NIST wil eind aan wachtwoordregels voor karakters en periodiek wijzigen
Het Amerikaanse National Institute of Standards and Technology (NIST), de organisatie die onder andere verantwoordelijk is voor het opstellen van cybersecurityrichtlijnen voor de Amerikaanse overheid, wil een einde aan bepaalde wachtwoordregels, zoals het verplicht gebruik van verschillende soorten karakters, het verplicht periodiek wijzigen van wachtwoorden en gebruik van securityvragen.
Dat laat het NIST in de nieuwste conceptversie van de Digital Identity Guidelines weten. Daarin staan regels voor het authenticeren van gebruikers die gebruikmaken van overheidssystemen. Het document bevat ook een paragraaf over wachtwoorden. Zo wordt gesteld dat wachtwoorden minimaal acht karakters moeten zijn, maar er eigenlijk een wachtwoord van minimaal vijftien karakters zou moeten worden gevraagd.
Verder moeten gebruikers niet worden verplicht om voor het wachtwoord bepaalde soorten karakters te combineren, zoals veel wachtwoordregels vandaag de dag verplichten. Het gaat dan bijvoorbeeld om het gebruik van hoofdletters, cijfers en speciale tekens. Daarnaast moeten gebruikers niet worden verplicht om hun wachtwoord periodiek te wijzigen, tenzij er bewijs van een inbraak is. Ook deze wachtwoordregels wordt nog altijd binnen veel organisaties toegepast. Het NIST wil ook een eind aan wachtwoordhints en securityvragen.
Beveiligingsonderzoeker Lukasz Olejnik spreekt van baanbrekende veranderingen voor toekomstig wachtwoordbeleid. "Een verschuiving van het advies dat jarenlang de cybersecuritypraktijk heeft gedomineerd. Systemen zullen gebruikers niet langer verplichten om strenge compositieregels te volgen, zoals het combineren van hoofdletters, cijfers en speciale tekens in hun wachtwoorden. Dit houdt in dat langere maar eenvoudiger te onthouden wachtwoorden eindelijk 'toegestaan' zullen worden."
Olejnik merkt op dat dit haaks staat op de traditionele benadering, waarbij gebruikers zich aan allerlei regels moesten houden. De onderzoeker is dan ook hoopvol over de toekomst. "Wat houdt dit in? Het zorgt ervoor dat systemen die m4ngl33d-P@ssw0rds! vereisen, bestaande uit verschillende soorten karakters en onmogelijk te onthouden, in de geschiedenis zullen vervagen. In plaats daarvan zullen diceware-wachtwoorden, bestaande uit een combinatie van willekeurig gekozen woorden, worden toegestaan." NIST heeft het publiek gevraagd om tot 7 oktober op de conceptversie te reageren.
Reacties (21)
Vandaag, 09:14 door
Anoniem
Ik vraag al jaren aan "security specialisten" waarom je een sterk wachtwoord zou wijzigen.
Nooit een zinnig antwoord gekregen.
Goed dat NIST een einde aan die onzin maakt.
Nooit een zinnig antwoord gekregen.
Goed dat NIST een einde aan die onzin maakt.
Vandaag, 09:38 door
linuxpro
Een sterk wachtwoord of beter een passphrase zou indien niet gecomprimitteerd inderdaad niet gewijzigd te hoeven worden. Zeker niet als dat samen met een vorm van 2Fa wordt gebruikt. Overigens is mij geleerd dat "speciale" tekens voor de mens speciaal zijn maar voor een hacker die daar software voor gebruikt geen bal uitmaakt. Je vertraagd hooguit iets de tijd dat het duurt voor het wachtwoord is gekraakt. Dit gebeurd in de regel offline zodat dat eigenlijk niets uitmaakt.
Vandaag, 09:39 door
Bitje-scheef
Door Anoniem: Ik vraag al jaren aan "security specialisten" waarom je een sterk wachtwoord zou wijzigen.
Nooit een zinnig antwoord gekregen.
Goed dat NIST een einde aan die onzin maakt.
Nooit een zinnig antwoord gekregen.
Goed dat NIST een einde aan die onzin maakt.
Als je het ww per applicatie/inlog apart is het risico niet zo hoog. Maar niets menselijks is ons vreemd en zullen paswoorden vaak ook bij andere inlogs gebruikt worden. Soms is het simpelweg iemand die op je vingers kijkt. Of een usb-stickje met een keyboardlogger terwijl je dit niet weet.
