Het frequent moeten wijzigen van een wachtwoord is IMHO ook slecht voor de kwaliteit van het wachtwoord.
Je krijgt dan reeksen als Jantje1, Marieke1, Jantje2,.... etc waarbij de naam van beide kids in dit geval niet moeilijk te raden is ;)

De komma en het vraagteken worden niet geaccepteerd door de Postbank.
Zie de aanbevelingen van de Postbank:

**********************
Om te voorkomen dat u uw wachtwoord vergeet heeft Postbank voor u een paar tips:
- Het wachtwoord moet:
- Uit minimaal 8 en maximaal 18 tekens bestaan.
- Minimaal 1 cijfer en 1 letter bezitten.
- Anders zijn dan de gebruikersnaam.
- Drie opeenvolgende karakters uit het wachtwoord mogen niet in de gebruikersnaam voorkomen.

Een aantal tips om misbruik te voorkomen:
- Gebruik leestekens: punt (.) en gewoon streepje (-) en liggend streepje (_) en !, @, #, $, %.
- Kies geen voor de hand liggende code.
- Gebruik geen wachtwoord dat bestaat uit persoonlijke informatie.
- Geef uw wachtwoord nooit aan anderen.
- Schrijf uw gebruikersnaam en wachtwoord nergens op.
- Wijzig geregeld uw wachtwoord.
*********************

Ik heb er geen verklaring voor. Ik kan alleen bevestigen dat het wachtwoord dat ik wil gebreuken ook niet wordt geaccepteerd. Misschien een idee om de postbank supportdesk eens te bellen met de vraag wat wel en niet mogelijk is.

Voor het wijzigen moet je ook het oude wachtwoorde opgeven, daar kan mee worden vergeleken.

LOL.

Ik heb 't wachtwoord altijd maar een beetje gewijzigd. Stel dat het wachtwoord is kiekeboe123 was dan maakt ik er kiekeboe456 van en dat werkt prima.

Natuurlijk was ik dat een dag later alweer vergeten, maar het werd tijdens het veranderen wel geaccepteerd door de Postbank.

Wat doet dat ding als je een karakter anders zet midden in?

Beetje vaag.

Een wachtwoord sla je als een "hash" op en nooit als "plain-text". Als de boel ge-hacked wordt, kan er immers (bijna) geen misbruik van gemaakt worden.

Naar ik aanneem voldoet de Postbank ook aan deze algemene regel voor programmeurs...

Ik vind logisch dat iemand met een blik gericht op beveiliging de foute scenario's als mogelijkheid naar voren schuift, maar dan moet dat niet gebeuren door het proces niet zo volledig mogelijk te bekijken.

De aanname is dus dat de Postbank wachtwoorden in klare tekst opslaat of in deeltjes hashed omdat het bij bepaalde patronen begint te piepen dat een nieuw wachtwoord teveel overeen komt met het oude. Ja, dat kan je gaan denken als je er vanuit gaat dat het systeem het controleert aan de hand van een opgeslagen oud wachtwoord.

Alleen: bekijk dat formulier eens! Als je je wachtwoord wilt wijzigen moet je 2x het nieuwe wachtwoord intikken EN het oude wachtwoord. Die worden veilig maar in onversleutelde vorm naar de Postbank gestuurd waar ze dus makkelijk vergeleken kunnen worden voordat het nieuwe wachtwoord in een veilige vorm wordt omgezet om later tegen te authenticeren.

Helemaal mee eens! Mensen zijn meestal niet in staat allerlei verschillende wachtwoorden te onthouden voor verschillende sites, die dan ook nog eens periodiek aanzienlijk zouden moeten wijzigen. Het heeft ook helemaal geen zin, het enige dat men met dit beleid in theorie mee bereikt is dat een gecompromiteerd account na een tijdje mogelijk niet meer te misbruiken is, maar dan is het kwaad natuurlijk al lang geschied.
(Ik heb dit destijds ook gemeld bij de Postbank, maar nooit reactie op gehad)

Ik zie nergens staan dat je geen ? mag gebruiken en ik zou ook niet weten waarom niet. Ik zal het nog eens goed bekijken.

