[security] wachtwoord/sleutel, hoeveel tekens?

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

.NET Developer

Dit ga je doen Programmeren in .NET, Javascript & C# en ontwikkelen in Web Services, Windows Services en MS SQL Server; Zelfstandig verbanden maken Analyseren, testen, bugs fixen, reviewen en rapporteren; Juiste prioriteiten stellen en verantwoordelijkheid nemen; Op architectuur niveau meedenken; Af en toe klanten bezoeken. Hier ga je werken Voor onze relatie zijn wij opzoek naar een .NET ontwikkelaar met minimaal 3 jaar werkervaring. Je komt te werken in een groeiend bedrijf met betrokken collega's die zorgen voor een familiaire sfeer op de werkvloer. Als .NET ontwikkelaar word jij vanaf de eerste werkdag betrokken bij het gehele ontwikkelproces. De

Bekijk vacature »

Consultant Low Code Developer

Functie omschrijving Heb jij verstand van datamodellering, NO CODE Platformen en kun jij het aan om projecten te leiden? Ben jij toe aan een nieuwe uitdaging en ben jij HBO afgestudeerd in de richting van IT? Voor een mooie opdrachtgever in omgeving Delft zijn wij op zoek naar een No Code developer die zich bezig gaat houden met het optimaliseren van bedrijfsprocessen bij klanten. Onderdelen functie Je gaat geen code kloppen maar bedenken hoe applicaties eruit moet komen te zien. Je gaat werken met een non code platform, je kunt denken aan Mendix of Betty Blocks. Je bent verantwoordelijk voor

Bekijk vacature »

Fullstack developer

Functie omschrijving Ben jij toe aan een nieuwe uitdaging en zou jij graag bij een platte maar informele organisatie werken? Voor een mooi softwarebedrijf in omgeving Gouda zijn wij op zoek naar versterking op de afdeling Software Development! Als Fullstack react.js developer wordt je bij dit bedrijf onderdeel van de volledige ontwikkeling van requirement tot oplevering! Onderdelen van jouw functie: Jouw focus ligt op de front end en alles wat daarbij komt kijken. Je gaat ontwerpen, ontwikkelen, testen en valideren. Je zult voornamelijk werken met React.js en Typescript. Maar ook Javascript, HTML en CSS komen aanbod. Daarnaast zal je ook

Bekijk vacature »

C# developer

Functie Als ervaren Software Engineer wordt jij verantwoordelijk voor het bedenken en ontwikkelen van technische (maatwerk) oplossingen voor onze klanten en dit samen met de klant af te stemmen. Jij wordt o.a. verantwoordelijk voor de doorontwikkeling het software pakket welke voor ons enorm belangrijk is. Dit pakket zorgt er namelijk voor dat wij complete productielijnen kunnen aansturen en monitoren. Daarnaast heb jij actief contact met onze hoofdvestiging om het software achter een van onze systemen te verbeteren en te herschrijven. Momenteel zijn onze C# applicaties geschreven met o.a. Winforms. Echter hebben wij de actieve ambitie om dit te gaan herschrijven

Bekijk vacature »

Technical Asset Specialist Substations

TenneT is growing fast to realize its strategic ambitions. We play a leading role in driving the energy transition. We are looking for a passionate Technical Asset Specialist for substations (onshore and offshore) at our location in Arnhem who will contribute to this and that might be you? Your contribution to TenneT We are searching for a motivated and engaged colleague as a technical asset specialist (onshore and offshore) for instrument transformers and surge arresters, with preferably a strong background in the area of insulation coordination. As a specialist for insulation coordination you are responsible for overarching topics regarding insultation

Bekijk vacature »

Developer Angular & Kotlin

Dit ga je doen Het (door)ontwikkelen van mobiele apps en webapplicaties; Het opstellen van technisch ontwerp en het bespreken van ontwerpen met de software architect; Het uitvoeren van werkzaamheden op het gebied van technisch testen; Het in de gaten houden van nieuwe ontwikkelingen op jouw vakgebied en het adviseren van de organisatie hierover. Hier ga je werken Het gaat om een bekend internationaal handelsbedrijf met ruim 800 medewerkers, verdeeld over verschillende deelbedrijven. Deze organisatie is van oorsprong een familiebedrijf, er wordt hard gewerkt, er heerst een no nonsense en doeners mentaliteit, een informele sfeer en er is een mix van

