Onderzoek: sterkere wachtwoorden vaker vergeten
Sterkere wachtwoorden worden vaker door gebruikers vergeten en zorgen voor meer wachtwoordresets. Dat laat onderzoek van onderzoekers van University College London zien (pdf). De universiteit, met 100.000 medewerkers en studenten, besloot eind 2016 nieuw wachtwoordbeleid door te voeren.
Het beleid moest gebruikers aanmoedigen om sterkere wachtwoorden te kiezen door de levensduur van het wachtwoord aan de sterkte te koppelen, wat via een visuele meter werd weergegeven. Hoe sterker het wachtwoord des te langer het gebruikt kon worden voordat het verplicht gereset moest worden. Zwakkere wachtwoorden zorgden ervoor dat gebruikers juist eerder werden verplicht om een nieuw wachtwoord in te stellen. Daarbij kregen wachtwoorden met woorden die in een woordenboek voorkwamen strafpunten.
Een jaar na de invoering van het beleid nam de wachtwoordsterkte gemeten in dagen toe van 146 dagen naar 170 dagen. "Dit suggereert dat gebruikers zich langzaam aan het nieuwe wachtwoordbeleid hebben aangepast en uiteindelijk van de nieuwe mogelijkheid gebruikmaken om de wachtwoordlevensduur te verlengen door hun wachtwoorden te versterken", aldus de onderzoekers. Het onderzoek laat verder zien dat gebruikers met een zwak wachtwoord elke keer dat ze hun wachtwoord veranderen voor een sterker wachtwoord kiezen. Gedurende de onderzoeksperiode bleek dat 66 procent de gebruikers zijn of haar wachtwoord moest veranderen.
Ook werd er een sterke correlatie aangetroffen tussen wachtwoordsterkte en het resetten van wachtwoorden. Een gebruiker met een wachtwoordlevensduur van 300 dagen heeft een vier keer grotere kans om zijn wachtwoord te vergeten dan een gebruiker met een wachtwoordlevensduur van 100 dagen. Hoe vaker een gebruiker echter zijn wachtwoord moet resetten, des te zwakker zijn wachtwoordkeuze.
De onderzoekers stellen dat het nieuwe wachtwoordbeleid een succes was, aangezien alle gebruikersgroepen als gevolg sterkere wachtwoorden kozen in ruil voor een langere levensduur. Vanuit een kostenbatenanalyse is het beleid echter contraproductief. De toegenomen wachtwoordsterkte biedt namelijk geen extra bescherming. De zwakste wachtwoorden van 100 dagen zijn sterk genoeg om online aanvallen te weerstaan, terwijl de sterkst mogelijke wachtwoorden van 350 dagen niet sterk genoeg zijn om een offline aanval te weerstaan. Verder blijkt dat sterkere wachtwoorden voor meer wachtwoordresets zorgen, wat voor meer interactie met de online zelfhulp en helpdesk zorgt.
Reacties (27)
Het wachtwoordencircus is sowieso een vreemd apparaat. Men maakt zich zorgen over het theoretische aantal mogelijkheden, terwijl het in de praktijk grotendeels woordenboekwachtwoorden of standaardwachtwoorden en variaties daarop zijn, die zijn enorm veel sneller te kraken.
In plaats van eisen van cijfers en leestekens kun je daarom beter eisen dat een wachtwoord niet op bekende woordenlijsten voorkomt. Een wachtwoord als PlataanFabriek is bijna altijd veel beter dan Welkom2018!. De laatste is snel gevonden met een dictionary attack, de eerste kan het veel langer uithouden.
Het opschrijven van wachtwoorden is niet altijd een doodzonde. De fysieke laag is een prima defensief systeem.
In plaats van eisen van cijfers en leestekens kun je daarom beter eisen dat een wachtwoord niet op bekende woordenlijsten voorkomt. Een wachtwoord als PlataanFabriek is bijna altijd veel beter dan Welkom2018!. De laatste is snel gevonden met een dictionary attack, de eerste kan het veel langer uithouden.
Het opschrijven van wachtwoorden is niet altijd een doodzonde. De fysieke laag is een prima defensief systeem.
OMG, echt waar? Complexe dingen worden eerder vergeten dan eenvoudige?
Zucht, dat is dan onze nieuwe generatie wetenschappers.
Zucht, dat is dan onze nieuwe generatie wetenschappers.
