image

FBI adviseert gebruik van unieke passphrases voor elk account

woensdag 30 maart 2022, 14:39 door Redactie, 6 reacties

De FBI adviseert dat gebruikers al hun accounts met unieke passphrases beschermen. Voorheen werd nog expliciet het gebruik van sterke wachtwoorden aangeraden, maar dat is nu veranderd in passphrases. Een passphrase is een wachtwoord dat uit meerdere woorden bestaat. Vanwege zijn lengte is een passphrase lastig voor een aanvaller te raden en te kraken, maar eenvoudig voor de gebruiker om te onthouden.

Het advies staat in een nieuwe waarschuwing van de Amerikaanse opsporingsdienst over phishingaanvallen tegen verkiezingsfunctionarissen. Vorig jaar oktober zijn verkiezingsfunctionarissen in negen Amerikaanse staten het doelwit geworden van phishingaanvallen waarbij nepfacturen werden gebruikt, zo claimt de FBI. De malafide e-mails hadden onder andere pdf- en docx-bestanden als bijlage. Deze documenten linkten naar een website waar gebruikers werd gevraagd om in te loggen.

De phishingmails leken afkomstig van Amerikaanse bedrijven, maar bij één van de aanvallen werd het officiële e-mailaccount van een Amerikaanse overheidsfunctionaris gebruikt. Volgens de FBI zullen aanvallers in aanloop naar de tussentijdse verkiezingen in de Verenigde Staten hun aanvallen tegen verkiezingsfunctionarissen opvoeren.

De FBI doet in dergelijke waarschuwingen ook altijd verschillende aanbevelingen hoe gebruikers zich kunnen beschermen. Vorige waarschuwingen adviseerden het gebruik van sterke wachtwoorden om accounts te beveiligen, maar in een gisteren verschenen advies wordt voor het eerst het gebruik van passphrases aangeraden. Daarnaast adviseert de FBI het trainen van personeel om phishingmails te herkennen, het gebruik van multifactorauthenticatie en het resetten van alle getroffen wachtwoorden bij een succesvolle aanval (pdf).

Image

Reacties (6)
30-03-2022, 15:05 door Anoniem
Leuk advies maar is helaas (nog) bij heel veel accounts niet mogelijk.
Altijd word je weer gedwongen tot combinaties van hoofdletters, getallen en vreemde tekens die ingevoerd moeten worden omdat anders het wachtwoord niet geaccepteerd wordt.

Het is ook veel makkelijker om te onthouden zoals bijv. hetideredagweerlentepretis dan $%yeT345
30-03-2022, 16:11 door -Peter-
Door Anoniem: Leuk advies maar is helaas (nog) bij heel veel accounts niet mogelijk.
Altijd word je weer gedwongen tot combinaties van hoofdletters, getallen en vreemde tekens die ingevoerd moeten worden omdat anders het wachtwoord niet geaccepteerd wordt.

Het is ook veel makkelijker om te onthouden zoals bijv. hetideredagweerlentepretis dan $%yeT345

Je kunt redelijk makkelijk een passphrase maken die aan dergelijke eisen voldoet:
Security=goedvoormoedervan84

Peter
30-03-2022, 16:29 door Anoniem
Bijna iedereen hier gebruikt neem ik aan een passwordmanager en voor iedere accout een ander wachtwoord.
Dat zou iedereen moeten doen want het hergebruiken van wachtwoorden is zoals bekend een erg gevaarlijke praktijk. Maar hoe maak je een wat ouder iemand, die niet uit de IT komt, vertrouwd met een passwordmanager?
30-03-2022, 17:06 door Anoniem
Voor lokale administratieve accounts thuis gebruik ik redelijk zwakke wachtwoorden. Bijvoorbeeld voor de beheerspagina van mijn modem of het admin wachtwoord van mijn pc. Omdat daar toch niemand bij kan behalve ikzelf en eventuele mensen die hier over de vloer komen. Duizenden wachtwoorden per seconde uitproberen wordt dan erg onpraktisch voor een aanvaller.

Voor accounts die online toegankelijk zijn gebruik ik wel sterke unieke wachtwoorden.

Voor dingen als PGP sleutels gebruik ik wachtwoordzinnen, omdat dat wel weer interessant is voor een lokale aanvaller die bijvoorbeeld een backup in zijn handen krijgt.

Backups krijgen bij mij geen wachtwoord omdat dan eigenlijk elke nieuwe backup een nieuw wachtwoord zou moeten krijgen en dat is te veel administratie voor mij. Ook moeten backups altijd uit te pakken zijn en moet niet de corruptie van een block in het begin de hele backup onbruikbaar maken.

Voor WiFi gebruik ik wachtwoorden met 128 bits entropie, omdat je die per device maar een keer hoeft in te tikken. Dus het is geen extra moeite om die supersterk te maken.
30-03-2022, 17:27 door Anoniem
Door -Peter-:
Door Anoniem: Leuk advies maar is helaas (nog) bij heel veel accounts niet mogelijk.
Altijd word je weer gedwongen tot combinaties van hoofdletters, getallen en vreemde tekens die ingevoerd moeten worden omdat anders het wachtwoord niet geaccepteerd wordt.

Het is ook veel makkelijker om te onthouden zoals bijv. hetideredagweerlentepretis dan $%yeT345

Je kunt redelijk makkelijk een passphrase maken die aan dergelijke eisen voldoet:
Security=goedvoormoedervan84

Peter
Tuurlijk is dat mogelijk maar je wilt ook graag verschillende wachtwoorden gebruiken en dan is een passphrase zonder vreemde tekens de beste optie.

Vreemde tekens leiden ook heel vaak tot inlogproblemen als weer eens blijkt dat de toetsenbord instellingen gewijzigd zijn en jouw passphrase gaat echt niet werken als je niet meer dan 15 karakters mag gebruiken.

De wereld is echt niet klaar voor passphrases die langer dan 15 karakters mogen zijn en zonder verplichting voor vreemde tekens.

Een wachtwoord van 8 á 10 karakters is heden ten dagen te kort.
31-03-2022, 14:06 door Anoniem
Ik heb zo een vermoeden dat encryptie al gekraakt is.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.