Nieuws

"Website moet wachtwoord 123456 verbieden"

woensdag 30 maart 2011, 10:41 door Redactie, 15 reacties

Websites die belangrijke gegevens herbergen moeten het gebruik van wachtwoorden zoals '123456' niet toestaan. Dat zegt Sean Sullivan van het Finse F-Secure. Sullivan registreerde een account om de nieuwe Amazon Cloud Player te proberen. Tot zijn grote verbazing kon hij gewoon het wachtwoord '123456' instellen. "Amazons wachtwoordbeleid schiet ernstig tekort", zo merkt de virusbestrijder op.

Wie een Amazon-account wil hacken om vervolgens producten naar een ander adres te sturen moet het gehele creditcardnummer en verschillende andere details weten. "Maar nu zit het product in de cloud! Het verzenden is niet meer nodig. Gigabytes aan online opslag verbonden met een creditcard zijn een zeer aantrekkelijk doelwit voor hackers."

Een ander probleem met Amazons wachtwoordbeleid is dat gebruikers eindeloos kunnen inloggen, waardoor de dienst gevoelig voor brute-force aanvallen is. Sullivan is niet van plan de dienst veel te gebruiken totdat er een betere bescherming voor gebruikers komt.

Zero-day lekken in Chrome, Safari en BlackBerry

NASA servers zo lek als een mandje

Reacties (15)

30-03-2011, 12:36 door Anoniem

of de wachtwoord 'qwerty'

30-03-2011, 13:37 door [Account Verwijderd]

[Verwijderd]

30-03-2011, 13:39 door Anoniem

Door Anoniem: of de wachtwoord 'qwerty'

Dit heeft allemaal niet zoveel zin. De criteria voor een sterk wachtwoord zijn toch gewoon in een formule te vangen.

30-03-2011, 13:49 door Anoniem

Door LwMw: Schrijf al je wachtwoorden op een blaadje, berg het goed op en er zal niets mee gebeuren.

Dat is heel vaut, tenzij je dit blaadje in een kluis opbergt die in een muur gemetseld is.
Gebruik dan liever een versleuteling van een wachtwoordenbestandje of gebruik een programma als KeePass.

30-03-2011, 14:20 door Anoniem

Ik adviseer altijd een wachtzin te gebruiken.

voorbeeld wachtzin: hiermee log ik in bij Amazon
is 28 karakters lang! en is makkelijk te onthouden.

Eventueel nog te versterken met bekende technieken.

30-03-2011, 14:21 door root

stelling: als je zelf zo stom bent om een onveilig wachtwoord te kiezen, dan heb je bij misbruik ook geen poot om op te staan.

hmm, das misschien wel een leuk voor arnoudje.

30-03-2011, 14:48 door Skizmo

Weer een schijtartikel van f-secure. WTF is dit voor shit... is security.nl gesponsord ofzo ?

30-03-2011, 15:11 door _Peterr

Door LwMw: Schrijf al je wachtwoorden op een blaadje, berg het goed op en er zal niets mee gebeuren.

Vind ik eigenlijk best een goed plan. Dan kun je een lang en zeer moeilijk (gegenereerd met 21 karakters) wachtwoord gebruiken die je dan OFFLINE bewaart. Hiermee heb je dus een niet te raden wachtwoord. Hoeft niet perse in een kluis want de kans dat ze je wachtwoordpapiertje vinden is niet groot en kraken is onmogelijk.

30-03-2011, 16:16 door [Account Verwijderd]

[Verwijderd]

30-03-2011, 17:10 door Syzygy

neem je toch 234567

dat raadt nooit iemand ;-)

30-03-2011, 19:25 door Anoniem

neem je toch 234567

dat raadt nooit iemand ;-)

Dat zou wel kunnen werken bij bijvoorbeeld hotmail al is het dan nog niet aan te raden,
Maar zo als al in het bericht staat:

Een ander probleem met Amazons wachtwoordbeleid is dat gebruikers eindeloos kunnen inloggen, waardoor de dienst gevoelig voor brute-force aanvallen is

30-03-2011, 22:06 door Anoniem

Het is altijd dit v.s. gebruikersvriendelijkheid. Hoeveel sites zijn er wel niet waar je verplicht een getal in je wachtwoord moet hebben. En laat dat nou ook vaak de sites zijn waar @#$%^&*( of een unicode karakter verboden is. Nou, daar zit je dan weer de eerste keer dat je moet inloggen, wat was het daar nou ook al weer...

Mijn tip: laat mensen gewoon alle mogelijke varianten zelf verzinnen, maar schrijf er in klare tekst bij hoe je een goed wachtwoord maakt. Als zij 123456 willen kiezen, hun probleem. Met goede helptekst en een 3 inlogpogingen en afsluiten+mailen heb je dan je werk toch wel gedaan.

30-03-2011, 23:29 door Anoniem

Door _Peterr:

Door LwMw: Schrijf al je wachtwoorden op een blaadje, berg het goed op en er zal niets mee gebeuren.

dan is dit ook wel handig: http://www.passwordcard.org/nl

31-03-2011, 10:02 door Anoniem

Ik heb liever dat websites alle tekens accepteren.
Je hebt van die websites die 'bepalen' dat je geen speciale tekens mag gebruiken en nog leuker :D HET MAG GOD HIER EN ME DAAR MAAR 12 TEKENS ZIJN !!!!! Wordt het soms in plain tekst opgeslagen of zo?

31-03-2011, 16:58 door Mazzaroth

http://lastpass.com/ the last password you'll ever need ;)

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer