Burgerrechtenorganisatie EFF ontwikkelt nieuwe woordenlijsten voor passphrases

0
242

De Amerikaanse Electronic Frontier Foundation, die zich inzet voor de bescherming van burgerrechten, heeft nieuwe woordenlijsten opgesteld aan de hand waarvan gebruikers wachtwoordzinnen kunnen genereren. Bestaande lijsten zouden namelijk aan verbetering toe zijn.

Een van de veelgebruikte bestaande lijsten is de zogenaamde Diceware-lijst met 7776 woorden. Met alleen een dobbelsteen in de hand kunnen gebruikers aan de hand daarvan een willekeurige wachtwoordzin of passphrase genereren door vijf keer opnieuw te dobbelen. De vijf cijfers die uit deze basale hardware random number generator voortvloeien, staan in verband met een woord. Op deze manier is het uiteindelijk mogelijk om een wachtwoordzin bij elkaar te dobbelen die bestaat uit verschillende woorden.

De EFF is van mening dat bestaande lijsten wel toe zijn aan een aantal verbeteringen. Zo bevat die van Diceware bijvoorbeeld een aantal moeilijke woorden, ongewone voornamen, vreemde lettervolgorden en vulgaire woorden. Deze maken het voor gebruikers moeilijk om deze te spellen en te onthouden. Ook sommige toetsenborden hebben er moeite mee.

Daarom heeft de organisatie besloten een eigen lijst op te stellen, eveneens met 7776 woorden. Deze lange versie is gebaseerd op onderzoek van de universiteit van Gent. Deze bevat alleen woorden die niet aan dezelfde problemen onderhevig zijn als die in de Diceware-lijst. Bovendien zijn de woorden langer.

De auteur wijst erop dat de veiligheid van een EFF-wachtwoordzin niet verschilt van die van een van Diceware. Het verschil zit hem vooral in bruikbaarheid. Er zijn ook twee korte lijsten beschikbaar die bestaan uit 1296 woorden en gebruikt kunnen worden met vier standaarddobbelstenen. De veiligheid van een wachtwoordzin die voortkomt uit deze lijsten is wel minder hoog.

Het is aan te raden een wachtwoordzin met verschillende willekeurige woorden en spaties te gebruiken in plaats van één wachtwoord, zo stelt de EFF. Gebruikers zijn namelijk niet goed in het maken van willekeurige keuzes. Als een wachtwoordzin eenmaal gegenereerd is, kan deze redelijk eenvoudig onthouden worden, omdat deze bestaande woorden bevat. Volgens de EFF heeft een wachtwoordzin van zes woorden 77 bits entropy, waarbij elke bit het twee keer zo moeilijk maakt om de wachtwoordzin met brute force te kraken. Elk woord in een wachtwoordzin voegt 12,9 bits aan entropie toe.

Als men dan toch liever Diceware-wachtwoordzinnen blijft gebruiken, zijn deze te koop bij de 11-jarige Mira Modi. Zij dobbelt ze voor het bedrag van acht dollar bij elkaar en verkoopt ze via haar site.