image

"Verplicht periodiek wisselen van wachtwoorden nodigt uit tot onveilig gedrag"

maandag 12 juni 2023, 14:09 door Redactie, 32 reacties

Het verplicht periodiek wisselen van wachtwoorden nodigt uit tot onveilig gedrag, zoals het kiezen van onveilige wachtwoorden of die op onveilige wijze opslaan, zo stelt Paul Ducklin van antivirusbedrijf Sophos. Het periodiek wijzigen van wachtwoorden ligt al jaren onder vuur van experts. Beveiligingsexpert Bruce Schneier stelde in 2010 al dat het een onnodige exercitie is die tot zwakkere wachtwoorden leidt. Alleen wanneer vaststaat dat een wachtwoord is gecompromitteerd moet het worden gewijzigd.

In 2016 sprak ook de Amerikaanse toezichthouder FTC zich hier tegen uit. Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid kwam in 2018 met advies, waarin het stelde dat organisaties het periodiek veranderen van wachtwoorden voor hun medewerkers of klanten niet langer moeten verplichten. Microsoft noemde de maatregel in 2019 verouderd, overbodig en zo goed als zinloos.

Desondanks is de praktijk binnen tal van organisaties nog steeds gemeengoed. Ook Ducklin stelt dat het verplicht wijzigen van wachtwoorden mensen uitnodigt om die onveilig op te slaan of het kiezen van zwakke wachtwoorden. Zo bestaat het risico dat gebruikers alleen een opvolgend getal of jaartal achter hun wachtwoord plaatsen. Daarnaast is het een verstandig idee om het account van gebruikers te vergrendelen die al enige tijd niet hebben ingelogd. Iets wat ook kan helpen tegen vergeten accounts.

Reacties (32)
12-06-2023, 14:17 door Anoniem
Wachtwoorden. Daar lullen we al 30 jaar over.

Biometrie is ook geen optie imho. Misbruik is gegarandeerd in 2023. En toch is dat de kant die we blijkbaar opgaan.

En wie zijn het schuld? De mensen die gemak voor security kiezen. En ik snap het ook nog...

Dus, wat is de oplossing?

Ik ben benieuwd naar de reacties... Kon wel eens een grote draad worden ;)

Rexodus.
12-06-2023, 14:18 door Anoniem
Wat ik ook verstandig vind is dat een inlognaam geen e-mail adres mag zijn, als je voor de inlognaam
verschillende tekens gebruikt lijkt mij dat toch wel iets beter.
12-06-2023, 14:45 door Anoniem
Door Anoniem: Wat ik ook verstandig vind is dat een inlognaam geen e-mail adres mag zijn, als je voor de inlognaam
verschillende tekens gebruikt lijkt mij dat toch wel iets beter.

Zeker waar. Er wordt namelijk ook gebruteforced om login namen te raden.
Datalekken en je digitale spoor die je achterlaat is ook problematisch.
12-06-2023, 14:49 door Anoniem
Door Anoniem: Wat ik ook verstandig vind is dat een inlognaam geen e-mail adres mag zijn, als je voor de inlognaam
verschillende tekens gebruikt lijkt mij dat toch wel iets beter.
Het liefst heb je dat je inlognaam iets anders is dan je email OF nickname.
Dus dan ga je je inlognaam als onderdeel van het wachtwoord zien.

Want je kan geen wachtwoorden raden als je niet eens de inlognaam weet...
12-06-2023, 14:49 door Anoniem
Uhm, wat is er erg aan het veranderen van een getal aan het eind van een wachtwoord? Niks mis mee toch? Al het andere onveilige gedrag daargelaten…
12-06-2023, 14:52 door karma4
Door Anoniem: Wat ik ook verstandig vind is dat een inlognaam geen e-mail adres mag zijn, als je voor de inlognaam
verschillende tekens gebruikt lijkt mij dat toch wel iets beter.

