Door Anoniem: Door Aha: Door Anoniem: Door Aha: Door Anoniem: Als een bank dan toch kiest voor een inlogbeleid met o.a. wachtwoord, doe het dan goed.
En dan vind ik de wachtwoordvereisten van ING internetbankieren niet eens zo slecht.
Het is niet meer dan het afdwingen van enige mate van complexiteit van je wachtwoord zodat het moeilijker te raden is.
Het is algemeen bekend dat mensen die weinig sjoege van security hebben anders vaak de allergemakkelijkste wachtwoorden kiezen zoals "11111111" of "12345678". Algemeen bekend betekent dat hackers dat ook weten en dergelijke waarden het eerst uitproberen.
Ik weet dat het omstreden is om eisen aan wachtwoorden te stellen, maar mij lijken deze eisen prima.
Vooral bij een bank als het om jouw geld gaat en een bank wil vermijden kosten te maken doordat de rechter anders later zou kunnen zeggen: "U bent als bank medeverantwoordelijk, u had zulke gemakkelijk te raden wachtwoorden onmogelijk moeten maken".
Met alle respect voor je mening...etc.....
Maar wat stel je dan voor zodat een simpele Nederlander het ook nog een beetje begrijpt. Wat zouden volgens jou de wachtwoordeisen moeten zijn, wat elke klant snapt en daarbij ook nog een beetje redelijk voor de programmeur van INGbank te programmeren valt?...(knip)...
Alle beschikbare karakters die je op een willekeurig key-board van de gebruiker kunt vinden zonder foefjes met ascii karakters dus bijvoorbeeld geen alt129 (Windows) altgr+y (Linux) option+u (Apple) om een u met umlaut te krijgen: ü.
Gewoon recht toe recht aan accepteren als wachtwoord karakter alles dat je met of zonder gebruik van de shift toets kunt genereren met je eigen keyboard.
Minimaal 12 karakters. (Zoals de ING nu eist: 8 karakters minimaal is uit de tijd, ofwel te weinig.)
Maximaal? Voor mijn part 256. Het gros van de mensen werkt tegenwoordig met een pass-word manager, dus daar is niets op tegen. In dat geval hoef je ze niet te onthouden, uitgezonderd een Master-Key.
Hoe zou de ING-bank dat kunnen omschrijven?
Als volgt:
Uw wachtwoord moet uit minimaal 12 karakters bestaan, maximaal 256.
Alle toetsen van uw keyboard die een karakter vormen met of zonder gebruik van de shift (hoofdletter) toets zijn toegestaan.
Wel moet u ervoor zorgen dat uw wachtwoord kleine letters en hoofdletters bevat, minimaal 3 cijfers en minimaal 3 letttertekens naar vrije keuze.
Spaties zijn echter niet toegestaan.Bedenk me nu, even toegevoegd 23:57 uur:
Hier heb je er een die hieraan voldoet. Zojuist in een keer blindelings op mijn toetsenbord gehamerd: HyR$5O,?Hfrr&90
Ik kan echter ook een umlaut (ü) krijgen door Shift+" en vervolgens een u te typen. Keyboards werken maar net naar hoe je ze instelt, bijvoorbeeld door de taal die wordt gehanteerd.
En dat is nu juist wat ik aangeef:
De ING is blijkbaar niet in staat het gebruik van willekeurig welk toetsenbord dan ook door een klant te valideren.Waarom anders al de restricties op het gebruik van
moeiteloos te typen karakters zoals
!, ^, &, *, (, ), _, <, >, ?, /, {, }, [, ], ;, :, ;, ", ' ?
Zijn moeiteloos te typen karakters problematisch voor mensen die moeite hebben - zoals je verderop stelt - met het gebruik van wachtwoorden? Neen al helemaal niet want juist
zij hebben moeite met alle eisen die de ING stelt: Bij elke tik op een toets verplicht zijn te denken: "Oh jee, mag dit nu wel van de ING of niet?
Resumé: De ING is op dit gebied gewoon een vervelende lastpost. Vergelijking: dit alles blijkt bij Amazon wèl allemaal veel eenvoudiger te kunnen. Is mijn wachtwoord daar slechter, of minder veilig? Neen.
Daarbij hebben meerdere onderzoeken aangetoond dat het hanteren van zeer complexe wachtwoordeisen averechts werkt, nu mensen snel de neiging hebben dit op te schrijven (op papier of digitaal, en in de omgeving van de computer te bewaren) omdat deze door de complexiteit lastig te onthouden is.
Wel dan zijn we het daarover eens, inclusief de consumentenbond die stelt dat de ING bank te ingewikkelde eisen stelt; of weerspreek je dit nu?
Daar komt bij dat veel websites andere eisen hanteren, en er dus andere wachtwoorden moeten worden bedacht door gebruikers. Zelfde verhaal met grote complexiteit: mensen kunnen deze hoeveelheid aan verschillende wachtwoorden niet onthouden, of weten niet meer welk wachtwoord waarbij hoort.
Natúúrlijk moet er voor verschillende diensten gebruik worden gemaakt van verschillende wachtwoorden en bovendien:
juist het vergaand eisen stellen (compliceren) zoals de ING doet: dit mag wel en dat mag niet, veroorzaakt dat gebruikers van websites verzuchten: "Barst met al je eisen ik ga overal hetzelfde wachtwoord gebruiken".
Hoeveel mensen (vooral ouderen of minder technisch onderlegde personen) ik wel niet ken die inloggegevens van verschillende diensten in hun notities van hun smartphone hebben staan...
Daar kun je evengoed van maken:
Hoeveel mensen (vooral ouderen of minder technisch onderlegde personen) ik wel niet ken die overal hetzelfde wachtwoord gebruiken omdat sommige dienstverleners - zoals de ING - zo'n ingewikkelde eisen stellen aan het samenstellen van een wachtwoord. Dit andere uitgangspunt om te komen tot nonchalance, al of niet vanuit persoonlijke mentale problematiek tot het onvoldoende beschermen, differentiëren en of bewaren van wachtwoorden is eveneens valide.