Expert: sterk wachtwoord beter dan twee-factor authenticatie
Regelmatig raden beveiligingsexperts aan om bij online accounts twee-factor authenticatie in te stellen, waarbij er naast het wachtwoord een extra code moet worden ingevoerd, maar volgens één expert is het beter om alleen een sterk wachtwoord in combinatie met een wachtwoordmanager te gebruiken.
Een voorbeeld van twee-factor authenticatie is bijvoorbeeld een code die via sms wordt verstuurd en tijdens het inloggen, naast het wachtwoord, moet worden ingevoerd. Als het wachtwoord van de gebruiker is gestolen kan de aanvaller hier niet mee inloggen, tenzij hij ook de telefoon van de gebruiker in zijn bezit heeft. Toch is het volgens beveiligingsexpert en onderzoeker Egor Homakov geen wondermiddel en zijn gebruikers beter af met alleen een sterk wachtwoord.
Het invoeren van een tweede code tijdens het inloggen is volgens Homakov namelijk tijdverspilling. Daarnaast zijn de meeste codes beperkt tot zes getallen, waardoor de tweede factor te brute forcen is. Ook stopt de maatregel malware en virussen niet, zoals Bruce Schneier een aantal jaren geleden al liet weten. Verder stelt de expert dat er geen aannemelijk aanvalsscenario is waarbij een eenvoudig wachtwoord met twee-factor authenticatie beter is dan alleen een sterk wachtwoord. Een aanvaller die de computer van de gebruiker met malware heeft geïnfecteerd kan bijvoorbeeld een aantal dagen wachten totdat de gebruiker zijn tweede code ergens invoert.
In het geval een aanvaller toegang tot de mailbox van een gebruiker heeft kan hij vervolgens het wachtwoord resetten. Volgens Homakov is het dan ook verstandiger om een wachtwoordmanager te gebruiken die sterke wachtwoorden genereert, dan twee-factor authenticatie. Daarnaast zouden gebruikers niet aan websites moeten vragen of ze twee-factor authenticatie gaan ondersteunen, maar dat er een optie wordt toegevoegd die het mogelijk maakt om de "wachtwoord vergeten" optie uit te schakelen.
Reacties (22)
Er wordt al lang geroepen dat het wachtwoord dood zou zijn en two-factor authenticatie de toekomst heeft. Opvallend daarbij is dat dit vooral geroepen wordt door bedrijven die two-factor authenticatiemiddelen aanbieden.
Op zich ben ik het met deze meneer eens dat een wachtwoord een prima beveiliging biedt, mits je dit goed gebruikt. Zelf heb ik een password manager met daarin lange random wachtwoorden en het hoofd wachtwoord voor de password manager zelf is ook lang en complex. Ik ga daarbij voorzichtig om met waar ik mijn wachtwoord invoer. Prima beveiliging en two-factor authenticatie voegt voor mij niks toe. Sterker nog, het maakt het alleen maar omslachtiger.
Echter, niet iedere gebruiker is zo verstandig. De meeste zijn niet echt zorgvuldig in het kiezen van een wachtwoord en al helemaal niet in waar ze dat wachtwoord vervolgens intikken. Dan is two-factor authenticatie een goede aanvulling.
Dus een lang verhaal kort: two-factor authenticatie is er niet als verbetering op het wachtwoord, maar als verbetering op het handelen van gebruikers.
HL
Op zich ben ik het met deze meneer eens dat een wachtwoord een prima beveiliging biedt, mits je dit goed gebruikt. Zelf heb ik een password manager met daarin lange random wachtwoorden en het hoofd wachtwoord voor de password manager zelf is ook lang en complex. Ik ga daarbij voorzichtig om met waar ik mijn wachtwoord invoer. Prima beveiliging en two-factor authenticatie voegt voor mij niks toe. Sterker nog, het maakt het alleen maar omslachtiger.
Echter, niet iedere gebruiker is zo verstandig. De meeste zijn niet echt zorgvuldig in het kiezen van een wachtwoord en al helemaal niet in waar ze dat wachtwoord vervolgens intikken. Dan is two-factor authenticatie een goede aanvulling.
Dus een lang verhaal kort: two-factor authenticatie is er niet als verbetering op het wachtwoord, maar als verbetering op het handelen van gebruikers.
HL
20-07-2015, 16:55 door
beaukey
"Sterk" wachtwoord? Zeker nog geen kennis gemaakt met Rainbow Tables, wachtwoorden in plain text of met simpele hash in databases, onversleutelde autenticatie (MiM) of, voor de echte die-hards, Jack de Ripper?
Liever twee zwakkere authenticatie factoren dan een sterke. Als het sterke wachtwoord breekt is alle beveiliging stuk.
