Microsoft: Schrijf je wachtwoorden op
Bedrijven moeten niet hun werknemers bestraffen als ze hun wachtwoorden opschrijven, aangezien dit gebruikers dwingt om overal hetzelfde zwakke wachtwoord te gebruiken, aldus Microsoft security goeroe Jesper Johansson. Volgens Johansson heeft de industrie het verkeerde advies aan gebruikers gegeven om hun wachtwoorden niet op te schrijven. "Hoeveel wachtwoord policies zijn er niet die met de doodstraf dreigen als men een wachtwoord opschrijft?" vroeg de "senior program manager voor security policy" van Microsoft aan het publiek van de AusCERT conferentie. "Ik ben het daar niet mee eens. Ik zeg dat wachtwoord policies juist moeten aanraden om het wachtwoord op te schrijven. Ik heb 68 verschillende wachtwoorden. Als ik ze niet allemaal mag opschrijven, denk dan eens na wat ik ga doen. Ik gebruik overal hetzelfde wachtwoord." Iets wat juist de security in gevaar brengt, zo ging Johansson verder. Toch waren niet alle bezoekers overtuigd van Microsoft's nieuwe visie wat wachtwoorden betreft. Vooral de uitvoering ervan zou niet praktisch zijn.
Wat wel een mogelijkheid is natuurlijk is om bepaalde
wachtwoorden in een pgp bestandje te zetten, zodat deze te
lezen zijn door de mensen die het pgp wachtwoord van dat
bestand weten.
Erg makkelijk om bijvoorbeeld specifieke wachtwoorden van
bepaalde machines in te zetten, waar niet iedereen zomaar
toegang tot mag hebben.
de monitor geplakt. En die monitoren hangen hier al vol....
Of misschien kunnen we het wachtwoord op het voorhoofd van de
gebruiker tatoeëren? Of wacht, een oormerk voorzien van loginnaam en
wachtwoord is misschien effectiever, die zijn namelijk makkelijker te
vervangen.
Gebruiker: ik heb mijn wachtwoord gewijzigd.
beheerder: wacht, dan pak ik even de knijptang en een verbandje erbij.
single-sign-on oplossing die volledig geintergreerd is met
de volgende generatie M$products, maar waarvan de API
slechts gedeeletelijk beschikbaar is voor derden. En dan
afwachten tot het kaartenhuis instort doordat een 13-jarige
een of andere stommiteit blootlegt.
voorgedaan en het heet Passport.
Of misschien kunnen we het wachtwoord op het voorhoofd van de
gebruiker tatoeëren?
de ultieme biometrische identificatie: barcode op voorhoofd webcam op
computer; paar tientjes ben je klaar.
manieren om je wachtwoord ingewikkeld te maken, zonder dat je iets hoeft
op te schrijven (enkele jaren geleden is deze methode al door de FBI site
gepubliceerd)
MS had beter moeten weten.
http://www.schneier.com/blog/archives/2004/12/safe_personal_c.html
Passwords: You can't memorize good enough passwords any more, so
don't bother. For high-security Web sites such as banks, create long
random passwords and write them down. Guard them as you would your
cash: i.e., store them in your wallet, etc.
Never reuse a password for something you care about. (It's fine to have a
single password for low-security sites, such as for newspaper archive
access.) Assume that all PINs can be easily broken and plan accordingly.
Never type a password you care about, such as for a bank account, into a
non-SSL encrypted page. If your bank makes it possible to do that,
complain to them. When they tell you that it is OK, don't believe them;
they're wrong.
laptop) heb ik een applicatie die al m'n passwords bewaard.
Dit is inclusief een random password generator. Dit geheel
wordt d.m.v. een sterke Blowfish encryptie beveiligd. Da's
een stuk beter dan een post-it op je monitor!
Je kunt ook overwegen zo'n (uiteraard ge-encrypte)
password-store op je computer te hebben. Als je meestal
achter dezelfde computer zit, en je bent bang dat
bijvoorbeeld collega's je post-its lezen, is dat misschien
een optie. Gevaar is natuurlijk trojans, maar bedenk wel dat
je de wachtwoorden bijvoorbeeld bij het inloggen ook bij die
computer zult intoetsen. In dat geval zou een trojan er dus
*toch* wel achter gekomen zijn.
