Je moet gewoon helemaal geen wachtwoord meer toestaan. Alleen je email achter laten. En dan per login een nieuwe one time login link laten sturen. Ja is kut ervaring voor de gebruiker, maar wel tig keer veiliger.

TheYOSH

Als je door de ING bank wordt geforceerd om het wachtwoord te vernieuwen vanwege het feit dat het te lang geleden is dat je het voor de laatste keer hebt gedaan - dat heb ik ondanks mijn routine om het bij mijn belangrijke wachtwoorden regelmatig te doen een keer meegemaakt - kom je voor een vervelende verassing te staan.
Na invoeren van je oude wachtwoord kom je op een pagina waar je het nieuw wachtwoord moet invoeren, maar de ING stelt restricties aan de lengte en het gebruik van speciale tekens....

En nu komt de aap uit de mouw: In tegenstelling tot de vrijwillige wachtwoordwijzigingsprocedure kun je nergens op deze specifieke vernieuwingspagina de restricties nalezen. Naar een andere ING pagina gaan waar deze informatie te vinden is gaat niet want je bent nog niet ingelogd. Je oude wachtwoord is slechts herkend. Méér niet. Héél irritant als je telkens weer opnieuw tracht een wachtwoord aan te maken maar dat het door een of meerdere van deze beperkingen niet wordt geaccepteerd.

Misschien is de procedure inmiddels aangepast door de ING (ik heb daar indertijd over gebeld) maar het scheelt tijd en irritatie als je alvast voorbereid bent op de situatie door de restricties op papier te hebben.


Mijn mening:
Geen stijl voor een bankinstelling om zo veel beperkingen op te leggen aan de samenstelling van een goed wachtwoord.

Je kunt ook de volgende eis opleggen aan deze websites waar NAW gegevens opgeslagen worden:
Na een foutieve inlogpoging moet je X seconden wachten, waarbij X steeds verdubbelt als er een foutieve inlogpoging gedaan wordt. Dat verhoogt de drempel voor brute force attacks/ dictionary attacks.

Daarnaast zou een webmaster met een simpele loganalyse zo moeten kunnen zien dat er accounts zijn die tientallen, zoniet duizenden, login pogingen hebben gehad en daarover de klant waarschuwen: "Dit device van IP/ locatie heeft >X keer foutief geprobeerd in te loggen. ". Maarja, zoiets kost knaken...

Het allerergst is wanneer je een ijzersterk lang wachtwoord invoert van bv. 64 karakters en het stilzwijgend wordt afgekapt. Dan lijkt de registratie op zo'n site goed te gaan maar kan je daarna toch niet inloggen. Je moet dan de procedure gaan herhalen met steeds kortere wachtwoorden om de limiet te vinden.

Ook oervervelend is van die 'roomser dan de paus' sites waar je de bevestiging van het wachtwoord niet mag plakken in het registratieformulier. Daar ga je met je ingewikkelde automatisch door je passwordmanager gegenereerde wachtwoord van 64 willekeurige tekens! Bijna niet in te tikken dus dan toch maar een korter, onveiliger wachtwoord.

Als een bank dan toch kiest voor een inlogbeleid met o.a. wachtwoord, doe het dan goed.
En dan vind ik de wachtwoordvereisten van ING internetbankieren niet eens zo slecht.
Het is niet meer dan het afdwingen van enige mate van complexiteit van je wachtwoord zodat het moeilijker te raden is.
Het is algemeen bekend dat mensen die weinig sjoege van security hebben anders vaak de allergemakkelijkste wachtwoorden kiezen zoals "11111111" of "12345678". Algemeen bekend betekent dat hackers dat ook weten en dergelijke waarden het eerst uitproberen.

Ik weet dat het omstreden is om eisen aan wachtwoorden te stellen, maar mij lijken deze eisen prima.
Vooral bij een bank als het om jouw geld gaat en een bank wil vermijden kosten te maken doordat de rechter anders later zou kunnen zeggen: "U bent als bank medeverantwoordelijk, u had zulke gemakkelijk te raden wachtwoorden onmogelijk moeten maken".

Inderdaad!
Dat heb ik ook meegemaakt.
Betrof een voorgekauwd wachtwoord van een ijzerwaren winkelsite met blijkbaar enkele nullen en/of hoofdletters O die door het gebruikte font niet te onderscheiden waren. Gek werd ik ervan. Heb dat account nooit geactiveerd.

Ja, ik had dat met de site van infosecurity.nl ... werd afgekapt op 16 tekens o.i.d.... heel irritant en duurde best lang voordat ik door had wat er gebeurde...

Zoiets is me ook eens gebeurd. Wachtwoord aangemaakt met een installatie wizzard die meer tekens toeliet dan de 16 die het apparaat accepteerde. Met de browser kon ik ook altijd inloggen. Uit het script bleek achteraf dat die mijn input altijd op 16 tekens afkapte.

