Microsoft verbiedt veelgebruikte wachtwoorden
Om te voorkomen dat de accounts van gebruikers door het gebruik van zwakke wachtwoorden worden gehackt, heeft Microsoft besloten om veelgebruikte wachtwoorden te verbieden. De maatregel wordt al toegepast voor Microsoft Accounts en de testversie van Azure AD.
In de komende maanden zal de maatregel onder alle 10 miljoen gebruikers van Azure AD worden uitgerold. Microsoft ziet naar eigen zeggen hoe dagelijks meer dan 10 miljoen accocunts worden aangevallen. "We hebben dus veel gegevens over welke wachtwoorden in die aanvallen worden gebruikt. We gebruiken deze data om een dynamische lijst van verboden wachtwoorden bij te houden", laat Alex Weinert van het Azure AD Identity Protection-team in een blogposting weten. De lijst wordt gebruikt om gebruikers geen veel voorkomende wachtwoorden te laten kiezen. In dit geval krijgen gebruikers een melding dat ze een wachtwoord moeten kiezen dat lastig voor mensen is om te raden.
Daarnaast maakt Microsoft ook gebruik van een systeem genaam "Smart Password Lockout". Als een aanvaller te vaak op een account probeert in te loggen vindt er een "lockout" plaats of moet er een captcha worden ingevoerd. Volgens Microsoft zorgt het systeem ervoor dat alleen de aanvaller hier last van heeft, terwijl de echte gebruiker hier niets van merkt. Zo wordt er bijvoorbeeld gekeken vanaf welke computer of netwerk iemand inlogt. Volgens Microsoft is het systeem zeer effectief, omdat het in 54% van de gevallen ervoor zorgt dat een aanvaller niet bij het account kan, zonder dat de gebruiker hier last van heeft.
https://www.security.nl/posting/470888#posting470988
Zie ook de reacties van Anoniem om ditzelfde via /dev/random in linux te doen... (makkelijker, mits je linux hebt)...
12 tekens uit een set van 95 heeft een entropie van 6,570 per teken ofwel 78,8 per wachtwoord.
Ter vergelijking, 13 tekens uit een set van 62 (zie link) heeft een entropie van 5,954 per teken, ofwel 77,4 per wachtwoord.
https://www.securesafepro.com/pasgen.html
Geschikt voor W7 t/m 10
Ik gebruik dit progje (freeware) al een tijd. Het bevalt mij prima en het toont bij elk gegenereerd wachtwoord de hoogte van de entropie, ofwel wanorde.
(Hoe hoger de entropie/wanorde; hoe sterker het wachtwoord)
Het enige 'nadeel' qua layout heeft niets te maken met de functionaliteit maar is slechts een reclame onderin het programma venster om een wachtwoordbeheerder aan te schaffen.
Op de website van de ontwikkelaar zie je bedoelde reclame niet vandaar een Screenshot:
http://i.imgur.com/3UnhEAk.jpg
Hierdoor hoef ik maar 1 wachtwoord te onthouden.
https://www.securesafepro.com/pasgen.html
Geschikt voor W7 t/m 10
Ik gebruik dit progje (freeware) al een tijd. Het bevalt mij prima en het toont bij elk gegenereerd wachtwoord de hoogte van de entropie, ofwel wanorde.
(Hoe hoger de entropie/wanorde; hoe sterker het wachtwoord)
Het enige 'nadeel' qua layout heeft niets te maken met de functionaliteit maar is slechts een reclame onderin het programma venster om een wachtwoordbeheerder aan te schaffen.
Op de website van de ontwikkelaar zie je bedoelde reclame niet vandaar een Screenshot:
http://i.imgur.com/3UnhEAk.jpg
Ik snap niet dat mensen geld vragen voor zoiets simpels. Als je graag de reclame weg wilt is deze code wel handig: PASGENERATORUTZ (fairtrade, UTZ Certified)
Dit programma berekend de entropy ook verkeerd, waardoor een slechte wachtwoord dezelfde score krijgt.
Keepass heeft ook een functie om wachtwoorden te genereren.
Add-Type -Assembly System.Web
[Web.Security.Membership]::GeneratePassword(12,3)
Dit genereert een wachtwoord van 12 karakters, waarvan er 3 non-alfanumeriek zijn. :P
Hier op Security.nl ga jij een Serial Code Generator aanbevelen ??? ! !
Helemaal bont maak je het door te schermen of deze vanwege UTZ Certified, PASGENERATORUTZ dan veilig zou zijn?
(Zie: https://nl.wikipedia.org/wiki/UTZ_Certified ...en lach je krom)
Met het verbieden van veel gebruikte wachtwoorden voorkom je *niet* het gebruik van zwakke wachtwoorden. Overigens moeten zwakke wachtwoorden per definitie worden gewijzigd. Waarom kunnen gebruikers anno 2016 nog zwakke wachtwoorden kiezen.
Het is tijd dat IT-ers die systemen bouwen er zorg voor dragen dat dit niet kan, middels goede security controls. Zodat -eindeijk- het proberen om via awareness te voorkomen dat er zwakke wachtwoorden worden gebruikt, een issue uit het verleden is.
Indien gebruikers zwakke wachtwoorden kunnen gebruiken, dan laat dit immers vooral zien dat de architecten en/of beheerders van het systeem niet capabel zijn. Misschien moeten die zelf wat meer aan hun eigen ''awareness'' doen.....
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.