image

Onderzoek: Grote sites accepteren wachtwoord van 6 karakters

dinsdag 6 februari 2018, 16:06 door Redactie, 20 reacties

Grote websites zoals Facebook, Amazon en LinkedIn accepteren wachtwoorden van slechts 6 karakters, maar dat hoeft niet per definitie een probleem te zijn, aldus beveiligingsonderzoeker Troy Hunt. Hij besloot te kijken wat de minimale lengte is die de populairste websites op internet vereisen.

Veel wachtwoordadviezen gaan namelijk over zaken als complexiteit of het regelmatig veranderen van wachtwoorden, maar een minimale vereiste wachtwoordlengte wordt niet genoemd, merkt Hunt op. Voor zijn onderzoek bekeek hij vijftien grote websites. Negen bleken een wachtwoord van minimaal 6 karakters toe te staan. Netflix en Wikipedia accepteren zelfs wachtwoorden met een minimale lengte van respectievelijk 4 karakters en 1 karakter.

Toch kan aan de hand van alleen de wachtwoordlengte niet worden gesteld dat dit te weinig is. Sommige websites maken namelijk gebruik van "intelligente authenticatie". Zo wordt er bijvoorbeeld gekeken naar het ip-adres waarvandaan de gebruiker probeert in te loggen. Gebruikers van Tor Browser moeten op sommige websites bijvoorbeeld eerst een captcha oplossen voordat ze kunnen inloggen. Ook komt het voor dat wanneer websites een nieuwe browser zien er extra verificatie is vereist, zoals het bevestigen van een e-maillink.

"Je kunt dan ook niet alleen naar de minimale lengte kijken en zeggen dat 6 of zelfs 4 karakters veel te weinig is, omdat authenticatie veel intelligenter kan zijn dan het vergelijken van een gebruikersnaam en wachtwoord. Dat wil niet zeggen dat die mooie ronde, even getallen altijd correct zijn. Er zijn genoeg websites die geen enkele intelligentie toepassen behalve het vergelijken van twee strings", aldus Hunt. Onlangs uitte de Consumentenbond nog kritiek op het wachtwoordbeleid van populaire websites.

Image

Reacties (20)
06-02-2018, 16:15 door Anoniem
Bij bijna al deze diensten kan je nu ook aanvullend Google Authenticator, of andere diensten, gebruiken voor een one-time password. Grappig hoe mensen zich blind blijven staren op password complexity. Dit moet, door aanvullende maatregelen, steeds minder relevant worden. En met een keylogger is password complexity toch al relevant.
06-02-2018, 17:05 door Anoniem
Door Anoniem: Bij bijna al deze diensten kan je nu ook aanvullend Google Authenticator, of andere diensten, gebruiken voor een one-time password. Grappig hoe mensen zich blind blijven staren op password complexity. Dit moet, door aanvullende maatregelen, steeds minder relevant worden. En met een keylogger is password complexity toch al relevant.

Welja, duw mensen nog meer Google door de strot zodat Google je nóg beter kan profileren.
06-02-2018, 17:39 door Anoniem
Gebruikers van Tor Browser moeten op sommige websites bijvoorbeeld eerst een captcha oplossen voordat ze kunnen inloggen.
Een capcha als extra inlogbeveiliging??? Is dit een grap?

Het moet niet gekker worden.
06-02-2018, 17:52 door Anoniem
Niks mis met een wachtwoord van 6 tekens, zolang de site het maar niet toestaat om duizenden wachtwoorden per
seconde te proberen en niet de gehashte wachtwoorden (met bekend hashing algorithme) lekt.
06-02-2018, 18:29 door karma4
Anoniem 16:15 je bedoelt passwords zijn niet zo relevant met gedegen multifactor controles.
06-02-2018, 18:32 door Briolet
Door Anoniem: En met een keylogger is password complexity toch al relevant.

Leg uit! Ik denk dar je het tegenovergestelde bedoelt.
06-02-2018, 18:41 door Anoniem
Gebruikers van Tor Browser moeten op sommige websites bijvoorbeeld eerst een captcha oplossen voordat ze kunnen inloggen.

Waarbij zowel google als cloudflare een onbesproken policy hanteren dat vanaf bepaalde ip adressen het captcha proces niet gestart kan worden omdat de benodigde captcha velden niet worden getoond (geen code of geen akkoord button na het pasten) of, ook een heel populaire het captcha proces een never-ending-one is; een nooit ophoudend proces van plaatjes klikken (vermoedelijk bedacht door een programmeur met sadistische inslag).

