Nieuws

Britse overheid: Plakken van wachtwoorden is prima

vrijdag 19 mei 2017, 14:04 door Redactie, 10 reacties

Sommige websites verbieden gebruikers om hun wachtwoord in het wachtwoordveld te plakken, maar volgens het National Cyber Security Centre (NCSC) van de Britse overheid is het plakken van wachtwoorden juist prima en komt het de veiligheid van gebruikers ten goede.

Onder andere wachtwoordmanagers maken gebruik van het plakken van wachtwoorden. Wachtwoordmanagers laten gebruikers voor elke website een ander wachtwoord gebruiken en maken het eenvoudig om met lange wachtwoorden te werken. Als het niet mogelijk is om automatisch wachtwoorden op websites in te voeren zullen gebruikers hetzelfde wachtwoord voor meerdere websites hergebruiken en eenvoudige wachtwoorden kiezen. Ook is er de mogelijkheid dat gebruikers het wachtwoord zullen opschrijven en in de buurt van de computer zullen bewaren, aldus een onderzoeker van het NCSC.

Er zijn echter ook tegenstanders van het plakken van wachtwoorden. Hierdoor is het bijvoorbeeld mogelijk om bruteforce-aanvallen uit te voeren. Volgens het NCSC is dit in de praktijk een klein risico, omdat aanvallers ook van programmeerinterfaces (api's) gebruik kunnen maken waardoor ze veel sneller wachtwoorden kunnen proberen. Een ander kritiekpunt is dat het plakken van wachtwoorden ervoor zorgt dat mensen ze eerder vergeten. Een probleem dat door wachtwoordmanagers juist wordt opgelost, gaat de onderzoeker verder.

Als laatste kritiekpunt is het risico dat wachtwoorden via het klembord beschikbaar zijn. Ook dit is in de praktijk een klein risico. De meeste wachtwoordmanagers wissen het klembord nadat ze het wachtwoord hebben geplakt. Daarnaast kan malware op de computer het klembord kopiëren, maar in deze situatie kan het ook op allerlei andere manieren inloggegevens stelen. Verder is in het IE6 mogelijk voor websites om de inhoud van het klembord uit te lezen, maar het aantal IE6-gebruikers is zeer klein. Het NCSC roept organisaties en websites dan ook op om gebruikers toe te staan wachtwoorden te plakken.

Twitter stopt ondersteuning Do Not Track-instelling browsers

WannaCry-ransomware infecteert medische apparatuur

Reacties (10)

19-05-2017, 14:36 door Anoniem

Het helpt ook tegen een eventuele keylogger op de computer...

19-05-2017, 14:37 door Anoniem

Met Tempest kun je zien wat er op een TFT scherm staat, vaak door dikke muren en een afstandje, omdat de video kaart en kabels lekken. Ook dingen als een PCI bus trouwens.

Check Tempest 4 Eliza maar op Linux. Hiermee kun je, heel ludiek, melodietjes afspelen op je monitor (pixels) en terugkomen op een wereldontvanger in een andere ruimte.

Dus wachtwoord op je scherm tonen is absoluut minder veilig dan copy pasten..

19-05-2017, 14:38 door Anoniem

Ja, een wachtwoord als "A%c725D!#99JhIilo0pP21"
Ga ik echt niet handmatig intikken hoor,.
Daar zijn juist die wachtwoord managers voor.

Maargoed,. ik laat deze link hier even voor wie er interesse in heeft,. ik vond het een zeer goede presentatie in elk geval:
- https://channel9.msdn.com/Events/TechDays/Techdays-2016-The-Netherlands/Thanks-for-lending-me-your-password

19-05-2017, 14:48 door Anoniem

Met plakken vermijd je toch keyloggers?

19-05-2017, 15:01 door Anoniem

IE6?! Welke volslagen idioot werkt daar nu nog mee? Het was al een wanproduct toen het net uit was (hoezo, standaarden volgen...?).

19-05-2017, 17:42 door Anoniem

Dit gaat weer nergens over, lijkt het. Iets met een mug en een olifant.

19-05-2017, 19:56 door Vixen

Niet iedereen hier weet dat allicht, maar op Windows mag een programma met elk level van security (dus ook non-admin programmas) op elk willekeurige moment toegang nemen tot het klembord. Dus kwaadaardige software hoeft enkel heel vaak het plakbord te loggen om zo je wachtwoorden te krijgen.

19-05-2017, 20:05 door Anoniem

Door Anoniem: Met plakken vermijd je toch keyloggers?

Moderne keyloggers loggen copypaste buffers en mouseclicks (denk aan OSD keyboards)

20-05-2017, 13:12 door Anoniem

Leuk bedacht, maar makkelijk omzeild middels js (wat in 9 vd 10 gevallen bij deze inlogformulieren meedraait).
Gewoon de user-input geven voor de paste-opdracht in een onzichtbaar invoerveld en dat met een form wegjagen; succesvol wachtwoord gestolen. Pak het voorbeeld van wachtwoordmanagers en je hoeft alleen nog maar het domein waar het formulier voor bedoeld is te vervalsen en naar een ander domein wegjagen; nog gevaarlijker!

22-05-2017, 06:18 door Anoniem

Door Vixen: Niet iedereen hier weet dat allicht, maar op Windows mag een programma met elk level van security (dus ook non-admin programmas) op elk willekeurige moment toegang nemen tot het klembord. Dus kwaadaardige software hoeft enkel heel vaak het plakbord te loggen om zo je wachtwoorden te krijgen.

Tja, nou en? Op een gecompromitteerd systeem is geen enkel wachtwoord nog veilig.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer