Ik denk dat het beter is om wachtwoorden uit te faseren en iets beters te gebruiken voor authenticatie.
Anders blijf je toch in dat welles/nietes spelletje hangen.

Het is net als met kinderen, die doen niet wat je zegt maar doen wat jij doet. Als een paar slecht gedrag vertonen zullen anderen dat gedrag kopiëren, slechts een enkeling zal het niet doen. Zet maar eens een achterdeur open van een bioscoop met een bordje verboden toegang maar geen beveiliging. Zodra er iemand naar binnen gaat zonder dat deze wordt aangesproken of verwijderd volgt de rest vanzelf. Kun je je horloge op gelijk zetten. Menselijk gedrag is redelijk voorspelbaar.

Ja, mensen kijken absoluut vaak naar anderen hoe die het doen.
Behalve naar de security specialist.

Mensen realiseren zich niet dat een onveilig wachtwoord 1000x goed kan gaan, maar op een dag gaat het fout.
Het grote probleem is dat onveilige wachtwoorden en handelingen meestal niet direct worden afgestraft met een hack.

De uitspraak is eenvoudig uit te breiden naar slechte configuraties en slechte opzet ofwel architectuur van wat uit de doos komt. Wees blij dat niet alles afgestraft wordt met een hack.

Het zonder licht rijden op de fiets wordt ook niet direct afgestraft met een ongeluk.

En wat is er voor beters dan, biometrisch? Laat me niet lachen

En daarom slaat de hele security wereld over het algemeen de plank mis omdat ze niet vanuit de belevingswereld van een gewone gebruiker denken. Neem nu wachtwoorden, beveiligers en ook IT'ers willen zo ingewikkeld mogelijke wachtwoorden die ook nog eens iedere 3 maanden moeten worden gewijzigd en die ook nog eens niet mogen lijken op de vorige tien wachtwoorden. Wat gaat de gebruiker vervolgens doen wanneer deze dergelijke wachtwoorden voor iedere applicatie moet onthouden? Iets wat de nachtmerrie van iedere beveiliger is en dat is de wachtwoorden op een geeltje in de portemonnee of onder het toetsenbord. En die beveiligers maar denken waarom de mensen dat toch doen, gek hé als je niet wilt luisteren naar gebruikers of ze niet bij keuzen betrekt. Hoe serieus wil je genomen worden als beveiliger? Ik durf te stellen dat de grootste risico factor in veel bedrijven de beveiligers en de IT'ers zelf zijn omdat ze wel kijken en horen maar niet zien en luisteren.

Helaas houdt ze geen rekening met een op deze site permanent geïllustreerde andere 'social proof' uitkomst.

(zelfbenoemde) it-experts zijn in meerderheid pessimisten!

Tenminste, als je uitgaat van de reacties op deze site en de gemiddelde reacties van veelposters.
Belangrijk want dat zijn de opiniebepalers,
vinden ze in ieder geval zelf!

Gaat dus niet werken, adviseren positief te doen en denken.
Niet onbelangrijk, je verdient er ook minder geld mee!
Altijd donker kijken, grote problemen schetsen en bang maken; dat verkoopt, brrood op de plank!

Zorg met de juiste security controls dat :

1) Zwakke wachtwoorden niet mogelijk zijn
2) Gestolen credentials lastig bruikbaar zijn (2 factor authenticatie)
3) Accounts lockout krijgen bij brute force pogingen

Toestaan dat mensen zwakke wachtwoorden kiezen, en dat met awareness proberen bij te schaven. Dat is zoooo 20e eeuws. Ik zou zeggen, shame on you, richting de architecten van systemen die zwakke wachtwoorden accepteren.

IT-beveiligers snappen dat je met enkel awareness niet ver komt, en dat het grootste deel van de verantwoording niet ligt bij de gebruiker, maar bij de architecten. En de beveiligers, die een security control framework moeten leveren, met de juiste controls, om zwakke wachtwoorden te voorkomen, en risico's van gestolen wachtwoorden te mitigeren.


Enkel dat advies ? Nee, dat is gebaseert op luiheid, en afschuiven van verantwoordelijjkheid.


Jij hebt zeker geen slot op je auto, of op je voordeur, omdat je niets hebt met pessimisten die je erop wijzen dat je zonder zo'n slot kans loopt op inbraak ? ;)

Een password manager installeren, met encrypted storage. Zodat ze nog maar 1 wachtwoord hoeven te onthouden ?


