Nieuws
image

Britse geheime dienst: complexe wachtwoorden helpen niet

zondag 13 september 2015, 12:38 door Redactie, 19 reacties

Complexe wachtwoorden helpen niet om aanvallers af te slaan, maar maken wel het leven van gebruikers veel lastiger. Er moet daarom anders met wachtwoorden worden omgegaan, zo adviseert de Communications and Electronics Security Group (CESG), onderdeel van de Britse geheime dienst GCHQ.

In een nieuw advies stelt de CESG dat veel wachtwoordadviezen, waaronder die de Britse geheime dienst zelf heeft gegeven, vaak complexe wachtwoorden adviseren. Die zouden namelijk "sterker" zijn. "Complexe wachtwoorden frustreren aanvallers meestal niet, maar maken wel het leven van gebruikers veel lastiger. Ze brengen kosten met zich mee, zorgen voor vertragingen en kunnen gebruikers dwingen om workarounds of onveilige alternatieven te zoeken die het risico vergroten."

De CESG pleit daarom voor een "drastische vereenvoudiging" van de huidige aanpak op systeemniveau, in plaats van dat gebruikers wordt gevraagd om onnodig complexe wachtwoorden te onthouden. Ten eerste moeten organisaties alle standaardwachtwoorden voor het uitrollen van systemen en apparatuur wijzigen, met name bij routers en firewalls. Ook moet hier regelmatig op worden gecontroleerd.

Gebruikers

De tweede tip van de CESG richt zich op gebruikers. "Gebruikers wordt vaak verteld om wachtwoorden te onthouden, ze niet te delen, niet te hergebruiken of op te schrijven. Maar de doorsnee gebruiker heeft tientallen wachtwoorden om te onthouden, niet alleen die van de organisatie", zo laat het advies weten. Het regelmatig wijzigen van wachtwoorden schaadt dan ook de veiligheid in plaats van dat het die verbetert. Gebruikers moeten dan ook niet met deze last worden opgezadeld. Wel moeten gebruikers hun wachtwoord wijzigen als er aanwijzingen van een hack zijn.

Om gebruikers met de wachtwoord "overload" te helpen moeten organsaties verder alleen wachtwoorden gebruiken als het echt nodig is. Ook moeten er technische oplossingen worden ingeschakeld om gebruikers te ontlasten, moeten gebruikers de mogelijkheid krijgen om veilig hun wachtwoorden op te slaan, moet het resetten van wachtwoorden goedkoop, snel en eenvoudig zijn en mogen gebruikers wachtwoorden niet delen. Verder bevat het wachtwoordadvies van de CESG ook andere aanbevelingen, zoals het niet opslaan van wachtwoorden in platte tekst, het beperken van inlogpogingen en het extra beveiligen van systeembeheerder- en remote user-accounts.

Reacties (19)
13-09-2015, 13:07 door Anoniem
Privacy hatende spionnenbende adviseert korte wachtwoorden maar liever geen wachtwoorden om wachtwoordenoverload te voorkomen.

Nou ehh, bedankt voor deze wijze raad.
13-09-2015, 13:35 door Anoniem
Gebruikt als wachtwoord een zin die je gemakkelijk kan onthouden. Liefst met zoveel mogelijk karakters, dus woorden. Bijvoorbeeld: "dit is een leuk wachtwoord met veel woorden". Je kunt er ook een spelfout in maken.

Het zijn en blijven wachtwoorden op een vreemde server, waarover jij geen controle hebt. Dat is dan ook gelijk een heikel punt. Vertrouwen. Vertrouw jij de server?
13-09-2015, 13:43 door Anoniem
Bweeeeh. Weer een ander wachtwoord advies. Wat is er mis met het kiezen van een goed sterk wachtwoord (hoe je dat dan ook invult) en de rest door een wachtwoordmanager laten kiezen en daar ook in opslaan. Kan niet moeilijk zijn.
13-09-2015, 13:55 door karma4 - Bijgewerkt: 13-09-2015, 15:52
De visie veranderd naar: "Eenvoud is het kenmerk van het ware". Dat is mooi, het heeft al te lang geduurd met alle onnodige complexiteit. De positieve insteek is dat de richting van het artikel goed is. Accepteren nerds dat ook?
13-09-2015, 15:05 door Reinder
Ik denk dat wat ze bedoelen meer hier op neer komt: https://xkcd.com/936/
13-09-2015, 16:10 door Anoniem
hahahahahaha... paar dagen geleden was het nog 'complexe wachtwoorden maken het moeilijk voor de geheime diensten'... nu proberen ze iedereeen dus te overtuigen om simpele wachtwoorden te gebruiken zodat hun ze makkelijker kunnen hacken.
13-09-2015, 16:17 door karma4 - Bijgewerkt: 13-09-2015, 16:22
"Security policies that don't engage with what people are really doing - and must do, in order to do their jobs - are simply pointless bureaucracy. " https://cesgdigital.blog.gov.uk/2015/09/08/making-security-better-passwords/
Gebruik sticky notes: https://cesgdigital.blog.gov.uk/wp-content/uploads/sites/126/2015/09/passwords_3.png