Zeer onverstandig om te denken dat gebruik anoniem moet zijn.
Verantwoordelijkheid wie waarmee of wat gedaan heeft is een basis.
12-06-2023, 14:55 door Anoniem
Door Anoniem: Wat ik ook verstandig vind is dat een inlognaam geen e-mail adres mag zijn, als je voor de inlognaam
verschillende tekens gebruikt lijkt mij dat toch wel iets beter.

Verzin er ook een oplossing bij waarin mensen een wereldwijd unieke 'inlognaam' kiezen zonder tig pogingen dat jansen / smith/johnson/ al bestaan ...

Voor diensten waarin mensen zelf een account moeten aanmaken is _het_ grote voordeel van een email adres dat het 'vanzelf' uniek is .
12-06-2023, 15:10 door Anoniem
De aanname hier is dat gebruikers een sterk wachtwoord gaan kiezen omdat deze niet meer zo vaak gewijzigd hoeft te worden.
In de praktijk zal dit waarschijnlijk niet het geval zijn. Vele mensen vinden het lastig om een moeilijk wachtwoord te verzinnen en al helemaal om deze te onthouden. En het houd ook het hergebruik van wachtwoorden niet tegen.
12-06-2023, 15:29 door Anoniem
en als je er achter komt dat het gecompromitteerd is ben je als gebruiker al te laat.
12-06-2023, 15:30 door Anoniem
Door Anoniem:
Voor diensten waarin mensen zelf een account moeten aanmaken is _het_ grote voordeel van een email adres dat het 'vanzelf' uniek is .
Een e-mailadres kan ook nooit door meer mensen gedeeld worden, domeinen worden nooit overgedragen en gebruikersnamen worden nooit hergebruikt. Sorry. Een email-adres mag vandaag aan een specifieke persoon gekoppeld zijn, maar niets garandeert dat die volgend jaar nog steeds aan dezelfde persoon gekoppeld is.

Ik ben voorstander van het gebruik van USB-sleutels. (of vergelijkbare tokens.) Mijn werkgever gebruikt ze al jaren en de beveiliging die ze bieden compenseert het beetje ongemak van het gebruik ruimschoots.
12-06-2023, 15:51 door Rubbertje
Precies. Het steeds verplicht veranderen van wachtwoorden (en het verplicht houden aan het bevatten van hoofdletters, vreemde tekens, cijfers, minimaal aantal tekens, etc) doet mij noodzaken om deze op te schrijven want uit het hoofd onthouden is geen optie meer.
12-06-2023, 15:58 door Anoniem
Door Anoniem: Uhm, wat is er erg aan het veranderen van een getal aan het eind van een wachtwoord? Niks mis mee toch?
Probeer eens te lezen wat degene die ze citeren erover schrijft. Het artikel linkt ernaar.
12-06-2023, 16:00 door Anoniem
Door Anoniem: Uhm, wat is er erg aan het veranderen van een getal aan het eind van een wachtwoord? Niks mis mee toch? Al het andere onveilige gedrag daargelaten…
Nouja het maakt het hele idee achter "wachtwoorden met een beperkte geldigheid" stuk.
Als je dat doet, dan kun je net zo goed de geldigheid van het wachtwoord onbeperkt maken.
12-06-2023, 16:19 door Anoniem
Gewoon kappen met verplicht periodiek veranderen en in plaatst daarvan een Account Lockout policy activeren.
Na 3x een verkeerd wachtwoord te hebben ingevoerd, het account blokkeren en verplicht een nieuw wachtwoord registreren via een wachtwoord reset link naar het gekoppelde emailadres. Brute-force attacks hebben dan ook geen zin meer.
12-06-2023, 16:35 door Anoniem
Door Anoniem: De aanname hier is dat gebruikers een sterk wachtwoord gaan kiezen omdat deze niet meer zo vaak gewijzigd hoeft te worden.
In de praktijk zal dit waarschijnlijk niet het geval zijn. Vele mensen vinden het lastig om een moeilijk wachtwoord te verzinnen en al helemaal om deze te onthouden. En het houd ook het hergebruik van wachtwoorden niet tegen.
DAAR heb je wachtwoordmanagers voor.
12-06-2023, 16:36 door Anoniem
Door Rubbertje: Precies. Het steeds verplicht veranderen van wachtwoorden (en het verplicht houden aan het bevatten van hoofdletters, vreemde tekens, cijfers, minimaal aantal tekens, etc) doet mij noodzaken om deze op te schrijven want uit het hoofd onthouden is geen optie meer.
Of je gebruikt een wachtwoordmanager.
12-06-2023, 17:36 door Anoniem
Door Anoniem: De aanname hier is dat gebruikers een sterk wachtwoord gaan kiezen omdat deze niet meer zo vaak gewijzigd hoeft te worden.
In de praktijk zal dit waarschijnlijk niet het geval zijn. Vele mensen vinden het lastig om een moeilijk wachtwoord te verzinnen en al helemaal om deze te onthouden. En het houd ook het hergebruik van wachtwoorden niet tegen.

