[Wachtwoorden] Veelvoorkomende NL wachtwoorden

Misschien voorspelbaar, maar...

www.vandale.nl

Ik denk dat in principe elk Nederlands woord 'te makkelijk' is als wachtwoord. Een goed wachtwoord is een combinatie van alfanumerieke karakters.

Andere veel voorkomende wachtwoorden zijn zes- of achtcijferige combinaties (geboortedatum) of namen. Ik zou die er sowieso uitfilteren.

Ik denk dat je eerder in de richting moet gaan denken van:
- Geboortedatums
- Naam / Namen van vriendin / vrouw / kinderen
- Combinaties van het bovenstaande
- Datums van laatste wijziging
enz.

Misschien ligt het aan mij en ben ik paranoia maar wat je vraagt is een passwordlijst met de
vijftig meest voorkomende nederlandstalige wachtwoorden, en natuurlijk is dit voor eigen gebruik...

Zeg je.

Je kan er beter voor zorgen dat je, in het programmaatje dat je aan het schrijven bent, zulke wachtwoorden uitsluit door er voor te zorgen dat er minimaal een X aantal tekens moet worden gebruikt en dan ook nog in combinatie met cijfers/letters (hoofd en kleine)/leesteken.

Anders even een mailtje sturen naar xs4all, die voeren altijd een geautomatiseerde check uit op wachtwoorden misschien willen ze je wel vertellen wat voor software ze daarvoor gebruiken.

(http://www.xs4all.nl/help...achtwoord_gemakkelijk.php)


ps. het meest voorkomende nederlandse wachtwoord=**********


edit, link toegevoegd

[ Voor 7% gewijzigd door Verwijderd op 20-11-2006 12:15 ]

sariel schreef op maandag 20 november 2006 @ 11:51:
Ik heb al een "lijstje" van woorden uit de van dale (oid, 178429 woorden, 11mb...) maar die is een beetje aan de grote kant. is er niet iets als een top50 van wachtwoorden?

Is het bovendien wel legaal als jij een lijst van van Dale gaat gebruiken in je website. Meestal moet je eerst toestemming krijgen etc.

Volgens mij schiet je je doel totaal voorbij met een woordenlijst of een top50 van veel voorkomende woorden. Een wachtwoord is namelijk in principe erg zwak wanneer het bestaande woorden zijn. Wat je veel beter kunt doen is een controle op bepaalde eigenschappen zoals hoofdletters en kleine letters, getallen, speciale tekens, minimale hoeveelheid karakters etc.

Als voorbeeld kun je naar elke willekeurige password generator kijken bijna. Wat je natuurlijk ook kunt doen is een sterk wachtwoord voor de gebruiker genereren (en deze natuurlijk zelf niet opslaan, daar pak je een hash voor).

Lees bv dit eens door voor ideeën: klik hier voor info

[ Voor 10% gewijzigd door Bor op 20-11-2006 12:26 ]

Er zijn toch al legio tools die dit voorzien, weak password scans...
In geval van MS: microsoft Baseline Security Analyser 2 doet ook iets dergelijks. Niet alleen op dictionary, maar kan ook brute force doen. Als dan binnen een instelbare tijd het wachtwoord gevonden is, is het niet sterk genoeg.

Lijkt me niet echt zinvol hier zelf iets voor te schrijven...

Bor de Wollef schreef op maandag 20 november 2006 @ 12:25:
Als voorbeeld kun je naar elke willekeurige password generator kijken bijna. Wat je natuurlijk ook kunt doen is een sterk wachtwoord voor de gebruiker genereren (en deze natuurlijk zelf niet opslaan, daar pak je een hash voor).

Het nadeel van een gegenereerd password is dat gebruikers die dus heel vaak niet kunnen (en sommige het gewoon niet willen) onthouden. Gevolg is dat het mooie, sterke wachtwoord op een post-it geschreven aan de monitor hangt. Lekker makkelijk voor de gebruiker, die hoeft z'n moeilijke en sterke wachtwoord niet meer te onthouden Dan komt de schoonmaker langs (ik noem maar wat), die schrijft het even snel op een papiertje en gaat later de boel lekker verzieken.

Sick Nick schreef op maandag 20 november 2006 @ 12:36:
[...]

Het nadeel van een gegenereerd password is dat gebruikers die dus heel vaak niet kunnen (en sommige het gewoon niet willen) onthouden. Gevolg is dat het mooie, sterke wachtwoord op een post-it geschreven aan de monitor hangt. Lekker makkelijk voor de gebruiker, die hoeft z'n moeilijke en sterke wachtwoord niet meer te onthouden Dan komt de schoonmaker langs (ik noem maar wat), die schrijft het even snel op een papiertje en gaat later de boel lekker verzieken.

Dit is zo`n sterk argument... ben het er helemaal mee eens

* holly kijkt naar zijn beeldscherm en ziet 5 post its met sterke ww hangen

Sick Nick schreef op maandag 20 november 2006 @ 12:36:
[...]

Het nadeel van een gegenereerd password is dat gebruikers die dus heel vaak niet kunnen (en sommige het gewoon niet willen) onthouden. Gevolg is dat het mooie, sterke wachtwoord op een post-it geschreven aan de monitor hangt. Lekker makkelijk voor de gebruiker, die hoeft z'n moeilijke en sterke wachtwoord niet meer te onthouden Dan komt de schoonmaker langs (ik noem maar wat), die schrijft het even snel op een papiertje en gaat later de boel lekker verzieken.