Dus is het algemene advies deze regelmatig te vervangen.
Is dit zinnig genoeg ?
Vandaag, 09:41 door
Anoniem
https://www.explainxkcd.com/wiki/index.php/936:_Password_Strength
Vandaag, 09:44 door
Anoniem
Want bij een langer wachtwoord maak je minder fouten?
Ik merk juiist dat de kans dat ik een teken verdubbel of twee tekens omdraai, grotre geworden is.
En aangezien je de meeste wachtwoorden niet kunt/mag lezen terwijl je ze intypt, kun je de typfout moeilijk vooraf herstellen.
Maar goed, oefening baart kunst.
Hoe vaker je een wachtwoord moet intypen, hoe meer het een onderdeel va je spiergeheugen wordt.
Niet nadenken, maar doen.
Zonder al te veel hulpmiddelen zoals browsers die wachtwoorden voor je onthouden.
Wat ook meteen een goede geheuegentraining is.
We worden allemaal een dagje ouder. :-)
Ook de "puistenkoppen" onder ons.
Ik merk juiist dat de kans dat ik een teken verdubbel of twee tekens omdraai, grotre geworden is.
En aangezien je de meeste wachtwoorden niet kunt/mag lezen terwijl je ze intypt, kun je de typfout moeilijk vooraf herstellen.
Maar goed, oefening baart kunst.
Hoe vaker je een wachtwoord moet intypen, hoe meer het een onderdeel va je spiergeheugen wordt.
Niet nadenken, maar doen.
Zonder al te veel hulpmiddelen zoals browsers die wachtwoorden voor je onthouden.
Wat ook meteen een goede geheuegentraining is.
We worden allemaal een dagje ouder. :-)
Ook de "puistenkoppen" onder ons.
Vandaag, 09:46 door
Anoniem
Een minder complex, langer wachtwoord is veilig indien dit in combinatie met MFA gebruikt wordt.
Een korter wachtwoord waarvan bekend is dat er geen speciale tekens gebruikt worden is sneller te kraken lijkt mij maar zullen ze bij de NIST langer over nagedacht hebben dan ik :-)
Een korter wachtwoord waarvan bekend is dat er geen speciale tekens gebruikt worden is sneller te kraken lijkt mij maar zullen ze bij de NIST langer over nagedacht hebben dan ik :-)
Vandaag, 09:47 door
Anoniem
Door Bitje-scheef:
Als je het ww per applicatie/inlog apart is het risico niet zo hoog. Maar niets menselijks is ons vreemd en zullen paswoorden vaak ook bij andere inlogs gebruikt worden. Soms is het simpelweg iemand die op je vingers kijkt. Of een usb-stickje met een keyboardlogger terwijl je dit niet weet.
Dus is het algemene advies deze regelmatig te vervangen.
Is dit zinnig genoeg ?
Door Anoniem: Ik vraag al jaren aan "security specialisten" waarom je een sterk wachtwoord zou wijzigen.
Nooit een zinnig antwoord gekregen.
Goed dat NIST een einde aan die onzin maakt.
Nooit een zinnig antwoord gekregen.
Goed dat NIST een einde aan die onzin maakt.
Als je het ww per applicatie/inlog apart is het risico niet zo hoog. Maar niets menselijks is ons vreemd en zullen paswoorden vaak ook bij andere inlogs gebruikt worden. Soms is het simpelweg iemand die op je vingers kijkt. Of een usb-stickje met een keyboardlogger terwijl je dit niet weet.
Dus is het algemene advies deze regelmatig te vervangen.
Is dit zinnig genoeg ?
Op het eerste gezicht wel, alleen betekent dat dat mensen vaker een wachtwoord moeten verzinnen en zullen dus vaker een hergebruiken uit andere inlogs en moeite hebben om de niet vaak gebruikte te onthouden -> briefjes.
Vandaag, 10:27 door
Anoniem
Tot nu heb ik het bij ING nog niet gehad, maar ik verwacht binnenkort weer dat periodieke gedoe. Als er niets is veranderd eist de ING dat je bepaalde vreemde tekens juist niet mag gebruiken, ook weer zo'n rare restrictie; waarom is dat nu weer?