Liever twee zwakkere authenticatie factoren dan een sterke. Als het sterke wachtwoord breekt is alle beveiliging stuk.
Als ik op mijn universiteit inlog vind ik het wel fijn om geen zorgen te hoeven maken over keyloggers. Veel plezier met het brute forcen van mijn tweede wachtwoord over het internet, die constant verandert en waarbij het aantal inlogpogingen gelimiteerd wordt
Leuke annekdotes van deze 'security' specialist maar natuurlijk 100% bullshit.
Het probleem van sterke wachtwoorden is dat je ze niet kunt onthouden. Ik moet zelf bijvoorbeeld 341 wachtwoorden onthouden. Waarbij de meeste zelfs elke 90 dagen veranderd moeten worden en van de rest vaak elke 30 dagen.
Veel van die wachtwoorden moeten voldoen aan tenminste 16 karakters, mogen niet 3 opeenvolgende letters EN cijfers hebben (dus "akuhdasi7y234u2hgkjh2987323ggjkawwaga" is geen sterk wachtwoord. (vanwege de 234 en 987 in de reeks)) en mogen NOOIT eerder gebruikt zijn.
Hoe wil je in hemelsnaam dat ik dat ga onthouden? Niet dus. Dus moet er een password tool bij komen om te onthouden en te genereren. Waardoor je weer een nieuw probleem creeert. De password tool moet veilig zijn want deze is natuurlijk al diverse malen target geworden van stealers die zelfs zero-days gebruiken voor decryptie wachtwoorden databases.
Met andere woorden, een simpel wachtwoord met 6 karakters als 2de factor is veel beter. Met dien verstande dat een brute-force wel opgemerkt wordt. Liever een lockout en bericht dat mijn account gebrute forced is, dan een mega-lang wachtwoord welke niet gesalt of gehashed is.
Het probleem van sterke wachtwoorden is dat je ze niet kunt onthouden. Ik moet zelf bijvoorbeeld 341 wachtwoorden onthouden. Waarbij de meeste zelfs elke 90 dagen veranderd moeten worden en van de rest vaak elke 30 dagen.
Veel van die wachtwoorden moeten voldoen aan tenminste 16 karakters, mogen niet 3 opeenvolgende letters EN cijfers hebben (dus "akuhdasi7y234u2hgkjh2987323ggjkawwaga" is geen sterk wachtwoord. (vanwege de 234 en 987 in de reeks)) en mogen NOOIT eerder gebruikt zijn.
Hoe wil je in hemelsnaam dat ik dat ga onthouden? Niet dus. Dus moet er een password tool bij komen om te onthouden en te genereren. Waardoor je weer een nieuw probleem creeert. De password tool moet veilig zijn want deze is natuurlijk al diverse malen target geworden van stealers die zelfs zero-days gebruiken voor decryptie wachtwoorden databases.
Met andere woorden, een simpel wachtwoord met 6 karakters als 2de factor is veel beter. Met dien verstande dat een brute-force wel opgemerkt wordt. Liever een lockout en bericht dat mijn account gebrute forced is, dan een mega-lang wachtwoord welke niet gesalt of gehashed is.
20-07-2015, 17:07 door
[Account Verwijderd]
-
Bijgewerkt: 20-07-2015, 17:07
[Verwijderd]
Door beaukey: "Sterk" wachtwoord? Zeker nog geen kennis gemaakt met Rainbow Tables, wachtwoorden in plain text of met simpele hash in databases, onversleutelde autenticatie (MiM) of, voor de echte die-hards, Jack de Ripper?
Liever twee zwakkere authenticatie factoren dan een sterke. Als het sterke wachtwoord breekt is alle beveiliging stuk.
Liever twee zwakkere authenticatie factoren dan een sterke. Als het sterke wachtwoord breekt is alle beveiliging stuk.
Een lang en complex wachtwoord ga je echt niet kraken met rainbow tables of jack the ripper e.d. Voor brute forcen zul je een paar miljoen jaar uit moeten trekken.
Daarbij zal een beetje password manager geen plain text of ongecrypte hashes van wachtwoorden opslaan, laat staan over een onbeveiligde verbinding. Dus zoals het artikel zegt: een sterk wachtwoord i.c.m. een wachtwoordmanager is in de meeste gevallen goed genoeg. Men moet echt op je PC inbreken om het te kunnen achterhalen.
Overigens ben ik ook wel voorstander van 2-factor autenticatie mét een sterk wachtwoord.
20-07-2015, 19:52 door
karma4
Het ontkennen van de mogelijkheid tot het gehackt kunnen raken van een enkele identificatie / autenticatie plaats je meteen naast degenen die al gehackt zijn en daar veel schade van hebben gehad. Alles is een kosten/baten overweging.
