Security Tip van de Week: kies overal een ander wachtwoord
In de Security Tip van de week geeft elke week een andere professional, expert, onderzoeker of lezer een security tip. Persoonlijke tips, variërend van het veilig configureren van Windows, een handige security tool of het juist instellen van een firewall, waarmee de tipgever zijn systeem, applicatie of netwerk veiliger maakt.
Heb jij ook een leuke, originele, maar bovenal goede security tip die niet mag ontbreken, stuur dan een mail naar redactie@security.nl.
Deze week de tip van Martijn Grooten
Het kiezen van een veilig wachtwoord
Het voordeel van het kiezen van een veilig wachtwoord is dat het een eenvoudig uit te leggen en in principe ook eenvoudig op te volgen advies is. En het helpt ook nog: zo'n wachtwoord voorkomt écht dat zelfs de meest geavanceerde krakingsalgoritmen er millennia over doen alvorens ze je wachtwoord kraken.
Maar als je écht wilt voorkomen dat je wachtwoord bekend wordt, zul je ook moeten zorgen dat de dienst die je gebruikt de wachtwoorden niet in platte tekst opslaat, noch op een manier die indirect gekraakt kan worden. Je moet er ook voor zorgen dat de dienst geen cross-site scripting lekken heeft, waardoor anderen je account kunnen overnemen en wellicht je wachtwoord kunnen wijzigen.
De computers waar vanaf je het wachtwoord intypt moeten geen keyloggers geïnstalleerd hebben en evenmin andere malware die je wachtwoord kan achterhalen. En het protocol waarover je het wachtwoord verstuurt moet geen lekken bevatten die het voor anderen mogelijk maken om de verbinding en daarmee je wachtwoord te kraken.
Geen van dit alles heb je zelf in de hand. (Het spreekt voor zich dat lezers van deze site diensten en computers vermijden waarvan zulke lekken bekend zijn.)
Ooit wordt het bekend
Het is daarom goed bij het kiezen van een wachtwoord te bedenken dat het ooit aan derden bekend wordt, ongeacht hoe moeilijk je het kraken van een wachtwoord ook maakt. Dat is iets waar je je dus bewust van moet zijn tijdens de keuze van het wachtwoord.
Idealiter kies je daarom een dienst die twee-factor authenticatie aanbiedt, in elk geval voor alle accounts die écht belangrijk zijn. Wie op elke slak zout legt zal er graag op wijzen dat twee-factor authenticatie niet zonder problemen is, maar voor de meeste mensen is het veilig genoeg. Mits je je realiseert dat het sturen van een sms naar de telefoon vanwaar je ook het wachtwoord intypt géén twee-factor authenticatie is.
De meeste diensten bieden het echter niet aan en in veel gevallen is dat begrijpelijk: voor het forum van de plaatselijke visvereniging is het teveel gedoe, te duur en de extra veiligheid niet waard. Voor een e-mailaccount dat je alleen gebruikt om nieuwsbrieven op te ontvangen is het waarschijnlijk evenmin nodig.
Maar wat je wel altijd kunt, en daarom moet, doen is het kiezen van verschillende wachtwoorden. Eentje voor elk account, hoe veel het er ook zijn. Voor de tientallen niet zo belangrijke accounts zijn kleine variaties (voeg de initialen van de site of een jaartal toe) geen probleem, zolang je er maar voor zorgt dat de krakers van het ene account niet automatisch in alle andere accounts kunnen inloggen - met alle gevolgen van dien.
Wat dat betreft is het met accounts net als met banken: als er eentje instort is dat buitengewoon vervelend. Maar als ze zo met elkaar verbonden zijn dat ze automatisch allemaal omvallen is het pas écht een ramp.
Martijn Grooten test spam-filters en web-filters voor Virus Bulletin, waarvoor hij ook over diverse andere beveiligingsonderwerpen schrijft.
Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.
Daarnaast kunnen mensen op deze twee sites checken hoe secuur hun wachtwoord echt is.
http://www.passwordmeter.com/
http://howsecureismypassword.net/
Mensen, stop met dit soort adviezen en ga de vrij gekomen hersencapaciteit gebruiken om iets te bedenken dat werkt. Internet is niet alleen het domein van de academisch geschoolden, maar bovenal het domein van iedereen.
Is dit advies bedoeld voor mijn oma van 80, voor de dokter in Ittervoort, de groenteboer in Varsseveld en ieder ander digibeet voor wie internet is bedoeld. Voor iedereen die zich kapot ergert aan al die wachtwoorden. Ik heb ze even geteld, ik heb er momenteel 153.
Wanneer gaan we Internet veilig maken voor de gewone mensen! Donder eens alles aan kant waar jullie mee bezig zijn en ga iets ontwikkelen dat werkt. Daadwerkelijk functioneert in de praktijk. Software als Keepass? Dat is niet uit te leggen aan een gewone sterveling want de makers van dat progje stoppen het vol met vele mogelijkheden die de intelligentie van de makers demonstreren, maar waar een gewone digibeet geen bal van snapt.
Als we op de huidige voet doorgaan wordt het nooit iets.
Het is een probleem wat de internet diensten zelf gecreeerd hebben, en ze moeten het ook zelf oplossen, niet op de gebruiker afschuiven.
Wat heeft een sterk wachtwoord nog voor nut als gebruikers hun wachtwoord ophogen met slechts een cijfer? Geen enkel nut dus. IT beveiligers adviseren vaak ook oplossingen, die voor hen mogelijk wel goed werken, maar de gemiddelde gebruiker snapt er geen zier van en gebruikt vervolgens gewoon een simpel te onthouden wachtwoord.
Sterke wachtwoorden afdwingen is dus net als water naar de zee dragen, een kansloze missie. Maar wat is een gebruikersvriendelijk en ook efficient alternatief? Overal je mobiele nummer achterlaten, voor een autorisatietoken via SMS, lijkt me niet nuttig, althans ik ga echt niet bij iedere website, met een login, mijn mobiele nummer verstrekken. Zullen Google en Facebook wel prachtig vinden, voor zover ze het nummer al niet hebben.
In feite zou de sterkte van een wachtwoord niet meer bepalend mogen zijn voor de beveiliging van de te ontsluiten functionaliteit of gegevens. Er zou nog 'iets anders' moeten volgen op 'iets wat je weet' en mogelijke nog een derde 'iets anders'. Nadeel van meerfactor authenticatie is dat het veelal direct privacy gevoelig kan worden, want hou maar 'iets wat je bent' of 'iets wat je hebt' anoniem of geheim/privé. Inloggen, naast een al dan niet sterk wachtwoord, met een OpenID zou een optie kunnen zijn. Indien er dan nog een derde factor volgt met iets dat alleen de gebruiker kan weten dan zou het al een stukje veilger zijn. Helemaal veilig krijg je het sowieso nooit, dus die illusie moet je niet eens willen nastreven.
Kortom, het moet anders alleen hoe dat in de praktijk uit zal pakken? Ik zou het zo 1 2 3 niet weten.
Ik denk dat een zinvolle discussie zou kunnen zijn "hoe gaan we het probleem 'wachtwoorden' oplossen".
En dan een oplossing die voor iedereen inzetbaar is, dus niet zo'n nerd oplossing als 'keepass' oid.
Daar kun je best wat mee, maar je kunt niet serieus aannemen dat iedereen dat gaat gebruiken, en dan nog op alle devices waar ze mee werken.
Daarnaast kunnen mensen op deze twee sites checken hoe secuur hun wachtwoord echt is.
http://www.passwordmeter.com/
http://howsecureismypassword.net/
Holy cow. Bedoel je (en deze sites) dit serieus ?
Mag ik ook een feed van IPs en gebruikte wachtwoorden door die IPs om mijn dictionaries en rainbowtables mee aan te vullen ?
Het enige wat nog leuker is, is een password-bewaar applicatie 'in the cloud' .
Oplossing zal door de dienstenaanbieders zelf moeten worden geboden, (a) geen onveilige informatie aanbieden (zoals al die lekke bedrijvenportals, (b) of superveilig eigen wachtwoordensysteem.
Als je het wachtwoord van Keepass weet te bemachtigen dan heb je in één keer alle andere wachtwoorden met bijbehorende sites.
Ik ben het er ook mee eens dat het voor, zeg, mijn moeder niet een heel nuttig advies is. Maar goed, mijn moeder leest deze site niet. Wat ik vooral wilde is wat tegenwicht brengen tegen de vele goedbedoelde tips over hoe een veilig wachtwoord te kiezen. Nuttig als die tips mogen zijn, tegen de meeste 'aanvallen' helpen ze niet.
Een persoon welke gebruik wil/moet maken van internet kan niet meer met het excuus aankomen van "dat wist ik niet".
