Heel irritant inderdaad... Om veiligheidsredenen is het beter om een lang wachtwoord te kiezen, en door al dat wijzigen en de complexiteitseisen is onthouden van een wachtwoord sowieso al niet meer te doen: alles staat toch al in een tool of spreadsheet dus.
Zodra je een wachtwoord met hoofd & kleine letters en nog wat cijfers moet typen denk je wel twee keer na om dan de langste optie te kiezen - dan vindt men 8 tekens wel voldoende terwijl 16 veel veiliger zou zijn.
Overigens nog irritanter is het moeten intypen van je Wifi wachtwoord via een remote-control achtige oplossing bijvoorbeeld bij een Apple TV of een Wii. En er dan later achter komen dat 't niet goed is ;)

En hoe makkelijk is dit te omzeilen met Firefox. Rechts-klik op het wachtwoordveld -> Inspect element, de 'onpaste="return false" verwijderen en plakken maar!

Zelf gebruik ik ook een password manager, maar het gebruik van het clipboard (klembord) voor wachtwoorden vormt wel degelijk een beveiligingsrisico. Immers, elk draaiend programma kan bij het clipboard en het kan (meestal afhankelijk van instellingen) gedeeld worden met remote- en virtuele machines. De inhoud kan wellicht ook in swapfiles terechtkomen.

Makers van password managers zijn zich hiervan bewust (zie bijv. http://keepass.info/help/v2/autotype_obfuscation.html) maar goede oplossingen ken ik niet.

Wellicht hebben we een gestandaardiseerde "secure channel API" nodig tussen webbrowsers en password managers?

Password managers als Keepass hebben ook een "perform autotype" functie waardoor de applicaties zullen denken dat de invoer van het toetsenbord komt, echter vermoed ik wel dat deze invoer door keyloggers opgepikt zal worden, wat ook weer een beveiligingsrisico vormt.

Uit de afbeelding met de tweet van British Gas:
Huh? Het blokkeren van plakken gebeurt via JavaScript (zie Anoniem 15:49) in de webbrowser van de bezoeker. Alsof een aanvaller daardoor gehinderd wordt, die gebruikt vermoedelijk voor een brute force-aanval geen webbrowser maar een HTTP(S)-library die in zijn favoriete programmeertaal (of die van de maker van de software die hij gebruikt) beschikbaar is. Om dat tegen te houden moet je op de server dingen regelen, niet in de browser van de bezoeker. Ik hoop voor British Gas dat alleen degene die die vraag beantwoordde uit zijn nek kletst. Het zou kwalijk zijn als hun eigen ontwikkelaars en hun certificeerder denken dat client-side JavaScript ze waar dan ook tegen kan beschermen.

probeer dat eens in skype of niet-brouwser.

Hier een rijtje oplossingen voor diverse browsers: http://the-hug.org/opus2197.html . Mogelijk is dit nog beter: http://chrisbailey.blogs.ilrt.org/2013/01/03/re-enabling-password-pasting-on-annoying-web-forms-v2/

Het feit dat het "clipboard" niet beveiligd is komt hier niet ter sprake. Over het hoofd gezien misschien?

Die hebben zeker nog nooit gehoord van het correct gebruikmaken van captcha's...

Voor alle clipboard fans, als je malware op je systeem hebt die het clipboard kan lezen, kan het ook je toetsaanslagen opslaan. Zegt Hunt ook trouwens.

&
Sorry Erik, maar dan moet je het artikel http://www.troyhunt.com/2014/05/the-cobra-effect-that-is-disabling.html beter lezen:

Troy Hunt kijkt vooral naar de dreiging van gelekte persoonsgegevens door gehackte websites, waarbij die gegevens vaak gebruikt kunnen worden om andere accounts aan te vallen omdat de inlog+wachtwoord op meer plaatsten gebruikt worden, een stukje damage-control dus.

Ook stelt hij dat malware toetsaanslagen, het clipboard en invulvelden van de browser kan onderscheppen, en terecht mijns inziens, ik zie ook een grotere dreiging in slechte systeembeheerders die (oncontroleerbaar) gegevens van mij beheren dan dat ik bang ben voor malware of MitM.

Een beveiligde API is een leuk idee, maar wordt binnen de kortste keren ook een doelwit voor malware, buiten het feit dat het héél moeilijk wordt om zoiets cross-platform (mobile!) én geschikt voor alle browsers te maken zonder dat er ingeboet wordt op veiligheid. Neem als voorbeeld de meeste AV-pakketten icm een gemiddelde boot-/rootkit, de malware schakelt zelfstandig de (beschermde modules van een) AV uit en voorkomt ook nog eens dat er andere scanners/tools uitgevoerd of zelfs gedownload kunnen worden, en zelfs bepaalde zoekopdrachten blokkeert of re-direct. Voor jou en mij geen onoverkomelijk probleem natuurlijk, voor de meeste eindgebruikers is het wel degelijk een hindernis om iets zelfstandig op te kunnen lossen.

Ook 2-factor authentication is geen eindoplossing, als de website die dat systeem gebruikt gehackt wordt liggen er nóg meer (privacy-gevoelige) gegevens op straat, en aangezien social engeneering een grote vector is, lijkt me dat ook geen goede oplossing. Vertrouwen is gesalte DB's e.d. is niet meer dan dat -vertrouwen- en daar kan ik mbt security niets mee.

Uiteindelijk denk ik dat het vooral neerkomt op een breed gedragen bewustzijn, maar ook daar zal Darwin altijd het verschil blijven maken. Ik denk dan ook dat het het beste is dat iedereen minimaal één keer goed plat op z'n snufferd gaat....

Hoe ben jij geïnteresseerd geraakt in de business? En waar heb je het meest van geleerd? Ik van m'n eigen fouten in ieder geval!

ALs je je wachtwoord niet twee keer direct na elkaar in kan tikken, kun je het de volgende keer dan wel weer intikken? Of schrijf je het op een briefje?

Ik vind dat tweemaal intikken ook wel irritant maar vooral omdat ik dan merk dat ik niet precies weet welke combinatie ik ook weer had gekozen. Dat is dus een nuttige les.