Volgens Google moeten we dringend af van die archaïsche paswoorden, want ze zijn zo makkelijk kraakbaar. Maar zolang ze bestaan maak je maar beter dat ze degelijk zijn. Zo kan je bijvoorbeeld met een paswoordzin werken en gebruik je zeker best niet een van deze paswoorden.

Een nieuw rapport toont dat langere paswoorden niet noodzakelijk beter zijn (vrij vertaald, ze ontwikkelden software die de paswoorden al wat makkelijker konden kraken). Wat (voorlopig) wel leek te helpen was slechte grammatica.

Abstract van de paper die je hier kan downloaden:

Use of long sentence-like or phrase-like passwords such as “abiggerbetterpassword”and “thecommunistfairy”is increasing. In this paper, we study the role of grammatical structures underlying such passwords in diminishing the security of passwords. We show that the results of the study have direct bearing on the design of secure password policies, and on password crackers used for enforcing password security. Using an analytical model based on Parts-of-Speech tagging we show that the decrease in search space due to the presence of grammatical structures can be more than 50%. A significant result of our work is that the strength of long passwords does not increase uniformly with length. We show that using a better dictionary e.g. Google Web Corpus, we can crack more long passwords than previously shown (20.5% vs. 6%). We develop a proof-of-concept grammar-aware cracking algorithm to improve the cracking efficiency of long passwords. In a performance evaluation on a long password dataset, 10% of the total dataset was exclusively cracked by our algorithm and not by state-of-the-art password crackers.