Achtergrond

Security Tip van de Week: kies overal een ander wachtwoord

maandag 11 februari 2013, 11:48 door Martijn Grooten, 20 reacties

In de Security Tip van de week geeft elke week een andere professional, expert, onderzoeker of lezer een security tip. Persoonlijke tips, variërend van het veilig configureren van Windows, een handige security tool of het juist instellen van een firewall, waarmee de tipgever zijn systeem, applicatie of netwerk veiliger maakt.

Heb jij ook een leuke, originele, maar bovenal goede security tip die niet mag ontbreken, stuur dan een mail naar redactie@security.nl.

Deze week de tip van Martijn Grooten

Het kiezen van een veilig wachtwoord
Het voordeel van het kiezen van een veilig wachtwoord is dat het een eenvoudig uit te leggen en in principe ook eenvoudig op te volgen advies is. En het helpt ook nog: zo'n wachtwoord voorkomt écht dat zelfs de meest geavanceerde krakingsalgoritmen er millennia over doen alvorens ze je wachtwoord kraken.

Maar als je écht wilt voorkomen dat je wachtwoord bekend wordt, zul je ook moeten zorgen dat de dienst die je gebruikt de wachtwoorden niet in platte tekst opslaat, noch op een manier die indirect gekraakt kan worden. Je moet er ook voor zorgen dat de dienst geen cross-site scripting lekken heeft, waardoor anderen je account kunnen overnemen en wellicht je wachtwoord kunnen wijzigen.

De computers waar vanaf je het wachtwoord intypt moeten geen keyloggers geïnstalleerd hebben en evenmin andere malware die je wachtwoord kan achterhalen. En het protocol waarover je het wachtwoord verstuurt moet geen lekken bevatten die het voor anderen mogelijk maken om de verbinding en daarmee je wachtwoord te kraken.

Geen van dit alles heb je zelf in de hand. (Het spreekt voor zich dat lezers van deze site diensten en computers vermijden waarvan zulke lekken bekend zijn.)

Ooit wordt het bekend
Het is daarom goed bij het kiezen van een wachtwoord te bedenken dat het ooit aan derden bekend wordt, ongeacht hoe moeilijk je het kraken van een wachtwoord ook maakt. Dat is iets waar je je dus bewust van moet zijn tijdens de keuze van het wachtwoord.

Idealiter kies je daarom een dienst die twee-factor authenticatie aanbiedt, in elk geval voor alle accounts die écht belangrijk zijn. Wie op elke slak zout legt zal er graag op wijzen dat twee-factor authenticatie niet zonder problemen is, maar voor de meeste mensen is het veilig genoeg. Mits je je realiseert dat het sturen van een sms naar de telefoon vanwaar je ook het wachtwoord intypt géén twee-factor authenticatie is.

De meeste diensten bieden het echter niet aan en in veel gevallen is dat begrijpelijk: voor het forum van de plaatselijke visvereniging is het teveel gedoe, te duur en de extra veiligheid niet waard. Voor een e-mailaccount dat je alleen gebruikt om nieuwsbrieven op te ontvangen is het waarschijnlijk evenmin nodig.

Maar wat je wel altijd kunt, en daarom moet, doen is het kiezen van verschillende wachtwoorden. Eentje voor elk account, hoe veel het er ook zijn. Voor de tientallen niet zo belangrijke accounts zijn kleine variaties (voeg de initialen van de site of een jaartal toe) geen probleem, zolang je er maar voor zorgt dat de krakers van het ene account niet automatisch in alle andere accounts kunnen inloggen - met alle gevolgen van dien.

Wat dat betreft is het met accounts net als met banken: als er eentje instort is dat buitengewoon vervelend. Maar als ze zo met elkaar verbonden zijn dat ze automatisch allemaal omvallen is het pas écht een ramp.

Martijn Grooten test spam-filters en web-filters voor Virus Bulletin, waarvoor hij ook over diverse andere beveiligingsonderwerpen schrijft.

Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.

Juridische vraag: hoe streng is de privacywet?

Juridische vraag: mag een app voorwaarden veranderen?

Reacties (20)

11-02-2013, 13:12 door Anoniem

In een ideale wereld raadt je ook je gebruikers aan om een password manager te gebruiken zoals Keepass.

Daarnaast kunnen mensen op deze twee sites checken hoe secuur hun wachtwoord echt is.

http://www.passwordmeter.com/

http://howsecureismypassword.net/

11-02-2013, 13:20 door Anoniem

Tip: gebruik een goede password manager zoals lastpass, onepass, of keepass. dat maakt het een stuk makkelijker om overal lange random unieke passwords te gebruiken

11-02-2013, 13:40 door RuudU

En dit is nu precies mijn grootste ergernis! Excuseer mijn keiharde kritiek, maar ik vraag te stoppen met dit soort academische bollebozeritis! Want tegen wie predik je deze waarheid als een koe?