Het ging mis toe ik mijn wachtwoord een keer via een ander medium dan de browser moest gebruiken. Deze stuurde wel de volledige lengte door, waardoor het ww niet gelijk was aan dat wat opgeslagen was. Het heeft tijd gekost om dat te ontdekken omdat ik het 'te lange' wachtwoord al lang zonder problemen gebruikte en daar dus geen fout vermoedde.

Bij bol.com kun je toch alleen maar korte wachtwoorden kiezen. Ik gebruik altijd passphrases maar dat kan niet eens bij bol.com vanwege de karakterlimiet.

Terwijl bij een goede site hoor je het wachtwoord helemaal niet op te slaan, maar je hoort een hash van het wachtwoord te maken. En daarvoor hoort het aantal ingevoerde tekens irrelevant te zijn.

Kijk dat is nog eens heel erg leuk om te lezen: Een positieve draai aan het spreekwoord van 'de slager en zijn vlees!'

@Aha:

Neem nu Digid. Onlangs zijn de eisen nog eens aangescherpt
Minstens 1 kleine letter, 1 hoofdletter, 1 cijfer en een leesteken. Ook moet de wachtwoord combinatie minimaal 8 karakters lang zijn.
(en daarbij nog 2-factor ook)

Mijn mening:
Geen stijl voor een overheidsinstelling om zo veel beperkingen op te leggen aan de samenstelling van een goed wachtwoord. ;) ;) (maar niet heus,

en laat ik toen mijn wachtwoord gewoon hebben kunnen behouden bij Digid, want mijn wachtwoord voldeed al vanaf het begin aan die verscherpte eisen! :D

Met alle respect voor je mening hoor maar dan heb je mijn punt van kritiek niet goed ingezien; tenminste als je daar ook op doelt.
Ik heb geen kritiek op het wachtwoordbeleid van de ING omdat zij beperkingen zouden opleggen aan het gebruik van slechte wachtwoorden. Ik heb kritiek op hun ww-beleid omdat zij allerhande voorwaarden stellen aan het compileren van goede wachtwoorden!
Dat is heel iets anders en tóch even kwalijk als zouden zij wèl toestaan: het gebruik van slechte wachtwoorden.

Volgensmij snap je het niet helemaal. Dit gaat om het bruteforcen van wachtwoorden, en daarbij zijn korte wachtwoorden gewoon makkelijker te bruteforcen dan lange. Dat heeft niets te maken met wel of niet hashen. Dat zou overigens niet eens een vraag moeten zijn. Geen enkele zichzelf respecterende website zal zijn wachtwoorden in plain text opslaan.

Oh ja, dat heb ik ook ooit gehad (wel in browser maar niet mobiel). Dat is inderdaad nog erger!

Maar wat stel je dan voor zodat een simpele Nederlander het ook nog een beetje begrijpt. Wat zouden volgens jou de wachtwoordeisen moeten zijn, wat elke klant snapt en daarbij ook nog een beetje redelijk voor de programmeur van INGbank te programmeren valt?
Vroeger had ik hetzelfde bezwaar als jij hoor, en klaagde ik ook mee bij onze systeembeheerder toen ze er op de zaak mee begonnen. Maar hij moet het wel voor elkaar krijgen en als je alle goede wachtwoorden die buiten de huidige eisen vallen moet toelaten kon dat wel eens ondoenlijk worden. Mettertijd heb ik er begrip voor gekregen.
Ik denk dat je het juist ingewikkeld maakt door ook nog eens allerlei mitsen en maren toe te voegen over wat ook een goed wachtwoord kan zijn. Wij hadden eerder een tijd dat je zonder dat je wist wat een goed wachtwoord was vanzelf vanuit het systeem terug kreeg wanneer je wachtwoord niet werd geaccepteerd. Kan je doen, maar mensen zullen dat allemaal niet goed begrijpen. Belt 10% straks weer boos naar de bank "waarom wordt mijn wachtwoord steeds niet geaccepteerd?".
Met duidelijke regels vooraf weet iedereen waar men aan toe is, en ontstaan er minder klachten, of anders kan men simpel naar de wachtwoordeisen verwijzen en that's it.

Met de huidige regels bij ING is het vooraf voor iedereen duidelijk waar een wachtwoord minstens aan moet voldoen,
en niet moeilijk of te ingewikkeld volgens mij.

Alle beschikbare karakters die je op een willekeurig key-board van de gebruiker kunt vinden zonder foefjes met ascii karakters dus bijvoorbeeld geen alt129 (Windows) altgr+y (Linux) option+u (Apple) om een u met umlaut te krijgen: ü.
Gewoon recht toe recht aan accepteren als wachtwoord karakter alles dat je met of zonder gebruik van de shift toets kunt genereren met je eigen keyboard.
Minimaal 12 karakters. (Zoals de ING nu eist: 8 karakters minimaal is uit de tijd, ofwel te weinig.)
Maximaal? Voor mijn part 256. Het gros van de mensen werkt tegenwoordig met een pass-word manager, dus daar is niets op tegen. In dat geval hoef je ze niet te onthouden, uitgezonderd een Master-Key.

