Hoe je gebruikers goede wachtwoorden kunt leren
Het kraken van een wachtwoord is, als je de juiste middelen hebt, vrij eenvoudig. Zo kan een gebruiker met een doorsnee desktop een "brute force" aanval starten, waarbij er 10 miljoen woordvariaties per seconde geprobeerd worden. Een aanvaller heeft echter één hit nodig, één IP-adres en een rootkit of een andere "privelege escalation" routine om het leven van de systeembeheerder een levende hel te maken. Goede wachtwoorden zijn dan ook van groot belang. Helaas kiezen veel gebruikers voor makkelijk te raden wachtwoorden. Dit artikel beschrijft wat een systeembeheerder in zo'n situatie moet doen, namelijk de gebruikers onderwijzen en goede wachtwoorden handhaven.
een policy neer te zetten die na 3 pogingen de boel dicht gooit... maar goed,
misschien denk ik wat te simpel.
elke week hun password resetten omdat ze het niet meer
kennen of hun eigen hebben gelocked kom je ook niet ver.
Ik zeg hen altijd een zin te nemen en van elk woord een
willekeurige letter bvb. Dan voorkom je al veel miserie.
Passwords are like bubblegum, strongest when fresh :P
en ip restricties.
Als het binnen een halve dag gevonden is, was het gewoon een
slecht wachtwoord en moet de bijbehorende gebruiker even
daarop aangesproken worden.
Weer zo'n geweldig nuttig artikel...
En het is nog wel een artikel op Linux.com, het o zo geliefde platform op dit
forum :-).
Anyway, het is een goed artikel, authenticatie moet echter worden afgewogen
tegen over de waarde en gevoeligheid van de data welke beschermd moet
worden. Wanneer je een anonymous FTP server host dan zegt de naam van
de functionaliteit al voldoende over de mate van authenticatie.
Wanneer je als bank je klanten online betalingsverkeer biedt, is een
loginnaam en wachtwoord veelal niet voldoende. In dat geval dient de
complexiteit van authenticatie hoger te zijn. Vandaar dat veel banken werken
met smartcards, token, cardreaders etc.
Let wel, hoe complexer het authenticatieproces, des te hoger de overhead
voor administratie. Oftewel, complexiteit van authenticatie is duur.
Daarmee zijn we terug bij af. De kosten en baten, afgezet tegen de risico's.
Wat het artikel uiteindelijk probeert te zeggen is dat teveel beheerders hier
nog te weinig aandacht aan besteden, behalve dan de beheerders die
hierboven hebben gereageerd :-)
Beveiliging houdt echter niet op bij wachtwoorden en policies. Laat eens een
risico analyse maken en je zult verbaasd staan van ellende in je 'eigen
achtertuin'. Neem tot die tijd dergelijke artikelen serieus, ook al lijken ze nog
zo simpel ......
Geen wachtwoorden probleem meer.
En absoluut veilig.Want getest en heel erg goed bevonden !
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