Bekijk vacature »

Senior PHP developer

Functie Als Senior PHP developer heb je een sterke mening over de architectuur van projecten en de processen binnen het team. Je bent de sparringpartner voor je Team Lead. Ook ondersteun je met jouw kennis de minder ervaren developers in jouw team. Ze werken regelmatig aan projecten vanaf scratch en dit geeft ruimte om voor nieuwe technieken te kiezen. Naast het ontwikkelen van software ben je continue bezig om ook jezelf te ontwikkelen. Ze werken met o.a.: PHP, Laravel, Doctrine, PHP Unit, Behat, React, TypeScript, (My)SQL, Postgress, Redis, ElasticSearch, Docker, Nginx, GIT flow, JIRA, AWS. Eisen • HBO werk- en

Bekijk vacature »

Junior .NET developer

Functie Wij hebben drie scrumteams. Het eerste team focust zich op het stukje hardware wat wij in huis doen. Zij maken als team o.a. gebruik van C++. De andere twee scrumteams zijn allebei bezig met data verwerking en maken hierbij in de backend gebruik van C# .NET / .NET Core. Het verschil tussen deze teams is dat één team de data verwerking doet voor de mobiele applicatie. Zij werken hierbij dus ook met Xamarin. Het andere team focust zich op de webapplicaties en maakt hierbij ook gebruik van ASP.NET MVC. Op basis van jouw ambities en kwaliteiten kijken wij samen

Bekijk vacature »

Front-End Developer

As a Front-End Developer at Coolblue you improve the user-friendliness of our webshop for millions of customers. How do I become a Front-End Developer at Coolblue? As a Front-End Developer you work on the user-friendliness of our webshop for millions of customers. You enjoy working with the UX Designer to pick up stories. You get energy from coming up with creative solutions and are happy to present these within the team. You also take pride in your work and welcome any feedback. Would you like to become a Front-End Developer at Coolblue? Read below if the job suits you. You

Bekijk vacature »

Medior/senior Back-end developer gezocht!

Functie Vanwege de groei binnen het bedrijf zijn we op zoek naar versterking in het devlopmenttean. Als back-end developer bouw je aan de bedrijfssoftware die ons helpt bij de primaire processen. Een leuk (intern) project dus waarbij je de software continu doorontwikkeld! Je werkt in een klein team, we hebben dagelijks stand-ups en iedere twee weken een scrum-sessie, begeleid door onze Scrum Master. Hierin krijg je uitgebreid de kans om je ideeën te presenteren, en te overleggen met je mede-ontwikkelaars en de Product Owner. Binnen de ontwikkelteams gebruiken we Trello, Gitlab, Jiira, Confluence en Boockstack. Hiernaast werken ze met de

Bekijk vacature »

IT Infrastructuur Developer

IT Infrastructuur Developer Ben jij (bijna) klaar met je HBO studie in de richting van IT? Opzoek naar een spannende eerste baan, waar je ontzettend veel kan leren? Dan hebben wij de ultieme job voor jou! Voor een goede klant van ons in de financiële dienstverlening zijn wij opzoek naar een Junior Infrastructure Developer. Deze baan is een mooie kans om een sterke start te geven aan jouw carrière binnen de IT! De job Je werkt nauw samen met het Devops team, en zal je voornamelijk bezighouden met het automatiseren van infrastructure componenten. De componenten worden opgevraagd door het DevOps

Bekijk vacature »

Remote - Front-end Angular developer

Functie The IT team currently consists of the IT Manager, 2 back-end developers, 1 full-stack developer, 1 designer, and a DevOps engineer. They are currently looking for an experienced Front-end developer who will work autonomously and in a disciplined manner, being the only developer working on their Front-end applications at the start. They do have the ambition to find a second developer soon, who you will then be able to supervise. You will be working on the further development of their existing UI in Angular. But also developing a mobile app. They place great value on User Experience and opt

