image

Microsoft verbiedt veelgebruikte wachtwoorden

woensdag 25 mei 2016, 17:47 door Redactie, 10 reacties

Om te voorkomen dat de accounts van gebruikers door het gebruik van zwakke wachtwoorden worden gehackt, heeft Microsoft besloten om veelgebruikte wachtwoorden te verbieden. De maatregel wordt al toegepast voor Microsoft Accounts en de testversie van Azure AD.

In de komende maanden zal de maatregel onder alle 10 miljoen gebruikers van Azure AD worden uitgerold. Microsoft ziet naar eigen zeggen hoe dagelijks meer dan 10 miljoen accocunts worden aangevallen. "We hebben dus veel gegevens over welke wachtwoorden in die aanvallen worden gebruikt. We gebruiken deze data om een dynamische lijst van verboden wachtwoorden bij te houden", laat Alex Weinert van het Azure AD Identity Protection-team in een blogposting weten. De lijst wordt gebruikt om gebruikers geen veel voorkomende wachtwoorden te laten kiezen. In dit geval krijgen gebruikers een melding dat ze een wachtwoord moeten kiezen dat lastig voor mensen is om te raden.

Daarnaast maakt Microsoft ook gebruik van een systeem genaam "Smart Password Lockout". Als een aanvaller te vaak op een account probeert in te loggen vindt er een "lockout" plaats of moet er een captcha worden ingevoerd. Volgens Microsoft zorgt het systeem ervoor dat alleen de aanvaller hier last van heeft, terwijl de echte gebruiker hier niets van merkt. Zo wordt er bijvoorbeeld gekeken vanaf welke computer of netwerk iemand inlogt. Volgens Microsoft is het systeem zeer effectief, omdat het in 54% van de gevallen ervoor zorgt dat een aanvaller niet bij het account kan, zonder dat de gebruiker hier last van heeft.

Reacties (10)
25-05-2016, 18:57 door Fwiffo
Voor een manier om cryptografisch sterke wachtwoorden te maken waar verder geen creativiteit voor nodig is, zie:
https://www.security.nl/posting/470888#posting470988

Zie ook de reacties van Anoniem om ditzelfde via /dev/random in linux te doen... (makkelijker, mits je linux hebt)...

12 tekens uit een set van 95 heeft een entropie van 6,570 per teken ofwel 78,8 per wachtwoord.
Ter vergelijking, 13 tekens uit een set van 62 (zie link) heeft een entropie van 5,954 per teken, ofwel 77,4 per wachtwoord.
25-05-2016, 22:19 door [Account Verwijderd] - Bijgewerkt: 25-05-2016, 22:28
Wachtwoordgenerator. Zinnig ding. Een van de velen:

https://www.securesafepro.com/pasgen.html

Geschikt voor W7 t/m 10
Ik gebruik dit progje (freeware) al een tijd. Het bevalt mij prima en het toont bij elk gegenereerd wachtwoord de hoogte van de entropie, ofwel wanorde.
(Hoe hoger de entropie/wanorde; hoe sterker het wachtwoord)

Het enige 'nadeel' qua layout heeft niets te maken met de functionaliteit maar is slechts een reclame onderin het programma venster om een wachtwoordbeheerder aan te schaffen.

Op de website van de ontwikkelaar zie je bedoelde reclame niet vandaar een Screenshot:

http://i.imgur.com/3UnhEAk.jpg
25-05-2016, 23:10 door donnerd
Ik gebruik hiervoor 1password, daarmee kan ik wachtwoorden generen en deze versleuteld opslaan.
Hierdoor hoef ik maar 1 wachtwoord te onthouden.
25-05-2016, 23:14 door Anoniem
Door Aha: Wachtwoordgenerator. Zinnig ding. Een van de velen:

https://www.securesafepro.com/pasgen.html

Geschikt voor W7 t/m 10
Ik gebruik dit progje (freeware) al een tijd. Het bevalt mij prima en het toont bij elk gegenereerd wachtwoord de hoogte van de entropie, ofwel wanorde.
(Hoe hoger de entropie/wanorde; hoe sterker het wachtwoord)

Het enige 'nadeel' qua layout heeft niets te maken met de functionaliteit maar is slechts een reclame onderin het programma venster om een wachtwoordbeheerder aan te schaffen.

