image

Schneier: Gevaar schoudersurfen overdreven

maandag 6 juli 2009, 11:53 door Redactie, 8 reacties

Het gevaar van schoudersurfen is ernstig overdreven, toch is het in sommige gevallen handig om wachtwoorden met sterretjes te maskeren, aldus beveiligigingsgoeroe Bruce Schneier. Hij komt daarmee terug op zijn eerdere uitspraak dat wachtwoord sterretjes moeten verdwijnen. Schneier kreeg veel kritiek op zijn mening en geeft toe dat hij iets te kort door de bocht is gegaan. "Zoals met alle security tegenmaatregelen, heeft het maskeren van wachtwoorden z'n nut. Maar zoals met elke tegenmaatregel, is het maskeren van wachtwoorden geen wondermiddel." De voor- en nadelen zouden dan ook gebalanceerd moeten worden.

Het grootste nadeel is dat gebruikers geen visuele feedback krijgen, omdat ze niet zien wat ze typen en daardoor eerder fouten maken. Dit zorgt voor geirriteerde gebruikers, die vaak eenvoudig te typen wachtwoorden kiezen. Als de sterretjes verdwijnen, raken mensen meer vertrouwd met complexe wachtwoorden en zijn ze ook eenvoudiger te onthouden. Veel gehoorde voordelen zijn dat het bescherming tegen schoudersurfen en malware biedt. Daarnaast zou het gebruikers alert maken dat wachtwoorden geheim zijn.

Shoudersurfen
Schneier vindt dat schoudersurfen niet het probleem is dat het wordt gemaakt. Veel mensen gebruiken hun computer alleen, zonder dat er iemand meekijkt. Smartphones en andere handheld apparaten worden dicht op het eigen lijf gebruikt en als laatste is het lastig om een reeks non-alfanumerieke tekens die over het scherm schieten te onthouden. "Dat wil niet zeggen dat schoudersurfing geen dreiging is." Dankzij het maskeren van wachtwoorden komt het niet zo vaak voor, daarnaast helpt het gebruikers die niet zo snel typen en zwakke wachtwoorden kiezen. "Maar ik denk dat de risico's overdreven worden."

Dat geldt echter niet voor geldautomaten, waarbij schoudersurfen wel voorkomt en het maskeren juist nuttig is, zo merkt Schneier op. Hij ziet dan ook graag bij applicaties de mogelijkheid om te kiezen tussen het maskeren of niet. "Had ik het fout? Misschien. Oké, waarschijnlijk. Het maskeren van wachtwoorden is zeker een verbetering van de beveiliging."

Reacties (8)
06-07-2009, 12:35 door sjonniev
Ik heb liever helemaal niets, geen sterretjes of wat dan ook.
06-07-2009, 13:02 door Zarco.nl
Door Redactie: Schneier vindt dat schoudersurfen niet het probleem is dat het wordt gemaakt. Veel mensen gebruiken hun computer alleen, zonder dat er iemand meekijkt.
Dan heeft Schneier zeker nog nooit bij een bedrijf gewerkt, of werken ze in de states alleen in cubicles met gesloten deuren?
06-07-2009, 13:22 door Anoniem
En men blijft hem beveiligigingsgoeroe noemen... wie neemt die figuur nog serieus?
06-07-2009, 15:47 door Anoniem
Hij heeft deze keer gelijk. De security community is veelal geneigd risico's groter voor te doen dan praktisch het geval is. Schoudersurfen gebeurt veel in de zin van "kijken waar iemand mee bezig is". Niet voor het ontfutselen van wachtwoorden.
06-07-2009, 17:52 door Anoniem
Door Anoniem: Hij heeft deze keer gelijk. De security community is veelal geneigd risico's groter voor te doen dan praktisch het geval is. Schoudersurfen gebeurt veel in de zin van "kijken waar iemand mee bezig is". Niet voor het ontfutselen van wachtwoorden.
Daar gaat het niet om, als ik op een bedrijfs of school computer inlog op mijn gmail terwijl er iemand bij zit kan diegene mijn wachtwoord zien.
De meeste mensen zullen er niets mee doen (mochten ze het kunnen onthouden) maar er zal maar net een eikel tussen zitten die voor de lol je emails gaat lezen in het vervolg.
06-07-2009, 23:50 door Kukel
Door Anoniem: En men blijft hem beveiligigingsgoeroe noemen... wie neemt die figuur nog serieus?
Serieuzer dan iemand die hier anoniem post.

Door Zarco.nl:
Door Redactie: Schneier vindt dat schoudersurfen niet het probleem is dat het wordt gemaakt. Veel mensen gebruiken hun computer alleen, zonder dat er iemand meekijkt.
Dan heeft Schneier zeker nog nooit bij een bedrijf gewerkt, of werken ze in de states alleen in cubicles met gesloten deuren?
Cubicles met gesloten deuren (en wanden tot het plafond, anders hebben die deuren ook niet veel zin) noemt men kamers.

Maar dan nog, over het algemeen zit iemand alleen achter zijn PC. Maar in zeer beperkte mate kijkt er iemand mee en nog minder vaak is dat als je een ww moet intypen. Zoals mijn Nokia het doet, heel kort het teken laten zien, lijkt me een goede tussenweg.
09-07-2009, 16:10 door Anoniem
Ja hoor... als we wachtwoorden niet maskeren dan gaat de gemiddelde gebruiker ineens veel complexere wachtwoorden kiezen.

aldus beveiligigingsgoeroe maar vooral ook mens Bruce Schneier
07-08-2009, 08:51 door Anoniem
Ging het maskeren van wachtwoorden niet ook over tempest-proofing van schermen?
Als het wachtwoord leesbaar is en iemand op afstand het scherm kan lezen...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.