Ik kan iedereen het gebruik van de multiplatform cloud tool lastpass aanraden (lastpass.com). Met gebruik van die tool onthoudt je slechts het toegangswachtwoord tot de tool. Ik heb voor al mijn accounts 16 cijferige wachtwoord codes die automatisch gegeneerd zijn door de tool en die ik niet eens weet. De tool integreert binnen de meest bekende browsers en werkt ook met iphones, ipad, blackberry's etc. Het voordeel is dat wachtwoorden niet meer lokaal worden opgeslagen waardoor ze via tools als pspv achterhaald kunnen worden. In geval het internet niet meer werkt kun je altijd een volledig versleutelde versie van het wachtwoordbestand opslaan. Ik kan eigenlijk geen zwakheden ontdekken in deze tool en het concept is echt goed doordacht. Het argument dat hierboven wordt beschreven "Het nadeel van het wijzigen van wachtwoorden is dat het ze lastiger te onthouden maakt." is met deze tool helemaal niet aan de orde.

Ik zou toch een ander advies geven: gebruik GEEN wachtwoorden meer.

Wachtwoorden zijn uit de tijd, ouderwets, te gevoelig voor aanvallen (dictionary, rainbowtables, social engineering etc.). Maar wat dan wel? Biometrie heeft ook zo zijn nadelen en authenticatiemiddelen als tokens o.i.d. zijn vaak duur, kun je verliezen, sommigen zijn maar bij één bedrijf te gebruiken en soms zijn ze na te maken (denk even aan de OV chip).
Ik ben echter bang dat bij veel situaties zal blijken dat het uitbannen van wachtwoorden financieel, technisch of organisatorisch niet mogelijk is.

"Schneier concludeert dat het niet nodig is om regelmatig wachtwoorden van de computer, webwinkels of online bankrekeningen te wijzigen, en al helemaal niet bij onbelangrijke accounts. "

Wat hebben accounts van online bankrekeningen te maken met onbelangrijke accounts ? Verder is het niet periodiek wijzigen van accounts het perfecte recept om langdurig gecompromitteerd te blijven. #FAIL.

Het is een beetje per situatie verschillend. Het komt nog wel eens voor dat wachtwoorden voor webmail en websites onderschept worden, hoe voorzichtig je ook bent, dus zulke wachtwoorden wijzig ik regelmatig. Aan de andere kant hoef ik de wachtwoorden voor mijn computer en zo natuurlijk niet te wijzigen. Niemand komt in de buurt van mijn computer :)

Uit welk onderzoek put dhr Schneier dit? Of verzint hij dit ter plekke?

Fijn te lezen dat gezaghebbende personen zoals Schneier dit schrijven. Ik raad dit ook altijd aan maar ondervind daar vaak weerstand tegen. Als ik dan vraag wat het nut is van het maandelijks je wachtwoord wijzigen kan niemand mij dat uitleggen, maar "het moet omdat dit een policy is die iedereen toepast". Eigenlijk de enige reden dit ik kan bedenken is dat een aanvaller heel langzaam een brute force attack uitvoert en zo "onder de radar" weet te blijven (account lockouts, die je natuurlijk wel moet gebruiken, weet te vermijden). Erg realistisch is dit scenario natuurlijk niet.

De andere kant van het verhaal:

- De praktijk is dat een systeem (geen vriendelijk vragend en toelichtend persoon), op een moment dat het totaal niet uitkomt (nog geen koffie op), zeurt dat je je wachtwoord moet wijzigen. Ik heb dit in veel verschillende organisaties meegemaakt en daarbij nog nooit uitleg gezien waarom dat moet. De eerste gedachte die op zo'n moment bij me opkomt is "stik met je security", waarna ik 1 karakter wijzig van mijn lastig te raden -unieke- wachtwoord. Ik verwacht dat veel mensen minder secuity-aware zijn dan ik, die mixen gewoon hun geboortedatum met initialen (of nemen een echt flut wachtwoord als er niet iets "lastigs" wordt afgedwongen, of gebruiken hun webmail wachtwoord). Dit werkt gewoon niet.

