Nieuws

'Enkelvoudige wachtwoord verdwijnt in 2013'

donderdag 13 december 2012, 13:10 door Redactie, 13 reacties

Het enkelvoudige wachtwoord zal volgend jaar verdwijnen doordat steeds meer diensten op twee-factor authenticatie overstappen. Dat voorspelt beveiligingsbedrijf Fortinet. "Het beveiligingssysteem met één enkel wachtwoord is passé", zo laat de beveiliger weten. Het kraken van grote hoeveelheden wachtwoord-hashes kan door de moderne rekenkracht nu zo snel, dat er aanvullende beveiliging noodzakelijk is.

Het beveiligingsbedrijf verwacht dat volgend jaar steeds meer bedrijven voor hun werknemers en klanten één of andere vorm van twee-factor authentificatie zullen invoeren. Het gaat dan om bijvoorbeeld een login op het internet waarbij een gebruikerswachtwoord vereist is, plus een tweede wachtwoord of code, die bijvoorbeeld via de mobiele telefoon of authenticator wordt gegenereerd.

En hoewel malware op mobiele telefoons dit soort gegenereerde codes kan onderscheppen en hackers vorig jaar bij beveiligingsbedrijf RSA wisten in te breken, wat twee-factor-oplossingen ontwikkelt, 'is deze vorm van dubbele veiligheid nog altijd de meest doeltreffende methode om activiteiten online te beveiligen', aldus Fortinet.

Japanse politie looft 30.000 euro uit voor aanhouding hacker

Ombudsman onderzoekt preventief fouilleren door politie

Reacties (13)

13-12-2012, 13:48 door Anoniem

Hoeveel jaren wordt dat nu al wel niet voorspeld...

13-12-2012, 13:54 door N4ppy

"Het kraken van grote hoeveelheden wachtwoord-hashes kan door de moderne rekenkracht nu zo snel, dat er aanvullende beveiliging noodzakelijk is."

Volgens mij als je een grote hoeveelheid met hashes hebt om te kraken dan is er wat anders mis dan wl of niet 2 factor?

2 factor heeft waarde omdat een ander niet ergens anders een nieuwe sessie op kan bouwen ook al kijkt hij mee op de bestaande sessie.

13-12-2012, 14:08 door Orion84

Door N4ppy: "Het kraken van grote hoeveelheden wachtwoord-hashes kan door de moderne rekenkracht nu zo snel, dat er aanvullende beveiliging noodzakelijk is."

Volgens mij als je een grote hoeveelheid met hashes hebt om te kraken dan is er wat anders mis dan wl of niet 2 factor?

2 factor heeft waarde omdat een ander niet ergens anders een nieuwe sessie op kan bouwen ook al kijkt hij mee op de bestaande sessie.

2-factor authenticatie beperkt de impact van het lekken van je password database. Immers kan een aanvaller niks met de wachtwoorden na het kraken van de hashes, zonder dat de aanvaller ook controle heeft over de tweede factor (voor de gemiddelde aanvaller een veel lastiger verhaal).

De vraag is dan inderdaad of je niet beter wat aan de kans van het lekken van je password database kan doen (en evt. het hinderen van bruteforcen middels juiste toepassing van salts en tragere hashing constructies). Dat zou voor de gebruikers in elk geval minder impact hebben (geen moeite van 2 dingen invoeren, niet je mobiele nummer aan jan en alleman ter beschikking stellen).

13-12-2012, 14:10 door Anoniem

"2 factor heeft waarde omdat een ander niet ergens anders een nieuwe sessie op kan bouwen ook al kijkt hij mee op de bestaande sessie."

Dat is niet waar, bv bij een ssh man in the middle staat los van de 2factor authenticatie, de authenticatie voor een ssh sessie gebeurd maar 1 keer bij de start van de sessie.

13-12-2012, 14:31 door Anoniem

is het niet veel eenvoudiger om gewoon een beter hashing algoritme te implementeren? Dat kan met enkel wat wijzigingen aan de provider-kant (Facebook, Live.com, etc), in plaats van 2-factor dat ook de gebruiker moet overhalen... Als enkel het lekken van brute-forcen van password hashes het issue is dan moet je het hashing algoritme sterker maken - en niet je probleem voor een deel bij je klanten leggen.

13-12-2012, 14:58 door Anoniem

Dit is weer zo'n opmerking van een beveiliger die geen enkele aandacht voor gebruikers heeft. Totdat er een systeem is dat ook door gebruikers geaccepteerd wordt, en dat is er op dit moment nog niet echt, zal het wachtwoord nog wel even blijven.

In ieder geval nog niet voor websites en dergelijke, want vingerafdruk en irisscan is niet echt hanteerbaar voor webpagina's. En als je het als beveiliger toch 100% veilig wil hebben en niets geeft over gebruikers gemak, trek dan gewoon de netwerkstekker uit de server, de beveiliging gaat dan enorm omhoog.

13-12-2012, 15:00 door Anoniem

De vraag naar je mobiele nummer neemt drastisch toe in 2013 en ach facebook, google etc. heb je het achtergelaten dus wat kan het kwaad.

13-12-2012, 16:04 door Anoniem

hoe lang is het plaintext opslaan van wachtwoorden niet al 'verleden tijd'???

13-12-2012, 17:08 door Anoniem

ohjee, nu moet ik twee wachtwoorden onthouden om mezelf te kunnen laten aanklagen door opstelten en teeven.

13-12-2012, 17:38 door Anoniem

Door Anoniem: De vraag naar je mobiele nummer neemt drastisch toe in 2013 en ach facebook, google etc. heb je het achtergelaten dus wat kan het kwaad.

Mijn nummer is niet bekend bij 1 van de (a) sociale media. zodra een dienst dat wil weten van mij, zoek ik een ander.
Het gaat geen van die verzamelaars iets aan hoe ik nog meer te bereiken ben voor hun reclamecampagnes.

14-12-2012, 00:27 door Anoniem

Door Anoniem: De vraag naar je mobiele nummer neemt drastisch toe in 2013 en ach facebook, google etc. heb je het achtergelaten dus wat kan het kwaad.

Jij gaat ervan uit dat iedereen al op Facebook of Google zit, net als dat de meeste mensen vooral bedrijven ervan uit gaan dat iedereen een pc heeft, en ik ken mensen die dat niet hebben. ik heb trouwens geen van die twee bullsite sites en me tel nr daar heb ik zelfs voor dit soort dingen een 2e voor, zodat ik weet dat als er daarop wordt gebeld het weer zo'n k*t bedrijf is dat weer het en of ander wil, dus praat voortaan voor jezelf asjeblieft.

14-12-2012, 10:37 door _R0N_

Was laatst nog zo'n virus dat het TAN-code systeem wist te omzeilen door zelf de SMSjes af te vangen voor de authenticatie..
Ook deze vorm van authenticatie is dus niet 100% veilig en misschien zou iedereen moeten beginnen niet overal hetzelfde wachtwoord te gebruiken..

14-12-2012, 12:58 door Anoniem

Door _R0N_: Was laatst nog zo'n virus dat het TAN-code systeem wist te omzeilen door zelf de SMSjes af te vangen voor de authenticatie..
Ook deze vorm van authenticatie is dus niet 100% veilig en misschien zou iedereen moeten beginnen niet overal hetzelfde wachtwoord te gebruiken..

Om welk virus gaat dit ?

Zover ik weet heb je nog steeds toegang tot het mobiel nodig om deze hack succesvol uit te voeren.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer