"Verplicht periodiek wisselen van wachtwoorden nodigt uit tot onveilig gedrag"
Het verplicht periodiek wisselen van wachtwoorden nodigt uit tot onveilig gedrag, zoals het kiezen van onveilige wachtwoorden of die op onveilige wijze opslaan, zo stelt Paul Ducklin van antivirusbedrijf Sophos. Het periodiek wijzigen van wachtwoorden ligt al jaren onder vuur van experts. Beveiligingsexpert Bruce Schneier stelde in 2010 al dat het een onnodige exercitie is die tot zwakkere wachtwoorden leidt. Alleen wanneer vaststaat dat een wachtwoord is gecompromitteerd moet het worden gewijzigd.
In 2016 sprak ook de Amerikaanse toezichthouder FTC zich hier tegen uit. Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid kwam in 2018 met advies, waarin het stelde dat organisaties het periodiek veranderen van wachtwoorden voor hun medewerkers of klanten niet langer moeten verplichten. Microsoft noemde de maatregel in 2019 verouderd, overbodig en zo goed als zinloos.
Desondanks is de praktijk binnen tal van organisaties nog steeds gemeengoed. Ook Ducklin stelt dat het verplicht wijzigen van wachtwoorden mensen uitnodigt om die onveilig op te slaan of het kiezen van zwakke wachtwoorden. Zo bestaat het risico dat gebruikers alleen een opvolgend getal of jaartal achter hun wachtwoord plaatsen. Daarnaast is het een verstandig idee om het account van gebruikers te vergrendelen die al enige tijd niet hebben ingelogd. Iets wat ook kan helpen tegen vergeten accounts.
Reacties (32)
Wachtwoorden. Daar lullen we al 30 jaar over.
Biometrie is ook geen optie imho. Misbruik is gegarandeerd in 2023. En toch is dat de kant die we blijkbaar opgaan.
En wie zijn het schuld? De mensen die gemak voor security kiezen. En ik snap het ook nog...
Dus, wat is de oplossing?
Ik ben benieuwd naar de reacties... Kon wel eens een grote draad worden ;)
Rexodus.
Biometrie is ook geen optie imho. Misbruik is gegarandeerd in 2023. En toch is dat de kant die we blijkbaar opgaan.
En wie zijn het schuld? De mensen die gemak voor security kiezen. En ik snap het ook nog...
Dus, wat is de oplossing?
Ik ben benieuwd naar de reacties... Kon wel eens een grote draad worden ;)
Rexodus.
Wat ik ook verstandig vind is dat een inlognaam geen e-mail adres mag zijn, als je voor de inlognaam
verschillende tekens gebruikt lijkt mij dat toch wel iets beter.
verschillende tekens gebruikt lijkt mij dat toch wel iets beter.
Door Anoniem: Wat ik ook verstandig vind is dat een inlognaam geen e-mail adres mag zijn, als je voor de inlognaam
verschillende tekens gebruikt lijkt mij dat toch wel iets beter.
verschillende tekens gebruikt lijkt mij dat toch wel iets beter.
Zeker waar. Er wordt namelijk ook gebruteforced om login namen te raden.
Datalekken en je digitale spoor die je achterlaat is ook problematisch.
Door Anoniem: Wat ik ook verstandig vind is dat een inlognaam geen e-mail adres mag zijn, als je voor de inlognaam
verschillende tekens gebruikt lijkt mij dat toch wel iets beter.
Het liefst heb je dat je inlognaam iets anders is dan je email OF nickname.verschillende tekens gebruikt lijkt mij dat toch wel iets beter.
Dus dan ga je je inlognaam als onderdeel van het wachtwoord zien.
Want je kan geen wachtwoorden raden als je niet eens de inlognaam weet...
Uhm, wat is er erg aan het veranderen van een getal aan het eind van een wachtwoord? Niks mis mee toch? Al het andere onveilige gedrag daargelaten…
12-06-2023, 14:52 door
karma4
Door Anoniem: Wat ik ook verstandig vind is dat een inlognaam geen e-mail adres mag zijn, als je voor de inlognaam
verschillende tekens gebruikt lijkt mij dat toch wel iets beter.
verschillende tekens gebruikt lijkt mij dat toch wel iets beter.
