Europa wil alleen veilig opgeslagen wachtwoorden
Websites moeten wachtwoorden alleen gesalt en gehasht opslaan, daarvoor pleit het Het Europees agentschap voor netwerk- en informatiebeveiliging (ENISA). Recentelijk zijn er tientallen miljoenen gegevens van gehackte websites op straat beland, zoals LinkedIn, Nvidia, Billabong, Yahoo!, Formspring en Android Forums. In een aantal gevallen waren wachtwoorden niet gehasht en gesalt, in andere gevallen werd er alleen een hash gebruikt.
Volgens ENISA moeten providers en websites wachtwoorden alleen op een veilige manier bewaren. Het gaat dan om sterke hashing algoritmes, waarbij elk gehasht wachtwoord ook gesalt wordt. Niet alleen moeten hashes aanvallen kunnen weerstaan, ze moeten in een veilige omgeving worden opgeslagen. Het is voor websites dan ook belangrijk dat ze niet kwetsbaar voor SQL Injection zijn, zo laat ENISA weten.
Eindgebruiker
Verder is er ook een rol voor de eindgebruiker weggelegd. Die moet volgens het agentschap niet overal hetzelfde wachtwoord gebruiken, een sterk wachtwoord kiezen, een wachtwoordmanager gebruiken, regelmatig wachtwoorden wijzigen en als er twee-factor authenticatie wordt aangeboden dit gebruiken. Daarbij wordt er zelfs naar de bekende XKCD tekening over passphrases verwezen.
Wat betreft het regelmatig wijzigen van wachtwoorden is dit volgens beveiligingsgoeroe Bruce Schneier zeker voor consumenten onzin. Zodra een aanvaller een wachtwoord steelt zal hij dit bij eindgebruikers in de meeste gevallen meteen misbruiken en zal de gebruiker dit ontdekken.
".. In een aantal gevallen .."
Er word hier een hoop geouwehoerd over beveiliging, maar doordenken ho maar.
niet helemaal onzin. Als je een mooie zin er neerzet, dan word het al snel onmogelijk. Zie bv de voorgaande zin, dat is niet snel te solven, zeer zeker niet als je daarnaast even bedenkt: 30.000 woorden in het woordenboek, waar de meeste mensen zo'n 10.000 woorden in hun woordenschat hebben. Die zin is 13 woorden, 2 leestekens en 1 hoofdletter. De mogelijheden zijn behoorlijk in de papieren. het voorbeeld daar in de strip is vanwege grootte van de text klein, maar je hoeft alleen maar een langere zin te gebruiken voor een grotere bescherming. Nu moet de site/OS well van je verlangen dat het exact dat password is, want anders kunnen ze eenvoudig dehashen naar een password. Eenvoudigste manier is gewoon door 2 verschillende hash-systemen te gebruiken, waarbij dan ook 2 verschillende salts erop zitten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.