Is een paszin in plaats van een paswoord beter of niet?

Een tijdje geleden postte ik deze video over hoe je best een paszin gebruikt in plaats van een paswoord. Nieuw onderzoek van de universiteit van Cambridge trekt dit nu wel in twijfel. Het onderzoek is nog behoorlijk pril, maar de onderzoekers stellen vast dat te veel mensen de zinnen zelf niet random kiezen, waardoor ze behoorlijk kraakbaar zijn:

The report concludes that multi-word pass-phrases do provide a security-boost compared to the “weakest selections” from under 10, to over 20 bits of security. The weakness lies in users’ general inability to choose truly random words, influenced as we are by natural language patterns. Even four-word pass-phrases “probably” provided less than 30 bits of security, which the researchers deem insufficient against offline attack. (bron)

Abstract van het onderzoek (pdf):

We examine patterns of human choice in a passphrase-based authentication system deployed by Amazon, a large online merchant. We tested the availability of a large corpus of over 100,000 possible phrases at Amazon’s registration page, which prohibits using any phrase already registered by another user. A number of large, readily-available
lists such as movie and book titles prove e ective in guessing attacks, suggesting that passphrases are vulnerable to dictionary attacks like all schemes involving human choice. Extending our analysis with natural language phrases extracted from linguistic corpora, we nd that phrase selection is far from random, with users strongly preferring simple noun bigrams which are common in natural language. The distribution of chosen passphrases is less skewed than the distribution of bigrams in English text, indicating that some users have attempted to choose phrases randomly. Still, the distribution of bigrams in natural language is not nearly random enough to resist oine guessing, nor are longer three- or fourword phrases for which we see rapidly diminishing returns.

Een gedachte over “Is een paszin in plaats van een paswoord beter of niet?

  1. Pingback: Slechte grammatica maakt paswoorden beter « X, Y of Einstein?

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s

Deze site gebruikt Akismet om spam te bestrijden. Ontdek hoe de data van je reactie verwerkt wordt.