Zeer onverstandig om te denken dat gebruik anoniem moet zijn.
Verantwoordelijkheid wie waarmee of wat gedaan heeft is een basis.
Door Anoniem: Wat ik ook verstandig vind is dat een inlognaam geen e-mail adres mag zijn, als je voor de inlognaam
verschillende tekens gebruikt lijkt mij dat toch wel iets beter.
verschillende tekens gebruikt lijkt mij dat toch wel iets beter.
Verzin er ook een oplossing bij waarin mensen een wereldwijd unieke 'inlognaam' kiezen zonder tig pogingen dat jansen / smith/johnson/ al bestaan ...
Voor diensten waarin mensen zelf een account moeten aanmaken is _het_ grote voordeel van een email adres dat het 'vanzelf' uniek is .
De aanname hier is dat gebruikers een sterk wachtwoord gaan kiezen omdat deze niet meer zo vaak gewijzigd hoeft te worden.
In de praktijk zal dit waarschijnlijk niet het geval zijn. Vele mensen vinden het lastig om een moeilijk wachtwoord te verzinnen en al helemaal om deze te onthouden. En het houd ook het hergebruik van wachtwoorden niet tegen.
In de praktijk zal dit waarschijnlijk niet het geval zijn. Vele mensen vinden het lastig om een moeilijk wachtwoord te verzinnen en al helemaal om deze te onthouden. En het houd ook het hergebruik van wachtwoorden niet tegen.
en als je er achter komt dat het gecompromitteerd is ben je als gebruiker al te laat.
Door Anoniem:
Voor diensten waarin mensen zelf een account moeten aanmaken is _het_ grote voordeel van een email adres dat het 'vanzelf' uniek is .
Een e-mailadres kan ook nooit door meer mensen gedeeld worden, domeinen worden nooit overgedragen en gebruikersnamen worden nooit hergebruikt. Sorry. Een email-adres mag vandaag aan een specifieke persoon gekoppeld zijn, maar niets garandeert dat die volgend jaar nog steeds aan dezelfde persoon gekoppeld is.Voor diensten waarin mensen zelf een account moeten aanmaken is _het_ grote voordeel van een email adres dat het 'vanzelf' uniek is .
Ik ben voorstander van het gebruik van USB-sleutels. (of vergelijkbare tokens.) Mijn werkgever gebruikt ze al jaren en de beveiliging die ze bieden compenseert het beetje ongemak van het gebruik ruimschoots.
12-06-2023, 15:51 door
Rubbertje
Precies. Het steeds verplicht veranderen van wachtwoorden (en het verplicht houden aan het bevatten van hoofdletters, vreemde tekens, cijfers, minimaal aantal tekens, etc) doet mij noodzaken om deze op te schrijven want uit het hoofd onthouden is geen optie meer.
Door Anoniem: Uhm, wat is er erg aan het veranderen van een getal aan het eind van een wachtwoord? Niks mis mee toch?
Probeer eens te lezen wat degene die ze citeren erover schrijft. Het artikel linkt ernaar.Door Anoniem: Uhm, wat is er erg aan het veranderen van een getal aan het eind van een wachtwoord? Niks mis mee toch? Al het andere onveilige gedrag daargelaten…
Nouja het maakt het hele idee achter "wachtwoorden met een beperkte geldigheid" stuk.Als je dat doet, dan kun je net zo goed de geldigheid van het wachtwoord onbeperkt maken.
Gewoon kappen met verplicht periodiek veranderen en in plaatst daarvan een Account Lockout policy activeren.
Na 3x een verkeerd wachtwoord te hebben ingevoerd, het account blokkeren en verplicht een nieuw wachtwoord registreren via een wachtwoord reset link naar het gekoppelde emailadres. Brute-force attacks hebben dan ook geen zin meer.
Na 3x een verkeerd wachtwoord te hebben ingevoerd, het account blokkeren en verplicht een nieuw wachtwoord registreren via een wachtwoord reset link naar het gekoppelde emailadres. Brute-force attacks hebben dan ook geen zin meer.
Door Anoniem: De aanname hier is dat gebruikers een sterk wachtwoord gaan kiezen omdat deze niet meer zo vaak gewijzigd hoeft te worden.
In de praktijk zal dit waarschijnlijk niet het geval zijn. Vele mensen vinden het lastig om een moeilijk wachtwoord te verzinnen en al helemaal om deze te onthouden. En het houd ook het hergebruik van wachtwoorden niet tegen.
DAAR heb je wachtwoordmanagers voor.In de praktijk zal dit waarschijnlijk niet het geval zijn. Vele mensen vinden het lastig om een moeilijk wachtwoord te verzinnen en al helemaal om deze te onthouden. En het houd ook het hergebruik van wachtwoorden niet tegen.
Door Rubbertje: Precies. Het steeds verplicht veranderen van wachtwoorden (en het verplicht houden aan het bevatten van hoofdletters, vreemde tekens, cijfers, minimaal aantal tekens, etc) doet mij noodzaken om deze op te schrijven want uit het hoofd onthouden is geen optie meer.
Of je gebruikt een wachtwoordmanager.Door Anoniem: De aanname hier is dat gebruikers een sterk wachtwoord gaan kiezen omdat deze niet meer zo vaak gewijzigd hoeft te worden.
In de praktijk zal dit waarschijnlijk niet het geval zijn. Vele mensen vinden het lastig om een moeilijk wachtwoord te verzinnen en al helemaal om deze te onthouden. En het houd ook het hergebruik van wachtwoorden niet tegen.
In de praktijk zal dit waarschijnlijk niet het geval zijn. Vele mensen vinden het lastig om een moeilijk wachtwoord te verzinnen en al helemaal om deze te onthouden. En het houd ook het hergebruik van wachtwoorden niet tegen.
Valt wel mee hoor.
Als gebruiker kan je de zelf gemaakte wachtwoorden volgens een gemakkelijk te onthouden methode voorzien van een salt en een pepper. (
- salting en peppering wordt door beheerders ingesteld in machinerie.
- Je kan ook zelf een 'salt' en een 'pepper' in jouw wachtwoord opnemen.
- Gebruik daarvoor wachtwoorden die jij aanvult met iets dat alleen jij weet
- en vul dat aan met iets van de website dat jij altijd zal herkennen. Dan hoef je ineens veel minder te onthouden.
En bedenk: het belangrijkste aan het wachtwoord is de lengte.
Overigens vind ook ik dat 2FA veel beter is. Maar hoe dit werkbaar/schaalbaar te maken is, dat is een andere vraag.
Salting
www.makeuseof.com/what-is-salting/
Peppering :
www.makeuseof.com/what-is-peppering-how-does-it-work/#Is%20Peppering%20Effective%20in%20Boosting%20Security?
Zeer onverstandig om te denken dat gebruik anoniem moet zijn.
Verantwoordelijkheid wie waarmee of wat gedaan heeft is een basis.
Het gaat hier om veiligheid, misschien een idee voor jou om verplicht een foto bij ieder account te gevenVerantwoordelijkheid wie waarmee of wat gedaan heeft is een basis.
zodat ze weten wie je bent, kan gelijk in die grote database zodat je geen gegevens meer hoeft in te gegeven.
Voor diensten waarin mensen zelf een account moeten aanmaken is _het_ grote voordeel van een email adres dat het 'vanzelf' uniek is .
Met dank van hackers dat ze alleen maar je wachtwoord hoeven te weten, bij Digid en ing gebruik ik verschillende tekens voor mijn accountnaam en die zijn uniek want anders werkt het niet. Kijk als ik een account aan maak wordt
mijn e-mail adres gelijk de account naam, waarom niet voor het apenstaartje zelf gekozen tekens in geven. Met je
mail adres als accountnaam maak je het hackers het wel erg gemakkelijk want je mail adres staat toch zowat overal.
Zie ook anoniem 15:30
Mijn visie is: Een simpel maar totaal uniek wachtwoord (slechts 5 letters, 2 cijfers) MET Multifactor is veiliger dan een 20 tekens draak van een wachtwoord die niet uniek is. Let wel, voor toegang. Als we het hebben over encryptie dan moet het wel lang en complex zijn.
Zie de NIST standaard SP 800-63-3 Digital Identity Guidelines en specifiek de bijlage B.