Denk overigens wel aan backups.
Heel simpel: op mijn Sharp Zaurus C3000 (een PDA-formaat
laptop) heb ik een applicatie die al m'n passwords bewaard.
Dit is inclusief een random password generator. Dit geheel
wordt d.m.v. een sterke Blowfish encryptie beveiligd. Da's
een stuk beter dan een post-it op je monitor!
hoe heet die applicatie?
1 bestand (met pgp encrypted) waar wachtwoorden in staan die
ik niet zo heel vaak gebruik en dus niet kan onthouden. Dat
bestand staat op een compleet onlogische locatie (voor veel
mensen). De enige manier waarop de wachtwoorden te lezen
zijn is door met het juiste wachtwoord het bestand te
decrypten. Hierbij wordt het bestand alleen weergegeven op
je terminsl scherm, en nadat je een toets hebt aangeraakt,
wordt het scherm weer schoongemaakt.
Tevens is het wachtwoord nogal sterk, en heeft slechts 1
specifieke groep leesrechten tot het bestand, en alleen root
heeft schrijfrechten in het bestand. Het root-wachtwoord van
die machine staat niet in dat bestand, maar in mijn hoofd.
(pincode) waarop ik in een tekstbestand alle paswoorden
bewaar. Deze PDA heb ik in principe altijd thuis liggen en
op kantoor altijd opgeborgen dus kan er weinig mee gebeuren.
Op vakantie is het af en toe iets risicovoller ivm diefstal,
maar iemand die de PDA steelt zal hoogstwaarschijnlijk
gewoon een reset doen in plaats van moeilijk doen met
paswoord-cracking(tenzij het een gerichte attack is maar bij
diefstal reset ik toch alle paswoorden), waardoor ik deze
oplossing redelijk veilig acht.
verschillende wachtwoorden.
Ik heb één basis wachtwoord. laten we zeggen "%eDx&*zi"
Ik doe alle leters van de dienst waarvoor het wachtwoord
bedoeld is vóór het wachtwoord, behalve de laaste letter. De
laatste letter plaats ik achter het wachtwoord.
Voorbeeld:
Hotmai"%eDx&*zi"l
MS"%eDx&*zi"n
Securit"%eDx&*zi"y
Administrato"%eDx&*zi"r
roo"%eDx&*zi"t
Yaho"%eDx&*zi"o
etc.
Klinkt heel moeilijk, maar als je éénmaal ziet wat ik bedoel
, is het een piece of cake. En toch best veilig!
Hispanic
die zo'n uitspraak doet. Ik heb zelf ook veel wachtwoorden
en ze zijn allemaal 't zelfde omdat ik ze simpelweg niet
allemaal kan onthouden
Ik hanteer al jaren dezelfde oplossing. Ik heb zo'n 50
verschillende wachtwoorden.
Ik heb één basis wachtwoord. laten we zeggen "íx&*zi"
Ik doe alle leters van de dienst waarvoor het wachtwoord
bedoeld is vóór het wachtwoord, behalve de laaste letter. De
laatste letter plaats ik achter het wachtwoord.
Voorbeeld:
Hotmai"íx&*zi"l
MS"íx&*zi"n
Securit"íx&*zi"y
Administrato"íx&*zi"r
roo"íx&*zi"t
Yaho"íx&*zi"o
etc.
Klinkt heel moeilijk, maar als je éénmaal ziet wat ik bedoel
, is het een piece of cake. En toch best veilig!
Hispanic
Als ik dus eenmaal 1 wachtwoord heb gekraakt, zal ik snel
genoeg ook al je wachtwoorden gekraakt hebben. Vergeet niet
dat bij sommige databases nog steeds wachtwoorden plaintext
worden opgeslagen.
wachtwoorden plaintext worden opgeslagen.
je dat wachtwoord gebruikt? En vertrouw je er ook op dat ze
hun security-zaakjes op orde hebben?
Open source,veilig en draait op een hele rits platformen,
overtuig jezelf op:
http://passwordsafe.sourceforge.net/
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
