DMA


DMA Internet services
Amsterdam



tel: 06 111 48419
e-mail: info@dma.nl

HomeOver DMADienstenSupportPolicy'sReferentiesLinksInfoContactWebMail

Info

Een website ontwikkelen
- Projectorganisatie
- Conceptueel Ontwerp
- Functioneel Ontwerp
- Technisch ontwerp
- Grafisch ontwerp
- Realisatie en Implementatie
- Testen
- Evaluatie
- Communicatie
- Presentatie
Second Life
we weten veel he
Reading Viracocha!
It is the sun.
The Code of Chivalry
Sonnet 146
The Exponential Function
The Fool
Learn how to drive your chariot
7 sided form and the heart vortex
Krulletjes
De Duva
Zeitgeist
The Dogon code
Sources
True Majority
KPN gooit mailservers dicht
Computer related acronyms
Het kiezen van een velig wachtwoord
Google lively
20ste Eeuw Relationele wiskunde
Toeval bestaat niet
Nasa & the Moon
Sonnet 116
ik wil weten
Hoe maak je een online formulier.
- FormMail handleiding
- FormMail bedankt
- FormMail Fout
Twaalf dagen
Weer bericht
Kopie van ...
Standaard bannerformaten


    

Het kiezen van een veilig wachtwoord

Joke Dorrepaal, SARA - Uit SARA bulletin #124

Het gebruik van veilige wachtwoorden is de basis van de computerbeveiliging bij SARA. De controle op de toegang tot de computersystemen en de bescherming van budgetten en bestanden berust op het gebruik van veilige wachtwoorden. Helaas blijkt dat het in de praktijk met de veiligheid van veel wachtwoorden nogal pover is gesteld. Een recente, door medewerkers van SARA uitgevoerde controle van wachtwoorden leverde een groot aantal te kraken en daarmee dus in wezen onveilige wachtwoorden op.
In dit artikel zullen we een methode beschrijven voor het kiezen van een veilig wachtwoord en een aantal richtlijnen geven voor het omgaan met de wachtwoorden.

Waarom deze nadruk op veilige wachtwoorden?

De opkomst van snelle workstations, de openheid van het netwerk en het vrij verkrijgbaar zijn van kraakprogramma's voor wachtwoorden maken het noodzakelijk dat iedere gebruiker van een computersysteem dat in het netwerk is opgenomen zijn toegangscode, gebruikersnaam of userid voorziet van een veilig wachtwoord. Dit is niet alleen voor hemzelf van belang maar ook voor zijn medegebruikers: de kraker kan zich via het onveilige wachtwoord toegang verschaffen tot een systeem en zich vermomd als legale gebruiker verder een weg banen door het systeem en het netwerk. Als pseudo-legale gebruiker heeft hij veel meer mogelijkheden om andere wachtwoorden te achterhalen, terwijl het voor de systeembeheerders extra moeilijk wordt om hem te ontmaskeren.
Een veilig wachtwoord is een wachtwoord dat gemakkelijk te onhouden is en vrijwel onmogelijk te kraken. Het zou natuurlijk mooi zijn als we een wachtwoord konden bedenken dat nooit te kraken is, maar dat is onmogelijk: elk wachtwoord is te kraken. Of het gekraakt wordt hangt af van de moeite die iemand moet of wil doen om het gekraakt te krijgen. En het is aan u om het een eventuele kraker zo moeilijk mogelijk te maken. Door ervoor te zorgen dat uw wachtwoorden bestand zijn tegen de meeste krakerstrucjes, dwingt u de kraker tot een grote investering in rekentijd en kunt u de kans dat het gekraakt wordt tot een minimum beperken.

