Nieuws
image

Europa wil alleen veilig opgeslagen wachtwoorden

dinsdag 31 juli 2012, 10:42 door Redactie, 6 reacties

Websites moeten wachtwoorden alleen gesalt en gehasht opslaan, daarvoor pleit het Het Europees agentschap voor netwerk- en informatiebeveiliging (ENISA). Recentelijk zijn er tientallen miljoenen gegevens van gehackte websites op straat beland, zoals LinkedIn, Nvidia, Billabong, Yahoo!, Formspring en Android Forums. In een aantal gevallen waren wachtwoorden niet gehasht en gesalt, in andere gevallen werd er alleen een hash gebruikt.

Volgens ENISA moeten providers en websites wachtwoorden alleen op een veilige manier bewaren. Het gaat dan om sterke hashing algoritmes, waarbij elk gehasht wachtwoord ook gesalt wordt. Niet alleen moeten hashes aanvallen kunnen weerstaan, ze moeten in een veilige omgeving worden opgeslagen. Het is voor websites dan ook belangrijk dat ze niet kwetsbaar voor SQL Injection zijn, zo laat ENISA weten.

Eindgebruiker
Verder is er ook een rol voor de eindgebruiker weggelegd. Die moet volgens het agentschap niet overal hetzelfde wachtwoord gebruiken, een sterk wachtwoord kiezen, een wachtwoordmanager gebruiken, regelmatig wachtwoorden wijzigen en als er twee-factor authenticatie wordt aangeboden dit gebruiken. Daarbij wordt er zelfs naar de bekende XKCD tekening over passphrases verwezen.

Wat betreft het regelmatig wijzigen van wachtwoorden is dit volgens beveiligingsgoeroe Bruce Schneier zeker voor consumenten onzin. Zodra een aanvaller een wachtwoord steelt zal hij dit bij eindgebruikers in de meeste gevallen meteen misbruiken en zal de gebruiker dit ontdekken.

Reacties (6)
31-07-2012, 10:55 door Anoniem
De wachtwoorden van Nvidia waren gehashed en gesalt hoor....
31-07-2012, 11:54 door Anoniem
Door Anoniem: De wachtwoorden van Nvidia waren gehashed en gesalt hoor....

".. In een aantal gevallen .."
31-07-2012, 13:45 door Anoniem
Die XKCD-comic is ook pure onzin, want met een hybrid dictionary attack kraak je dat zogenaamd 'veilige' wachtwoord zo. Dat ze hiernaar verwijzen geeft me ook niet veel vertrouwen...
31-07-2012, 16:32 door quikfit
Ze willen ook een sterke €uro....pfff
31-07-2012, 16:59 door Nerd
Nu er nog in gestampt krijgen dat ALS ze dan een hashed + salted db hebben veroverd, dat dan STANDAARD het algoritme van de SALTING word veranderd, en een MANDATORY password change voor alle gebruikers...

Er word hier een hoop geouwehoerd over beveiliging, maar doordenken ho maar.
01-08-2012, 17:15 door Nerd
Door Anoniem: Die XKCD-comic is ook pure onzin, want met een hybrid dictionary attack kraak je dat zogenaamd 'veilige' wachtwoord zo. Dat ze hiernaar verwijzen geeft me ook niet veel vertrouwen...

niet helemaal onzin. Als je een mooie zin er neerzet, dan word het al snel onmogelijk. Zie bv de voorgaande zin, dat is niet snel te solven, zeer zeker niet als je daarnaast even bedenkt: 30.000 woorden in het woordenboek, waar de meeste mensen zo'n 10.000 woorden in hun woordenschat hebben. Die zin is 13 woorden, 2 leestekens en 1 hoofdletter. De mogelijheden zijn behoorlijk in de papieren. het voorbeeld daar in de strip is vanwege grootte van de text klein, maar je hoeft alleen maar een langere zin te gebruiken voor een grotere bescherming. Nu moet de site/OS well van je verlangen dat het exact dat password is, want anders kunnen ze eenvoudig dehashen naar een password. Eenvoudigste manier is gewoon door 2 verschillende hash-systemen te gebruiken, waarbij dan ook 2 verschillende salts erop zitten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure