image

Expert hekelt plakverbod van wachtwoorden

donderdag 15 mei 2014, 15:10 door Redactie, 12 reacties

Verschillende websites op internet staan gebruikers vanwege veiligheidsredenen niet toe om bijvoorbeeld bij het wijzigen van een wachtwoord de bevestiging van het wachtwoord te plakken, maar volgens de Australische beveiligingsexpert Troy Hunt veroorzaakt dit juist een beveiligingsrisico.

In deze gevallen moet de gebruiker in het tweede wachtwoordveld handmatig het wachtwoord opnieuw invoeren. Dit is onder andere het geval bij PayPal en de Oyster-card website van de Britse overheid. De maatregel kan er echter voor zorgen dat gebruikers opzettelijk zwakke wachtwoorden kiezen en ook kan het voor problemen met sommige wachtwoordmanagers zorgen. Wachtwoordmanagers die gebruikers juist helpen om voor elke website een uniek en veilig wachtwoord aan te maken.

Een ander punt dat Hunt hekelt is dat de websites het plakken in de wachtwoordvelden via niet-standaard browsergedrag afdwingen. Websites die juist denken aan de veiligheid bij te dragen doen uiteindelijk het tegenovergestelde merkt de expert op. Ook andere experts konden Hunt niet vertellen waarom websites deze maatregel nog steeds toepassen. De makers van de wachtwoordmanager 1Password noemen het dan ook securitytheater.

"Uiteindelijk komt het neer op deze balans van veiligheid waar niets absoluut is en dingen vaak een afweging zijn tussen kosten, gemak en ook het veiliger maken van het web. Maar in de gevallen van wachtwoorden is één van de beste dingen die iemand kan doen het nemen van een wachtwoordmanager en stoppen om dezelfde slechte combinatie van iemands verjaardag en de naam van de hond overal te blijven gebruiken."

Image

Reacties (12)
15-05-2014, 15:40 door PietdeVries
Heel irritant inderdaad... Om veiligheidsredenen is het beter om een lang wachtwoord te kiezen, en door al dat wijzigen en de complexiteitseisen is onthouden van een wachtwoord sowieso al niet meer te doen: alles staat toch al in een tool of spreadsheet dus.
Zodra je een wachtwoord met hoofd & kleine letters en nog wat cijfers moet typen denk je wel twee keer na om dan de langste optie te kiezen - dan vindt men 8 tekens wel voldoende terwijl 16 veel veiliger zou zijn.
Overigens nog irritanter is het moeten intypen van je Wifi wachtwoord via een remote-control achtige oplossing bijvoorbeeld bij een Apple TV of een Wii. En er dan later achter komen dat 't niet goed is ;)
15-05-2014, 15:49 door Anoniem
En hoe makkelijk is dit te omzeilen met Firefox. Rechts-klik op het wachtwoordveld -> Inspect element, de 'onpaste="return false" verwijderen en plakken maar!
15-05-2014, 16:56 door Erik van Straten
Zelf gebruik ik ook een password manager, maar het gebruik van het clipboard (klembord) voor wachtwoorden vormt wel degelijk een beveiligingsrisico. Immers, elk draaiend programma kan bij het clipboard en het kan (meestal afhankelijk van instellingen) gedeeld worden met remote- en virtuele machines. De inhoud kan wellicht ook in swapfiles terechtkomen.

Makers van password managers zijn zich hiervan bewust (zie bijv. http://keepass.info/help/v2/autotype_obfuscation.html) maar goede oplossingen ken ik niet.

Wellicht hebben we een gestandaardiseerde "secure channel API" nodig tussen webbrowsers en password managers?
15-05-2014, 17:39 door Anoniem
Password managers als Keepass hebben ook een "perform autotype" functie waardoor de applicaties zullen denken dat de invoer van het toetsenbord komt, echter vermoed ik wel dat deze invoer door keyloggers opgepikt zal worden, wat ook weer een beveiligingsrisico vormt.
15-05-2014, 18:10 door Anoniem
Uit de afbeelding met de tweet van British Gas:
We'd loose our security certificate if we allowed pasting. It could leave us open to a "brute force" attack.
Huh? Het blokkeren van plakken gebeurt via JavaScript (zie Anoniem 15:49) in de webbrowser van de bezoeker. Alsof een aanvaller daardoor gehinderd wordt, die gebruikt vermoedelijk voor een brute force-aanval geen webbrowser maar een HTTP(S)-library die in zijn favoriete programmeertaal (of die van de maker van de software die hij gebruikt) beschikbaar is. Om dat tegen te houden moet je op de server dingen regelen, niet in de browser van de bezoeker. Ik hoop voor British Gas dat alleen degene die die vraag beantwoordde uit zijn nek kletst. Het zou kwalijk zijn als hun eigen ontwikkelaars en hun certificeerder denken dat client-side JavaScript ze waar dan ook tegen kan beschermen.
15-05-2014, 18:29 door potshot - Bijgewerkt: 15-05-2014, 18:35
Door Anoniem: En hoe makkelijk is dit te omzeilen met Firefox. Rechts-klik op het wachtwoordveld -> Inspect element, de 'onpaste="return false" verwijderen en plakken maar!