Het is helemaal niet zo moeilijk om een goed wachtwoord te kiezen, dat ook nog eens goed te onthouden is. Kies gewoon een korte zin en gebruik hierin wat bijzondere tekens. Voorbeelden:
- Het is koud buiten...
- Een blauwe citroen?
- 8keer2=16.
- Ik ben secure!
En neem geen voorbeelden over :)
- Het is koud buiten...
- Een blauwe citroen?
- 8keer2=16.
- Ik ben secure!
En neem geen voorbeelden over :)
Door root: Het is helemaal niet zo moeilijk om een goed wachtwoord te kiezen, dat ook nog eens goed te onthouden is. Kies gewoon een korte zin en gebruik hierin wat bijzondere tekens.
Het is niet moeilijk om een korte zin met bijzondere tekens te kiezen, maar het is WEL moeilijk om de volgende keer
nog te weten wat die zin ook al weer was. Daarom is dit een onbruikbare methode.
Wij vereisen goede wachtwoorden, in plaats van sterke wachtwoorden.
Een goed wachtwoord is:
- goed te onthouden
- moeilijk te raden
- moeilijk te kraken
- moeilijk af te kijken
Wachtwoord zinnen zijn vaak voorbeelden van goede wachtwoorden, prima te onthouden
en toch sterk genoeg. (ja,ja, iemand gaat nu de xkcd strip van battery horse staple plaatsen ;)
Een goed wachtwoord is:
- goed te onthouden
- moeilijk te raden
- moeilijk te kraken
- moeilijk af te kijken
Wachtwoord zinnen zijn vaak voorbeelden van goede wachtwoorden, prima te onthouden
en toch sterk genoeg. (ja,ja, iemand gaat nu de xkcd strip van battery horse staple plaatsen ;)
Het beleid moest gebruikers aanmoedigen om sterkere wachtwoorden te kiezen door de levensduur van het wachtwoord aan de sterkte te koppelen, wat via een visuele meter werd weergegeven.
Het gebruik van sterke wachtwoorden moet je niet alleen aanmoedigen via 'security awareness'. Je moet het ook technisch afdwingen, via je 'security control framework'. Gebruikers de optie geven om zwakke wachtwoorden te kunnen gebruiken is hopeloos achterhaald. En laat bovenal incompetentie zien bij beheerders/beveiligers (of slechte keuzes van management).
Verder is het niet zo heel moeilijk om 2-factor authenticatie toe te voegen, met een one-time-password. Zijn hardware matige tokens te duur, dan zijn er oplossingen als Google Authenticator (nee, hiermee deel je niets gevoeligs met Google).
Wanneer wordt de discussie over password complexity nou eens afgesloten, doordat sterke wachtwoorden simpelweg worden afgedwongen, en doordat onderschepte wachtwoorden een stuk minder bruikbaar worden, doordat overal 2FA is geimplementeerd ?
Een van de grote voordelen van 2FA is dat het ook meer beveiliging biedt tegen het onderscheppen van wachtwoorden, omdat het wachtwoord alleen nutteloos is. Dan moet men *ook* je 2FA cracken. En een sterk wachtwoord helpt natuurlijk geheel niet tegen keyloggers, password stealers en andere malware waarmee je password gestolen wordt, en dus bekend is ongeacht de complexiteit.
In plaats van eisen van cijfers en leestekens kun je daarom beter eisen dat een wachtwoord niet op bekende woordenlijsten voorkomt. Een wachtwoord als PlataanFabriek is bijna altijd veel beter dan Welkom2018!. De laatste is snel gevonden met een dictionary attack, de eerste kan het veel langer uithouden.
PlataanFabriek. Da's ook wel heel snel te bruteforcen. Simpele combinatie van kleine letters, en hoofd letters. Dus lang uithouden, nee niet echt.
Het is niet moeilijk om een korte zin met bijzondere tekens te kiezen, maar het is WEL moeilijk om de volgende keer
nog te weten wat die zin ook al weer was. Daarom is dit een onbruikbare methode.
nog te weten wat die zin ook al weer was. Daarom is dit een onbruikbare methode.
Lol. Nog nooit een probleem gehad met het herinneren van mijn wachtwoord zin, waar inderdaad wat bijzondere tekens in voor komen. Omdat sommige mensen dit lastig vinden, is het onbruikbaar ? En ze kunnen werkelijk *niets* verzinnen wat ze kunnen onthouden ?
