Expert hekelt verbod van scheldwoorden in wachtwoord
Een Australische beveiligingsexpert heeft uitgehaald naar de Britse internetprovider Virgin omdat het bepaalde scheldwoorden als wachtwoord verbiedt. Deze week werd bekend dat Virgin een lijst bijhoudt van scheldwoorden die gebruikers niet als wachtwoord mogen kiezen.
Dat bleek uit een JavaScript-bestand dat werd gebruikt voor het beoordelen van de wachtwoorden. Deze controle werd aan de clientkant uitgevoerd. Na alle ophef in de media besloot Virgin de controle aan de serverkant uit te laten voeren, zodat de volledige lijst met geblokkeerde woorden niet direct meer zichtbaar is.
Onbegrijpelijk
Volgens beveiligingsexpert Troy Hunt is de werkwijze van Virgin onbegrijpelijk. De reden dat Virgin en andere bedrijven dit doen is dat bijvoorbeeld helpdeskmedewerkers niet gekwetst worden bij het lezen van het wachtwoord, zo laat hij weten. Wachtwoorden die eigenlijk gehasht en onleesbaar opgeslagen zouden moeten zijn. "Natuurlijk zijn het mensen die waarschijnlijk door de wachtwoorden worden beledigd, omdat het computers niets kan schelen", aldus Hunt.
Hij merkt op dat het blokkeren van scheldwoorden allerlei interessante vragen oproept. "Waarom kunnen ze mijn wachtwoord zien? Waarom moeten ze mijn wachtwoorden zien?" Daarnaast is het ook de vraag hoe bedrijven kunnen bepalen wat wel en niet is toegestaan. Genoeg scheldwoorden, al dan niet in iets andere vorm geschreven, worden gewoon toegelaten, maar klinken fonetisch nog steeds hetzelfde.
Het lijkt me veel verstandiger om algemene regels neer te leggen waar paswoorden aan moeten voldoen dan dat kinderachtig gezever dat scheldwoorden niet voldoen aan ethische normen als ik GVD een scheldwoord wil gebruiken moet ik dat toch zelf weten !
Ik ben het dus 100 % eens met de expert , volgens mij bracht virgin vroeger ook porno films uit , dus zeker virgin moet niet zeiken ;-) Misschien heb ik het verkeerd maar "Virgin" spreekt boekdelen .
Dat is natuurlijk grote flauwe kul. Je vermindert het aantal mogelijke wachtwoorden.
Je hebt gelijk als het wachtwoord louter uit het scheldwoord zou bestaan, maar dat geldt voor alle wachtwoorden die louter en alleen uit een in een woordenboek voorkomend woord bevatten. Dus als je daarvan de complexiteit te gering vindt moet je extra karakters laten toevoegen. Dus zoiets als:
@#!KanKERlijder<020>/
lijkt mij een prima wachtwoord.
NB. Het heeft geen zin om dit wachtwoord op mijn gebruikersnaam hier uit te proberen.
heeft niemand zich te bemoeien
heeft niemand zich te bemoeien
En hopelijk zijn wij hier allemaal ernstig gekwestst door de suggestie dat je je wachtwoord met een helpdeskmedewerker moet delen...
Hoe kunnen ze het zo inrichten!! Pek en veren verdienen ze bij Virgin, of zelfs fakkels en hooivorken.
De 'zwarte draad' in deze berichtgeving is dus dat wachtwoorden wèl achterhaald kunnen worden. Hoelang dat dus al feit is weten de xperts.
Ondertussen continueert de goedgelovige, argeloze webwinkel consument de gedachte dat - zelfs al bewaart hij/zij de wachtwoorden met potlood geschreven in een Hema notitieblokje - deze gegevens nooit te achterhalen zijn.
Vraag en antwoord wie je in de digitale wereld kunt vertrouwen:...ALLÉÉN JEZELF, is dus vèrre van paranoïde?
JGO
De 'zwarte draad' in deze berichtgeving is dus dat wachtwoorden wèl achterhaald kunnen worden. Hoelang dat dus al feit is weten de xperts.
Ondertussen continueert de goedgelovige, argeloze webwinkel consument de gedachte dat - zelfs al bewaart hij/zij de wachtwoorden met potlood geschreven in een Hema notitieblokje - deze gegevens nooit te achterhalen zijn.
Vraag en antwoord wie je in de digitale wereld kunt vertrouwen:...ALLÉÉN JEZELF, is dus vèrre van paranoïde?
JGO
Dan maar weer naar one time passwords. Gewoon steeds een nieuw aanvragen als je bij een website moet zijn.
De 'zwarte draad' in deze berichtgeving is dus dat wachtwoorden wèl achterhaald kunnen worden. Hoelang dat dus al feit is weten de xperts.
Ondertussen continueert de goedgelovige, argeloze webwinkel consument de gedachte dat - zelfs al bewaart hij/zij de wachtwoorden met potlood geschreven in een Hema notitieblokje - deze gegevens nooit te achterhalen zijn.
Vraag en antwoord wie je in de digitale wereld kunt vertrouwen:...ALLÉÉN JEZELF, is dus vèrre van paranoïde?
JGO
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
