Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Symbolen in wachtwoorden taboe bij ING?
10-09-2016, 21:58 door [Account Verwijderd], 28 reacties
Vanavond mijn wachtwoord maar eens veranderd bij de ING bank. Ik gebruikte een behoorlijk lange (24 tekens) met symbolen, hoofd/kleine letters en leestekens.
Zo een wilde ik weer opnieuw maar die vlieger ging niet meer op. Blijkbaar accepteert ING nu alleen nog suffertjes wachtwoorden die in LINGO o.i.d. de troostprijs krijgen.
Zoals gebruikelijk is een emailadres van grote instellingen zoeken naar een speld in een hooiberg, en de ING is geen uitzondering. Vandaar dat morgen een brief ter post gaat met de volgende tekst:
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Geachte heer mevrouw,
Vriendelijk maar dringend wilde ik de aandacht vestigen op het feit dat ik mijn oude wachtwoord bestaande uit 24 zeer verscheidene taaltekens alleen nog kan 'verversen' met een sukkel wachtwoord; een wachtwoord dat misschien niet misstond in 1996 maar anno 2016 ècht niet meer door de beugel kan.
Waarom accepteert ING alleen nog cijfers en letters en geen leestekens en symbolen meer?
De Computerwereld staat bol van de berichten over Malware, Security breaches, hacken van databases met miljoenen wachtwoorden en de ING is uitermate reactionair en doet een misplaatste stap ver terug in de geschiedenis qua Security met hun wachtwoordbeleid.
Onverantwoordelijk!
Vriendelijk verzoek een inhoudelijk antwoord op de volgende vraag:
Wat denkt de ING op korte termijn te ondernemen om de huidige beperking van wachtwoordsamenstelling op te heffen en klanten weer de volledige vrijheid te bieden om zowel leestekens en symbolen te integreren in hun wachtwoorden?
Hoogachtend,
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Zodra ik een antwoord krijg breng ik security.nl hiervan op de hoogte.
Zo een wilde ik weer opnieuw maar die vlieger ging niet meer op. Blijkbaar accepteert ING nu alleen nog suffertjes wachtwoorden die in LINGO o.i.d. de troostprijs krijgen.
Zoals gebruikelijk is een emailadres van grote instellingen zoeken naar een speld in een hooiberg, en de ING is geen uitzondering. Vandaar dat morgen een brief ter post gaat met de volgende tekst:
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Geachte heer mevrouw,
Vriendelijk maar dringend wilde ik de aandacht vestigen op het feit dat ik mijn oude wachtwoord bestaande uit 24 zeer verscheidene taaltekens alleen nog kan 'verversen' met een sukkel wachtwoord; een wachtwoord dat misschien niet misstond in 1996 maar anno 2016 ècht niet meer door de beugel kan.
Waarom accepteert ING alleen nog cijfers en letters en geen leestekens en symbolen meer?
De Computerwereld staat bol van de berichten over Malware, Security breaches, hacken van databases met miljoenen wachtwoorden en de ING is uitermate reactionair en doet een misplaatste stap ver terug in de geschiedenis qua Security met hun wachtwoordbeleid.
Onverantwoordelijk!
Vriendelijk verzoek een inhoudelijk antwoord op de volgende vraag:
Wat denkt de ING op korte termijn te ondernemen om de huidige beperking van wachtwoordsamenstelling op te heffen en klanten weer de volledige vrijheid te bieden om zowel leestekens en symbolen te integreren in hun wachtwoorden?
Hoogachtend,
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Zodra ik een antwoord krijg breng ik security.nl hiervan op de hoogte.
Reacties (28)
De meeste wachtwoorden moeten minimaal 8 tot 14 of 16 tekens tot wel 28 tekens en letters (Hoofd-en of kleine letters) en cijfers bevatten. Vaak minimaal een symbool, een getal een hoofdletter en kleine letters.
Ik merk ook wel eens, dat sommige wachtwoorden langer moeten (bijv. DigiD-Code).
Soms staat er nog bij en dat snap ik niet helemaal: "Dit wachtwoord is hoofdlettergevoelig." Bedoelt men dan dat je hoofdletters weinig moet gebruiken of juist wel of helemaal niet..
Het is tijdrovend die wachtwoorden, Er wordt altijd gevraagd of je het wachtwoord wilt bewaren voor deze website. Ik zeg altijd nee, ik typ het steeds zelf opnieuw weer in.
Ondanks alle wachtwoorden, blijkt dit systeem nooit voor de volle 100 % te vertrouwen.