Vrij logisch vanuit het oogpunt van een goede beveiliging. Tenzij je de voorkeur geeft aan schijnveiligheid.

Door beveiligers en beveiliging af te kraken, nemen risico's inderdaad behoorlijk af (kuch). Of iemand ziet, en luistert, dat ligt verder geheel aan de persoon. Een IT beveiliger die *niet* meedenkt met de gebruikers/organisatie is overigens mijns inziens ongeschikt voor het vak. Je bent geen ''Dr No'' die alleen maar nee verkoopt zonder te denken in oplossingen en alternatieven.

2-factor authenticatie, met een one time password (of biometrie), als aanvulling ? IP restricties erbij op het account ? Natuurlijk is er van alles wat beter is dan alleen een password. Zodat gestolen credentials bijvoorbeeld waardeloos worden voor aanvallers.

Ik moet wel lachen wanneer mensen menen dat enkel een password de juiste oplossing is ?

Je slaat volkomen de plank mis. Het grote probleem is dat onveilige wachtwoorden worden toegestaan. Indirekt is daarbij het probleem incompetentie bij beheerders/architecten, die hierbij steken laten vallen. Waarom zou een gebruiker een zwak wachtwoord moeten kunnen kiezen ?

Overigens heeft een sterk wachtwoord ook geen meerwaarde, wanneer credentials bijvoorbeeld worden gestolen m.b.t. phishing of een keylogger i.p.v. een brute force/dictionary attack. Dus naast sterke wachtwoorden zijn aanvullende maatregelen nodig om te voorkomen dat accounts worden misbruikt.

Bij een ''veilig'' (kuch) wachtwoord niet anders, als dat de enige check is. Het is enkel ''veilig'' tegen bepaalde soorten aanvallen.

En daarom zet je een security control framework op, met maatregelen, om veilig gedrag technisch af te dwingen.

Om te beginnen klopt er een hoop aan de boodschap van dr. Barker, de mate waarin grote aantallen mensen ongevoelig zijn voor feiten of adviezen van mensen die deskudiger zijn dan zij zelf, maar in plaats daarvan vertrouwen op totaal ondoordachte en ondeskundige meningen van van bekenden, verbaast me al sinds ik een tiener was en tegenwoordig (50+) word ik nog steeds met enige regelmaat verrast door mensen die er nog een stuk verder in gaan dan ik tot dan toe voor mogelijk hield.

Wat me opvalt aan Barker's boodschap (of misschien aan de manier waarop de redactie hem heeft verwoord) is dat ze haar trucje om niet te zeggen dat iemand het fout doet maar te doen alsof de rest het goed doet niet zelf toepast: ze zegt dat we de boodschap fout brengen en doet niet alsof de meeste securitymensen dat goed doen. Dat zou natuurlijk ook een doorzichtige leugen zijn die tegen haar zou werken. Maar het stoort me omdat er generaliserend over "mensen" wordt gepraat en hoe die zouden reageren, alsof al die securitymensen, IT'ers en automatiseerders zelf geen mensen zijn. Ik vind dat altijd licht beledigend, net zoals ik rants over ontwikkelaars die niet snappen wat gebruikers willen beledigend vind omdat ontwikkelaars zelf intensieve gebruikers van computers en software zijn. Alsof die niet zouden weten wat voor hen zelf goed werkt. De categorie "gebruikers" is breder dan "gewone" gebruikers, en de categorie "mensen" is breder dan niet technisch georiënteerde mensen.

Het probleem is dat er (ook weer generaliserend) technisch georiënteerde niet technisch georiënteerde mensen bestaan die behoorlijk verschillende belevingswerelden hebben en daardoor moeilijk met elkaar communiceren. Ik weet sinds een paar jaar van mezelf dat ik autisme heb en sinds ik daar meer van afweet kan ik met gemak met terugwerkende kracht milde tot sterke autistische trekjes aanwijzen bij heel wat van de mensen met wie ik gedurende mijn loopbaan heb samengewerkt. En niet alleen binnen de IT, dat kom je bij meer technische beroepen tegen, en ook bij wetenschappers. Mij zou het niets verbazen als dit in hoge mate gaat over het communicatieprobleem tussen autisten en niet-autisten.

Autisme-deskundigen weten dat hoogfunctionerende autisten (de groep aan wie het niet direct opvalt) hun leven lang een immense inspanning leveren om te proberen iets van al die andere mensen te snappen ('wrong planet syndrome'). Wat belangrijk is: dat lukt niet echt, autisten leren ermee omgaan maar dat je met fundamenteel verschillende belevingswerelden te maken hebt gaat niet over, en dat blijft moeilijk. Hoe reëel is het dan (als de link die ik met autisme leg klopt) om te verwachten dat ze daar wel in gaan slagen?