Valt wel mee hoor.

Als gebruiker kan je de zelf gemaakte wachtwoorden volgens een gemakkelijk te onthouden methode voorzien van een salt en een pepper. (
- salting en peppering wordt door beheerders ingesteld in machinerie.
- Je kan ook zelf een 'salt' en een 'pepper' in jouw wachtwoord opnemen.
- Gebruik daarvoor wachtwoorden die jij aanvult met iets dat alleen jij weet
- en vul dat aan met iets van de website dat jij altijd zal herkennen. Dan hoef je ineens veel minder te onthouden.

En bedenk: het belangrijkste aan het wachtwoord is de lengte.

Overigens vind ook ik dat 2FA veel beter is. Maar hoe dit werkbaar/schaalbaar te maken is, dat is een andere vraag.


Salting
www.makeuseof.com/what-is-salting/

Peppering :
www.makeuseof.com/what-is-peppering-how-does-it-work/#Is%20Peppering%20Effective%20in%20Boosting%20Security?
12-06-2023, 18:51 door Anoniem
Zeer onverstandig om te denken dat gebruik anoniem moet zijn.
Verantwoordelijkheid wie waarmee of wat gedaan heeft is een basis.
Het gaat hier om veiligheid, misschien een idee voor jou om verplicht een foto bij ieder account te geven
zodat ze weten wie je bent, kan gelijk in die grote database zodat je geen gegevens meer hoeft in te gegeven.

Voor diensten waarin mensen zelf een account moeten aanmaken is _het_ grote voordeel van een email adres dat het 'vanzelf' uniek is .
Met dank van hackers dat ze alleen maar je wachtwoord hoeven te weten, bij Digid en ing gebruik ik verschillende
tekens voor mijn accountnaam en die zijn uniek want anders werkt het niet. Kijk als ik een account aan maak wordt
mijn e-mail adres gelijk de account naam, waarom niet voor het apenstaartje zelf gekozen tekens in geven. Met je
mail adres als accountnaam maak je het hackers het wel erg gemakkelijk want je mail adres staat toch zowat overal.
Zie ook anoniem 15:30
12-06-2023, 18:56 door Anoniem
Mijn visie is: Een simpel maar totaal uniek wachtwoord (slechts 5 letters, 2 cijfers) MET Multifactor is veiliger dan een 20 tekens draak van een wachtwoord die niet uniek is. Let wel, voor toegang. Als we het hebben over encryptie dan moet het wel lang en complex zijn.
12-06-2023, 21:19 door Anoniem
Zie de NIST standaard SP 800-63-3 Digital Identity Guidelines en specifiek de bijlage B.
Géén verplichte wachtwoordvervanging meer; wel een sterkte die hoort bij de toepassing "voor de komende tijd" !

