Microsoft: onveilige wachtwoorden niet altijd verkeerd
Het gebruik van onveilige wachtwoorden of het gebruik van één wachtwoord voor meerdere accounts wordt door veel beveiligingsexperts afgeraden, maar onderzoekers van Microsoft laten weten dat dit onder de juiste voorwaarden onderdeel van een goede wachtwoordstrategie hoort te zijn.
Door het toenemend aantal accounts van gebruikers hebben die ook met steeds meer wachtwoorden te maken. Volgens Dinei Florencio en Cormac Herley van Microsoft Research en Paul van Oorschot van de Canadese Carleton University, is het niet meer mogelijk voor gebruikers om al hun wachtwoorden te beheren als ze geen wachtwoorden mogen hergebruiken of zwakke wachtwoorden mogen kiezen.
Passphrases
Als oplossing om toch sterke wachtwoorden te kiezen die eenvoudig zijn te onthouden worden vaak passphrases aangeraden, een wachtwoord dat uit meerdere woorden bestaat. De onderzoekers merken op dat er wel voldoende advies is om gebruikers sterke wachtwoorden te laten kiezen, maar niet hoe ze hun wachtwoorden moeten beheren. Uit het onderzoek komt naar voren dat een combinatie van sterke wachtwoorden voor belangrijke accounts en zwakkere of zelfde wachtwoorden voor minder belangrijke en wegwerpaccounts het beste resultaat biedt.
"Hoewel we stellen dat het hergebruik van wachtwoorden onderdeel van een optimale portfoliostrategie is, is het geen wondermiddel", aldus de onderzoekers. Die keken ook naar het gebruik van wachtwoordmanagers, zowel lokaal als in de cloud. "Als het meesterwachtwoord wordt geraden of op een met malware besmette computer wordt gebruikt, of de cloudopslag wordt gecompromitteerd, dan zijn alle inloggegevens verloren."
De onderzoekers benadrukken dat hoewel een optimale strategie uit het gebruik van zwakkere wachtwoorden en hergebruikte wachtwoorden bestaat, de voordelen alleen de moeite waard zijn als de besparing op wachtwoordcomplexiteit bij minder belangrijke accounts wordt gebruikt om bij belangrijkere accounts sterkere wachtwoorden te kiezen. "Gebruikers moeten niet opzettelijk hun wachtwoorden verzwakken of hergebruiken", laten de onderzoekers dan ook weten.
Ik denk dat mensen die deze site bezoeken dit vast al weten.
Ik denk dat mensen die deze site bezoeken dit vast al weten.
Het dillema licht voor mij in het feit dat je al aangeeft dat op een besmette computer niets meer veilig is. Wanneer weet ik zeker dat ik mijn computer niet besmet is? Dus moet ik eigenlijk aannemen dat het wachtwoord van mij wachtwoord manager ook 'gecompromiteerd' is, en daarmee de totale inhoud. Immers een bestand is zo gekopieerd.
Een boekje met wachtwoorden is een offline oplossing die hier gedeeltelijk tegen beschermd. Er van uitgaande dat de besmetting korter duurt dan dat je op alle accounts inlogged (niet perse waaschijnlijk).
Biedt wel meer kans wanneer ik voor belangrijke zaken in een andre 'os instance' opstart (van cd/dvd/usb/pxe)
Letop, ik betrapte mezelf er op dat de password kluis op de algemeen beschikbare data drager stond en vanuit alle 'os instances' dus berijkbaar is. Het rommel os, het leef os (mail en zo) en het bank os.
Vereist wel een gedisciplneerder leven (lastig als gebruks gemak nog steeds voorop staat).
compromie: algemene wchtworden in kluis, banken enzo in een boekje.
Beter nog is, denk ik, een one time password (OTP) systeem, inderdaad iets van gratis OTP-SMS aangevuld met mijn pin code. Mijn probleem met SMS is alleen dat ik dan ook wie aan het account koppel (telefoon) en dat is iets dat ik niet altijd nodig vind. Je gaat denk ik niet met allerlei prepaid telefoons rondlopen.
Een challenge response systeem - in band - blijft comlromiteerbaar door mitm, -out of band - zie SMS
iemand een goed antwoord?
Daarnaast volgens mij had ik er een gegeven, zo'n goed antwoord, alleen die modjes verslikken zich wel eens hier omdat ze zelf nog niet goed kunnen lezen/interpreteren.
Natuurlijjk ga ik niet een tweede keer de moeite doen dat hele relaas te typen.
Als je overal verschillende sterke wachtwoorden gebruikt ben je natuurlijk veilig bezig, het is alleen een drama om te onthouden. Een goede wachtwoord manager is dus een must, wat is een goede wachtwoord manager?
Als je een setje wachtwoorden hebt, zeg een stuk of 5, die je afwisselend gebruikt op verschillende sites/diensten is het al beter beheersbaar en eenvoudiger te onthouden. Mocht een van je wachtwoorden gelekt worden hoef je ook niet alle sites/diensten te voorzien van een nieuw wachtwoord en als je daranaast ook meerdere loginnamen gebruikt voor verschillende sites/dienten wordt de combinatie al weer iets moeilijker te gokken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
