image

AP: standaard wachtwoordeisen werken slechte wachtwoorden in de hand

woensdag 8 november 2023, 18:42 door Redactie, 22 reacties

Standaard wachtwoordeisen van acht lettertekens met afgedwongen leestekens en cijfers werken slechte wachtwoorden in de hand, zo stelt de Autoriteit Persoonsgegevens. Dergelijke eisen leiden namelijk tot korte wachtwoorden vol menselijke patronen, zegt Jonathan Ellen van de Autoriteit Persoonsgegevens (AP). "Het is dan ook aan te bevelen om lange wachtwoorden te gebruiken, die zo willekeurig zijn dat een hacker alle opties moet proberen om het wachtwoord te achterhalen."

Een nadeel is vaak dat lange, willekeurige wachtwoorden moeilijk te onthouden zijn, gaat de AP-technoloog verder. "Mensen zijn namelijk bijzonder voorspelbaar. Zeker als ze proberen om lange wachtwoorden te onthouden", stelt Ellen. "In plaats van iets volledig willekeurigs, kiezen ze dan al snel voor een jaartal, hun favoriete sportteam of een andere simpele aanpassing, zoals beginnen met een hoofdletter. Iedereen weet dat 'W3lkom2023!' een belabberd wachtwoord is, ondanks de lengte van elf tekens."

Ook merkt Ellen op dat veel mensen variaties op een enkel wachtwoord gebruiken. "De enige oplossing hiertegen is willekeur, het ontwijken van veel voorkomende patronen. Het liefst in combinatie met een lang wachtwoord. Zo worden de criminelen gedwongen minder snelle, en dus minder lucratieve, opties te gebruiken. Het nadeel is uiteraard dat juist lange, willekeurige wachtwoorden moeilijk te onthouden zijn." Experts adviseren dan ook vaak het gebruik van passphrases, wachtwoorden die uit meerdere woorden bestaan, of het laten genereren van wachtwoorden door een wachtwoordmanager.

Reacties (22)
08-11-2023, 18:54 door Anoniem
De meest effectieve bescherming tegen wachtwoordaanvallen is te stoppen met wachtwoorden. Dat klinkt als een open deur, maar wordt toch door veel organisaties over het hoofd gezien.
08-11-2023, 19:05 door Anoniem
Wij hebben dan ook de password-policy:
-- minimaal 12 tekens
-- 3 character classes

Maar, indine je wachtwoord > 24 tekens is... dan vervallen alle andere requirements.... dus gebruik een passwordmanager en passphrases.
08-11-2023, 19:30 door Anoniem
En laten we samen met het invoeren van passphrases ook het periodiek wijzigen afschaffen. Uiteraard moet je hem veranderen als hij mogelijk op plaatsen terecht is gekomen waar hij niet moet zijn, maar wijzigen om het wijzigen werkt het slechte keuzes (zoals opvolgende nummers) in de hand.
08-11-2023, 20:57 door Anoniem
Door Anoniem: En laten we samen met het invoeren van passphrases ook het periodiek wijzigen afschaffen. Uiteraard moet je hem veranderen als hij mogelijk op plaatsen terecht is gekomen waar hij niet moet zijn, maar wijzigen om het wijzigen werkt het slechte keuzes (zoals opvolgende nummers) in de hand.
Amen
08-11-2023, 22:32 door Anoniem
Wat slechte wachtwoorden in de hand werkt is haast en ongeduld. Je wil ergens in, je wil ergens bij, je moet alleen nog even snel een wachtwoord bedenken. Omdat je dan niet met wachtwoorden bedenken bezig bent, maar gewoon ergens in wil, staat je kop niet naar moeilijke wachtwoorden bedenken. Waarmee je je wel beseft dat je later van alles nog weet, maar niet meer dat wachtwoord. Omdat je helemaal niet bezig was met ingewikkelde wachtwoorden bedenken. Dus dan wordt het toch weer Welkom2023!
08-11-2023, 23:46 door Anoniem
Wat is er erg aan opvolgende nummers?
09-11-2023, 08:54 door Anoniem
Congrats we gaan dus advies van twintig jaar terug herhalen alsmede de zwakheden.
Wat is het volgende advies herhaal geen wachtwoorden? Schrijf wachtwoorden niet op?