Ik merk ook wel eens, dat sommige wachtwoorden langer moeten (bijv. DigiD-Code).
Soms staat er nog bij en dat snap ik niet helemaal: "Dit wachtwoord is hoofdlettergevoelig." Bedoelt men dan dat je hoofdletters weinig moet gebruiken of juist wel of helemaal niet..
Het is tijdrovend die wachtwoorden, Er wordt altijd gevraagd of je het wachtwoord wilt bewaren voor deze website. Ik zeg altijd nee, ik typ het steeds zelf opnieuw weer in.
Ondanks alle wachtwoorden, blijkt dit systeem nooit voor de volle 100 % te vertrouwen.
ING heeft nog geen enkel karakter van mijn US internationale toetsenbord kan maken met en zonder de shift toetsen geweigerd. @#€_&-+()/*"':;!? Doen t prima.
Je brief ziet er goed uit, mooi formele stoere woorden, alleen je termen als "sukkel" maken het dan weer beetje minder sterk, dat zou ik weglaten, als je toch professioneel wil doen, doe het dan goed ;)
Anyway, mocht het zo zijn dat ze common tekens niet toestaan, is het goed dat aan de haak te stellen.
Je brief ziet er goed uit, mooi formele stoere woorden, alleen je termen als "sukkel" maken het dan weer beetje minder sterk, dat zou ik weglaten, als je toch professioneel wil doen, doe het dan goed ;)
Anyway, mocht het zo zijn dat ze common tekens niet toestaan, is het goed dat aan de haak te stellen.
Als de lengte voldoende is kun je prima uit de voeten met alleen cijfers en letters, de set van tekens met symbolen is maar zo'n tien tekens groter met symbolen. Met cijfers en letters kom je op ca 62 verschillende tekens, met symbolen er bij zo'n 70. Een wachtwoord van 24 tekens met symbolen is equivalent met een wachtwoord van 26 tekens zonder symbolen. Big deal.
Door Anoniem: ING heeft nog geen enkel karakter van mijn US internationale toetsenbord kan maken met en zonder de shift toetsen geweigerd. @#€_&-+()/*"':;!? Doen t prima.
Je brief ziet er goed uit, mooi formele stoere woorden, alleen je termen als "sukkel" maken het dan weer beetje minder sterk, dat zou ik weglaten, als je toch professioneel wil doen, doe het dan goed ;)
Anyway, mocht het zo zijn dat ze common tekens niet toestaan, is het goed dat aan de haak te stellen.
Je brief ziet er goed uit, mooi formele stoere woorden, alleen je termen als "sukkel" maken het dan weer beetje minder sterk, dat zou ik weglaten, als je toch professioneel wil doen, doe het dan goed ;)
Anyway, mocht het zo zijn dat ze common tekens niet toestaan, is het goed dat aan de haak te stellen.
@anoniem, Bedankt voor de melding! Inderdaad, 'Sukkel' gebruiken is zeker niet goed. Was een kwestie van copy/paste naar hier van een concept boze brief zonder hem nog te hebben gecontroleerd.
Het is vreemd wat je aangeeft.
Het verschil wordt niet gemaakt omdat jij een Mac keyboard gebruikt, tenminste daar ga ik van uit omdat je expliciet spreekt over US-international keyboard indeling (zichtbaar in het menu in MacOS)
Van de tekens die jij gebruikt kwamen er bij mij verschillende voor in mijn oude wachtwoord.
De laatste die ik nog probeerde bij het veranderen was het vraagteken, dat zelfs vrij algemeen in de schrijftaal wordt gebruikt.
Het werd niet geaccepteerd.
Ik ben geduldig met het precies uitvoeren van zaken, dus ik gaf het pas op toen ik tureluurs werd van het precies gebruiken van de shifttoets in combinatie met de karakters.
Het kan natuurlijk ook zijn dat ik bij de wachtwoordherhaling een fout maakte maar dat kan niet, ofwel lijkt me sterk want de melding 'invoer komt niet overeen' o.i.d. zag ik niet. Alleen telkens de melding dat het wachtwoord uit minimaal 10 karakters moet bestaan waarvan 1 cijfer, 1 hoofdletter en 1 kleine letter verplicht was.
https://www.security.nl/posting/434975/ING+wachtwoord
Zie anoniem 10:34
Zie anoniem 10:34
Er is geen enkele reden om voor het inloggen bij de ING zo'n lang password te gebruiken.
