Waarom is een wachtzin beter dan een complex wachtwoord?

Omdat en wachtwoordzin langer duurt om te bruteforcen. Met een dictionaryattack is het dan wel weer makkelijker te kraken.

Uiteindelijk draait het om de entropie van het wachwoord. De entropie hangt af van zowel de lengte als de complexiteit ('randomness'). "K%z89?0opl" lijkt mij sterker dan "Veiligheid is voor mij erg belangrijk!", en dat is omdat dat laatste nogal vatbaar is voor dictionary attack.

Het idee achter die zinnen is dat het op die manier makkelijker is om een lang wachtwoord te bedenken is wat te onthouden valt.

Voor echt sterke wachtwoorden ben ik van mening dat je die eis misschien maar moet laten vallen. Je kunt niet al je wachtwoorden onthouden en dat moet je ook niet willen, gebruik een password manager.

Zelf gebruik ik gewoon 32-char random wachtwoorden. Valt onmogelijk te onthouden (nou ja, ééntje lukt wel, maar een stuk of honderd niet) maar dat is ook niet de bedoeling.

[ Voor 13% gewijzigd door Compizfox op 11-09-2017 11:35 ]

Hoewel woorden zelf weinig entropie bevatten (er zijn veel minder woorden van 6 letters dan dat er combinaties zijn van 6 karakters), is het idee van een passphrase dat je een aantal woorden aan elkaar knoopt zodat de totale entropie hoger is dan dat van een kort password met allerlei speciale karakters.

Dit idee is vooral populair geworden vanwege deze xkcd comic van een paar jaar terug:
edit: zie hierboven ^^

edit2: Daar komt nog bij dat passphrases voor de gebruiker veel makkelijker te onthouden zijn, waardoor men minder geneigd is om de boel maar wat te versimpelen om onthouden makkelijker te maken, of om passphrases te hergebruiken. Uiteraard zijn deze voordelen niet van toepassing bij gebruik van een password-manager.

[ Voor 35% gewijzigd door Rannasha op 11-09-2017 11:38 ]

LANterfantje schreef op maandag 11 september 2017 @ 11:29:

Bijvoorbeeld: "Veiligheid is voor mij erg belangrijk!" schijnt beter te zijn dan "K%z89?0opl", hoewel de eerste er veel simpeler uitziet.

Ik heb begrepen dat die eerste zin an sich wel beter is, maar hij kan nog beter.

"veiligheid Is voor mij, en die 2, erg belangrijk"

Wij zijn natuurlijk gewend om een zin met een hoofdletter te beginnen en te eindigen met een punt, uitroepteken of vraagteken. Als je daar vanaf wijkt, is het natuurlijk nog weer iets lastiger te raden (zonder dat het veel lastiger te onthouden is).

LANterfantje schreef op maandag 11 september 2017 @ 11:29:
Ik heb een vraag over waarom wachtzinnen beter zijn dan complexe wachtwoorden behalve dat ze beter te onthouden zijn.

Bijna overal zie ik dat wachtzinnen een van de beste methodes zijn voor het invullen van een wachtwoord, maar ik twijfel hier nogal over vanwege dat ze voor mij zo simpel in elkaar zitten.

Bijvoorbeeld: "Veiligheid is voor mij erg belangrijk!" schijnt beter te zijn dan "K%z89?0opl", hoewel de eerste er veel simpeler uitziet.
Bovenstaande wachtwoorden zijn naar mijn kennis niet in gebruik
Ik zie vooral op verschillende forums dat de lengte hier een belangrijke rol speelt, maar qua structuur van de wachtzin ziet het er makkelijk uit.

Kan iemand mij uitleggen waarom dit zo werkt, en misschien ook hoe dit werkt?

Om dat je van te voren niet weet of er in die wachtwoord zin wel of geen speciale tekens zitten.

Rmg schreef op maandag 11 september 2017 @ 11:52:
[...]
Om dat je van te voren niet weet of er in die wachtwoord zin wel of geen speciale tekens zitten.

Nee, exact dat. Dus als wachtwoordkraker moet je alle mogelijke tekens in je aanval meenemen en dan is een langer wachtwoord altijd beter. Zelfs één teken toevoegen aan je tien-letterige "K%z89?0opl" wachtwoord maakt het al een stuk veiliger. Je wachtwoordzin is nog veel langer en kost dus ook meer werk om te kraken.

P_Tingen schreef op maandag 11 september 2017 @ 19:29:
[...]

Nee, exact dat. Dus als wachtwoordkraker moet je alle mogelijke tekens in je aanval meenemen en dan is een langer wachtwoord altijd beter. Zelfs één teken toevoegen aan je tien-letterige "K%z89?0opl" wachtwoord maakt het al een stuk veiliger. Je wachtwoordzin is nog veel langer en kost dus ook meer werk om te kraken.

Als je brute-force doet, ja. Als je er echter een dictionary attack op loslaat, wordt een 'wachtzin' als "Veiligheid is voor mij erg belangrijk!" ineens een stuk makkelijker te kraken.

Compizfox schreef op maandag 11 september 2017 @ 19:48:
[...]

Als je brute-force doet, ja. Als je er echter een dictionary attack op loslaat, wordt een 'wachtzin' als "Veiligheid is voor mij erg belangrijk!" ineens een stuk makkelijker te kraken.

Nauwelijks. Weet je hoeveel woorden er zijn? Meer dan letters en cijfers en interpunctie samen. Dus elk woord is meer waard dan een karakter in een traditioneel wachtwoord. En dat is bovendien er van uit gaande dat je kennis hebt over hoe het wachtwoord is opgebouwd. Als dat niet zo is dan is zo'n zin, simpelweg door de lengte alleen al, veel en veel veiliger.

[ Voor 16% gewijzigd door CyBeR op 11-09-2017 19:51 ]

Compizfox schreef op maandag 11 september 2017 @ 19:48:
[...]

Als je brute-force doet, ja. Als je er echter een dictionary attack op loslaat, wordt een 'wachtzin' als "Veiligheid is voor mij erg belangrijk!" ineens een stuk makkelijker te kraken.

Nee.
De nederlandse taal heeft (minstens) 240 000 woorden, voeg daar nog interpunctie bij toe, letter/getal substitutie, en je hebt bizar veel mogelijkheden.

De entropy van zo'n wachtwoordzin is vele malen hoger. Ook als je slimmigheidjes uithaalt met dictionaries

LANterfantje schreef op dinsdag 12 september 2017 @ 09:05:
Dankjewel allemaal voor de duidelijke antwoorden, Ik heb een beter beeld gekregen over hoe het een beetje in elkaar zit.
Ik kon zelf veel afleiden van het Stripje, omdat ik visueel ingesteld ben.

Super

Sites als https://howsecureismypassword.net/ of https://www.grc.com/haystack.htm zijn ook wel geinig om het effect van lange wachtwoorden te zien.

barrymossel schreef op dinsdag 12 september 2017 @ 10:15:
[...]

Sites als https://howsecureismypassword.net/ of https://www.grc.com/haystack.htm zijn ook wel geinig om het effect van lange wachtwoorden te zien.

Zolang je daar maar niet je eigen wachtwoord test