Je mag verwachten dat men bewust een firewall en antivirus gebruikt, dat is wel het minste. Kan met dit niet zelf dan vraag je ergens hulp
Ik zou zeggen, voed gebruikers op en geef ze een veilige , makkelijke, x-platform wachtwoordkluis zoals Gisteren,13:20 Anoniem al aangaf. Het alternatief is slechte wachtwoorden, dat wil je toch niet als bedrijf? Mijn ervaring is dat gebruikers de voordelen van een kluis snel inzien en als zeer waardevol ervaren. Eindelijk af van het 1,2,3 schema of papiertjes.
Wat veel mensen vergeten bij 2 factor authenticatie, is dat als bijvoorbeeld de database met authenticatie gegevens gestolen wordt, de 2-de factor niet meer helpt. Alleen je wachtwoord moet dan nog gekraakt worden, en als dat sterk is lukt dat niet.
Sterke wachtwoorden zijn gewoon noodzakelijk en niet achterhaald volgens mij. Althans als we over de praktijk van vandaag praten, dan heeft iedereen wachtwoorden nodig.
Daarnaast kunnen mensen op deze twee sites checken hoe secuur hun wachtwoord echt is.
http://www.passwordmeter.com/
http://howsecureismypassword.net/
Holy cow. Bedoel je (en deze sites) dit serieus ?
Mag ik ook een feed van IPs en gebruikte wachtwoorden door die IPs om mijn dictionaries en rainbowtables mee aan te vullen ?
Het enige wat nog leuker is, is een password-bewaar applicatie 'in the cloud' .
Daarvoor zijn deze sites geschikt
Wat jij zelf had kunnen verzinnen als je verder kijkt dan je neus lang is.
Denken voordat men spreekt niet spreken voordat men denkt
Het is een risico-afweging. Ik ben het helemaal eens met Martijn Grooten dat het belangrijk is om overal een ander wachtwoord te hebben, zodat als een website gecompromitteerd raakt en ze niet blijken te salten, de aanvaller niet ook bij al mijn andere accounts kan. Wachtwoorden moeten ook lang genoeg zijn dat brute-forcen onrealistisch is, dus minstens 12 tekens en niet voorkomend in de bekende woordenboeken. Ik kan echter onmogelijk alle wachtwoorden onthouden, en dat geldt met name voor wachtwoorden die ik maar heel af en toe gebruik.
Het risico dat een server met mijn wachtwoordgegevens gecompromitteerd raakt heb ik niet in de hand. Wel ben ik verantwoordelijk voor de beveiliging van de PC's waarop ik KeePass gebruik. Ik houd er echter wel degelijk rekening mee dat mijn account een keer gecompromitteerd raakt. Maar door niet als admin te internetten, relevante software zo goed mogelijk up-to-date te houden en/of uit te schakelen (met name plugins in webbrowsers) denk ik dat ik dat het risico van het lekken van mijn KeePass master password veel kleiner is dan dat er een keer een websitewachtwoord van mij vanaf een server gejat wordt en/of vanaf een LAN/WiFi wordt gesniffed en zo op pastebin verschijnt.
En wat betreft het eerste: Voor echt belangrijke wachtwoorden gebruik ik een lang willekeurig wachtwoord per site, aangevuld met of voorafgegaan door een zelfde, vast 2-de deel. Dus als de cloud-DB gecompromitteerd wordt, en mijn sterke kluis sleutel zou geraden worden (kans 1:10^30 of zo) kent de inbreker nog steeds het 2-de deel niet.
Ik moet dus 2 sterke wachtwoorden onthouden: die voor de kluis en die voor het vaste achter- of voorvoegsel. Als ik het risico afweeg weet ik het wel. Het alternatief is zo'n honderdtal 'makkelijke' wachtwoorden onthouden. Overigens meestal in een niet beveiligde tekst file of spreadsheet. (wie kan 100 willekeurige wachtwoorden onthouden als die 8-20 tekens lang zijn?)
zou ik zeggen..
zeker wanneer je van provider verandert, dan kom je in een onmogelijke situatie om wachtwoorden op te halen daar deze4 dan naar een niet meer bestaand adres worden verstuurd....
optie is wel om zoals ik doe last pass te gebruiken die maakt zelf een wachtwoord., versleuteld deze en wordt opgeslagen...
vervelende is dat je zelf je eigen wachtwoord dan niet weet...uiteraard accepteerd hij ook je eigen wachtwoorden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.