Het ideale wachtwoord

Uit een recent onderzoek is gebleken dat nog steeds heel veel mensen hun wachtwoord hergebruiken op verschillende websites. Er hoeft maar één zo'n website gehackt te worden, en de hacker kan overal in; je facebook, je hyves, je bankaccount, je paypal, etc. En met de komst van Anonymous en Lulzsec is geen enkele website meer veilig. Zie bijvoorbeeld dit artikel over de RTL datingssite die gehackt is, waarna de gegevens van 53.000 mensen online zijn gezet. Of deze tweet, waarin Lulsec een link naar 62.000+ inloggegevens geeft.

De reden dat mensen overal hetzelfde wachtwoord gebruiken, is zodat ze niet honderden codes uit hun hoofd hoeven leren. Je zou ze natuurlijk op een briefje kunnen schrijven, of allemaal in een word document kunnen zetten. Maar stel dat je computer wordt gehackt en het word-document wordt gestolen, of een virus het bestand onbruikbaar maakt. Of als een collega het briefje met wachtwoorden ziet, en er (perongeluk) een foto van maakt...

Maar hoe moet het dan wel? Het wachtwoord moet sterk en op iedere website anders zijn. Maar hoe gaan we dat doen?
  • maak een hash van je wachtwoord die bij die dienst hoort
  • presenteer de hash in de door de dienst gewenste vorm

Als voorbeeld gebruiken we DigitalPlace.nl. Eis bij het registreren is: wachtwoord tussen de 6 en 30 tekens lang.

Stap 1. maak een hash van je wachtwoord die bij die dienst hoort


Bij websites kan je het beste de domeinnaam gebruiken. Dus in ons voorbeeld: digitalplace.nl. Deze codeer je naar een algoritme naar keuze, ik neem meestal SHA256. Zoek met google naar een online tool die dit doet. Ik kwam hier uit: http://www.shell-tools.net/index.php?op=hash_sha256 .

Vul daar digitalplace.nl in, en je krijgt dit te zien:
b5be94e24ffe1a9e7deafdff56b97fc537c25653df21eee9bd4eb6dd3289c621


Stap 2. presenteer de hash in de door de dienst gewenste vorm


Het wachtwoord moet tussen de 6 en 30 tekens lang zijn. Ik kies voor 8 tekens, omdat dat aantal bij bijna iedere website geaccepteerd wordt (en dus makkelijk onthouden is).

Je kunt nu de eerste 8 tekens gaan tellen, maar ik doe het liever met de tool op http://www.functions-online.com/substr.html . Vul bij $string de code in die je bij de vorige stap hebt gekregen, bij $start vul je 0 in en bij $length hoe lang het wachtwoord moet worden, 8 dus. Resultaat:
b5be94e2


Daar is je wachtwoord! Er mogen dan wel geen speciale tekens in zitten, maar het is onmogelijk om te raden, komt niet in een woordenboek voor, en het belangrijkste: je wachtwoord is niet meer op iedere website hetzelfde. Voor de scripters: het is heel simpel een scriptje te schrijven die het encoden en afsnijden automatisch doet, kijk daarvoor naar de functie sha1() en substr() in PHP.

Thnx voor het lezen, en wees verstandig en DOE ER IETS MEE!

Update: Script die het makkelijker maakt, gemaakt door Thumb, op http://digitalplace.nl/scripts/php/1029/wachtwoord-maker-script .
VBS/JS beveiligen 
 Steganografie
 
 

Reacties (8)

Avatar MatrixStorm
MatrixStorm
10 maanden geleden
 
Of je gebruikt KeePass ;)
Avatar xvilo
xvilo
10 maanden geleden
 
je faalt ook al net zoals thumb!

als iedereen een SHA256 hash van de website naam en de eerste 8 letter gaat gebruiken dmv van het scriptje van thumb dan word het raden van de wachtwoorden ook niet meer zo moeilijk!!!!! :roll: :roll: :roll: :roll: :roll: :roll: :roll: :roll: :roll:
Avatar Thisegzz
Administrator Thisegzz
10 maanden geleden
 
Het is ook alleen maar een voorbeeld. Je kunt natuurlijk ook een ander algoritme gebruiken zoals MD5 of SHA1, en je kunt de lengte veranderen.

Maar het beste wat je kunt doen, is naast de domeinnaam, een eigen wachtwoord zetten. Dus dat je bijvoorbeeld
Code: Selecteer alles
digitalplace.nl 7h153gzz
in de tool gooit. Dat raadt niemand ;)
Avatar LaugHawa
LaugHawa
10 maanden geleden
 
Je zou ook een salt kunnen toevoegen. dan hoef je alleen die salt te onthouden en mocht je je wachtwoord dan vergeten kun je door die saltte gebruiken je wachtwoord altijd opnieuw "opvragen" :) dit is nog veiliger want andere die dit lezen hoeven op deze manier alleen maar te raden hoeveel cijfers jij gberuiken dat zijn dus maar 30-6 = 24 mogelijk heden. met een salt heb je ([aantal getallen] * (26+10)) + [de formulier hier voor met alle andere mogelijk heden onder de 30] = nou... reken zelf maar uit :)
Avatar Thisegzz
Administrator Thisegzz
10 maanden geleden
 
Klopt, dat is inderdaad een beter idee.
Avatar Thumb
Thumb
10 maanden geleden
 
ik heb al een versie van het script geschreven, dat een optionele salt toevoegt in het midden van de url (dus als de salt lolol is, krijg je digitlolololalplace.nl) :) alleen moet ik die nog ff testen en uploaden

edit. geupload
Avatar Jaxo
Jaxo
9 maanden geleden
 
Als je special chars zoals @!# etc. toevoegt is het ook al een stuk veiliger. Als de database gehackt is en ze hebben de hashes kiezen ze vaak in hun bruteforcer de optie om deze chars niet te proberen omdat dat veel meer tijd kost. Trouwens, knappe kerel die hashes bruteforced :mrgreen: Moet je nog aardig veel geld voor hebben ook, goede videokaart kost tegenwoordig ook nog aardig wat met de steeds nieuwere technologieën :) Hier zie je een overzichtje van de 'attacks' p/s via een GPU Bruteforcer: http://www.insidepro.com/eng/egb.shtml, je ziet hier ook dat je met deze bruteforcer ook een optie kan inschakelen om !@.. etc. ook te proberen. Dus het is echt een aanrader om deze tekens te gebruiken in je password!
Avatar DJSanderrr
DJSanderrr
3 maanden geleden
 
@Thisegzz zit jou wachtwoord ook zoo in elkaar

Plaats reactie

Avatar
Anonymous
Nog te plaatsen
Alleen leden kunnen reacties plaatsen. Ga naar de inlogpagina of word gratis lid van DigitalPlace.nl.

Details

Avatar Thisegzz
Door: Thisegzz Administrator

Categorie: Encryptie
10 maanden geleden
796 x bekeken

Jouw mening

Leuk Niet leuk

Updates

Op de hoogte blijven van de nieuwste updates van DigitalPlace.nl? Dat kan!


Opties



Naar boven