Tja, sommige mensen kunnen een simpel wachtwoord ook niet onthouden. Zijn wachtwoorden nu onbruikbaar ? En hoe zit dat met mensen die hun pincode vergeten. Moet pincode nu worden afgeschafd ?
Mensen die hun wachtwoord zin niet kunnen onthouden zijn wel heel erg niet-creatief.
Door Anoniem:
PlataanFabriek. Da's ook wel heel snel te bruteforcen. Simpele combinatie van kleine letters, en hoofd letters. Dus lang uithouden, nee niet echt.
In plaats van eisen van cijfers en leestekens kun je daarom beter eisen dat een wachtwoord niet op bekende woordenlijsten voorkomt. Een wachtwoord als PlataanFabriek is bijna altijd veel beter dan Welkom2018!. De laatste is snel gevonden met een dictionary attack, de eerste kan het veel langer uithouden.
PlataanFabriek. Da's ook wel heel snel te bruteforcen. Simpele combinatie van kleine letters, en hoofd letters. Dus lang uithouden, nee niet echt.
Een zin in meerdere talen:
'Ich habe schijt aan p@ssw0rds.'
Lastig te bruteforcen, gemakkelijk te onthouden en voldoet aan 99% van de afgedwongen wachtwoord policies.
Door Anoniem:
PlataanFabriek. Da's ook wel heel snel te bruteforcen. Simpele combinatie van kleine letters, en hoofd letters. Dus lang uithouden, nee niet echt.
In plaats van eisen van cijfers en leestekens kun je daarom beter eisen dat een wachtwoord niet op bekende woordenlijsten voorkomt. Een wachtwoord als PlataanFabriek is bijna altijd veel beter dan Welkom2018!. De laatste is snel gevonden met een dictionary attack, de eerste kan het veel langer uithouden.
PlataanFabriek. Da's ook wel heel snel te bruteforcen. Simpele combinatie van kleine letters, en hoofd letters. Dus lang uithouden, nee niet echt.
Zet er één of twee spaties of een punt spatie tussen en weg is je snelle bruteforcing. See ya, in een jaar of 5 of zoiets. Iets simpels als een spatie toevoegen maakt een wachtwoord ineens wel complex. Alleen jammer dat de ING geen spaties in wachtwoorden accepteert, prutsers. Zie ik wel bij meer bedrijven, dwingen je om de meest idioot ingewikkelde combinaties van cijfers/letters/leestekens ed. samen te stellen als wachtwoord ((die geen hond zich daarna meer kan herinneren) maar een spatie is dan vaak te veel en kunnen ze niet verwerken.
Door Anoniem:
Lol. Nog nooit een probleem gehad met het herinneren van mijn wachtwoord zin, waar inderdaad wat bijzondere tekens in voor komen. Omdat sommige mensen dit lastig vinden, is het onbruikbaar ? En ze kunnen werkelijk *niets* verzinnen wat ze kunnen onthouden ?
Het is niet moeilijk om een korte zin met bijzondere tekens te kiezen, maar het is WEL moeilijk om de volgende keer
nog te weten wat die zin ook al weer was. Daarom is dit een onbruikbare methode.
nog te weten wat die zin ook al weer was. Daarom is dit een onbruikbare methode.
Lol. Nog nooit een probleem gehad met het herinneren van mijn wachtwoord zin, waar inderdaad wat bijzondere tekens in voor komen. Omdat sommige mensen dit lastig vinden, is het onbruikbaar ? En ze kunnen werkelijk *niets* verzinnen wat ze kunnen onthouden ?
Wacht maar tot je wat ouder wordt. Dan kun je ook snappen waarom dit een probleem is. Vroeger kon ik ook alles
onthouden en me niet voorstellen waarom mensen hun wachtwoord niet meer wisten of de naam van een of andere
site of winkel waar ze gisteren geweest waren. Maar op een gegeven moment wordt het lastig dit soort dingen te
onthouden. Je weet dan nog wel een wachtwoord wat je al lang gebruikt maar niet meer dat wachtwoord wat je
gisteren moest maken en wat moest voldoen aan allerlei ciriteria die men eraan gehangen had.
Tja, sommige mensen kunnen een simpel wachtwoord ook niet onthouden. Zijn wachtwoorden nu onbruikbaar ? En hoe zit dat met mensen die hun pincode vergeten. Moet pincode nu worden afgeschafd ?
Mensen die hun wachtwoord zin niet kunnen onthouden zijn wel heel erg niet-creatief.
Mensen die dat zich niet kunnen voorstellen leven wel erg in hun eigen bubble.
Ik kan mijn pincode onthouden omdat die nooit verandert. Als mijn pincode verplicht iedere maand veranderd
zou moeten worden dan zou ik die echt niet kunnen onthouden en ophoesten als ik ergens bij een pinterminal stond.
Ik denk inderdaad dat wachtwoorden onbruikbaar zijn voor een zeker level van security, Zeker als de gehashte
opslag daarvan niet 100% veilig is en de hashes dus uitlekken (salted of niet). Want dan kunnen vervelende mensen
gaan vissen naar het juiste wachtwoord, en betwetertjes gaan aangeven waarom DAT geen sterk wachtwoord was.
20-08-2018, 19:28 door
Eric-Jan H te D
Voor weinig gebruikte accounts kan het vergeten van een random en lang wachtwoord zelfs een strategie zijn.
Door Anoniem:
PlataanFabriek. Da's ook wel heel snel te bruteforcen. Simpele combinatie van kleine letters, en hoofd letters. Dus lang uithouden, nee niet echt.
In plaats van eisen van cijfers en leestekens kun je daarom beter eisen dat een wachtwoord niet op bekende woordenlijsten voorkomt. Een wachtwoord als PlataanFabriek is bijna altijd veel beter dan Welkom2018!. De laatste is snel gevonden met een dictionary attack, de eerste kan het veel langer uithouden.
PlataanFabriek. Da's ook wel heel snel te bruteforcen. Simpele combinatie van kleine letters, en hoofd letters. Dus lang uithouden, nee niet echt.
Ja, wel echt. Reken maar eens uit.
Dit is niet snel te brute forcen. Het ging overigens over dictionary attacks. Wachtwoorden die in een dictionary voorkomen zijn waardeloos, dat is waar mijn commentaar over gaat. Als jij bijvoorbeeld over internet probeert dit wachtwoord te brute forcen ben je zo lang bezig dat die server al lang met pensioen is. Dictionary = supersnel, brute force is superlangzaam. Als je hashes van de wachtwoorden te pakken krijgt kun je offline snel aanvallen. Maar dan nog is dit wachtwoord met 14 tekens (keer 52* of 72 mogelijkheden) zeer zeker niet snel te brute forcen. Zeker niet met een ongewone salt.
We doen dus veel te moeilijk over wat veilig is en wat niet en we leggen de nadruk precies verkeerd. Het gaat er doorgaans niet om hoe moeilijk een wachtwoord te brute forcen is, in de praktijk gaat erom hoe moeilijk het te kraken is met een dictionary aanval. Het is dus veel beter aan een ingegeven nieuw wachtwoord de eis te stellen dat het niet in een dictionary voorkomt. Dat vereist een andere benadering.
Wie gaat er nou vandaag de dag nog steeds wachtwoorden onthouden? Opschrijven of uitprinten is veel beter. Voor snel inloggen kun je copy&paste doen vanuit een tekstbestandje, (bye bye keyloggers) en in je brein blijft er genoeg ruimte over voor het onthouden van je pin code.
Maak een zeer sterk wachtwoord met Diceware
De Diceware-methode wordt door experts gebruikt om een zeer sterk wachtwoord te maken. Diceware maakt gebruik van de willekeurigheid van het gooien van dobbelstenen en een lange lijst met woorden. Hier vind je een lijst met Nederlandse woorden, samengesteld door de Vlaamse techneut Remko Tronçon.
https://laatjeniethackmaken.nl/diceware-nederlands.txt
Je begint door met de dobbelsteen te rollen. Doe dit vijf keer achter elkaar en noteer bij iedere worp het getal dat je gooit. Je krijgt dan een vijfcijferige reeks die correspondeert met een woord op de hierboven genoemde lijst. Stel, je gooit 3-5-5-5-4, dan is je woord kwibus.
Dit proces herhaal je zeven keer om écht veilig te zijn. Je krijgt dan een reeks met zeven compleet willekeurige Nederlandse woorden, zoals kwibus teugel flits augurk bagger zondag nylon. Wiskundig gezien is de Diceware-methode op dit moment de veiligste manier om een wachtwoord te maken dat je ook kan onthouden.
https://laatjeniethackmaken.nl/#maak-een-zeer-sterk-wachtwoord-met-diceware
De Diceware-methode wordt door experts gebruikt om een zeer sterk wachtwoord te maken. Diceware maakt gebruik van de willekeurigheid van het gooien van dobbelstenen en een lange lijst met woorden. Hier vind je een lijst met Nederlandse woorden, samengesteld door de Vlaamse techneut Remko Tronçon.
https://laatjeniethackmaken.nl/diceware-nederlands.txt
Je begint door met de dobbelsteen te rollen. Doe dit vijf keer achter elkaar en noteer bij iedere worp het getal dat je gooit. Je krijgt dan een vijfcijferige reeks die correspondeert met een woord op de hierboven genoemde lijst. Stel, je gooit 3-5-5-5-4, dan is je woord kwibus.