Als je een kale kip bent maakt het weining meer uit. Als er veel meer in het geding is, denk nog maar eens.
De kosten en de schade kunnen wel eens de pan uitreizen. Een password manager elke vorm van opslag kan het nieuwe single point of failure zijn. Een password manager die extern je ww (beveiligde verbdinding) opslaat? Handig voor de verplichte wettelijke openbaring. Ook hier de echte vraag moet zijn: wat is het risico vs impact.
Als je een kale kip bent maakt het weining meer uit. Als er veel meer in het geding is, denk nog maar eens.
De kosten en de schade kunnen wel eens de pan uitreizen. Een password manager elke vorm van opslag kan het nieuwe single point of failure zijn. Een password manager die extern je ww (beveiligde verbdinding) opslaat? Handig voor de verplichte wettelijke openbaring. Ook hier de echte vraag moet zijn: wat is het risico vs impact.
20-07-2015, 21:01 door
yobi
Inderdaad kan het wachtwoord op een geïnfecteerd systeem door derden worden meegelezen. Meestal gebruiken mensen toch iets wat ze kunnen onthouden en gebruiken het wachtwoord op meerdere plaatsen. Voor bankzaken toch liever een tweede factor!
"Als"
Teller bij gebruik van dit woord staat op 9, hoe hoger de score op dit woord hoe minder het de interesse wekt bij dit warrige
'if-als-dan-wat-en-dan-dus-misschien-ziedaar' artikel en reacties.
Hoe kan dat? Ben ik de enige?
Met twee factor gedoe is in ieder geval de kans op verlies van je benodigde password twee keer zo groot.
Twee simpele passwords zijn weer eenvoudiger te onthouden dan een extreem willekeurig samengesteld complexe.
Voor alles valt wel wat te zeggen.
Enneh, maarreh? Hoe vaak is het je overkomen dat iemand je account ergens had gekaapt?
0x?
Dus wellicht vooral leuk voor een volgende poll : hoe vaak ben jij slachtoffer geweest van een gehakt account?
Teller bij gebruik van dit woord staat op 9, hoe hoger de score op dit woord hoe minder het de interesse wekt bij dit warrige
'if-als-dan-wat-en-dan-dus-misschien-ziedaar' artikel en reacties.
Hoe kan dat? Ben ik de enige?
Met twee factor gedoe is in ieder geval de kans op verlies van je benodigde password twee keer zo groot.
Twee simpele passwords zijn weer eenvoudiger te onthouden dan een extreem willekeurig samengesteld complexe.
Voor alles valt wel wat te zeggen.
Enneh, maarreh? Hoe vaak is het je overkomen dat iemand je account ergens had gekaapt?
0x?
Dus wellicht vooral leuk voor een volgende poll : hoe vaak ben jij slachtoffer geweest van een gehakt account?
Door Anak Krakatau:
een beetje onzin dit soort adviezen.
Het invoeren van een tweede code tijdens het inloggen is volgens Homakov namelijk tijdverspilling. Daarnaast zijn de meeste codes beperkt tot zes getallen, waardoor de tweede factor te brute forcen is.
hoe zou je een sms-bericht dan willen brute-force dat je binnen 2 seconden gebruikt en maar 1x kan gebruiken bij 2 factor-authenticatie?een beetje onzin dit soort adviezen.
Precies, is gewoon onzin dat je die sms code kunt bruteforcen omdat gmail je weigert na een paar pogingen en je een waarschuwing stuurt volgen mij...
En betreft passwordtool, moet je geen keylogger injectie hebben gekregen want dan ben je al je wachtwoorden kwijt...
Beetje slecht artikel..
21-07-2015, 08:03 door
PietdeVries
Twee factor authenticatie voegt mijns inziens wel degelijk iets toe aan de veiligheid ten opzichte van een wachtwoord...
Al schoudersurfend een wachtwoord meelezen is zo lastig niet, maar als dat je naast dat wachtwoord ook een token nodig hebt (wat je slachtoffer redelijk snel zal missen), dan heeft het meelezen van dat wachtwoord helemaal geen zin.
Opmerkingen over brute forcen en rainbow tables slaan de plank mis. Zodra een hacker toegang heeft tot de server en de daarop (hoe dan ook) opgeslagen credentials ben je toch al de sjaak. Maar brute forcen van buiten lijkt me bij een beetje website (ok - behalve Apple dan: leve de Fappening!) weinig zin hebben...
