2013/10/7 Niels Bom <ni...@nielsbom.com> > De suggesties van Reinout en Wichert zijn goed, en ik denk ook dat het een > goed idee is om in ieder geval een kleine woordenboek-achtige woordenlijst > te gebruiken. > > Bij gebruik van een te grote lijst wordt het volgens mij weer een gedoe om > dat naar de client te sturen (veel MB) en efficiënt met een algoritme door > die lijst te ploegen en patronen te genereren. Ik zou dan die check ook > server side kunnen doen maar dan loop je herhaaldelijk potentiële > wachtwoorden naar de server te sturen, en dat is niet echt POST, maar je > wil het ook niet in een GET doen. Een tweede argument tegen een grote lijst > is dat je met een relatief kleine lijst al een groot deel van de slechte > wachtwoorden eruit kan vissen, omdat veel mensen simpelweg toch hetzelfde > doen. >
Je zou kunnen denken aan eenmalig een recogniser maken voor je lijst, en alleen die recogniser naar de client te sturen. Wat overview: http://www.n3labs.com/pdf/lexicon-squeeze.pdf Gezien dat false positives niet erg belangrijk zijn zou je misschien ook een Bloom filter gebruiken, wat dan nog kleiner gemaakt kan worden. gr, Tikitu > Joël heeft ook goeie punten: > Namen worden veel gebruikt in passwords, dat zie je ook terug in de > woordenlijst waar het blog hun demo mee maakt ( > https://dl.dropboxusercontent.com/u/209/zxcvbn/test/zxcvbn.js). Dus die > wil je ook in die woordenlijst hebben staan. Over de bias in de selectie: > ja klopt, zo'n lijst met wachtwoorden zal waarschijnlijk meer passwords > bevatten die makkelijk te cracken zijn dan passwords die dat niet zijn. > Maar is dat eigenlijk tegelijk ook niet erg? Als mensen een password willen > gaan gebruiken wat ooit is gecracked en wat (blijkbaar) door een redelijke > groep mensen gebruikt wordt dan is het waarschijnlijk een goed idee om dat > wachtwoord juist niet te gebruiken. Right? > > Ik zit net nog een keer door die Engelse lijst te kijken, maar daar zie je > toch ook veel onzinwoorden tussen staan, die je niet in een woordenboek zal > vinden. En niet-Engelse woorden. > > In ieder geval bedankt voor jullie reacties, ik zoek en denk nog even > verder. > > groet, > Niels > > > > 2013/10/7 Wichert Akkerman <wich...@wiggy.net> > >> >> On 07 Oct 2013, at 16:20, Niels Bom <ni...@nielsbom.com> wrote: >> >> Hi, >> >> Mijn vraag is niet direct Python gerelateerd maar ik kan me voorstellen >> dat sommigen van jullie hetzelfde probleem hebben gehad. >> >> Wat ik wil: >> Ik wil de wachtwoordsterkte van Nederlandse users weergeven op het moment >> dat ze het wachtwoord voor het eerst invoeren of veranderen. Later wil ik >> ze misschien dwingen een voldoende sterk wachtwoord te gebruiken. >> >> Om de wachtwoordsterkte te bepalen moet je in de huid kruipen van mensen >> die die wachtwoorden gaan raden. Dat doen ze, logischerwijs, met lijsten >> van veelgebruikte wachtwoorden en ook met woordenlijsten zoals een >> woordenboek. Een van de dingen die die black-hat hackers doen is het kijken >> naar patronen van wachtwoorden. Dus als "welkom" een veelgebruikt >> wachtwoord is zullen ze "welkomwelkomwelkom" ook proberen. Een ander >> patroon is het kijken naar de keyboard layout: "zxcvbn" bijvoorbeeld. >> >> Een goeie blogpost die hier veel meer over zegt: >> https://tech.dropbox.com/2012/04/zxcvbn-realistic-password-strength-estimation/ >> Er wordt daar ook een JavaScript implementatie gegeven van zo'n password >> strength meter en ook een "dictionary" file met veelgebruikte >> (wacht)woorden. >> >> Nu komt echter mijn probleem: ik heb geen lijst met veelgebruikte >> Nederlandse wachtwoorden en die kan ik ook na een tijdje zoeken niet >> vinden. Om die password strength meter effectief (en sneller) te laten >> werken is dat eigenlijk wel nodig. Zo is het wachtwoord "welkomwelkom" >> volgens de demo die het blog geeft een goed wachtwoord en dat komt doordat >> "welkom" niet in de gebruikte dictionary staat. >> >> Dus heeft één van jullie zo'n lijst? Of weet je hoe ik daaraan kan komen? >> Ik heb hier geen kwade bedoelingen mee overigens :-) Dat kan namelijk ook >> nog. >> >> >> Waarom pak je niet een Nederlands woordenlijst? Daarvan zijn er >> verschillende beschikbaar en die geven je een betere indicatie dan een pure >> wachtwoorden-iijst. >> >> WIchert. >> >> _______________________________________________ >> Python-nl mailing list >> Python-nl@python.org >> https://mail.python.org/mailman/listinfo/python-nl >> >> > > _______________________________________________ > Python-nl mailing list > Python-nl@python.org > https://mail.python.org/mailman/listinfo/python-nl > > -- Buzzcapture Herengracht 180, 1016 BR, Amsterdam T: +31 (0)20 3200377 M: +30 6947 212 212 Recent 01-10-2013: Carglass <http://www.carglass.nl/>start met Buzzcapture 19-09-2013: FHV/BBDO <http://www.fhv.bbdo.nl/nl_NL/home> kiest voor Buzzcapture 17-09-2013: Infographic <http://nos.nl/op3/artikel/552381-de-troonrede-king-of-buzz-en-de-hoedjes.html>Prinsjesdag van Buzzcapture gepubliceerd door NOS 07-09-2013: Politiek & social media: Burgermeesterindex <http://blog.buzzcapture.com/post/60347778326/burgemeesterindex-augustus-2013-terugbetalen-aan-vlissin>augustus 2013 01-09-2013: Buzzcapture zoekt <http://www.buzzcapture.com/nl/vacatures/> een Software Developer, Data Engineer en Social Media Analist 10-08-2013: Buzzcapture in Top 15<http://blog.buzzcapture.com/post/54087616647/buzzcapture-in-top-15-beste-social-media-tools> internationale monitoring tools
_______________________________________________ Python-nl mailing list Python-nl@python.org https://mail.python.org/mailman/listinfo/python-nl