probeer dat eens in skype of niet-brouwser.
15-05-2014, 19:35 door Anoniem
Hier een rijtje oplossingen voor diverse browsers: http://the-hug.org/opus2197.html . Mogelijk is dit nog beter: http://chrisbailey.blogs.ilrt.org/2013/01/03/re-enabling-password-pasting-on-annoying-web-forms-v2/
16-05-2014, 00:59 door Eric-Jan H te D
Het feit dat het "clipboard" niet beveiligd is komt hier niet ter sprake. Over het hoofd gezien misschien?
16-05-2014, 08:30 door Arie1980 - Bijgewerkt: 16-05-2014, 08:31
Door Anoniem: Uit de afbeelding met de tweet van British Gas:
We'd loose our security certificate if we allowed pasting. It could leave us open to a "brute force" attack.
Huh? Het blokkeren van plakken gebeurt via JavaScript (zie Anoniem 15:49) in de webbrowser van de bezoeker. Alsof een aanvaller daardoor gehinderd wordt, die gebruikt vermoedelijk voor een brute force-aanval geen webbrowser maar een HTTP(S)-library die in zijn favoriete programmeertaal (of die van de maker van de software die hij gebruikt) beschikbaar is. Om dat tegen te houden moet je op de server dingen regelen, niet in de browser van de bezoeker. Ik hoop voor British Gas dat alleen degene die die vraag beantwoordde uit zijn nek kletst. Het zou kwalijk zijn als hun eigen ontwikkelaars en hun certificeerder denken dat client-side JavaScript ze waar dan ook tegen kan beschermen.

Die hebben zeker nog nooit gehoord van het correct gebruikmaken van captcha's...
16-05-2014, 09:55 door Anoniem
Voor alle clipboard fans, als je malware op je systeem hebt die het clipboard kan lezen, kan het ook je toetsaanslagen opslaan. Zegt Hunt ook trouwens.
16-05-2014, 12:54 door Anoniem
Door Erik van Straten: Zelf gebruik ik ook een password manager, maar het gebruik van het clipboard (klembord) voor wachtwoorden vormt wel degelijk een beveiligingsrisico. Immers, elk draaiend programma kan bij het clipboard en het kan (meestal afhankelijk van instellingen) gedeeld worden met remote- en virtuele machines. De inhoud kan wellicht ook in swapfiles terechtkomen.

Makers van password managers zijn zich hiervan bewust (zie bijv. http://keepass.info/help/v2/autotype_obfuscation.html) maar goede oplossingen ken ik niet.
&
Door Eric-Jan H te A: Het feit dat het "clipboard" niet beveiligd is komt hier niet ter sprake. Over het hoofd gezien misschien?
Sorry Erik, maar dan moet je het artikel http://www.troyhunt.com/2014/05/the-cobra-effect-that-is-disabling.html beter lezen:
Of course the irony of this position is that makes the assumption that a compromised machine may be at risk of its clipboard being accessed but not its keystrokes. Why pull the password from memory for the small portion of people that elect to use a password manager when you can just grab the keystrokes with malware?

Troy Hunt kijkt vooral naar de dreiging van gelekte persoonsgegevens door gehackte websites, waarbij die gegevens vaak gebruikt kunnen worden om andere accounts aan te vallen omdat de inlog+wachtwoord op meer plaatsten gebruikt worden, een stukje damage-control dus.

Ook stelt hij dat malware toetsaanslagen, het clipboard en invulvelden van de browser kan onderscheppen, en terecht mijns inziens, ik zie ook een grotere dreiging in slechte systeembeheerders die (oncontroleerbaar) gegevens van mij beheren dan dat ik bang ben voor malware of MitM.

Door Erik van Straten: Wellicht hebben we een gestandaardiseerde "secure channel API" nodig tussen webbrowsers en password managers?
Een beveiligde API is een leuk idee, maar wordt binnen de kortste keren ook een doelwit voor malware, buiten het feit dat het héél moeilijk wordt om zoiets cross-platform (mobile!) én geschikt voor alle browsers te maken zonder dat er ingeboet wordt op veiligheid. Neem als voorbeeld de meeste AV-pakketten icm een gemiddelde boot-/rootkit, de malware schakelt zelfstandig de (beschermde modules van een) AV uit en voorkomt ook nog eens dat er andere scanners/tools uitgevoerd of zelfs gedownload kunnen worden, en zelfs bepaalde zoekopdrachten blokkeert of re-direct. Voor jou en mij geen onoverkomelijk probleem natuurlijk, voor de meeste eindgebruikers is het wel degelijk een hindernis om iets zelfstandig op te kunnen lossen.

Ook 2-factor authentication is geen eindoplossing, als de website die dat systeem gebruikt gehackt wordt liggen er nóg meer (privacy-gevoelige) gegevens op straat, en aangezien social engeneering een grote vector is, lijkt me dat ook geen goede oplossing. Vertrouwen is gesalte DB's e.d. is niet meer dan dat -vertrouwen- en daar kan ik mbt security niets mee.

Uiteindelijk denk ik dat het vooral neerkomt op een breed gedragen bewustzijn, maar ook daar zal Darwin altijd het verschil blijven maken. Ik denk dan ook dat het het beste is dat iedereen minimaal één keer goed plat op z'n snufferd gaat....

Hoe ben jij geïnteresseerd geraakt in de business? En waar heb je het meest van geleerd? Ik van m'n eigen fouten in ieder geval!
16-05-2014, 13:46 door Anoniem
ALs je je wachtwoord niet twee keer direct na elkaar in kan tikken, kun je het de volgende keer dan wel weer intikken? Of schrijf je het op een briefje?

Ik vind dat tweemaal intikken ook wel irritant maar vooral omdat ik dan merk dat ik niet precies weet welke combinatie ik ook weer had gekozen. Dat is dus een nuttige les.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.