Bekijk vacature »

Junior Software Developer

Functie omschrijving Wij zijn op zoek naar een Junior Software Developer!? Sta jij aan het begin van jouw loopbaan of heb jij misschien al enige ervaring? Vind jij het daarnaast belangrijk om jezelf constant te kunnen ontwikkelen en uitdagen? Lees dan snel verder! Voor een vooraanstaand softwarehuis in Nieuwegein ben ik op zoek naar een Junior Software Developer. De eigenaar van het bedrijf is ervan bewust dat je als junior nog een hoop kan leren, waardoor je de eerste maanden veel begeleiding en diverse trainingen krijgt. Daarna ga je samen met je collega's aan zowel kleine als grote projecten werken.

Bekijk vacature »

.NET developer

Functie As a .NET developer you start in a driven and diverse development team. Your team consists of 16 IT professionals, including 7 software engineers. Because your new employer is internationally active, there are also international IT professionals working in the IT department. As a result, the official language is English. As a team you are responsible for a new Cloud Native product. This product runs entirely in Azure with a Progress Database and various Azure Functions. In addition, this product has a JS front-end, a REST API system and a layer in C # .NET. The idea is therefore

Bekijk vacature »

Gezocht: Ervaren VB6 developer met C# ambitie!

Bedrijfsomschrijving Dit bedrijf is een vooraanstaande softwareleverancier die gespecialiseerd is in het ontwikkelen van software pakketten voor autoschade herstel bedrijven. De software wordt gebruikt door meer dan de helft van alle autoschade herstel bedrijven in Nederland. Het team van professionals is op zoek naar getalenteerde collega developers die hun vaardigheden willen inzetten om het bedrijf te laten groeien. Functieomschrijving Voor dit bedrijf zoek ik een ervaren VB6 / VB.NET developer met interesse om op termijn verder te gaan in C#. In deze functie ben je verantwoordelijk voor het onderhouden van de bestaande softwarepakketten. Een deel van de code is nog

Bekijk vacature »
Ozzie PHP

Ozzie PHP

13/04/2015 17:45:30
Quote Anchor link
Hallo mensen,

Lang geleden heb ik ook ooit zoiets gevraagd, en toen had SanThe er volgens mij een tooltje voor gemaakt, maar ik kan het helaas niet meer terugvinden.

Anyhow ... mijn vraag is de volgende. Ik ben benieuwd hoeveel tekens er nodig zijn voordat een wachtwoord of (encryptie)sleutel (relatief) veilig is, waarbij ik de veiligheid in dit geval enkel laat afhangen van de tijd die het kost om een wachtwoord of sleutel te "raden". Tegenwoordig zijn computers veel sneller dan vroeger, speelt dat nog een rol?

Stel je encrypt een bestand met een sleutel. De (zelf te verzinnen) encryptiesleutel moet minimaal 8 en maximaal 20 tekens zijn. Stel nu dat Pietje een sleutel van 8 tekens invoert, en Jantje een sleutel van 20 tekens. Een kwaadwillende hacker weet ook dat de sleutel minimaal 8 en maximaal 20 tekens is. Hij hoeft dus niet te zoeken naar sleutels kleiner dan 8 of groter dan 20 tekens. Hoe lang is hij dan bezig om de sleutel van Pietje (8 tekens) en van Jantje (20 tekens) te vinden? Waarbij de hacker dus niet weet uit hoeveel tekens beide sleutels bestaan. Ik ga er vanuit dat ie eerst alle combinaties met 8 tekens zal proberen, en dat ie het wachtwoord van Pietje dus eerder te pakken zal hebben dan het wachtwoord van Jantje.

Oh ja, alle tekens op het toetsenbord kunnen gebruikt worden, dus (hoofd)letters, getallen en vreemde tekens als ! @ # $ enzovoorts.