Dit proces herhaal je zeven keer om écht veilig te zijn. Je krijgt dan een reeks met zeven compleet willekeurige Nederlandse woorden, zoals kwibus teugel flits augurk bagger zondag nylon. Wiskundig gezien is de Diceware-methode op dit moment de veiligste manier om een wachtwoord te maken dat je ook kan onthouden.
https://laatjeniethackmaken.nl/#maak-een-zeer-sterk-wachtwoord-met-diceware
Jammer alleen dat je niet overal een sterk wachtwoord kunt gebruiken, doordat de techniek het niet toestaat. Ik heb net een nieuwe modem/router van mijn ISP gekregen, waarvoor ik het wachtwoord moest veranderen, alleen staat deze spaties niet toe. Alleen maar hoofdletters, kleine letters, cijfers, streepjes (-) en underscores (_). De rest is allemaal niet toegestaan. En niet alleen voor het wachtwoord om in te loggen op het apparaat, maar ook niet voor het WiFi wachtwoord!
Op een klacht die ik erover heb ingediend kreeg ik te horen dat ik maar underscores moest gebruiken, net zoals iedereen anders. Sja.
Op een klacht die ik erover heb ingediend kreeg ik te horen dat ik maar underscores moest gebruiken, net zoals iedereen anders. Sja.
21-08-2018, 06:35 door
Bitwiper
Door Anoniem: We doen dus veel te moeilijk over wat veilig is en wat niet en we leggen de nadruk precies verkeerd. Het gaat er doorgaans niet om hoe moeilijk een wachtwoord te brute forcen is, in de praktijk gaat erom hoe moeilijk het te kraken is met een dictionary aanval. Het is dus veel beter aan een ingegeven nieuw wachtwoord de eis te stellen dat het niet in een dictionary voorkomt.
Ja, maar als een gebruiker mij zou vragen "waarom volstaan dan 4 cijfers voor mijn bankpas", moet ik bekennen dat wij techneuten systemen bouwen en/of inzetten die te brute-forcen zijn, en (discutabel) erger, waarbij het voor aanvallers kennelijk eenvoudig is om wachtwoordhashes uit te kopiëren.Door Anoniem: Lol. Nog nooit een probleem gehad met het herinneren van mijn wachtwoord zin, waar inderdaad wat bijzondere tekens in voor komen. Omdat sommige mensen dit lastig vinden, is het onbruikbaar ?
Iets is in algemene zin slecht bruikbaar als een fors deel van de mensen er niet goed mee om kan gaan, iets is niet pas een probleem als iedereen het een probleem vindt. Dat jij in dit geval niet tot die groep behoort wil niet zeggen dat die groep niet bestaat en dus ook niet dat het probleem niet bestaat. En ze kunnen werkelijk *niets* verzinnen wat ze kunnen onthouden ?
Ik ben behoorlijk slecht in het onthouden van wachtwoorden waarin verplicht speciale tekens, hoofdletters en cijfers moeten zitten, mede omdat ik het ten ene male verdom om voor de hand liggende subsituties te gebruiken, die zijn namelijk relatief makkelijk te kraken. Ik heb veel minder moeite met wachtzinnen die uit onzinwoorden bestaan, denk aan zoiets als "drevomanota bidudukali vikoera bakragam", maar er zijn heel wat plekken waar dat als niet sterk wordt beschouwd omdat ze die verdomde speciale tekens vereisen. Het is maar net hoe je brein werkt, en het is echt niet zo dat het ene brein hetzelfde werkt als het andere.
21-08-2018, 09:07 door
Prx
Door Bitwiper: Ja, maar als een gebruiker mij zou vragen "waarom volstaan dan 4 cijfers voor mijn bankpas", moet ik bekennen dat wij techneuten systemen bouwen en/of inzetten die te brute-forcen zijn, en (discutabel) erger, waarbij het voor aanvallers kennelijk eenvoudig is om wachtwoordhashes uit te kopiëren.