Ik vind het onzinnig om periodiek mijn wachtwoorden te wijzigen omdat ik gruw van hergebruik; het meest stompzinnige dat je kan doen met wachtwoorden; iets dat ik ook nooit heb gedaan en nooit zal doen.
Het doet in dit onderwerp feitelijk niet ter zake maar het schuurt er wel tegenaan: Waar ik de kriebels van krijg is dat je (ik) automatisch na enkele minuten inactiviteit wordt uitgelogd. Soms zit ik gewoon te staren en na te denken over financiële mutaties op het scherm en te bladeren in mijn kasboekje. Als ik dan even te laat ben bij de stomvervelende melding "Ben je er nog?" is het patsboem: uitgelogd. Volgens mij ziet de ING verdomd goed dat ik op een desktop aan het bankieren ben en niet smoorzat met een smartphone (die heb ik niet) ingelogd bij ING, en deze onbeheerd op een terrastafeltje zou kunnen neerleggen om te gaan pissen.
Ik vind het onzinnig om periodiek mijn wachtwoorden te wijzigen omdat ik gruw van hergebruik; het meest stompzinnige dat je kan doen met wachtwoorden; iets dat ik ook nooit heb gedaan en nooit zal doen.
Het doet in dit onderwerp feitelijk niet ter zake maar het schuurt er wel tegenaan: Waar ik de kriebels van krijg is dat je (ik) automatisch na enkele minuten inactiviteit wordt uitgelogd. Soms zit ik gewoon te staren en na te denken over financiële mutaties op het scherm en te bladeren in mijn kasboekje. Als ik dan even te laat ben bij de stomvervelende melding "Ben je er nog?" is het patsboem: uitgelogd. Volgens mij ziet de ING verdomd goed dat ik op een desktop aan het bankieren ben en niet smoorzat met een smartphone (die heb ik niet) ingelogd bij ING, en deze onbeheerd op een terrastafeltje zou kunnen neerleggen om te gaan pissen.
Vandaag, 11:05 door
Anoniem
Waarom wordt er geen verschil gemaakt tussen passwords en passkeys?
Passwords zijn, wat de term al aangeeft, woorden. Bedoeld om onthouden te kunnen worden door mensen. En als dat steeds verandert, hebben mensen er niet zoveel aan. Om te voorkomen dat ze wachtwoorden vergeten, gaan ze het in een .TXT-bestand opslaan op hun onversleutelde home-partitie of op een netwerkschijf. Of ze schrijven het op een post-it en plakken het aan hun monitor.
Passkeys zijn, wat de term al aangeeft, sleutels. Zoals met een huissleutel hoef ik niet te onthouden hoe die er uit ziet. Ik hoef alleen maar te onthouden dat ik hem heb opgeslagen in een wachtwoordmanager als KeePass, die de sleutel cryptografisch heeft gegenereerd.
Willen we voor deze twee verschillende concepten echt hetzelfde beleid?
Passwords zijn, wat de term al aangeeft, woorden. Bedoeld om onthouden te kunnen worden door mensen. En als dat steeds verandert, hebben mensen er niet zoveel aan. Om te voorkomen dat ze wachtwoorden vergeten, gaan ze het in een .TXT-bestand opslaan op hun onversleutelde home-partitie of op een netwerkschijf. Of ze schrijven het op een post-it en plakken het aan hun monitor.
Passkeys zijn, wat de term al aangeeft, sleutels. Zoals met een huissleutel hoef ik niet te onthouden hoe die er uit ziet. Ik hoef alleen maar te onthouden dat ik hem heb opgeslagen in een wachtwoordmanager als KeePass, die de sleutel cryptografisch heeft gegenereerd.
Willen we voor deze twee verschillende concepten echt hetzelfde beleid?
Vandaag, 11:07 door
Anoniem
NIST is een super betrouwbare club!
Vooral naar luisteren.
Vooral naar luisteren.
Vandaag, 11:31 door
Anoniem
Door Anoniem: Tot nu heb ik het bij ING nog niet gehad, maar ik verwacht binnenkort weer dat periodieke gedoe. Als er niets is veranderd eist de ING dat je bepaalde vreemde tekens juist niet mag gebruiken, ook weer zo'n rare restrictie; waarom is dat nu weer?
Ik vind het onzinnig om periodiek mijn wachtwoorden te wijzigen omdat ik gruw van hergebruik; het meest stompzinnige dat je kan doen met wachtwoorden; iets dat ik ook nooit heb gedaan en nooit zal doen.
Het doet in dit onderwerp feitelijk niet ter zake maar het schuurt er wel tegenaan: Waar ik de kriebels van krijg is dat je (ik) automatisch na enkele minuten inactiviteit wordt uitgelogd. Soms zit ik gewoon te staren en na te denken over financiële mutaties op het scherm en te bladeren in mijn kasboekje. Als ik dan even te laat ben bij de stomvervelende melding "Ben je er nog?" is het patsboem: uitgelogd. Volgens mij ziet de ING verdomd goed dat ik op een desktop aan het bankieren ben en niet smoorzat met een smartphone (die heb ik niet) ingelogd bij ING, en deze onbeheerd op een terrastafeltje zou kunnen neerleggen om te gaan pissen.
Hier precies hetzelfde!Ik vind het onzinnig om periodiek mijn wachtwoorden te wijzigen omdat ik gruw van hergebruik; het meest stompzinnige dat je kan doen met wachtwoorden; iets dat ik ook nooit heb gedaan en nooit zal doen.
Het doet in dit onderwerp feitelijk niet ter zake maar het schuurt er wel tegenaan: Waar ik de kriebels van krijg is dat je (ik) automatisch na enkele minuten inactiviteit wordt uitgelogd. Soms zit ik gewoon te staren en na te denken over financiële mutaties op het scherm en te bladeren in mijn kasboekje. Als ik dan even te laat ben bij de stomvervelende melding "Ben je er nog?" is het patsboem: uitgelogd. Volgens mij ziet de ING verdomd goed dat ik op een desktop aan het bankieren ben en niet smoorzat met een smartphone (die heb ik niet) ingelogd bij ING, en deze onbeheerd op een terrastafeltje zou kunnen neerleggen om te gaan pissen.
Vandaag, 11:42 door
Anoniem
Ik merk juiist dat de kans dat ik een teken verdubbel of twee tekens omdraai, grotre geworden is.
En je eigen zin bewijst exact jouw punt maar gaat zeker niet op voor mij of anderen. Als ik de bovenstaande zin tik dan vloeit die probleem- en foutloos uit mijn vingers ;-) en zo ook mijn wachtwoorden.
Vandaag, 12:25 door
Drs Security en Privacy
Door Bitje-scheef:
Als je het ww per applicatie/inlog apart is het risico niet zo hoog. Maar niets menselijks is ons vreemd en zullen paswoorden vaak ook bij andere inlogs gebruikt worden. Soms is het simpelweg iemand die op je vingers kijkt. Of een usb-stickje met een keyboardlogger terwijl je dit niet weet.
Dus is het algemene advies deze regelmatig te vervangen.
Is dit zinnig genoeg ?
je gaat daarbij wel uit van de extra, vaak terechte, aanname dat wachtwoorden hergebruikt worden. Dat worden ze naar wijzigen dan waarschijnlijk ook dus gaat dat het probleem niet oplossen.Door Anoniem: Ik vraag al jaren aan "security specialisten" waarom je een sterk wachtwoord zou wijzigen.
Nooit een zinnig antwoord gekregen.
Goed dat NIST een einde aan die onzin maakt.
Nooit een zinnig antwoord gekregen.
Goed dat NIST een einde aan die onzin maakt.
Als je het ww per applicatie/inlog apart is het risico niet zo hoog. Maar niets menselijks is ons vreemd en zullen paswoorden vaak ook bij andere inlogs gebruikt worden. Soms is het simpelweg iemand die op je vingers kijkt. Of een usb-stickje met een keyboardlogger terwijl je dit niet weet.
Dus is het algemene advies deze regelmatig te vervangen.
Is dit zinnig genoeg ?
Belangrijkste van de NIST conclusies is overigens voorla ook de wachtwoord lengte, 15 ipv. 8, als daarbij wachtwoord zinnen en dus ook spaties worden toegestaan dan is al heel lang bekend dat die zinnen veiliger kunnen zijn dan wachtwoorden.
Mits natuurlijk niet makkelijk te raden zoals namen etc.
Vandaag, 12:52 door
Bitje-scheef
Door Drs Security en Privacy:
Belangrijkste van de NIST conclusies is overigens voorla ook de wachtwoord lengte, 15 ipv. 8, als daarbij wachtwoord zinnen en dus ook spaties worden toegestaan dan is al heel lang bekend dat die zinnen veiliger kunnen zijn dan wachtwoorden.