Géén verplichte wachtwoordvervanging meer; wel een sterkte die hoort bij de toepassing "voor de komende tijd" !
Veel bedrijven en organisaties hebben dit helaas nog steeds niet door.
Géén verplichte wachtwoordvervanging meer; wel een sterkte die hoort bij de toepassing "voor de komende tijd" !
Veel bedrijven en organisaties hebben dit helaas nog steeds niet door.
Door Anoniem:
Door Anoniem:
Voor diensten waarin mensen zelf een account moeten aanmaken is _het_ grote voordeel van een email adres dat het 'vanzelf' uniek is .
Een e-mailadres kan ook nooit door meer mensen gedeeld worden, domeinen worden nooit overgedragen en gebruikersnamen worden nooit hergebruikt. Sorry. Een email-adres mag vandaag aan een specifieke persoon gekoppeld zijn, maar niets garandeert dat die volgend jaar nog steeds aan dezelfde persoon gekoppeld is.Voor diensten waarin mensen zelf een account moeten aanmaken is _het_ grote voordeel van een email adres dat het 'vanzelf' uniek is .
Dat maakt niet uit , het (lokale) account bij de webshop is uniek zonder honderd pogingen van meneer jansen.
Alleen _als_ een mailadres volledig gerecyled wordt _en_ de nieuwe gebruiker dan ook op dezelfde plek een account gaat aanmaken loopt ie tegen een probleem aan.
Verder : de usernaam kan/moet natuurlijk los staan van het contact mail adres van degene die 'm aanmaakt .
Email format is gewoon een handige stijl waarmee mensen 'vanzelf' iets aanmaken dat uniek is of vrijwel uniek is.
Jammer dan als famjansen@domein bij een webshop opeens _wel_ uniek persoonlijke accounts wil aanmaken, dan moeten ze maar een andere naam verzinnen.
Maar ik denk dat je het bezwaar vooral verzint - heel veel providers hebben inmiddels wel geleerd dat je usernamen/mailadres lang (of eeuwig) moet laten afkoelen voordat je ze weer uitgeeft , if ooit .
Zeker de gratis mailplatformen (gmail/yahoo/hotmail) .
Ik ben voorstander van het gebruik van USB-sleutels. (of vergelijkbare tokens.) Mijn werkgever gebruikt ze al jaren en de beveiliging die ze bieden compenseert het beetje ongemak van het gebruik ruimschoots.
Ga vooral een webshopje runnen op die basis , de concurrentie zien dat graag.
Door Anoniem: Uhm, wat is er erg aan het veranderen van een getal aan het eind van een wachtwoord? Niks mis mee toch? Al het andere onveilige gedrag daargelaten…
Zo denk ik er ook over. Ik moet elke maand een nieuw wachtwoord verzinnen die anders is dan de acht voorgaande wachtwoorden. Nu gebruik ik in januari gewoon "Mijn_wachtwoord=maand_01¨ Na december kan ik weer gewoon het wachtwoord van januari weer gebruiken.Wachtwoorden. Daar lullen we al 30 jaar over.
Het heet dan ook wacht woord.30x maal jaarlijks wijzigen, voor uw en onze veiligheid.
Terwijl ik 'm maar 10 maal nodig had.
Dus bij deze wil ik nog altijd klagen.
En Paul heeft hieromtrend gewoon gelijk.
13-06-2023, 10:16 door
_R0N_
Je kunt beter 1x een lang complex wachtwoord kiezen dan elke maand een te onthouden wachtwoord.
Door Anoniem:
Voor diensten waarin mensen zelf een account moeten aanmaken is _het_ grote voordeel van een email adres dat het 'vanzelf' uniek is .
Dat is juist _het_ grote NADEEL!Voor diensten waarin mensen zelf een account moeten aanmaken is _het_ grote voordeel van een email adres dat het 'vanzelf' uniek is .
Neem je BSN. Zet er NL voor ofzo. Dat is ook "vanzelf" uniek. Moeten we dat dan gaan gebruiken?
Door Anoniem: Wachtwoorden. Daar lullen we al 30 jaar over.
Biometrie is ook geen optie imho. Misbruik is gegarandeerd in 2023. En toch is dat de kant die we blijkbaar opgaan.
