"Korte simpele wachtwoorden zijn veel veiliger"
Als het om wachtwoorden gaat wordt gebruikers regelmatig aangeraden een zo'n lang mogelijke combinatie van cijfers, letters en vreemde tekens te gebruiken. En dat is niet verstandig, want complexe beveiligingsmaatregelen verzwakken juist de beveiliging. In het geval van wachtwoorden kun je daarom beter een kort en simpel wachtwoord kiezen, aldus security expert Aviram Jenik.
Jenik moet zoveel lastige wachtwoorden onthouden dat hij z'n browser dit laat doen. De meeste wachtwoorden zijn dan ook te vinden in z'n digitale portemonnee of op een post-it note op zijn bureau. Een aanvaller moet tot één van de twee toegang krijgen om het leven van Jenik behoorlijk zuur te maken, behalve in het geval van z'n online bankrekening. Dit wachtwoord is zo simpel dat hij geen browser of papier nodig heeft.
Een korte risico analyse maakt de keuze van Jenik duidelijk. De banksite probeert hem namelijk te beschermen tegen iemand die zijn wachtwoord niet weet, en een brute force aanval moet uitvoeren om erachter te komen. "Als we ervan uitgaan dat mijn gebruikersnaam 10 pogingen heeft voordat het account voor 24 uur bevroren wordt, dan zal het zelfs met een wachtwoord van vier letters nog gemiddeld 62 jaar duren voordat het wachtwoord gekraakt is. Zelfs een viercijferig nummer kost een aanvaller gemiddeld een heel jaar."
"Het brute force probleem mag dan zijn opgelost, toch wordt ik gedwongen om lange complexe wachtwoorden te kiezen voor een probleem dat ergens anders moet worden opgelost". Volgens Jenik zijn mensen lui, en houden ze vast aan bekende patronen. Lange wachtwoorden waren leuk in de jaren '80, maar vandaag de dag totaal irrelevant.
password-file van de bank (om het voorbeeld maar even te
volgen) goed beschermd is. Als je daar namelijk een kopie
van hebt, kan je op volle snelheid brute force aanvallen doen.
Het is vaak voorgekomen dat een lijst met geëncrypte
passwords uitlekte. Als dat gebeurd ben je er geweest met je
korte password. Ik gebruik liever makkelijk te onthouden maar
toch lange passwords, zoals "Ik draag dagelijks een schone
onderbroek!"
Ok, te kort door de bocht. Maar eenmalig inloggen met
versterkte authenticatie en verder alleen maar single signon
is toch het handigste.
Ik hoop ook dat InfoCard-achtige oplossingen heel snel loskomen.
eenmalig inloggen met versterkte authenticatie en verder
alleen maar single
signon is toch het handigste.
Handig is het zeker, maar veilig kan ik het niet noemen. Dan
hoef je maar 1 systeem te kraken, en kan je overal bij!
onthouden, vind ik toch redelijk makkelijk :)
basis voor de passwords is een zin, aangevuld met speciale karakters. Ik
gebruik een letter van elk woord en wissel in een vast patroon hoofd en
kleine letters af. De zin kan b.v. gaan over mensen en plaatsen die je
bezocht heb. De maand waarin het bezoek is afgelegd, bepaald voor die
maand het password. Na een jaar begin je opnieuw, of je wisselt de
hoofdletter/kleine letters om.
Voorbeeld: ik trof loes in knokke in de maand mei van 1996
Het password wordt dan ITLikiDMmv1996!!
Lijkt moeilijk maar eenmaal gewend is het supermakkelijk.
In Firefox hoef ik alleen maar het master password te
onthouden, vind ik toch redelijk makkelijk :)
Natuurlijk niet, want dan staan de wachtwoorden in je systeem. dit is
natuurlijk nog veel gevaarlijker.
wachtwoorden, de andere heeft het een andere keer over lange maar
simpele woorden en deze mijnheer heeft het nu over korte en simpele
wachtwoorden.
De simpele gebruiker wordt hier toch hoorndol van?
ik dat als wachtwoord blijf gebruiken?
Ten eerste, hij gaat ervan uit dat het onmogelijk is dat de
password hashes uitlekken. Als iedereen zijn advies zou
opvolgen zou een korte bruteforce op een uitgelekte hashes
een ramp worden.
Vervolgens houd hij er geen rekening mee dat er op het
moment van schrijven nog heel veel producten en websites
geen rekening houden met bruteforce aanvallen. Ook het
gebruik van proxy's kan in veel gevallen de bruteforce
aanval versnellen omdat de maximale inlogpogingen vaak
gebonden worden aan ip-adressen.
Het is inderdaad helemaal niet zo moeilijk een wachtwoord te
onthouden dat langer dan 8 tekens is. In de tijd die hij nam
om zijn idee te publiceren had hij er al lang een kunnen
bedenken.
Lange wachtwoorden zullen voorlopig nog wel het veiligst
zijn. Persoonlijk zorg ik ervoor dat al mijn wachtwoorden
random zijn en boven de 10 tekens. Mijn root wachtwoord is
boven de 20 tekens.
Adriaan
aller tijden wachtwoorden te gebruiken die geen enkele
persoonlijke band hebben met de gebruiker. Gebruikt men
"poes" of "hond", omdat men zo'n viervoeter heeft, ga je
voor gaas... ook al moet je 10 jaar wachten na iedere
verkeerde input. Gaat men "#4><0|2" gebruiken, heb je de
poppen alweer aan het dansen ...heel onpersoonlijk, dus zo
vergeten (behalve sommige onder ons ;-) ).
Laat de computer het werk doen. Gebruik daarom KeePass. Kun
je desnoods een wachtwoord gebruiken van 256 tekens of meer,
zonder het zelf te hoeven onthouden of ooit te hoeven intypen.
Vertraging is voor het grote plaatje misschien een
oplossing, maar dan nog zal men menselijk begrijpelijke
teken of cijfer reeksen gaan gebruiken, waardoor op grote
schaal weer een probleem ontstaat... luiheid is niet voor
niets één van de zeven zonde!
Weg met wachtwoorden. Weg met inloggen.
Ok, te kort door de bocht. Maar eenmalig inloggen met
versterkte authenticatie en verder alleen maar single signon
is toch het handigste.
Ik hoop ook dat InfoCard-achtige oplossingen heel snel loskomen.
Tuurlijk, kruip naar een technologie oplossing.
"Er bestaat geen patch of systeem voor stommiteit van eindgebruikers"
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.