- Het primaire doel van wachtwoorden is om niet gecompromitteerd te raken. Als organisatie en individu schiet je er niks mee op als accounts statistisch gezien gedurende de helft van de tijd gecompromitteerd zijn. Daar komt bij dat aanvallers vaak meteen halen wat er te halen valt, bij web-accounts vaak jouw wachtwoord wijzigen waardoor jij er niet meer in kan, of backdoors planten waardoor ze, nadat jij je wachtwoord gewijzigd hebt, er alsnog in kunnen.

Voor wat betreft het beheer van servers en netwerkapparatuur: m.i. is het beter om per device een uniek wachtwoord te kiezen dan 1 wachtwoord voor alle devices dat elk half jaar gewijzigd moet worden.

Goede redenen voor het wijzigen van wachtwoorden zijn:
- als er een vermoeden bestaat dat systemen en/of accounts zijn gecompromitteerd;
- als iemand die een gedeeld wachtwoord kent (bijv. serverbeheer) een andere functie krijgt (of de organisatie verlaat) dan moet je natuurlijk wel dat wachtwoord wijzigen;
- je hebt dat wachtwoord per ongeluk in het "username" veld ingetikt (de kans is dan groot dat dit plain-text in een logbestand wordt opgenomen);
- je hebt dat wachtwoord per ongeluk bij een ander account ingetikt;
- je hebt het gevoel dat iemand over je schouder heeft meegekeken;
- je gaat een account voor langere tijd niet gebruiken: het is dan verstandig om bijv. KeePass een lang random wachtwoord te laten genereren (dat te vervelend is om telkens in te tikken) en dat in te voeren;
- accounts waarvoor geen account lockout policy mogelijk is moeten van zodanig lange en complexe wachtwoorden worden voorzien dat ook langdurige brute-force attacks deze niet kunnen kraken. Als dergelijke accounts via het netwerk zijn te benaderen is het af en toe wijzigen van zo'n wachtwoord wel aan te raden (en dan moet je natuurlijk meer wijzigen dan 1 karakter).

Dus Schneier zegt dat het onveiliger is omdat mensen eenvoudige wachtwoorden kiezen.
Maar standaard dwingt Windows (2008+) toch een complexe wachtwoord af?
Dus het is toch veiliger.

Bij iedere wijziging is de eerste vraag: "Waarom gaan we deze wijziging uitvoeren?"
Voor veel wijzigingen is hier een helder antwoord op te geven, bij wijziging van wachtwoord is dit wat moeizamer.
Je zit al snel in de richting van '...er zou wel eens ....' of '... het is common practice ...'
Zou mijn account op het werk frequenter gehacked worden als ik mijn wachtwoord niet periodiek hoef te wijzigen?
Waarom zou ik over een maand mijn wachtwoord wijzingen zonder dat daar een duidelijke aanleiding voor is?

Is security erg belangrijk, dan kan daar intussen prima een adequate oplossing tegenover staan. Bijvoorbeeld tokens of een challenge-response systeem. Kost wat, maar als de kosten te hoog zijn is de beveiliging dus niet zo heel belangrijk.
Iets minder belangrijk, maar toch belangrijk? Lock-out na X keer proberen. Kan een denial of service tot gevolg hebben, maar zolang een systeem niet aan het internet hangt is dit ook niet echt een probleem.

Detectie van ongeoorloofd gebruik? In veel gevallen een duidelijk geplaatst "uw laatste login was op XXX tijd YY:YY" voldoet in veel gevallen. Of iemand heeft al een handeling verricht die nadelige gevolgen heeft, dan is het kwaad al geschied en is wijziging alleen nog maar nodig om verdere schade te voorkomen.

Ik denk dat hij gelijk heeft, hoe vaker een wachtwoord wisseld hoe makkelijker hij wordt !
Ik heb er nog een : sterretje bij de invoer heeft ook het effect van eenvoudiger wachtwoorden ( want je kunt jezelf niet checken ), en voor een keylogger of gehackte site voegt het niets toe.
Verder is het opschrijven van wachtwoorden op zich een goed idee, als je daardoor een complexer wachtwoord gebruikt., zeker prive ! ( hacker kan dat briefje niet zien )

Als je geen tooling hebt op het gebied van IDS IPS etc dan is het wijzigen vh wachtwoord een extra maatregel anders maak je ze het wel erg makkelijk.

Daarbij is wachtwoordgebruik een achterhaald systeem. Je zou het niet moeten willen omdat er andere betere solutions voor handen zijn. Ik irriteer me er dagelijks aan.

