[python-nl] Security: lijst met veelgebruikte Nederlandse wachtwoorden gezocht

[Tikitu de Jager]

2013/10/7 Niels Bom <niels at nielsbom.com>

> De suggesties van Reinout en Wichert zijn goed, en ik denk ook dat het een
> goed idee is om in ieder geval een kleine woordenboek-achtige woordenlijst
> te gebruiken.
>
> Bij gebruik van een te grote lijst wordt het volgens mij weer een gedoe om
> dat naar de client te sturen (veel MB) en efficiënt met een algoritme door
> die lijst te ploegen en patronen te genereren. Ik zou dan die check ook
> server side kunnen doen maar dan loop je herhaaldelijk potentiële
> wachtwoorden naar de server te sturen, en dat is niet echt POST, maar je
> wil het ook niet in een GET doen. Een tweede argument tegen een grote lijst
> is dat je met een relatief kleine lijst al een groot deel van de slechte
> wachtwoorden eruit kan vissen, omdat veel mensen simpelweg toch hetzelfde
> doen.
>

Je zou kunnen denken aan eenmalig een recogniser maken voor je lijst, en
alleen die recogniser naar de client te sturen.
Wat overview: http://www.n3labs.com/pdf/lexicon-squeeze.pdf
Gezien dat false positives niet erg belangrijk zijn zou je misschien ook
een Bloom filter gebruiken, wat dan nog kleiner gemaakt kan worden.

gr,
Tikitu


> Joël heeft ook goeie punten:
> Namen worden veel gebruikt in passwords, dat zie je ook terug in de
> woordenlijst waar het blog hun demo mee maakt (
> https://dl.dropboxusercontent.com/u/209/zxcvbn/test/zxcvbn.js). Dus die
> wil je ook in die woordenlijst hebben staan. Over de bias in de selectie:
> ja klopt, zo'n lijst met wachtwoorden zal waarschijnlijk meer passwords
> bevatten die makkelijk te cracken zijn dan passwords die dat niet zijn.
> Maar is dat eigenlijk tegelijk ook niet erg? Als mensen een password willen
> gaan gebruiken wat ooit is gecracked en wat (blijkbaar) door een redelijke
> groep mensen gebruikt wordt dan is het waarschijnlijk een goed idee om dat
> wachtwoord juist niet te gebruiken. Right?
>
> Ik zit net nog een keer door die Engelse lijst te kijken, maar daar zie je
> toch ook veel onzinwoorden tussen staan, die je niet in een woordenboek zal
> vinden. En niet-Engelse woorden.
>
> In ieder geval bedankt voor jullie reacties, ik zoek en denk nog even
> verder.
>
> groet,
> Niels
>
>
>
> 2013/10/7 Wichert Akkerman <wichert at wiggy.net>
>
>>
>> On 07 Oct 2013, at 16:20, Niels Bom <niels at nielsbom.com> wrote:
>>
>> Hi,
>>
>> Mijn vraag is niet direct Python gerelateerd maar ik kan me voorstellen
>> dat sommigen van jullie hetzelfde probleem hebben gehad.
>>
>> Wat ik wil:
>> Ik wil de wachtwoordsterkte van Nederlandse users weergeven op het moment
>> dat ze het wachtwoord voor het eerst invoeren of veranderen. Later wil ik
>> ze misschien dwingen een voldoende sterk wachtwoord te gebruiken.
>>
>> Om de wachtwoordsterkte te bepalen moet je in de huid kruipen van mensen
>> die die wachtwoorden gaan raden. Dat doen ze, logischerwijs, met lijsten
>> van veelgebruikte wachtwoorden en ook met woordenlijsten zoals een
>> woordenboek. Een van de dingen die die black-hat hackers doen is het kijken
>> naar patronen van wachtwoorden. Dus als "welkom" een veelgebruikt
>> wachtwoord is zullen ze "welkomwelkomwelkom" ook proberen. Een ander
>> patroon is het kijken naar de keyboard layout: "zxcvbn" bijvoorbeeld.
>>
>> Een goeie blogpost die hier veel meer over zegt:
>> https://tech.dropbox.com/2012/04/zxcvbn-realistic-password-strength-estimation/
>> Er wordt daar ook een JavaScript implementatie gegeven van zo'n password
>> strength meter en ook een "dictionary" file met veelgebruikte
>> (wacht)woorden.
>>
>> Nu komt echter mijn probleem: ik heb geen lijst met veelgebruikte
>> Nederlandse wachtwoorden en die kan ik ook na een tijdje zoeken niet
>> vinden. Om die password strength meter effectief (en sneller) te laten
>> werken is dat eigenlijk wel nodig. Zo is het wachtwoord "welkomwelkom"
>> volgens de demo die het blog geeft een goed wachtwoord en dat komt doordat
>> "welkom" niet in de gebruikte dictionary staat.
>>
>> Dus heeft één van jullie zo'n lijst? Of weet je hoe ik daaraan kan komen?
>> Ik heb hier geen kwade bedoelingen mee overigens :-) Dat kan namelijk ook
>> nog.
>>
>>
>> Waarom pak je niet een Nederlands woordenlijst? Daarvan zijn er
>> verschillende beschikbaar en die geven je een betere indicatie dan een pure
>> wachtwoorden-iijst.
>>
>> WIchert.
>>
>> _______________________________________________
>> Python-nl mailing list
>> Python-nl at python.org
>> https://mail.python.org/mailman/listinfo/python-nl
>>
>>
>
> _______________________________________________
> Python-nl mailing list
> Python-nl at python.org
> https://mail.python.org/mailman/listinfo/python-nl
>
>


-- 


Buzzcapture

Herengracht 180, 1016 BR, Amsterdam

 T: +31 (0)20 3200377

M: +30 6947 212 212


Recent
01-10-2013: Carglass  <http://www.carglass.nl/>start met Buzzcapture
19-09-2013: FHV/BBDO <http://www.fhv.bbdo.nl/nl_NL/home> kiest voor
Buzzcapture
17-09-2013: Infographic
<http://nos.nl/op3/artikel/552381-de-troonrede-king-of-buzz-en-de-hoedjes.html>Prinsjesdag
van Buzzcapture gepubliceerd door NOS
07-09-2013: Politiek & social media: Burgermeesterindex
<http://blog.buzzcapture.com/post/60347778326/burgemeesterindex-augustus-2013-terugbetalen-aan-vlissin>augustus
2013
01-09-2013: Buzzcapture zoekt <http://www.buzzcapture.com/nl/vacatures/> een
Software Developer, Data Engineer en Social Media Analist

10-08-2013: Buzzcapture in Top
15<http://blog.buzzcapture.com/post/54087616647/buzzcapture-in-top-15-beste-social-media-tools>
internationale
monitoring tools
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mail.python.org/pipermail/python-nl/attachments/20131007/f3e2a621/attachment.html>