Ijzersterke paswoorden die de tand des tijds doorstaan?

Tech in SG? Schopje naar Beveiliging.

Je kunt er niet van uit gaan dat over 30 jaar de gebruikte encryptiemethode nog waterdicht is. En/of dat decrypten niet een factor 10.000 sneller is geworden.

GPS-coordinaten zijn een slecht idee, best kans dat er een in de boeken Facebook Maps net een halve meter is verplaatst. Neem dan iets als de eerste vijftig woorden van een bepaalde druk van de bijbel / de koran / de Hitchhikers guide to the galaxy.

Ik zou me eerder afvragen of BlackBlaze / Glacier over 10 jaar nog wel bestaat, laat staan over 30 jaar. Onwaarschijnlijk. Maar dat kan je idd afvangen door een twee dienst te gebruiken en bij stoppen een derde.

Vraag is of je data wel zo spannend is, maar vooruit.

Waarom zou je een wachtwoord willen maken van iets wat publiek te vinden is en dus ook door wachtwoordkrakers? En als jij het zelf makkelijk kunt recoveren, dan kan iemand anders dat ook.

Kan je niet veel beter gewoon LUKS containers maken en die uploaden, waarbij het een certificaat gebruikt voor de sleutels en dan dat certificaat ergens op een USB stick in een kluis leggen of op papier printen?

Kunnen die services wel zulke lange pw's accepteren?

Maar kies inderdaad bijvoorbeeld de songtext van je favo liedje ofzo, dat is toch moeilijk genoeg? Desnoods een eenvoudiger ww, maar dan bijvoorbeeld door een of andere translator gehaald ofzo?

[b]BaRF schreef op donderdag 25 september 2014 @ 21:21: Desnoods een eenvoudiger ww, maar dan bijvoorbeeld door een of andere translator gehaald ofzo?

Dat is dus ook een slecht idee, aangezien translators steeds worden verbeterd / aangepast.

Doet me denken aan deze: http://xkcd.com/936/

Dus gewoon een lange zin of collectie woorden die voor jou betekenis hebben.
Bijvoorbeeld:
Ijzersterkepaswoordendiedetanddestijdsdoorstaan?

[ Voor 20% gewijzigd door markvl op 26-09-2014 16:49 ]

Lyrics van een bekend nummer is inderdaad wel iets wat over 50 jaar nog steeds makkelijk is terug te vinden. Boeken kunnen lastig zijn ivm verschillende versies. En een lange zin die je in tussen tijd nooit gebruikt kan je makkelijk vergeten.

Ik zou wel iets creatiever zijn dan alleen alle woorden achter elkaar gebruiken natuurlijk .

demichel schreef op donderdag 25 september 2014 @ 18:25:
Heeft iemand een idee om een paswoord op te stellen, gebruik makende van publiek beschikbaar zijnde data, die je:

a) makkelijk, intuïtief kan onthouden
b) binnen 20, 30 jaar nog exact hetzelfde zal zijn?

Of misschien een andere manier om paswoorden binnen 20, 30 jaar nog te kunnen gebruiken, als het geheugen het afweet en documenten "verdwenen" zijn en je enkel nog toegang tot het Internet hebt en een login BlackBlaze die een paswoord verwacht?

Om maar een idee te noemen: Kies een getal tussen de 1 en ~320000 dat je kunt onthouden, noem het N. Bekijk vervolgens het N^e block van de Bitcoin-blockchain, specifiek de hash van de blockheader (deze is direct te vinden in block N+1, want op deze wijze verwijzen de blocks in de keten naar elkaar). Deze hash heeft ten minste 180 bits aan entropie. Die gebruik je dan als encryptiesleutel voor je eerste data-blok. Vervolgens neem je de hash van de blockheader van block N+1 voor het tweede data-blok, enz... De hash van blockheader N+1 is niet gecorreleerd met de hash van blockheader N, dus als een aanvaller enkel een deel van de encryptiesleutels vindt, dan kan hij daaruit niet berekenen wat de overige zijn zonder het systeem te kennen.

Eventueel kun je de hashes samenvoegen met een (relatief makkelijk) eigen password, waardoor je password+hash als encryptiesleutel gebruikt. Om te voorkomen dat de Bitcoin-blockchain over 20-30 jaar niet meer beschikbaar is, zou je deze cleartext kunnen opslaan bij je backups. Of eventueel versleutelen met enkel het getal N.

Hoewel de individuele blockheader-hashes meer dan genoeg entropie hebben om bruikbaar te zijn als encryptiesleutel, geldt hier, net als bij iedere wachtwoord-keuze die via een systeem / algoritme / ezelsbruggetje is bepaald, dat zodra iemand het trucje kent, het vrij makkelijk is om de encryptiesleutels te vinden.

[ Voor 6% gewijzigd door Rannasha op 26-09-2014 17:04 ]

Huur een kluisje bij de bank en leg daar op papier & usb & cd & dvd (zodat je er nog bij kunt als 1 van die dingen na 20 jaar niet meer werkt / leesbaar is) het password neer? Eventueel inclusief sourcecode van de encryptie/decryptie tool zodat je die ook nog hebt als dat nergens meer te vinden is na 30 jaar.

Dan kom je uit bij:
Dit=eenFe*kwachtwoorduit2014

Beveiliging is meer dan alleen een complex wachtwoord. als je overige beveiliging toestaat dat er een keylogger kan worden geinstalleerd is de complexiteit van je wachtwoord ook niet meer interessant.

Het getal Pi nemen tot op een x aantal cijfers achter de komma, dit getal vermenigvuldigen met je geboortedatum oid. Vervolgens een tattoo van π + het getal x + je geboortedatum onder op je voet laten zetten

Volgens mij dwaal ik af

markvl schreef op vrijdag 26 september 2014 @ 16:47:
Doet me denken aan deze: http://xkcd.com/936/

Ik zat eerder te denken aan:

[ Voor 17% gewijzigd door Soultaker op 27-09-2014 15:02 ]

/trollmode ON

Ik zou gewoon de md5 hash van 'password' nemen als wachtwoord. Is altijd terug te halen en je wachtwoord heeft 128-bit entropy ...

Photofreak heeft deels een punt. Afhankelijk van de gebruikte encryptie en toegepaste middelen kan een langer wachtwoord noodzakelijk zijn.

De meeste encryptie software maakt gebruik van onder andere een hash van het wachtwoord(Key encryption Key), die gebruikt wordt om de master encryption key(MEK) te ontsleutelen. De MEK kan de data ontsleutelen. In andere gevallen is het wachtwoord met een hash en soms salt, direct de MEK.

De vraag je af:
- wordt er gebruik gemaakt van salt
- wordt mijn wachtwoord gehashed en zo ja welke hash.
- hoeveel hash iteraties, luks heeft nu gemiddeld afhankelijk van CPU snelheid iets van 180.000 hashes met Sha256
- Welk encryptie algoritme

Daarna kun je iets zeggen over hoe lang het wachtwoord minimaal moet zijn.

Gebruik iets uit de wiskunde, bv de eerste 20 Fibonacci-getallen aan elkaar geplakt. Deze wijzigen nooit. Niet makkelijk te onthouden maar wel makkelijk opnieuw te genereren.

Maar beter is om niet uit te gaan van 30 jaar maar van 1 of 2 jaar. Upload gewoon elke 1 of 2 jaar opnieuw, met een nieuwe key en de op dat moment geldende encryptiemethoden. Je kan dan ook iedere keer weer opnieuw de op dat moment meest actuele opslagtechniek gebruiken en bent niet afhankelijk van Amazon of Backblaze.