image

Kritiek op banken die geen wachtwoordmanager ondersteunen

donderdag 13 september 2018, 17:10 door Redactie, 16 reacties

Net als in Nederland zijn ook in de Verenigde Staten verschillende banken onder vuur komen te liggen omdat ze geen wachtwoordmanager ondersteunen. De kritiek is gericht tegen Citibank en Capital One. De laatste bank zou gebruikers verplichten om het wachtwoord handmatig in te voeren.

Dit zou gebruikers aanmoedigen om een kort wachtwoord te kiezen of een wachtwoord van een andere website her te gebruiken, zegt Joseph Carrigan, senior security engineer van het Johns Hopkins University Information Security Institute, tegenover The Register. "Het probleem is dat het slechte wachtwoordhygiëne aan de kant van de gebruiker bevordert. Ik denk dat alles dat gebruikers richting zwakke wachtwoorden duwt een defect is", aldus Carrigan.

De bank liet hem weten dat het om een opzettelijk genomen beslissing gaat. Eerder verscheen er al kritiek op Capital One omdat het gebruikers bij het aanmaken van een nieuw wachtwoord verplicht om het wachtwoord bij de tweede wachtwoordveld handmatig in te voeren. In juli kreeg ook ING de nodige kritiek te verduren omdat de nieuwe inlogpagina van de bank niet met wachtwoordmanagers werkt. Een juridische vraag op Security.NL ging over deze situatie, waarbij ict-jurist Arnoud Engelfriet naar de Uniforme Veiligheidsregels van de banksector wees. Daarin worden bankklanten opgeroepen om codes niet op te slaan.

Image

Reacties (16)
13-09-2018, 17:53 door KoalaBear
Of 'maar' 12 tekens toestaan ofzo.. heel irritant.. Maar zo is het ook bij Google en Microsoft, daar kun je ook niet (goed) gebruik maken van een password manager. Je moet eerst je emailadres invoeren, ENTER, dan wachten, wachtwoord en weer ENTER. Het 'kan' wel met bijv KeePass, als de response tijd betrouwbaar is: {USERNAME}{ENTER}{DELAY 2000}{PASSWORD}{ENTER}
13-09-2018, 18:20 door Anoniem
Huh? Mijn KeepassXC werkt prima voor de ING.
13-09-2018, 22:14 door Jos H
ik gebruik al jaren LastPass en heb nog nooit problemen gehad met websites.
14-09-2018, 00:23 door [Account Verwijderd]
Door Jos H: ik gebruik al jaren LastPass en heb nog nooit problemen gehad met websites.

Klopt, maar met de ING site werkt het niet met :(
14-09-2018, 08:13 door Anoniem
Hier een stukje uitleg, waarom de password manager bij bv. ING niet meer werkt.

https://twitter.com/danielverlaan/status/1039792770733498369
14-09-2018, 08:25 door Anoniem
Offtopic:

Waarom zou je in hemelsnaam al je wachtwoorden bij een derde partij neerleggen, of dat nou versleuteld is of niet.
14-09-2018, 08:38 door Anoniem
Door KoalaBear: Of 'maar' 12 tekens toestaan ofzo.. heel irritant.. Maar zo is het ook bij Google en Microsoft, daar kun je ook niet (goed) gebruik maken van een password manager. Je moet eerst je emailadres invoeren, ENTER, dan wachten, wachtwoord en weer ENTER. Het 'kan' wel met bijv KeePass, als de response tijd betrouwbaar is: {USERNAME}{ENTER}{DELAY 2000}{PASSWORD}{ENTER}

Bijvoorbeeld keeper snapt gewoon dat je bij Microsoft of Google probeert in te loggen en welk account hier bij hoort. Herkent vervolgens het veld (e-mail of wachtwoord) en vult dat in. Dus ook op twee losse pagina's kan het prima.

Overigens heb ik geen idee of andere password managers dit ondersteunen.
14-09-2018, 10:47 door Anoniem
QUOTE Net als in Nederland zijn ook in de Verenigde Staten verschillende banken onder vuur komen te liggen omdat ze geen wachtwoordmanager ondersteunen. UNQUOTE.

Ik ben maar een simpele ziel en dacht dat een wachtwoordmanager op je eigen PC staat en niets maar dan ook NIETS te maken heeft met het programma (of de site) waarvoor het paswoord nodig is. Het kan allemaal toch zo eenvoudig:
- ik open site ABC en moet passwoord invoegen
- ik ga naar de PWmanager en geef in dat ik het PW voor ABC nodig heb
- ik krijg het PW en doe een "copy"
- ik paste het PW op de site ABC

Hoe de PWmanager werkt, waar die geinstalleerd is etc etc heeft toch niets te maken met het inloggen op site ABC!!
14-09-2018, 10:56 door Anoniem
Door Anoniem: Offtopic:

Waarom zou je in hemelsnaam al je wachtwoorden bij een derde partij neerleggen, of dat nou versleuteld is of niet.

Ik vind dat niet offtopic.
Maar het antwoord is dat dit een betere beveilliging is dan je ene wachtwoord bij alle gebruikte sites neer te leggen.
Beveilliging is nooit 100%. Je moet het risico afwegen en dan is het voor de meeste situaties veiliger om al je verschillende wachtwoorden op een enkele plaats op te slaan, dan je enkele wachtwoord op al die verschillende sites te gebruiken.

