De suggesties van Reinout en Wichert zijn goed, en ik denk ook dat het een goed idee is om in ieder geval een kleine woordenboek-achtige woordenlijst te gebruiken.
Bij gebruik van een te grote lijst wordt het volgens mij weer een gedoe om dat naar de client te sturen (veel MB) en efficiënt met een algoritme door die lijst te ploegen en patronen te genereren. Ik zou dan die check ook server side kunnen doen maar dan loop je herhaaldelijk potentiële wachtwoorden naar de server te sturen, en dat is niet echt POST, maar je wil het ook niet in een GET doen. Een tweede argument tegen een grote lijst is dat je met een relatief kleine lijst al een groot deel van de slechte wachtwoorden eruit kan vissen, omdat veel mensen simpelweg toch hetzelfde doen. Joël heeft ook goeie punten: Namen worden veel gebruikt in passwords, dat zie je ook terug in de woordenlijst waar het blog hun demo mee maakt ( https://dl.dropboxusercontent.com/u/209/zxcvbn/test/zxcvbn.js). Dus die wil je ook in die woordenlijst hebben staan. Over de bias in de selectie: ja klopt, zo'n lijst met wachtwoorden zal waarschijnlijk meer passwords bevatten die makkelijk te cracken zijn dan passwords die dat niet zijn. Maar is dat eigenlijk tegelijk ook niet erg? Als mensen een password willen gaan gebruiken wat ooit is gecracked en wat (blijkbaar) door een redelijke groep mensen gebruikt wordt dan is het waarschijnlijk een goed idee om dat wachtwoord juist niet te gebruiken. Right? Ik zit net nog een keer door die Engelse lijst te kijken, maar daar zie je toch ook veel onzinwoorden tussen staan, die je niet in een woordenboek zal vinden. En niet-Engelse woorden. In ieder geval bedankt voor jullie reacties, ik zoek en denk nog even verder. groet, Niels 2013/10/7 Wichert Akkerman <wich...@wiggy.net> > > On 07 Oct 2013, at 16:20, Niels Bom <ni...@nielsbom.com> wrote: > > Hi, > > Mijn vraag is niet direct Python gerelateerd maar ik kan me voorstellen > dat sommigen van jullie hetzelfde probleem hebben gehad. > > Wat ik wil: > Ik wil de wachtwoordsterkte van Nederlandse users weergeven op het moment > dat ze het wachtwoord voor het eerst invoeren of veranderen. Later wil ik > ze misschien dwingen een voldoende sterk wachtwoord te gebruiken. > > Om de wachtwoordsterkte te bepalen moet je in de huid kruipen van mensen > die die wachtwoorden gaan raden. Dat doen ze, logischerwijs, met lijsten > van veelgebruikte wachtwoorden en ook met woordenlijsten zoals een > woordenboek. Een van de dingen die die black-hat hackers doen is het kijken > naar patronen van wachtwoorden. Dus als "welkom" een veelgebruikt > wachtwoord is zullen ze "welkomwelkomwelkom" ook proberen. Een ander > patroon is het kijken naar de keyboard layout: "zxcvbn" bijvoorbeeld. > > Een goeie blogpost die hier veel meer over zegt: > https://tech.dropbox.com/2012/04/zxcvbn-realistic-password-strength-estimation/ > Er wordt daar ook een JavaScript implementatie gegeven van zo'n password > strength meter en ook een "dictionary" file met veelgebruikte > (wacht)woorden. > > Nu komt echter mijn probleem: ik heb geen lijst met veelgebruikte > Nederlandse wachtwoorden en die kan ik ook na een tijdje zoeken niet > vinden. Om die password strength meter effectief (en sneller) te laten > werken is dat eigenlijk wel nodig. Zo is het wachtwoord "welkomwelkom" > volgens de demo die het blog geeft een goed wachtwoord en dat komt doordat > "welkom" niet in de gebruikte dictionary staat. > > Dus heeft één van jullie zo'n lijst? Of weet je hoe ik daaraan kan komen? > Ik heb hier geen kwade bedoelingen mee overigens :-) Dat kan namelijk ook > nog. > > > Waarom pak je niet een Nederlands woordenlijst? Daarvan zijn er > verschillende beschikbaar en die geven je een betere indicatie dan een pure > wachtwoorden-iijst. > > WIchert. > > _______________________________________________ > Python-nl mailing list > Python-nl@python.org > https://mail.python.org/mailman/listinfo/python-nl > >
_______________________________________________ Python-nl mailing list Python-nl@python.org https://mail.python.org/mailman/listinfo/python-nl
