Hoe lang duurt het voordat een wachtwoord gekraakt is

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Jan R

Jan R

26/05/2024 11:20:57
Quote Anchor link
Op de nationale Belgische televisiezender (vrt) was er verleden week een artikel over wachtwoorden. Daarin kwam een website in beeld echter niet de url waarin getoond wordt hoelang het duurt om een ww te kraken. Nu zou ik mijn ww-den eens willen testen.

resultaten waren onder andere
* een paar cijfers ==> onmiddellijk
* een ww van 8 karakter kleine letter en cijfers een paar seconden
* ww met cijfers hoofd- en kleine letters met speciale tekens van minimum 14 karakters ==> 137 jaar


Kent er iemand zo een betrouwbare site. Ik kan me voorstellen dat er onbetrouwbare zijn welke de test ww gewoon opslaan en zo een lijst maken.
 
PHP hulp

PHP hulp

22/12/2024 07:22:56
 
Adoptive Solution

Adoptive Solution

26/05/2024 11:25:50
Quote Anchor link
Probeer deze :

https://lowe.github.io/tryzxcvbn/

De link naar de blog die wordt genoemd klopt niet meer.

Deze is goed : https://dropbox.tech/security/zxcvbn-realistic-password-strength-estimation
 
- Ariën  -
Beheerder

- Ariën -

26/05/2024 12:15:32
Quote Anchor link
Het zal ook liggen aan de te gebruiken processorkracht, het aantal cores, of er een GPU bij wordt ingezet, en wat voor soort processor je gebruikt. Een Intel i3 zal er langer over dan dan een Intel i7.
 
Ozzie PHP

Ozzie PHP

26/05/2024 16:51:36
Quote Anchor link
WAARSCHUWING WAARSCHUWING WAARSCHUWING!!!

Vul bij het testen van de sterkte van je wachtwoorden NOOIT, ik herhaal NOOIT, je echte wachtwoord in. Heb je dat wel gedaan, dan adviseer ik je om die wachtwoorden te wijzigen.

Met dit soort 'test-tools' moet je erg voorzichtig zijn. Ze geven een indicatie hoe sterk je wachtwoord is, maar kunnen net zo goed, zonder dat jij het merkt, het ingevoerde wachtwoord opslaan in een database en doorgeven aan hackers.

Gebruik dus nooit je echte wachtwoord om de sterkte te testen!

Wat je kunt doen is een aantal letters vervangen door andere letters en een aantal cijfers door andere cijfers. De sterkte zal hetzelfde zijn, maar ze hebben niet je echte wachtwoord.

Dus stel jouw echte wachtwoord is:

AbCDE+123

dan vul je bijvoorbeeld in:

BkFOP-678
 
Jan R

Jan R

27/05/2024 00:14:04
Quote Anchor link
@arien
Tegenwoordig zelfs I9==> weer een pak sneller

@ozzie
Dat schreef ik dus ook al in het begin vandaar de vraag betrouwbaar


Aan allen BEDANKT
Ik volg wel het gezond verstand en niet te veel opeenvolgende karakters en lang genoeg.
Ik eis vanaf nu ook minimaal 3 van de 4 karaktertypes. Voor mij blijven ze alle 4
 
Ozzie PHP

Ozzie PHP

27/05/2024 00:56:23
Quote Anchor link
De lengte van het wachtwoord is erg belangrijk. Hoe langer, hoe beter. Mijn wachtwoord is 50 tekens. Het zijn allemaal zessen, maar ik vertel niet in welke volgorde ze staan.
 
- SanThe -

- SanThe -

27/05/2024 09:55:04
Quote Anchor link
Ozzie PHP op 27/05/2024 00:56:23:
Het zijn allemaal zessen, maar ik vertel niet in welke volgorde ze staan.


Geweldig.
 

27/05/2024 21:42:33
Quote Anchor link
Jan R op 26/05/2024 11:20:57:
Nu zou ik mijn ww-den eens willen testen.

Download KeePass, maak een nieuwe invoer, vul je wachtwoord in (opslaan niet nodig) en je ziet meteen de sterkte van het wachtwoord in de balk eronder.

Hoe lang het duurt voordat je wachtwoord wordt gekraakt, en dus hoe veilig je geheimen zijn op internet, is een vraag die iedereen zich zou moeten stellen.

Over wachtwoorden is men het onderling niet eens wat het beste is, zie ook XKCD.
Ook bijvoorbeeld onder de NEN-7510 moet je juist periodiek het wachtwoord wijzigen, maar het NCSC en de FBI adviseren juist van niet. De Belgische politie vindt juist weer van wel. En Microsoft vindt van niet. Hoe moet je hier nu een touw aan knopen?

