Recent passeerde een tweet op twitter dat “Kens paswoord
gekraakt was”. Blijkbaar had iemand in 2014 een unix paswoordfile gevonden, van
een zeer select groepje IT’ers (zeg maar pioniers) en toen al geprobeerd om de
paswoorden te kraken (unix versleutelt paswoorden op een manier dat zelfs een
admin of superuser ze niet kan ontcijferen). Onder de namen enkele zeer bekende
zoals Ken Thompson, Dennis Ritchie , Brian Kernighan, Steve Bourne en Bill Joy.
We hebben het hier over een team dat in de jaren ’60 en ’70 de basis legde voor
zowat alle huidige ICT. Mocht je deze namen vertalen naar topschakers, dan
zouden we het hebben over Steinitz, Tarrasch, Lasker, Reti en Nimzowitsch, no
less.
Die unix-file met paswoorden bleek moeilijk te kraken in
2014; de hardware was toen nog niet zo sterk als nu. Een twintigtal woorden viel
relatief snel door de mand, maar een vijftal hield goed stand. De laatste man
die stand hield was… Ken Thompson, en zijn paswoord was schaakgerelateerd.
Op deze site (ken thompsons old unix password cracked) kan je het verhaal lezen. Versleuteld maakte unix van het paswoord “ZghOT0eRm4U9s”
en dat bleek uiteindelijk “p/q2-q4!” te zijn. Met andere woorden, zijn paswoord
was gewoon “d2-d4!”.
Schaakgerelateerde paswoorden zijn sterk, en dat mag niet
verbazen: Kens paswoord bevatte letters, cijfers, speciale karakters in een
blijkbaar niet-logische volgorde. Nu is dat een truukje dat ik ook al gebruik.
De reden is simpel: als je “1.d4 f5 2.e4!” als paswoord neemt, dan hoef je
enkel “Staunton” te onthouden. Ik weet nog dat ik als student in Oostende op de
PDP-11 inlogde met mijn naam en “e4e5f4” als paswoord.
Er zijn diverse sites waarop je de sterkte van je paswoord
kan controleren; twee goede sites lijken me https://howsecureismypassword.net/
en https://password.kaspersky.com/.
Andere sites geven je richtlijnen welke karakters je nog kan toevoegen, maar
deze twee geven een indicatie hoe lang het duurt vooraleer je paswoord gekraakt
is. Die indicatie is sterk afhankelijk van de snelheid van de computer die aan
het werk is en omdat de eerste site conservatiever is (blijkbaar beschouwen ze
de hackers als zeer goed uitgerust), hanteer ik hier die eerste.
Die “e4e5f4” gaat nog geen seconde mee (54 milliseconden),
maar dat verandert snel wanneer je de notatie voluit schrijft: “1.e4 e5 2.f4”
dan kom je al aan 600 jaar. Met wat extra tekens erbij “1.e4! e5! 2.f4?” kom je
aan 4 miljard jaar. Niet slecht voor een “simpel te onthouden” paswoord – je
hoeft enkel “koningsgambiet” te onthouden.
Natuurlijk, hoe langer de reeks hoe beter; de Franse
MacCutcheon (1.e4 e6 2.d4 d5 3.Pc3 Pf6 4.Lg5 Lb4) gaat 10^48 jaar mee, en dan
nog zonder uitroeptekens of vraagtekens. Voor wie de variant speelt, is dat
leuk meegenomen, maar het is wel een heel lang en onpraktisch paswoord. Zo is
het eenvoudige “Saveedra 6.c7-c8:T!” al
goed voor 36 x 10^18 jaar rekenwerk, en veel makkelijker te onthouden.
Voor wie geen zettenreeksen wil onthouden, maar liever een
schaaknaam als paswoord intikt, kan ik “Roman Dzindzichashvili” (42 x 10^21
jaar) of “Zurab Azmaiparashvili” (596 x 10^18 jaar) aanbevelen. Have fun en
keep it safe!
HK5000
hmmm... Eén van mijn paswoordjes volgens de ene site 2 maanden, volgens de andere 6 jaar.
BeantwoordenVerwijderenHa, dat is nog niets. Mijn belangrijkste wachtwoord, voor mijn bankzaken, kost een computer volgens Howsecure 8 miljard jaar en Kaspersky Password Check 7 maanden. Mijn bank is solide - dat wachtwoord kraken wil nog lang niet zeggen dat men geld van mijn rekening kan halen.
BeantwoordenVerwijderenEerlijk gezegd kan het risico dat mijn wachtwoord bij chesspub en nog zo'n paar gekraakt worden me niet heel erg veel schelen.
Men kan op eenvoudige wijze de veiligheid nog wat verhogen door de i te vervangen door het uitroepteken en de a door de @, bv. Rom@n Dz!ndz!ch@shv!l!
Bij Kapersky maakt het trouwens uit of je je wachtwoord kopieert vanaf een tekstdocument (bv. Wordpad) of handmatig intypt!
BeantwoordenVerwijderenIk gebruik al meer dan 20 jaar de naam van een bekende schaker als paswoord aangevuld met wat speciale karakters en cijfers want je weet maar nooit dat iemand een lijstje van bekende schakers gebruikt om te hacken.
BeantwoordenVerwijderenVoor schaaksites gebruik ik meestal iets heel simpel want net zoals MNb kan het mij weinig schelen of iemand het kraakt. Er is geen geld aan gekoppeld en ik gebruik evenmin mijn echte naam.
Tenslotte vraag ik mij af in hoeverre die paswoordsites die de sterkte van je paswoord checken, niet alles bijhouden en doorgeven aan derden. Ik zou daar toch geen actieve belangrijke paswoorden op laten testen.
Oef, dat had je wel eerder kunnen vermelden. Nou ja, laat ik meteen mijn belangrijkste wachtwoord veranderen. Dus toch bedankt.
VerwijderenMisschien is er niets mis met die paswoordsites. Ik ben gewoon altijd wantrouwig bij zulke gratis applicaties. Facebook, twitter,... komt er bij mij ook niet binnen alhoewel ik steeds meer ervaar dat de maatschappij verwacht dat je het wel hebt. Ik ken al schaakclubs die enkel nog via facebook informatie delen.
VerwijderenHet staat er anders wel in grote letters op bij Kaspersky: gebruik niet je echte wachtwoorden om te testen (of verander ze onmiddellijk erna).
BeantwoordenVerwijderenHet is sowieso een slecht idee om je wachtwoord te delen met een externe partij, gratis of niet. Kaspersky waarschuwt hier ook zelf voor.
BeantwoordenVerwijderenMaar howsecurismypassword.net en Kaspersky lijken niets door te sturen over het netwerk wanneer je zaken intypt, de berekening gebeurt met andere woorden op je eigen computer, wat het risico toch iets beperkt.