Overigens lijkt de CESG meer op op het NCSC. Het is allemaal overheid / ministeries die er achter staan.
13-09-2015, 16:42 door Anoniem
Ik gebruik Firefox, en bezit dan ook voor allerlei instanties waar je tegenwoordig je gegevens zelf kunt inzien, over meerdere gebruikersnamen en wachtwoorden, die automatisch ingevuld worden als ik ergens wil inloggen, zelfs de Digid gaat automatisch. Daarboven gebruik ik één hoofdwachtwoord, en dat is gewoon voldoende.
Natuurlijk heb ik alle individuele gebruikersnamen en wachtwoorden in een versleuteld tekstbestand, en nog eens uitgeprint op papier. Dit alles niet tegen de overheid, maar eigenlijk alleen maar tegen een fatale crash van de PC, en eventueel tegen een onverlaat die er met de PC vandoor gaat.
14-09-2015, 00:35 door Anoniem
Men moet complexe en per dienst verschillende wachtwoorden gebruiken.
Indien het niet kan worden onthouden, pakt men pen en papier, en schrijft het op. Natuurlijk goed opbergen.

Das mijn advies.
14-09-2015, 08:30 door [Account Verwijderd]
Door Reinder: Ik denk dat wat ze bedoelen meer hier op neer komt: https://xkcd.com/936/

Precies! Je zou zeggen dat dit al algemeen bekend is, maar nu proberen overheidsinstanties het met enorm veel grote woorden uit te leggen? Plaatje van xkcd zou iedereen moeten snappen...
14-09-2015, 09:58 door Anoniem
Door CFK:
Door Reinder: Ik denk dat wat ze bedoelen meer hier op neer komt: https://xkcd.com/936/

Precies! Je zou zeggen dat dit al algemeen bekend is, maar nu proberen overheidsinstanties het met enorm veel grote woorden uit te leggen? Plaatje van xkcd zou iedereen moeten snappen...

De woorden 'bits, entropy, 2^28, 2^44 , /sec ' en dan denken "iedereen moeten snappen" .

Ik verwacht niet eens 'iedereen' in de subset van mensen die met security bezig zijn. Heel veel 'lijstjes afvinker' types die bij
het enige stukje controleerbare security - password policy - alleen maar snappen 'lang en moeilijk is goed ' .
14-09-2015, 10:48 door Anoniem
Gewoon Admin gebruiken is voor iedereen makkelijk dan . Afgesproken :-)
14-09-2015, 10:54 door Anoniem
Door CFK:
Door Reinder: Ik denk dat wat ze bedoelen meer hier op neer komt: https://xkcd.com/936/

Precies! Je zou zeggen dat dit al algemeen bekend is, maar nu proberen overheidsinstanties het met enorm veel grote woorden uit te leggen? Plaatje van xkcd zou iedereen moeten snappen...

Heren, wel eens van een dictionary attack gehoord? Ondertussen niet zo'n goed voorbeeld meer van xkcd.

http://arstechnica.com/security/2012/08/passwords-under-assault/
14-09-2015, 11:56 door [Account Verwijderd]
Door Anoniem:
Door CFK:
Door Reinder: Ik denk dat wat ze bedoelen meer hier op neer komt: https://xkcd.com/936/

Precies! Je zou zeggen dat dit al algemeen bekend is, maar nu proberen overheidsinstanties het met enorm veel grote woorden uit te leggen? Plaatje van xkcd zou iedereen moeten snappen...

Heren, wel eens van een dictionary attack gehoord? Ondertussen niet zo'n goed voorbeeld meer van xkcd.

http://arstechnica.com/security/2012/08/passwords-under-assault/

Zat het bericht toevallig net op ars te lezen en moest hard lachen!