Veel bedrijven en organisaties hebben dit helaas nog steeds niet door.
12-06-2023, 21:37 door Anoniem
Door Anoniem:
Door Anoniem:
Voor diensten waarin mensen zelf een account moeten aanmaken is _het_ grote voordeel van een email adres dat het 'vanzelf' uniek is .
Een e-mailadres kan ook nooit door meer mensen gedeeld worden, domeinen worden nooit overgedragen en gebruikersnamen worden nooit hergebruikt. Sorry. Een email-adres mag vandaag aan een specifieke persoon gekoppeld zijn, maar niets garandeert dat die volgend jaar nog steeds aan dezelfde persoon gekoppeld is.

Dat maakt niet uit , het (lokale) account bij de webshop is uniek zonder honderd pogingen van meneer jansen.
Alleen _als_ een mailadres volledig gerecyled wordt _en_ de nieuwe gebruiker dan ook op dezelfde plek een account gaat aanmaken loopt ie tegen een probleem aan.

Verder : de usernaam kan/moet natuurlijk los staan van het contact mail adres van degene die 'm aanmaakt .
Email format is gewoon een handige stijl waarmee mensen 'vanzelf' iets aanmaken dat uniek is of vrijwel uniek is.

Jammer dan als famjansen@domein bij een webshop opeens _wel_ uniek persoonlijke accounts wil aanmaken, dan moeten ze maar een andere naam verzinnen.

Maar ik denk dat je het bezwaar vooral verzint - heel veel providers hebben inmiddels wel geleerd dat je usernamen/mailadres lang (of eeuwig) moet laten afkoelen voordat je ze weer uitgeeft , if ooit .
Zeker de gratis mailplatformen (gmail/yahoo/hotmail) .


Ik ben voorstander van het gebruik van USB-sleutels. (of vergelijkbare tokens.) Mijn werkgever gebruikt ze al jaren en de beveiliging die ze bieden compenseert het beetje ongemak van het gebruik ruimschoots.

Ga vooral een webshopje runnen op die basis , de concurrentie zien dat graag.
12-06-2023, 22:21 door Anoniem
Door Anoniem: Uhm, wat is er erg aan het veranderen van een getal aan het eind van een wachtwoord? Niks mis mee toch? Al het andere onveilige gedrag daargelaten…
Zo denk ik er ook over. Ik moet elke maand een nieuw wachtwoord verzinnen die anders is dan de acht voorgaande wachtwoorden. Nu gebruik ik in januari gewoon "Mijn_wachtwoord=maand_01¨ Na december kan ik weer gewoon het wachtwoord van januari weer gebruiken.
13-06-2023, 09:45 door Anoniem
Wachtwoorden. Daar lullen we al 30 jaar over.
Het heet dan ook wacht woord.

30x maal jaarlijks wijzigen, voor uw en onze veiligheid.
Terwijl ik 'm maar 10 maal nodig had.

Dus bij deze wil ik nog altijd klagen.
En Paul heeft hieromtrend gewoon gelijk.
13-06-2023, 10:16 door _R0N_
Je kunt beter 1x een lang complex wachtwoord kiezen dan elke maand een te onthouden wachtwoord.
13-06-2023, 11:04 door Anoniem
Door Anoniem:
Voor diensten waarin mensen zelf een account moeten aanmaken is _het_ grote voordeel van een email adres dat het 'vanzelf' uniek is .
Dat is juist _het_ grote NADEEL!
Neem je BSN. Zet er NL voor ofzo. Dat is ook "vanzelf" uniek. Moeten we dat dan gaan gebruiken?
13-06-2023, 12:29 door Anoniem
Door Anoniem: Wachtwoorden. Daar lullen we al 30 jaar over.
Biometrie is ook geen optie imho. Misbruik is gegarandeerd in 2023. En toch is dat de kant die we blijkbaar opgaan.
En wie zijn het schuld? De mensen die gemak voor security kiezen. En ik snap het ook nog...
Dus, wat is de oplossing?
Ik ben benieuwd naar de reacties... Kon wel eens een grote draad worden ;)
Rexodus.

