Wachtwoord policy, wel of niet veilig

Ik zou beperking van karakters wel weglaten imo, en 90 dagen is prima en bijna standaard in bedrijfsleven.
Trouwens ik zou karakters vanaf 6 doen.

Het beperken van het arsenaal speciale tekens levert een aanvaller niet zoveel op. Laat hypothetisch eens alle 256 verschillende bytes toegestaan worden. Dat levert aardig wat problemen op qua implementatie en voegt nauwelijk iets toe aan de veiligheid van de wachtwoorden. Toegegeven, een willekeurig wachtwoord dat uit 256 tekens is opgebouwd is aanzienlijk sterker dan één die slechts 68 tekens mag gebruiken, maar mensen kiezen hun wachtwoord niet willekeurig. Ze zullen waarschijnlijk slechts één zo'n teken gebruiken, meestal aan het eind van hun wachtwoord, vermoedelijk een veelvuldig gebruikt leesteken, maar zeker geen karakter dat niet eenvoudig in te kloppen is.

Een aanvaller die brute force inzet, zal de te proberen combinaties sowieso al tot waarschijnlijke scenario's beperken. Succesvol, ongeacht het wachtwoordbeleid.

Vereisten aan de te gebruiken tekens zijn voornamelijk bedoeld om te voorkomen dat mensen wachtwoorden kiezen die vatbaar zijn voor een woordenboekaanval. Het is vooral de lengte die het een inbreker moeilijk moet maken. Zo bevat een willekeurig wachtwoord bestaande uit uitsluitend letters en spaties van 13 tekens lang al meer entropie dan het sterkste wachtwoord dat met TS' policy te maken is, maar is aanzienlijk makkelijker te onthouden.

Volgens mij is vooral de beperking aan de lengte een slecht idee. De lengte van een wachtwoord is een van de belangrijkste variabelen in het kraken er van. De tijd voor bruteforcen neemt evenredig toe met de lengte. Een minimale lengte is nog wel verstandig, maar een maximale lengte is behoorlijk overstandig en bovendien ook nog onnodig (je kunt probleemloos lange wachtwoorden opslaan). Zie ook: http://xkcd.com/936/

Limiet op tekens is misschien niet heel praktisch voor mensen, maar de meeste mensen beperken zich toch tot de meest gangbare karakters. Zoals al gezegd zal dat voor het kraken niet heel veel uitmaken, maar misschien wel voor het verzinnen van een w@chtw00rd Implementatie zou niet zo lastig mogen zijn, aangezien de boel toch in een hash belandt lijkt me.

Het regelmatig wisselen van wachtwoorden voegt wel wat toe in die zin dat als een hacker eenmaal binnen is, hij maar een beperkte tijd heeft met de verkregen login. Probleem is echter dat mensen voor hun gemak waarschijnlijk gewoon een counter inbouwen (w@chtw00rd1, w@chtw00rd2, etc) dus daar schiet je dan ook weinig mee op. Sowieso is 90 dagen voor een hacker natuurlijk een eeuwigheid als het echt interessant is om de server te kraken. Dus ook hier weegt het beveiligingsvoordeel naar mijn mening niet op tegen het gedoe voor de gebruiker.

[ Voor 33% gewijzigd door Morrar op 13-03-2012 13:47 ]

Ik snap sowieso niet waarom je een wachtwoord beperkt tot 12 tekens. Het is uiteraard de niet de bedoeling dat je ww bestaat alle werken van shakespeare, maar waarom niet gewoon 255 karakters max ofzo? Het hashed toch allemaal naar hetzelfde aantal bits.

En het karakter 'SOH' of 'ENQ' hashed net zo makkelijk als 'a', dus beperking van speciale tekens slaat helemaal nergens op..

Ook het verplicht stellen van speciale tekens en hoofdletters voegt imo weinig toe. "MijnWW##" is volgens mij echt niet moeilijker te kraken als "correct horste battery staple". Zeker niet als er nog een dynamische en statische salt wordt toegevoegd voor het hashen.

[ Voor 27% gewijzigd door Standeman op 13-03-2012 13:57 ]

Ik vind het uitsluiten van tekens met name irritant omdat ik dan handmatig m'n random gegenereerde password moet gaan doorzoeken op uitsluitingen. En bij een fatsoenlijke lengte is dat met veel uitsluitingen zinloos extra werk.
Ik heb ook zo'n bank waar ik regelmatig m'n password moet wijzigen. Vrij zinloos als je het mij vraagt, niemand krijgt m'n password te zien, en het oude password staat net zo hard in m'n keepass-database als de nieuwe. Ik voeg meestal gewoon 1 teken toe aan de oude, zo wordt-ie steeds langer.

Standeman schreef op dinsdag 13 maart 2012 @ 13:44:
Ook het verplicht stellen van speciale tekens en hoofdletters voegt imo weinig toe. "MijnWW##" is volgens mij echt niet moeilijker te kraken als "correct horste battery staple". Zeker niet als er nog een dynamische en statische salt wordt toegevoegd voor het hashen.

