image

Britse overheid: Plakken van wachtwoorden is prima

vrijdag 19 mei 2017, 14:04 door Redactie, 10 reacties

Sommige websites verbieden gebruikers om hun wachtwoord in het wachtwoordveld te plakken, maar volgens het National Cyber Security Centre (NCSC) van de Britse overheid is het plakken van wachtwoorden juist prima en komt het de veiligheid van gebruikers ten goede.

Onder andere wachtwoordmanagers maken gebruik van het plakken van wachtwoorden. Wachtwoordmanagers laten gebruikers voor elke website een ander wachtwoord gebruiken en maken het eenvoudig om met lange wachtwoorden te werken. Als het niet mogelijk is om automatisch wachtwoorden op websites in te voeren zullen gebruikers hetzelfde wachtwoord voor meerdere websites hergebruiken en eenvoudige wachtwoorden kiezen. Ook is er de mogelijkheid dat gebruikers het wachtwoord zullen opschrijven en in de buurt van de computer zullen bewaren, aldus een onderzoeker van het NCSC.

Er zijn echter ook tegenstanders van het plakken van wachtwoorden. Hierdoor is het bijvoorbeeld mogelijk om bruteforce-aanvallen uit te voeren. Volgens het NCSC is dit in de praktijk een klein risico, omdat aanvallers ook van programmeerinterfaces (api's) gebruik kunnen maken waardoor ze veel sneller wachtwoorden kunnen proberen. Een ander kritiekpunt is dat het plakken van wachtwoorden ervoor zorgt dat mensen ze eerder vergeten. Een probleem dat door wachtwoordmanagers juist wordt opgelost, gaat de onderzoeker verder.

Als laatste kritiekpunt is het risico dat wachtwoorden via het klembord beschikbaar zijn. Ook dit is in de praktijk een klein risico. De meeste wachtwoordmanagers wissen het klembord nadat ze het wachtwoord hebben geplakt. Daarnaast kan malware op de computer het klembord kopiëren, maar in deze situatie kan het ook op allerlei andere manieren inloggegevens stelen. Verder is in het IE6 mogelijk voor websites om de inhoud van het klembord uit te lezen, maar het aantal IE6-gebruikers is zeer klein. Het NCSC roept organisaties en websites dan ook op om gebruikers toe te staan wachtwoorden te plakken.

Reacties (10)
19-05-2017, 14:36 door Anoniem
Het helpt ook tegen een eventuele keylogger op de computer...
19-05-2017, 14:37 door Anoniem
Met Tempest kun je zien wat er op een TFT scherm staat, vaak door dikke muren en een afstandje, omdat de video kaart en kabels lekken. Ook dingen als een PCI bus trouwens.

Check Tempest 4 Eliza maar op Linux. Hiermee kun je, heel ludiek, melodietjes afspelen op je monitor (pixels) en terugkomen op een wereldontvanger in een andere ruimte.

Dus wachtwoord op je scherm tonen is absoluut minder veilig dan copy pasten..
19-05-2017, 14:38 door Anoniem
Ja, een wachtwoord als "A%c725D!#99JhIilo0pP21"
Ga ik echt niet handmatig intikken hoor,.
Daar zijn juist die wachtwoord managers voor.

Maargoed,. ik laat deze link hier even voor wie er interesse in heeft,. ik vond het een zeer goede presentatie in elk geval:
- https://channel9.msdn.com/Events/TechDays/Techdays-2016-The-Netherlands/Thanks-for-lending-me-your-password
19-05-2017, 14:48 door Anoniem
Met plakken vermijd je toch keyloggers?
19-05-2017, 15:01 door Anoniem
IE6?! Welke volslagen idioot werkt daar nu nog mee? Het was al een wanproduct toen het net uit was (hoezo, standaarden volgen...?).
19-05-2017, 17:42 door Anoniem
Dit gaat weer nergens over, lijkt het. Iets met een mug en een olifant.
19-05-2017, 19:56 door Vixen
Niet iedereen hier weet dat allicht, maar op Windows mag een programma met elk level van security (dus ook non-admin programmas) op elk willekeurige moment toegang nemen tot het klembord. Dus kwaadaardige software hoeft enkel heel vaak het plakbord te loggen om zo je wachtwoorden te krijgen.
19-05-2017, 20:05 door Anoniem
Door Anoniem: Met plakken vermijd je toch keyloggers?

Moderne keyloggers loggen copypaste buffers en mouseclicks (denk aan OSD keyboards)
20-05-2017, 13:12 door Anoniem
Leuk bedacht, maar makkelijk omzeild middels js (wat in 9 vd 10 gevallen bij deze inlogformulieren meedraait).
Gewoon de user-input geven voor de paste-opdracht in een onzichtbaar invoerveld en dat met een form wegjagen; succesvol wachtwoord gestolen. Pak het voorbeeld van wachtwoordmanagers en je hoeft alleen nog maar het domein waar het formulier voor bedoeld is te vervalsen en naar een ander domein wegjagen; nog gevaarlijker!
22-05-2017, 06:18 door Anoniem
Door Vixen: Niet iedereen hier weet dat allicht, maar op Windows mag een programma met elk level van security (dus ook non-admin programmas) op elk willekeurige moment toegang nemen tot het klembord. Dus kwaadaardige software hoeft enkel heel vaak het plakbord te loggen om zo je wachtwoorden te krijgen.
Tja, nou en? Op een gecompromitteerd systeem is geen enkel wachtwoord nog veilig.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.