Complexe wachtwoorden hebben geen invloed op beveiliging
Het verzinnen van complexe wachtwoorden en deze regelmatig wijzigen heeft geen invloed op de beveiliging van bedrijfsnetwerken en systemen, zo blijkt uit onderzoek. Grote boosdoener is namelijk het personeel, waarvan 33% het wachtwoord opschrijft, bewaart op de computer of op een mobiel apparaat.
Om te voorkomen dat werknemers de beveiliging ondermijnen, moeten bedrijven dan ook zoeken naar andere oplossingen, zoals biometrie. "Het is hetzelfde als ma en pa die een nieuw beveiligingssysteem voor het huis kopen en zoonlief legt de combinatie onder de deurmat" aldus analist David O'Connell.
Het onderzoek toonde verder aan dat single sign-on systemen net zo effectief zijn als complexere oplossingen, en dat het onderwijzen van gebruikers over het belang van wachtwoorden geen invloed op hun lakse houding heeft.
systeem achter zit. Zou dat wel zo zijn, dan zou het
onthouden ook makkelijker zijn voor meer mensen. Een
enkeling heeft geen probleem met complexe wachtwoorden. Maar
veel mensen hebben liever een houvast, een ezelsbruggetje of
een reminder.
Zo'n systeem is te snel te bruteforcen. Een goed random
complex password is nou eenmaal niet makkelijk te onthouden.
Zou je de ASCII-tabel omzetten naar simpele symbolen (alsof
ze niet simpel genoeg zijn) of een keyboard meer in een
raster weergeven, dan gaat men het makkelijker onthouden.
Een keyboard zit namelijk voor positionering van toetsen
niet logisch in elkaar als je je password wilt onthouden.
Blind typen is prima mogelijk en ook blind je password typen
is prima te doen.
Maar veel mensen onthouden dingen (zo werken de hersens nou
eenmaal) door associatie. Dat kan zijn door positie, door
kleur, door logische reeksen of door het te horen. Dus
eigenlijk door je zintuigen te prikkelen in een patroon, die
je hersenen kunnen associeren met geregistreerde informatie.
Hier zijn trucjes voor en die kun je leren. Kwestie van
weten en het willen proberen.
Biometrie vind ik nog steeds niet afdoende 'logisch' als
opvolger voor authenticatie, laat staan voor authorisatie.
- Unomi -
maar zodra het om geld gaat en iemand je vingerafdruk nodig heeft om er
toegang toe te krijgen. dan word je het doel...en dan hangt het ervan af hoe
ver iemand wil gaan om je duim of wijsvinger te pakken te krijgen.
geef mij maar een password...heel wat minder eng.
Biometrie is uit den boze... Je wachtwoord kun je immers vervangen, maar
je vingerafdruk, je oogscan of whatever NIET... Is er ergens een lek of een
fout, ben je zwaar de sjaak. Een beheerder kan bijvoorbeeld je vingerafdruk
set gebruiken voor elders in te loggen, die is immers ALTIJD hetzelfde. Je
wachtwoord hopelijk niet maar die is te veranderen als je erachter komt dat
je 'gehacked' bent.
AS
Als iemand eenmaal je vingerafdruk heeft met een methode om
deze daadwerkelijk te gebruiken op een biometrisch apparaat,
moet het apparaat (danwel de programmering hiervan)
vervangen worden. Dat is nogal wat meer werk dan een nieuw
password instellen...
Ik gebruik (bijna) overal andere random passwords, en deze
sla ik op in een dik versleuteld bestand. De beveiliging van
dat ene bestand vertrouw ik meer dan bv. allerlei
verschillende websites.
hardwareleveranciers. Gebruikers die een wachtwoord kiezen
dat iets moeilijker is dan binnen 10 keer te raden
beschermen zich met de juiste technische wachtwoordpolicy al
heel aardig. Administrators moeten iets beter hun best doen,
maar rocketscience is niet nodig naar mijn idee.
Nee, als men ergens naar zou moeten kijken is het niet de
gebruikers/beheerdersaccounts, maar de applicatieaccounts
die vaak standaard "moeten" zijn en die nooit gewijzigd
hoeven te worden.
Ik gebruik zelf altijd volledig willekeurig samengestelde
wachtwoorden, maar wat eigenlijk net zo goed kan werken is
beginletters van woorden in zinnen gebruiken met getallen
erom heen, zoals 06.HoOnIkMiWa.10 ('Hoe onthoud ik mijn
wachtwoord' met 6 oktober als datum eromheen,
scheidingstekens en afwisselend grote en kleine letters): 16
tekens, 4 complexiteitsfactoren. Hoe onthoud je dat? Nou, zo
dus.
Ik denk overigens dat substituties (o/0 - a/@ - i/1) niet
meer zo goed werken.
Precies. Pak steeds de 1e letter van je favoriete muzieknummer of
speelfilm en plak daarvoor (of daarna) twee cijfers van je postcode, leeftijd,
etc.
e4315 is neem gewoon Lite en het nr 4315. En hebje Lite4315 Niemand die
er ooit achter komt en enorm handig.
hoofdwachtwoord bekend wordt kun je eenvoudig doorloggen naar andere
toepassingen. SSO heeft enkel waarde als de eerste authenticatieslag
middels een sterk wachtwoord (liever nog sterke authenticatie / 2 -factor
authenticatie) is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.