Door
Ozzie PHP
op 18-09-2015 00:20
gewijzigd op 18-09-2015 00:20
5.541 views
Hallo allemaal,
Je hebt softwareprogramma's waarmee je belangrijke documenten kunt beveiligen middels encryptie. Vaak kun je dan zelf een algoritme kiezen. Nu vraag ik me af wat het eigenlijk uitmaakt of je dan voor AES128 of AES256 kiest. Op het moment dat iemand je wachtwoord gaat bruteforcen dan doet dat er eigenlijk toch helemaal niks toe?
Stel mijn wachtwoord is "appel". Dan zou je zowel het met AES128 als het met AES256 ge-encrypte bestand toch even snel kunnen kraken? Waar zit 'm die extra beveiliging dan eigenlijk in?
12 tot 20 tekens, maar daarover verschillen de meningen.
Probleem is dat mensen trucjes gaan uithalen om lange wachtwoorden te onthouden. Daardoor zijn ze niet langer willekeurig, waardoor de wachtwoordsterkte juist afneemt, of worden ze op een onveilige manier bewaard.
Een truc is bijvoorbeeld een password vervangen door een pass phrase, zoals de openingszin van een gedicht of een zin uit het refrein van een populair nummer. Als je mensen verplicht hele lange wachtwoorden te gebruiken, werk je dat soort geheugensteuntjes in de hand.
Genereer zelf maar eens met PHP een aselecte string van 20 karakters en probeer die dan uit het hoofd te leren: bijna onmogelijk, zeker als je meerdere van die wachtwoorden moet onthouden.
>> Vervolgens kan hij een tool aan het werk zetten die veelgebruikte wachtwoorden, voornamen
>> en woorden uit woordenboeken uitprobeert.
> Oké ... maar dit is dus gewoon bruteforcen toch?
Nee, dat is een dictionary attack. Bij een brute force attack probeer je álle mogelijke combinaties van tekens waarmee je een wachtwoord kan maken.
> Zet er uitroeptekens tussen, gebruik hoofdletters en je bent al klaar toch?
Dat zijn standaard permutaties waar een hacker rekening mee zal houden. Je maakt het ze een stuk moeilijker als je spelfouten erin gaat verwerken. ;-) Dus iets als:
Ah zo ... dus bruteforce is letterlijk genereren van tekens, waar een dictionary attack een aanval met bestaande woorden is? Ik neem aan dat dergelijke aanvallen beide met software worden uitgevoerd en niet handmatig?
>> Dat zijn standaard permutaties waar een hacker rekening mee zal houden.
Denk je dat? Maar hoe moet ik dat voor me zien. Dan moet er dus eerst een hacker zijn die bij zichzelf denkt ... hé, Wilhelmus van Nassau dat zou wel eens als wachtwoord gebruikt kunnen worden. Gaat hij dan vervolgens zelf daar variaties op bedenken? Het lijkt me namelijk niet dat software zoiets kan doen, want dan zou die software precies moeten weten om welke woorden het gaat en waar de spaties staan ... lijkt me vrij custom eigenlijk :)
Hoe zie je dat voor je wanneer het gaat om het encrypten van een bestand via een softwareprogramma?
Verloopt het decrypten ook via een programma? Wat op een PC staat? Die aan een ketting hangt? Of USB stick? Of kan iemand daarmee naar buiten lopen en thuis eens rustig bekijken wat er op de PC staat omdat deze beveiligd is met wachtwoord "hennie123" (met post-it aan de monitor).
Als de veiligheid van de PC ook in het geding is (onbeveiligd netwerk, geen firewall(s), virusscanner of anti-malware) dan kun je ook niet garanderen dat dat soort documenten niet in handen van derden vallen...
Zijn er ook gedragsregels voor omgang met dit soort documenten? Geregeld lees je in de media dat "gevoelige informatie" is gestolen omdat gebruikers het protocol niet volgen (de informatie was even vlug op een stick gezet).
Je "kluis" kan nog zo veilig zijn, maar als de data (tijdelijk) buiten de kluis ligt of de sleutels er langs liggen dan biedt de beveiliging geen beveiliging. Je moet ook kaders scheppen voor veilige omgang en veilig gebruik. Dat zijn ook beveiligingslagen. Simpelweg een hi-tech oplossing op 1 plek is verre van genoeg.
>> Verloopt het decrypten ook via een programma? Wat op een PC staat?
Ja, encrypten en dycrypten gaat via hetzelfde programma. Maar wat wil je daar mee zeggen eigenlijk?
Als ik een softwareprogramma gebruik om een bestand te beveiligen met een wachtwoord, wat kan ik volgens jou dan nog meer doen? Ik denk vrij weinig. Als het bestand gejat zou worden, dan heb ik toch echt vette pech vrees ik.