Echter zolang die technologien niet zijn toegepast moet je ONDER ANDERE wel met wachtwoorden werken zeker als je de omgeving ook niet monitoort op intrusion.

Het is gewoon een extra schilletje...dun maar wel een extra schilletje. Schijnbaar ja eens het is via een grafische kaart of een ps3 of rainbow tabbellen makkelijk te achterhalen.

En dan kan Bruce schrijven wat die wilt maar het gaat bij ons niet gebeuren zolang de geldkraan voor IDS en IPS dichtblijft.

Zolang ik geen perfect huisalarm systeem heb met opvolging trek ik mooi de deur in het slot, hoe gammel dat ook is.


Dag Bruce, een zekere nuance mag wel aangebracht worden.

Beste anoniem @ 14.57

Even een paar vragen:
- Wie zijn 'ze' die je het anders wel erg makkelijk maakt?
- Wat voor systeem hebben we het over dat het gebruik van wachtwoorden achterhaald is?
- Is dit systeem aangesloten op het internet of zijn er andere grote externe bedreigingen?
- Waarom heb je een IDS of IPS nodig, is er binnen het systeem geen logging aanwezig op mislukte login pogingen?

Dan nog even doorgaan op je 'deur in het slot'.
Ik neem aan dat je het slot van je voordeur niet ieder jaar vervangt.
Sterker nog, ik denk dat je het, tenzij er is ingebroken, helemaal niet vervangt zolang je in de woning woont.
En als het een bestaande woning was heb je waarschijnlijk het slot overgenomen van de oude eigenaar.
Weet je zeker dat hij/zij alle sleutels heeft ingeleverd?
Heb je een inbraak alarm in huis?
Meet jij hoe vaak er mensen aan je deur morrelen in een poging het slot open te krijgen?

Het is algemeen bekend dat sloten vrij snel te openen zijn.
Redelijk wat mensen doen hun deur niet eens op slot als ze naar bed gaan.
Woninginbraken staan niet op de voorpagina van de krant, maar ze gebeuren wel degelijk.
Waarom hebben mensen geen IDS op hun voordeur zitten?

Een wachtwoord is het zelfde als een slot op de deur.
Zolang er geen reële indicatie is dat dit niet veilig genoeg is, is er geen reden om het slot te vervangen.
Waarom zou dit anders zijn voor een electronische beveiliging?

Oh ja, rainbow tabellen zijn voor brute force aanvallen. Da's voornamelijk een academisch risico, voor de meeste particulieren en bedrijven geen praktisch risico.

Hoe vaker mensen wachtwoorden moeten wijzigen en hoe meer verschillende ze moeten onthouden ... hoe groter de kans dat ze ze opschrijven. Hoop hypothetisch geleuter hier van mensen die of zelf bovengemiddeld materiedeskundig zijn of geen moer snappen van hoe de gemiddelde gebruiker (je weet wel, al die mensen die nu nog XP SP2 draaien) met z'n computer bezig is.

Ik denk dat Bruce gelijk heeft. Voor die mensen die zich afvragen wie hij is om te zeggen wat hij zegt ... Verdiep je eens in die man en in zijn loopbaan in de informatiebeveiliging.

Weleens van een slagsleutel gehoord? Zelf SKG goedgekeurde sloten gaan daarmee open. Het keurmerk zegt alleen maar dat het wat lastiger is gemaakt dan zonder keurmerk. Elk slot is gewoon te openen namelijk. Het dievengilde is meestal een stuk inventiever dan degene die dergelijke sloten testen.

Wat voor zin heeft een policy als de meeste gebruikers van hun standaard wachtwoord en 0 of een ander letterof cijfer toevoegen. Zo'n policy schiet z'n doel volledig voorbij en kan net zo goed worden afgeschaft. Tegenwoordig zoek ik het in meervoudige authenticatie, dus niet alleen iets wat je weet maar ook iets wat je hebt of wat je bent. Geeft nog geen 100% veiligheid maar dat is toch sowieso een utopie. Alles wat er in de buurt komt is meegenomen.
Maar het afhankelijk van de uitkomst van een risico analyse en data classificatie. hoe hoger het risico of hoe vertrouwelijker de data des te zwaarder dient het authenticatie mechanisme te zijn.