image

Duizenden studenten Universiteit Maastricht wijzigen wachtwoord

vrijdag 3 januari 2020, 13:18 door Redactie, 15 reacties

Duizenden studenten en medewerkers van de Universiteit Maastricht hebben vanwege de aanval met ransomware hun wachtwoorden gewijzigd. Vanwege het incident besloot de universiteit de wachtwoorden van accounts te resetten. Studenten en medewerkers wordt tijdens het inloggen met hun oude inloggegevens gevraagd een nieuw wachtwoord in te stellen. Meer dan 7.000 UM-medewerkers en studenten hebben dit inmiddels gedaan.

De universiteit roept iedereen op die zijn of haar wachtwoord nog niet heeft gewijzigd om dit voor aanstaande maandag te doen. Studenten moeten van buiten het UM-netwerk inloggen om hun wachtwoord te wijzigen. De universiteit adviseert een wachtwoord van minimaal 15 karakters, waarbij er ook van hoofdletters, kleine karakters, nummers of andere karakters gebruik moet worden gemaakt.

"Sterke wachtwoorden zijn niet altijd gemakkelijk om te onthouden. Gebruik daarom een gezegde, zin uit een liedje of andere zin die je goed kunt onthouden en die lastig te raden of kraken is. Als algemene regel geldt wel dat wachtwoordzinnen op grond van hun lengte veiliger zijn dan zogenaamd complexe wachtwoorden", aldus de universiteit.

Verder is het wifi-netwerk van de universiteit weer beperkt beschikbaar. Gebruikers kunnen via het draadloze netwerk inloggen op de UM-systemen die inmiddels weer online zijn. Aanstaande maandag 6 januari starten de lessen weer aan de universiteit.

Reacties (15)
03-01-2020, 13:38 door Anoniem
Ja een ww .12345 voor de rest ho maar
03-01-2020, 13:40 door Anoniem
"Duizenden studenten Universiteit Maastricht wijzigen wachtwoord door één cijfer toe te voegen"
03-01-2020, 13:43 door [Account Verwijderd]
Als de UM graag wilt dat mensen een 15 karakter wachtwoord gaan gebruiken moeten ze dat afdwingen door de authenticatie software daarop in te richten.
03-01-2020, 14:52 door Anoniem
Door Sjef van Heesch: Als de UM graag wilt dat mensen een 15 karakter wachtwoord gaan gebruiken moeten ze dat afdwingen door de authenticatie software daarop in te richten.
Ze dwingen het ook af... zie hun password policy: https://www.maastrichtuniversity.nl/nl/welkom123-geen-sterk-wachtwoord
03-01-2020, 14:58 door Erik van Straten - Bijgewerkt: 03-01-2020, 15:48
Door Anoniem: Ja een ww .12345 voor de rest ho maar
Dat is minder dan 15 karakters (maar "123451234512355" en "eentweedrievier" zijn wel lang genoeg).

Sowieso lijkt 15 me onpraktisch en onnodig lang (vooral als je account lockout goed voor elkaar hebt). Maar wie weet is voor 15 gekozen omdat er nog (Linux? Zie https://security.nl/posting/637703) systemen in het netwerk zijn die LM passwords ondersteunen? Zie bijv. https://duo.com/blog/password-palpitations-the-ongoing-threat-of-lm-hashing waarom je dat niet wilt.

Beheerders kunnen een deel van de slechte wachwoorden voorkomen door een gekozen wachtwoord te vergelijken met alle ooit eerder gebruikte en gelekte wachtwoorden (of door hashes van beide te vergelijken). Dat kan door de laatste lijst van haveibeenpwned te gebruiken, evt. in combinatie met een bloom-filter. Bij een match moet je de gebruiker een ander wachtwoord laten voorstellen.