Al schoudersurfend een wachtwoord meelezen is zo lastig niet, maar als dat je naast dat wachtwoord ook een token nodig hebt (wat je slachtoffer redelijk snel zal missen), dan heeft het meelezen van dat wachtwoord helemaal geen zin.
Opmerkingen over brute forcen en rainbow tables slaan de plank mis. Zodra een hacker toegang heeft tot de server en de daarop (hoe dan ook) opgeslagen credentials ben je toch al de sjaak. Maar brute forcen van buiten lijkt me bij een beetje website (ok - behalve Apple dan: leve de Fappening!) weinig zin hebben...
Meneer de beveiliging expert die wilt gewoon wat meer commotie rondzaaien zodat ie in het nieuws komt (wat is gelukt gezien dit artikel).
Zeggen dat 2FA niet nodig is en tijdverspilling is achterlijk tot en met. Als iemand een virus op mn pc plant en daarmee mijn internetbankieren wachtwoordje tevoorschijn tovert, dan maakt het niet uit of het 8 karakters of 36 is. Ik ben hoe dan ook de pineut. Tenzij er nog een smsje voor elke transactie wordt verstuurd, die niet onderschept wordt.
Een sterk wachtwoord is handig tegen bruteforcen, maar tegen gewoonweg stelen van wachtwoorden moet er toch echt wel dergelijke maatregelen genomen worden
Zeggen dat 2FA niet nodig is en tijdverspilling is achterlijk tot en met. Als iemand een virus op mn pc plant en daarmee mijn internetbankieren wachtwoordje tevoorschijn tovert, dan maakt het niet uit of het 8 karakters of 36 is. Ik ben hoe dan ook de pineut. Tenzij er nog een smsje voor elke transactie wordt verstuurd, die niet onderschept wordt.
Een sterk wachtwoord is handig tegen bruteforcen, maar tegen gewoonweg stelen van wachtwoorden moet er toch echt wel dergelijke maatregelen genomen worden
21-07-2015, 08:43 door
BaseMent
Ik ben het ook niet eens met wat deze meneer beweert. En als je pc over genomen is, heb je ook niets meer aan een wachtwoord manager, dan wil je juist een tweede medium hebben waar (een deel van) een wachtwoord vandaan komt.
De ene maatregel kan nooit een vervanging zijn voor een andere maatregel.En als ik ineens een sms krijg van bijvoorbeeld facebook weet ik ook meteen dat er iets mis is. Het helpt dus ook nog eens detecterend en schrikt potentiële aanvallers af.
De ene maatregel kan nooit een vervanging zijn voor een andere maatregel.En als ik ineens een sms krijg van bijvoorbeeld facebook weet ik ook meteen dat er iets mis is. Het helpt dus ook nog eens detecterend en schrikt potentiële aanvallers af.
Dus wellicht vooral leuk voor een volgende poll : hoe vaak ben jij slachtoffer geweest van een gehakt account?
Een betere vraag is: hoe vaak heb je gemerkt dat je account gehacked is geweest? Want een indringer die puur meekijkt/meeleest en niks veranderd, kan best goed onopgemerkt blijven.Door Anoniem:
Als ik inlog krijg ik te zien wanneer ik de vorige keer ingelogd heb en vanaf welk IP adres.Dus wellicht vooral leuk voor een volgende poll : hoe vaak ben jij slachtoffer geweest van een gehakt account?
Een betere vraag is: hoe vaak heb je gemerkt dat je account gehacked is geweest? Want een indringer die puur meekijkt/meeleest en niks veranderd, kan best goed onopgemerkt blijven.Als iemand anders ook inlogt dan gaat me dat een keer opvallen.
Door Anoniem:
Als iemand anders ook inlogt dan gaat me dat een keer opvallen.
Door Anoniem:
Als ik inlog krijg ik te zien wanneer ik de vorige keer ingelogd heb en vanaf welk IP adres.Dus wellicht vooral leuk voor een volgende poll : hoe vaak ben jij slachtoffer geweest van een gehakt account?
Een betere vraag is: hoe vaak heb je gemerkt dat je account gehacked is geweest? Want een indringer die puur meekijkt/meeleest en niks veranderd, kan best goed onopgemerkt blijven.Als iemand anders ook inlogt dan gaat me dat een keer opvallen.
Dus machine infecteren, connecten naar en meekijken maar.
Ik ben eens urenlang tot waanzin gedreven omdat de yahoo website vond dat ik een ander wachtwoord moest kiezen, en geen enkel wachtwoord sterk genoeg bleek volgens de computer(s) van yahoo. Alles geprobeerd, tot de maximale lengte (ik geloof 32 tekens). Uiteindelijk yahoo gedumpt, zonder mijn e-mail ooit nog in te kunnen zien. Daarop een ander e-mail account genomen. Bij het advies van de expert hierboven om alleen een sterk wachtwoord te gebruiken krijg ik zowat een hartverlamming. Ik zie al gebeuren dat ik al mijn gegevens op al mijn accounts vaarwel kan zeggen omdat anonieme, onvindbare computers mijn honderden geprobeerde sterke wachtwoorden stuk voor stuk afwijzen!
