Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Gebruikers op mijn Website elke keer hun wachtwoord opnieuw invoeren en geen optie geven om wachtwoord op te slaan.

12-03-2021, 08:03 door Anoniem, 15 reacties
Ik wil dat gebruikers op mijn Website elke keer hun wachtwoord opnieuw invoeren en hun geen optie geven om wachtwoord op te slaan (wat bijvoorbeeld chrome vraagt (Wil je wachtwoord opslaan (ik wil ze deze optie niet geven of als de browser opslaat een verkeerde wachtwoord opslaat))).
Hoe doe ik dat?
Reacties (15)
12-03-2021, 11:02 door Anoniem
Optie 1: Zorg ervoor dat de input-tag niet elke keer dezelfde naam heeft, en ook geen 'password' attribuut heeft. Zodoende herkend de browser niet dat het invoerveld een wachtwoord is.

Optie 2: Stuur vie sms een code voor extra validatie.
12-03-2021, 11:10 door Anoniem
Voor zover mij bekend kan je alleen sommige soorten wachtwoordmanagers blokkeren, namelijk door plakken in het wachtwoordveld niet toe te staan. Maar er zijn wachtwoordmanagers die de tekens intypen en die blokkeer je zo niet.

De bouwers van webbrowsers zijn bij uitstek in staat om elke mogelijkheid tot blokkeren onmogelijk te maken, omdat ze de browser en de ingebouwde wachtwoordmanager van begin tot eind bestieren. Ik weet niet of ze dat ook zo doen, maar ik zou nergens op rekenen, dit kan morgen anders werken dan vandaag, dus de truc die je vandaag weet toe te passen kan morgen achterhaald zijn.

Je doet trouwens vermoedelijk meer kwaad dan goed met dit soort acties. Als mensen hun wachtwoorden zelf in moeten typen en dus moeten onthouden dan kan je er gif op innemen dat ze zwakke wachtwoorden gaan kiezen of ze op papiertjes gaan schrijven. Is dat wat je wilt?

Als je de authenticatie wil versterken kan je beter een 2e factor toevoegen. Verdiep je bijvoorbeeld eens in WebAuthN/FIDO2.
12-03-2021, 11:35 door Anoniem
Door Anoniem: Ik wil dat gebruikers op mijn Website elke keer hun wachtwoord opnieuw invoeren en hun geen optie geven om wachtwoord op te slaan (wat bijvoorbeeld chrome vraagt (Wil je wachtwoord opslaan (ik wil ze deze optie niet geven of als de browser opslaat een verkeerde wachtwoord opslaat))).
Hoe doe ik dat?
Zal je eerst moeten zeggen welk pakket je voor jouw website gebruikt! We zijn geen helderzienden!
12-03-2021, 16:02 door Anoniem
Door Anoniem:
Door Anoniem: Ik wil dat gebruikers op mijn Website elke keer hun wachtwoord opnieuw invoeren en hun geen optie geven om wachtwoord op te slaan (wat bijvoorbeeld chrome vraagt (Wil je wachtwoord opslaan (ik wil ze deze optie niet geven of als de browser opslaat een verkeerde wachtwoord opslaat))).
Hoe doe ik dat?
Zal je eerst moeten zeggen welk pakket je voor jouw website gebruikt! We zijn geen helderzienden!
Waarom dat??? Het gaat er toch niet om hoe hij het aan moet zetten, het gaat er om wat er in de HTML moet komen om de browser te vertellen dat ie niet moet aanbieden het password op te slaan.

HELAAS is dit weer zo'n feature waarvan de browser bouwers menen te weten "dat je dat niet moet willen" en "dat zij heel goed de passwords voor jou kunnen beheren" en meer van die nul-argumenten waarmee ze motiveren dat de keywords die er waren om dit te bereiken nu "deprecated" zijn. Het is jammer dat de wereld zo rolt maar dat doe je eraan.

Ik zie wel het truukje: <input type="password" name="Password" readonly onfocus="this.removeAttribute('readonly');" >
genoemd worden maar dat zal ongetwijfeld op een gegeven moment ook niet meer werken.
Want gij zult werken zoals Google en Mozilla het willen, niet zoals gij zelf wilt.

(ik kan me heel goed voorstellen dat er situaties zijn waarin je niet wilt dat het wachtwoord wordt opgeslagen, maar de browsermakers kennelijk niet dus dan ben je uitgeluld)
12-03-2021, 16:09 door Anoniem
Stel je eerst de vraag: waarom?
Waarom wil je je gebruikers plagen?

Dan een antwoord:
kijk naar de implementatie op autoweek.nl. Die is zo brak dat de browser er geen touw aan kan vastknopen en dus de mist in gaat.
13-03-2021, 00:08 door Anoniem
Wat de eerste reageerder zegt. De input tag van type "password' veranderen in je HTML code.

Ik hoop dat je het dan wel combineert met sessions die op tijd expiren want anders heb je er alsnog weinig aan.