Een password bijv. bestaande uit 6 tekens en 3 cijfers is ruim voldoende, mits dat niet bestaat uit woorden die op jezelf (of je familie/huisdieren etc.) te betrekken zijn en dus makkelijk te raden zijn. Dus bijv iets als 83Spekko2 zou prima zijn.
Waarom? Omdat ING na 7 keer verkeerde inlog je toegang verspert en je per post een nieuw wachtwoord moet aanvragen!
De bovengenoemde combinatie (6 letters waarvan 1 hoofdletter + 3 cijfers) heeft ca 12 biljard (10 tot de macht 15) combinatiemogelijkheden. De kans dat je password in de eerste 7 pogingen geraden wordt is dan ca 1 op 1.7 biljard...
De kans dat je onder een auto komt is vele malen groter, zelfs de kans dat je de hoofdpijs van de staatsloterij wint is miljoenen malen groter (ca 1 op 4 miljoen)!
Natuurlijk kun je voor de zekerheid een langer password gebruiken, maar gebruik van een wachtwoord van 24 tekens met allerlei symbolen is (voor dit doel!) echt zwaar overdreven!
Een password bijv. bestaande uit 6 tekens en 3 cijfers is ruim voldoende, mits dat niet bestaat uit woorden die op jezelf (of je familie/huisdieren etc.) te betrekken zijn en dus makkelijk te raden zijn. Dus bijv iets als 83Spekko2 zou prima zijn.
Waarom? Omdat ING na 7 keer verkeerde inlog je toegang verspert en je per post een nieuw wachtwoord moet aanvragen!
De bovengenoemde combinatie (6 letters waarvan 1 hoofdletter + 3 cijfers) heeft ca 12 biljard (10 tot de macht 15) combinatiemogelijkheden. De kans dat je password in de eerste 7 pogingen geraden wordt is dan ca 1 op 1.7 biljard...
De kans dat je onder een auto komt is vele malen groter, zelfs de kans dat je de hoofdpijs van de staatsloterij wint is miljoenen malen groter (ca 1 op 4 miljoen)!
Natuurlijk kun je voor de zekerheid een langer password gebruiken, maar gebruik van een wachtwoord van 24 tekens met allerlei symbolen is (voor dit doel!) echt zwaar overdreven!
11-09-2016, 12:10 door
karma4
Door Anoniem: Als de lengte voldoende is kun je prima uit de voeten met alleen cijfers en letters, de set van tekens met symbolen is maar zo'n tien tekens groter met symbolen. Met cijfers en letters kom je op ca 62 verschillende tekens, met symbolen er bij zo'n 70. Een wachtwoord van 24 tekens met symbolen is equivalent met een wachtwoord van 26 tekens zonder symbolen. Big deal.
Alleen in de oude 7-bits ascii is dat zo. Je hebt bijna de base64 codering beschreven wat een hadigheidje is om binaire waardes in de genoemde algemene codes te krijgen.In utff8, een van de smaken van unicode, zijn de tekens 1-4 bytes met een reeks van ca 32k valide tekens. Het zijn de tekens die over de lijn gaan.
In de infrastructuur koppelingen wordt vaak gewerkt met een keten van systemen. Dmz webapplicatie servers van de grotere leveranciers. Deze werken vaak nog niet in unicode maar in een van de vele klassieke single-byte code pages. Voor de verwerkingen wordt ook nog een maximale lengte gebruikte zoals in de vele programmeertalen een max lengte voor een veld strict gedefinieerd moet zijn. (pas op en denk aan bufferoverflows)
Zie hier het mijnenveld voor de ICT omdat uiteindelijk vriendelijk naar buiten te krijgen. Het is dan makkelijker en goedkoper om met specifieke beperkingen te gaan werken. Dat het met 'en "goed gaat geeft aan dat er aandacht aan gespendeerd is, hoe zit het met < en > en met (owasp)?
Door Aha:
Zoals gebruikelijk is een emailadres van grote instellingen zoeken naar een speld in een hooiberg, en de ING is geen uitzondering. Vandaar dat morgen een brief ter post gaat met de volgende tekst:
Zoals gebruikelijk is een emailadres van grote instellingen zoeken naar een speld in een hooiberg, en de ING is geen uitzondering. Vandaar dat morgen een brief ter post gaat met de volgende tekst:
Op https://www.ing.nl/de-ing/veilig-bankieren/fraude-melden/meldpunt-kwetsbaarheden/index.html staat toch vrij eenvoudig te vinden een e-mailadres ;)
Nu is het duidelijk wat er aan de hand is.
