Ze hebben bij Stanford blijkbaar nog niet van 2factor gehoord...

Het risico dat mensen elkaar onderling wachtwoorden vertellen, omdat dit zo handig is als de ander er even niet
is en toch de privileges van die user ID nodig zijn, wordt er echt niet minder door.
Je kunt een wachtwoord nog zo lang maken, het wordt NOOIT een betrouwbare authenticatiemethode.

Afschaffen die wachtwoorden. ZIjn niet meer bruikbaar.

Met een goed wachtwoord en een goede implementatie heb je niet persé de tweede factor nodig. Zeker omdat dit account voor een veelheid aan services wordt gebruikt, waaronder CLI tools, is een tweede factor misschien onhaalbaar.

Ze gebruiken vast geen Microsoft-account dan, dat is beperkt is tot 16 tekens:
http://windows.microsoft.com/nl-nl/windows-live/microsoft-account-password-16-characters

Leg dat eens uit, waarom denk je dat? (Je antwoord wordt hieronder al bij voorbaat weerlegd trouwens).


Onzin. Zelfs met yubikey is dat prima te realiseren. Oauth laat dit ook prima toe, dus je kunt met een smartphone prima tokens genereren, om de kosten hoeven ze het dus ook niet te laten. Blijven vertrouwen op alleen wachtwoorden is een ultieme fail, je kunt met alleen wachtwoorden, hoe lang ze ook zijn, een keylogger niet tegenhouden. Je legt de lat een heel stuk hoger door 2factor te authenticeren.

Is geen oplossing. (De meeste) gebruikers willen snelheid en niet al die onzin om zich constant "veilig" te moeten authenticeren. Daar denken de meesten hier waarschijnlijk anders over, maar ik ga de moeite echt niet nemen om bijvoorbeeld mijn mobiel te pakken en van daaruit een authenticatiecode die ik heb ontvangen nogmaals in te voeren om in te kunnen loggen op www.vulhiereensiteinwaarjekuntinloggen.nl. Alleen voor zaken als DigiD / waar het echt nodig is om deze beveiliging toe te passen (mijn insziens dus niet op Security.nl account) is zoiets goed. Net of er iemand daadwerkelijk geïnteresseerd is in je security.nl account. (Ja, deze gedachtegang pas ik toe ook al vind je het fout).

Eenmalig 2-factor om te bevestigen, oké. Iedere keer bij het inloggen, nouuu... nee.

leuk advies maar ze vergeten 1 ding:
meeste website hebben een lengte limiet op het wachtwoord, banken bv (lekker handig)
of nog beter hebben bij aanmelden ongelimiteerd en daarna bij inloggen een limiet :)
en speciale tekens zijn eng, en hoofdletter gevoeligheid? ook meestal ver te zoeken

zoals altijd bedrijven moeten dit soort 'advies' wel ondersteunen maar meestal zijn ze daar te lui/dom/iets dergelijks voor

Handig voor op de smartphone of pad ....

Ik zie geen weerlegging. Alleen een bevestiging dat het niet in alle gevallen mogelijk is.


Heel veel applicaties (met bijvoorbeeld ingebouwd authenticatie, eventueel gekoppeld aan AD of LDAP) bieden geen mogelijkheid om iets extra's toe te voegen. Standaard VPN vraagt bijvoorbeeld op username en password, maar heeft geen derde veld. We hebben dat voor een paar high-secure toepassingen toepassingen opgelost door de code te hacken. Nu moet bij het wachtwoord een OTP ingevuld worden.

Als de applicatie echt OTP of 2factor toestaat, is Yubikey mooi, maar je hebt wel een USB poort nodig. Oauth is ook aardig, maar welke app gebruik je voor je tokens? Voor een aantal toepassingen is de App van Google, of een fork daarvan, te gebruiken. Sommige applicaties dwingen het gebruik van een eigen App af. Als je niet uitkijkt, krijg je straks een tiental apps op je smartphone die tokens genereren voor je verschillende accounts. En natuurlijk heten ze allemaal hetzelfde, zoals je nu al ziet bij de bank-apps. Er zijn er verschillende die Banking heten. Het geluk met de banken is dat ze ieder een eigen logo hebben. Bij de security tokes zal iedere App iets als een sleutel als icon gaan gebruiken.