Onveilige wachtwoorden

Onveilige wachtwoorden zijn een dankbaar kraakobject. Bij een recente proef, uitgevoerd door medewerkers van SARA, kon met een Sun4 SLC sparcstation 10 procent van de 340 aangeboden wachtwoorden binnen een paar uur worden gekraakt. In de loop van een weekend was dit percentage al opgelopen tot 20 procent. Er werd gebruik gemaakt van een woordenlijst van ongeveer 500.000 woorden en ieder woord werd via 240 methoden gemanipuleerd. De eerste wachtwoorden kwamen al na enkele minuten tevoorschijn.
U gebruikt een onveilig wachtwoord als u een keuze maakt uit de volgende lijst:

  • woorden als "geheim", "secret", "wachtwoord", "codenaam" en "password".
  • een telefoonnummer, bank- of gironummer, een willekeurig nummer
  • een datum, bijvoorbeeld uw geboortedatum, of die van uw kinderen
  • een autokenteken
  • een voor- en/of achternaam
  • een merknaam
  • een aardrijkskundige naam
  • een straatnaam

Kies ook nooit een woord dat op een of andere manier in een Nederlands of anderstalig woordenboek of in een algemeen toegankelijk (elektronisch) gegevensbestand voorkomt.
Ook een wachtwoord dat ontstaat door eenvoudige manipulatie van een van bovenstaande mogelijkheden, bijvoorbeeld de klinkers weglaten, de tekens in omgekeerde volgorde zetten of ergens op een willekeurige plaats een cijfer of speciaal teken opnemen, is niet veilig. Kraakprogramma's kennen deze trucjes ook. Gebruik geen van de wachtwoorden die in dit artikel, of enig andere publikatie over wachtwoorden, als voorbeeld worden genoemd.

Het kiezen van een veilig wachtwoord

Een veilig wachtwoord is een wachtwoord dat u zelf makkelijk kunt onthouden, maar dat vrijwel onmogelijk is te raden of te kraken met een computerprogramma.
Een wachtwoord mag nooit worden opgeschreven, want een wachtwoord dat opgeschreven is, is niet meer veilig. Het moet daarom makkelijk te onthouden zijn en dus kort en eenvoudig. Echter, een goed wachtwoord is niet te kraken en dus lang en ingewikkeld; het bestaat uit een ogenschijnlijk willekeurige reeks tekens: letters, cijfers en speciale tekens door elkaar. Dit zijn zo op het oog tegenstrijdige eisen, maar met een ezelsbruggetje kunt u er voor zorgen dat een ingewikkeld wachtwoord toch gemakkelijk onthouden kan worden.

Stap 1: de basis

Kies een kort zinnetje en neem als basis voor uw wachtwoord de eerste letter van elk woord of van elke lettergreep. Bijvoorbeeld het hek is reeds lang niet geverfd levert als basis hhirlng
Zo ontstaat reeds een vrij moeilijk te raden wachtwoord, dat toch makkelijk te onthouden is. Het aantal manieren waarop u een zinnetje kunt kiezen is heel groot, veel groter dan het aantal typen onveilige wachtwoorden. Een paar suggesties:

  • een regel uit een boek, gedicht, toneelstuk, tv-serie, etc., bijvoorbeeld DAHZIBR = "Denkend Aan Holland Zie Ik Brede Rivieren"
  • de titel van een boek, toneelstuk, film, enz.
  • een tekst uit een reclame
  • een spreekwoord, BTKOZLT = "BoonTje Komt Om Zijn LoonTje"
  • een uitspraak van een bekende persoonlijkheid
  • een uitdrukking in verband met een historische gebeurtenis
  • een regel uit een song, een liedje
  • een zelfbedachte uitspraak.

Tweede stap: substitueer een aantal speciale tekens

Het resultaat van de eerste stap is een vrij willekeurige rij letters. Als wachtwoord is dit tegenwoordig nog niet veilig genoeg. Want hoe groot is de kans dat het geraden wordt? Als we uitgaan van een wachtwoord van zeven posities dat alleen uit letters bestaat, zijn er 267 = 8 miljard keuzemogelijkheden. Een modern werkstation kan zo'n 2000 pogingen per seconde doen. Dat betekent dat alle combinaties in 46 dagen zijn doorgerekend. Gemiddeld is uw wachtwoord dan dus in ongeveer drie weken gekraakt, met als consequentie dat u zo'n wachtwoord minstens elke twee a drie weken moet wijzigen. Met een gewone PC, die ongeveer 1000 pogingen per seconde kan doen, duurt het wat langer, maar daarmee zijn toch ook in een maand of drie alle mogelijkheden achterhaald. Als, behalve letters, ook cijfers en speciale tekens in het wachtwoord voorkomen, is aanzienlijk meer tijd nodig (tot enkele tientallen jaren), want dan is het aantal mogelijke combinaties fors groter: ongeveer 607 = 2800miljard!
Maar ook als u speciale tekens gaat gebruiken moet u het uzelf niet moeilijker maken dan nodig is. Kies dus alleen cijfers en/of speciale tekens die u met iets kunt associ-eren: zo kan de letter K vervangen worden door een < of de Z door een 2. Door gebruik te maken van de dubbele betekenis van sommige tekens of lettercombinaties is het soms ook mogelijk een heel woord door een lettercombinatie of speciaal teken te vervangen: # in plaats van "hek" of "hekje" of KK in plaats van "kaas".