Even vooraf: Het wachtwoord moet je wijzigen in een pop-up venster.
Maar pas als je dat maximaliseert (daar dacht ik niet aan gisteravond) zie je dat er een door de ING geselecteerde hoeveelheid symbolen en leestekens beschikbaar is.
Zie: http://i.imgur.com/8iEWlY2.jpg
Wel héél erg toevallig voldeed mijn oude wachtwoord aan die eisen: QeB#06KkAbT$four%-0P7yZ5
Ehh...het is niet meer in gebruik dus ;)
Maar bij het vernieuwen stond het vraagteken, als laatste poging van mij, ook niet in de ING lijst.
Toch blijf ik vinden dat je de volledige vrijheid moet hebben om de moeilijkheidsgraad van een wachtwoord te bepalen, dus die brief gaat in gewijzigde vorm zodadelijk toch op de post. De motivatie is bovendien dat ik me niet kan herinneren deze restricties elders te zijn tegengekomen de afgelopen 5 jaar.
Voorbeelden van geen beperkingen:
Amazon
DigiD
Gmail
Even vooraf: Het wachtwoord moet je wijzigen in een pop-up venster.
Maar pas als je dat maximaliseert (daar dacht ik niet aan gisteravond) zie je dat er een door de ING geselecteerde hoeveelheid symbolen en leestekens beschikbaar is.
Zie: http://i.imgur.com/8iEWlY2.jpg
Wel héél erg toevallig voldeed mijn oude wachtwoord aan die eisen: QeB#06KkAbT$four%-0P7yZ5
Ehh...het is niet meer in gebruik dus ;)
Maar bij het vernieuwen stond het vraagteken, als laatste poging van mij, ook niet in de ING lijst.
Toch blijf ik vinden dat je de volledige vrijheid moet hebben om de moeilijkheidsgraad van een wachtwoord te bepalen, dus die brief gaat in gewijzigde vorm zodadelijk toch op de post. De motivatie is bovendien dat ik me niet kan herinneren deze restricties elders te zijn tegengekomen de afgelopen 5 jaar.
Voorbeelden van geen beperkingen:
Amazon
DigiD
Gmail
Hoe kan het dat je bij ING vroeger een wachtwoord van 24 karakters had terwijl er maar 20 karakters zijn toegestaan?????
Voor zover ik weet is bij ING (NL) het maximum altijd al 20 karakters geweest.
Of is het misschien het allereerste wachtwoord dat je van ING hebt gekregen?
Voor zover ik weet is bij ING (NL) het maximum altijd al 20 karakters geweest.
Of is het misschien het allereerste wachtwoord dat je van ING hebt gekregen?
Door Anoniem:
Op https://www.ing.nl/de-ing/veilig-bankieren/fraude-melden/meldpunt-kwetsbaarheden/index.html staat toch vrij eenvoudig te vinden een e-mailadres ;)
Door Aha:
Zoals gebruikelijk is een emailadres van grote instellingen zoeken naar een speld in een hooiberg, en de ING is geen uitzondering. Vandaar dat morgen een brief ter post gaat met de volgende tekst:
Zoals gebruikelijk is een emailadres van grote instellingen zoeken naar een speld in een hooiberg, en de ING is geen uitzondering. Vandaar dat morgen een brief ter post gaat met de volgende tekst:
Op https://www.ing.nl/de-ing/veilig-bankieren/fraude-melden/meldpunt-kwetsbaarheden/index.html staat toch vrij eenvoudig te vinden een e-mailadres ;)
Dank voor de tip! Echter dat ik onder de noemer fraude melden moest zoeken... aan die - volgens de ING - 'overeenkomstigheid' heb ik echt niet gedacht.
11-09-2016, 17:13 door
Rolfwil
Ik snap je punt, maar welke simpele ziel die een ww van 24 tekens gebruikt wil daar ook nog speciale tekens in gebruiken? De kans op een fout tijdens het invoeren is zo wel erg groot (los van het onthouden, maar ik ga er even vanuit dat je een goed geheugen hebt) en zoals hierboven wordt aangegeven, ben je na een aantal keer fout invoeren de klos.
Wachtwoorden met zoveel tekens gebruik je doorgaans voor wachtwoorden die je af en toe wijzigt, bijvoorbeeld pre shared keys op een ipsec tunnel.
Dan het niet accepteren komt denk ik door enkele karakters, zoals het dollarteken of procenteken. Hier heb ik vroeger wel eens een issue mee gehad op Cisco apparatuur.
