Een veilig wachtwoord kiezen 17 februari 202127 november 2020brute forcedatalekkenentropiefabrieksinstellinghoofdlettersNISTradenspeciale tekensveiligheidWachtwoord Willebois De veiligheid van een wachtwoord is een direct gevolg van hoe lang het duurt voordat een aanvaller erachter komt. Als de aanvaller geen toevlucht kan nemen tot foltering, datalekken of soortgelijke nevenkanaalaanvallen, is de enige optie die overblijft, het wachtwoord op een gerichte manier raden. Om dit gissen zo tijdrovend mogelijk te maken, moet het wachtwoord een hoge entropie hebben. De entropie van een wachtwoord is het aantal ja / nee-vragen dat een aanvaller na elkaar moet stellen om eerst het wachtwoord te beperken en uiteindelijk te raden. Aangezien de aanvaller meestal geen direct antwoord krijgt op elk van deze ja / nee-vragen, moet hij alle ja / nee-vragen combineren. Met 40 ja / nee-vragen moet hij meer dan 1 miljard mogelijke wachtwoorden uitproberen. In de praktijk wordt echter vaak niet de entropie van een wachtwoord beoogd, maar de wachtwoordlengte. Deze benadering is verkeerd en zorgt voor misleidende veiligheid, omdat het wachtwoord Abcdefghijk123456789 20 tekens lang is en bestaat uit hoofdletters, kleine letters en cijfers, maar het is gestructureerd volgens een gemakkelijk herkenbaar schema. Daarom is de entropie van dit wachtwoord aanzienlijk kleiner dan de lengte doet vermoeden. Het wachtwoord “Hoeveel is honderd maal tweehonderd” is ook indrukwekkend lang, maar de entropie is erg laa, omdat het een vaste term is en daarom in veel woordenlijsten voorkomt. Registratieformulier, gebruikersnaam en wachtwoord De minimale lengte van een wachtwoord is afhankelijk van waar het voor wordt gebruikt. Het federale bureau voor informatiebeveiliging (BSI) raadt aan om wachtwoorden te gebruiken met ten minste twaalf hoofdletters en kleine letters, evenals speciale tekens en cijfers voor online toegang, terwijl wachtwoorden met ten minste twintig tekens voor WLAN-toegang. Dit is vooral nodig als een onbeperkt aantal pogingen met verschillende wachtwoorden toegang geeft en dus een aanval (“raden”) mogelijk maakt volgens de zogenaamde brute force-methode. De uitzondering is dat dergelijk ‘raden’ aanzienlijk wordt beperkt als er slechts een zeer beperkt aantal opeenvolgende vermeldingen is (bijv. Maximaal drie pogingen, extra vermeldingen oproepen uit een bepaald aantal mislukte pogingen, enz.) B. wordt gebruikt in de coderingstechnieken van de meeste banken), en vervolgens wordt de persoon die binnenkomt buitengesloten en verwezen naar een sleutel die alleen persoonlijk toegankelijk is. Tenzij de nummerreeksen extreem eenvoudig worden gekozen (bijvoorbeeld 1234 of 9876), kan dit vandaag alleen effectief worden overwonnen door ze te bespioneren. Hetzelfde geldt voor de driecijferige codering op een koffer: het meestal driecijferige nummer biedt tijdens de verwerking weinig tijd om te raden en maakt het dus veiliger: de voorwaarde is echter dat de eigenaar van tevoren ten minste de fabrieksinstelling 0000 heeft gewijzigd. Moderne hashing-methoden zijn technisch zo geavanceerd dat ze in de praktijk alleen kunnen worden gebroken door alle mogelijke sleutels te testen, dwz “met brute kracht, Engels: Brute force”. Bij een dergelijke aanval worden de meest populaire wachtwoorden eerst gecontroleerd, zelden gebruikte wachtwoorden pas daarna. Aangezien veel praktisch gebruikte wachtwoorden direct in een woordenboek staan, wordt deze aanval een woordenboekaanval genoemd. Om een wachtwoord tegen een dergelijke aanval te beschermen, mag het niet in een woordenboek of een andere woordenlijst staan, en zelfs eenvoudige wijzigingen van een dergelijk woord (bijvoorbeeld het vervangen van een kleine letter L door het cijfer 1) bieden geen enkele bescherming, aangezien de aanvaller dit doet Kent en heeft ook mogelijke aanpassingen uitgeprobeerd. Om ervoor te zorgen dat een wachtwoord niet onveiliger is dan de eigenlijke versleuteling (veel gangbare methoden gebruiken 128-bits sleutels), is hiervoor theoretisch een reeks van ongeveer 20 willekeurige alfanumerieke tekens vereist. Als het wachtwoord niet uit gelijkmatig verdeelde willekeurige tekens bestaat, zijn zelfs aanzienlijk langere tekenreeksen vereist om hetzelfde beveiligingsniveau te bereiken. In augustus 2017 publiceerde het Amerikaanse National Institute of Standards and Technology (NIST) nieuwe regels voor veilige wachtwoorden. Volgens de auteurs creëerden veel van de oude regels – zoals hoofdletters en kleine letters, speciale tekens, veelvuldig wijzigen van wachtwoorden – die de afgelopen jaren een belangrijke aanbeveling waren, weinig of geen extra beveiliging. In de regels van 2017 staat onder meer: Een door de gebruiker gekozen wachtwoord moet minimaal 8 tekens lang zijn. Elk korter wachtwoord moet in elk geval worden geweigerd omdat het onveilig is.Wachtwoordrichtlijnen zoals “moet ten minste 1 speciaal teken bevatten” of “moet cijfers, kleine letters en hoofdletters bevatten” mogen niet worden gebruikt.Mensen hebben moeite met het onthouden van willekeurige tekenreeksen, dus kiezen ze liever voor eenvoudige wachtwoorden die gemakkelijk te raden zijn.De lengte van een wachtwoord mag geen bovengrens hebben, op voorwaarde dat het logisch is vanuit het oogpunt van de gebruiker. Daarom moeten wachtwoorden van 1000 tekens kunnen worden gebruikt. Extreem lange wachtwoorden met meer dan een miljoen tekens kunnen echter worden geweigerd.Alle tekens moeten worden toegestaan in wachtwoorden, met name umlauts, tekens in een vreemde taal, speciale tekens, spaties.Wachtwoorden die zijn opgenomen in een lijst met bekende wachtwoorden, moeten om een geschikte reden worden geweigerd. Veiligheidsfactoren De veiligheid van een wachtwoord hangt voornamelijk af van 2 factoren: Het wachtwoord moet geheim blijven.Het wachtwoord moet niet gemakkelijk te raden zijn.