Mensen, stop met dit soort adviezen en ga de vrij gekomen hersencapaciteit gebruiken om iets te bedenken dat werkt. Internet is niet alleen het domein van de academisch geschoolden, maar bovenal het domein van iedereen.

Is dit advies bedoeld voor mijn oma van 80, voor de dokter in Ittervoort, de groenteboer in Varsseveld en ieder ander digibeet voor wie internet is bedoeld. Voor iedereen die zich kapot ergert aan al die wachtwoorden. Ik heb ze even geteld, ik heb er momenteel 153.

Wanneer gaan we Internet veilig maken voor de gewone mensen! Donder eens alles aan kant waar jullie mee bezig zijn en ga iets ontwikkelen dat werkt. Daadwerkelijk functioneert in de praktijk. Software als Keepass? Dat is niet uit te leggen aan een gewone sterveling want de makers van dat progje stoppen het vol met vele mogelijkheden die de intelligentie van de makers demonstreren, maar waar een gewone digibeet geen bal van snapt.

Als we op de huidige voet doorgaan wordt het nooit iets.

11-02-2013, 13:51 door Anoniem

Ik ben het 100% eens met RuudU.
Het is een probleem wat de internet diensten zelf gecreeerd hebben, en ze moeten het ook zelf oplossen, niet op de gebruiker afschuiven.

11-02-2013, 14:21 door Anoniem

@ruudU ik deel je mening helemaal laten we met ons allen iets ontwikkelen waar bij je deze tip niet nodig hebt. Het is onmogelijk om overal een ander wachtwoord te kiezen, ook voor de slimmeriken is dit onmogelijk!

11-02-2013, 14:38 door Anoniem

Sterke wachtwoorden zijn toch al achterhaald? Wachtwoorden zijn sowieso niet gebruiksvriendelijk en dat is ook meteen de reden waarom het meerendeel overal hetzelfde wachtwoord gebruiken. wat betreft sluit ik volledig aan bij het betoog van RuudU. IT'ers snappen geen hol van hoe gebruikers denken en blijven sterke wachtwoorden afdwingen terwijl de gewone gebruiker dat niet wil en dus gewoon een cijfer of een extra letter gaat gebruiken. Lekker sterk wachtwoord en veilig, NOT.
Wat heeft een sterk wachtwoord nog voor nut als gebruikers hun wachtwoord ophogen met slechts een cijfer? Geen enkel nut dus. IT beveiligers adviseren vaak ook oplossingen, die voor hen mogelijk wel goed werken, maar de gemiddelde gebruiker snapt er geen zier van en gebruikt vervolgens gewoon een simpel te onthouden wachtwoord.

Sterke wachtwoorden afdwingen is dus net als water naar de zee dragen, een kansloze missie. Maar wat is een gebruikersvriendelijk en ook efficient alternatief? Overal je mobiele nummer achterlaten, voor een autorisatietoken via SMS, lijkt me niet nuttig, althans ik ga echt niet bij iedere website, met een login, mijn mobiele nummer verstrekken. Zullen Google en Facebook wel prachtig vinden, voor zover ze het nummer al niet hebben.
In feite zou de sterkte van een wachtwoord niet meer bepalend mogen zijn voor de beveiliging van de te ontsluiten functionaliteit of gegevens. Er zou nog 'iets anders' moeten volgen op 'iets wat je weet' en mogelijke nog een derde 'iets anders'. Nadeel van meerfactor authenticatie is dat het veelal direct privacy gevoelig kan worden, want hou maar 'iets wat je bent' of 'iets wat je hebt' anoniem of geheim/privé. Inloggen, naast een al dan niet sterk wachtwoord, met een OpenID zou een optie kunnen zijn. Indien er dan nog een derde factor volgt met iets dat alleen de gebruiker kan weten dan zou het al een stukje veilger zijn. Helemaal veilig krijg je het sowieso nooit, dus die illusie moet je niet eens willen nastreven.
Kortom, het moet anders alleen hoe dat in de praktijk uit zal pakken? Ik zou het zo 1 2 3 niet weten.

11-02-2013, 15:49 door Preddie

Ik ben het groot en deels eens met RuuDU en vraag me ter gelijker tijd af naar welk niveau we hier gaan...... vandaag een artikel over dat je verschillende wachtwoorden voor verschillende diensten moet gebruiken, morgen een artikel over hoe je veilig de PC aanzet...... kom op jongens ... whats next?