Grt. Ralph
Wachtwoorden met zoveel tekens gebruik je doorgaans voor wachtwoorden die je af en toe wijzigt, bijvoorbeeld pre shared keys op een ipsec tunnel.
Dan het niet accepteren komt denk ik door enkele karakters, zoals het dollarteken of procenteken. Hier heb ik vroeger wel eens een issue mee gehad op Cisco apparatuur.
Grt. Ralph
'Sukkel' is perfect, in de gegeven context, of het een concept is of niet.
Prima initiatief, wacht op vervolg.
Prima initiatief, wacht op vervolg.
Door Ralphwil: Ik snap je punt, maar welke simpele ziel die een ww van 24 tekens gebruikt wil daar ook nog speciale tekens in gebruiken? De kans op een fout tijdens het invoeren is zo wel erg groot (los van het onthouden, maar ik ga er even vanuit dat je een goed geheugen hebt) en zoals hierboven wordt aangegeven, ben je na een aantal keer fout invoeren de klos.
Wachtwoorden met zoveel tekens gebruik je doorgaans voor wachtwoorden die je af en toe wijzigt, bijvoorbeeld pre shared keys op een ipsec tunnel.
Dan het niet accepteren komt denk ik door enkele karakters, zoals het dollarteken of procenteken. Hier heb ik vroeger wel eens een issue mee gehad op Cisco apparatuur.
Grt. Ralph
Wachtwoorden met zoveel tekens gebruik je doorgaans voor wachtwoorden die je af en toe wijzigt, bijvoorbeeld pre shared keys op een ipsec tunnel.
Dan het niet accepteren komt denk ik door enkele karakters, zoals het dollarteken of procenteken. Hier heb ik vroeger wel eens een issue mee gehad op Cisco apparatuur.
Grt. Ralph
Neen onthouden kan ik ze niet. Ik typ ze altijd over van een lijst. Dat vind ik behoorlijk lastig maar ja voor veiligheid moet je iets over hebben. Passwordmanagers vertrouw ik dus niet (zijn ook weer digitaal)
Bij de ING bank accepteren ze de tekens $ en % nu juist weer wel.
(zie de imgur link van mij hierboven)
Het wachtwoord dat ik hierboven schreef was nog aktueel, hoewel niet van de ING.
Het heeft hier wel zo'n 5 uur gestaan....
Ik vermoed nu dus ook een extra reden waarom het veranderen gisteravond niet meteen vlotte. Zo'n en-en situatie: Typefouten en de wachtwoorden door elkaar halen en herhalen.
Ik heb er letterlijk koppijn van ;)
Het heeft hier wel zo'n 5 uur gestaan....
Ik vermoed nu dus ook een extra reden waarom het veranderen gisteravond niet meteen vlotte. Zo'n en-en situatie: Typefouten en de wachtwoorden door elkaar halen en herhalen.
Ik heb er letterlijk koppijn van ;)
11-09-2016, 21:22 door
karma4
Door Aha: Het wachtwoord dat ik hierboven schreef was nog aktueel, hoewel niet van de ING.
....
Ik heb er letterlijk koppijn van ;)
Begrijpelijk, zoiets overkomt velen. Maarre....
Ik heb er letterlijk koppijn van ;)
Met zo'n password en uniek per site zouden moeten afstappen van dat snelle verplichtte veranderen omdat men bang is dat gebruikers zwakke passwords kiezen die makkelijk in te tikken makkelijk te hacken zijn.
Door Anoniem: Hoe kan het dat je bij ING vroeger een wachtwoord van 24 karakters had terwijl er maar 20 karakters zijn toegestaan?????
Voor zover ik weet is bij ING (NL) het maximum altijd al 20 karakters geweest...(knip)
Voor zover ik weet is bij ING (NL) het maximum altijd al 20 karakters geweest...(knip)
Klopt helemaal.
24 karakters had het ING wachtwoord ook niet. Het waren er 'maar' 19.
Ik heb zoals ik hierboven om 20:13 uur al omschreef behoorlijk zitten stuntelen gisteravond!
Ik heb mijn lesje wel geleerd nu:
1) niet 's-avonds hiermee aan de slag als je moe bent.
2) zo idioot lang maak ik ze niet meer. 16 karakters wordt meestal als voldoende sterk aangegeven en daar laat ik het bij.
3) volgende correctieronde: aantal symbolen en leestekens beperken. Blijft staan dat de ING niet moet gaan voorschrijven welke niet- of wèl zijn toegestaan en feitelijk vind ik die maximum lengte ook paternalistisch gedram. Als de klant het 'aankan', wat is er dan mis mee?