En wie zijn het schuld? De mensen die gemak voor security kiezen. En ik snap het ook nog...
Dus, wat is de oplossing?
Ik ben benieuwd naar de reacties... Kon wel eens een grote draad worden ;)
Rexodus.
Biometrie is ook geen optie imho. Misbruik is gegarandeerd in 2023. En toch is dat de kant die we blijkbaar opgaan.
En wie zijn het schuld? De mensen die gemak voor security kiezen. En ik snap het ook nog...
Dus, wat is de oplossing?
Ik ben benieuwd naar de reacties... Kon wel eens een grote draad worden ;)
Rexodus.
Wachtwoorden waren nodig in de tijd dat computerapparatuut superduur en ook nog groot en zwaar was. Toen waren er altijd meerdere gebruikers op een systeem en moest elke gebruiker bewijzen wie hij was.
Nu heeft vrijwel elke gebruiker een eigen systeem, en hebben de meeste mensen er meerdere. Ook worden nu vrijwel alle IT diensten aangeboden via HTTPS.
Het zou daarom logisch zijn om over te stappen op TLS client certificaten. Daarmee kun je bewijzen dat je over een specifiek apparaat beschikt (of over een kopie van de inhoud daarvan, ahum) en indirect wie je bent. Dit client certificaat kun je dan in principe gebruiken voor alle sites en applicaties waar je ooit gebruik van zou willen maken.
Door Anoniem: Wat ik ook verstandig vind is dat een inlognaam geen e-mail adres mag zijn, als je voor de inlognaam
verschillende tekens gebruikt lijkt mij dat toch wel iets beter.
verschillende tekens gebruikt lijkt mij dat toch wel iets beter.
Een goede oplossing hiervoor is plus addressing, wat de meeste email providers ondersteunen.
Hierbij typ je voor de @ een + en dan een opvolging die niet meetelt voor het email adres maar wel je adres uniek maakt.
Voorbeeld:
naam@hotmail.com
naam+securitynl@hotmail.com
naam+wfevnwgpi145@hotmail.com
komen allemaal bij hetzelfde adres aan.
13-06-2023, 12:52 door
remyxed
Door Anoniem: Wat ik ook verstandig vind is dat een inlognaam geen e-mail adres mag zijn, als je voor de inlognaam
verschillende tekens gebruikt lijkt mij dat toch wel iets beter.
verschillende tekens gebruikt lijkt mij dat toch wel iets beter.
Een goede oplossing hiervoor is plus addressing, wat de meeste email providers ondersteunen.
Hierbij typ je voor de @ een + en dan een opvolging die niet meetelt voor het email adres maar wel je adres uniek maakt.
Voorbeeld:
naam@hotmail.com
naam+securitynl@hotmail.com
naam+wfevnwgpi145@hotmail.com
komen allemaal bij hetzelfde adres aan.
Door Anoniem: Wat ik ook verstandig vind is dat een inlognaam geen e-mail adres mag zijn, als je voor de inlognaam verschillende tekens gebruikt lijkt mij dat toch wel iets beter.
Als je (overal) een uniek mailadres opgeeft (kleine moeite), heb je eigenlijk hetzelfde.Kun je ook nog gelijk zien wanneer een bedrijf (hoi (bijna alle) theaters in Nederland, lezen wij ook even mee?) misbruik maken van jouw gegevens (en delen met derden zonder toestemming).
Als je (overal) een uniek mailadres opgeeft (kleine moeite), heb je eigenlijk hetzelfde.
Het probleem met een mail adres is dat je gebruikersnaam bekent is en dan alleen nog maar je wachtwoord nodig om in te loggen.
13-06-2023, 14:57 door
Rubbertje
Door Anoniem:
Door Rubbertje: Precies. Het steeds verplicht veranderen van wachtwoorden (en het verplicht houden aan het bevatten van hoofdletters, vreemde tekens, cijfers, minimaal aantal tekens, etc) doet mij noodzaken om deze op te schrijven want uit het hoofd onthouden is geen optie meer.
Of je gebruikt een wachtwoordmanager.Hahahaha! Met 1 wachtwoord (van je wachtwoordmanager) al je wachtwoorden beheren. Hahaha.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