Bij targeted attacks (zoals mogelijk plaats heeft gevonden in Maastricht) is het ook zeer wenselijk dat users geen karakterreeksen gebruiken die, op basis van hun identiteit of pseudoniemen, op internet te vinden zijn of waar vriend en vijand weet van hebben. Maar daar geautomatiseerd op checken is een stuk lastiger, alhoewel het mij niet zou verbazen als pentesters en criminelen dit soort tools al hebben ontwikkeld (in elk geval voor online te vinden informatie). Kent iemand dergelijke tools?

Voor de gebruikers lijkt me een korte pass-phrase hier een verstandige keuze. Zoek bijvoorbeeld in een nieuwsartikel naar 4 korte woorden (of delen van langere) die je kunt onthouden, en scheid deze zonodig met cijfers en/of symbolen.

Voorbeeld (dit wachtwoord NIET hergebruiken) op basis van https://www.nu.nl/binnenland/6021507/42-mensen-met-vuurwerkletsel-in-brandwondencentra-rond-jaarwisseling.html:

42men@RotBevGro

De getallen 42, 666 en 1337 kun je in echte wachtwoorden overigens beter vermijden ;-) en het beste gebruik je jouw favoriete boeken, muziek, security en/of ICT sites en vakliteratuur in jouw gebied niet als bron. Een willekeurige wikipedia pagina over een onderwerp dat jou normaal gesproken niet interesseert is wellicht een goed idee (klik gewoon door een paar kruisverwijzingen heen tot je bij zo'n onderwerp belandt). Het gebruik van woorden uit een andere dan jouw moedertaal (anders dan Engels) kan het aanvallers ook lastiger maken, maar vermijd daarbij woorden die bijna iedereen kent (zoals "bonjour").

In elk geval: neem zo'n wachtwoord op in een wachtwoordmanager bijv. op je smartphone!

Aanvulling: zie https://www.security.nl/posting/637814/Wachtwoord+tip+%28ook+voor+UM+et+al%29 voor een update van de tip hierboven.
03-01-2020, 18:52 door Anoniem
@ Erik van Straten - Bijgewerkt: Vandaag, 15:48

Ik zou willen pleiten voor een combinatie van "woordenboekwoorden" die niet gerelateerd zijn zoals PlatvisKalkAuto. Resistent tegen dictionary attacks, simpel en geen noodzaak voor cijfers en leestekens. Toch is het voor mensen herkenbaar en makkelijk in te typen. De Nederlandse taal leent zich prima voor samengestelde woorden.

Cijfers en leestekens komen meestal achteraan een normaal woord en het leesteken is meestal '!'. Dat helpt niet tegen dictionary attacks.

Geen enkel wachtwoord is onkraakbaar, het gaat er om voldoende veilig te zijn.
03-01-2020, 19:37 door The FOSS
Door Anoniem: @ Erik van Straten - Bijgewerkt: Vandaag, 15:48

Ik zou willen pleiten voor een combinatie van "woordenboekwoorden" die niet gerelateerd zijn zoals PlatvisKalkAuto. Resistent tegen dictionary attacks, simpel en geen noodzaak voor cijfers en leestekens. Toch is het voor mensen herkenbaar en makkelijk in te typen. De Nederlandse taal leent zich prima voor samengestelde woorden.

Dan pleit ik voor spaties toestaan in wachtwoorden. Dan kan je gewoon hele zinnen intikken (hoeft niet eens heel lang te zijn).
03-01-2020, 23:48 door Erik van Straten
Door Anoniem: Ik zou willen pleiten voor een combinatie van "woordenboekwoorden" die niet gerelateerd zijn zoals PlatvisKalkAuto.
Achteraf vermoed ik dat niemand van de reageerders op de nu.nl link geklikt heeft, maar zoals ik in de andere draad (in een reactie) beschreef, heb ik afgeleiden van gewone woorden in dat artikel gebruikt ("in" heb ik vervangen door "@"):
42 mensen in brandwondencentra in Rotterdam, Beverwijk en Groningen
Dat levert een zo kort mogelijk wachtwoord op (niet-security-nerds haten lange wachtwoorden, vooral als ze die op een draagbaar device moeten invoeren) dat niet 100% random is waardoor het minder moeilijk is om te onthouden, en dat substrings bevat die niet in woordenboeken voorkomen.