Wie kan en vooral DURFT hier iets over te zeggen? Ik ben erg benieuwd namelijk! Zelf heb ik geen idee :)
 
PHP hulp

PHP hulp

08/11/2024 19:20:44
 
Willem vp

Willem vp

13/04/2015 18:55:06
Quote Anchor link
Via het toetsenbord kun je 52 letters, 10 cijfers en 32 rare tekens (op een eenvoudige manier) invoeren. Laten we dus uitgaan van 94 mogelijke tekens voor een wachtwoord, maar als je nog raardere tekens gaat gebruiken (letters met accentjes en dergelijke) dan wordt het nog gekker.

Voor een wachtwoord met exact 8 tekens zijn dan 94^8 = 6095689385410816 combinaties mogelijk, voor een wachtwoord met exact 20 tekens zijn dat 94^20 = 2901062411314618233730627546741369470976 combinaties.

Stel dat je een miljoen combinaties per seconde kunt checken. Om alle mogelijkheden te proberen ben je dan voor een wachtwoord met 8 tekens 6095689385 seconden kwijt, oftewel 70552 dagen, oftewel ruim 193 jaar.

Heb je een wachtwoord van 20 tekens, dan duurt ben je met het checken van alle mogelijkheden 2901062411314618233730627546741369 seconden kwijt, oftewel 33577111242067340668178559568 dagen, oftewel ruim 91929120443716196216779081 jaar.

Statistisch gezien zul je slechts de helft van alle combinaties hoeven te proberen, maar dat is dan evengoed bijna 46 triljard jaar.

Toevoeging op 13/04/2015 19:02:14:

Stel nu dat je er een botnetje van maakt dat 1 miljard computers infecteert (die elk 1 miljoen combinaties per seconde kunnen checken).

Een wachtwoord van 8 tekens is dan in iets meer dan 6 seconden gekraakt (worst case). Voor een wachtwoord van 20 tekens heb je in het slechtste geval nog steeds 91929120443716196 (bijna 92 biljoen) jaar nodig.
Gewijzigd op 13/04/2015 18:57:54 door Willem vp
 
Ozzie PHP

Ozzie PHP

13/04/2015 20:52:03
Quote Anchor link
Thanks Willem :-)

Dat zijn interessante berekeningen. Je kunt dus eigenlijk zeggen dat een wachtwoord van 8 tekens al wel veilig is, maar het kan geen kwaad om er nog een paar tekens bij te stoppen dus :)

Met zo'n botnet wordt het wel even een ander verhaal, maar ja ... ik acht de kans dat iemand een botnet maakt om mijn wachtwoord te kraken niet zo heel groot :-)

Overigens ben ik wel benieuwd. Een wachtwoord van 8 tekens doe je dus 193 jaar over, maar zou er ooit een tijd komen, bijv. over 10 jaar, dat computers dusdanig snel zijn dat het ineens minutenwerk wordt, of zijn zulke snelheden voor een enkele processor onhaalbaar?
Gewijzigd op 13/04/2015 20:53:03 door Ozzie PHP
 
Willem vp

Willem vp

13/04/2015 20:57:40
Quote Anchor link
Bij bovenstaande voorbeelden ben ik uitgegaan van een vaste lengte. Voor de totale tijdsduur van de scan maakt het ongeveer een procent uit of je wachtwoord precies 20 of maximaal 20 tekens is.

Als het wachtwoord elke lengte tussen 8 en 20 tekens kan zijn, heb je 2932256630791119505061064336537627364096 combinaties, wat bij een miljoen combinaties per seconde uitkomt op ongeveer 92917605609777660692228316 jaar. Niet echt een noemenswaardig verschil dus. ;-)

> of zijn zulke snelheden voor een enkele processor onhaalbaar?

Nou, het schijnt dat een kwantumcomputer wel raad weet met dat soort wachtwoorden. Tegen de tijd dat die computers gemeengoed gaan worden, zullen we moeten gaan nadenken over een andere manier van beveiligen.
Gewijzigd op 13/04/2015 21:17:18 door Willem vp
 
Ozzie PHP

Ozzie PHP

13/04/2015 21:29:00
Quote Anchor link
>> Tegen de tijd dat die computers gemeengoed gaan worden, zullen we moeten gaan nadenken over een andere manier van beveiligen.

Maar praten we dan over tientallen jaren denk je? Of zit over 5 jaar zo'n chip al in iedere smartphone? Ik ben overigens wel benieuwd wat voor andere manieren er dan overblijven om te beveiligen. Pasjes / fysieke kenmerken / onderhuidse chips ... het lijkt me allemaal niet echt ideaal. En het nadeel blijft dat het allemaal digitaal is, en dat het dus op de een of andere manier weer te kraken valt als de computers sneller worden. Best heel irritant eigenlijk.
 
Ward van der Put
Moderator

Ward van der Put

13/04/2015 21:40:07
Quote Anchor link
Het gaat niet om het wachtwoord (of de wachtwoordhash) op zich, maar om het systeem als geheel.
Als je nú een hash van een wachtwoord opslaat, weet je inderdaad niet of die 180 jaar of maar 90 dagen meegaat. Je systeem moet dus ingesteld zijn op variabele wachtwoordhashes én wachtwoorden met een variabele uiterste houdbaarheidsdatum.
 
Ozzie PHP

Ozzie PHP

13/04/2015 21:45:56
Quote Anchor link
>> Je systeem moet dus ingesteld zijn op variabele wachtwoordhashes

Je bedoelt dan variabel in de zin van een variabele lengte?
 
Willem vp

Willem vp

13/04/2015 23:39:33
Quote Anchor link
> Maar praten we dan over tientallen jaren denk je? Of zit over 5 jaar zo'n chip al in iedere smartphone?

Tsja, moeilijk te zeggen. De ontwikkeling staat nog in de kinderschoenen, maar je weet nooit wanneer er een groeispurt komt.

> Ik ben overigens wel benieuwd wat voor andere manieren er dan overblijven om te beveiligen.

Nou, om te beginnen zullen de password-hashes moeten worden gegenereerd met andere algoritmes. Momenteel is de encryptie gebaseerd op grote priemgetallen, maar dat moet je opzij schuiven. Er zijn algoritmes die wél bestand zijn tegen een aanval door kwantumcomputers.

Verder zou je naar een meerstaps-autorisatiemechanisme moeten overstappen, zodat je ook niet zomaar iets kan wanneer je het wachtwoord hebt. Dus bijvoorbeeld na het invoeren van je wachtwoord een code per SMS/IM sturen die je moet invoeren om het inlogproces af te ronden.
 
Ozzie PHP

Ozzie PHP

13/04/2015 23:44:43
Quote Anchor link
>> Verder zou je naar een meerstaps-autorisatiemechanisme moeten overstappen ...

Daar zat ik dus ook inderdaad aan te denken, maar dat wordt toch wel iets raars dan. Want dat wordt dus een extra stap waarop de luie consument niet echt zit te wachten. Zou je het nog zo kunnen maken dat je gewoon in plaats van een wachtwoord je e-mailadres moet invullen, en dat je dan een wachtwoord krijgt toegemaild wat maar een minuut geldig is of zo? Zou dat een oplossing zijn? Dan hoef je ook geen wachtwoord meer te onthouden ...
 
Wouter J

Wouter J

13/04/2015 23:55:16
Quote Anchor link
Waarom heeft de lengte enige invloed, aannemende dat ze gehashed worden en deze hashes dezelfde lengte hebben (of in elk geval, geen lengte die afhangt van de input)?
 
Ozzie PHP

Ozzie PHP

14/04/2015 00:00:33
Quote Anchor link
De hash is als het goed is uniek. Ieder wachtwoord heeft een unieke hash. Als je een wachtwoord van maar 2 tekens hebt, dan heb je veel minder mogelijkheden dan wanneer het wachtwoord bijvoorbeeld 10 tekens heeft. Een wachtwoord van 2 tekens heb je dus veel sneller "geraden" dan een wachtwoord van 10 tekens.
 
