image

Microsoft: onveilige wachtwoorden niet altijd verkeerd

donderdag 17 juli 2014, 11:51 door Redactie, 4 reacties

Het gebruik van onveilige wachtwoorden of het gebruik van één wachtwoord voor meerdere accounts wordt door veel beveiligingsexperts afgeraden, maar onderzoekers van Microsoft laten weten dat dit onder de juiste voorwaarden onderdeel van een goede wachtwoordstrategie hoort te zijn.

Door het toenemend aantal accounts van gebruikers hebben die ook met steeds meer wachtwoorden te maken. Volgens Dinei Florencio en Cormac Herley van Microsoft Research en Paul van Oorschot van de Canadese Carleton University, is het niet meer mogelijk voor gebruikers om al hun wachtwoorden te beheren als ze geen wachtwoorden mogen hergebruiken of zwakke wachtwoorden mogen kiezen.

Passphrases

Als oplossing om toch sterke wachtwoorden te kiezen die eenvoudig zijn te onthouden worden vaak passphrases aangeraden, een wachtwoord dat uit meerdere woorden bestaat. De onderzoekers merken op dat er wel voldoende advies is om gebruikers sterke wachtwoorden te laten kiezen, maar niet hoe ze hun wachtwoorden moeten beheren. Uit het onderzoek komt naar voren dat een combinatie van sterke wachtwoorden voor belangrijke accounts en zwakkere of zelfde wachtwoorden voor minder belangrijke en wegwerpaccounts het beste resultaat biedt.

"Hoewel we stellen dat het hergebruik van wachtwoorden onderdeel van een optimale portfoliostrategie is, is het geen wondermiddel", aldus de onderzoekers. Die keken ook naar het gebruik van wachtwoordmanagers, zowel lokaal als in de cloud. "Als het meesterwachtwoord wordt geraden of op een met malware besmette computer wordt gebruikt, of de cloudopslag wordt gecompromitteerd, dan zijn alle inloggegevens verloren."

De onderzoekers benadrukken dat hoewel een optimale strategie uit het gebruik van zwakkere wachtwoorden en hergebruikte wachtwoorden bestaat, de voordelen alleen de moeite waard zijn als de besparing op wachtwoordcomplexiteit bij minder belangrijke accounts wordt gebruikt om bij belangrijkere accounts sterkere wachtwoorden te kiezen. "Gebruikers moeten niet opzettelijk hun wachtwoorden verzwakken of hergebruiken", laten de onderzoekers dan ook weten.

Reacties (4)
17-07-2014, 17:13 door Anoniem
Als je computer besmet is is niets meer veilig. Het beste is dus een goed beveilgde computer met een wachtwoordmanager. Deze wachtwoordmanager genereerd wel goede wachtwoorden en die worden dus ook niet geraden.
Ik denk dat mensen die deze site bezoeken dit vast al weten.
18-07-2014, 08:11 door Anoniem
Door Anoniem: Als je computer besmet is is niets meer veilig. Het beste is dus een goed beveilgde computer met een wachtwoordmanager. Deze wachtwoordmanager genereerd wel goede wachtwoorden en die worden dus ook niet geraden.
Ik denk dat mensen die deze site bezoeken dit vast al weten.

Het dillema licht voor mij in het feit dat je al aangeeft dat op een besmette computer niets meer veilig is. Wanneer weet ik zeker dat ik mijn computer niet besmet is? Dus moet ik eigenlijk aannemen dat het wachtwoord van mij wachtwoord manager ook 'gecompromiteerd' is, en daarmee de totale inhoud. Immers een bestand is zo gekopieerd.

Een boekje met wachtwoorden is een offline oplossing die hier gedeeltelijk tegen beschermd. Er van uitgaande dat de besmetting korter duurt dan dat je op alle accounts inlogged (niet perse waaschijnlijk).
Biedt wel meer kans wanneer ik voor belangrijke zaken in een andre 'os instance' opstart (van cd/dvd/usb/pxe)

Letop, ik betrapte mezelf er op dat de password kluis op de algemeen beschikbare data drager stond en vanuit alle 'os instances' dus berijkbaar is. Het rommel os, het leef os (mail en zo) en het bank os.
Vereist wel een gedisciplneerder leven (lastig als gebruks gemak nog steeds voorop staat).
compromie: algemene wchtworden in kluis, banken enzo in een boekje.

Beter nog is, denk ik, een one time password (OTP) systeem, inderdaad iets van gratis OTP-SMS aangevuld met mijn pin code. Mijn probleem met SMS is alleen dat ik dan ook wie aan het account koppel (telefoon) en dat is iets dat ik niet altijd nodig vind. Je gaat denk ik niet met allerlei prepaid telefoons rondlopen.

Een challenge response systeem - in band - blijft comlromiteerbaar door mitm, -out of band - zie SMS

iemand een goed antwoord?
18-07-2014, 09:25 door Anoniem
Een goed antwoord, nou ja als ik alleen antwoord mag geven als ik van tevoren zeker weet dat het goed is, kunnen we de discussie meteen maar als woord uit het woordenboek schrappen toch?

Daarnaast volgens mij had ik er een gegeven, zo'n goed antwoord, alleen die modjes verslikken zich wel eens hier omdat ze zelf nog niet goed kunnen lezen/interpreteren.

Natuurlijjk ga ik niet een tweede keer de moeite doen dat hele relaas te typen.
18-07-2014, 09:47 door _R0N_
In de eerste plaats is regelmatig wijzigen van wachtwoorden niet echt nodig, op het moment van een brute-force maakt het tenslotte niet uit of je wachtwoord 1 dag of 1 jaar oud is..

Als je overal verschillende sterke wachtwoorden gebruikt ben je natuurlijk veilig bezig, het is alleen een drama om te onthouden. Een goede wachtwoord manager is dus een must, wat is een goede wachtwoord manager?

Als je een setje wachtwoorden hebt, zeg een stuk of 5, die je afwisselend gebruikt op verschillende sites/diensten is het al beter beheersbaar en eenvoudiger te onthouden. Mocht een van je wachtwoorden gelekt worden hoef je ook niet alle sites/diensten te voorzien van een nieuw wachtwoord en als je daranaast ook meerdere loginnamen gebruikt voor verschillende sites/dienten wordt de combinatie al weer iets moeilijker te gokken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.