Ik denk nu dat ik dat beter meteen duidelijk had kunnen maken :-(

Door Anoniem: Resistent tegen dictionary attacks, simpel en geen noodzaak voor cijfers en leestekens.
De eis voor cijfers en leestekens is relevant bij korte (semi-random) wachtwoorden om het aantal mogelijkheden kunstmatig op te krikken, maar kan inderdaad vervallen bij langere wachtwoorden.

Om dictionary-attacks te voorkomen is het wel noodzakelijk dat je woordenlijst lang genoeg is. Bij een lijst van bijv. 3000 woorden, en een wachtwoord bestaande uit 3 van die woorden (zonder scheidingstekens), zijn er 3000 ^ 3 combinaties mogelijk, en is een rainbow-table wel degelijk realistisch. En helemaal als mensen combinaties van woorden uit gaan zoeken die ze makkelijker kunnen onthouden, dat levert ongetwijfeld bias op. Dat zal bij mijn voorstel ook wel gebeuren, maar doordat er delen van meer woorden in worden gebruikt, die niet in woordenboeken voor hoeven te komen, denk ik dat hiermee toch sterke (onvoorspelbare) wachtwoorden ontstaan die relatief kort zijn (vergeleken met echte pass-phrases).

Door Anoniem: Toch is het voor mensen herkenbaar en makkelijk in te typen. De Nederlandse taal leent zich prima voor samengestelde woorden.
Ik denk dat je een sterker wachtwoord krijgt als je delen van meer woorden gebruikt, vooral als die delen niet toevallig voorkomen in woordenlijsten. Maar je moet wel creatief zijn om zo'n wachtwoord te bedenken. En naast het onthouden van de oorspronkelijke woorden moet je ook de wijze van afkorten onthouden.

In mijn eigen ervaring is het echter zo dat ik die oorspronkelijke woorden niet onthoud, maar dat zo'n wachtwoord invoeren al snel een automatisme wordt (dat merk ik bij een andere toetsenbord-layout; vaak moet ik dan KeePass raadplegen om na te gaan uit welke feitelijke karakters mijn wachtwoord ook al weer bestaat).

Door Anoniem: Cijfers en leestekens komen meestal achteraan een normaal woord en het leesteken is meestal '!'. Dat helpt niet tegen dictionary attacks.
Elk extra karakter verhoogt de entropie, maar inderdaad kun je in wachtwoorden het beste alles vermijden dat voor de hand ligt.

Door Anoniem: Geen enkel wachtwoord is onkraakbaar, het gaat er om voldoende veilig te zijn.
Het allerbelangrijkste is, vermoed ik, dat je wachtwoorden niet hergebruikt voor andere accounts.

Door The FOSS: Dan pleit ik voor spaties toestaan in wachtwoorden. Dan kan je gewoon hele zinnen intikken (hoeft niet eens heel lang te zijn).
Dan pleit ik ervoor om op elke positie van een wachtwoord alle 95 "printable" ASCII karakters (met byte-waardes van 32 t/m 126, beide inclusief) toe te staan. Random gegenereerde wachtwoorden hoeven dan niet eens lang te zijn om "onkraakbaar" te zijn. Belangrijker, dan hoef ik niet elke keer in KeePass onnodig de set van toegestane karakters voor elke site te wijzigen als ik een random wachtwoord laat genereren.
04-01-2020, 08:05 door The FOSS
Door Erik van Straten:
Door The FOSS: Dan pleit ik voor spaties toestaan in wachtwoorden. Dan kan je gewoon hele zinnen intikken (hoeft niet eens heel lang te zijn).
Dan pleit ik ervoor om op elke positie van een wachtwoord alle 95 "printable" ASCII karakters (met byte-waardes van 32 t/m 126, beide inclusief) toe te staan. Random gegenereerde wachtwoorden hoeven dan niet eens lang te zijn om "onkraakbaar" te zijn. Belangrijker, dan hoef ik niet elke keer in KeePass onnodig de set van toegestane karakters voor elke site te wijzigen als ik een random wachtwoord laat genereren.