Het plaatje van xkcd geeft een voorbeeld. Om hun voorbeeld te gebruiken IRL is natuurlijk hezelfde als "123456" te gebruiken.
Dictionary attacks hebben weinig effect als je echt 5 random woorden pakt. Of je moet je dictionary hebben die alle woorden 1-voor-1 koppelt met elkaar, maar zelfs dan gaat er dagen/weken/maanden overheen.
14-09-2015, 12:25 door Anoniem
Door Anoniem:
Door CFK:
Door Reinder: Ik denk dat wat ze bedoelen meer hier op neer komt: https://xkcd.com/936/

Precies! Je zou zeggen dat dit al algemeen bekend is, maar nu proberen overheidsinstanties het met enorm veel grote woorden uit te leggen? Plaatje van xkcd zou iedereen moeten snappen...

Heren, wel eens van een dictionary attack gehoord? Ondertussen niet zo'n goed voorbeeld meer van xkcd.

http://arstechnica.com/security/2012/08/passwords-under-assault/

De suggestie van xkcd is niet met een dictionary attack aan te vallen omdat het om een hele zin met willekeurige woorden gaat. Hun suggestie is meer geldig dan ooit want te korte wachtwoorden kunnen steeds sneller worden gekraakt en ingewikkelde wachtwoorden zijn moeilijk te onthouden, wat allerlei problemen geeft (vergeten, wordt opgeschreven, etc.). Daarom is het kiezen van een (vrij lange) zin met willekeurige woorden, die gemakkelijk te onthouden is, blijvend geldig en een goed voorbeeld. (Alleen niet het wachtwoord uit het xkcd plaatje overtikken, denkende dat dat wel een goeie zal zijn).
14-09-2015, 15:09 door Dick99999
Door Anoniem:
De suggestie van xkcd is niet met een dictionary attack aan te vallen omdat het om een hele zin met willekeurige woorden gaat. Hun suggestie is meer geldig dan ooit want te korte wachtwoorden kunnen steeds sneller worden gekraakt en ingewikkelde wachtwoorden zijn moeilijk te onthouden, wat allerlei problemen geeft (vergeten, wordt opgeschreven, etc.). Daarom is het kiezen van een (vrij lange) zin met willekeurige woorden, die gemakkelijk te onthouden is, blijvend geldig en een goed voorbeeld. (Alleen niet het wachtwoord uit het xkcd plaatje overtikken, denkende dat dat wel een goeie zal zijn).
"een hele zin met willekeurige woorden", daarin moet willekeurig wel onderstreept worden. En dan zien velen dit niet meer als een echte zin. Ik vraag mij overigens af hoe zij een zin als de volgende kunnen kraken:
allthegoodpasswordshavegone
14-09-2015, 16:32 door [Account Verwijderd]
Door Dick99999: Ik vraag mij overigens af hoe zij een zin als de volgende kunnen kraken:
allthegoodpasswordshavegone

Door gebruik te maken van zaken zoals de AM (Ashley Madison) hack en de fall-out ervan. Van de 35 miljoen zijn er "al" ongeveer 11 miljoen bekend gemaakt. Hiermee kunnen ze de libraries weer vullen met de meest vorkomende wachtwoorden/passphrases. Tenminste, dat zu ik doen...
14-09-2015, 17:51 door karma4
Voor degenen die zich vastbijten in het verplichten van userids en complexe wachtwoorden. Het advies en oorspronkelijke artikel is gebaseerd op het missen van de risico en impact analyse.
Het is het startpunt voor een Security overweging.

Als de jan klaasen Katrin logonids met een password1 geen waarde vertegenwoordigen voor privacy of wat dan ook.
Waarom ga je dan als IT nerd tegenin en vindt dat die gebruikers verkeerd bezig zijn (oei wat zijn ze dom).
Je kunt ze ook iets willen aanbieden waarbij het gebruik van een login proces geminimaliseerd wordt. Sso en 2fa waar relevant. Hoe moeilijk kan zoiets zijn? (Heel moeilijk!)
15-09-2015, 09:44 door Anoniem
Dat is ook waar. Aangezien ze al het netwerk verkeer afluisteren en opslaan, ongeacht of ze beweren dat dit nier zo is of juist wel. Daar hebben zij letterlijk schijt aan.

"State security goes first, privacy is not important. We shall and will monitor all citizens to avoid another ALKHABAR attack like 9/11"

Allemaal bs dus, we gaan gewoon allemaal kapot aan deze capitalisme, ze manipuleren alles. De cashflow, gegevens geheimen. Import en export van goederen. Hun zijn en zullen dus ook de baas blijven op deze manier.

Kunnen wij niks meer aan doen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search