Ron
13-03-2021, 15:35 door Anoniem
Door Anoniem: Stel je eerst de vraag: waarom?
Waarom wil je je gebruikers plagen?
Je moet eens leren om niet bij een vraag meteen te willen afdwalen naar "waarom".
Er wordt een vraag gesteld. Geen discussie geopend mbt het waarom van die vraag.
Ik kan me zat situaties indenken waarin dit gewenst is en het niet de bedoeling is dat het password kan worden opgeslagen, zonder dat er van plagen sprake is.
13-03-2021, 21:16 door Anoniem
Door Anoniem:
Door Anoniem: Stel je eerst de vraag: waarom?
Waarom wil je je gebruikers plagen?
Je moet eens leren om niet bij een vraag meteen te willen afdwalen naar "waarom".
Er wordt een vraag gesteld. Geen discussie geopend mbt het waarom van die vraag.
Ik kan me zat situaties indenken waarin dit gewenst is en het niet de bedoeling is dat het password kan worden opgeslagen, zonder dat er van plagen sprake is.

Het is altijd goed om door te vragen.
Immers, zo kan je daadwerkelijke reden horen en wellicht een hele andere oplossing geven. Luisteren kun je leren!

Stel dat het in dit geval is: omdat gebruikers wil beschermen voor als hun computer gehackt wordt. Dan is twee-factor de oplossing, niet het onmogelijk maken wachtwoorden te onthouden.

Het onmogelijk maken om wachtwoorden te onthouden is juist door alle browsermakers omzeep geholpen omdat het contra-productief is (autocomplete=off had je toen). En NIST beschrijft het ook, je moet passwordmanagers omhelsen, niet afstoten.
13-03-2021, 21:28 door Anoniem
Door Anoniem:
Door Anoniem: Stel je eerst de vraag: waarom?
Waarom wil je je gebruikers plagen?
Je moet eens leren om niet bij een vraag meteen te willen afdwalen naar "waarom".
Er wordt een vraag gesteld. Geen discussie geopend mbt het waarom van die vraag.
Ik kan me zat situaties indenken waarin dit gewenst is en het niet de bedoeling is dat het password kan worden opgeslagen, zonder dat er van plagen sprake is.

De 'waarom vraag' kan zeker wel een legitieme vraag zijn.

Menig situatie of omgeving vraagt om de 5xW: who, what, when, where, why.

Je kunt één van die onderdelen perfect oplossen, en toch geheel het grote plaatje missen!
14-03-2021, 05:25 door Anoniem
Door Anoniem: Je moet eens leren om niet bij een vraag meteen te willen afdwalen naar "waarom".
Er wordt een vraag gesteld. Geen discussie geopend mbt het waarom van die vraag.
De meeste mensen denken in oplossingen, stellen vragen over de oplossingsrichtingen die ze bedacht hebben, maar slaan daardoor over dat er mensen kunnen rondlopen die oplossingsrichtingen voor het eigenlijke probleem kennen die beter en simpeler zijn.
Ik kan me zat situaties indenken waarin dit gewenst is en het niet de bedoeling is dat het password kan worden opgeslagen, zonder dat er van plagen sprake is.
Dan doe je aannames en vul je van alles in dat de vraagsteller helemaal niet heeft gezegd. Iemand die naar het waarom vraagt probeert dat te voorkomen of om de aannames die hij of zij doet te verifiëren.

Vragen naar het waarom is behulpzaam. Met meer inzicht in de situatie kan je mensen beter adviseren. Ik weet dat veel mensen waarom-vragen opvatten als kritiek op hoe ze bezig zijn, maar misschien is de les die die mensen moeten leren wel dat ze niet te snel in die reactie moeten schieten, want met die reactie sluit je jezelf af voor de hulp waar je om vraagt.
14-03-2021, 11:45 door Anoniem
Door Anoniem:
Door Anoniem: Stel je eerst de vraag: waarom?
Waarom wil je je gebruikers plagen?
Je moet eens leren om niet bij een vraag meteen te willen afdwalen naar "waarom".
Er wordt een vraag gesteld. Geen discussie geopend mbt het waarom van die vraag.

En daar gaat het meestal fout, voor een goede oplossing moet je weten wat iemand probeert te bereiken.
14-03-2021, 12:21 door Anoniem
Door Anoniem:
Dan doe je aannames en vul je van alles in dat de vraagsteller helemaal niet heeft gezegd. Iemand die naar het waarom vraagt probeert dat te voorkomen of om de aannames die hij of zij doet te verifiëren.
De vraagsteller meldt heel duidelijk dat ie niet wil dat het wachtwoord wordt opgeslagen en vraagt hoe hij dat kan afdwingen.
Die zit dus vast niet te wachten op "waarom wil je dat niet" en "dat moet je niet willen".