Wat de toegevoegde waarde van die captcha is ten opzichte van Torbrowsergebruikers is ook een rare omdat het suggereert misbruik tegen te gaan.
De vraag is alleen tegen welk misbruik? (VPN is snel, tor is te traag om duizenden pogingen per seconde of minuut uit te voeren en daarmee helemaal niet interessant!!)
De vraag is alleen kan je dat op andere manieren detecteren die fake gebruiker via Tornetwerk? (Ja!).

Nog steeds schermen meer en meer websites functies af, geen captcha maar een melding of gewoon blokkeren: welke Torbrowser kent de onnodige en bloedirritante standaard redirect van google niet naar haar blabla ipv4.dfkljkbewrfenzenz domein? Onnodig vijandig.

Meer voorbeelden
Google doet dit ook bijvoorbeeld bij omgekeerd zoeken op afbeeldingen en Tineye doet dat sinds kort nu ook.
Waarom? Nobody knows?

Voor de veiligheid?? Onzin!
Dit artikel laat maar weer zien hoe dubbelzinnig het security excuus wordt gebruikt.
Er is een stille oorlog tegen privacy gaande en ze wordt nog steeds erger en erger.
06-02-2018, 18:47 door Anoniem
Ik vind dat men minimaal 14 karakters moet opgeven tot 30.

Ik zou zelfs op de inlogpagina deze video embedden
https://www.youtube.com/watch?v=6n-ZoFW-d_I


Zo heeft iedereen een sterk en lang wachtwoord (wachtzin).

Scheelt een hoop geneuzel wat nou goed of fout is.


Kanttekening: voor een foto upload site of iets anders wat misschien niet sterk hoeft te worden beveiligd kan
ook worden volstaan met iets korters.

Ik dacht dat Hotmail of Gmail maar tot 14 karakters mag wat ik dan weer jammer vind, maar misschien is dat juist
extra gedaan voor veiligheidsdiensten en het eventueel kunnen kraken.
Maar ik weet het niet meer zeker omdat ik nu een tutanota account heb.
06-02-2018, 20:43 door karma4 - Bijgewerkt: 06-02-2018, 20:43
Door Anoniem: Ik vind dat men minimaal 14 karakters moet opgeven tot 30.
.......
Was getekend,
Mordoc
Preventer of all
06-02-2018, 20:44 door Anoniem
Door Anoniem:
Gebruikers van Tor Browser moeten op sommige websites bijvoorbeeld eerst een captcha oplossen voordat ze kunnen inloggen.

Waarbij zowel google als cloudflare een onbesproken policy hanteren dat vanaf bepaalde ip adressen het captcha proces niet gestart kan worden omdat de benodigde captcha velden niet worden getoond (geen code of geen akkoord button na het pasten) of, ook een heel populaire het captcha proces een never-ending-one is; een nooit ophoudend proces van plaatjes klikken (vermoedelijk bedacht door een programmeur met sadistische inslag).

Wat de toegevoegde waarde van die captcha is ten opzichte van Torbrowsergebruikers is ook een rare omdat het suggereert misbruik tegen te gaan.
De vraag is alleen tegen welk misbruik? (VPN is snel, tor is te traag om duizenden pogingen per seconde of minuut uit te voeren en daarmee helemaal niet interessant!!)
De vraag is alleen kan je dat op andere manieren detecteren die fake gebruiker via Tornetwerk? (Ja!).

Nog steeds schermen meer en meer websites functies af, geen captcha maar een melding of gewoon blokkeren: welke Torbrowser kent de onnodige en bloedirritante standaard redirect van google niet naar haar blabla ipv4.dfkljkbewrfenzenz domein? Onnodig vijandig.

Meer voorbeelden
Google doet dit ook bijvoorbeeld bij omgekeerd zoeken op afbeeldingen en Tineye doet dat sinds kort nu ook.
Waarom? Nobody knows?

Voor de veiligheid?? Onzin!

