misschien is de optie van Gmail via sms toch het beste. als het niet via de mail moet dat wachtwoord wijzigen, heb je dan een idee hoe dit wel zou moeten? vast niet. (ik ook niet) en er word vanuit gegaan dat mensen het Email opzeggen of 'verwijderen' zodra ze dit niet meer gebruiken.

Naar Ivo zijn tips luisteren heeft nog nooit iemand hier gedaan denk ik. dus er gehoor aangeven zou ik niet doen, die man weet niet waar hij over praat. een vervroegde pensioen van Ivo opstelten.

@SST: Ik weet natuurlijk ook niet hoe het dan wel moet. Maar een standaard uit 1982 (e-mail) vervangen door een standaard uit begin jaren negentig (sms) lost ook niets op. Dan blijf je doormodderen.

De overheid heeft natuurlijk een systeem om heel veilig je wachtwoord te resetten. Namelijk met je ID naar het gemeentehuis gaan. Bovendien heeft de overheid allerlei biometrische data over je, bijvoorbeeld je gebit bij de tandarts (met foto's). Of het weefsel voor wetenschappelijk onderzoek bij de ziekenhuizen. En anders het DNA van je familie! (zo is Bin Laden immers ook gepakt, we weten zeker dat hij het was).
De bank heeft een smartcard die je kan identificeren en die je altijd bij je hebt. En er komt een ID kaart met ook zo'n smartcard erop eind 2013. Ik zou het in die richting zoeken. Iets met PKI (wat beschikbaar is voor normale burgers sinds de introductie van PGP 2 door Phil Zimmermann, maar tegengewerkt door overheden).

Het draait allemaal om identiteit, dat je bent wie je zegt dat je bent. Niet dat je dus nooit meer anoniem mag zijn, maar als het nodig is moeten er mechanismen zijn om te bewijzen wie je bent. En dat moet niet zijn door een linkje aan te klikken op een webwinkel naar mijn idee ;-)

maar vóór de aanvaller bij dat linkje in je mail inbox kan, moet hij al je wachtwoord geweten hebben, zoals je al aangaf in je eerdere bericht. dus de fout ligt niet bij het linkje dat zo onveilig is. de aanvaller heeft waarschijnlijk een Stealer, of ander dergelijk malware op je pc geinstalleert. of stiekem mee gekeken toen jij ging inloggen bij bijvoorbeeld hotmail.nl of je was het slachtoffer van een phishing aanval.

ik zou het wat dichter bij huis gaan zoeken (bij je zelf) zorg dat je wachtwoord niet te achterhalen is door mijn bovengenoemde punten. zorg ook dat je geheime vraag nóóit het juiste antwoord bevat zoals: "wat is de naam van mijn eerste leraar." of "de naam van mijn eerste hond" geef daar dus nooit een antwoord op als "fred" of "mijn hond heette fikkie"

een Identiteit hoort pas bekend te worden wanneer de bewuste gebruiker ervoor kiest om dit te openbaren dit kan zijn via een Webwinkel die zijn goederen moet leveren. of iemand die bij het uwv om werk gaat kijken.


wat ivo voorstelt is gewoon waardeloos. iedereen weet wel een sterk wachtwoord te maken, maar de meeste mensen zijn gewoon lui en bedenken een simpel wachtwoord met het idee "ach het zal allemaal wel" etc..
pas als ze gehackt worden, is de ver van mijn bed show allang voorbij.

Gmail beveiligen met mobile telefoon, en als backup je vaste lijn(of andere mobile telefoon).

Wachtwoord maken extra tips:
Heel heel heel heel erg lange wachtwoord maken, dit heeft een reden van, nu is het veilig, maar in de toekomst kan dit snel berekend/gehackt worden ivm het versnellen van pc's.
Maar door lange wachtwoord is dit niet te onthouden, dus je moet bijna een onepass/keepass etc gebruiken om je wachtwoord te onthouden.
Hackers hebben veel bekende wachtwoorden, deze staan in een database, waar ze conclusies uit getrokken hebben, dus wat de meest gebruikte zijn, slimme manieren van mensen(dus niet slim)om hun eigen wachtwoord te wijzigen, dus de hackers weten alles. Dus om dit te omzeilen is dus keepass(of andere software) gebruiken om je lange wachtwoord te maken, deze is dus lang en alle tekens, en dus moeilijk te onthouden, dus gebruik keepass om te onthouden.
Keepass onthoud dus alle wachtwoorden, die je beschermt met 1 wachtwoord die moet onthouden.
Keepass heeft ook voordeel dat je wachtwoorden niet in firefox staan, dus je wachtwoorden staan beschermt in keepass.

