image

Expert hekelt verbod van scheldwoorden in wachtwoord

vrijdag 5 september 2014, 15:41 door Redactie, 9 reacties

Een Australische beveiligingsexpert heeft uitgehaald naar de Britse internetprovider Virgin omdat het bepaalde scheldwoorden als wachtwoord verbiedt. Deze week werd bekend dat Virgin een lijst bijhoudt van scheldwoorden die gebruikers niet als wachtwoord mogen kiezen.

Dat bleek uit een JavaScript-bestand dat werd gebruikt voor het beoordelen van de wachtwoorden. Deze controle werd aan de clientkant uitgevoerd. Na alle ophef in de media besloot Virgin de controle aan de serverkant uit te laten voeren, zodat de volledige lijst met geblokkeerde woorden niet direct meer zichtbaar is.

Onbegrijpelijk

Volgens beveiligingsexpert Troy Hunt is de werkwijze van Virgin onbegrijpelijk. De reden dat Virgin en andere bedrijven dit doen is dat bijvoorbeeld helpdeskmedewerkers niet gekwetst worden bij het lezen van het wachtwoord, zo laat hij weten. Wachtwoorden die eigenlijk gehasht en onleesbaar opgeslagen zouden moeten zijn. "Natuurlijk zijn het mensen die waarschijnlijk door de wachtwoorden worden beledigd, omdat het computers niets kan schelen", aldus Hunt.

Hij merkt op dat het blokkeren van scheldwoorden allerlei interessante vragen oproept. "Waarom kunnen ze mijn wachtwoord zien? Waarom moeten ze mijn wachtwoorden zien?" Daarnaast is het ook de vraag hoe bedrijven kunnen bepalen wat wel en niet is toegestaan. Genoeg scheldwoorden, al dan niet in iets andere vorm geschreven, worden gewoon toegelaten, maar klinken fonetisch nog steeds hetzelfde.

Reacties (9)
05-09-2014, 16:12 door Anoniem
Blacklisten van bekende wachtwoorden zoals "123456", "qwerty", "p@$$w0rd", etc. is een vrij bekende veiligheidsmaatregel. De blacklist kan op de server bijgehouden worden en een wachtwoord kan gecheckt worden tegen de blacklist en eventueel geweigerd worden voordat het salted en hashed opgeslagen wordt. Je zou kunnen verdedigen dat vieze woorden en vloeken ook niet veilig zijn (want vaak gekozen) en dan is het niet zo gek om ze op de blacklist te zetten. Ik zou me daar niet kwaad over maken.
05-09-2014, 17:12 door Anoniem
een apart proces waar alle wachtwoorden doorheen gaan vereist ook extra controle op kwetsbaarheden van dat proces.
05-09-2014, 18:37 door SPlid
Werkelijk waar, waarom bemoeien mensen zich met mijn paswoorden, opnieuw een voorbeeld van zeden control hebben we het hier over orthodoxe organisaties die het niet prettig vinden dat mensen scheldwoorden als pasword gebruiken ?

Het lijkt me veel verstandiger om algemene regels neer te leggen waar paswoorden aan moeten voldoen dan dat kinderachtig gezever dat scheldwoorden niet voldoen aan ethische normen als ik GVD een scheldwoord wil gebruiken moet ik dat toch zelf weten !

Ik ben het dus 100 % eens met de expert , volgens mij bracht virgin vroeger ook porno films uit , dus zeker virgin moet niet zeiken ;-) Misschien heb ik het verkeerd maar "Virgin" spreekt boekdelen .
06-09-2014, 20:07 door Eric-Jan H te D
Door Anoniem:dat vieze woorden en vloeken ook niet veilig zijn (want vaak gekozen)

Dat is natuurlijk grote flauwe kul. Je vermindert het aantal mogelijke wachtwoorden.

Je hebt gelijk als het wachtwoord louter uit het scheldwoord zou bestaan, maar dat geldt voor alle wachtwoorden die louter en alleen uit een in een woordenboek voorkomend woord bevatten. Dus als je daarvan de complexiteit te gering vindt moet je extra karakters laten toevoegen. Dus zoiets als:

@#!KanKERlijder<020>/

lijkt mij een prima wachtwoord.

NB. Het heeft geen zin om dit wachtwoord op mijn gebruikersnaam hier uit te proberen.
07-09-2014, 10:18 door jefdom
wachtwoorden zijn tegen niemand gericht dus kunnen geen scheldwoorden zijn,en daarbij,SPlitt heeft gelijk met je wachtwoorden
heeft niemand zich te bemoeien
07-09-2014, 10:55 door Anoniem
Door jefdom: wachtwoorden zijn tegen niemand gericht dus kunnen geen scheldwoorden zijn,en daarbij,SPlitt heeft gelijk met je wachtwoorden
heeft niemand zich te bemoeien

En hopelijk zijn wij hier allemaal ernstig gekwestst door de suggestie dat je je wachtwoord met een helpdeskmedewerker moet delen...

Hoe kunnen ze het zo inrichten!! Pek en veren verdienen ze bij Virgin, of zelfs fakkels en hooivorken.
07-09-2014, 21:18 door Anoniem
Wat Virgin kan, kunnen anderen - of anders binnenkort - ook.
De 'zwarte draad' in deze berichtgeving is dus dat wachtwoorden wèl achterhaald kunnen worden. Hoelang dat dus al feit is weten de xperts.
Ondertussen continueert de goedgelovige, argeloze webwinkel consument de gedachte dat - zelfs al bewaart hij/zij de wachtwoorden met potlood geschreven in een Hema notitieblokje - deze gegevens nooit te achterhalen zijn.
Vraag en antwoord wie je in de digitale wereld kunt vertrouwen:...ALLÉÉN JEZELF, is dus vèrre van paranoïde?

JGO
08-09-2014, 12:16 door Anoniem
Door Anoniem: Wat Virgin kan, kunnen anderen - of anders binnenkort - ook.
De 'zwarte draad' in deze berichtgeving is dus dat wachtwoorden wèl achterhaald kunnen worden. Hoelang dat dus al feit is weten de xperts.
Ondertussen continueert de goedgelovige, argeloze webwinkel consument de gedachte dat - zelfs al bewaart hij/zij de wachtwoorden met potlood geschreven in een Hema notitieblokje - deze gegevens nooit te achterhalen zijn.
Vraag en antwoord wie je in de digitale wereld kunt vertrouwen:...ALLÉÉN JEZELF, is dus vèrre van paranoïde?

JGO

Dan maar weer naar one time passwords. Gewoon steeds een nieuw aanvragen als je bij een website moet zijn.
14-09-2014, 16:56 door Anoniem
Door Anoniem: Wat Virgin kan, kunnen anderen - of anders binnenkort - ook.
De 'zwarte draad' in deze berichtgeving is dus dat wachtwoorden wèl achterhaald kunnen worden. Hoelang dat dus al feit is weten de xperts.
Ondertussen continueert de goedgelovige, argeloze webwinkel consument de gedachte dat - zelfs al bewaart hij/zij de wachtwoorden met potlood geschreven in een Hema notitieblokje - deze gegevens nooit te achterhalen zijn.
Vraag en antwoord wie je in de digitale wereld kunt vertrouwen:...ALLÉÉN JEZELF, is dus vèrre van paranoïde?

JGO
klinkt wel een redelijk paranoïde en is niks nieuws. sommige sites slaan inderdaad echt wachtwoord op, zo simpel is het. goede sites doen dat niet vanwege problemen bij een hack of te nieuwsgierige medewerkers.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.