Omdat het natuurlijk niet alleen de pincode is. Je moet ook in het bezit zijn van de bankpas om daadwerkelijk een actie uit te kunnen voeren. Op een Smartphone met Mobiel Bankieren heeft men ook eerst een enrollment moeten uitvoeren, waarbij er een 2-factor is gebruikt om die Smartphone vanaf dat moment een vertrouwd apparaat te laten zijn. Die vergelijking moet je dus snel plat kunnen slaan.
Het is natuurlijk absoluut waar dat veel systemen benaderbaar zijn voor alle doelgroepen (internet), met als gevolg dat men vrije toegang heeft. Daarom is het ook zo belangrijk dat je dit soort attacks tegen gaat houden zonder dat een gebruiker er last van heeft, anders zijn 'wij security experts' weer eens de eikels die ervoor zorgen dat systemen niet lekker meer werken.
Door Anoniem: Jammer alleen dat je niet overal een sterk wachtwoord kunt gebruiken, doordat de techniek het niet toestaat..
Ik word echt doodmoe van sites en systemen waarbij ze maximale lengtes gebruiken en andere restricties, compleet waardeloos. :( Als dat ding toch als een hash de database in gaat, wat maakt het dan nog uit hoe lang de input is, of hoe extreem die eruit ziet?
Door Anoniem: PlataanFabriek. Da's ook wel heel snel te bruteforcen. Simpele combinatie van kleine letters, en hoofd letters. Dus lang uithouden, nee niet echt.
Volgens mijn gegevens kost het 11 uur. Probeer het zelf op https://www.zsoft.nl/
Door root:Het is niet moeilijk om een korte zin met bijzondere tekens te kiezen, maar het is WEL moeilijk om de volgende keer nog te weten wat die zin ook al weer was. Daarom is dit een onbruikbare methode.
Mijn ervaring is dat zinnen eenvoudiger te herinneren zijn dan allerlei moeilijke (kortere) woorden met extra leestekens en cijfers.
Door Eric-Jan H te A: Voor weinig gebruikte accounts kan het vergeten van een random en lang wachtwoord zelfs een strategie zijn.
Net zoals de browser het verkeerde wachtwoord op laten slaan.
Door Anoniem:Het gebruik van sterke wachtwoorden moet je niet alleen aanmoedigen via 'security awareness'. Je moet het ook technisch afdwingen, via je 'security control framework'. Gebruikers de optie geven om zwakke wachtwoorden te kunnen gebruiken is hopeloos achterhaald. En laat bovenal incompetentie zien bij beheerders/beveiligers (of slechte keuzes van management).
Als je gebruik maakt van bepaalde rules, zoals hoofdletters en kleine letters en cijfers e.d., kun je altijd een zwak wachtwoord krijgen. Alleen de methode om de gebruiker de sterkte te laten zien, helpt om de gebruiker zich ervan bewust te zijn hoe sterk of zwak zijn wachtwoord is.
Verder is het niet zo heel moeilijk om 2-factor authenticatie toe te voegen, met een one-time-password. Zijn hardware matige tokens te duur, dan zijn er oplossingen als Google Authenticator (nee, hiermee deel je niets gevoeligs met Google).
Daar heb je dus een smartphone voor nodig. En niet iedereen binnen een bedrijf heeft een smartphone van het bedrijfs. En veel mensen willen hun eigen smartphone niet gebruiken voor werkgerelateerde zaken, of mogen hun telefoon niet eens meenemen het bedrijf in.
Door Bitwiper:Ja, maar als een gebruiker mij zou vragen "waarom volstaan dan 4 cijfers voor mijn bankpas", moet ik bekennen dat wij techneuten systemen bouwen en/of inzetten die te brute-forcen zijn, en (discutabel) erger, waarbij het voor aanvallers kennelijk eenvoudig is om wachtwoordhashes uit te kopiëren.
Omdat, als je pincode gekraakt wordt, jij het slachtoffer bent en niet de bank.
Omdat de bank extra maatregelen neemt om misbruik snel te detecteren. Ja, dat is duur, maar de klant van de bank betaalt toch.
Omdat het niet mogelijk is om een volledig toetsenbord bij kassas en geldautomaten te plaatsen.
Omdat de schade in principe beperkt is tot het maximale bedrag dat opgenomen kan worden.
Er zijn trouwens banken waar 6 cijfers gebruikt worden.
