Nee Jakko.
Elk teken dat een ww langer wordt, neemt het aantal mogelijkheden sneller toe dan dat er bv niet of wel hoofdletters is toegestaan (want dat zijn maar 26 extra mogelijkheden).

Het gaat er mij om de gebruiker, niet om de opsteller van de toegang.
Dus ik ga ervan uit dat er is toegestaan: letters, hoofdletters, cijfers, leestekens (die onder de cijfertoetsen bevinden). Als je binnen die criteria kiest voor een ww zonder één of meerdere van deze zaken, wordt het niet onveiliger, want die optie, dus het aantal mogelijkheden, is er wel.

Je kan een en ander uitrekenen. Vertrekkend van wachtwoorden van lengte 10 met keuze uit een alfabet met 26 tekens tonen beide tabellen het aantal mogelijke combinaties indien we de lengte veranderen (links) of de grootte van het alfabet (rechts). Op afrondingsfouten na zijn het aantal combinaties vergelijkbaar.



Merk wel op dat alle combinaties van tekens uitproberen niet de enige techniek is waar hackers gebruik van maken. Bijv. ook woordenboeken (woorden, namen, voornamen, ....) worden gebruikt. Tools als zxcvbn houden daar rekening mee wanneer ze proberen te berekenen hoe veilig een wachtwoord is. Dus - hopelijk makkelijker te onthouden - langere wachtwoorden met hier en daar een 'speciaal' teken lijkt meer aangewezen.

Merk wel op dat alle combinaties van tekens uitproberen niet de enige techniek is waar hackers gebruik van maken. Bijv. ook woordenboeken (woorden, namen, voornamen, ....) worden gebruikt.

Het blijft een brute-force attack, alleen iets intelligenter. Ter relativering: voor een heleboel belangrijke zaken werkt die methode helemaal niet. De meeste websites waar je moet inloggen en vrijwel alle Apple services of inlogmethodes (Mac, iPhone) hebben bescherming tegen brute-force attacks. Daar kun je echt geen 10.000 combinaties uitproberen, na een beperkt aantal pogingen houdt het meestal op.

Daar komt nog bij dat 2FA bij de écht belangrijke plekken waar je inlogt de norm is geworden. Zolang je 2FA device niet gestolen wordt inclusief onder dwang afgeven van je pincode is er weinig aan de hand. Dus: een sterk wachtwoord blijft belangrijk maar overdrijf het niet..

zxcvbn geeft een eenvoudig wachtwoord als 'I have a strong tidal password!' een heel goede score:

{
'password': 'I have a strong tidal password!',
'guesses': Decimal('376200010000000000000000'),
'guesses_log10': 23.575418802758602,
'sequence': [{
'pattern': 'bruteforce',
'token': 'I have a ',
'i': 0,
'j': 8,
'guesses': 1000000000,
'guesses_log10': 8.999999999999998
}, {
'pattern': 'dictionary',
'i': 9,
'j': 14,
'token': 'strong',
'matched_word': 'strong',
'rank': 570,
'dictionary_name': 'surnames',
'reversed': False,
'l33t': False,
'base_guesses': 570,
'uppercase_variations': 1,
'l33t_variations': 1,
'guesses': 570,
'guesses_log10': 2.7558748556724915
}, {
'pattern': 'bruteforce',
'token': ' tidal ',
'i': 15,
'j': 21,
'guesses': 10000000,
'guesses_log10': 7.0
}, {
'pattern': 'dictionary',
'i': 22,
'j': 29,
'token': 'password',
'matched_word': 'password',
'rank': 2,
'dictionary_name': 'passwords',
'reversed': False,
'l33t': False,
'base_guesses': 2,
'uppercase_variations': 1,
'l33t_variations': 1,
'guesses': 50,
'guesses_log10': 1.6989700043360185
}, {
'pattern': 'bruteforce',
'token': '!',
'i': 30,
'j': 30,
'guesses': 11,
'guesses_log10': 1.041392685158225
}],
'calc_time': datetime.timedelta(microseconds = 5363),
'crack_times_seconds': {
'online_throttling_100_per_hour': Decimal('13543200360000000751798643.34'),
'online_no_throttling_10_per_second': Decimal('37620001000000000000000'),
'offline_slow_hashing_1e4_per_second': Decimal('37620001000000000000'),
'offline_fast_hashing_1e10_per_second': Decimal('37620001000000')
},
'crack_times_display': {
'online_throttling_100_per_hour': 'centuries',
'online_no_throttling_10_per_second': 'centuries',
'offline_slow_hashing_1e4_per_second': 'centuries',
'offline_fast_hashing_1e10_per_second': 'centuries'
},
'score': 4,
'feedback': {
'warning': '',
'suggestions': []
}
}

(De score gaat van 0 tot 4; je kan ook zien dat sommige woorden slechter zijn dan andere.)

Lijkt mij makkelijk te gebruiken en niet overdreven.

Gebruikers hergebruiken vaak wachtwoorden (en gebruikersnamen / mail adressen) - 50% of meer volgens verscheidene studies - voor verschillende of zelfs alle accounts. Niet al die accounts zijn beveiligd met MFA, password lock-out e.d.

Dat laatste is inderdaad een hele belangrijke! Nooit hetzelfde PW gebruiken.

Herman Haverhals?

Dat krijg je als je niet goed genoeg op ⌘C drukt maar wel goed op ⌘V.

Elk teken dat een ww langer wordt, neemt het aantal mogelijkheden sneller toe dan dat er bv niet of wel hoofdletters is toegestaan (want dat zijn maar 26 extra mogelijkheden).

Ja … daarom zei ik ook dat allebei het beste is. Zeker aangezien er zat sites zijn die een relatief lage maximumlengte hebben aan wachtwoorden. De hele tekst van Eline Vere als wachtwoord gebruiken is natuurlijk een beetje meer van het goede dan je mag verwachten dat een website aankan, maar waarom word ik door m’n bank beperkt tot (als ik het goed herinner) 32 tekens?

En ik ben niet degene die zich beperkt tot alleen toevoegen van hoofdletters. Ik zei nu al een aantal keer dat heel de lijst van Unicode toestaan een goed idee is. Dan breidt je niet uit met 26 tekens maar met meer dan 140.000.

Het gaat er mij om de gebruiker, niet om de opsteller van de toegang.

Mij ook: meer toegestane tekens is veiliger. Al is het maar omdat een aanvaller die uitgaat van:—

letters, hoofdletters, cijfers, leestekens

een wachtwoord als Om!A1🇳🇱yL+QH überhaupt niet gaat vinden, en eentje die wel de emoji’s meeneemt zal er heel wat moeten proberen.

Als je binnen die criteria kiest voor een ww zonder één of meerdere van deze zaken, wordt het niet onveiliger, want die optie, dus het aantal mogelijkheden, is er wel.

Ik weet niet of het tot je doordringt, maar dat is precies wat ik ook de hele tijd zeg, behalve dan het deel over „binnen die criteria” omdat ik niet inzie waarom er een beperking zou moeten zijn op welke tekens je mag gebruiken.

Merk wel op dat alle combinaties van tekens uitproberen niet de enige techniek is waar hackers gebruik van maken. Bijv. ook woordenboeken (woorden, namen, voornamen, ....) worden gebruikt.

En vergeet niet: wachtwoorden die al eerder buitgemaakt of ontdekt zijn bij andere mensen.