Een slecht inlevingsvermogen in andere mensen wordt trouwens vaak als kenmerk van autisme genoemd. Ik heb met diverse andere autisten totaal geen probleem daarmee, en niet-autisten kunnen zich minstens zo slecht inleven in autisten. Het probleem is volgens mij geen gebrek aan inlevingsvermogen bij autisten, het probleem is een gebrek aan inlevingsvermogen van alle mensen in anderen met een wezenlijk andere belevingswereld. Vanuit dat perspectief is het overbruggen van de kloof iets waar beide kanten zich voor zouden mogen inspannen.

We moeten er geen wonderen van verwachten, dit blijft aanmodderen. Iedereen die met dit soort verschillen te maken krijgt zou er goed aan doen te beseffen dat mensen soms meer van elkaar verschillen dan je je nog goed kan voorstellen. Opmerkingen als "het is net als met kinderen", ergens hierboven gemaakt, zijn denigrerend, en je ontkent ermee dat die andere mensen weer talenten hebben die er ook toe doen (als dat niet zo was had de evolutie er wel korte metten mee gemaakt). En als die andere mensen kankeren dat nerds niks van de behoeftes van mensen snappen slaan ze het inzicht over dat de hele context waarin ze die opmerking plaatsen niet eens had bestaan zonder nerds, per saldo is hun bijdrage aan de mensheid fantastisch.

Om hier enigzins uit te komen moet je over en weer erkennen dat er grote verschillen zijn en van beide kanten bereid zijn om te proberen die te overbruggen. En je moet niet verwachten dat je erin slaagt om altijd iets op te leveren dat voor iedereen perfect is en genoegen nemen met het ongemak dat dat oplevert.

waarom is een PIN code van 4 cijfers voldoende om je betalingen mee te doen maar is een wachtwoord van 7 tekens niet voldoende voor een website ?

Een wachtwoord van 750 tekens is ook onvoldoende, als het wachtwoord wordt onderschept met phishing, of met keyloggers.

Overigens is je bankpas, met pincode een goed voorbeeld van multi factor authenticatie. Zonder de bankpas heb je niets aan een pincode. Met credentials voor een website (zonder 2-factor authenticatie) ligt dat toch wat anders.

Inderdaad niet over slechte gekozen wachtwoorden beginnen, want het werkt toch tegen je in het algemeen.
Hielp altijd mijn familie en vrienden, maar je krijgt altijd gezeik achteraf.
Opmerkingen van vooral digibeten die je uitgelegd hebt waar de gevaren in slechte security zit (vaak achter je rug om).
Ik zou in email snuffelen.
Privacy schenden
Of gewoon je sociaal buitensluiten omdat je ze in het verleden belangeloos geholpen hebt.
Als je iemand wilt helpen dan vertel ze dat ze zelf hun wachtwoorden in moeten voeren en dat je die niet mag weten.
Vooral bij familie is dat belangrijk, en doe die instructies via de email desnoods, dan is dat bewijs voor later als ze zitten te zeiken.

Ik heb betere ervaring met het mensen helpen/ vertellen dat hun wachtwoord slecht is, wannneer het GEEN FAMILIE betreft.
Die mensen zijn eerder geneigd om jouw mening te waarderen, en ook te implementeren.
Zelfs jaren na data meestal geen gezeik.
Dus geen Familie over wachtwoorden onderwijzen, maar alleen vrienden of onbekenden is het credo.

Een pinpas wordt na enkele foute pincodes (ik meen drie) geblokkeerd. Dat maakt de kans dat een aanvaller de pincode per ongeluk goed raadt klein. Niet nul, maar klein.

Een denial-of-service-aanval, het bewust blokkeren van een pinpas of een account op een website, lukt bij een pinpas alleen als je hem in je bezit hebt. Bij een website kan iedereen die een accountnaam kent die account blokkeren als dat net zo makkelijk gaat als bij pinpassen, en bij websites waar accountnamen makkelijk te achterhalen zijn kan een beetje scriptkiddie zelfs grootschalig accounts blokkeren. Dat wil je bij websites niet hebben, en als je dezelfde snelle blokkering niet toe kan passen dan zijn vier cijfers te weinig en heb je langere wachtwoorden nodig.