[python-nl] Security: lijst met veelgebruikte Nederlandse wachtwoorden gezocht

Niels Bom niels at nielsbom.com
Mon Oct 7 18:45:23 CEST 2013 

De suggesties van Reinout en Wichert zijn goed, en ik denk ook dat het een
goed idee is om in ieder geval een kleine woordenboek-achtige woordenlijst
te gebruiken.

Bij gebruik van een te grote lijst wordt het volgens mij weer een gedoe om
dat naar de client te sturen (veel MB) en efficiënt met een algoritme door
die lijst te ploegen en patronen te genereren. Ik zou dan die check ook
server side kunnen doen maar dan loop je herhaaldelijk potentiële
wachtwoorden naar de server te sturen, en dat is niet echt POST, maar je
wil het ook niet in een GET doen. Een tweede argument tegen een grote lijst
is dat je met een relatief kleine lijst al een groot deel van de slechte
wachtwoorden eruit kan vissen, omdat veel mensen simpelweg toch hetzelfde
doen.

Joël heeft ook goeie punten:
Namen worden veel gebruikt in passwords, dat zie je ook terug in de
woordenlijst waar het blog hun demo mee maakt (
https://dl.dropboxusercontent.com/u/209/zxcvbn/test/zxcvbn.js). Dus die wil
je ook in die woordenlijst hebben staan. Over de bias in de selectie: ja
klopt, zo'n lijst met wachtwoorden zal waarschijnlijk meer passwords
bevatten die makkelijk te cracken zijn dan passwords die dat niet zijn.
Maar is dat eigenlijk tegelijk ook niet erg? Als mensen een password willen
gaan gebruiken wat ooit is gecracked en wat (blijkbaar) door een redelijke
groep mensen gebruikt wordt dan is het waarschijnlijk een goed idee om dat
wachtwoord juist niet te gebruiken. Right?

Ik zit net nog een keer door die Engelse lijst te kijken, maar daar zie je
toch ook veel onzinwoorden tussen staan, die je niet in een woordenboek zal
vinden. En niet-Engelse woorden.

In ieder geval bedankt voor jullie reacties, ik zoek en denk nog even
verder.

groet,
Niels



2013/10/7 Wichert Akkerman <wichert at wiggy.net>

>
> On 07 Oct 2013, at 16:20, Niels Bom <niels at nielsbom.com> wrote:
>
> Hi,
>
> Mijn vraag is niet direct Python gerelateerd maar ik kan me voorstellen
> dat sommigen van jullie hetzelfde probleem hebben gehad.
>
> Wat ik wil:
> Ik wil de wachtwoordsterkte van Nederlandse users weergeven op het moment
> dat ze het wachtwoord voor het eerst invoeren of veranderen. Later wil ik
> ze misschien dwingen een voldoende sterk wachtwoord te gebruiken.
>
> Om de wachtwoordsterkte te bepalen moet je in de huid kruipen van mensen
> die die wachtwoorden gaan raden. Dat doen ze, logischerwijs, met lijsten
> van veelgebruikte wachtwoorden en ook met woordenlijsten zoals een
> woordenboek. Een van de dingen die die black-hat hackers doen is het kijken
> naar patronen van wachtwoorden. Dus als "welkom" een veelgebruikt
> wachtwoord is zullen ze "welkomwelkomwelkom" ook proberen. Een ander
> patroon is het kijken naar de keyboard layout: "zxcvbn" bijvoorbeeld.
>
> Een goeie blogpost die hier veel meer over zegt:
> https://tech.dropbox.com/2012/04/zxcvbn-realistic-password-strength-estimation/
> Er wordt daar ook een JavaScript implementatie gegeven van zo'n password
> strength meter en ook een "dictionary" file met veelgebruikte
> (wacht)woorden.
>
> Nu komt echter mijn probleem: ik heb geen lijst met veelgebruikte
> Nederlandse wachtwoorden en die kan ik ook na een tijdje zoeken niet
> vinden. Om die password strength meter effectief (en sneller) te laten
> werken is dat eigenlijk wel nodig. Zo is het wachtwoord "welkomwelkom"
> volgens de demo die het blog geeft een goed wachtwoord en dat komt doordat
> "welkom" niet in de gebruikte dictionary staat.
>
> Dus heeft één van jullie zo'n lijst? Of weet je hoe ik daaraan kan komen?
> Ik heb hier geen kwade bedoelingen mee overigens :-) Dat kan namelijk ook
> nog.
>
>
> Waarom pak je niet een Nederlands woordenlijst? Daarvan zijn er
> verschillende beschikbaar en die geven je een betere indicatie dan een pure
> wachtwoorden-iijst.
>
> WIchert.
>
> _______________________________________________
> Python-nl mailing list
> Python-nl at python.org
> https://mail.python.org/mailman/listinfo/python-nl
>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mail.python.org/pipermail/python-nl/attachments/20131007/535644e8/attachment-0001.html>

More information about the Python-nl mailing list