Het onmogelijk maken om wachtwoorden te onthouden is juist door alle browsermakers omzeep geholpen omdat het contra-productief is (autocomplete=off had je toen). En NIST beschrijft het ook, je moet passwordmanagers omhelsen, niet afstoten.
Wat boeit het nou wat NIST er van vindt?? En wie bepaalt of iets contra-productief is? Toch zeker niet browsermakers?
Die lui gaan allemaal op stoelen zitten waar ze niet op horen te zitten.
En wat vandaag een goed advies lijkt kan morgen weer verouderd zijn, kijk maar naar dat idiote advies dat je een wachtwoord iedere zoveel dagen moet veranderen wat uit dezelfde soort hoeken kwam en waarvan later duidelijk werd dat er niets meer contra-productief is dan die belachelijke eis. Maar er zijn nog steeds bedrijven die die eis hanteren omdat het ooit door een gerenommeerd persoon of instantie is geadviseerd.
14-03-2021, 16:13 door Anoniem
Door Anoniem:
Door Anoniem:
Dan doe je aannames en vul je van alles in dat de vraagsteller helemaal niet heeft gezegd. Iemand die naar het waarom vraagt probeert dat te voorkomen of om de aannames die hij of zij doet te verifiëren.
De vraagsteller meldt heel duidelijk dat ie niet wil dat het wachtwoord wordt opgeslagen en vraagt hoe hij dat kan afdwingen.
Die zit dus vast niet te wachten op "waarom wil je dat niet" en "dat moet je niet willen".

Gewoonlijk komen dat soort vragen van mensen die überhaupt niet nadenken over welk probleem ze nou echt hebben.
Gevalletje alleen de hamer kennen, dan lijkt alles op een spijker.

Dat is de pech van openbare vraag - gratis antwoorden (fout en soms goed) en veel meningen.

Het onmogelijk maken om wachtwoorden te onthouden is juist door alle browsermakers omzeep geholpen omdat het contra-productief is (autocomplete=off had je toen). En NIST beschrijft het ook, je moet passwordmanagers omhelsen, niet afstoten.
Wat boeit het nou wat NIST er van vindt?? En wie bepaalt of iets contra-productief is? Toch zeker niet browsermakers?
Die lui gaan allemaal op stoelen zitten waar ze niet op horen te zitten.

Je zou kunnen denken dat adviezen van top experts net wat meer betekenen dat de natte vinger van een webmakker die zelfs de implementatie niet zo goed onder de knie heeft .

Plus - als het resultaat van je eigenwijsheid nog eens bekeken wordt door een audit/consultant , de kans ontzettend groot is dat die afvinken op "best practices" - zoals afkomstig van NIST.
Dan moet je echt wat meer meebrengen dan "maar wat weten die er nou van" .



En wat vandaag een goed advies lijkt kan morgen weer verouderd zijn, kijk maar naar dat idiote advies dat je een wachtwoord iedere zoveel dagen moet veranderen wat uit dezelfde soort hoeken kwam en waarvan later duidelijk werd dat er niets meer contra-productief is dan die belachelijke eis. Maar er zijn nog steeds bedrijven die die eis hanteren omdat het ooit door een gerenommeerd persoon of instantie is geadviseerd.

Het kan nogal een tijd duren voordat een - ooit, in de omstandigheden destijds - goed advies verdwijnt uit de aanbevelingen van instanties. Een tijdje nadat het landschap waarin het advies zinvol was ook veranderd is.
En daarna pas na nog langere tijd verdwijnt uit de hoofden van auditors en beheerders die hun vak niet bijhouden.
14-03-2021, 16:37 door Anoniem
Door Anoniem:
Door Anoniem:
Dan doe je aannames en vul je van alles in dat de vraagsteller helemaal niet heeft gezegd. Iemand die naar het waarom vraagt probeert dat te voorkomen of om de aannames die hij of zij doet te verifiëren.
De vraagsteller meldt heel duidelijk dat ie niet wil dat het wachtwoord wordt opgeslagen en vraagt hoe hij dat kan afdwingen.
Die zit dus vast niet te wachten op "waarom wil je dat niet" en "dat moet je niet willen".

Het onmogelijk maken om wachtwoorden te onthouden is juist door alle browsermakers omzeep geholpen omdat het contra-productief is (autocomplete=off had je toen). En NIST beschrijft het ook, je moet passwordmanagers omhelsen, niet afstoten.
Wat boeit het nou wat NIST er van vindt?? En wie bepaalt of iets contra-productief is? Toch zeker niet browsermakers?
Die lui gaan allemaal op stoelen zitten waar ze niet op horen te zitten.
En wat vandaag een goed advies lijkt kan morgen weer verouderd zijn, kijk maar naar dat idiote advies dat je een wachtwoord iedere zoveel dagen moet veranderen wat uit dezelfde soort hoeken kwam en waarvan later duidelijk werd dat er niets meer contra-productief is dan die belachelijke eis. Maar er zijn nog steeds bedrijven die die eis hanteren omdat het ooit door een gerenommeerd persoon of instantie is geadviseerd.

Het NIST brengt daarom ook wijzigingen uit op hun eigen adviezen, net als medische behandelmethodes door de jaren heen en verkeersregels ook aangepast worden.

https://pages.nist.gov/pages-root/
14-03-2021, 16:46 door Anoniem
Niet. Jij bepaalt niet wat anderen op hun eigen computer al dan niet mogen. Jij gaat over jouw website, dat is voldoende.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.