4) Niet te lang doorgaan met het corrigeren met een potlood. De lijst off-line herschrijven (staat op een extern medium) en een frisse lijst uitprinten.
Enfin, laatste puntje is persoonlijk.
Volgens mij heeft Spiff er al een redelijke fulminatie in het verleden er tegen aan gesmeten.
Uit mijn hoofd:
1: Gebruikersnaamnaam niet hoofd/kleine-letter gevoelig.
2: Wachtwoord maximaal 20 tekens.
3: Wachtwoord word opgeslagen.
Uit mijn hoofd:
1: Gebruikersnaamnaam niet hoofd/kleine-letter gevoelig.
2: Wachtwoord maximaal 20 tekens.
3: Wachtwoord word opgeslagen.
Door karma4:
In utff8, een van de smaken van unicode, zijn de tekens 1-4 bytes met een reeks van ca 32k valide tekens. Het zijn de tekens die over de lijn gaan.
Door Anoniem: Als de lengte voldoende is kun je prima uit de voeten met alleen cijfers en letters, de set van tekens met symbolen is maar zo'n tien tekens groter met symbolen. Met cijfers en letters kom je op ca 62 verschillende tekens, met symbolen er bij zo'n 70. Een wachtwoord van 24 tekens met symbolen is equivalent met een wachtwoord van 26 tekens zonder symbolen. Big deal.
Alleen in de oude 7-bits ascii is dat zo. Je hebt bijna de base64 codering beschreven wat een hadigheidje is om binaire waardes in de genoemde algemene codes te krijgen.In utff8, een van de smaken van unicode, zijn de tekens 1-4 bytes met een reeks van ca 32k valide tekens. Het zijn de tekens die over de lijn gaan.
De opmerking was vooraal geplaatst om de reactie van TS te nuanceren door aan te geven hoe weinig nodig is om te compenseren voor de reductie in mogelijkeheden per karacter van de originele invoerset met, naar die zonder symbolen.
Voor UTF-8 heb je meer nodig dan de originele specificatie van cijfers, letters en symbolen waar de topic-starter het over had. Uit zijn posting maakte ik niet op dat de gehele set nodig voor UTF-8 origineel ondersteund werd (slechts symbolen zijn vervallen).
Ik heb overigens nog geen wachtwoord-invoervelden gezien waar je UTF-8 kunt gebruiken, maar ik heb dat ook nooit echt geprobeerd i.v.m. te verwachten problemen, de standaard set is zo'n beetje in alle 'codepages' hetzelfde. Het is misschien een interresante test, ooit.
12-09-2016, 19:07 door
karma4
Anoniem 18:37 ja password systemen zijn vaak al jaren oud. Het is ooit verzonnen in beton gegoten. Heilig verklaard want we hebben het altijd zo gedaan.
Een verbeteringsvoorstel:
Gebruik een gangbare hash bv md5 van het oorspronkelijke welke over de lijn gaat. De hash is nog steeds voorspelbaar (One way) vanuit de input maar heeft verder geen bijzondere beperkingen. Hoe lang de invoer is of wat het is maakt niets meer uit.
Nee zoiets lukt niet met een 3270 buis maar wie gebruikt dat nog. We hebben inmiddels overal slimme devices. De architect zou wat minder verslaafd moeten zijn aan pi's dan wel zinvolle verbeteringen uitwerken.
Een verbeteringsvoorstel:
Gebruik een gangbare hash bv md5 van het oorspronkelijke welke over de lijn gaat. De hash is nog steeds voorspelbaar (One way) vanuit de input maar heeft verder geen bijzondere beperkingen. Hoe lang de invoer is of wat het is maakt niets meer uit.
Nee zoiets lukt niet met een 3270 buis maar wie gebruikt dat nog. We hebben inmiddels overal slimme devices. De architect zou wat minder verslaafd moeten zijn aan pi's dan wel zinvolle verbeteringen uitwerken.
Voor enkele van de reacties: De landsinstelling van je keyboard is een OS dingetje. En US/International keyboard is in ieder OS ondersteund.
Nadat je je karakters (letters, nummers, symbolen) hebt ingetikt, zijn het ASCII symbolen. Het maakt dus niets uit of je ze met CTRL, SHIFT, APPLE key of Windows key hebt ingetikt. Wederom een OS dingetje. Het zal hier eerder te maken hebben met een UTF8 of UTF16 inrichting.
