# Hoofdstuk 1: wachtwoorden --- <img src="https://imgs.xkcd.com/comics/how_hacking_works_2x.png" class="r-stretch" /> --- ## Wat is volgens jou een goed wachtwoord? <div class="multicolumn"> <div> - Musti2012 - A8!Kgh3 - Ikstudeerophogent - SchoonmeersenHOGENT - 8765 </div> <div> - LiefKleinKonijntje - LiefKlijnKoneintje - Shadow1Hogent - Shadow1Facebook - kmAIw0IlCUvX5nk9 </div> </div> --- - Musti2012 → <span style="color:red">te kort, voorspelbaar</span> - A8!Kgh3 → <span style="color:red">te kort</span> - Ikstudeerophogent → <span style="color:red">voorspelbaar</span> - SchoonmeersenHOGENT → <span style="color:red">voorspelbaar</span> - 8765 → <span style="color:red">te kort, weinig complexiteit</span> - LiefKleinKonijntje → <span style="color:green">lang, NL (zolang de woorden random gekozen zijn)</span> - LiefKlijnKoneintje → <span style="color:green">lang, NL, typfout (zie hierboven)</span> - Shadow1Hogent → <span style="color:red">Truucjes helpen niet</span> - Shadow1Facebook → <span style="color:red">Truucjes helpen niet</span> - kmAIw0IlCUvX5nk9 → <span style="color:green">Ok! Kan je het onthouden?</span> --- - Experimenteer even met volgende links, maar steek hier niet jouw echte wachtwoorden in! - https://bitwarden.com/password-generator/ - https://bitwarden.com/password-strength/ --- <img src="./img/h1/Hive-Systems-Password-Table-2024-Rectangular.png" class="r-stretch" /> Notes: - https://www.hivesystems.io/blog/are-your-passwords-in-the-green --- <img src="./img/h1/est-password-recovery-times.jpeg" class="r-stretch" /> Notes: - https://twitter.com/TerahashCorp/status/1155112559206383616/photo/1 - Dit is een richtlijn, de daadwerkelijke tijd hangt af van het system, software, ... waarmee je het wachtwoord zou willen kraken. --- - De **lengte** is dus heel belangrijk! - Nog beter dan een wachtwoord is een **wachtzin** (**passphrase**) - "Purple Elephants Sliding Over Clouds" - "3@pples&Or@nges#Ban@nas" - "Chocolate Cake Is My Favourite dess3rt" - https://useapassphrase.com  --- ## Password policies: not done anymore    Notes: - https://www.starlab.io/blog/why-enforced-password-complexity-is-worse-for-security-and-what-to-do-about-it --- - Bedrijven hebben vaak password policies waardoor je je wachtwoord **regelmatig** moet **wijzigen** - Volgende wachtwoordwijziging doe je best niet elke maand of je personeel heeft wachtwoorden als ... - January123, February123, ... - Summer2023 - Op die manier heeft wachtwoorden wijzigen **geen zin** - Wordt tegenwoordig ook **afgeraden** (bv. door NIST) - https://neal.fun/password-game Notes: - https://arstechnica.com/information-technology/2016/08/frequent-password-changes-are-the-enemy-of-security-ftc-technologist-says/ - https://bitwarden.com/resources/world-password-day/ - https://www.beyondtrust.com/blog/entry/top-15-password-management-best-practices - https://nordpass.com/poor-company-passwords/ - https://bishopfox.com/blog/password-security --- ## Hoeveel wachtwoorden? <img src="./img/h1/xkcd-password-reuse.png" class="r-stretch" /> Notes: - https://xkcd.com/792/ --- - https://haveibeenpwned.com/ <img src="./img/h1/have_i_been_pwned.png" class="r-stretch" /> --- - Gebruik voor elke website een **apart** wachtwoord! - Bij **datalekken** worden vaak wachtwoorden op straat gegooid - Niet alle bedrijven zijn even zorgvuldig met hun beveiliging (of beveiligen niet!) - Hackers proberen deze wachtwoorden (geautomatiseerd) uit op andere sites - Hetzelfde wachtwoord gebruikt, kans groot dat ze op jouw andere accounts ook binnengeraken --- - Gebruik **geen** trucjes - Bv. hogent19jan2023, google1nov1998, ... - Tools zoals hashcat en AI-hacktools herkennen dit meteen en kunnen zo al een gedeelte van het wachtwoord achterhalen - De effectieve ongekende lengte van het wachtwoord wordt een pak kleiner Notes: - `hogent19jan2023`, `google1nov1998` → website + dag + maand + jaar - 31 mogelijke dagen x 12 mogelijke maanden x 10000 mogelijke jaren == 3720000 mogelijkheden == 1 uur om te kraken bij 1000 mogelijkheden / sec - 14 random karakters [kleine letters, hoofdletters, leestekens, ... - == 128^14 == 316912650057057350374175801344 mogelijkheden == +/- 10049234210332869000 jaar om te kraken bij 1000 mogelijkheden / sec --- ## Hoe onthouden? - **Password managers** zijn zeker een goede oplossing - Voordelen: - Jouw wachtwoorden worden **versleuteld** opgeslagen - Je kan voor elke login een **aparte** username en wachtwoord instellen (niet vertrouwen op geheugen of post-it op scherm) - Heeft een ingebouwde password **generator** - Vult wachtwoorden **automatisch** aan in de browser --- - Nadelen: - Je **master password** is nu extreem belangrijk - Je **vertrouwt** het bedrijf achter de password manager - De software / plugins moet je 100% vertrouwen, en deze kunnen ook **bugs** hebben --- Beter een password manager dan overal hetzelfde wachtwoord of voor de hand liggende variaties! <img src="https://res.cloudinary.com/bw-com/image/upload/v1/ctf/7rncvj1f8mw7/7MxCY8VttLPQLbByiotlug/912d4b50c0ddccbb93478c0d1fad3fe8/bitwarden.com.png?_a=DATAdtAAZAA0" width="800" /> <img src="https://res.cloudinary.com/dbulfrlrz/images/f_auto,q_auto/v1707563934/wp-pme/proton-pass-beta-blog@2x/proton-pass-beta-blog@2x.?_i=AA" width="800" /> --- ## 2FA - Multi-Factor Authentication (**MFA**/**2FA**) - What you **know** - Wachtwoorden, wachtwoordzinnen, pincodes, ... - What you **have** - Smartcards, beveiligingssleutelhangers, toegang tot GSM (authenticator app of SMS), toegang tot e-mailaccount (verificatie e-mail), ... - Who you **are** - Biometrie: een uniek fysiek kenmerk zoals vingerafdruk, netvlies, stem, ... - **Minstens 2 van de 3** nodig --- <div class="multicolumn"> <div> <img src="./img/h1/totp.png" /> </div> <div> <img src="./img/h1/yubikey.png" /> </div> </div> Notes: - https://www.yubico.com/products/ ---