Door Anoniem:
Als iemand anders ook inlogt dan gaat me dat een keer opvallen.
Door Anoniem:
Als ik inlog krijg ik te zien wanneer ik de vorige keer ingelogd heb en vanaf welk IP adres.Dus wellicht vooral leuk voor een volgende poll : hoe vaak ben jij slachtoffer geweest van een gehakt account?
Een betere vraag is: hoe vaak heb je gemerkt dat je account gehacked is geweest? Want een indringer die puur meekijkt/meeleest en niks veranderd, kan best goed onopgemerkt blijven.Als iemand anders ook inlogt dan gaat me dat een keer opvallen.
Juist. Voor jou is 2FA niet nodig. Jij gebruikt een systeem dat je meldt wanneer je voor het laatst bent ingelogd. Als iemand anders heeft ingelogd, zie je dat. Is dat echter niet net te laat? Kun je er niet beter voor zorgen dat niemand in kan loggen?
Gebruik je trouwens alleen maar systemen die dat melden?
Verder zullen er veel mensen zijn die dergelijke systemen niet gebruiken. Die denken door het advies van die "security specialist" en jouw reactie dat zij niet aan de 2FA hoeven.
Dan heb ik het nog niet eens over al die mensen die in phishing mail trappen.
Peter
Hoe zit het eigenlijk met de opgeslagen wachtwoorden in FireFox? Lokaal makkelijk te benaderen, maar geldt dit ook voor iemand op afstand? Of lukt dit pas wanneer iemand volledig jouw PC kan besturen?
Enkele sites, waar ik regelmatig inlog en om privacy gevoelige informatie gaat en/of misbruikt kunnen worden, durf ik niet te laten onthouden door Firefox, die vullen we maar met de hand in.
Enkele sites, waar ik regelmatig inlog en om privacy gevoelige informatie gaat en/of misbruikt kunnen worden, durf ik niet te laten onthouden door Firefox, die vullen we maar met de hand in.
Door Anoniem:
Juist. Voor jou is 2FA niet nodig. Jij gebruikt een systeem dat je meldt wanneer je voor het laatst bent ingelogd. Als iemand anders heeft ingelogd, zie je dat. Is dat echter niet net te laat? Kun je er niet beter voor zorgen dat niemand in kan loggen?
Gebruik je trouwens alleen maar systemen die dat melden?
Verder zullen er veel mensen zijn die dergelijke systemen niet gebruiken. Die denken door het advies van die "security specialist" en jouw reactie dat zij niet aan de 2FA hoeven.
Dan heb ik het nog niet eens over al die mensen die in phishing mail trappen.
Peter
Door Anoniem:
Als iemand anders ook inlogt dan gaat me dat een keer opvallen.
Door Anoniem:
Als ik inlog krijg ik te zien wanneer ik de vorige keer ingelogd heb en vanaf welk IP adres.Dus wellicht vooral leuk voor een volgende poll : hoe vaak ben jij slachtoffer geweest van een gehakt account?
Een betere vraag is: hoe vaak heb je gemerkt dat je account gehacked is geweest? Want een indringer die puur meekijkt/meeleest en niks veranderd, kan best goed onopgemerkt blijven.Als iemand anders ook inlogt dan gaat me dat een keer opvallen.
Juist. Voor jou is 2FA niet nodig. Jij gebruikt een systeem dat je meldt wanneer je voor het laatst bent ingelogd. Als iemand anders heeft ingelogd, zie je dat. Is dat echter niet net te laat? Kun je er niet beter voor zorgen dat niemand in kan loggen?
Gebruik je trouwens alleen maar systemen die dat melden?
Verder zullen er veel mensen zijn die dergelijke systemen niet gebruiken. Die denken door het advies van die "security specialist" en jouw reactie dat zij niet aan de 2FA hoeven.
Dan heb ik het nog niet eens over al die mensen die in phishing mail trappen.
Peter
Peter,
Wat jij niet weet maar ik wel is dat de eerste anoniem niet gelijk is aan de tweede anoniem en/of zelfs de derde.
Waar derde anoniem vermoedelijk op doelde is op webmail van een willekeurige service die die mogelijkheid geeft en vermoedelijk niet op gebruik van lokaal geïnstalleerde mailsoftware.
