Door Timt: Door Erik van Straten: Wat denk je zelf, als het om een systeem gaat waar gebruikers (en/of apparaten) op moeten inloggen en, als dat succesvol is, toegang krijgen tot achterliggende systemen? Ik denk van niet, want ook daarvoor moeten de gebruikers zich weer autoriseren voodat ze daarbij kunnen. Ken jij het product goed genoeg om zeker te weten dat, indien de "stepping stone" is gecompromitteerd, aanvallers niet kunnen zie welke credentials users/devices gebruiken tijdens het inloggen op volgende systemen (als dat al in alle gevallen noodzakelijk is)? Zelfs als een aanvaller op deze manier "slechts" gebruikersnamen (en geen wachtwoorden) kan achterhalen, heb je waarschijnlijk al een flink probleem. Want de meeste mensen gebruiken nog veel zwakkere wachtwoorden voor "binnen" dan voor internet-facing systemen (waar sterkere wachtwoorden meestal worden afgedwongen, en waarbij vaak ook nog eens van 2FA gebruik gemaakt wordt - in tegenstelling tot volgende systemen. Last but not least: als het niet ...