Sjeemig wat een naïevelingen op security.nl - of spelen jullie allemaal advocaat van de duivel? Met als bijwerking dat amateuradmins denken "zie je wel, zelfs op security.nl staan velen achter het concept van
denk vooral aan jezelf en niet aan de sukkels die hier inloggen"?
28-05-2016, 11:51 door Anoniem: Je verzekeraar heeft vast een beperking dat je max. 5 keer mag proberen voor het account volledig wordt geblokkeerd?
Als dat in alle gevallen zo zou zijn, volstaat een pincode van 4 cijfers; op je bankpas is dat ook goed genoeg (zo goed dat skimmers veel moeite doen om ook de ingetikte pincode te achterhalen). Vermoei me dan niet met minstens 8 karakters met daarin tenminste 1 kleine-, 1 hoofdletter, 1 cijfer en 1 leesteken, waarin bovendien niets van je eigen naam en de naam van de site mag terugkomen.
Probleem: bij de meeste sites werkt account lockout geheel niet of kan worden omzeild. En, "omdat de klant er toch bij moet kunnen" treden er, na account lockout, vaak "wachtwoord vergeten" mechanismes in werking waarmee de klant (of de aanvaller) alsnog kan inloggen. Want antwoorden op bijv. de vraag naar de meisjesnaam van de moeder staat gewoon op Facebook.
Kom maar kom maar kom maar op met de reactie "maar dat ligt aan de stommiteit van die gebruikers". Maar als je toch
weet dat dit de praktijk is, hoe naïef ben je dan als je zo'n mechanisme bedenkt? Ligt een fatsoenlijke risicoanalyse (waar je verderop naar refereert) hieraan ten grondslag, waarbij deze, algemeen bekende, informatie is meegenomen?
Een miskend groot probleem is onrechtmatige toegang tot een e-mail account van een klant, want veel password reset systemen maken gebruik van die route. Helemaal dramatisch is het dan als jouw site gehacked wordt (waarbij niet of slecht gehashte wachtwoorden worden gekopieerd en gepubliceerd) en sommige gebruikers hetzelfde wachtwoord voor hun webmail blijken te gebruiken - als
gevolg van de naïeve inlogsystemen die worden bedacht - en die jij goedkeurt.
Aan de andere kant, op sommige sites is het systeem "zo goed" dat ook de
rechtmatige eigenaar er niet meer bij kan (lang leve de cloud waarbij niemand weet of je een hond bent [1]. Ik had zelf een oud Hotmail account (waar ik mail van Microsoft in ontving) waar ik al ca. 2 jaar niet op had ingelogd, en nu kom ik er helemaal niet meer in (waarschijnlijk heb ik een melding over het moeten wijzigen van mijn wachtwoord, ook niet gezien). Ik kon namelijk niet iets vertellen over de inhoud van enkele recente e-mails (die ze dan kennelijk ook nog gaan zitten lezen).
Terug naar de wachtwoordeis. Het is aantoonbaar moeilijk (en in veel gevallen onmogelijk) voor mensen om wachtwoorden, die voldoen aan deze eisen, te onthouden voor veel (zeg meer dan 5) websites, vooral als men daar niet regelmatig inlogt (zoals bij een verzekeraar, NUTSbedrijf, sommige webshops etc.) waarbij ook nog eens van ze wordt verwacht om te onthouden welk moeilijk wachtwoord van welke website was. Moet je nagaan dat er dan ook nog sites zijn die eisen dat je jouw wachtwoord regelmatig wijzigt; het moet niet gekker worden...
Daar ken ik 2 goede oplossingen voor:
1) passphrases met een minimale lengte-eis maar dan niet de eis voor kleine/hoofd letters, cijfers en leestekens, want
dan dwing je mensen tot iets anders dan in hen opkwam en ze dus moeilijker of niet kunnen onthouden. Voor websites waar niet regelmatig op wordt ingelogd zal het, voor verreweg de meeste mensen,
noodzakelijk zijn om deze passphrases op te schrijven. Ook dan helpen hoofdlettergevoeligheid en eisen voor cijfers en leestekens niet.
2) random gegenereerde wachtwoorden die de gebruiker in een eigen wachtwoorddatabase opslaat.
De gestelde wachtwoordeisen beperken deze mogelijkheden aanzienlijk en/of verzwakken het systeem onnodig.
28-05-2016, 11:51 door Anoniem: Dan is het enige risico van een iets zwakker wachtwoord dus dat iemand die de database in handen krijgt je ww kan achterhalen?
Dat is niet het enige en grootste risico. Risico's zijn dat het aantal mogelijke wachtwoorden, onnodig, lettelijk gigantisch, wordt beperkt. Daarmee dwing je gebruikers tot onverstandig handelen zoals het hergebruiken van eenvoudige wachtwoorden. En
dat is een risico dat
veel verder strekt dan jouw eigen, wellicht onbelangrijke (gezien de gevoeligheid van gevraagde en/of opgeslagen vertrouwelijke gegevens) website.
28-05-2016, 11:51 door Anoniem: Lijkt me niet echt een groot probleem
"me"? Wie is dat? Vanuit welke achtergrond en kennisniveau?
28-05-2016, 11:51 door Anoniem: Lijkt me niet echt een groot probleem dan:
1. Je wachtwoord is toch per site anders dus niet interessant om te weten
Zie boven (doorsnee mensen kunnen niet veel van dit soort korte, semi-random wachtwoorden onthouden, en dan ook nog eens weten
welk onthouden wachtwoord bij welke site hoort).
28-05-2016, 11:51 door Anoniem:
2. Als dat wachtwoord gelekt is heeft maak ik me meer zorgen om de rest van de gegevens die dan vast mee zijn gegaan (medische data enzo).
In de basis, ja, maar als het gekraakte wachtwoord afkomstig is van de gehackte site van bijv. een reisverzekeraar (en er geen bruikbare bankgegevens zijn ontvreemd), en het wachtwoord wordt hergebruikt (je
kunt natuurlijk je ogen sluiten voor de praktijk), heeft de gebruiker wellicht grotere problemen. Mede doordat jouw site onvoldoende was beveiligd, maar
OOK doordat, onder andere,
jij die gebruiker dwong om een wachtwoord met stompzinnige eisen daaraan te gebruiken.
28-05-2016, 11:51 door Anoniem:
3. Je verzekeraar is verplicht dit te melden. Als de database groot genoeg is weet jij het dus ver voor iemand de hashes heeft achterhaald.
Boewahahaha van onder welke steen ben jij zojuist gekropen? Kruip er maar weer onder en droom verder.
28-05-2016, 11:51 door Anoniem: Dus, gewoon even responsible melden bij die partij
Wil je van mij weten wat zij denken als ze jouw bericht ontvangen?
28-05-2016, 11:51 door Anoniem: en netjes betaald krijgen
LOL! Als ze al iemand betalen, is het meestal hun advocaat.
28-05-2016, 11:51 door Anoniem: zodat ze het ook nog even een keer door hun risico analyse heenhalen.
Als jij denkt dat een mailtje van een of andere klant aanleiding is om een risico-analyse over te doen, door dezelfde onbenullen (die kennelijk geen wetenschappelijke publicaties hierover lezen) die eerder zeiden dat het prima was zo, denk ik inderdaad dat het beter is dat jij weer onder jouw steen kruipt.
[1]
https://en.m.wikipedia.org/wiki/On_the_Internet,_nobody_knows_you%27re_a_dog