Ja volgens mij ook niet of nauwelijks voor de veiligheid, maar men wil ermee bereiken om "robots" tegen te houden, en waarschijnlijk heeft Torverkeer eigenschappen van een robot en wordt daarom als "mogelijke robot" behandeld.
Daar zit dan volgens mij ook het enige punt van veiligheid: je houdt de schadelijke bots tegen met die capcha's.
Ik krijg het idee dat klanten mogen kiezen hoeveel capcha's er moeten worden getoond (of helemaal afsluiten voor Tor).
Iets anders is dat je browser nadat je "binnen" bent onmiddelijk een script krijgt met de opdracht opnieuw een netwerkverbinding te maken, bijv. naar een ander land of gewoon een bepaalde webpagina. Maar als Torbrowser die nieuwe netwerkverbinding gaat maken, gebeurt weer hetzelfde: weer die capcha. Dit gaat dan eindeloos door. Jammer, (voor hun dan), want commerciële websites verliezen er wel potentiële klanten mee omdat ze hun produkten en prijzen dan immers niet kunnen zien.
06-02-2018, 21:36 door Anoniem
Door Anoniem

Voor de veiligheid?? Onzin!
Dit artikel laat maar weer zien hoe dubbelzinnig het security excuus wordt gebruikt.
Er is een stille oorlog tegen privacy gaande en ze wordt nog steeds erger en erger.

Je haalt privacy en anonimiteit door elkaar, niet erg kan de beste overkomen. Er is een stille oorlog aan de gang tegen anonimiteit, dat is wel waar. Tegelijkertijd wordt het ons, als gebruikers, steeds lastiger gemaakt om onze privacy te waarborgen door trackers., metadata etc.. Ik hoef niet perse anoniem te zijn maar ik wil niet dat ik wordt gevolgd als ik op een gayporno site aan het kijken ben. Dat is privé en dat gaat helemaal niemand iets aan, daarvoor surf ik dus via een VPN want deze garandeert me dat er niets naar mijn ip is terug te leiden. Dat ik niet geheel anoniem ben lijkt me duidelijk, hoewel dat ook afhangt hoe er voor de VPN betaald is. Als dat via een prepaid debetcard of een giftcard is gedaan wordt het al wat lastiger om de werkelijke gebruiker te achterhalen. Niets is onmogelijk maar lastig is het wel, zeker als de vpn provider de ip adressen niet logt waarmee connecties wordt gemaakt.
TOR gaat uit van het anonimiseren van het internet verkeer, en daar zijn velen mee bezig omdat onmogelijk te maken omdat anoniem iets heel erg crimineel schijnt te zijn in de ogen van onwetenden en overheids charlatans.
Dus ja, het wordt steeds moeilijker gemaakt om anoniem te kunnen surfen maar dat betekend niet dat dit een oorlog tegen privacy is want privacy heb je grotendeels nog steeds zelf in eigen hand. Dat is in veel gevallen een kwestie van keuzes maken of je wel of niet aan zaken als social media wil mee doen op je eigen naam of niet.
06-02-2018, 21:50 door Anoniem
Door Anoniem:
Gebruikers van Tor Browser moeten op sommige websites bijvoorbeeld eerst een captcha oplossen voordat ze kunnen inloggen.
Een capcha als extra inlogbeveiliging??? Is dit een grap?

Het moet niet gekker worden.

Zo gek is dat niet hoor. Je voorkomt daar geautomatiseerde brute-force aanvallen mee (mist de captcha complex genoeg is).
07-02-2018, 00:00 door Anoniem
@ anoniem van 18:41

Helemaal 100% met je eens waar je zegt dat er een stille oorlog tegen de laatste restjes privacy gaande is.

Kijk eens met een extensie als Tracker SSL - nog veel te veel websites met https die dit laten zien:
"100% of the trackers on this site could be protecting you from NSA snooping. Tell bladibla dot com to fix it".
en dan volgt een specificatie van onveilige trackers.

Ook goed om een site eens door https://privacyscore.org/ te laten scannen,
voortgekomen uit een mooi beta projectje van de Duitse universiteiten, o.a. van de Uni van Hamburg
Nou er zit nog genoeg goed mis.

Naarmate de monocultuur groter wordt zoals bij de grootste tech corp monopolisten zoals Google, facebook etc
en de meeste grote browsers dezelfde developer's code kennen voor extensie en api engine bij voorbeeld,
dan kunnen we onze lol nog op.

Heel snel kunnen we Amerikanen hier in EU gaan nazeggen "Your privacy is a non-exsisting thing on the Interwebs".

Ik kan er nog steeds maar niet aan wennen en wil dat ook niet. Maar ja wie ben ik en wie zijn wij hier.

luntrus
07-02-2018, 07:16 door Anoniem
En je komt nog steeds maximale wachtwoordlengtes tegen. Zoals een nieuwe medewerkers interface bij ons op het werk, maximaal 8 karakters.

