Hoe vaak per 10 jaar is regelmatig? Wijzigen van een goed wachtwoord voor toegang tot je PC is geen eenvoudige maatregel. En ik ben benieuwd naar de scenario's waarin dit cybercrime zou kunnen tegengaan.

Het periodiek wijzigen van je wachtwoord biedt schijnveiligheid. Criminelen hebben je wachtwoord maar kort nodig (als ze het uberhaupt nodig hebben). Middels botnet software zorgen ze ervoor dat ze vanaf dan altijd bij je systeem kunnen. Na een hack je wachtwoord wijzigen is dan zinloos.

Wat wel helpt is je wachtwoord voor jezelf houden, alleen op systemen intikken waar het hoort en niet voor ieder systeem hetzelfde wachtwoord gebruiken. Daarnaast, niet klikken op vage links en zeker niet op vage bijlagen in e-mails.

Dat zegt een bank die particulieren tijdens het online bankieren beveiligt met slechts een gebruikersnaam en een wachtwoord.Terwijl veel andere banken je de extra beveiligings mogelijkheid geven in de vorm van een digipas.

Wachtwoorden, waar sla je die op?
- In configuratiefiles om een database te benaderen
- in configuratiefiles om andere services (messaging) te koppelen.
Dit kun je terugvinden in de omgeving van bijvoorbeeld ING. Het gaat om service-accounts om de boel draaiend te houden.

Mogelijk heeft ING het volgende in de Eigen omgeving:
- service accounts met te veel rechten (unrestricted admins want dat is zo handig).
- user/passwords leesbaar/herbruikbaar opgeslagen. Het is hoe het pakket/tool werkt.
- Gebruik van passwordless access. Komt voor bijvoorbeeld in een grid (hadoop)
- gebruik van ssh-keys om geen password te gebruiken (vermijden sudo).
- Om het aantal service accounts te beperken het draaien onder 1 shared key voor alle functies.
Mooie reclame van Nick Jue http://www.telegraaf.nl/feed/krantart/krantart_financieel/23996072/__ING_Bank__werk_a_la_Google__.html
Diegene die het verzint, bouwt hetm doet de uitrol en de operatie (DevOps). Er wordt geen enkele controle op een veilige omgeving genoemd dan wel de reviews tests of het ook allemaal klopt. Het geeft te denken.

Zolang ING geen 2 factor authenticatie doet hebben ze geen recht van spreken.

Gebruikersnaam/wachtwoord is NIET genoeg.

Hoevaak ik nog tegenkom dat de gebruikersnaam: " achternaam " is en het wachtwoord de "voornaam". En dat bij o.a. accountants... Ik moet elke keer weer mensen erop wijzen en later wordt je sjacherijnig aangekeken... zo van.. waarbemoei je je mee of...ik heb dat altijd zo gedaan en het werkt gewoon goed. Dan moet ik mezelf gaan zitten verdedigen. Laat ze allemaal maar wegzakken denk ik dan maar dat gaat je ook weer aan het hart want die ellende die buiten op ze loert, daar zijn de gebruikers weer niet verantwoordelijk voor.
Er komt dan ook nog bij dat de grote software boeren voor eigengewin om de zoveel jaar een nieuw besturings systeem de mensen opdringen. Iets dat ze moeten leren, en daar gaat ook weer tijd overheen... De handigheid die ze met bijv. XP opgebouwd hebben die wordt automatisch verstikt door nieuwe manieren van werken (nieuwe interface). Waarom niet een oud vertrouwde interface op het besturingssysteem denk ik dan maar met een nieuwe motor erin ? Ze maken het de mensen zo moeilijk dat het niet meer Monkeyproof is, en dan krijg je dat mensen terugvallen op oude vertrouwheid van simpele constructies zoals houtje touwtje wachtwoorden die iedereen raden kan en het gebruik van verouderde software omdat die niet zo moeilijk is als bijvoorbeeld windows 8. K.I.S. = keep it simple svp.

ING heeft twee factor authenticatie

Daarom hebben ze ook de codes die ze per SMS versturen...

Waarom zou je uberhaupt je wachtwoorden moeten verversen?

Nadelen:

elke 7 dagen een 12 character wachtwoord met hoofdletters, kleine letters, cijfers, bijzondere tekens en waarvan 90% niet gerycled mag zijn... Hoe ga je dat onthouden na een maand? NOOIT!

voordelen:

geen...

zolang je wachtwoord niet is aangevallen door bijv brute force (wat te detecteren is) heeft het NUL nut om je wachtwoord te veranderen. Die moeilijke wachtwoorden moeten dan weer onthouden worden, wat niet gebeurt, en dus heb je overal wachtwoord post-its, onderleggers met wachtwoorden, password apps enz enz.

het is een scheinveiligheid voor een probleem wat niet bestaat. Alleen in geval van een brute force wachtwoord kraker, dat zou te zien moeten zijn in de logging, en dan nog zou na x aantal keer het account gewoon geblokkeerd moeten worden.

Het is maar hoe je het ziet. Ik kan bij de ING inloggen met een userid / wachtwoord. En daarna kan ik de alle afschrijvingen zien. Dus een paypal account kan ik er perfect aan koppelen.
Ik kan automatische overboekingen verwijderen.....

ING heeft voor het overmaken een soort van 2FA omgeving.
Al beschouw ik SMS niet echt meer als een secure iets op een smartphone. Maar echt super veilig is het ook niet.
Je komt gewoon door de voordeur naar binnen in, je bent alleen nog wat gelimiteerd.