"Security Now" op youtube is zeer goed.
http://www.jupiterbroadcasting.com/show/techsnap/
http://revision3.com/hak5

@SST: Ik heb mezelf eens buiten mijn steam account gesloten door het gebruik ('testen') van de geheime vraag! Daarvoor had ik het systeem om een willekeurig (lang) antwoord te geven en te vergeten. Nu schrijf ik het geheime antwoord op en zorg ik dat die uniek is per site. Als ik de geheime vraag uit kon vinken zou ik het doen! Bovendien vermoed ik dat de geheime vraag vaak niet gesalt en gehashed is opgeslagen.

De geheime vraag is ook een perfecte DOS als je het e-mail adres van iemand weet (iig voor steam). Vooral als die het antwoord dat die gaf niet meer weet (of het e-mail adres niet meer heeft). Uitgangspunt is namelijk dat je je wachtwoord niet meer weet. Dit kan de aanvaller natuurlijk ook beweren ;-)

In plaats van alleen een wachtwoord onthouden, moet ik nu dus ook een administratie voor de bijbehorende geheime vragen bijhouden. Dat kan niet de bedoeling zijn geweest van de bedenkers.

@Security Scene Team 11:30
Off topic: Quoten is een goed ding maar je hoeft niet continue hele artikelen of reacties te quoten, die staan er namelijk al. Quoten gebruik je doorgaans als je reageert op een specifieke zin in een artikel. Dit houdt de reacties wat overzichtelijker en wordt het geen ellenlange lijst van volledig gekopieerde artikelen/reacties.
Overigens wel bedankt voor de goede en uitgebreide reacties.

Jawoor ...
Tijdelijk wachtwoord per e-mail opsturen - max. 24 uur geldig - en met dit wachtwoord kun je dan alleen inloggen om een nieuw wachtwoord aan te maken.

...
Wachtwoorden zijn wachtwoorden.
Maakt ook niet heel veel uit hoe lang deze zijn.
Zitten anti bruceforce maatregelen in vrijwel alle belangrijke websites hedendaags.

Voor een keylogger maakt het ook niet uit hoe lang je wachtwoord is.

Dus snap de discussie sowieso niet.

Er moet snel iets bedacht worden om wachtwoorden overbodig te maken want zoals het nu is is het niet meer
werkbaar. Alles wat je verzint om een veilig wachtwoord te bedenken wordt neergesabeld als "dat is onveilig
want dat kan een hacker ook", je mag niet hetzelfde wachtwoord op meer plaatsen gebruiken, je mag je wachtwoorden
niet opslaan, je moet ze regelmatig veranderen, enz enz enz enz.

Dit kan gewoon zo niet meer.

Gaan we er hier met z'n allen, inclusief Ivo O., niet even aan voorbij dat veruit de meeste particuliere emial-box-cracks automatisch (gescript) zijn uitgevoerd, met maar als doel: SPAMMEN / ABUSE MAIL?
Degene die wel door een kiddie zijn gekraakt; da's meestal ook (deels) te danken aan het gedrag van de gebruiker van de betreffende email-box, dus daar kan je beter iets aan veranderen dan om de week pass-phrases van 89 leestekens te verzinnen... Uitzonderingen bevestigen hier de regel.

Dat de dreiging voor bedrijven anders is spreek ik niet tegen, maar daar is het bedrijf altijd nog verantwoordelijk voor een concrete richtlijn omtrent password-gebruik (etc.), en zou de gebruiker makkelijk hulp moeten kunnen inschakelen in geval van onduidelijkheden e.o. problemen... (En mede daarom heb ik ook zo'n hekel aan BYOD...)
En als het Digibewust advies voor ambtenaren zelf bedoeld is, dan is het einde zoek..

