image

"Website moet wachtwoord 123456 verbieden"

woensdag 30 maart 2011, 10:41 door Redactie, 15 reacties

Websites die belangrijke gegevens herbergen moeten het gebruik van wachtwoorden zoals '123456' niet toestaan. Dat zegt Sean Sullivan van het Finse F-Secure. Sullivan registreerde een account om de nieuwe Amazon Cloud Player te proberen. Tot zijn grote verbazing kon hij gewoon het wachtwoord '123456' instellen. "Amazons wachtwoordbeleid schiet ernstig tekort", zo merkt de virusbestrijder op.

Wie een Amazon-account wil hacken om vervolgens producten naar een ander adres te sturen moet het gehele creditcardnummer en verschillende andere details weten. "Maar nu zit het product in de cloud! Het verzenden is niet meer nodig. Gigabytes aan online opslag verbonden met een creditcard zijn een zeer aantrekkelijk doelwit voor hackers."

Een ander probleem met Amazons wachtwoordbeleid is dat gebruikers eindeloos kunnen inloggen, waardoor de dienst gevoelig voor brute-force aanvallen is. Sullivan is niet van plan de dienst veel te gebruiken totdat er een betere bescherming voor gebruikers komt.

Reacties (15)
30-03-2011, 12:36 door Anoniem
of de wachtwoord 'qwerty'
30-03-2011, 13:37 door [Account Verwijderd]
[Verwijderd]
30-03-2011, 13:39 door Anoniem
Door Anoniem: of de wachtwoord 'qwerty'
Dit heeft allemaal niet zoveel zin. De criteria voor een sterk wachtwoord zijn toch gewoon in een formule te vangen.
30-03-2011, 13:49 door Anoniem
Door LwMw: Schrijf al je wachtwoorden op een blaadje, berg het goed op en er zal niets mee gebeuren.

Dat is heel vaut, tenzij je dit blaadje in een kluis opbergt die in een muur gemetseld is.
Gebruik dan liever een versleuteling van een wachtwoordenbestandje of gebruik een programma als KeePass.
30-03-2011, 14:20 door Anoniem
Ik adviseer altijd een wachtzin te gebruiken.

voorbeeld wachtzin: hiermee log ik in bij Amazon
is 28 karakters lang! en is makkelijk te onthouden.

Eventueel nog te versterken met bekende technieken.
30-03-2011, 14:21 door root
stelling: als je zelf zo stom bent om een onveilig wachtwoord te kiezen, dan heb je bij misbruik ook geen poot om op te staan.

hmm, das misschien wel een leuk voor arnoudje.
30-03-2011, 14:48 door Skizmo
Weer een schijtartikel van f-secure. WTF is dit voor shit... is security.nl gesponsord ofzo ?
30-03-2011, 15:11 door _Peterr
Door LwMw: Schrijf al je wachtwoorden op een blaadje, berg het goed op en er zal niets mee gebeuren.

Vind ik eigenlijk best een goed plan. Dan kun je een lang en zeer moeilijk (gegenereerd met 21 karakters) wachtwoord gebruiken die je dan OFFLINE bewaart. Hiermee heb je dus een niet te raden wachtwoord. Hoeft niet perse in een kluis want de kans dat ze je wachtwoordpapiertje vinden is niet groot en kraken is onmogelijk.
30-03-2011, 16:16 door [Account Verwijderd]
[Verwijderd]
30-03-2011, 17:10 door Syzygy
neem je toch 234567

dat raadt nooit iemand ;-)
30-03-2011, 19:25 door Anoniem
neem je toch 234567

dat raadt nooit iemand ;-)

Dat zou wel kunnen werken bij bijvoorbeeld hotmail al is het dan nog niet aan te raden,
Maar zo als al in het bericht staat:
Een ander probleem met Amazons wachtwoordbeleid is dat gebruikers eindeloos kunnen inloggen, waardoor de dienst gevoelig voor brute-force aanvallen is
30-03-2011, 22:06 door Anoniem
Het is altijd dit v.s. gebruikersvriendelijkheid. Hoeveel sites zijn er wel niet waar je verplicht een getal in je wachtwoord moet hebben. En laat dat nou ook vaak de sites zijn waar @#$%^&*( of een unicode karakter verboden is. Nou, daar zit je dan weer de eerste keer dat je moet inloggen, wat was het daar nou ook al weer...

Mijn tip: laat mensen gewoon alle mogelijke varianten zelf verzinnen, maar schrijf er in klare tekst bij hoe je een goed wachtwoord maakt. Als zij 123456 willen kiezen, hun probleem. Met goede helptekst en een 3 inlogpogingen en afsluiten+mailen heb je dan je werk toch wel gedaan.
30-03-2011, 23:29 door Anoniem
Door _Peterr:
Door LwMw: Schrijf al je wachtwoorden op een blaadje, berg het goed op en er zal niets mee gebeuren.

Vind ik eigenlijk best een goed plan. Dan kun je een lang en zeer moeilijk (gegenereerd met 21 karakters) wachtwoord gebruiken die je dan OFFLINE bewaart. Hiermee heb je dus een niet te raden wachtwoord. Hoeft niet perse in een kluis want de kans dat ze je wachtwoordpapiertje vinden is niet groot en kraken is onmogelijk.

dan is dit ook wel handig: http://www.passwordcard.org/nl
31-03-2011, 10:02 door Anoniem
Ik heb liever dat websites alle tekens accepteren.
Je hebt van die websites die 'bepalen' dat je geen speciale tekens mag gebruiken en nog leuker :D HET MAG GOD HIER EN ME DAAR MAAR 12 TEKENS ZIJN !!!!! Wordt het soms in plain tekst opgeslagen of zo?
31-03-2011, 16:58 door Mazzaroth
http://lastpass.com/ the last password you'll ever need ;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.