Kritiek op banken die geen wachtwoordmanager ondersteunen
Net als in Nederland zijn ook in de Verenigde Staten verschillende banken onder vuur komen te liggen omdat ze geen wachtwoordmanager ondersteunen. De kritiek is gericht tegen Citibank en Capital One. De laatste bank zou gebruikers verplichten om het wachtwoord handmatig in te voeren.
Dit zou gebruikers aanmoedigen om een kort wachtwoord te kiezen of een wachtwoord van een andere website her te gebruiken, zegt Joseph Carrigan, senior security engineer van het Johns Hopkins University Information Security Institute, tegenover The Register. "Het probleem is dat het slechte wachtwoordhygiëne aan de kant van de gebruiker bevordert. Ik denk dat alles dat gebruikers richting zwakke wachtwoorden duwt een defect is", aldus Carrigan.
De bank liet hem weten dat het om een opzettelijk genomen beslissing gaat. Eerder verscheen er al kritiek op Capital One omdat het gebruikers bij het aanmaken van een nieuw wachtwoord verplicht om het wachtwoord bij de tweede wachtwoordveld handmatig in te voeren. In juli kreeg ook ING de nodige kritiek te verduren omdat de nieuwe inlogpagina van de bank niet met wachtwoordmanagers werkt. Een juridische vraag op Security.NL ging over deze situatie, waarbij ict-jurist Arnoud Engelfriet naar de Uniforme Veiligheidsregels van de banksector wees. Daarin worden bankklanten opgeroepen om codes niet op te slaan.
Klopt, maar met de ING site werkt het niet met :(
https://twitter.com/danielverlaan/status/1039792770733498369
Waarom zou je in hemelsnaam al je wachtwoorden bij een derde partij neerleggen, of dat nou versleuteld is of niet.
Bijvoorbeeld keeper snapt gewoon dat je bij Microsoft of Google probeert in te loggen en welk account hier bij hoort. Herkent vervolgens het veld (e-mail of wachtwoord) en vult dat in. Dus ook op twee losse pagina's kan het prima.
Overigens heb ik geen idee of andere password managers dit ondersteunen.
Ik ben maar een simpele ziel en dacht dat een wachtwoordmanager op je eigen PC staat en niets maar dan ook NIETS te maken heeft met het programma (of de site) waarvoor het paswoord nodig is. Het kan allemaal toch zo eenvoudig:
- ik open site ABC en moet passwoord invoegen
- ik ga naar de PWmanager en geef in dat ik het PW voor ABC nodig heb
- ik krijg het PW en doe een "copy"
- ik paste het PW op de site ABC
Hoe de PWmanager werkt, waar die geinstalleerd is etc etc heeft toch niets te maken met het inloggen op site ABC!!
Waarom zou je in hemelsnaam al je wachtwoorden bij een derde partij neerleggen, of dat nou versleuteld is of niet.
Ik vind dat niet offtopic.
Maar het antwoord is dat dit een betere beveilliging is dan je ene wachtwoord bij alle gebruikte sites neer te leggen.
Beveilliging is nooit 100%. Je moet het risico afwegen en dan is het voor de meeste situaties veiliger om al je verschillende wachtwoorden op een enkele plaats op te slaan, dan je enkele wachtwoord op al die verschillende sites te gebruiken.
En daarnaast zijn er natuurlijk ook wachtwoord managers die je de keuze bieden om het niet bij een externe partij neer te leggen, zoals KeePass en Safe in Cloud.
Peter
Bijvoorbeeld keeper snapt gewoon dat je bij Microsoft of Google probeert in te loggen en welk account hier bij hoort. Herkent vervolgens het veld (e-mail of wachtwoord) en vult dat in. Dus ook op twee losse pagina's kan het prima.
Overigens heb ik geen idee of andere password managers dit ondersteunen.
Je kunt toch (dacht ik, meestal) alleen je saldo zien!?!?
Geen ASCII toegestaan in wachtwoorden...hmmmm.
64 tekens met ASCII:
¨b>D²êÉ7øB{Üü¾÷ÖoE=ÑsnuLE¾X®Ê3ÇáC¶Æpºú&px,ñ}2,¡ÓÇHíüRí\yׯ$b§ö\6
Password Managers die niet vanuit NL opereren, liever niet (is evall).
Zowiezo gebruik ik alleen 1 password manager die op mijn device staat.
Waarom zou je in hemelsnaam al je wachtwoorden bij een derde partij neerleggen, of dat nou versleuteld is of niet.
Ik vind dat niet offtopic.
Maar het antwoord is dat dit een betere beveilliging is dan je ene wachtwoord bij alle gebruikte sites neer te leggen.
Beveilliging is nooit 100%. Je moet het risico afwegen en dan is het voor de meeste situaties veiliger om al je verschillende wachtwoorden op een enkele plaats op te slaan, dan je enkele wachtwoord op al die verschillende sites te gebruiken.
En daarnaast zijn er natuurlijk ook wachtwoord managers die je de keuze bieden om het niet bij een externe partij neer te leggen, zoals KeePass en Safe in Cloud.
Peter
Nou doe je net of er maar twee mogelijkheden zijn, wat natuurlijk regelrechte onzin is.
Je kunt toch (dacht ik, meestal) alleen je saldo zien!?!?
Geen ASCII toegestaan in wachtwoorden...hmmmm.
64 tekens met ASCII:
¨b>D²êÉ7øB{Üü¾÷ÖoE=ÑsnuLE¾X®Ê3ÇáC¶Æpºú&px,ñ}2,¡ÓÇHíüRí\yׯ$b§ö\6
Password Managers die niet vanuit NL opereren, liever niet (is evall).
Zowiezo gebruik ik alleen 1 password manager die op mijn device staat.
Dat is jouw verantwoordelijkheid ik gebruik een password manager waar alle passwords in de cloud staan en dat is net zo veilig en in sommige opzichten zelfs veiliger dan opslaan op je eigen device.
Waarom zou je in hemelsnaam al je wachtwoorden bij een derde partij neerleggen, of dat nou versleuteld is of niet.
Dat is een. Daarnaast opent dit de mogelijkheid niet alleen voor wachtwoord managers maar ook voor browsers om de wachtwoorden op te slaan. En deze hebben historisch de fijten tegen waar het aankomt op veiligheid.
Imo mensen die wel een wachtwoord manager gebruiken - hebben ogenschijnlijk meer awareness en zullen dus waarschijnlijk uit zichzelf ook een sterker wachtwoord kiezen (dan wel handmatig gegenereerd vanuit hun wachtwoord manager).
Mensen die geen wachtwoord manager gebruiker gaan dat niet opeens wel doen omdat de bank het ondersteund. Maar die mensen kiezen er waarschijnlijk wel voor het al dan niet sterke wachtwoord op te slaan du moment dat de browser dit aanbied.
Dus ik zie niet dat Carrigan hier een punt heeft anders dan tegemoet komen aan de gebruikers die wel een actieve wachtwoord manager gebruiken.
ING heeft natuurlijk geen geld om een fatsoenlijke rente op je spaarrekening te bieden, want bestuurders en aandeelhouders gaan voor (maar dat doen veel andere banken ook).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