Mits natuurlijk niet makkelijk te raden zoals namen etc.
Door Bitje-scheef:
Als je het ww per applicatie/inlog apart is het risico niet zo hoog. Maar niets menselijks is ons vreemd en zullen paswoorden vaak ook bij andere inlogs gebruikt worden. Soms is het simpelweg iemand die op je vingers kijkt. Of een usb-stickje met een keyboardlogger terwijl je dit niet weet.
Dus is het algemene advies deze regelmatig te vervangen.
Is dit zinnig genoeg ?
je gaat daarbij wel uit van de extra, vaak terechte, aanname dat wachtwoorden hergebruikt worden. Dat worden ze naar wijzigen dan waarschijnlijk ook dus gaat dat het probleem niet oplossen.Door Anoniem: Ik vraag al jaren aan "security specialisten" waarom je een sterk wachtwoord zou wijzigen.
Nooit een zinnig antwoord gekregen.
Goed dat NIST een einde aan die onzin maakt.
Nooit een zinnig antwoord gekregen.
Goed dat NIST een einde aan die onzin maakt.
Als je het ww per applicatie/inlog apart is het risico niet zo hoog. Maar niets menselijks is ons vreemd en zullen paswoorden vaak ook bij andere inlogs gebruikt worden. Soms is het simpelweg iemand die op je vingers kijkt. Of een usb-stickje met een keyboardlogger terwijl je dit niet weet.
Dus is het algemene advies deze regelmatig te vervangen.
Is dit zinnig genoeg ?
Belangrijkste van de NIST conclusies is overigens voorla ook de wachtwoord lengte, 15 ipv. 8, als daarbij wachtwoord zinnen en dus ook spaties worden toegestaan dan is al heel lang bekend dat die zinnen veiliger kunnen zijn dan wachtwoorden.
Mits natuurlijk niet makkelijk te raden zoals namen etc.
Ja mensen zijn soms heel vreemd, maar nog meer erg voorspelbaar. In sommige organisaties is het zelfs een sport om onder de paswoordveranderingen uit te komen. Ik zou een boek kunnen schrijven met redenen die aangevoerd worden.
Vandaag, 14:05 door
-Peter-
Door Anoniem: Ik vraag al jaren aan "security specialisten" waarom je een sterk wachtwoord zou wijzigen.
Nooit een zinnig antwoord gekregen.
Goed dat NIST een einde aan die onzin maakt.
Nooit een zinnig antwoord gekregen.
Goed dat NIST een einde aan die onzin maakt.
Het nadeel is dat security specialisten zich moeten richten op beleid voor een hele organisatie. Wij hadden ook zo iemand in de organisatie die zei dat wachtwoorden niet gewijzigd hoefde te worden want "hij gebruikte een sterk wachtwoord".
Ik vind persoonlijk trouwens dat 8 tekens te weinig is.
Door Anoniem: Want bij een langer wachtwoord maak je minder fouten?
Ik merk juiist dat de kans dat ik een teken verdubbel of twee tekens omdraai, grotre geworden is.
En aangezien je de meeste wachtwoorden niet kunt/mag lezen terwijl je ze intypt, kun je de typfout moeilijk vooraf herstellen.
Ik merk juiist dat de kans dat ik een teken verdubbel of twee tekens omdraai, grotre geworden is.
En aangezien je de meeste wachtwoorden niet kunt/mag lezen terwijl je ze intypt, kun je de typfout moeilijk vooraf herstellen.
Daarvoor heb je dan ook een wachtwoordkluis. Want je wilt natuurlijk ook voor ieder account een ander wachtwoord gebruiken. Dan ben je niet gelijk ieder account kwijt als een club het wachtwoord lekt.
En ja, er blijken nog steeds organisaties te zijn die het wachtwoord plain text of middels een simpele hash opslaan. Of niet eens hashen, maar versleutelen.zodat het teruggehaald kan worden. En dat zijn niet de kleinste clubs, maar organisaties als Oracle en Cisco.
Peter
Vandaag, 14:16 door
Anoniem
De voorloper, NIST Sp 800-63B rev 3 uit 2017 gaf dit al aan. Waarom het in draft rev 4 opeens zoveel aandacht krijgt weet ik niet, maar is wel goed. Wachtwoord verloop alleen op indicatie van compromise, eventueel jaarlijks voor bepaalde situaties.
Met de opkomst van cryptografische authenticator, zoals passkeys ook meer toepasbaar, wachtwoord raakt op de achtergrond.
Met de opkomst van cryptografische authenticator, zoals passkeys ook meer toepasbaar, wachtwoord raakt op de achtergrond.
Vandaag, 15:13 door
johanw
Als dat door het bedrijf overgenomen wordt voorkomt dat een reeks waachtwoorden a la BedrijfsNaam1!, BedrijfsNaam2!, etc.
Vandaag, 15:57 door
Anoniem
NIST heeft al jaren geleden aangegeven dat ze zich vergist hebben in de wachtwoordpolicy die ze destijds bedacht hadden en dat het in feite geen hol uitmaakt of je een ingewikkeld wachtwoord hebt met een shitload aan leestekens en andere onzin of een heel lang wachtwoord bestaande uit alleen makkelijk te onthouden letters/woorden. De laatste is veiliger dan de eerste.
Ik heb onze policy ook op basis van het laatste advies van NIST aangepast, hoewel ik voorstander ben om van al die wachtwoord shizzle af te gaan door alleen nog maar passkeys (hard of soft) in te gaan zetten.
Ik verbaas me dat bedrijven, die zeggen security hoog in het vaandel te hebben, nog steeds gebruik maken van achterhaalde wachtwoord policies. Lezen ze geen nieuws of zo of zijn die IT' ers zo vastgeroest in het oude denken dat ze eigenlijk ongeschikt zijn om mee te gaan in het huidige veiligheids klimaat?
Maar let op, ook 2fa is niet de heilige graal die het wachtwoord probleem volledig voor je oplost.
Ik heb onze policy ook op basis van het laatste advies van NIST aangepast, hoewel ik voorstander ben om van al die wachtwoord shizzle af te gaan door alleen nog maar passkeys (hard of soft) in te gaan zetten.
Ik verbaas me dat bedrijven, die zeggen security hoog in het vaandel te hebben, nog steeds gebruik maken van achterhaalde wachtwoord policies. Lezen ze geen nieuws of zo of zijn die IT' ers zo vastgeroest in het oude denken dat ze eigenlijk ongeschikt zijn om mee te gaan in het huidige veiligheids klimaat?
Maar let op, ook 2fa is niet de heilige graal die het wachtwoord probleem volledig voor je oplost.
Door Bitje-scheef: .....
Als je het ww per applicatie/inlog apart is het risico niet zo hoog. Maar niets menselijks is ons vreemd en zullen paswoorden vaak ook bij andere inlogs gebruikt worden. Soms is het simpelweg iemand die op je vingers kijkt. Of een usb-stickje met een keyboardlogger terwijl je dit niet weet.
Dus is het algemene advies deze regelmatig te vervangen.
Is dit zinnig genoeg ?
Als je het ww per applicatie/inlog apart is het risico niet zo hoog. Maar niets menselijks is ons vreemd en zullen paswoorden vaak ook bij andere inlogs gebruikt worden. Soms is het simpelweg iemand die op je vingers kijkt. Of een usb-stickje met een keyboardlogger terwijl je dit niet weet.
Dus is het algemene advies deze regelmatig te vervangen.
Is dit zinnig genoeg ?
Duidelijk een "het zou mogelijk kunnen zijn dat" redenering welke in praktijk meer schade berokkend heeft dan het iets heeft opgelost, welkom01. Denk eens aan het moeten veranderen van een passwoord tijdens een betaling.
Het maandelijks moeten veranderen van een password voor een systeem dat eens per kwartaal of jaar benaderd wordt.
Door Anoniem: De voorloper, NIST Sp 800-63B rev 3 uit 2017 gaf dit al aan. Waarom het in draft rev 4 opeens zoveel aandacht krijgt weet ik niet, maar is wel goed. Wachtwoord verloop alleen op indicatie van compromise, eventueel jaarlijks voor bepaalde situaties.
Met de opkomst van cryptografische authenticator, zoals passkeys ook meer toepasbaar, wachtwoord raakt op de achtergrond.
Ik dacht ook dat het eerder er al stond. Je heb gelijk.Met de opkomst van cryptografische authenticator, zoals passkeys ook meer toepasbaar, wachtwoord raakt op de achtergrond.
