dinsdag 15 oktober 2019

Paswoord deel 2

Recent passeerde een tweet op twitter dat “Kens paswoord gekraakt was”. Blijkbaar had iemand in 2014 een unix paswoordfile gevonden, van een zeer select groepje IT’ers (zeg maar pioniers) en toen al geprobeerd om de paswoorden te kraken (unix versleutelt paswoorden op een manier dat zelfs een admin of superuser ze niet kan ontcijferen). Onder de namen enkele zeer bekende zoals Ken Thompson, Dennis Ritchie , Brian Kernighan, Steve Bourne en Bill Joy. We hebben het hier over een team dat in de jaren ’60 en ’70 de basis legde voor zowat alle huidige ICT. Mocht je deze namen vertalen naar topschakers, dan zouden we het hebben over Steinitz, Tarrasch, Lasker, Reti en Nimzowitsch, no less.

Die unix-file met paswoorden bleek moeilijk te kraken in 2014; de hardware was toen nog niet zo sterk als nu. Een twintigtal woorden viel relatief snel door de mand, maar een vijftal hield goed stand. De laatste man die stand hield was… Ken Thompson, en zijn paswoord was schaakgerelateerd.

Op deze site (ken thompsons old unix password cracked) kan je het verhaal lezen. Versleuteld maakte unix van het paswoord “ZghOT0eRm4U9s” en dat bleek uiteindelijk “p/q2-q4!” te zijn. Met andere woorden, zijn paswoord was gewoon “d2-d4!”.

Schaakgerelateerde paswoorden zijn sterk, en dat mag niet verbazen: Kens paswoord bevatte letters, cijfers, speciale karakters in een blijkbaar niet-logische volgorde. Nu is dat een truukje dat ik ook al gebruik. De reden is simpel: als je “1.d4 f5 2.e4!” als paswoord neemt, dan hoef je enkel “Staunton” te onthouden. Ik weet nog dat ik als student in Oostende op de PDP-11 inlogde met mijn naam en “e4e5f4” als paswoord.

Er zijn diverse sites waarop je de sterkte van je paswoord kan controleren; twee goede sites lijken me https://howsecureismypassword.net/ en https://password.kaspersky.com/. Andere sites geven je richtlijnen welke karakters je nog kan toevoegen, maar deze twee geven een indicatie hoe lang het duurt vooraleer je paswoord gekraakt is. Die indicatie is sterk afhankelijk van de snelheid van de computer die aan het werk is en omdat de eerste site conservatiever is (blijkbaar beschouwen ze de hackers als zeer goed uitgerust), hanteer ik hier die eerste.

Die “e4e5f4” gaat nog geen seconde mee (54 milliseconden), maar dat verandert snel wanneer je de notatie voluit schrijft: “1.e4 e5 2.f4” dan kom je al aan 600 jaar. Met wat extra tekens erbij “1.e4! e5! 2.f4?” kom je aan 4 miljard jaar. Niet slecht voor een “simpel te onthouden” paswoord – je hoeft enkel “koningsgambiet” te onthouden.

Natuurlijk, hoe langer de reeks hoe beter; de Franse MacCutcheon (1.e4 e6 2.d4 d5 3.Pc3 Pf6 4.Lg5 Lb4) gaat 10^48 jaar mee, en dan nog zonder uitroeptekens of vraagtekens. Voor wie de variant speelt, is dat leuk meegenomen, maar het is wel een heel lang en onpraktisch paswoord. Zo is het eenvoudige  “Saveedra 6.c7-c8:T!” al goed voor 36 x 10^18 jaar rekenwerk, en veel makkelijker te onthouden.

Voor wie geen zettenreeksen wil onthouden, maar liever een schaaknaam als paswoord intikt, kan ik “Roman Dzindzichashvili” (42 x 10^21 jaar) of “Zurab Azmaiparashvili” (596 x 10^18 jaar) aanbevelen. Have fun en keep it safe!

HK5000

8 opmerkingen:

  1. hmmm... Eén van mijn paswoordjes volgens de ene site 2 maanden, volgens de andere 6 jaar.

    BeantwoordenVerwijderen
  2. Ha, dat is nog niets. Mijn belangrijkste wachtwoord, voor mijn bankzaken, kost een computer volgens Howsecure 8 miljard jaar en Kaspersky Password Check 7 maanden. Mijn bank is solide - dat wachtwoord kraken wil nog lang niet zeggen dat men geld van mijn rekening kan halen.
    Eerlijk gezegd kan het risico dat mijn wachtwoord bij chesspub en nog zo'n paar gekraakt worden me niet heel erg veel schelen.
    Men kan op eenvoudige wijze de veiligheid nog wat verhogen door de i te vervangen door het uitroepteken en de a door de @, bv. Rom@n Dz!ndz!ch@shv!l!

    BeantwoordenVerwijderen
  3. Bij Kapersky maakt het trouwens uit of je je wachtwoord kopieert vanaf een tekstdocument (bv. Wordpad) of handmatig intypt!

    BeantwoordenVerwijderen
  4. Ik gebruik al meer dan 20 jaar de naam van een bekende schaker als paswoord aangevuld met wat speciale karakters en cijfers want je weet maar nooit dat iemand een lijstje van bekende schakers gebruikt om te hacken.

    Voor schaaksites gebruik ik meestal iets heel simpel want net zoals MNb kan het mij weinig schelen of iemand het kraakt. Er is geen geld aan gekoppeld en ik gebruik evenmin mijn echte naam.

    Tenslotte vraag ik mij af in hoeverre die paswoordsites die de sterkte van je paswoord checken, niet alles bijhouden en doorgeven aan derden. Ik zou daar toch geen actieve belangrijke paswoorden op laten testen.

    BeantwoordenVerwijderen
    Reacties
    1. Oef, dat had je wel eerder kunnen vermelden. Nou ja, laat ik meteen mijn belangrijkste wachtwoord veranderen. Dus toch bedankt.

      Verwijderen
    2. Misschien is er niets mis met die paswoordsites. Ik ben gewoon altijd wantrouwig bij zulke gratis applicaties. Facebook, twitter,... komt er bij mij ook niet binnen alhoewel ik steeds meer ervaar dat de maatschappij verwacht dat je het wel hebt. Ik ken al schaakclubs die enkel nog via facebook informatie delen.

      Verwijderen
  5. Het staat er anders wel in grote letters op bij Kaspersky: gebruik niet je echte wachtwoorden om te testen (of verander ze onmiddellijk erna).

    BeantwoordenVerwijderen
  6. Het is sowieso een slecht idee om je wachtwoord te delen met een externe partij, gratis of niet. Kaspersky waarschuwt hier ook zelf voor.

    Maar howsecurismypassword.net en Kaspersky lijken niets door te sturen over het netwerk wanneer je zaken intypt, de berekening gebeurt met andere woorden op je eigen computer, wat het risico toch iets beperkt.

    BeantwoordenVerwijderen