11-02-2013, 16:19 door Anoniem

Door Predjuh: Ik ben het groot en deels eens met RuuDU en vraag me ter gelijker tijd af naar welk niveau we hier gaan......

Die "gele" artikelen op security.nl bevatten wel vaker adviezen waar je het nodige op kunt aanmerken, maar dat is geloof ik ook het doel en uitgangspunt van deze serie.

Ik denk dat een zinvolle discussie zou kunnen zijn "hoe gaan we het probleem 'wachtwoorden' oplossen".
En dan een oplossing die voor iedereen inzetbaar is, dus niet zo'n nerd oplossing als 'keepass' oid.
Daar kun je best wat mee, maar je kunt niet serieus aannemen dat iedereen dat gaat gebruiken, en dan nog op alle devices waar ze mee werken.

11-02-2013, 18:39 door Anoniem

Door Anoniem: In een ideale wereld raadt je ook je gebruikers aan om een password manager te gebruiken zoals Keepass.

Daarnaast kunnen mensen op deze twee sites checken hoe secuur hun wachtwoord echt is.

http://www.passwordmeter.com/

http://howsecureismypassword.net/

Holy cow. Bedoel je (en deze sites) dit serieus ?

Mag ik ook een feed van IPs en gebruikte wachtwoorden door die IPs om mijn dictionaries en rainbowtables mee aan te vullen ?

Het enige wat nog leuker is, is een password-bewaar applicatie 'in the cloud' .

11-02-2013, 22:11 door Anoniem

N.a.v. Keepass, digitale kluizen e.d.: daar gaan de hackers zich dan toch op richten, dan heb je toch in één klap alle wachtwoorden?
Oplossing zal door de dienstenaanbieders zelf moeten worden geboden, (a) geen onveilige informatie aanbieden (zoals al die lekke bedrijvenportals, (b) of superveilig eigen wachtwoordensysteem.

11-02-2013, 22:22 door Anoniem

Keepass is handig.
Als je het wachtwoord van Keepass weet te bemachtigen dan heb je in één keer alle andere wachtwoorden met bijbehorende sites.

11-02-2013, 22:35 door MartijnGrooten

Dank voor de vele reacties. Ik ben het er mee eens dat wachtwoorden niet ideaal zijn en dat we misschien naar iets anders moeten zoeken. Maar om eerlijk te zijn zou ik niet weten wat.

Ik ben het er ook mee eens dat het voor, zeg, mijn moeder niet een heel nuttig advies is. Maar goed, mijn moeder leest deze site niet. Wat ik vooral wilde is wat tegenwicht brengen tegen de vele goedbedoelde tips over hoe een veilig wachtwoord te kiezen. Nuttig als die tips mogen zijn, tegen de meeste 'aanvallen' helpen ze niet.

11-02-2013, 23:07 door _____

Ik ben het deels eens met RuudU maar je mag van internetters in het algemeen wel verwachten dat men enkele privacy en veiligheid gerelateerde zaken op orde heeft. Wanneer ik van gebruikers hoor dat "men" geen tijd en/of zin heeft er enige moeite voor te doen dan dragen ze bij aan een onveilig internet. Probeer bijvoorbeeld eens goed uitleg te geven als iemand weer eens roept "ik heb toch niets te verbergen". Kort geleden werd er iemand kwaad op mij toen ik vertelde dat de gedownloadde virusscanner wel even moest worden ingesteld voor een juist gebruik. "Ja hallo, ik mag toch verwachten dat ik de scanner gelijk kan gebruiken".

Een persoon welke gebruik wil/moet maken van internet kan niet meer met het excuus aankomen van "dat wist ik niet".
Je mag verwachten dat men bewust een firewall en antivirus gebruikt, dat is wel het minste. Kan met dit niet zelf dan vraag je ergens hulp

12-02-2013, 09:11 door Dick99999

@ Gisteren,14:38 Anoniem
Ik zou zeggen, voed gebruikers op en geef ze een veilige , makkelijke, x-platform wachtwoordkluis zoals Gisteren,13:20 Anoniem al aangaf. Het alternatief is slechte wachtwoorden, dat wil je toch niet als bedrijf? Mijn ervaring is dat gebruikers de voordelen van een kluis snel inzien en als zeer waardevol ervaren. Eindelijk af van het 1,2,3 schema of papiertjes.

Wat veel mensen vergeten bij 2 factor authenticatie, is dat als bijvoorbeeld de database met authenticatie gegevens gestolen wordt, de 2-de factor niet meer helpt. Alleen je wachtwoord moet dan nog gekraakt worden, en als dat sterk is lukt dat niet.