Of gaan we eens serieus beginnen met het verbieden van wachtwoord beperkingen en hints in software de afscherming van gebruikersnaam, mailadres zoals we bij wachtwoorden afdwingen ipv de eindgebruiker advies te geven waar ze weinig meekunnen omdat de leveranciers van software het geen beep intereseert en dus de eindgebruiker best practice niet kunnen volgen omdat de amateuristische beveiliging van software de complexiteit van wachtwoorden beperkt.

Want daar zit het grootste probleem als jij een sleutel maakt van 64 karakters en de leverancier heeft 16 karakter slot mag jij je wachtwoord beleid aanpassen met weer een uitzondering.

Nog niet te hebben over dat de meeste wachtwoorden gestolen worden door datalek van database en dat als de encryptie van de database in kwestie niet in orde is je nog een 64 karakter sleutel kan hebben het geen reet uitmaakt.

En dat is waarom men vroeger altijd zei van verander je wachtwoorden periodiek niet omdat iemand je wachtwoord ging raden maar omdat de experts dondersgoed doorhadden dat de kans dat jij erachter komt als eindgebruiker als gestolen is voor er actie mee wordt gedaan minimaal is. Die periodieke wijziging is uiterst noodzakelijk gezien de meeste datalek bronnen pas half jaar later het uberhaubt melden of zelf ontdekken.
09-11-2023, 09:12 door Anoniem
"Het is dan ook aan te bevelen om lange wachtwoorden te gebruiken, die zo willekeurig zijn dat een hacker alle opties moet proberen om het wachtwoord te achterhalen."

Met een ander woord bruteforcing.
Ja voor bruteforcen op een hash is dit van belang, online bruteforce hou je op andere manier tegen.

Hackers komen achter wachtwoorden door hergebruik en phishing. Niet door bruteforcen. Die lengte en complexiteit die ze voorstellen maakt de kans op hergebruik van wachtwoord alleen maar groter.

Het lijkt wel of het AP de NIST 800-53 niet gelezen heeft?
09-11-2023, 10:42 door Anoniem
Door Anoniem: Wat slechte wachtwoorden in de hand werkt is haast en ongeduld.
Natuurlijk, maar haast en ongeduld is wat je werkgever typisch van je eist. Dat heet in bedrijfsjargon productiviteit.
09-11-2023, 10:47 door Anoniem
Door Anoniem: En laten we samen met het invoeren van passphrases ook het periodiek wijzigen afschaffen. Uiteraard moet je hem veranderen als hij mogelijk op plaatsen terecht is gekomen waar hij niet moet zijn, maar wijzigen om het wijzigen werkt het slechte keuzes (zoals opvolgende nummers) in de hand.
Onzin, juist het periodiek wijzigen zorgt ervoor dat wachtwoorden die door andere breaches compromised zijn niet hergebruikt kunnen worden voor een volgende attack op een ander plaform.

Mensen zijn lui en gebruiken op heel veel platformen dezelfde wachtwoorden. Dus als één platform compromised is, zijn er heel veel andere platformen waar dezelfde credentials gebruikt worden automatisch ook compromised. Echter gebruikers checken niet of ze compromised zijn en zullen dus ook niet doorhebben dat andere accounts van ze ook vulnerable zijn........

Totdat er rare dingen gebeuren en het te laat is.......
09-11-2023, 11:04 door Anoniem
Door Anoniem: Wat is er erg aan opvolgende nummers?

Mocht de hash van je wachtwoord ooit gestolen worden dan duurt het even om te kraken (hoe langer je wachtwoord hoe langer het duurt) Mocht je wachtwoord gekraakt zijn en het is "Welkom07!" Dan zou ik bij dat account Welkom08! en Welkom09! ook proberen voor dat account
09-11-2023, 14:05 door Anoniem
Door Anoniem:
Door Anoniem: En laten we samen met het invoeren van passphrases ook het periodiek wijzigen afschaffen. Uiteraard moet je hem veranderen als hij mogelijk op plaatsen terecht is gekomen waar hij niet moet zijn, maar wijzigen om het wijzigen werkt het slechte keuzes (zoals opvolgende nummers) in de hand.
Onzin, juist het periodiek wijzigen zorgt ervoor dat wachtwoorden die door andere breaches compromised zijn niet hergebruikt kunnen worden voor een volgende attack op een ander plaform.

Mensen zijn lui en gebruiken op heel veel platformen dezelfde wachtwoorden. Dus als één platform compromised is, zijn er heel veel andere platformen waar dezelfde credentials gebruikt worden automatisch ook compromised. Echter gebruikers checken niet of ze compromised zijn en zullen dus ook niet doorhebben dat andere accounts van ze ook vulnerable zijn........

Totdat er rare dingen gebeuren en het te laat is.......

Knap dat je het beter weet dan NIST, het advies is daar ook om wachtwoord wijzigingen niet meer af te dwingen omdat dat alleen maar tot gevolg heeft dat je hetzelfde wachtwoord met 1 cijfertje ophoogt, of de maand gebruikt in het wachtwoord.
09-11-2023, 17:10 door Anoniem
Ja, duh, ik roep al eeuwen dat een wachtwoord van 20 characters met leestekens, cijfers, hoofdletters, en niet opeenvolgende sequences (dus 23 of 45 en AB en GH mogen niet) uniek sinds de creatie van het account niet werkt.

Waarom moet een wachtwoord gebruikt worden? Om andere niet geautoriseerde gebruikers te weren.
Waarom moet er dan überhaupt een complex wachtwoord gebruikt worden. Daarmee voorkom je toch niet een ongeautoriseerde toegang? Je voorkomt een ongeautoriseerde toegang door een GEHEIM wachtwoord, en een inlog mogelijkheid vanaf een vertrouwde plek... Beide worden niet afgedwongen door "D1tIz33nGeh1emW8chtWo0rd!@#!

Het lost het probleem niet op en veroorzaakt 2 ergere andere problemen.
#1 het invoeren is complex, dus traag (meer kans op aflezen en shouldersurfing)
#2 het onthouden is onmogelijk, dus moet het elders NOG een keer bewaard worden (harvesting van geeltjes/postit of password vaults.

Moet ik dan aangeven wat wel moet? Nee, dat is groen-links mentaliteit... Je mag gerust zeggen dat iets geen oplossing zonder het probleem van andere te moeten oplossen. Ik werk in de techniek, niet in de politiek... De kneuzen die zich vastlijmen komen ook niet met een patentvrije oplossing voor schone energie, alleen wat oerang-oetang kreten als 'stup oijl'...
09-11-2023, 20:33 door Anoniem
tja lengte patroon verversen .... het echte grote probleem is dat je voor elke poep en scheet tegenwoordig een account moet maken en met MFA en DAAROM gaan mensen bochten snijden en patronen gebruiken want het is niet meer bij te houden en joh password managers? kom nou, daar krijg je je oma niet aan hoor! Als we nu eens zouden stoppen bij elke web winkel een account te moeten aanmaken om vooral achteraf reclame mails te sturen...
09-11-2023, 20:38 door Anoniem
Ik zou zeggen; Gebruik een password-generator!
Dan ziet men gelijk of het paswoord veilig is.
F-Droid heeft wel een aantal goede waaronder deze:
En KeepassDX heeft er ook eentje ingebouwd.

https://f-droid.org/en/packages/com.vecturagames.android.app.passwordgenerator/
10-11-2023, 07:20 door Anoniem
Moet binnen kort 30 tekens voor mijn admin wachtwoord gaan gebruiken.... Die 30 dagen geldig is.....

Gaat een leuke worden..... Keepass is geen probleem, websites is geen probleem, maar in RDP kan je niet je wachtwoord plakken.
10-11-2023, 11:17 door Drs Security en Privacy
Het is vaker de software die beperkend is op lengte, gebruikte tekens etc. Heel vaal ook legacy systemen die gewoon niet meer dan 8 tekens (zonder bijzondere characters overigens ook nog vaak) aan kunnen en dus de rest van de IT omgeving daarmee dezelfde beperking oplegt (deels vanwege single sign-on).
Zinnen zijn een oplossing, maar moet je wel spaties kunnen gebruiken en ook dat is weer een bijzonder teken.
10-11-2023, 11:20 door Drs Security en Privacy
Wachtwoord managers zijn helemaal de oplossing niet, kijk maar naar bijvoorbeeld Lastpass.
Daarnaast hebben die een ander probleem: nu heb je met 1 wachtwoord (tenzij er fatsoenlijke 2-factor aanwezig is) toegang tot alles wat erin de kluis zit, alsof je op alle websites hetzelfde wachtwoord gebruikt hebt.
Het is alleen een stapje lastiger dan als op alle websites letterlijk dit het geval zou zijn geweest.
Is daarmee de beveiliging voldoende? Dat hangt er maar helemaal vanaf en is een risico afweging.
10-11-2023, 11:41 door Anoniem
Door Drs Security en Privacy: Wachtwoord managers zijn helemaal de oplossing niet, kijk maar naar bijvoorbeeld Lastpass.
Daarnaast hebben die een ander probleem: nu heb je met 1 wachtwoord (tenzij er fatsoenlijke 2-factor aanwezig is) toegang tot alles wat erin de kluis zit, alsof je op alle websites hetzelfde wachtwoord gebruikt hebt.
Het is alleen een stapje lastiger dan als op alle websites letterlijk dit het geval zou zijn geweest.
Is daarmee de beveiliging voldoende? Dat hangt er maar helemaal vanaf en is een risico afweging.
Daarom is het belangrijk om Keepass te gebruiken, Keepass werkt volledig offline en is onafhankelijk van het besturingsysteem versleuteld, Lastpass is inderdaad geen goede oplossing aangezien dat een online service is die gehacked is en kan worden.
Maar een perfecte oplossing bestaat niet echt, zelfs alles op briefjes schrijven heeft zijn gevaren.
Met een goed paswoord en een degelijk besturingsysteem (GrapheneOS, LMDE, etx) is het wel aardig beveiligd.
Alles kan gecompromiteerd worden, maar we moeten toch kiezen uit een oplossing, Keepass is aardig, papiertjes net zo.
Hoe men er mee omgaat is een ander, neem dus een veilig besturingsysteem of bewaar de papiertjes op een verborgen plek. (In de binnenmuur of iets dergelijks)
11-11-2023, 06:26 door Drs Security en Privacy
Door Anoniem:
Door Drs Security en Privacy: Wachtwoord managers zijn helemaal de oplossing niet, kijk maar naar bijvoorbeeld Lastpass.
Daarnaast hebben die een ander probleem: nu heb je met 1 wachtwoord (tenzij er fatsoenlijke 2-factor aanwezig is) toegang tot alles wat erin de kluis zit, alsof je op alle websites hetzelfde wachtwoord gebruikt hebt.
Het is alleen een stapje lastiger dan als op alle websites letterlijk dit het geval zou zijn geweest.
Is daarmee de beveiliging voldoende? Dat hangt er maar helemaal vanaf en is een risico afweging.
Daarom is het belangrijk om Keepass te gebruiken, Keepass werkt volledig offline en is onafhankelijk van het besturingsysteem versleuteld, Lastpass is inderdaad geen goede oplossing aangezien dat een online service is die gehacked is en kan worden.
Maar een perfecte oplossing bestaat niet echt, zelfs alles op briefjes schrijven heeft zijn gevaren.
Met een goed paswoord en een degelijk besturingsysteem (GrapheneOS, LMDE, etx) is het wel aardig beveiligd.
Alles kan gecompromiteerd worden, maar we moeten toch kiezen uit een oplossing, Keepass is aardig, papiertjes net zo.
Hoe men er mee omgaat is een ander, neem dus een veilig besturingsysteem of bewaar de papiertjes op een verborgen plek. (In de binnenmuur of iets dergelijks)
Precies dat laatste, als je een zwak wachtwoord kiest voor je Keypass installatie dan is dat papiertje in een kluis nog beter qua security dan, qua gebruikersgemak natuurlijk niet.
11-11-2023, 18:05 door karma4
De AP die zo weinig van informatiebeveiliging begrijpt dat ze biometrische opties bij voorbaat verdacht vinden.
Hee vreemd data wereldvreemde gedoe bij die club
28-11-2023, 09:08 door Anoniem
Door Anoniem: Wij hebben dan ook de password-policy:
-- minimaal 12 tekens
-- 3 character classes

Maar, indine je wachtwoord > 24 tekens is... dan vervallen alle andere requirements.... dus gebruik een passwordmanager en passphrases.

En een goede hacker hacked je ze allemaal in 3 dagen....
Door Anoniem: Moet binnen kort 30 tekens voor mijn admin wachtwoord gaan gebruiken.... Die 30 dagen geldig is.....

Gaat een leuke worden..... Keepass is geen probleem, websites is geen probleem, maar in RDP kan je niet je wachtwoord plakken.

Je zou dan beter ook nooit RDPen met je admin account ;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.