Botnets maken misbruik van andere zaken dan je wachtwoord. Ik heb nog geen botnet gezien dat zich richt op systemen waar het wachtwoord van gekraakt is.


Ik zie voornamelijk wachtwoorden die op gekraakte sites terug zijn gevonden. En dan helpt het niet hergebruiken van wachtwoorden redelijk goed. Een account gebruiken dat niet je e-mail adres is, is ook handig. Externe, gekraakte, partijen maken vaak gebruik van het e-mail adres als account. Dat levert wel een nadeel op, omdat dan vaak te achterhalen is bij welke organisatie dat wachtwoord geprobeerd moet worden. Vandaar ook graag accounts waar niet de naam van de gebruiker in zichtbaar is.


Ik weet niet waar jij dat iedere 7 dagen moet doen, maar daar is dan misschien wel een hele goede reden voor.


Als je wachtwoordlijst bekend is geraakt, hoop je dat ze een oude lijst hebben.


Hoe detecteer jij of bol.com o.i.d. via brute force is aangevallen? Ik ben trouwens veel minder bang voor brute-force dan voor het lekken van lijsten. Bij brute-force zie ik eigenlijk amper de accounts gebruikt worden, die in mijn systemen gebruikt worden. Allemaal accounts als root en admin, die hier altijd gelijk onbruikbaar worden gemaakt.

Brute-force laat je ook gewoon niet gebeuren. Direct in de router ermee.


Wachtwoord apps zijn zeer handig. Ook als je wachtwoorden niet regelmatig wijzigt, wil je al je wachtwoorden wel ergens veilig opslaan en, indien nodig, eenvoudig kunnen gebruiken.


Jij gaat uit van de betrouwbaarheid van de externe partijen waar jij je accountgegevens invoert. Dat is al zeer vaak funext gebleken.


Ik weet niet welke voorstelling van zaken jij van DevOps hebt, maar ik ken de wijze van werken bij Google van zeer dichtbij. Onlangs nog een presentatie van een SRE bijgewoond voor een groep interne ontwikkelaars.

Peeter

Peeter, ik weet niet welke voorstelling van werken in grote organisaties jij hebt en dan bedoel ik het het in de praktijk werkt. Ik heb dat van zeer nabij meegemaakt en zie dat nog gebeuren. Er is een groot verschil tussen wat gepresenteerd wordt en wat de echte werekelijkheid is. Ooit iets met ISO27k series en de risk-management policies gedaan?

Nu kan ik het niet laten:
en dan zie ik:
en
Zie je niet dat er hier sprake is van tegenstrijdigheid?
Waarom geen SSO 2FA en meer om het veiliger en eenvoudiger te maken. Zal niet altijd lukken maar alle beetjes helpen.
Ook maak ik mee dat het oplaan van een ww in een veilige persoonlijke wat in het tool zit er uit gehaald wordt om vervolgens een ander tool proberen aan te gaan aanbieden dat hetzelfde zou moeten, echter de connectie/integratie niet kent. Resulaat continue opnieuw user/ww intikken. (tijdverlies ergernis)

Mooi dat is iets waar ik ook achter sta, maar dan uitgebreider. Hoe eerder je troep afvoert des te beter.

tegenvoorbeeld: http://nl.wikipedia.org/wiki/Zeus_(Trojaans_paard) gebruik botnet wordt genoemd

Als laatste de uitsmijter. Onnodige moeilijke wachtwoorden is een frustratie die heel groot is. De post met die 7 dagen periode is wat overdreven, maar het signaal is duidelijk. Als er voor de gebruiker/business geen nut is of de maatregel onterecht of de security-awareness is niet op orde. Het is "niet goed" of "niet goed".
Het negeren dan wel ontkennen is geen verbetering op zijn best een verslechtering.

waarom steeds weizigen ?
lijkt mij de grootste onzin en gevaarlijk ook !!!!

wachtwoorden worden soms opgeslagen en ook je oude kijk naar gmail.
zodat je geen oude wachtwoorden kan hergebruiken.

zolang jij veilig te werk gaat is een wachtwoord gewoon 100 jaar lang te gebruiken

echter moet je bij een onveilig systeem zoals fb en ING natuurlijk je wachtwoord blijven veranderen.
gaan ze nu opeens allemaal regels bedenken zodat wij betalen voor hun beveiligings fouten ???

pc up to date ...
virusscanner ...
ect ect ect.. tevens kan je toch internet bankieren met elk internet aparaat zeggen ze !\oke mijn navigatie heeft ook internet
helaas geen firewall virusscanner ect lol

BOEVEN ZIJN HET !! hebben ze het over mijn beveileging abn amro ik weet ook julllie status hoor .....
het het interne netwerk is net zo **** ( TRAAAAAAG )

ps hoeveel pasjes en sluitels heb ik nodig om bij de servers te komen wat is dan wel weer goed :P

uhh nee ik werk er niet , en ik weet ook niet wie want ik ben dement / vergeet achtig. hahahh

PS : is het niet makkelijker om een veilig systeem op te zetten zodat niet , elke seconden een nieuw wachtwoord nodig heb.
1 bedrijf ... 17 milj... wachtwoorden weizigen ??

of 1 bedrijf veilig dan onveilig en 17 milj. mensen hun wachtwoord laten weizigen toch ?

het is net spam 1 **** en milj... mensen zijn 5 minuten kwijt van hun tijd door 1 stom e-mailtje.

zo kan je stellen dan 1 spam bedrijf gewoon de economie miljoenen kost en dat allles omdat je je een aanbod willen doen wat elke boere **** af slaat :P