Hoe zou de ING-bank dat kunnen omschrijven?
Als volgt:

Uw wachtwoord moet uit minimaal 12 karakters bestaan, maximaal 256.
Alle toetsen van uw keyboard die een karakter vormen met of zonder gebruik van de shift (hoofdletter) toets zijn toegestaan.
Wel moet u ervoor zorgen dat uw wachtwoord kleine letters en hoofdletters bevat, minimaal 3 cijfers en minimaal 3 letttertekens naar vrije keuze.
Spaties zijn echter niet toegestaan.

Bedenk me nu, even toegevoegd 23:57 uur:

Hier heb je er een die hieraan voldoet. Zojuist in een keer blindelings op mijn toetsenbord gehamerd: HyR$5O,?Hfrr&90

Ik kan echter ook een umlaut (ü) krijgen door Shift+" en vervolgens een u te typen. Keyboards werken maar net naar hoe je ze instelt, bijvoorbeeld door de taal die wordt gehanteerd. Daar loop je met die omschrijving al mis. Daarbij hebben meerdere onderzoeken aangetoond dat het hanteren van zeer complexe wachtwoordeisen averechts werkt, nu mensen snel de neiging hebben dit op te schrijven (op papier of digitaal, en in de omgeving van de computer te bewaren) omdat deze door de complexiteit lastig te onthouden is.

Daar komt bij dat veel websites andere eisen hanteren, en er dus andere wachtwoorden moeten worden bedacht door gebruikers. Zelfde verhaal met grote complexiteit: mensen kunnen deze hoeveelheid aan verschillende wachtwoorden niet onthouden, of weten niet meer welk wachtwoord waarbij hoort. Hoeveel mensen (vooral ouderen of minder technisch onderlegde personen) ik wel niet ken die inloggegevens van verschillende diensten in hun notities van hun smartphone hebben staan...

Dan wordt het wachtwoord van je mailbox het wachtwoord voor alle sites. Dat maakt dingen niet noodzakelijk beter.

HTTP heeft een Content-type header, voor beide richtingen. Als in een POST-request UTF-8 is gespecificeerd dan kan elk unicode-teken worden verstuurd. Als ik het goed begrepen heb sturen browsers helaas niet altijd een content-type mee, maar de conventie zou zijn dat ze dezelfde content-type gebruiken die door de server was aangegeven voor de webpagina van waaruit gereageerd wordt.

Als dit inderdaad zo werkt kan een server de aanlogpagina als UTF-8 sturen en dan kan je vervolgens een wachtwoord in oud-Soemerisch spijkerschrift kiezen als je dat uit je toetenbord weet te krijgen. De server hoeft alleen de representatie in bytes volgens een vaste Unicode-codering te gebruiken als basis voor de hash en het resultaat moet eenduidig zijn en dus werken.

Misschien dat de praktijk weerbarstig is, misschien staan browsers wel stijf van de bugs op dit gebied, dat weet ik niet. Maar zo op het oog zou dit gewoon moeten kunnen werken.

En dat is nu juist wat ik aangeef: De ING is blijkbaar niet in staat het gebruik van willekeurig welk toetsenbord dan ook door een klant te valideren.
Waarom anders al de restricties op het gebruik van moeiteloos te typen karakters zoals !, ^, &, *, (, ), _, <, >, ?, /, {, }, [, ], ;, :, ;, ", ' ?
Zijn moeiteloos te typen karakters problematisch voor mensen die moeite hebben - zoals je verderop stelt - met het gebruik van wachtwoorden? Neen al helemaal niet want juist zij hebben moeite met alle eisen die de ING stelt: Bij elke tik op een toets verplicht zijn te denken: "Oh jee, mag dit nu wel van de ING of niet?
Resumé: De ING is op dit gebied gewoon een vervelende lastpost. Vergelijking: dit alles blijkt bij Amazon wèl allemaal veel eenvoudiger te kunnen. Is mijn wachtwoord daar slechter, of minder veilig? Neen.


Wel dan zijn we het daarover eens, inclusief de consumentenbond die stelt dat de ING bank te ingewikkelde eisen stelt; of weerspreek je dit nu?


Natúúrlijk moet er voor verschillende diensten gebruik worden gemaakt van verschillende wachtwoorden en bovendien: juist het vergaand eisen stellen (compliceren) zoals de ING doet: dit mag wel en dat mag niet, veroorzaakt dat gebruikers van websites verzuchten: "Barst met al je eisen ik ga overal hetzelfde wachtwoord gebruiken".