Sterke wachtwoorden zijn gewoon noodzakelijk en niet achterhaald volgens mij. Althans als we over de praktijk van vandaag praten, dan heeft iedereen wachtwoorden nodig.

12-02-2013, 16:59 door Anoniem

Door Anoniem:

Het idee is om op een laagdrempelige manier gebruikers te leren om sterke wachtwoorden te kiezen en te werken met een password manager.

Daarvoor zijn deze sites geschikt

Wat jij zelf had kunnen verzinnen als je verder kijkt dan je neus lang is.

Denken voordat men spreekt niet spreken voordat men denkt

12-02-2013, 22:30 door Erik van Straten

Door Anoniem: Keepass is handig. Als je het wachtwoord van Keepass weet te bemachtigen dan heb je in één keer alle andere wachtwoorden met bijbehorende sites.

Klopt. En als je het master password vergeet, of de database uitsluitend op een USB stick heb staan die je verliest of die stuk gaat, ben je in 1x alles kwijt.

Het is een risico-afweging. Ik ben het helemaal eens met Martijn Grooten dat het belangrijk is om overal een ander wachtwoord te hebben, zodat als een website gecompromitteerd raakt en ze niet blijken te salten, de aanvaller niet ook bij al mijn andere accounts kan. Wachtwoorden moeten ook lang genoeg zijn dat brute-forcen onrealistisch is, dus minstens 12 tekens en niet voorkomend in de bekende woordenboeken. Ik kan echter onmogelijk alle wachtwoorden onthouden, en dat geldt met name voor wachtwoorden die ik maar heel af en toe gebruik.

Het risico dat een server met mijn wachtwoordgegevens gecompromitteerd raakt heb ik niet in de hand. Wel ben ik verantwoordelijk voor de beveiliging van de PC's waarop ik KeePass gebruik. Ik houd er echter wel degelijk rekening mee dat mijn account een keer gecompromitteerd raakt. Maar door niet als admin te internetten, relevante software zo goed mogelijk up-to-date te houden en/of uit te schakelen (met name plugins in webbrowsers) denk ik dat ik dat het risico van het lekken van mijn KeePass master password veel kleiner is dan dat er een keer een websitewachtwoord van mij vanaf een server gejat wordt en/of vanaf een LAN/WiFi wordt gesniffed en zo op pastebin verschijnt.

12-02-2013, 23:02 door Dick99999

Door Erik van Straten:

Door Anoniem: Keepass is handig. Als je het wachtwoord van Keepass weet te bemachtigen dan heb je in één keer alle andere wachtwoorden met bijbehorende sites.

Klopt. En als je het master password vergeet, of de database uitsluitend op een USB stick heb staan die je verliest of die stuk gaat, ben je in 1x alles kwijt. [...................]

Ja, maar er is heel makkelijk iets aan te doen. De USB stick kan op een beveiligde backup staan, dan ben je bijna niets kwijt. (In mijn geval staan de wachtwoorden in the cloud, kan ik niet verliezen)

En wat betreft het eerste: Voor echt belangrijke wachtwoorden gebruik ik een lang willekeurig wachtwoord per site, aangevuld met of voorafgegaan door een zelfde, vast 2-de deel. Dus als de cloud-DB gecompromitteerd wordt, en mijn sterke kluis sleutel zou geraden worden (kans 1:10^30 of zo) kent de inbreker nog steeds het 2-de deel niet.

Ik moet dus 2 sterke wachtwoorden onthouden: die voor de kluis en die voor het vaste achter- of voorvoegsel. Als ik het risico afweeg weet ik het wel. Het alternatief is zo'n honderdtal 'makkelijke' wachtwoorden onthouden. Overigens meestal in een niet beveiligde tekst file of spreadsheet. (wie kan 100 willekeurige wachtwoorden onthouden als die 8-20 tekens lang zijn?)

12-02-2013, 23:34 door Anoniem

Beste tip aller tijden is en blijft: zo min mogelijk internet gebruiken.

13-02-2013, 11:23 door potshot

een echte sherlock hoor..duh!
zou ik zeggen..

21-02-2013, 10:39 door eclipse

het is onmogelijk om tegenwoordig veel verschillende wachtwoorden te hebben, op een gegeven moment loop je erop vast,
zeker wanneer je van provider verandert, dan kom je in een onmogelijke situatie om wachtwoorden op te halen daar deze4 dan naar een niet meer bestaand adres worden verstuurd....
optie is wel om zoals ik doe last pass te gebruiken die maakt zelf een wachtwoord., versleuteld deze en wordt opgeslagen...
vervelende is dat je zelf je eigen wachtwoord dan niet weet...uiteraard accepteerd hij ook je eigen wachtwoorden.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer