberen te hacken. Zo kun je de tijd dus delen door het aantal participerende PC’s..