Wachtwoorden waren nodig in de tijd dat computerapparatuut superduur en ook nog groot en zwaar was. Toen waren er altijd meerdere gebruikers op een systeem en moest elke gebruiker bewijzen wie hij was.

Nu heeft vrijwel elke gebruiker een eigen systeem, en hebben de meeste mensen er meerdere. Ook worden nu vrijwel alle IT diensten aangeboden via HTTPS.

Het zou daarom logisch zijn om over te stappen op TLS client certificaten. Daarmee kun je bewijzen dat je over een specifiek apparaat beschikt (of over een kopie van de inhoud daarvan, ahum) en indirect wie je bent. Dit client certificaat kun je dan in principe gebruiken voor alle sites en applicaties waar je ooit gebruik van zou willen maken.
13-06-2023, 12:49 door Anoniem
Door Anoniem: Wat ik ook verstandig vind is dat een inlognaam geen e-mail adres mag zijn, als je voor de inlognaam
verschillende tekens gebruikt lijkt mij dat toch wel iets beter.

Een goede oplossing hiervoor is plus addressing, wat de meeste email providers ondersteunen.
Hierbij typ je voor de @ een + en dan een opvolging die niet meetelt voor het email adres maar wel je adres uniek maakt.

Voorbeeld:
naam@hotmail.com
naam+securitynl@hotmail.com
naam+wfevnwgpi145@hotmail.com

komen allemaal bij hetzelfde adres aan.
13-06-2023, 12:52 door remyxed
Door Anoniem: Wat ik ook verstandig vind is dat een inlognaam geen e-mail adres mag zijn, als je voor de inlognaam
verschillende tekens gebruikt lijkt mij dat toch wel iets beter.

Een goede oplossing hiervoor is plus addressing, wat de meeste email providers ondersteunen.
Hierbij typ je voor de @ een + en dan een opvolging die niet meetelt voor het email adres maar wel je adres uniek maakt.

Voorbeeld:
naam@hotmail.com
naam+securitynl@hotmail.com
naam+wfevnwgpi145@hotmail.com

komen allemaal bij hetzelfde adres aan.
13-06-2023, 12:58 door Anoniem
Door Anoniem: Wat ik ook verstandig vind is dat een inlognaam geen e-mail adres mag zijn, als je voor de inlognaam verschillende tekens gebruikt lijkt mij dat toch wel iets beter.
Als je (overal) een uniek mailadres opgeeft (kleine moeite), heb je eigenlijk hetzelfde.
Kun je ook nog gelijk zien wanneer een bedrijf (hoi (bijna alle) theaters in Nederland, lezen wij ook even mee?) misbruik maken van jouw gegevens (en delen met derden zonder toestemming).
13-06-2023, 14:41 door Anoniem
Als je (overal) een uniek mailadres opgeeft (kleine moeite), heb je eigenlijk hetzelfde.
Het probleem met een mail adres is dat je gebruikersnaam bekent is en dan alleen nog maar je wachtwoord
nodig om in te loggen.
13-06-2023, 14:57 door Rubbertje
Door Anoniem:
Door Rubbertje: Precies. Het steeds verplicht veranderen van wachtwoorden (en het verplicht houden aan het bevatten van hoofdletters, vreemde tekens, cijfers, minimaal aantal tekens, etc) doet mij noodzaken om deze op te schrijven want uit het hoofd onthouden is geen optie meer.
Of je gebruikt een wachtwoordmanager.

Hahahaha! Met 1 wachtwoord (van je wachtwoordmanager) al je wachtwoorden beheren. Hahaha.
29-06-2023, 10:36 door Anoniem
wachtwoord hoeft niet moeilijk te zijn, als het maar lang is.
maak een zin van minimaal 14 tekens
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.