Peter
21-08-2018, 11:49 door
Joep Lunaar
Door Anoniem: Jammer alleen dat je niet overal een sterk wachtwoord kunt gebruiken, doordat de techniek het niet toestaat. Ik heb net een nieuwe modem/router van mijn ISP gekregen, waarvoor ik het wachtwoord moest veranderen, alleen staat deze spaties niet toe. Alleen maar hoofdletters, kleine letters, cijfers, streepjes (-) en underscores (_). De rest is allemaal niet toegestaan. En niet alleen voor het wachtwoord om in te loggen op het apparaat, maar ook niet voor het WiFi wachtwoord!
Op een klacht die ik erover heb ingediend kreeg ik te horen dat ik maar underscores moest gebruiken, net zoals iedereen anders. Sja.
Op een klacht die ik erover heb ingediend kreeg ik te horen dat ik maar underscores moest gebruiken, net zoals iedereen anders. Sja.
Kun je er OpenWrt opzetten ? (zie https://openwrt.org/toh/start)
Dan ben je van die idiote beperkingen af.
Verder terzijde (in aanvulling op wat anderen ook al min of meer hebben gezegd):
Een goed wachtwoordenbeleid gezien vanuit het oogpunt van de authenticerende dienst
a) staat alle tekens toe en stelt geen eisen aan welke tekens er wel of niet in moeten staan, maar
b) vereist een zekere sterkte die ofwel door een minimale lengte wordt geborgd -wachtzinnen zijn sterk door hun lengte- dan wel met een wachtwoord sterktemeting (sterkte gedefinieerd als het minimaal aantal bits entropie in het wachtwoord)
c) dwingt de gebruiker niet onnodig steeds elke zoveel weken zijn wachtwoord aan te passen, maar
d) draagt zorg dat gebruikers weten dat zij in geval van (een vermoeden van) een gecompromitteerd wachtwoord dat zonder omhaal wijzigen en ook melden opdat eventuele andere mitigerende maatregelen kunnen worden genomen (duidelijk en eenvoudig).
Een goed beleid vanuit het oogpunt van een gebruiker wiens identiteit het betreft is
a) gebruik voor gevoelige accounts steeds een ander wachtwoord
b) gebruik voor ongevoelige en onzin accounts (die een dienst vereist, niet in jouw belang maar in het belang van de dienstverlener) eventueel een enkel wachtwoord en
c) gebruik zo mogelijk een beveiligde sleutelhanger waarmee het gebruik van sterke wachtwoorden niet op gespannen voet met het geheugen staat. MacOS en Linux hebben al vele jaren standaard een sleutelhanger in de desktop (en die anders dan MS Windows aanmeldingen/referenties "verstopt" en het wachtwoord naderhand bekijken niet toelaat).
21-08-2018, 12:12 door
Briolet
Door Prx: Ik word echt doodmoe van sites en systemen waarbij ze maximale lengtes gebruiken en andere restricties, compleet waardeloos. …
Nog erger is het als ze lengte restricties gebruiken en dat niet vertellen. Ik heb wel meegemaakt dat je een heel lang WW kon intikken, maar het JS script in de browser kapte het af op 16 tekens, zonder dit te vermelden. Je blijft dan in de waan dat je een lang wachtwoord gebruikt.
Ik kwam er achter toen ik eens vanaf een andere omgeving wilde inloggen, waar die restrictie niet op zat en er een hash opgestuurd werd op basis van mijn langere wachtwoord. Ik kon niet inloggen !!!!
Door Prx:
Omdat het natuurlijk niet alleen de pincode is. Je moet ook in het bezit zijn van de bankpas om daadwerkelijk een actie uit te kunnen voeren.
Om te beginnen is dat, bij passen met magneetstrip, niet waar. Ten tweede worden bankpassen veelvuldig gestolen (twee weken geleden is de portenonnee met pinpas van mijn moeder nog gerold).Door Bitwiper: Ja, maar als een gebruiker mij zou vragen "waarom volstaan dan 4 cijfers voor mijn bankpas", moet ik bekennen dat wij techneuten systemen bouwen en/of inzetten die te brute-forcen zijn, en (discutabel) erger, waarbij het voor aanvallers kennelijk eenvoudig is om wachtwoordhashes uit te kopiëren.
Omdat het natuurlijk niet alleen de pincode is. Je moet ook in het bezit zijn van de bankpas om daadwerkelijk een actie uit te kunnen voeren.