Dat het advies van Digibewust (mogen ze DigiD ook even naartoe linken, LOL) weer ambtelijk langdradig is en strikt op tenenkaas slaat moge duidelijk zijn...
[sarcasme]Maar de kritiek van de meest reaguurders snap ik niet zo goed, vooral ook omdat vrijwel iedere lezer op security.nl er per definitie al van uit mag gaan dat hij/zij meer begrijpt van IT-veiligheid heeft dan opa Ivo...[/sarcasme]
Misschien het verwachtingspatroon een beetje bijstellen? :p

En, hoeveel particulieren met gekraakte email en daarna actief misbruikte wachtwoorden ken jij? (Tin-foil-hats even niet meerekenen...)

Ik denk dat wachtwoorden van mail accounts meestal gehacked worden via phishing mails, niet zo zeer
doordat ze zwak zijn.

Als er een alternatief komt dat het 'een wachtwoord voor alle systemen' gaat vervangen zal dit net zo (on)veilig zijn als een wachtwoord. Voor elke dienst een apart cryptografische wachtwoorden bijhouden is inderdaad veel werk; maar het verkleind ook het attack surface. Beste is gewoon wachtwoorden seperaat houden en in een afsluitbare agenda of nog beter agenda in een kluis. Niet digitaal dus in ieder geval. Helaas wint in 9 van de 10 gevallen; gemak dient de mens...

Wie zegt dat?
Iets wat bijvoorbeeld werkt op basis van een smartcard of usb key die je bij je hebt en in de computer plugt om
je identiteit aan de website te vertellen heeft dit nadeel niet.
Dat soort dingen bestaat al. Een certificaat op een USB key bijvoorbeeld.
Het moet alleen nog even algemeen ingevoerd worden.

Zoals het nu is is het voor mij in ieder geval een reden om zo weinig mogelijk accounts aan te maken op de diverse
internet diensten. Ik kan het gewoon niet behappen om mijn wachtwoorden te managen op de manier die de heren
security experts voor zich zien.
Dus dan hoeven we het over de gemiddelde huismoeder al helemaal niet meer te hebben.

Vandaar mijn stelling dat het anders moet.

Ik gebruik waar mogelijk wachtwoorden van minimaal 128 karakters als je het niet hoeft te onthouden en minimaal 64 karakters als je het wel moet kunnen onthouden. Onthouden kan nog een keertje tot 90 a 100 karakters.

Nog verstandiger:
1. Een KeePass database aanmaken met een wachtwoord van ongeveer 90 a 100 karakters.
2. Dit wachtwoord binnen 4-8 dagen leren. (dat lukt mij in ieder geval wel)
3. Alle wachtwoorden opslaan in KeePass met een minimumlengte van 128 karakters tenzij de website weer zwakke wachtwoorden wil (halve internet)
4. Voor encryptie/truecrypt/gpg/pgp/axcrypt/bitlocker/dm-crypt wachtwoorden van 256 karakters tenzij programma dat niet aankan. (gpg heeft niet echt een limiet, truecrypt 64 karakters)
5. Voor inloggen bij windows/android/iphone/etc... en of opstarten computers speciale 16-64 (afhankelijk van typesnelheid) karakter wachtwoorden.
6. Nooit iets opschrijven, alles onthouden! Als je het toch moet onthouden via een papiertje in je portemonee.

Trixinet

Daarvoor gebruik ik al een tijdje deze link

https://tools.pcextreme.nl/?page=randpass

Het zou leuk zijn als het anders kon, maar dat is helaas geen realiteit. Wie zegt dat dat certificaat niet eens gekopieerd kan worden door een USB-dataminer? Als dat gebeurd zijn alle diensten direct toegankelijk voor de aanvaller, met alle gevolgen van dien. Als je een bepaalde dienst raadpleegt op het moment dat er een degelijke tool draait op de PC die je dan gebruikt, is in het geval van een offline registratie van wachtwoorden alleen de dienst die je op dat moment gebruikt in gevaar. Ook een keylogger kan je offline wachtwoorden niet achterhalen, iets wat wel kan als je ze bijvoorbeeld uit KeePass haalt. Wachtwoord managers geven wat dat betreft een vals gevoel van veiligheid en bevorderen ook nog eens het aftakelen van het brein ;-)

Ik denk dat we eens afmoeten van de gemakzuchtige houding tegenwoordig; deze werkt de digitale fraude namelijk behoorlijk in de hand.