Je hebt helemaal gelijk! Punt 2 laat ik bij deze vervallen :)

Bedankt voor de reactie.

De vraag blijft echter:

"Zou het verstandig zijn om alle hashes van wachtwoorden van de gebruikers op te slaan en te vergelijken met de hash van het nieuwe wachtwoord, zodat gebruikte wachtwoorden niet worden geaccepteerd?"

(dit is meer een vraag in het algemeen, dan dat het met de postbank te maken heeft hoor).

dat is maar de vraag.

Stel je wisselt alleen maar tussen twee steeds dezelfde wachtwoorden, heb je een bit entropie. Dat is dus eigenlijk niets. Maar als je steeds de zoekruimte kleiner maakt door oude dingen (en misschien nog erger: dingen die daar op lijken) te weigeren dan wordt, zeker in combinatie met een totaal gebrek aan welwillendheid en fantasie bij diegene die hem moet veranderen, deze ruimte uiteindelijk ook erg klein...

Persoonlijk zie ik liever iemand een keer een sterk wachtwoord kiezen dan elke maand een slappe. Maar wie ben ik.

De ING-groep/Crapbank heb ik expliciet gedumpt om die zwalkende, dronke, idiote fransman die denkt dat ie íets kan..
& nu die nieuwe reclame met z'n "de ING is de enige NL'se bank met internationale connecties"..

Alleen al daarom mogen ze van mij failliet gaan. (af-en-toe verkeerd gedrag afstraffen mag best hoor.)

Ik gebruikte vorig jaar nog:
R.0-6S_1Al8-.M31-_k0 & %D@.2_Th07@a.Ls2G9$- maar aangezien ik m'n cancelation al heb opgestuurd zo'n 6 maanden terug ga ik er vanuit dat die niet meer werken :P (ff gecheckt; they don't)

%49%6b%20%7a%6f%75%20%67%65%77%6f%6f%6e%20%6d%69%6a%6e%20%77%61%63%68%74%77%6f%6f%72%64%20%69%6e%20%6c%65%6b%6b%6f%61%68%20%68%65%78%65%6e%2c%20%67%65%65%6e%20%68%6f%6e%64%20%64%69%65%20%65%72%61%63%68%74%65%72%20%6b%6f%6d%74%2e


http://centricle.com/tools/ascii-hex/

Ben ik het helemaal mee eens, volgens mij is dit een van de grote misvattingen in beveiligingsland, het iedere keer persé moeten veranderen van het wachtwoord. Dat leidt onvermijdelijk tot een "vlucht" van gebruikers naar opeenvolgende, b.v. d.m.v. een teller, relatief gemakkelijke wachtwoorden.
Terwijl als je écht iets goed wilt beveiligen dan is een ingewikkeld maar stabiel wachtwoord volgens mij een stuk beter.

Helaas staat de eis voor een wisselend wachtwoord ergens in de ISO norm van het beveiligingsbeleid en wordt er door geen enkele beveiliger ook maar getwijfeld, laat staan over nagedacht, of dit nou wel een goede regel is. Jammer, want het is een nieuwe en behoorlijk dynamisch vakgebied, je zou verwachten dat er met regelmaat nieuwe inzichten opduiken. Kennelijk is dat niet het geval.
Een antwoord van de Beveiligings industrie is b.v. de toepassing van iets wat je hebt en iets wat je kent om het wachtwoord te vervangen. B.v. een chipkaart met pincode. Grappig is dat:
1) een pincode een zwakke beveiliging is t.o.v. een zeer complex wachtwoord
2) de pincode nooit vervangen hoeft te worden
3) de kaart gestolen kan worden, waardoor iemand die je pincode kent je gegevens kan benaderen óf je zelf niet meer bij je account kunt.

Carol