Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Password policy KVK

28-02-2012, 14:06 door Anoniem, 9 reacties
De KVK heeft de volgende password policy voor de online gebruikers:


Let op, bij invoer van wachtwoord:
Gebruik geen leestekens.
Begin niet met een cijfer en gebruik geen meerdere cijfers achter elkaar ( bijv. goed is: woerden1, fout is: woerden21).
Het systeem maakt onderscheid tussen hoofd- en kleine letters!

Dit is toch niet de meest handige policy?
Reacties (9)
28-02-2012, 17:22 door Anoniem
haha, grappig om te lezen (woon zelf in woerden) m'n school staat tegenover KVK
29-02-2012, 00:31 door Bitwiper
Door Anoniem:
KVK: Gebruik geen leestekens.
Begin niet met een cijfer en gebruik geen meerdere cijfers achter elkaar ( bijv. goed is: woerden1, fout is: woerden21).
Dit is toch niet de meest handige policy?
Nee, integendeel. Elke beperking die je oplegt verkleint het aantal mogelijkheden en kan het leven van aanvallers makkelijker maken. Het uitsluiten van veel gebruikte wachtwoorden (zoals "12345" en "geheim") kan wel zinvol zijn, vooral als de website geen gebruik maakt van een (tijdelijke) account lockout na bijv. 3 verkeerde wachtwoorden.

De reden om leestekens af te raden (of verbieden?) ontgaat me volledig, en ik zie ook niet in waarom meerdere cijfers achter elkaar een bijzonder risico zouden vormen. Bijv. 74ren_Weod# was m.i. een prima wachtwoord (tot ik het hier publiceerde).

Waarom heb ik het voorgevoel dat veel gebruikers, na het lezen van de beperkingen en het "goede" voorbeeld, als wachtwoord woonplaats1 zullen kiezen?
29-02-2012, 08:59 door Anoniem
Waarom ze de password mogelijkheden beperken is me nog niet helemaal duidelijk.
Maar een betere vraag is :

Bij welke data kan de online gebruiker komen nadat hij ingelogd is?

Is dit privacy gevoelige informatie of bijvoorbeeld alleen uittreksel van KvK wat toch al publieke informatie is?
29-02-2012, 10:23 door Anoniem
Een bekende uitspraak van een kennis van is: HET IS TOCH VERDOMME 'MIJN' WACHTWOORD!?

Ik verplicht mensen altijd bij een privacy-gevoelig systeem altijd een sterk wachtwoord te gebruiken.
Als ze geen leestekens toestaan geeft dat mij het gevoel dat ze in plain-text worden opgeslagen en ze zo SQL-injecties proberen te voorkomen...

Dat je geen wachtwoord van meer dan 200 tekens toestaat kan ik nog begrijpen, maar dit?
29-02-2012, 10:58 door Ase2004
Je kan welliswaar alleen bij (semi-)publieke data. Maar die publieke data heb ik liever niet openlijk op het internet staan. Iedereen mag het inzien die er voor betaald wat mij betreft.
Je kan als je ingelogd bent documenten bestellen die geld kosten, welke van mijn tegoed afgaan.

Ik vind de policy ook zeker onhandig. Het forceert mij echter wel om na te denken over het wachtwoord in plaats van hetzelfde wachtwoord te gebruiken als die ik overal gebruik. Maar omdat de mogelijkheden beperkt zijn heb ik toch gekozen voor een relatief simpel wachtwoord (in tegenstelling tot andere sites).
Ik verbaas me iig wel over deze policy... geen bijzondere leestekens, misschien is het zo'n simpel systeem dat die hier niet mee kan omgaan.
29-02-2012, 11:18 door Anoniem
ik denk (hoop) dat deze policy voortkomt uit technische beperkingen van een backendsysteem.
Een systee dat niet omkan met leestekens kan ik ergens nog begrip voor opbrengen, maar 2 cijfers na elkaar... dit lijkt mij geen technisch beperking.
Het voorbeeld dat ze geven is ook wel redelijk schrijnend te noemen. Ik vraag mij af hoeveel accounts effectief het paswoord 'woerden1' gebruiken.
29-02-2012, 18:45 door Bitwiper
Door Anoniem: Een bekende uitspraak van een kennis van is: HET IS TOCH VERDOMME 'MIJN' WACHTWOORD!?
Uhh het is, voor de momentane bezitter van de data, een middel om vast te stellen dat jij jij bent en niet iemand anders.

Als je met jouw zelfgekozen wachtwoord uitsluitend toegang krijgt tot jouw eigen gegevens dan wens ik je veel succes met de kwaliteit van jouw wachtwoordkeuze. Echter als het om toegang tot gegevens van derden gaat heeft de data bezitter natuurlijk wel een gedelegeerde verantwoordelijkheid. Je kunt het als een luxe beschouwen dat jij dat wachtwoord zelf mag kiezen (en dat niet bijv. het systeem een random wachtwoord voor je genereert dat je maar moet zien te onthouden).

Dus als jouw kennis bijvoorbeeld denkt "HET IS TOCH V* MIJN <ANY PROVIDER> MAILBOX" dan moet hij/zij zich wel realiseren dat als een mailadresverzamelaar -middels een wachtwoord van het type woerden1- zich toegang verschaft tot die mailbox, de kans groot is dat zijn/haar familie, kennissen en collega's in een spamdatabase belanden (waar zij nooit meer uitkomen). Zie bijv. http://www.security.nl/artikel/34366/Mugged_in_London_(419_scam).html. Bij voorbaat no thanks...
01-03-2012, 00:57 door Anoniem
De KVK is ook nog een partij welke snachts tussen 00:00 en 06:00 (of 08:00) geen mogelijkheid bied tot opvragen van gegevens, omdat er dan een backup gemaakt wordt.. zegt genoeg over de systemen die er nog achter zitten..
01-03-2012, 09:12 door Anoniem
Die leestekens willen ze er niet in denk ik omdat er databases engines achter zitten en die vinden sommige tekens niet leuk.

Met sqlinjectie maak je daar oa gebruik van.

Dus ze denken waarschijnlijk daar om zo eventuele aanvallen het hoofd te kunnen bieden.


./....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.