In het algemeen zijn banken ingericht om "brute force login" te detecteren. Dus zelfs als je een wachtwoord hebt met 5 karakters moet het wel een hele grote lucky shot zijn om dit te omzeilen. Immers zal je eerder het "teveel inlogpogingen" alarm raken.
In het andere geval hebben de criminelen een file te pakken met daarin vele duizenden user/password combinaties. Deze zijn meestal ook nog versleuteld met een hash algoritme. Dan komt het neer op rekenwerk van het systeem dat de decriptie doet. Het maakt dan niet zoveel uit of je een wachtwoord hebt met 20 of met 30 karakters. Immers zullen er vele zwakkere combo's zijn en het is alleen zaak om maar genoeg van deze te decoderen om de hash te kraken. Daarna is het gewoon even decoderen.
Belangrijk is om een wachtwoord regelmatig te verversen. En niet hetzelfde wachtwoord overal te gebruiken.
Nadat je je karakters (letters, nummers, symbolen) hebt ingetikt, zijn het ASCII symbolen. Het maakt dus niets uit of je ze met CTRL, SHIFT, APPLE key of Windows key hebt ingetikt. Wederom een OS dingetje. Het zal hier eerder te maken hebben met een UTF8 of UTF16 inrichting.
In het algemeen zijn banken ingericht om "brute force login" te detecteren. Dus zelfs als je een wachtwoord hebt met 5 karakters moet het wel een hele grote lucky shot zijn om dit te omzeilen. Immers zal je eerder het "teveel inlogpogingen" alarm raken.
In het andere geval hebben de criminelen een file te pakken met daarin vele duizenden user/password combinaties. Deze zijn meestal ook nog versleuteld met een hash algoritme. Dan komt het neer op rekenwerk van het systeem dat de decriptie doet. Het maakt dan niet zoveel uit of je een wachtwoord hebt met 20 of met 30 karakters. Immers zullen er vele zwakkere combo's zijn en het is alleen zaak om maar genoeg van deze te decoderen om de hash te kraken. Daarna is het gewoon even decoderen.
Belangrijk is om een wachtwoord regelmatig te verversen. En niet hetzelfde wachtwoord overal te gebruiken.
Bij de ING heb je ook nog eens zoiets als een (zelf te kiezenof te wijzigen) inlognaam. Wanneer je zorgt dat die géén betrekking heeft op je eigen omgeving, dan wordt dat in combinatie met een 'redelijk' password al helemaal onmogelijk te kraken in 7 pogingen!
18-09-2016, 08:39 door
doom71
4) Niet te lang doorgaan met het corrigeren met een potlood. De lijst off-line herschrijven (staat op een extern medium) en een frisse lijst uitprinten.
Enfin, laatste puntje is persoonlijk.
Enfin, laatste puntje is persoonlijk.
Hier snap ik nou niets van. Je maakt je druk om de complexiteit van de wachtwoorden en vervolgens ga je deze uitprinten?
Door doom71:
Hier snap ik nou niets van. Je maakt je druk om de complexiteit van de wachtwoorden en vervolgens ga je deze uitprinten?
4) Niet te lang doorgaan met het corrigeren met een potlood. De lijst off-line herschrijven (staat op een extern medium) en een frisse lijst uitprinten.
Enfin, laatste puntje is persoonlijk.
Enfin, laatste puntje is persoonlijk.
Hier snap ik nou niets van. Je maakt je druk om de complexiteit van de wachtwoorden en vervolgens ga je deze uitprinten?
Waarschijnlijk snap je er niets van omdat ik niet zoals hele volksstammen gebruik maakt van een wachtwoordmanager, want ik werk niet met portable devices.
Die dingen boeiden me al niet nog voor dat het noodzakelijk werd bij eventueel gebruik daarvan een bril +20 nodig te hebben.
Verder: Deze site staat dagelijks vol met breeches. Dat men met kennis daarvan toch uiterst gevoelige informatie (hoeveel wachtwoorden gebruik jij? Ik heb er momenteel 64) op een medium opslaat of in de cloud, efficiënt verbonden, bij voorkeur ook nog draadloos (meer vulnerability's) met the whole wide www.malware.all... doe maar, ik zie daar vanaf.