En daarnaast zijn er natuurlijk ook wachtwoord managers die je de keuze bieden om het niet bij een externe partij neer te leggen, zoals KeePass en Safe in Cloud.

Peter
14-09-2018, 11:30 door Anoniem
Door Anoniem:
Door KoalaBear: Of 'maar' 12 tekens toestaan ofzo.. heel irritant.. Maar zo is het ook bij Google en Microsoft, daar kun je ook niet (goed) gebruik maken van een password manager. Je moet eerst je emailadres invoeren, ENTER, dan wachten, wachtwoord en weer ENTER. Het 'kan' wel met bijv KeePass, als de response tijd betrouwbaar is: {USERNAME}{ENTER}{DELAY 2000}{PASSWORD}{ENTER}

Bijvoorbeeld keeper snapt gewoon dat je bij Microsoft of Google probeert in te loggen en welk account hier bij hoort. Herkent vervolgens het veld (e-mail of wachtwoord) en vult dat in. Dus ook op twee losse pagina's kan het prima.

Overigens heb ik geen idee of andere password managers dit ondersteunen.
KeePass heeft dit ook, maar dan kun je niet de auto-type functie gebruiken. I.c.m. een browser plugin werkt het echter dikke prima.
14-09-2018, 21:37 door foxonsafari
What's the fuzz about.
Je kunt toch (dacht ik, meestal) alleen je saldo zien!?!?
Geen ASCII toegestaan in wachtwoorden...hmmmm.

64 tekens met ASCII:

¨b>D²êÉ7øB{Üü¾÷ÖoE=ÑsnuLE¾X®Ê3ÇáC¶Æpºú&px,ñ}2,¡ÓÇHíüRí\yׯ$b§ö\6

Password Managers die niet vanuit NL opereren, liever niet (is evall).

Zowiezo gebruik ik alleen 1 password manager die op mijn device staat.
15-09-2018, 04:55 door Anoniem
Door Anoniem:
Door Anoniem: Offtopic:

Waarom zou je in hemelsnaam al je wachtwoorden bij een derde partij neerleggen, of dat nou versleuteld is of niet.

Ik vind dat niet offtopic.
Maar het antwoord is dat dit een betere beveilliging is dan je ene wachtwoord bij alle gebruikte sites neer te leggen.
Beveilliging is nooit 100%. Je moet het risico afwegen en dan is het voor de meeste situaties veiliger om al je verschillende wachtwoorden op een enkele plaats op te slaan, dan je enkele wachtwoord op al die verschillende sites te gebruiken.

En daarnaast zijn er natuurlijk ook wachtwoord managers die je de keuze bieden om het niet bij een externe partij neer te leggen, zoals KeePass en Safe in Cloud.

Peter

Nou doe je net of er maar twee mogelijkheden zijn, wat natuurlijk regelrechte onzin is.
17-09-2018, 11:11 door hanspaint
Door foxonsafari: What's the fuzz about.
Je kunt toch (dacht ik, meestal) alleen je saldo zien!?!?
Geen ASCII toegestaan in wachtwoorden...hmmmm.

64 tekens met ASCII:

¨b>D²êÉ7øB{Üü¾÷ÖoE=ÑsnuLE¾X®Ê3ÇáC¶Æpºú&px,ñ}2,¡ÓÇHíüRí\yׯ$b§ö\6

Password Managers die niet vanuit NL opereren, liever niet (is evall).

Zowiezo gebruik ik alleen 1 password manager die op mijn device staat.

Dat is jouw verantwoordelijkheid ik gebruik een password manager waar alle passwords in de cloud staan en dat is net zo veilig en in sommige opzichten zelfs veiliger dan opslaan op je eigen device.
17-09-2018, 11:14 door hanspaint
Bij ING kan je gewoon copy paste gebruiken minder handig. Met Safari werkt het gewoon.
17-09-2018, 16:18 door Anoniem
Door Anoniem: Offtopic:

Waarom zou je in hemelsnaam al je wachtwoorden bij een derde partij neerleggen, of dat nou versleuteld is of niet.

Dat is een. Daarnaast opent dit de mogelijkheid niet alleen voor wachtwoord managers maar ook voor browsers om de wachtwoorden op te slaan. En deze hebben historisch de fijten tegen waar het aankomt op veiligheid.

Imo mensen die wel een wachtwoord manager gebruiken - hebben ogenschijnlijk meer awareness en zullen dus waarschijnlijk uit zichzelf ook een sterker wachtwoord kiezen (dan wel handmatig gegenereerd vanuit hun wachtwoord manager).

Mensen die geen wachtwoord manager gebruiker gaan dat niet opeens wel doen omdat de bank het ondersteund. Maar die mensen kiezen er waarschijnlijk wel voor het al dan niet sterke wachtwoord op te slaan du moment dat de browser dit aanbied.

Dus ik zie niet dat Carrigan hier een punt heeft anders dan tegemoet komen aan de gebruikers die wel een actieve wachtwoord manager gebruiken.
17-09-2018, 19:43 door Anoniem
Door [Account Verwijderd]:Klopt, maar met de ING site werkt het niet met :(
't is dat ik al weg ben bij de ING wegens hun poging een extreme salaris verhoging van een mislukte witwassende bestuurder er door te drkken (met als argument dat 'ie nog niet hoog genoeg op de lijst van megagraaiers stond).

ING heeft natuurlijk geen geld om een fatsoenlijke rente op je spaarrekening te bieden, want bestuurders en aandeelhouders gaan voor (maar dat doen veel andere banken ook).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.