MijnWW## typt echter wel aanzienlijk sneller dan "correct horste battery staple". En dat hele plaatje gaat voorbij aan een dictionary-attack.
Sowieso gebruiken veel te veel mensen gewone woorden als password, terwijl een serieus password gewoon random tekens zou moeten zijn.

[ Voor 38% gewijzigd door RemcoDelft op 13-03-2012 13:51 ]

Overigens merk ik zelf dat ik bij websites die ik niet vaak gebruik tegenwoordig gewoon random wat inklop als password. Tegen de tijd dat ik weer een keer in moet loggen gebruik ik gewoon de password vergeten optie om een nieuw password aan te vragen.

Het gedoe met verzinnen van wachtwoorden en het onthouden ervan begon me de strot uit te komen. Tijd lang heb ik een standaard web password aangehouden (en wat lastigere passwords voor e-mail en weer lastiger voor bankieren), maar door alle verschillende eisen die her en der gesteld worden klop ik nu gewoon maar wat in

Moeilijke wachtwoorden... aarg.

Eens in de zoveel tijd wijzigen lijkt me wel logisch. Als een wachtwoord lekt dan is de schade beperkt en kun je niet 5 jaar later nog het wachtwoord van je baas gebruiken dat je toen 1x hebt moeten lenen.


Maar te regelmatig wijzigen met complexe regel.. dat nodigt uit tot geeltjes. Te vaak? Dan worden er doornummersystemen bedacht, waar de controle net niet op checkt. (Lente2012, Zomer2012, Herfst2012.... goed te raden dus als je een klein stukje meeleest).

Er zijn een aantal analoge wachtwoord generatoren, waarbij je bepaalde posites uit een blad intikt. Helaas werkt soms weer niet als je complexe dingen moet toevoegen.

and so it begins...

[ Voor 7% gewijzigd door leuk_he op 13-03-2012 14:12 ]

Ik gebruik altijd uitspreekbare brokken gesplitst door cijfers of tekens van minimaal 10-15 tekens.
16 tekens blijkt uit ervaring net iets te moeilijk.

Voorbeeld een random word generator die ik hiervoor benut is ge35ubreprutr2n, met wat nummers erin.
Kost even een aantal keer overkloppen, maar dan weet je hem wel. Naar mijn mening veilig.

Wachtwoorden veranderen elke 90 dagen is naar mijn mening zinloos, want dan neemt de kans dat de gebruiker het wachtwoord ergens opslaat(.txt) op opschrijft toe en en is het geen geheim wachtwoord meer. Ook worden tools zoals lastpass etc gebruikt, wat veilig is zolang de tool de boel veilig bewaard.

Ik moest gelijk hier aan denken

Ik merk even op dat hier "common words" staat. Welke dus in "common dictionaries" staan.
Je doet het pas goed als je "uncommon words" gebruikt. Van 4 talen bijvoorbeeld. Dan neemt het aantal benodige woordenboeken toe. Of moedwilig tiepfuoten aanbrengen?

Update:

Maar dat zijn allemaal brute-force methodes. De meeste wachtwoorden worden simpel weggegeven door een database hack of gejat door een virus/man-in-the-middle.

[ Voor 25% gewijzigd door jeroen3 op 13-03-2012 15:20 ]

jeroen3 schreef op dinsdag 13 maart 2012 @ 15:19:
Ik merk even op dat hier "common words" staat. Welke dus in "common dictionaries" staan.
Je doet het pas goed als je "uncommon words" gebruikt. Van 4 talen bijvoorbeeld. Dan neemt het aantal benodige woordenboeken toe. Of moedwilig tiepfuoten aanbrengen?

Update:

Maar dat zijn allemaal brute-force methodes. De meeste wachtwoorden worden simpel weggegeven door een database hack of gejat door een virus/man-in-the-middle.

Een hoofdletter is in princiepe al voldoende, dan is je dictionary opeens een stuk groter. Mijn "correct battery horse staple" begint met een hoofdletter en eindigt met een punt, uitroepteken of vraagteken.

Daarnaast is een keychain gewoon veel handiger. Er zijn genoeg password die een random pw van 32 tekens niet accepteren. Er is gewoon geen reden om een maximale lengte in te stellen.

[ Voor 7% gewijzigd door Megamind op 13-03-2012 15:23 ]

3raser schreef op dinsdag 13 maart 2012 @ 15:41:
[...]


Er moet ergens een limiet zijn natuurlijk, maar de limiet mag vandaag de dag best groot zijn. Met 250 karakters kunnen we voorlopig vooruit lijkt me. Dat bied mogelijkheden voor de mensen die random password generators gebruiken en dat opslaan in een tooltje. En de langere "correct horse battery staple" wachtwoorden worden dan ook zonder problemen geaccepteerd.

Als je goed wachtwoorden opslaat wordt er toch een hash van gemaakt, dus is er geen reden tot maximale lengte.

Op tweakers werd zelfs het wachtwoord al gehashed clientside voordat het naar de server ging, dan kan je wachtwoorden van 100.000 tekens maken zonder dat het iets uitmaakt.