Archief - Nieuwe vorm van wachtwoorden

Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.

bonque54

Legacy Member
Ik las laatst een artikel over hackers en hoe zij te werk gaan om achter wachtwoorden te komen. Het komt er op neer dat als een hacker je wachtwoord echt wil je er niks meer aan kunt doen. Er is software die eindeloos door blijft raden naar alle mogelijke combinaties dat ze na lange tijd er achter kunnen komen. En als ze eenmaal in je email zitten hebben ze alles. Een creepy idee, maar de ‘doorsnee’ mensen maken nog niet veel kans om gepakt te worden.

Dus mensen, hoe moet een nieuw soort wachtwoord eruit zien? Iris scans zoals in films? Of geluidsherkenning? Of is dit ook te onveilig?

Tonerider

Legacy Member
aangezien een hacker je webcam kan hacken is een irisscan of geluidherkenning nog slechter dan een gewoon paswoord.

Karre

Legacy Member
Velen van die systemen zijn toch op bruteforce voorzien als in na zo veel verkeerde pogingen heb je op dat IP een ban aan je been of moet je even wachten.

Gezien de link naar die ICT vacatures ruikt het mij ook meer naar reclame met een aangewoven verhaaltje :unsure:

FluwFluw

Legacy Member
Als je een beetje een deftig wachtwoord kiest zal het toch wel even duren voordat je het gekraakt wordt ze.

memorexxx

Legacy Member
FluwFluw zei:
Als je een beetje een deftig wachtwoord kiest zal het toch wel even duren voordat je het gekraakt wordt ze.
Met rainbow tables en een goei farmke, kraken ze tegenwoordig alles via brute force.
Maar als een toepassing of website niet blokkeert na X aantal keer proberen verdienen ze om gehacked te worden.
En niet op IP uiteraard, proxy hoppen is ook al een truuk uit de oude doos.

Inco

Legacy Member
Simpel: gebruik maken van dubbele authenticatie

=> een wachtwoord die alleen de gebruiker kent + een voorwerp die de gebruiker alleen bezit.

Dit systeem wordt nu al toegepast bij online banking, google authenticator etc

bonque54

Legacy Member
zat zelf aan een chip te denken die geimplanteerd kan worden. voor degene die hun gegevens echt veilig willen hebben wel een oplossing denk ik!

Epyon

Legacy Member
memorexxx zei:
Met rainbow tables en een goei farmke, kraken ze tegenwoordig alles via brute force.
Zowat alle up-to-date versleutelingsalgoritmes (SHA2/3, Blowfish, AES met voldoende keysize) zijn vooralsnog onkraakbaar. De succesvolle aanvallen maken gebruik van side-channel attacks waarbij niet de versleuteling maar de zwakke punten van de onderliggende systemen worden aangevallen, bvb slechte implementatie van de versleuteling of via social engineering. Zie de Diginotar saga: heel het systeem van SSL certificaten kwam daarbij onder druk, terwijl de SSL beveiliging zelf nooit gekraakt geweest is.

Maar idd, iedere server zou in principe een fail2ban systeem moeten implementeren dat automatisch een IP banned na een aantal maal de verkeerde code ingegeven te hebben. Op 9Lives bvb wordt je account tijdelijk geblokkeerd na vijf verkeerde login pogingen.

Een tip voor iedereen: de beste paswoorden zijn lange paswoorden, met combinatie hoofd- en gewone letters, met enkele cijfers er in en met niet bestaande woorden. Dit laatste zal een traditionele woordenboekaanval zo goed als onmogelijk maken. Ik gebruik altijd een sequentie van willekeurige cijfers en letters als paswoord. Moeilijker te onthouden in het begin, maar wel veel veiliger.

NotoriousP

Legacy Member
In een land met dynamische IP's is een IP-ban nu ook niet zo effectief. :)

Maser00

Legacy Member
Ten eerste moet de hacker dan al oneindig mogen proberen bij het bruteforcen, ten tweede gaat die al veel supercomputers nodig hebben om een deftig paswoord in een redelijke tijd te kraken.

kil911ler

Legacy Member
FluwFluw zei:
Als je een beetje een deftig wachtwoord kiest zal het toch wel even duren voordat je het gekraakt wordt ze.

Da zijn nogal paswoorden... hoe moet je dat onthouden? :unsure:

[;P)u[6gNKCC%7d
<Z]*v;^L=p6'B5K
{t^8<76=U-FXM*m

brrrr :p

Subai

Legacy Member
Epyon zei:
Een tip voor iedereen: de beste paswoorden zijn lange paswoorden, met combinatie hoofd- en gewone letters, met enkele cijfers er in en met niet bestaande woorden. Dit laatste zal een traditionele woordenboekaanval zo goed als onmogelijk maken. Ik gebruik altijd een sequentie van willekeurige cijfers en letters als paswoord. Moeilijker te onthouden in het begin, maar wel veel veiliger.

Dat doe ik bij belangrijke paswoorden ook en ik heb nog nooit problemen gehad. Een aanrader dus!

Epyon

Legacy Member
NotoriousP zei:
In een land met dynamische IP's is een IP-ban nu ook niet zo effectief. :)
Het invoeren van een IP ban maakt een brute force aanval onmogelijk. Je hebt al meerdere jaren nodig om een correct gehasht paswoord te kraken via brute force (áls het al lukt), en dat gaat er van uit dat je honderden tot duizenden paswoorden per seconde kan proberen. Als je na drie pogingen al enkele minuten tot minstens een tiental seconden moet wachten vooraleer je de volgende drie pogingen kan uitvoeren ben je dus enkele millennia bezig.

Pjken007

Legacy Member
Muscleduck zei:
New 25 GPU Monster Devours Passwords In Seconds | The Security Ledger en rekenkracht verhoogt alleen maar elk jaar.
Natuurlijk kan je niet duizenden pogingen per seconde doen op gelijk welke site. Zo een PC werkt alleen als je al via een hack een beveiligde database of zoiets hebt gedownloadt.
Inderdaad.. Brute forcen lukt volgens mij wel goed met voldoende rekenkracht en als je al op een andere manier aan een database bent gekomen...
Rechstreeks via website brute forcen lijkt mij idd onhaalbaar...

SilentSpring

Legacy Member
kil911ler zei:
Da zijn nogal paswoorden... hoe moet je dat onthouden? :unsure:

[;P)u[6gNKCC%7d
<Z]*v;^L=p6'B5K
{t^8<76=U-FXM*m

brrrr :p
Programmatje gebruiken dat die dingen voor u bewaart:)

Ik gebruik hier bv. KeePass Password Safe en zo zijn er genoeg programma's.
Je kan zelf instellen hoe sterk je uw wachtwoord wil en er eentje laten genereren en dan slaat het programma dat wachtwoord en uw gebruikersnaam ook op.
Moet je ergens inloggen kies je de juiste gegevens en gezien je alles via copy-paste kunt doen moet je ook geen schrik hebben voor keyloggers.

Het programma zelf kun je zo starten, om de database vrij te geven moet je naar keuze een paswoord ingeven of paswoord + usb-stick of dergelijke hebben. Als de usb-stick dan niet aangesloten is en je kent het hoofdpaswoord kun je er nog niet in, pas indien de stick ingeplugd is zal de database vrijgegeven worden.
Een beetje de moderne variant van alle paswoorden in een boekje noteren dus;)
Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
Terug
Bovenaan