Op de website van de ontwikkelaar zie je bedoelde reclame niet vandaar een Screenshot:

http://i.imgur.com/3UnhEAk.jpg
Er staat niet bij wie achter deze software zitten. Heb de hele site afgezocht maar geen adres, alleen een contact formulier. Niet echt Transparante bedoening als je het mij vraagt. Ok dat het freeware software is ok, maar je wilt toch weten met wie je in zee gaat. Je trouwt ook niet met de eerste de beste vrouw of man voor je hem wat beter kent.
26-05-2016, 07:29 door Anoniem
Lastpass, genereert sterke wachtwoorden en onthoudt ze ook nog voor je. Wat mij betreft de makkelijkste en beste password manager. Ook niet onbelangrijk, ondersteunt two-factor authenticatie voor nog betere beveiliging van je wachtwoorden.
26-05-2016, 11:15 door Anoniem
Het enige 'nadeel' qua layout heeft niets te maken met de functionaliteit maar is slechts een reclame onderin het programma venster om een wachtwoordbeheerder aan te schaffen.

Ik snap niet dat mensen geld vragen voor zoiets simpels. Als je graag de reclame weg wilt is deze code wel handig: PASGENERATORUTZ (fairtrade, UTZ Certified)
Dit programma berekend de entropy ook verkeerd, waardoor een slechte wachtwoord dezelfde score krijgt.

Keepass heeft ook een functie om wachtwoorden te genereren.
26-05-2016, 15:58 door musiman
Waarom moeilijk doen, wanneer het ook gemakkelijk kan? Gratis in Windows Powershell.

Add-Type -Assembly System.Web
[Web.Security.Membership]::GeneratePassword(12,3)

Dit genereert een wachtwoord van 12 karakters, waarvan er 3 non-alfanumeriek zijn. :P
27-05-2016, 00:26 door [Account Verwijderd] - Bijgewerkt: 27-05-2016, 00:26
Anoniem van 25-02, 11:15 uur,

Hier op Security.nl ga jij een Serial Code Generator aanbevelen ??? ! !

Helemaal bont maak je het door te schermen of deze vanwege UTZ Certified, PASGENERATORUTZ dan veilig zou zijn?

(Zie: https://nl.wikipedia.org/wiki/UTZ_Certified ...en lach je krom)
27-05-2016, 08:59 door Anoniem
Om te voorkomen dat de accounts van gebruikers door het gebruik van zwakke wachtwoorden worden gehackt, heeft Microsoft besloten om veelgebruikte wachtwoorden te verbieden

Met het verbieden van veel gebruikte wachtwoorden voorkom je *niet* het gebruik van zwakke wachtwoorden. Overigens moeten zwakke wachtwoorden per definitie worden gewijzigd. Waarom kunnen gebruikers anno 2016 nog zwakke wachtwoorden kiezen.

Het is tijd dat IT-ers die systemen bouwen er zorg voor dragen dat dit niet kan, middels goede security controls. Zodat -eindeijk- het proberen om via awareness te voorkomen dat er zwakke wachtwoorden worden gebruikt, een issue uit het verleden is.

Indien gebruikers zwakke wachtwoorden kunnen gebruiken, dan laat dit immers vooral zien dat de architecten en/of beheerders van het systeem niet capabel zijn. Misschien moeten die zelf wat meer aan hun eigen ''awareness'' doen.....
27-05-2016, 09:01 door Anoniem
Volgens Microsoft is het systeem zeer effectief, omdat het in 54% van de gevallen ervoor zorgt dat een aanvaller niet bij het account kan, zonder dat de gebruiker hier last van heeft.

Zeer effectief. Wanneer het systeem in 46% van de gevallen niet voldoet ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.