Het is de bedoeling dat u bepaalde letters of woorden vervangt door een speciaal teken, een cijfer of een combinatie van letters. De eerder genoemde basiswachtwoorden kunnen hiermee op de volgende manier worden veranderd (zie figuur 2). U ziet het, met een beetje fantasie komt u een heel eind.

Als u de hier beschreven methode gebruikt voor het kiezen van een wachtwoord van 8 posities bestaande uit hoofdletters (26), cijfers (10) en/of speciale tekens (24), dan ontstaat een wachtwoord dat vrijwel onmogelijk te achterhalen is. Er zijn dan namelijk 608 = 170 x 1012 combinaties mogelijk. Om die allemaal uit te proberen met een workstation dat 2000 pogingen per seconde kan doen is theoretisch zo'n 2500 jaar nodig! Het duurt dan gemiddeld zeker 1250 jaar voordat een wachtwoord gekraakt is.
Regels voor het omgaan met wachtwoorden:

  • Als u een nieuwe gebruikersnaam is toegekend, is daar een initieel wachtwoord opgezet. Het is duidelijk dat dit wachtwoord niet alleen aan u bekend is. Als u de informatie over uw gebruikersnaam hebt ontvangen, moet u dan ook zo spoedig mogelijk inloggen op het betreffende systeem en uw wachtwoord wijzigen.
  • Werkt u op meer dan een systeem, gebruik dan niet op elk systeem hetzelfde wachtwoord.
  • Wijzig uw wachtwoord minstens een maal per jaar en kies dan een heel nieuw wachtwoord. U zult zich misschien afvragen waarom dat nodig is, als bij het kiezen van een wachtwoord bovengenoemde methode is gebruikt. Er bestaat echter altijd een kleine kans dat uw wachtwoord op een of andere manier bekend wordt, bijvoorbeeld doordat er iemand meekeek toen u het intypte, of dat het is uitgelekt via het netwerk.
  • Gebruik een zo lang mogelijk wachtwoord; op de ES/9000 is de maximale lengte 8 tekens, op sommige (Unix-)systemen kunt u het wachtwoord nog langer maken.
  • Gebruik zoveel mogelijk verschillende soorten symbolen (hoofdletters, kleine letters, cijfers en speciale tekens).
  • Gebruik minstens twee speciale tekens en/of cijfers.
  • Voorkom dat iemand mee kan lezen als u uw wachtwoord intypt.
  • Schrijf uw wachtwoord nooit op.
  • Leen nooit uw wachtwoord uit: als iemand met uw gebruikersnaam en wachtwoord misbruik maakt van een systeem moet u wellicht voor de gevolgen opdraaien.
  • Ook als groepen gebruikersnamen worden aangemaakt, heeft elke naam een initieel wachtwoord. Het is de verantwoordelijkheid van de aanvrager van zo'n groep, bijvoorbeeld de practicumleider, om er voor te zorgen dat alle initi-ele wachtwoorden uit de groep zo spoedig mogelijk worden gewijzigd, ook die wachtwoorden die horen bij namen die niet onmiddellijk worden gebruikt. Het is niet ondenkbaar dat onrechtmatig toegang tot een systeem verkregen wordt, doordat iemand het initi-ele wachtwoord van een ongebruikte gebruikersnaam van een practicum weet te achterhalen.

 

Google+