Pooh's Magazine editie 6/95
1 December 1995 (Dubbelnummer)

Naar aanleiding van de editorial in de vorige Pooh's Magazine ontving de redactie een reactie van Ronald van der Put, voor Modem Magazine. Hieronder het bericht met de reactie van Pooh's Magazine.


<RvdP>
Beste redaktie,

Hierbij wil ik reageren op de editorial van afgelopen Pooh's Magazine waarin een aantal zaken onjuist zijn voorgesteld.

<Editorial>
Elke beheerder die met wachtwoorden te maken heeft weet ook dat het overgrote gedeelte van de gebruikers het liefst een eenvoudig of helemaal geen wachtwoord gebruikt. Het gebruik en kiezen van een goed wachtwoord is een kwestie van opvoeden en overtuigen. In dat licht bezien is een score van 2% kraakbare wachtwoorden op een bestand van 5000 gebruikers helemaal zo gek nog niet."

<RvdP>
De score van 2% is binnen zeer korte tijd op een eenvoudige computer behaald, en dit met een klein woordenboek. Het percentage kraakbare wachtwoorden ligt derhalve een stuk hoger.

<Pooh's>
Iets dat compleet onbewijsbaar is aangezien die wachtwoorden niet gekraakt zijn. De reden WAAROM ze niet gekraakt zijn is dus niet te achterhalen.

<RvdP>
Directeur Ted Lindgreen van NLnet gaf toe dat de beveiliging niet optimaal was. Het gebruik van zogenaamde "shadow-passwords" zou het door Modem Magazine geconstateerde gat moeten dichten. Doordat Modem Magazine de heer Ted Lindgreen tijdig heeft ingelicht, is dat ook het geval. Het is duidelijk dat de beheerder van het systeem (NLnet) in gebreke is gebleven en niet de optimale beveiliging heeft geboden voor haar gebruikers.

<Pooh's>
Dat is heel aardig van Modem Magazine, maar dat veranderd niets aan de toonzetting van het artikel. Schrijft de auteur in de eerste alinea nog "Nu kan dat op de meeste UNIX-systemen wel", in alinea twee zijn ze stomverbaast als het nog blijkt te werken ook. Bij de titel "Passwords voor het grijpen" stel ik me trouwens toch ook iets anders voor dan 6 uur rekenen.

Overigens ging de editorial ook niet over de verdedingen van NLnet Alswel over de manier van nieuwsbeschrijving zoals die uit het artikel naar voren kwam.

<Editorial>
Overigens, een eenvoudige truc om goede wachtwoorden te maken is het combineren van een eenvoudig te onthouden woord met een leesteken en een eenvoudig te onthouden getal, b.v. een leeftijd. "Jan#34" is al vrijwel niet meer automatisch te kraken.

<RvdP>
Dit soort eenvoudige truuks worden allemaal door het kraak-programma gevonden. Het hier gegeven voorbeeld is dus een uiterst slecht voorbeeld. Veel wachtwoorden bestaan uit een woord gevolgd door een of meer cijfers, en de meeste van dit soort wachtwoorden zijn vrij vlot te kraken.

<Pooh's>
Die zelfde truuk word anders toegepast in de tweede alina van "Tips voor een VEILIG password". Vreemd dat me hier nu wordt verteld dat die passwords klaarblijkelijk toch niet zo veilig zijn. Het lijkt me ook niet helemaal correct aangezien woorden mischien in een woordenlijst kunnen staan, maar getallen is toch een kwestie van proberen. Voor "Jan#34" zijn minimaal 34 pogingen nodig, vooropgesteld dat het woord "Jan", het leesteken "#" en de volgorde van het woord, het leesteken EN het nummer goed gegokt worden. Een, in praktijk, niet erg realistische veronderstelling.

<Editorial>
Een tijdschrift dat serieus met zijn onderwerp omgaat, zou het bovenstaande dan ook eerder aan moeten grijpen om z'n lezers wijzer te maken over het nut van een goed wachtwoord en het kiezen daarvan, dan om weer eens in de krant te komen met een eendags schandaaltje. Tenslotte is privacy en beveiliging een interessant onderwerp dat eigenlijk iedereen aangaat en een grotere maatschappelijke relevantie heeft.

<RvdP>
De schrijver van het editorial heeft zijn huiswerk niet goed gedaan. Het artikel wat in Modem Magazine 22 verscheen over dit onderwerp, werd meteen gevolgd door een artikel over hoe goede wachtwoorden gemaakt konden worden. Schijnbaar heeft de schrijver van het editorial niet verder gekeken dan zijn of haar neus lang is, en is uitsluitend uit op "sensatie". Modem Magazine heeft geen enkele ruchtbaarheid aan het betreffende artikel gegeven d.m.v. persberichten en dergelijke. Het NRC heeft daarom een verkeerd beeld geschapen van de manier waarop Modem Magazine haar serieuze lezers voorlicht.
Het NRC heeft dingen weggelaten, die wel degelijk in Modem Magazine belicht waren. Helaas heeft de schrijver van het editorial hetzelfde nagelaten.

<Pooh's>
Dit is dan ook het enige waarin de auteur van het bericht gelijk heeft. Ik had Modem Magazine moeten checken voor ik het editorial schreef. Dat boete- kleed trek ik (de eindredacteur) aan. Aan de andere kant werd mijn vertrouwen in het niveau van het tijdschrift niet beschaamd en vond ik daar niet echt iets dat ik niet had verwacht.

<RvdP>
Ik hoop dat de schrijver van de editorials voortaan wat voorzichter omgaat met haar lezers, en deze voortaan van complete informatie voorziet zodat een juist beeld ontstaat.

<Pooh's>
We doen ons best. Uiteindelijk zal de lezer natuurlijk zijn eigen beeld moeten vormen.

<RvdP> Met vriendelijke groeten, Roland van der Put Modem Magazine


[ Reageer nu ] [ Terug naar index ]