Wachtwoorden zijn op zichzelf eenvoudiger te raden als ze woorden uit een woordenboek bevatten, omdat daarmee een brute-force aanval eenvoudiger wordt. Ook wanneer wachtwoorden worden ge-1337 (letters vervangen voor cijfers en andere tekens) is het nog eenvoudig te kraken. De lengte van het wachtwoord maakt dan minder uit.
Waar het echt om draait is de mate van entropie, hoe sterk een wachtwoord echt is in cryptografisch opzicht. Wanneer je bijvoorbeeld een wachtwoord laat genereren in KeePass met alle vreemde tekens die je aan kunt zetten, heb je eigenlijk geen wachtWOORD / password meer, maar een wachtSLEUTEL of passkey. Zo'n tekenreeks van 32 of meer karakters kan jijzelf niet eens onthouden, vooral niet als het elke keer moet wijzigen. Maar het garandeert wel dat elke bit van de passkey even 'willekeurig' is. Bits van wachtwoorden zijn minder willekeurig, omdat daar woorden inzitten. (Een heel woord is wel willekeurig, maar maakt de overige bits van het woord niet willekeurig.)

Maar wat nu 137 jaar kost om te achterhalen, kan over enkele jaren al gekraakt worden met een quantumcomputer. Daarom wordt nu ook al de tactiek store now, decrypt later gebruikt. Wat je nu veilig denkt te verzenden wordt toch ergens opgeslagen, om met een paar jaar toegankelijk te zijn voor onbevoegden. Gelukkig doet ons Nederlandse NCSC al aanbevelingen om een organisatie veilig te maken tegen Post Quantum Decryption.

Een gedeeltelijk andere benadering is dat wachtwoorden alleen niet meer genoeg zijn om in te loggen. In aanvulling op wachtwoorden wordt multifactorauthenticatie (MFA) gebruikt, waarbij je je niet alleen aanmeldt met een wachtwoord (iets dat je weet), maar ook met andere factoren; wat je hebt (een cryptografisch certificaat) en/of wie je bent (biometrische gegevens).

Wat je ook wel ziet is TOTP, waarbij via een gedeeld geheim een vaak 6-cijferige code wordt gevraagd die is gegenereerd met ook een tijdcode. Hiervoor heb je allerhande 'authenticator apps', maar het zit ook standaard in KeePass, waardoor sommige mensen zich juist weer afvragen of TOTP dan wel zoveel meerwaarde heeft. Mijn idee is juist van wel, omdat mensen dan wachtwoorden (itt. wachtsleutels) kunnen gebruiken én onthouden, in combinatie met een fysiek token met TOTP.

Ik kan in ieder geval aanraden om voor iedere website een andere passkey te gebruiken van minimaal 32 tekens. Wanneer een site nu of straks wordt gecompromitteerd (zoals PHPHulp.nl zelf met een uit te faseren 2048-bits RSA certificaat voor HTTPS...) dan kunnen hackers niet met hetzelfde wachtwoord (of wachtwoorden die er op lijken) gegevens achterhalen van sites die beter beveiligd zijn.
Gewijzigd op 27/05/2024 21:49:36 door
 
Jan R

Jan R

28/05/2024 07:22:38
Quote Anchor link
Heel interessante uitleg. Dank
 
Ewout Boer

Ewout Boer

04/06/2024 11:45:42
Quote Anchor link
Ozzie PHP op 27/05/2024 00:56:23:
De lengte van het wachtwoord is erg belangrijk. Hoe langer, hoe beter. Mijn wachtwoord is 50 tekens. Het zijn allemaal zessen, maar ik vertel niet in welke volgorde ze staan.


Echte hackers gebruiken wachtwoorden van duizenden tekens!
 

05/06/2024 06:27:05
Quote Anchor link
Ewout Boer op 04/06/2024 11:45:42:
Echte hackers gebruiken wachtwoorden van duizenden tekens!

Je moet wachtwoorden ook weer niet te lang maken.
Met te lange wachtwoorden kan je een DOS-aanval uitvoeren.
https://www.acunetix.com/vulnerabilities/web/long-password-denial-of-service/

Het wordt aangeraden om de maximumlengte van wachtwoorden minimaal 64 karakters lang te maken voor mensen die hechten aan wachtwoordzinnen (omdat dat beter onthoudt dan wachtwoordsleutels).
https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet.html

Maar in principe is 64 tekens echt wel genoeg. Het voegt praktisch niets toe om wachtwoorden tien keer zo lang te maken (ook al vul je ze met allemaal 6-en ;-)). De berekende hashes blijven even lang. Belangrijker is het hashing algoritme en hoe veilig dat is tegen quantumcomputers.
Gewijzigd op 05/06/2024 06:28:44 door
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.