Ja, dat is inderdaad irritant! Maar het allerergst zijn sites die een bepaalde restrictie hebben/afdwingen maar die niet controleren. Dan douw je er een wachtwoord van 64 karakters in en kan je daarna niet inloggen. Blijkt het maar 21 karakters lang te mogen zijn of zoiets. Nog erger als ze een app hebben en je kan wel op de site inloggen maar niet op de app (want die laatste heeft dan een restrictie).
04-01-2020, 10:44 door Anoniem
Door Anoniem: @ Erik van Straten - Bijgewerkt: Vandaag, 15:48

Ik zou willen pleiten voor een combinatie van "woordenboekwoorden" die niet gerelateerd zijn zoals PlatvisKalkAuto. Resistent tegen dictionary attacks, simpel en geen noodzaak voor cijfers en leestekens. Toch is het voor mensen herkenbaar en makkelijk in te typen. De Nederlandse taal leent zich prima voor samengestelde woorden.

Cijfers en leestekens komen meestal achteraan een normaal woord en het leesteken is meestal '!'. Dat helpt niet tegen dictionary attacks.

Geen enkel wachtwoord is onkraakbaar, het gaat er om voldoende veilig te zijn.

Ik gebruik meestal een aantal woorden uit een verschillende taal, wel te onthouden maar komen niet voor in een woordenboek.
Vaak met een spatie op het einde om meekijkers te verwarren of om slechte scripting tegen te gaan.

Ik heb veel geleerd van 2 jaar een honypot draaien.
04-01-2020, 12:40 door Erik van Straten
@Anoniem 10:44: ik heb laatst ergens gelezen dat sommige sites spaties vooraan en achteraan verwijderen (in sommige programmeertalen bekend als de "trim" functie), kijk maar uit dat ze niet je wachtwoord accepteren bij het wijzigen ervan en vervolgens weigeren bij inloggen (vergelijkbaar met wat The Foss beschrijft).

@The Foss en Anoniem 10:44: ik stel voor dat we evt. verdere (m.i. interessante en leerzame) discussie over wachtwoorden voortzetten onder https://www.security.nl/posting/637814/Wachtwoord+tip+%28ook+voor+UM+et+al%29, dan zie ik het op de frontpage als er reacties zijn.
04-01-2020, 13:21 door Briolet
Door Erik van Straten:
Door The FOSS: Dan pleit ik voor spaties toestaan in wachtwoorden. Dan kan je gewoon hele zinnen intikken (hoeft niet eens heel lang te zijn).
Dan pleit ik ervoor om op elke positie van een wachtwoord alle 95 "printable" ASCII karakters (met byte-waardes van 32 t/m 126, beide inclusief) toe te staan.

Waarom zo beperkt? Sta gewoon alle unicode karakters toe. Op mijn synology nas is dat ook mogelijk. Je kunt dan griekse tekens als ß µ ? (beta, mu, gamma) gebruiken, of chinese tekens, emoticons etc.
Zeker bij andere culturen kan ik me voorstellen dat ze gewoon lokale courante tekst willen gebruiken, zeker als dat wachtwoorden sterker maakt. (Grieken, Chinezen, Russen etc. )
05-01-2020, 10:25 door Erik van Straten
08-01-2020, 19:04 door Anoniem
Door Anoniem:welkom123-geen-sterk-wachtwoord
Ja, tuurlijk, 'welkom' moet ook met een hoofdletter beginnen! Wat een blunder.
08-01-2020, 19:16 door Anoniem
Door Anoniem:Dan pleit ik voor spaties toestaan in wachtwoorden. Dan kan je gewoon hele zinnen intikken (hoeft niet eens heel lang te zijn).
Anders laat je de spaties gewoon weg en plak je er een woordje extra bij.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.