Nieuws
image

"Wachtwoordkluis net zo verplicht als virusscanner"

woensdag 18 maart 2009, 12:24 door Redactie, 12 reacties

Gebruikers die hetzelfde, eenvoudige wachtwoord voor alle websites gebruiken hebben geen recht op klagen als ze gehackt worden, zegt beveiligingsexpert Adam O'Donnell, die daarmee naar een Amerikaanse professor verwijst. De man trof zijn universele wachtwoord op een publieke website aan, mogelijk als gevolg van een phishingaanval. "Je vergeet dat als je dezelfde gebruikersnaam, e-mailadres en wachtwoord op verschillende websites gebruikt, je op de beveiliging van de zwakste website vertrouwt om je inloggegevens te beschermen", gaat O'Donnell verder.

Heeft een aanvaller een wachtwoord en e-mailadres, dan kan hij volgens O'Donnell proberen om toegang tot je e-mailaccount te krijgen en zo je rekening- en creditcardgegevens proberen te achterhalen. "Het hebben van een sterk en divers wachtwoord voor alles is vandaag de dag verplicht, net als het hebben van een virusscanner op je PC." Het probleem is dat mensen een beperkt aantal wachtwoorden kunnen herinneren en al helemaal niet als ze complex zijn.

Geheugen van een goudvis
"Ik heb, net als velen van jullie, het korte termijn geheugen van een goudvis die bij de geboorte zuurstofgebrek opliep en gebruik daarom een wachtwoordkluis om mijn authenticatie token te bewaren." Naast commerciele varianten zijn er ook gratis alternatieven zoals de ingebouwde oplossing van Firefox en KeePass.

Maar hoe zit het met een wachtwoordkluis als je wilt inloggen op de bibliotheek in de computer, iemand je computer steelt of je met malware besmet raakt? "Ten eerste moet je niet inloggen op machines die je niet beheert. Ze zijn waarschijnlijk al besmet. Ten tweede hebben de meeste van deze programma's een master wachtwoord, dus zou er niets aan de hand moeten zijn zolang je een backup hebt. Als je een rootkit hebt en ze pakken je ingevulde formulieren, dan ben je toch al de sigaar en heb je je lesje geleerd wegens het niet gebruiken van een goede virusscanner", merkt O'Donnell op.

Volgens hem hebben consumenten geleerd om virusscanners en backup software te gebruiken om gegevens en systemen te beveiligen en moet daar nu ook de digitale wachtwoordkluis bij komen, om zo remote data te beschermen of anders de schade in het geval van een succesvolle aanval te beperken.

Reacties (12)
18-03-2009, 13:51 door Anoniem
Voor het onthouden van meerdere wachtwoorden moet jezelf hierop trainen, telkens een wachtwoord meer en een stukje complexer. Voor mijn werk ben ik ook in staat om tientallen en complexe wachtwoorden te onthouden, maar dit is puur omdat jezelf hierin traint.
18-03-2009, 15:32 door [Account Verwijderd]
[Verwijderd]
18-03-2009, 15:57 door Anoniem
keepass draait tegenwoordig ook op mobile telefoons (winmo en blackberry sowieso).
Verder heb ik ooit hierover een stukje geschreven; http://deckardt.nl/blog/2007/10/27/wachtwoord-risicos-en-tricks/
Hierin doe ik uit de doeken hoe je complexe wachtwoorden kan gebruiken terwijl je ze toch makkelijk kan onthouden, misschien dat iemand hier wat aan heeft.
18-03-2009, 16:26 door KwukDuck
@ duckman

Een veilig wachtwoord vergt ook een uitbreiding van je karakterset, dus de speciale tekens, jij wilt mij vertellen dat je tientallen wachtwoorden kan onthouden van 'random' karakters, en deze ook regelmatig zonder problemen verandert?
Ik denk dat je dan een plekje in het guinness verdient.

R@nd0M = niet veilig (hedendaagse bruteforce tools houden rekening met dit soort 'leetspeak'

E?D8vJ2*(A'C = veilig
18-03-2009, 17:10 door [Account Verwijderd]
[Verwijderd]
18-03-2009, 18:28 door spatieman
hoe kom je aan pas wachtwordt??
19-03-2009, 07:33 door Anoniem
Door KwukDuck@ duckman

E?D8vJ2*(A'C = veilig

Nu niet meer. ;-)

EJ
19-03-2009, 08:56 door U4iA
Door KwukDuckR@nd0M = niet veilig (hedendaagse bruteforce tools houden rekening met dit soort 'leetspeak'
Ja en nee, het probleem is dat je het te makkelijk maakt. Verander je dit in !R@nd0M? dan heb je ten eerste 8 karakters en ten tweede meer variatie. Een wachtwoord als deze kraken via bruteforce (zonder dat je dus weet hoeveel karakters er in zitten) gaat echt een hele tijd duren. Voor webmail is dit dus echt wel afdoende, omdat je niet ongelimiteerd wachtwoorden kan proberen. De clue is dus meer karakters gebruiken uit de !@#$%^&*()-_=+]}[{";;/.,<>? reeks. Sommige laten zelfs spaties toe in wachtwoorden en deze worden bijna nooit meegenomen in bruteforce attacks.
19-03-2009, 14:36 door Anoniem
Ik gebruik altijd de wachtwoorden "Duckman" of "KwukDuck", zou dat veilig zijn denken jullie?
Caroline
19-03-2009, 21:12 door Anoniem
@KwukDuck: nope, too simple..
@U4iA: yep.. Jammer, maar wel nodig... Sterker/erger nog, ik vraag me af wanneer men nieuwe toetsenborden gaat introduceren met nieuwe wisselende/random tekens ;-p
20-08-2009, 20:10 door MJ111
Het artikel stelt dat je de ingebouwde wachtwoordmanager van FireFox zou kunnen gebruiken. Dit raad ik uit eigen ervaring af! Mijn wachtwoorden zijn zo een keer gestolen.
Sinsdien gebruik ik LastPass, een online wachtwoordmanager en formuliervuller. Het is gratis en erg veilig (het werkt met 256AES encryptie; je gegevens verlaten je computer alleen in gecodeerde vorm).
13-02-2011, 11:58 door Anoniem
Ik zag pas KeyGrinder, dat concept maakt mij enthousiast. Je onthoudt tocch maar een wachtwoord en genereert daarvan een anderen voor al je andere toepassingen. Ook voor alle platformen
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure