Expert hekelt verbod van scheldwoorden in wachtwoord
Een Australische beveiligingsexpert heeft uitgehaald naar de Britse internetprovider Virgin omdat het bepaalde scheldwoorden als wachtwoord verbiedt. Deze week werd bekend dat Virgin een lijst bijhoudt van scheldwoorden die gebruikers niet als wachtwoord mogen kiezen.
Dat bleek uit een JavaScript-bestand dat werd gebruikt voor het beoordelen van de wachtwoorden. Deze controle werd aan de clientkant uitgevoerd. Na alle ophef in de media besloot Virgin de controle aan de serverkant uit te laten voeren, zodat de volledige lijst met geblokkeerde woorden niet direct meer zichtbaar is.
Onbegrijpelijk
Volgens beveiligingsexpert Troy Hunt is de werkwijze van Virgin onbegrijpelijk. De reden dat Virgin en andere bedrijven dit doen is dat bijvoorbeeld helpdeskmedewerkers niet gekwetst worden bij het lezen van het wachtwoord, zo laat hij weten. Wachtwoorden die eigenlijk gehasht en onleesbaar opgeslagen zouden moeten zijn. "Natuurlijk zijn het mensen die waarschijnlijk door de wachtwoorden worden beledigd, omdat het computers niets kan schelen", aldus Hunt.
Hij merkt op dat het blokkeren van scheldwoorden allerlei interessante vragen oproept. "Waarom kunnen ze mijn wachtwoord zien? Waarom moeten ze mijn wachtwoorden zien?" Daarnaast is het ook de vraag hoe bedrijven kunnen bepalen wat wel en niet is toegestaan. Genoeg scheldwoorden, al dan niet in iets andere vorm geschreven, worden gewoon toegelaten, maar klinken fonetisch nog steeds hetzelfde.
Het lijkt me veel verstandiger om algemene regels neer te leggen waar paswoorden aan moeten voldoen dan dat kinderachtig gezever dat scheldwoorden niet voldoen aan ethische normen als ik GVD een scheldwoord wil gebruiken moet ik dat toch zelf weten !
Ik ben het dus 100 % eens met de expert , volgens mij bracht virgin vroeger ook porno films uit , dus zeker virgin moet niet zeiken ;-) Misschien heb ik het verkeerd maar "Virgin" spreekt boekdelen .
Dat is natuurlijk grote flauwe kul. Je vermindert het aantal mogelijke wachtwoorden.
Je hebt gelijk als het wachtwoord louter uit het scheldwoord zou bestaan, maar dat geldt voor alle wachtwoorden die louter en alleen uit een in een woordenboek voorkomend woord bevatten. Dus als je daarvan de complexiteit te gering vindt moet je extra karakters laten toevoegen. Dus zoiets als:
@#!KanKERlijder<020>/
lijkt mij een prima wachtwoord.
NB. Het heeft geen zin om dit wachtwoord op mijn gebruikersnaam hier uit te proberen.
heeft niemand zich te bemoeien
heeft niemand zich te bemoeien
En hopelijk zijn wij hier allemaal ernstig gekwestst door de suggestie dat je je wachtwoord met een helpdeskmedewerker moet delen...
Hoe kunnen ze het zo inrichten!! Pek en veren verdienen ze bij Virgin, of zelfs fakkels en hooivorken.
De 'zwarte draad' in deze berichtgeving is dus dat wachtwoorden wèl achterhaald kunnen worden. Hoelang dat dus al feit is weten de xperts.
Ondertussen continueert de goedgelovige, argeloze webwinkel consument de gedachte dat - zelfs al bewaart hij/zij de wachtwoorden met potlood geschreven in een Hema notitieblokje - deze gegevens nooit te achterhalen zijn.
Vraag en antwoord wie je in de digitale wereld kunt vertrouwen:...ALLÉÉN JEZELF, is dus vèrre van paranoïde?
JGO
De 'zwarte draad' in deze berichtgeving is dus dat wachtwoorden wèl achterhaald kunnen worden. Hoelang dat dus al feit is weten de xperts.
Ondertussen continueert de goedgelovige, argeloze webwinkel consument de gedachte dat - zelfs al bewaart hij/zij de wachtwoorden met potlood geschreven in een Hema notitieblokje - deze gegevens nooit te achterhalen zijn.
Vraag en antwoord wie je in de digitale wereld kunt vertrouwen:...ALLÉÉN JEZELF, is dus vèrre van paranoïde?
JGO
Dan maar weer naar one time passwords. Gewoon steeds een nieuw aanvragen als je bij een website moet zijn.
De 'zwarte draad' in deze berichtgeving is dus dat wachtwoorden wèl achterhaald kunnen worden. Hoelang dat dus al feit is weten de xperts.
Ondertussen continueert de goedgelovige, argeloze webwinkel consument de gedachte dat - zelfs al bewaart hij/zij de wachtwoorden met potlood geschreven in een Hema notitieblokje - deze gegevens nooit te achterhalen zijn.
Vraag en antwoord wie je in de digitale wereld kunt vertrouwen:...ALLÉÉN JEZELF, is dus vèrre van paranoïde?
JGO
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
