Tips en Trucs 2015

Veilige wachtwoorden genereren

Een goed wachtwoord verzinnen is nooit gemakkelijk. Eén van mijn favoriete opdrachten om veilige wachtwoorden aan te maken is Password Generator, ook gekend als pwgen, een opdracht waarmee je willekeurige wachtwoorden mee kunt genereren.

Password Generator is een hulpmiddel geschreven door Ted Ts'o, die je misschien kent van het open source project Ext4 (het bestandssysteem in de kernel). Lang voor er sprake was van Ext4 heeft Ts'o deze GPL paswoord generator ontwikkeld om sterke wachtwoorden aan te maken. De wachtwoorden die je met pwgen genereert zijn eenvoudig te onthouden. In de standaard mode genereert pwgen uitspreekbare wachtwoorden. Wat niet betekend dat het woorden zijn, maar er staan wel tekens in die je met wat fantasie beter kunt onthouden. Bekijk deze standaard door pwgen gegenereerde wachtwoorden:
Password Generator
De afbeelding toont hoe je pwgen installeert en zonder opties (standaardmode) start.

Geen van deze wachtwoorden kunnen geraden worden, zijn gevoelig aan woordenboek aanvallen en volstaan voor de meeste toepassingen. Elk wachtwoord heeft op zijn minst één hoofdletter en één cijfer. Toch zijn ze gemakkelijk te onthouden.

De standaard wachtwoorden zijn in de meeste gevallen toereikend, maar als je een langer wachtwoord wilt, gebruik je pwgen NN, waarbij je NN vervangt door de lengte van het te genereren wachtwoord. Om bijvoorbeeld een wachtwoord met 12 tekens te genereren, voer je de opdracht pwgen 12 uit. Je krijgt 120 verschillende wachtwoorden (zes kolommen met 20 rijen) waaruit je kunt kiezen. Wachtwoorden met meer dan 10 tekens kunnen we minder gemakkelijk memoriseren, maar zijn wel veiliger.

Maar wat als je later een wachtwoord wilt achterhalen? Standaard genereert pwgen willekeurige wachtwoorden die je geen tweede keer kunt genereren. Password Generator kan een wachtwoord ook afleiden uit de inhoud van een bestand, zolang de inhoud van het bestand niet verandert kan pwgen hetzelfde wachtwoord opnieuw genereren. Daarvoor heb je een bestand, een kiemzin (seed phrase) en pwgen met de -H (hash) optie nodig:

dany@new-host-2:~> pwgen -1 -H hashbestand#"De geheime kiemzin"
Iquee8ji

De -1 optie zorgt ervoor dat er maar één wachtwoord wordt gegenereerd en geen 120. Met het bestand (in het voorbeeld met de bestandsnaam hashbestand) maakt pwgen een SHA1 hash die dan samen met de kiemzin als basis voor het genereren van het wachtwoord dienen. Het is dus van belang dat de inhoud van het gebruikte bestand niet wijzigt. Best gebruik je daar een bestand voor dat je nergens anders voor gebruikt en je het bestand ergens veilig bewaart. De pwgen documentatie waarschuwt dat dit soort wachtwoorden niet willekeurig zijn. Als een aanvaller toegang krijgt tot uw computer, kan deze in de opdrachtgeschiedenis de opdracht, bestandsnaam en kiemzin achterhalen.

Merk op dat je pwgen in scripts kunt gebruiken. Zo kan je op systemen automatisch gebruikers met willekeurige veilige wachtwoorden aanmaken. De uitvoer wijkt echter af van de schermuitvoer, m.a.w. raadpleeg de man pagina.

Het is een eenvoudige, maar zeer handige opdracht. Je gebruikt pwgen zowel voor het aanmaken van memoriseerbare als belachelijk lange wachtwoorden voor gevoelige accounts. Gebruik je het nog niet, dan is pwgen een sterke aanrader.