Pooh's Magazine editie 6/95
1 December 1995 (Dubbelnummer)

Naar aanleiding van de editorial in de vorige Pooh's Magazine ontving de redactie een reactie van Ronald van der Put, voor Modem Magazine. Hieronder het bericht met de reactie van Pooh's Magazine. 


  <RvdP>

  Beste redaktie,



  Hierbij wil ik reageren op de editorial van afgelopen Pooh's Magazine
  waarin een aantal zaken onjuist zijn voorgesteld.


  <Editorial>

  Elke beheerder die met wachtwoorden te maken heeft weet ook dat het
  overgrote gedeelte van de gebruikers het liefst een eenvoudig of helemaal
  geen wachtwoord gebruikt. Het gebruik en kiezen van een goed wachtwoord is
  een kwestie van opvoeden en overtuigen. In dat licht bezien is een score
  van 2% kraakbare wachtwoorden op een bestand van 5000 gebruikers helemaal
  zo gek nog niet."



  <RvdP>

  De score van 2% is binnen zeer korte tijd op een eenvoudige computer
  behaald, en dit met een klein woordenboek. Het percentage kraakbare
  wachtwoorden ligt derhalve een stuk hoger.



  <Pooh's>

  Iets dat compleet onbewijsbaar is aangezien die wachtwoorden niet gekraakt
  zijn. De reden WAAROM ze niet gekraakt zijn is dus niet te achterhalen.


  <RvdP>

  Directeur Ted Lindgreen van NLnet gaf toe dat de beveiliging niet optimaal
  was. Het gebruik van zogenaamde "shadow-passwords" zou het door Modem
  Magazine geconstateerde gat moeten dichten. Doordat Modem Magazine de heer
  Ted Lindgreen tijdig heeft ingelicht, is dat ook het geval. Het is
  duidelijk dat de beheerder van het systeem (NLnet) in gebreke is gebleven
  en niet de optimale beveiliging heeft geboden voor haar gebruikers.


  <Pooh's>

  Dat is heel aardig van Modem Magazine, maar dat veranderd niets aan de
  toonzetting van het artikel. Schrijft de auteur in de eerste alinea nog
  "Nu kan dat op de meeste UNIX-systemen wel", in alinea twee zijn ze
  stomverbaast als het nog blijkt te werken ook. Bij de titel "Passwords
  voor het grijpen" stel ik me trouwens toch ook iets anders voor dan 6
  uur rekenen.



  Overigens ging de editorial ook niet over de verdedingen van NLnet
  Alswel over de manier van nieuwsbeschrijving zoals die uit het artikel
  naar voren kwam.



  <Editorial>

  Overigens, een eenvoudige truc om goede wachtwoorden te maken is het
  combineren van een eenvoudig te onthouden woord met een leesteken en een
  eenvoudig te onthouden getal, b.v. een leeftijd. "Jan#34" is al vrijwel
  niet meer automatisch te kraken.



  <RvdP>

  Dit soort eenvoudige truuks worden allemaal door het kraak-programma
  gevonden. Het hier gegeven voorbeeld is dus een uiterst slecht voorbeeld.
  Veel wachtwoorden bestaan uit een woord gevolgd door een of meer cijfers,
  en de meeste van dit soort wachtwoorden zijn vrij vlot te kraken.


  <Pooh's>

  Die zelfde truuk word anders toegepast in de tweede alina van "Tips voor
  een VEILIG password". Vreemd dat me hier nu wordt verteld dat die passwords
  klaarblijkelijk toch niet zo veilig zijn. Het lijkt me ook niet helemaal
  correct aangezien woorden mischien in een woordenlijst kunnen staan, maar
  getallen is toch een kwestie van proberen. Voor "Jan#34" zijn minimaal 34
  pogingen nodig, vooropgesteld dat het woord "Jan", het leesteken "#" en
  de volgorde van het woord, het leesteken EN het nummer goed gegokt worden.
  Een, in praktijk, niet erg realistische veronderstelling.


  <Editorial>

  Een tijdschrift dat serieus met zijn onderwerp omgaat, zou het bovenstaande
  dan ook eerder aan moeten grijpen om z'n lezers wijzer te maken over het
  nut van een goed wachtwoord en het kiezen daarvan, dan om weer eens in de
  krant te komen met een eendags schandaaltje. Tenslotte is privacy en
  beveiliging een interessant onderwerp dat eigenlijk iedereen aangaat en een
  grotere maatschappelijke relevantie heeft.



  <RvdP>

  De schrijver van het editorial heeft zijn huiswerk niet goed gedaan. Het
  artikel wat in Modem Magazine 22 verscheen over dit onderwerp, werd meteen
  gevolgd door een artikel over hoe goede wachtwoorden gemaakt konden worden.
  Schijnbaar heeft de schrijver van het editorial niet verder gekeken dan
  zijn of haar neus lang is, en is uitsluitend uit op "sensatie". Modem
  Magazine heeft geen enkele ruchtbaarheid aan het betreffende artikel
  gegeven d.m.v. persberichten en dergelijke. Het NRC heeft daarom een
  verkeerd beeld geschapen van de manier waarop Modem Magazine haar serieuze
  lezers voorlicht.

  Het NRC heeft dingen weggelaten, die wel degelijk in Modem Magazine belicht
  waren. Helaas heeft de schrijver van het editorial hetzelfde nagelaten.


  <Pooh's>

  Dit is dan ook het enige waarin de auteur van het bericht gelijk heeft. Ik
  had Modem Magazine moeten checken voor ik het editorial schreef. Dat boete-
  kleed trek ik (de eindredacteur) aan. Aan de andere kant werd mijn
  vertrouwen in het niveau van het tijdschrift niet beschaamd en vond ik
  daar niet echt iets dat ik niet had verwacht.



  <RvdP>

  Ik hoop dat de schrijver van de editorials voortaan wat voorzichter omgaat
  met haar lezers, en deze voortaan van complete informatie voorziet zodat
  een juist beeld ontstaat.



  <Pooh's>

  We doen ons best. Uiteindelijk zal de lezer natuurlijk zijn eigen beeld
  moeten vormen.



  <RvdP>
  Met vriendelijke groeten,
  Roland van der Put
  Modem Magazine


[ Reageer nu ] [ Terug naar index ]