Maar goed, het is niet alsof urenregistraties en planningen iets belangrijks zijn.
07-02-2018, 08:52 door Anoniem
Welja, duw mensen nog meer Google door de strot zodat Google je nóg beter kan profileren.

Google Authenticator draait lokaal op je mobiel, en je genereert er verder geen informatie mee welke Google kan gebruiken om je te profileren. Verder vind ik iedere vorm van 2-factor authentication best, noemde het slechts als voorbeeld (vooral handig voor 'gratis' diensten, omdat je geen hardware token nodig hebt ofzo, zoals je vaak in bedrijfsomgevingen hebt. kost wat minder).
07-02-2018, 10:44 door Anoniem
"wachtwoord" is een ruim begrip bij de vijfcijferige identificatiecode van ABN Amro bank... Wanneer 6 karakters al slecht is, wat zijn 5 cijfers dan? Het is maar een bank waar jouw geld staat, dat scheelt.
07-02-2018, 12:28 door Anoniem
Door Anoniem: En je komt nog steeds maximale wachtwoordlengtes tegen. Zoals een nieuwe medewerkers interface bij ons op het werk, maximaal 8 karakters.

Maar goed, het is niet alsof urenregistraties en planningen iets belangrijks zijn.

Als het niet belangrijk is dan kunnen ze de wachtwoorden beter weglaten en gewoon loggen wie wat gedaan heeft.

Ooit hadden we op het werk een mailsysteem waarbij je heel makkelijk in andermans mailbox kon kijken.

Maandelijks publiceerde systeembeheer een top tien van wie het meest in andermans mailboxen rondsnuffelde. Dat werkte best goed, je doet dat toch minder snel als je weet dat je snooper of the month kan worden... en het scheelt ook als je weet dat mensen in je mail kunnen kijken. Gebrek aan privacy is toch iets minder erg als het niet stiekem is.

Overigens hoop ik dat je opmerking sarcastisch bedoeld was, al vraag ik me zelf ook wel eens af wie er nou echt iets nuttigs met die planningen en urenregistraties doet.
07-02-2018, 14:24 door Anoniem
Door Anoniem: "wachtwoord" is een ruim begrip bij de vijfcijferige identificatiecode van ABN Amro bank... Wanneer 6 karakters al slecht is, wat zijn 5 cijfers dan? Het is maar een bank waar jouw geld staat, dat scheelt.
6 tekens is helemaal niet slecht! zolang je maar zorgt dat je niet onbeperkt kunt proberen en niet de hashes tabel lekt.
(of de hashes niet met een bekend algorithme maakt)
07-02-2018, 14:30 door Anoniem
re Anoniem 12:28

Ja dat waar was wat sarcasme bedoeld. Het soort informatie waarvan je periodiek een samenvatting krijgt, ongeveer gelijk met het bijschrijven van het salaris op je bankrekening.
08-02-2018, 11:14 door Anoniem
Door Anoniem: En je komt nog steeds maximale wachtwoordlengtes tegen. Zoals een nieuwe medewerkers interface bij ons op het werk, maximaal 8 karakters.

Ik herinner me een oude UNIX versie waarbij je gerust een wachtwoord van 20 karakters mocht gebruiken, alleen als je dan in de /etc/passwd file keek dan bleek de hash van dat wachtwoord van 20 karakters hetzelfde te zijn als de hash van de eerste 8, oftewel het wachtwoord werd eerst afgekapt op 8 karakters en dan gehashed. Fijn, dat je denkt heel veilig bezig te zijn en het systeem ondergraaft dat stilletjes :-).

Het is overigens inderdaad good practice om de gehashte wachtwoorden goed af te schermen, maar het inkijkje was wel leerzaam.

Als ik bij iemands pas de PIN probeer te raden dan heb ik 3 uit 10000 kans dat ik die raad als ik geen voorkennis heb. Mensen doen met heel wat minder kans mee in de loterijen en daar betalen ze dan ook nog voor.

Dus eigenlijk verwonderlijk dat er niet veel meer pasjes gejat worden om de pincode te gokken. Het feit dat het verboden is, en dat je het risico loopt dat iemand niet blij is als je zijn pas pakt, zal daar aan bijdragen.

Jongeren doen dit ook niet eens als een soort Russische roulette, kijken of ze elkaars pincode kunnen raden binnen drie keer. Wat is de jeugd toch weinig avontuurlijk.

Kennelijk is de perceptie dat de kans dat je 1 van de 10000 mogelijkheden raadt, veel kleiner is dan de 1`:500miljard kans dat je de loterij wint.

Rare jongens, die mensen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.