Willem vp

Willem vp

14/04/2015 01:33:00
Quote Anchor link
> waarop de luie consument niet echt zit te wachten

Tsja, veiligheid en gebruiksgemak zijn omgekeerd evenredig aan elkaar. Wanneer het belangrijk is, kun je het best aan de consument verkopen dat hij een extra stap nodig heeft. Denk aan pincodecalculators of TAN-lijsten (op papier dan wel per SMS) die bij banken worden gebruikt. Geen enkele klant die zal vinden dat dat te omslachtig is, omdat het hem direct geld kost als er misbruik van wordt gemaakt. Als het alleen maar gaat om het bijhouden van de high score van een of ander dom spelletje kun je met een veel eenvoudiger mechanisme werken.

> Zou je het nog zo kunnen maken dat je gewoon in plaats van een wachtwoord je e-mailadres moet invullen

Zoiets bestaat al. Dat heet "wachtwoord vergeten" en wordt daadwerkelijk door sommige mensen gebruikt om in te loggen. Dat zijn -denk ik- mensen die te lui zijn om een wachtwoord te onthouden. ;-) Ik weet overigens niet of je het redt met een levensduur van 1 minuut. Het duurt soms wel langer dan dat om een email op de plaats van bestemming te krijgen. Je kan het window echter ook weer niet te lang maken, omdat dat ten koste gaat van de veiligheid.

> Waarom heeft de lengte enige invloed, aannemende dat ze gehashed worden en deze hashes dezelfde lengte hebben

Ter aanvulling op het verhaal van Ozzie: dat werkt alleen omdat tijdens het hashen informatie wordt weggegooid, waardoor het originele wachtwoord niet kan worden teruggerekend vanuit de hash. Als het een omkeerbaar proces zou zijn, zou de lengte van een wachtwoord inderdaad niet (of in ieder geval minder) relevant zijn. De enige manier om nu te kijken welk wachtwoord bij een bepaalde hash hoort is door alle wachtwoorden afzonderlijk te hashen en de gehashte versie te vergelijken. En bij korte wachtwoorden gaat dat nu eenmaal een stuk sneller (want minder mogelijkheden) dan bij lange.
 
Ozzie PHP

Ozzie PHP

14/04/2015 02:19:05
Quote Anchor link
>> Zoiets bestaat al. Dat heet "wachtwoord vergeten" en wordt daadwerkelijk door sommige mensen gebruikt om in te loggen.

Haha, ja da's waar. Maar daar is het natuurlijk niet voor bedoeld. Maar zou je het er wel voor kunnen gebruiken eigenlijk? Zou dat volledig veilig zijn ... net zo veilig als het invoeren van gebuikersnaam en wachtwoord? Want eigenlijk is het zo'n gek idee helemaal niet toch? Je hoeft als gebruiker niks te onthouden, je moet alleen even op je mailtje wachten. Enige nadeel is dat iemand anders jouw e-mailadres kan invoeren waardoor jij gespamt wordt met e-mail ... hmmm :-s
 
Willem vp

Willem vp

14/04/2015 08:13:51
Quote Anchor link
> Maar zou je het er wel voor kunnen gebruiken eigenlijk?

Ja hoor. Ik ken mensen die die functie structureel misbruiken voor dat doel. 100% veilig zal het niet zijn; hangt een beetje af van het achterliggende mechanisme. Sommige sites sturen je een plaintext wachtwoord per email dat je niet hoeft te veranderen. Dat is slecht. Andere sites sturen je een link naar een pagina waarop je een nieuw wachtwoord kunt/moet invoeren. Dat is beter. De zwakke plek is dat email onderschept kan worden.
 
Ozzie PHP

Ozzie PHP

14/04/2015 13:01:15
Quote Anchor link
>> De zwakke plek is dat email onderschept kan worden.

Ja oke ... dan zul je toch inderdaad moeten denken aan het invullen van een gebruikersnaam en wachtwoord, en als die kloppen dan als extra een "inlogcode" per mail die bijv. maar 5 minuten geldig is. Voor de gevoeligere systemen lijkt dat me dan de beste oplossing.
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.