Wat ik, de eerste anoniem, ter discussie stel is de relevantie, dat doe ik overigens naar aanleiding van iemand anders in het nieuwsbericht die ook een afweging maakt in relevantie.
Wat ik me anders gezegd afvraag is waarom ik een helm op zou doen om mijn koppie tegen vallende takken te beschermen als ik in het dagelijks leven eigenlijk nooit te maken krijg met vallende takken.
Wat moet gezegd, ik woon niet in een bos en pas op met storm.
De analogie uitgelegd, we gaan er wel vanuit dat accounts vaak gehackt worden, wat met name jarenlang vooral het geval was met Hotmail en geloof ik ook met Yahoo, dan is het een relevant probleem.
De tijden zijn echter veranderd en de vraag is nu misschien echter eerst hoe relevant het is alvorens in een discussie over een oplossing over elkaar heen te vallen.
Dus ben ik zeer benieuwd : hoe vaak heb jij het meegemaakt dat je account is gehackt (dat merk je echt vroeg of laat omdat in geval van fraude jouw mailcontacten met rara verzoeken worden benaderd en zij jou op enig moment daarop attent maken).
Ik zeg dus niet dat factor 2 password-opgave niet hoeft, ik zet hooguit vraagtekens bij de motivatie en de relevantie omdat ik wat basis informatie mis.
Door Anoniem:
Peter,
Wat jij niet weet maar ik wel is dat de eerste anoniem niet gelijk is aan de tweede anoniem en/of zelfs de derde.
Waar derde anoniem vermoedelijk op doelde is op webmail van een willekeurige service die die mogelijkheid geeft en vermoedelijk niet op gebruik van lokaal geïnstalleerde mailsoftware.
Wat ik, de eerste anoniem, ter discussie stel is de relevantie, dat doe ik overigens naar aanleiding van iemand anders in het nieuwsbericht die ook een afweging maakt in relevantie.
Wat ik me anders gezegd afvraag is waarom ik een helm op zou doen om mijn koppie tegen vallende takken te beschermen als ik in het dagelijks leven eigenlijk nooit te maken krijg met vallende takken.
Wat moet gezegd, ik woon niet in een bos en pas op met storm.
De analogie uitgelegd, we gaan er wel vanuit dat accounts vaak gehackt worden, wat met name jarenlang vooral het geval was met Hotmail en geloof ik ook met Yahoo, dan is het een relevant probleem.
De tijden zijn echter veranderd en de vraag is nu misschien echter eerst hoe relevant het is alvorens in een discussie over een oplossing over elkaar heen te vallen.
Dus ben ik zeer benieuwd : hoe vaak heb jij het meegemaakt dat je account is gehackt (dat merk je echt vroeg of laat omdat in geval van fraude jouw mailcontacten met rara verzoeken worden benaderd en zij jou op enig moment daarop attent maken).
Ik zeg dus niet dat factor 2 password-opgave niet hoeft, ik zet hooguit vraagtekens bij de motivatie en de relevantie omdat ik wat basis informatie mis.
Ik vind jouw vergelijking niet opgaan (letop: ik vind).Door Anoniem:
Juist. Voor jou is 2FA niet nodig. Jij gebruikt een systeem dat je meldt wanneer je voor het laatst bent ingelogd. Als iemand anders heeft ingelogd, zie je dat. Is dat echter niet net te laat? Kun je er niet beter voor zorgen dat niemand in kan loggen?
Gebruik je trouwens alleen maar systemen die dat melden?
Verder zullen er veel mensen zijn die dergelijke systemen niet gebruiken. Die denken door het advies van die "security specialist" en jouw reactie dat zij niet aan de 2FA hoeven.
Dan heb ik het nog niet eens over al die mensen die in phishing mail trappen.
Peter
Door Anoniem:
Als iemand anders ook inlogt dan gaat me dat een keer opvallen.
Door Anoniem:
Als ik inlog krijg ik te zien wanneer ik de vorige keer ingelogd heb en vanaf welk IP adres.Dus wellicht vooral leuk voor een volgende poll : hoe vaak ben jij slachtoffer geweest van een gehakt account?
Een betere vraag is: hoe vaak heb je gemerkt dat je account gehacked is geweest? Want een indringer die puur meekijkt/meeleest en niks veranderd, kan best goed onopgemerkt blijven.Als iemand anders ook inlogt dan gaat me dat een keer opvallen.
Juist. Voor jou is 2FA niet nodig. Jij gebruikt een systeem dat je meldt wanneer je voor het laatst bent ingelogd. Als iemand anders heeft ingelogd, zie je dat. Is dat echter niet net te laat? Kun je er niet beter voor zorgen dat niemand in kan loggen?
Gebruik je trouwens alleen maar systemen die dat melden?
