Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Password policy KVK
28-02-2012, 14:06 door Anoniem, 9 reacties
De KVK heeft de volgende password policy voor de online gebruikers:
Let op, bij invoer van wachtwoord:
Gebruik geen leestekens.
Begin niet met een cijfer en gebruik geen meerdere cijfers achter elkaar ( bijv. goed is: woerden1, fout is: woerden21).
Het systeem maakt onderscheid tussen hoofd- en kleine letters!
Dit is toch niet de meest handige policy?
Let op, bij invoer van wachtwoord:
Gebruik geen leestekens.
Begin niet met een cijfer en gebruik geen meerdere cijfers achter elkaar ( bijv. goed is: woerden1, fout is: woerden21).
Het systeem maakt onderscheid tussen hoofd- en kleine letters!
Dit is toch niet de meest handige policy?
Reacties (9)
haha, grappig om te lezen (woon zelf in woerden) m'n school staat tegenover KVK
29-02-2012, 00:31 door
Bitwiper
Door Anoniem:
Nee, integendeel. Elke beperking die je oplegt verkleint het aantal mogelijkheden en kan het leven van aanvallers makkelijker maken. Het uitsluiten van veel gebruikte wachtwoorden (zoals "12345" en "geheim") kan wel zinvol zijn, vooral als de website geen gebruik maakt van een (tijdelijke) account lockout na bijv. 3 verkeerde wachtwoorden.KVK: Gebruik geen leestekens.
Begin niet met een cijfer en gebruik geen meerdere cijfers achter elkaar ( bijv. goed is: woerden1, fout is: woerden21).
Dit is toch niet de meest handige policy?Begin niet met een cijfer en gebruik geen meerdere cijfers achter elkaar ( bijv. goed is: woerden1, fout is: woerden21).
De reden om leestekens af te raden (of verbieden?) ontgaat me volledig, en ik zie ook niet in waarom meerdere cijfers achter elkaar een bijzonder risico zouden vormen. Bijv. 74ren_Weod# was m.i. een prima wachtwoord (tot ik het hier publiceerde).
Waarom heb ik het voorgevoel dat veel gebruikers, na het lezen van de beperkingen en het "goede" voorbeeld, als wachtwoord woonplaats1 zullen kiezen?
Waarom ze de password mogelijkheden beperken is me nog niet helemaal duidelijk.
Maar een betere vraag is :
Bij welke data kan de online gebruiker komen nadat hij ingelogd is?
Is dit privacy gevoelige informatie of bijvoorbeeld alleen uittreksel van KvK wat toch al publieke informatie is?
Maar een betere vraag is :
Bij welke data kan de online gebruiker komen nadat hij ingelogd is?
Is dit privacy gevoelige informatie of bijvoorbeeld alleen uittreksel van KvK wat toch al publieke informatie is?
Een bekende uitspraak van een kennis van is: HET IS TOCH VERDOMME 'MIJN' WACHTWOORD!?
Ik verplicht mensen altijd bij een privacy-gevoelig systeem altijd een sterk wachtwoord te gebruiken.
Als ze geen leestekens toestaan geeft dat mij het gevoel dat ze in plain-text worden opgeslagen en ze zo SQL-injecties proberen te voorkomen...
Dat je geen wachtwoord van meer dan 200 tekens toestaat kan ik nog begrijpen, maar dit?
Ik verplicht mensen altijd bij een privacy-gevoelig systeem altijd een sterk wachtwoord te gebruiken.
Als ze geen leestekens toestaan geeft dat mij het gevoel dat ze in plain-text worden opgeslagen en ze zo SQL-injecties proberen te voorkomen...
Dat je geen wachtwoord van meer dan 200 tekens toestaat kan ik nog begrijpen, maar dit?
29-02-2012, 10:58 door
Ase2004
Je kan welliswaar alleen bij (semi-)publieke data. Maar die publieke data heb ik liever niet openlijk op het internet staan. Iedereen mag het inzien die er voor betaald wat mij betreft.
Je kan als je ingelogd bent documenten bestellen die geld kosten, welke van mijn tegoed afgaan.
Ik vind de policy ook zeker onhandig. Het forceert mij echter wel om na te denken over het wachtwoord in plaats van hetzelfde wachtwoord te gebruiken als die ik overal gebruik. Maar omdat de mogelijkheden beperkt zijn heb ik toch gekozen voor een relatief simpel wachtwoord (in tegenstelling tot andere sites).
Ik verbaas me iig wel over deze policy... geen bijzondere leestekens, misschien is het zo'n simpel systeem dat die hier niet mee kan omgaan.
Je kan als je ingelogd bent documenten bestellen die geld kosten, welke van mijn tegoed afgaan.
Ik vind de policy ook zeker onhandig. Het forceert mij echter wel om na te denken over het wachtwoord in plaats van hetzelfde wachtwoord te gebruiken als die ik overal gebruik. Maar omdat de mogelijkheden beperkt zijn heb ik toch gekozen voor een relatief simpel wachtwoord (in tegenstelling tot andere sites).
Ik verbaas me iig wel over deze policy... geen bijzondere leestekens, misschien is het zo'n simpel systeem dat die hier niet mee kan omgaan.
ik denk (hoop) dat deze policy voortkomt uit technische beperkingen van een backendsysteem.
Een systee dat niet omkan met leestekens kan ik ergens nog begrip voor opbrengen, maar 2 cijfers na elkaar... dit lijkt mij geen technisch beperking.
Het voorbeeld dat ze geven is ook wel redelijk schrijnend te noemen. Ik vraag mij af hoeveel accounts effectief het paswoord 'woerden1' gebruiken.
Een systee dat niet omkan met leestekens kan ik ergens nog begrip voor opbrengen, maar 2 cijfers na elkaar... dit lijkt mij geen technisch beperking.
Het voorbeeld dat ze geven is ook wel redelijk schrijnend te noemen. Ik vraag mij af hoeveel accounts effectief het paswoord 'woerden1' gebruiken.
29-02-2012, 18:45 door
Bitwiper
Door Anoniem: Een bekende uitspraak van een kennis van is: HET IS TOCH VERDOMME 'MIJN' WACHTWOORD!?
Uhh het is, voor de momentane bezitter van de data, een middel om vast te stellen dat jij jij bent en niet iemand anders.Als je met jouw zelfgekozen wachtwoord uitsluitend toegang krijgt tot jouw eigen gegevens dan wens ik je veel succes met de kwaliteit van jouw wachtwoordkeuze. Echter als het om toegang tot gegevens van derden gaat heeft de data bezitter natuurlijk wel een gedelegeerde verantwoordelijkheid. Je kunt het als een luxe beschouwen dat jij dat wachtwoord zelf mag kiezen (en dat niet bijv. het systeem een random wachtwoord voor je genereert dat je maar moet zien te onthouden).
Dus als jouw kennis bijvoorbeeld denkt "HET IS TOCH V* MIJN <ANY PROVIDER> MAILBOX" dan moet hij/zij zich wel realiseren dat als een mailadresverzamelaar -middels een wachtwoord van het type woerden1- zich toegang verschaft tot die mailbox, de kans groot is dat zijn/haar familie, kennissen en collega's in een spamdatabase belanden (waar zij nooit meer uitkomen). Zie bijv. http://www.security.nl/artikel/34366/Mugged_in_London_(419_scam).html. Bij voorbaat no thanks...
De KVK is ook nog een partij welke snachts tussen 00:00 en 06:00 (of 08:00) geen mogelijkheid bied tot opvragen van gegevens, omdat er dan een backup gemaakt wordt.. zegt genoeg over de systemen die er nog achter zitten..
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