Dat hangt natuurlijk totaal van de toepassing af. Bovendien zijn er prima andere oplossingen om die sterke wachtwoorden toch te kunnen onthouden / opslaan op een veilige manier. TS heeft ook niet aangegeven welk doel zijn web applicatie zal hebben. Door de gebruiker bedachte wachtwoorden zijn eigenlijk per definitie al niet sterk wanneer je er van uit gaat dat het grootste gedeelte al onder de 8 karakters blijft en begint te zuchten als de applicatie minimaal 8 karakters wil zien.

[ Voor 25% gewijzigd door Bor op 20-11-2006 13:09 ]

.

[ Voor 99% gewijzigd door Verwijderd op 31-10-2023 22:57 ]

sariel schreef op maandag 20 november 2006 @ 13:16:
[...]

Om deze reden heb ik dus de NL woordenlijst, een EN woordenlijst, een lijst met EN wachtwoorden en nu wil ik nog een lijst met NL wachtwoorden.

Dan nog zou ik niet vertrouwen op een woordenlijst alleen: mensen zijn inventief genoeg om daar omheen te komen door ipv appeltaart bv appeltaart1 te kiezen. En laten dit nou net de dingen zijn die de meeste brute force tools ook proberen.

Waar ik op doelde met de uitspraak van "dat hangt van de applicatie af" is dat niet alle info die met een wachtwoord word beschermt even waardevol is. De mate van beveiliging wordt grotendeels bepaald door de waarde van de informatie die moet worden beschermd. Wat zijn de risico's wanneer deze info in verkeerde handen komt? Wat kan ik naast een technische maatregel nog meer doen? Mensen die passwords op papier schrijven zijn namelijk bv niet aware genoeg van de gevaren hiervan of vinden het password systeem te onhandig. Ook dat kan in sommige gevallen opgelost worden.

- Wie is de doelgroep van de applicatie?
- Hoeveel gebruikers verwacht je?
- Ahthenticatie op basis van alleen password of ook username?
- Is de username van te voren makkelijk te raden of zelfs zichtbaar?

Maar goed, vooraf gegenereerde passwords is natuurlijk in lang niet alle gevallen een oplossing. Dat staat niet in de weg dat je zelf gewoon de voorwaarden kunt bepalen waaraan een password moet voldoen (zie bv de info in de link die ik gaf) en hier op kunt controleren. Dat is imho de veiligste manier. Controle aan de hand van een woordenlijst alleen is niet voldoende. Zeker niet wanneer je hier een "top 50" voor neemt (imho vrijwel evenveel waard als geen enkele controle).

[ Voor 15% gewijzigd door Bor op 20-11-2006 13:31 ]

chromeeh schreef op maandag 20 november 2006 @ 11:40:
Ik denk dat je eerder in de richting moet gaan denken van:
- Geboortedatums
- Naam / Namen van vriendin / vrouw / kinderen
- Combinaties van het bovenstaande
- Datums van laatste wijziging
enz.

+
Sex, God, Love en...?

- Postcode
- Straatnaam
- Geboorteplaats
- 1234
- Uitroeptekens/vraagtekens achteraan de wachtwoorden
- Teksten die te zien zijn op en rondom het bureau (bijvoorbeeld monitor merkje)
- Merken (automerk, kledingmerk, voedselmerk, etc)
- Bedrijfsnaam, afdeling

Plus dat alles van bovenstaande nog andersom kan worden gebruikt.

Ik ben er van overtuigt dat 90% van de wachtwoorden die door bedrijven worden gebruikt gewoon te raden zijn binnen 200x indien je je verdiept in hun situatie.

Sowieso moet je een brute force attack van 1 IP al beperken door maximaal 10 logins per minuut toe te staan van een IP o.i.d. Daar merken de users niets van maar het is toch veel te weinig om te bruteforcen.

1. wachtwoord
2. password
3. [gebruikersnaam]1

djluc schreef op dinsdag 21 november 2006 @ 11:43:
Sowieso moet je een brute force attack van 1 IP al beperken door maximaal 10 logins per minuut toe te staan van een IP o.i.d. Daar merken de users niets van maar het is toch veel te weinig om te bruteforcen.

Of het te weinig is om te brute forcen hangt van de check af en van de gebruikte techniek. Je kunt namelijk ook brute forcen op basis van een aantal al bekende karakters. Daarbij kun je dit zelfs distributed gaan doen, dat is al 10 inlogs per ip (ik weet niet of de app bv ook via internet bereikbaar moet zijn)?

Een max login zorgt verder gelijk voor een erg makkelijk te exploiten denial of service probleem: geef expres 10x een verkeerd password per minuut en niemand kan meer inloggen.

Maar goed, ik krijg een beetje het idee dat je graag een lijstje wilt omdat dit "zo makkelijk" is. Begin eens met te stellen wat jij vind waar een password aan moet voldoen, op basis daarvan kijk je welke controles je wilt en kunt uitvoeren. Vergeet niet dat je eventueel ook aan een min password lengte zit door eventueel geldend beveiliginsbeleid etc.

[ Voor 17% gewijzigd door Bor op 21-11-2006 12:43 ]

check op regels zoals hierboven word gezegd, met de tijd krijg je weer nieuwe hypes kwa woorden.
en een van de regels kan mischien een kleine woorden check zijn maar check of er cijfers,kleine letters,grote letters en leestekens in voorkomen.
verzin een minimale (6 tekens) en maximale (200 tekens) lengte van een pass,zorg dat termen die in die scene vaak gebruikt worden er niet in mogen voorkomen, zorg dat namen niet mogen worden gebruikt doormiddel van een lijst.
check op letter groepen die iets kunnen betekenen lol ofzo die worden makkelijk uitgepikt.

[EDIT] hoop dat het zo beter is

[ Voor 4% gewijzigd door lordgandalf op 24-11-2008 09:23 . Reden: leestekens ]

Het is wat laat, maar misschien heb je nog wat aan deze wachtwoord checker ?

Just my 2cts