Vandaag, 16:16 door
Anoniem
Door -Peter-:
Het nadeel is dat security specialisten zich moeten richten op beleid voor een hele organisatie. Wij hadden ook zo iemand in de organisatie die zei dat wachtwoorden niet gewijzigd hoefde te worden want "hij gebruikte een sterk wachtwoord".
Ik vind persoonlijk trouwens dat 8 tekens te weinig is.
Daarvoor heb je dan ook een wachtwoordkluis. Want je wilt natuurlijk ook voor ieder account een ander wachtwoord gebruiken. Dan ben je niet gelijk ieder account kwijt als een club het wachtwoord lekt.
En ja, er blijken nog steeds organisaties te zijn die het wachtwoord plain text of middels een simpele hash opslaan. Of niet eens hashen, maar versleutelen.zodat het teruggehaald kan worden. En dat zijn niet de kleinste clubs, maar organisaties als Oracle en Cisco.
Peter
Door Anoniem: Ik vraag al jaren aan "security specialisten" waarom je een sterk wachtwoord zou wijzigen.
Nooit een zinnig antwoord gekregen.
Goed dat NIST een einde aan die onzin maakt.
Nooit een zinnig antwoord gekregen.
Goed dat NIST een einde aan die onzin maakt.
Het nadeel is dat security specialisten zich moeten richten op beleid voor een hele organisatie. Wij hadden ook zo iemand in de organisatie die zei dat wachtwoorden niet gewijzigd hoefde te worden want "hij gebruikte een sterk wachtwoord".
Ik vind persoonlijk trouwens dat 8 tekens te weinig is.
Door Anoniem: Want bij een langer wachtwoord maak je minder fouten?
Ik merk juiist dat de kans dat ik een teken verdubbel of twee tekens omdraai, grotre geworden is.
En aangezien je de meeste wachtwoorden niet kunt/mag lezen terwijl je ze intypt, kun je de typfout moeilijk vooraf herstellen.
Ik merk juiist dat de kans dat ik een teken verdubbel of twee tekens omdraai, grotre geworden is.
En aangezien je de meeste wachtwoorden niet kunt/mag lezen terwijl je ze intypt, kun je de typfout moeilijk vooraf herstellen.
Daarvoor heb je dan ook een wachtwoordkluis. Want je wilt natuurlijk ook voor ieder account een ander wachtwoord gebruiken. Dan ben je niet gelijk ieder account kwijt als een club het wachtwoord lekt.
En ja, er blijken nog steeds organisaties te zijn die het wachtwoord plain text of middels een simpele hash opslaan. Of niet eens hashen, maar versleutelen.zodat het teruggehaald kan worden. En dat zijn niet de kleinste clubs, maar organisaties als Oracle en Cisco.
Peter
Met dat laatste toon je een vooruitziende blik!
Security.nl, 14:22 uur, 17 minuten na jouw post:
https://www.security.nl/posting/859784/Meta+krijgt+91+miljoen+euro+boete+voor+plaintext+opslag+van+wachtwoorden
Vandaag, 16:32 door
wim-bart
Voor heel veel systemen onthoud ik niet eens het wachtwoord. Wanneer ik wil inloggen dan doe ik gewoon een “wachtwoord vergeten” en reset ik mijn wachtwoord naar iets wat die dag in mij op komt. Daarna log ik even met nieuwe wachtwoord in, geef even mijn MFA code en vergeet de boel weer.
Dus geen wachtwoord manager nodig voor die sites. Alles waar ik maximaal 6 keer per jaar moet inloggen valt onder die policy voor mij.
Enige wat nodig is. E-Mail en Authenticator app :)
Wat ik meer fucked up bind is dat er sites zijn die bij meer dan 20 karakters voor wachtwoord protesteren. Dan zijn wachtwoorden als “VandaagWeerEven10minutenIn!” Opeens een issue.
Dus geen wachtwoord manager nodig voor die sites. Alles waar ik maximaal 6 keer per jaar moet inloggen valt onder die policy voor mij.
Enige wat nodig is. E-Mail en Authenticator app :)
Wat ik meer fucked up bind is dat er sites zijn die bij meer dan 20 karakters voor wachtwoord protesteren. Dan zijn wachtwoorden als “VandaagWeerEven10minutenIn!” Opeens een issue.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.