Verder zullen er veel mensen zijn die dergelijke systemen niet gebruiken. Die denken door het advies van die "security specialist" en jouw reactie dat zij niet aan de 2FA hoeven.
Dan heb ik het nog niet eens over al die mensen die in phishing mail trappen.
Peter
Peter,
Wat jij niet weet maar ik wel is dat de eerste anoniem niet gelijk is aan de tweede anoniem en/of zelfs de derde.
Waar derde anoniem vermoedelijk op doelde is op webmail van een willekeurige service die die mogelijkheid geeft en vermoedelijk niet op gebruik van lokaal geïnstalleerde mailsoftware.
Wat ik, de eerste anoniem, ter discussie stel is de relevantie, dat doe ik overigens naar aanleiding van iemand anders in het nieuwsbericht die ook een afweging maakt in relevantie.
Wat ik me anders gezegd afvraag is waarom ik een helm op zou doen om mijn koppie tegen vallende takken te beschermen als ik in het dagelijks leven eigenlijk nooit te maken krijg met vallende takken.
Wat moet gezegd, ik woon niet in een bos en pas op met storm.
De analogie uitgelegd, we gaan er wel vanuit dat accounts vaak gehackt worden, wat met name jarenlang vooral het geval was met Hotmail en geloof ik ook met Yahoo, dan is het een relevant probleem.
De tijden zijn echter veranderd en de vraag is nu misschien echter eerst hoe relevant het is alvorens in een discussie over een oplossing over elkaar heen te vallen.
Dus ben ik zeer benieuwd : hoe vaak heb jij het meegemaakt dat je account is gehackt (dat merk je echt vroeg of laat omdat in geval van fraude jouw mailcontacten met rara verzoeken worden benaderd en zij jou op enig moment daarop attent maken).
Ik zeg dus niet dat factor 2 password-opgave niet hoeft, ik zet hooguit vraagtekens bij de motivatie en de relevantie omdat ik wat basis informatie mis.
Inderdaad is het dat een gemiddelde persoon bijna niet tot nooit te maken krijgt met een account dat wordt gehacked, of vallende takken for that matter.
Maar, gezien hoe belangrijk email tegenwoordig is, is het toch handig om 2FA to gebruiken in geval van. Het zekere voor het onzekere nemen. Je wilt niet dat iemand door je oude mail gaat wroeten om zo aan belangrijke mailtjes komt waarmee:
Online services zwak worden voor social engineering(met het juiste mailadres, persoonsgegevens en een beetje toneelspelerij kom je al ver)
Blackmail materiaal tegen jou gevonden wordt
Andere informatie op straat komt, wat je simpelweg niet publiekelijk wilt hebben.
Ik denk dat een betere voorbeeld voor 2FA is of je je gordel omdoet als je auto rijd. Hoe vaak komt de gemiddelde persoon in een botsing waar een gordel potentieel z'n leven kan redden? Bijna nooit....Toch maar omdoen in geval van.
Misschien een relevante voorbeeld.
Recent was Lastpass z'n gebruikers database gestolen, dus ook inclusief gecodeerde wachtwoord databases van klanten. Nadat ik wat onderzoek zelf heb gedaan, ging ik lachend verder met m'n leven. Sterk wachtwoord dat nergens anders was gebruik en 2FA. En het feit dat op mijn Lastpass alleen vanuit Nederland ingelogd kan worden.
Door bbecko:
Inderdaad is het dat een gemiddelde persoon bijna niet tot nooit te maken krijgt met een account dat wordt gehacked, of vallende takken for that matter.
Maar, gezien hoe belangrijk email tegenwoordig is, is het toch handig om 2FA to gebruiken in geval van.
Door Anoniem:
Peter,
Wat jij niet weet maar ik wel is dat de eerste anoniem niet gelijk is aan de tweede anoniem en/of zelfs de derde.
Waar derde anoniem vermoedelijk op doelde is op webmail van een willekeurige service die die mogelijkheid geeft en vermoedelijk niet op gebruik van lokaal geïnstalleerde mailsoftware.
Wat ik, de eerste anoniem, ter discussie stel is de relevantie, dat doe ik overigens naar aanleiding van iemand anders in het nieuwsbericht die ook een afweging maakt in relevantie.
Wat ik me anders gezegd afvraag is waarom ik een helm op zou doen om mijn koppie tegen vallende takken te beschermen als ik in het dagelijks leven eigenlijk nooit te maken krijg met vallende takken.
Wat moet gezegd, ik woon niet in een bos en pas op met storm.
De analogie uitgelegd, we gaan er wel vanuit dat accounts vaak gehackt worden, wat met name jarenlang vooral het geval was met Hotmail en geloof ik ook met Yahoo, dan is het een relevant probleem.