Daar kun je evengoed van maken: Hoeveel mensen (vooral ouderen of minder technisch onderlegde personen) ik wel niet ken die overal hetzelfde wachtwoord gebruiken omdat sommige dienstverleners - zoals de ING - zo'n ingewikkelde eisen stellen aan het samenstellen van een wachtwoord. Dit andere uitgangspunt om te komen tot nonchalance, al of niet vanuit persoonlijke mentale problematiek tot het onvoldoende beschermen, differentiëren en of bewaren van wachtwoorden is eveneens valide.

En dan nog iets.

Een reeks aan eisen met de toevoeging inclusief het verplichte gebruik van speciale tekens.
Dan doe je dat en dan werkt het niet.
Je past het aan en het werkt niet.
Je past het aan en het werkt niet.
Je past het aan en het werkt niet.
Je past het aan en het werkt niet.

Totdat je het na die vele pogingen er het zo warm van hebt gekregen dat je denkt, laat die energieleverancier maar zitten, die kabelaar, die netwerkbeheerder, die enz. enz. enz.
Rotmaarop met je policies en je onvolledige beschrijvingen.

Nogal eens blijkt ondanks de suggestie dat alle tekens gebruikt kunnen worden, dat allerminst het geval is.
Wellicht is er een naam voor die set karakters die dan niet werkt, maar als je dat lijstje niet kent (ik niet) dan is het uitzoeken geblazen.
Dan doe je niet en wil je niet met als resultaat dat je of helemaal geen wachtwoord meer aanmaakt en gaat bellen, of het zo kort en simpel als mogelijk houdt.
Of overstapt.

Ik heb mijn maag vol van wachtwoorden en ga er steeds minder gebruiken.
Je wordt er knettergek van, overal moet je een account aanmaken en overal een wachtwoord.
be kijk het maar!

2018 jaarwoord

Beter plan! En scheelt OTP veel, ten opzichte van reminders?

Uberhaubt:
waar heb JIJ een account voor nodig anders dan strict het afhandelen van een consumenten verkooptransactie?
ZIJ (zoals niet-Cool Blue) hebben het nodig voor hun marketing.

ING en vooral Mastercard heb ik diverse malen werkelijk een helpdesk nodig gehad om uberhaubt een password in te stellen.
De eisen waren zo ingewikkeld dat de response messages het niet meer konden beschrijven. Het was duidelijk een FAQ.

Het is waarschijnlijk het veiligst de 'onthouden' functie (het bekende vinkje he..) niet te gebruiken en het wachtwoord (-en) gewoon te memoriseren of in uw geheugen prenten. Voor een 10-tal wachtoorden moet dat wel lukken toch. Je verliest dan wel enkele fracties van seconden van je kostbare tijd bij inloggen maar 'veiligheid' krijg nu je nooit meer zo maar gratis erbij he, of alles heeft zijn prijs.
http://www.computeridee.nl/achtergrond/de-beste-wachtwoordmanagers/

Ik heb het wel eens geprobeerd met unicode tekens in een wachtwoord. Bij sommige sites werkt dat. Ik heb toen bepaalde smilies in mijn wachtwoord geplaatst. Je moet alleen zeker weten dat je die codes vanaf elk apparaat kunt genereren.
Bij gebruik van ongebruikelijke unicode tekens wordt je wachtwoord wel direct een stuk sterker.

Handig als je iemand de toegang tot zijn account wil ontzeggen.

Ik lach me soms rot en erger me soms dood. Net nog wilde ik hier inloggen maar sjeee... de web designer kan nog niet eens een fatsoenlijke inlog scherm produceren waardoor het zeer lastig inloggen is op smartphone. Zoom je in om te kunnen lezen wat je intikt of wat je moet aanklikken verdwijnt het inlogscherm rechts buitenbeeld. Lachwekkend gewoon!

zie: https://www.security.nl/about

Onderaan op die pagina kun je opmerkingen verzenden naar de redactie. Dat is zinniger dan alleen hier melden dat je het een of ander lachwekkend vindt.

Wow, de consumentenbond die mekkert over password complexity. Tegelijkertijd negeren ze zaken als multi-factor-authenticatie, bijvoorbeeld middels one-time-passwords.

Dit soort ''experts'' die enkel en alleen kunnen nadenken over de vraag hoe complex een paswoord dient te zijn, en voorbij gaan aan alle additionele maatregelen die je kunt nemen, zijn ondertussen aardig lachwekkend te noemen......

Zouden ze bij de consumentenbond ook kunnen verzinnen dat password complexity bij phishing, keylogging en dergelijke, volstrekt geen veiligheid biedt ?

De oorzaak van een account breach is vandaag de dag zelden gelegen in brute force / dictionary password hacking.