OTP en 2factor is mooi, maar in een omgeving met tientallen applicaties van een dozijn leveranciers is dat (nog) niet bruikbaar.

Er zijn partijen die op basis van Oauth aan het werken zijn aan een federatieve oplossing hiervoor, maar voordat dit algemeen geaccepteerd is (voor veel gebruikers en de meest belangrijke diensten) duurt het nog wel een tijdje. Tot die tijd is een lang wachtwoord zeker handig.

Peter

Aanvallers hebben meer tijd om een wachtwoord te raden...

Als je systeem niet automatisch blokkeert na 3 keer een foutief wachtwoord invoeren heb je toch elders ook een probleem.
Dus welk probleem lossen we hiermee op? GEEN
Welk probleem introduceren we: wachtwoorden onthouden wordt moeilijk, want woord 1 2 en 4 herinner ik me nog, maar 3 ben ik kwijt. Heej, daar hebben we een postit...

Stanford = sukkels

Bijzonder dat de bekende xkcd nog niet is aangehaald: http://imgs.xkcd.com/comics/password_strength.png

Ik vat het plaatje niet echt (infographic). Adviseren ze nou om supereenvoudige woorden achter elkaar te zetten en noemen ze dat de gouden standaard?!

In plaats van een plaatje te laten zien hoe het simpel en toch sterk kan, geven het ze het slechtste voorbeeld van allemaal: geen willekeurigheid -at all- en bekende makkelijke woorden. En alles in één type tekens: letters, kleine letters wel te verstaan.

als iedereen 3-4 woorden gebruikt dan wordt het dus kraken van 4 mogelijkheiden ipv 20+ :P

Het gaat niet om meerdere keren een fout wachtwoord ingeven, daarvoor is een pin-code van 4 cijfers genoeg. Het gaat om het "raden" van een wachtwoord als je toegang tot de account database hebt. Je kan dan brute-force proberen het wachtwoord te achterhalen. De hoeveelheid tijd is dan wel afhankelijk van de complexiteit (wel/niet hoofdletters, cijfers, speciale tekens). Lees vooral eens het stukje over entropie in http://en.wikipedia.org/wiki/Password_strength

De opmerking "Stanford=sukkels" lijkt me daarom meer op de steller dan op Stanford betrekking te hebben ;-)

Ik denk dat de dictionary attack snel zal worden aangepast aan passphrases bestaande uit woorden uit het woordenboek. Mijn advies is om onzinwoorden te gebruiken die hardop uit te spreken zijn. Dat laatste helpt bij het onthouden.

Ik werkte bij een anti-virus bedrijf / digital security bedrijf.
Hier werd mij meerdere keren door IT gevraagd, of ik mijn wachtwoorden korter wilde maken.
32+ karakters was nergens voor nodig vertelde mij men...

Het is een state of mind issue

ChickenFeelHeartNewspaperSelfPossibleCompanionRevengeNewThreat8 is een wachtwoord gemaakt op de gelijknamige pagina (correcthorsebatterystaple)...
Hoe lang doe je erover om dat wachtwoord te onthouden?

Zeker als het uit bestaande woorden gescheiden door een spatie bestaat, is het niet bar moeilijk.

Als ik jou lees dan denk ik nou niet direct, goh, die heeft er echt verstand van, die heeft met z'n poten in de modder gestaan en weet hoe dat "2factor" gaat uitpakken in een populatie van 16k (dronken, brakke, vergeetachtige, noem maar op) studenten en 13k medewerkers van verschillend allooi, plus wat er verder nog bij en voor gelieerde organisaties werkt. Ik denk veel eerder, kijk dan, een sekjoeritiespesjalist met buzzworderitis. Niet heel gek want computernerds zijn over het algemeen neofielen, maar uiteindelijk heeft een robuust werkend systeem toch echt de voorkeur boven de laatste snufjes.

Het advies om een lang maar voor mensen makkelijk te onthouden wachtwoord te kiezen is een van de betere adviezen in lange tijd, wat "2factor" is dat veel minder is. Waarom? Ga jij je huiswerk even fijn zelf doen.

Niet bar moeilijk? Het is onmogelijk! Althans: een wachtzin met 5 willekeurig gekozen woorden is even moeilijk te achterhalen als een wachtwoord dat bestaat uit 10 willekeurige tekens uit alle 94 asci tekens, zie http://en.wikipedia.org/wiki/Password_strength