Anders gesteld: het is al beroerd genoeg dat er hier vrij regelmatig berichten staan over soms zelfs miljoenen wachtwoorden die bij één site gestolen zijn. Dat vind ik al polonaise genoeg.
p.s. volgens mij moet de postkamer van de ING uit de mottenballen worden gehaald. Nog geen reactie ;)
18-09-2016, 11:09 door
Briolet
Door Anoniem: Ik heb overigens nog geen wachtwoord-invoervelden gezien waar je UTF-8 kunt gebruiken, maar ik heb dat ook nooit echt geprobeerd i.v.m. te verwachten problemen, de standaard set is zo'n beetje in alle 'codepages' hetzelfde. Het is misschien een interresante test, ooit.
De Synology nas ondersteunt Unicode tekens bij het inloggen (Dus ook UTF-8). Heel leuk om grafische unicode tekens in je wachtwoord te verwerken. -:)
De wachtwoord manager op de mac ondersteunt dit ook, wat het gebruik enigszins vergemakkelijkt. Met de hand intikken is natuurlijk wel behoorlijk omslagtig.
Ik kan me voorstellen dat Chinezen, of andere taalgebieden die veel met unicode tekens werken, dit wel zullen waarderen.
https://www.security.nl/posting/484761/Symbolen+in+wachtwoorden+taboe+bij+ING%3F
Saai onderwerp dit.
Had allang gelocked moeten worden.
Alle voorgaande vragen en discussies zijn ook hier al eens uitgebreid beantwoord:
https://www.security.nl/posting/434975/ING+wachtwoord
Er is dus niets mis met de wachtwoordeisen van ING internetbankieren.
Anders hadden ze immers bij ING allang zelf ingegrepen.
Maar je zult altijd mensen blijven houden voor wie het nooit genoeg is...
Door Anoniem:
Saai onderwerp dit.
Had allang gelocked moeten worden.
Alle voorgaande vragen en discussies zijn ook hier al eens uitgebreid beantwoord:
https://www.security.nl/posting/434975/ING+wachtwoord
Er is dus niets mis met de wachtwoordeisen van ING internetbankieren.
Anders hadden ze immers bij ING allang zelf ingegrepen.
Maar je zult altijd mensen blijven houden voor wie het nooit genoeg is...
https://www.security.nl/posting/484761/Symbolen+in+wachtwoorden+taboe+bij+ING%3F
Saai onderwerp dit.
Had allang gelocked moeten worden.
Alle voorgaande vragen en discussies zijn ook hier al eens uitgebreid beantwoord:
https://www.security.nl/posting/434975/ING+wachtwoord
Er is dus niets mis met de wachtwoordeisen van ING internetbankieren.
Anders hadden ze immers bij ING allang zelf ingegrepen.
Maar je zult altijd mensen blijven houden voor wie het nooit genoeg is...
Je geeft zelf dus al aan dat het niet voor jouw bedoeld is
...saai...
Security.nl berst letterlijk uit zijn voegen van onderwerpen die je zeker wèl aanspreken, dus... niemand houdt je tegen.Wat let je?
Door Aha:
Je geeft zelf dus al aan dat het niet voor jouw bedoeld is
Wat let je?
Let u even niet op mij, maar let u even op uzelf:Door Anoniem:
Saai onderwerp dit.
Had allang gelocked moeten worden.
Alle voorgaande vragen en discussies zijn ook hier al eens uitgebreid beantwoord:
https://www.security.nl/posting/434975/ING+wachtwoord
Er is dus niets mis met de wachtwoordeisen van ING internetbankieren.
Anders hadden ze immers bij ING allang zelf ingegrepen.
Maar je zult altijd mensen blijven houden voor wie het nooit genoeg is...
https://www.security.nl/posting/484761/Symbolen+in+wachtwoorden+taboe+bij+ING%3F
Saai onderwerp dit.
Had allang gelocked moeten worden.
Alle voorgaande vragen en discussies zijn ook hier al eens uitgebreid beantwoord:
https://www.security.nl/posting/434975/ING+wachtwoord
Er is dus niets mis met de wachtwoordeisen van ING internetbankieren.
Anders hadden ze immers bij ING allang zelf ingegrepen.
Maar je zult altijd mensen blijven houden voor wie het nooit genoeg is...
Je geeft zelf dus al aan dat het niet voor jouw bedoeld is
...saai...
Security.nl berst letterlijk uit zijn voegen van onderwerpen die je zeker wèl aanspreken, dus... niemand houdt je tegen.Wat let je?
Controleer eerst of er over jouw vraag of opmerking al een topic is aangemaakt. (huisregel van security.nl)
Dan voorkom je dat het saai wordt door veel herhalingen die al in het eerdere topic voldoende waren behandeld.
Schnaps?
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.