Die 4 cijferige-pincode volstaat, ook na diefstal van die pas (of kopiëren van een magneetstrip), omdat:
- Het account (de pas) wordt geblokkeerd na 3x een foute pincode (dit maakt brute force aanvallen onrealistisch);
- Banken kennelijk wel in staat zijn om systemen te bouwen waaruit niet aan de lopende band shared secrets (waaronder pincodes of afgeleiden daarvan) worden gestolen. Alleen als de aanvaller jouw pincode kent (heeft afgekeken bijvoorbeeld), en in het bezit is van jouw pas (of gekopieerde magneetstrippas, die ook in Nederland nog worden gebruikt o.a. bij tankpassen voor leaseauto's) kan zij geld van jouw rekening halen en/of betalen.
M.a.w., alleen die 4-cijferige pincode is goed genoeg om dieven tegen te houden. We doen dus iets verkeerd in niet-bank-systemen als simpele wachtwoorden niet volstaan. Immers, een wachtwoord is in 99 van de 100 gevallen bedoeld om te voorkomen dat iemand anders bij andere vertrouwelijke gegevens van jou kan komen, of namens jou handelingen kan verrichten. Zodra een aanvaller dat voor elkaar heeft gekregen, is het mijn kleinste zorg dat zij mijn wachtwoord weet (of uit een hash weet te herleiden). Ja, wachtwoorden moeten wel uniek zijn in de situatie dat dit gebeurt - maar die situaties horen zich niet zo krankzinnig vaak voor te doen als nu de praktijk is.
Ook al zouden websites, en alle andere systemen waar je vanuit een device met CPU op inlogt, nu al een public key van jou opslaan (i.p.v. een kopie of afgeleide van een wachtwoord, iets wat allang de praktijk had kunnen zijn), en er niemand meer wakker zou liggen van de diefstal van dergelijke authenticatiegegevens, dan nog bestaat nog steeds het probleem dat criminelen zich onrechtmatige toegang tot andere, wel vertrouwelijke gegevens in veel te veel systemen weten te verschaffen. Dat probleem moet m.i. eerst worden opgelost!
Door Anoniem: Jammer alleen dat je niet overal een sterk wachtwoord kunt gebruiken, doordat de techniek het niet toestaat. Ik heb net een nieuwe modem/router van mijn ISP gekregen, waarvoor ik het wachtwoord moest veranderen, alleen staat deze spaties niet toe. Alleen maar hoofdletters, kleine letters, cijfers, streepjes (-) en underscores (_). De rest is allemaal niet toegestaan. En niet alleen voor het wachtwoord om in te loggen op het apparaat, maar ook niet voor het WiFi wachtwoord!
Op een klacht die ik erover heb ingediend kreeg ik te horen dat ik maar underscores moest gebruiken, net zoals iedereen anders. Sja.
Op een klacht die ik erover heb ingediend kreeg ik te horen dat ik maar underscores moest gebruiken, net zoals iedereen anders. Sja.
Waarom zou je spaties willen gebruiken? Zo bijzonder is dat teken niet, dus wat veiligheid betreft voegt het nauwelijks iets toe en inderdaad kunnen computers dit niet altijd aan omdat van oudsher de spatie werd gebruikt als scheidingsteken tussen opdrachten, dus zo vreemd is het niet dat spaties niet overal worden geaccepteerd in wachtwoorden. Gewoon niet doen dus.
NB:
Je wordt letterlijk gevraagd om een wachtwoord, dan kom je niet met meerdere woorden aan zetten. Logica.
password: 'Ich habe schijt aan p@ssw0rds.
entropy: 91.532
crack time (seconds): 1.7905415053068406e+23
crack time (display): centuries
score from 0 to 4: 4
calculation time (ms): 14
entropy: 91.532
crack time (seconds): 1.7905415053068406e+23
crack time (display): centuries
score from 0 to 4: 4
calculation time (ms): 14
27-08-2018, 12:10 door
hanspaint
Keep It Simple.
Gebruik een goede passwordmanager .
Gebruik een password van minimaal 15 lang bv 9sqX+EfjzZyV9sG
Gebruik voor iedere account een ander password
Beperk het aantal inlogpogingen op bv je NAS
Gebruik een goede passwordmanager .
Gebruik een password van minimaal 15 lang bv 9sqX+EfjzZyV9sG
Gebruik voor iedere account een ander password
Beperk het aantal inlogpogingen op bv je NAS
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