De tijden zijn echter veranderd en de vraag is nu misschien echter eerst hoe relevant het is alvorens in een discussie over een oplossing over elkaar heen te vallen.
Dus ben ik zeer benieuwd : hoe vaak heb jij het meegemaakt dat je account is gehackt (dat merk je echt vroeg of laat omdat in geval van fraude jouw mailcontacten met rara verzoeken worden benaderd en zij jou op enig moment daarop attent maken).
Ik zeg dus niet dat factor 2 password-opgave niet hoeft, ik zet hooguit vraagtekens bij de motivatie en de relevantie omdat ik wat basis informatie mis.
Door Anoniem:
Juist. Voor jou is 2FA niet nodig. Jij gebruikt een systeem dat je meldt wanneer je voor het laatst bent ingelogd. Als iemand anders heeft ingelogd, zie je dat. Is dat echter niet net te laat? Kun je er niet beter voor zorgen dat niemand in kan loggen?
Gebruik je trouwens alleen maar systemen die dat melden?
Verder zullen er veel mensen zijn die dergelijke systemen niet gebruiken. Die denken door het advies van die "security specialist" en jouw reactie dat zij niet aan de 2FA hoeven.
Dan heb ik het nog niet eens over al die mensen die in phishing mail trappen.
Peter
Door Anoniem:
Als iemand anders ook inlogt dan gaat me dat een keer opvallen.
Door Anoniem:
Als ik inlog krijg ik te zien wanneer ik de vorige keer ingelogd heb en vanaf welk IP adres.Dus wellicht vooral leuk voor een volgende poll : hoe vaak ben jij slachtoffer geweest van een gehakt account?
Een betere vraag is: hoe vaak heb je gemerkt dat je account gehacked is geweest? Want een indringer die puur meekijkt/meeleest en niks veranderd, kan best goed onopgemerkt blijven.Als iemand anders ook inlogt dan gaat me dat een keer opvallen.
Juist. Voor jou is 2FA niet nodig. Jij gebruikt een systeem dat je meldt wanneer je voor het laatst bent ingelogd. Als iemand anders heeft ingelogd, zie je dat. Is dat echter niet net te laat? Kun je er niet beter voor zorgen dat niemand in kan loggen?
Gebruik je trouwens alleen maar systemen die dat melden?
Verder zullen er veel mensen zijn die dergelijke systemen niet gebruiken. Die denken door het advies van die "security specialist" en jouw reactie dat zij niet aan de 2FA hoeven.
Dan heb ik het nog niet eens over al die mensen die in phishing mail trappen.
Peter
Peter,
Wat jij niet weet maar ik wel is dat de eerste anoniem niet gelijk is aan de tweede anoniem en/of zelfs de derde.
Waar derde anoniem vermoedelijk op doelde is op webmail van een willekeurige service die die mogelijkheid geeft en vermoedelijk niet op gebruik van lokaal geïnstalleerde mailsoftware.
Wat ik, de eerste anoniem, ter discussie stel is de relevantie, dat doe ik overigens naar aanleiding van iemand anders in het nieuwsbericht die ook een afweging maakt in relevantie.
Wat ik me anders gezegd afvraag is waarom ik een helm op zou doen om mijn koppie tegen vallende takken te beschermen als ik in het dagelijks leven eigenlijk nooit te maken krijg met vallende takken.
Wat moet gezegd, ik woon niet in een bos en pas op met storm.
De analogie uitgelegd, we gaan er wel vanuit dat accounts vaak gehackt worden, wat met name jarenlang vooral het geval was met Hotmail en geloof ik ook met Yahoo, dan is het een relevant probleem.
De tijden zijn echter veranderd en de vraag is nu misschien echter eerst hoe relevant het is alvorens in een discussie over een oplossing over elkaar heen te vallen.
Dus ben ik zeer benieuwd : hoe vaak heb jij het meegemaakt dat je account is gehackt (dat merk je echt vroeg of laat omdat in geval van fraude jouw mailcontacten met rara verzoeken worden benaderd en zij jou op enig moment daarop attent maken).
Ik zeg dus niet dat factor 2 password-opgave niet hoeft, ik zet hooguit vraagtekens bij de motivatie en de relevantie omdat ik wat basis informatie mis.
Inderdaad is het dat een gemiddelde persoon bijna niet tot nooit te maken krijgt met een account dat wordt gehacked, of vallende takken for that matter.
Maar, gezien hoe belangrijk email tegenwoordig is, is het toch handig om 2FA to gebruiken in geval van.
Op zich niet mee oneens.
Gr. Ano1
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
