AP: standaard wachtwoordeisen werken slechte wachtwoorden in de hand
Standaard wachtwoordeisen van acht lettertekens met afgedwongen leestekens en cijfers werken slechte wachtwoorden in de hand, zo stelt de Autoriteit Persoonsgegevens. Dergelijke eisen leiden namelijk tot korte wachtwoorden vol menselijke patronen, zegt Jonathan Ellen van de Autoriteit Persoonsgegevens (AP). "Het is dan ook aan te bevelen om lange wachtwoorden te gebruiken, die zo willekeurig zijn dat een hacker alle opties moet proberen om het wachtwoord te achterhalen."
Een nadeel is vaak dat lange, willekeurige wachtwoorden moeilijk te onthouden zijn, gaat de AP-technoloog verder. "Mensen zijn namelijk bijzonder voorspelbaar. Zeker als ze proberen om lange wachtwoorden te onthouden", stelt Ellen. "In plaats van iets volledig willekeurigs, kiezen ze dan al snel voor een jaartal, hun favoriete sportteam of een andere simpele aanpassing, zoals beginnen met een hoofdletter. Iedereen weet dat 'W3lkom2023!' een belabberd wachtwoord is, ondanks de lengte van elf tekens."
Ook merkt Ellen op dat veel mensen variaties op een enkel wachtwoord gebruiken. "De enige oplossing hiertegen is willekeur, het ontwijken van veel voorkomende patronen. Het liefst in combinatie met een lang wachtwoord. Zo worden de criminelen gedwongen minder snelle, en dus minder lucratieve, opties te gebruiken. Het nadeel is uiteraard dat juist lange, willekeurige wachtwoorden moeilijk te onthouden zijn." Experts adviseren dan ook vaak het gebruik van passphrases, wachtwoorden die uit meerdere woorden bestaan, of het laten genereren van wachtwoorden door een wachtwoordmanager.
-- minimaal 12 tekens
-- 3 character classes
Maar, indine je wachtwoord > 24 tekens is... dan vervallen alle andere requirements.... dus gebruik een passwordmanager en passphrases.
Wat is het volgende advies herhaal geen wachtwoorden? Schrijf wachtwoorden niet op?
Of gaan we eens serieus beginnen met het verbieden van wachtwoord beperkingen en hints in software de afscherming van gebruikersnaam, mailadres zoals we bij wachtwoorden afdwingen ipv de eindgebruiker advies te geven waar ze weinig meekunnen omdat de leveranciers van software het geen beep intereseert en dus de eindgebruiker best practice niet kunnen volgen omdat de amateuristische beveiliging van software de complexiteit van wachtwoorden beperkt.
Want daar zit het grootste probleem als jij een sleutel maakt van 64 karakters en de leverancier heeft 16 karakter slot mag jij je wachtwoord beleid aanpassen met weer een uitzondering.
Nog niet te hebben over dat de meeste wachtwoorden gestolen worden door datalek van database en dat als de encryptie van de database in kwestie niet in orde is je nog een 64 karakter sleutel kan hebben het geen reet uitmaakt.
En dat is waarom men vroeger altijd zei van verander je wachtwoorden periodiek niet omdat iemand je wachtwoord ging raden maar omdat de experts dondersgoed doorhadden dat de kans dat jij erachter komt als eindgebruiker als gestolen is voor er actie mee wordt gedaan minimaal is. Die periodieke wijziging is uiterst noodzakelijk gezien de meeste datalek bronnen pas half jaar later het uberhaubt melden of zelf ontdekken.
Met een ander woord bruteforcing.
Ja voor bruteforcen op een hash is dit van belang, online bruteforce hou je op andere manier tegen.
Hackers komen achter wachtwoorden door hergebruik en phishing. Niet door bruteforcen. Die lengte en complexiteit die ze voorstellen maakt de kans op hergebruik van wachtwoord alleen maar groter.
Het lijkt wel of het AP de NIST 800-53 niet gelezen heeft?
Mensen zijn lui en gebruiken op heel veel platformen dezelfde wachtwoorden. Dus als één platform compromised is, zijn er heel veel andere platformen waar dezelfde credentials gebruikt worden automatisch ook compromised. Echter gebruikers checken niet of ze compromised zijn en zullen dus ook niet doorhebben dat andere accounts van ze ook vulnerable zijn........
Totdat er rare dingen gebeuren en het te laat is.......
Mocht de hash van je wachtwoord ooit gestolen worden dan duurt het even om te kraken (hoe langer je wachtwoord hoe langer het duurt) Mocht je wachtwoord gekraakt zijn en het is "Welkom07!" Dan zou ik bij dat account Welkom08! en Welkom09! ook proberen voor dat account
Mensen zijn lui en gebruiken op heel veel platformen dezelfde wachtwoorden. Dus als één platform compromised is, zijn er heel veel andere platformen waar dezelfde credentials gebruikt worden automatisch ook compromised. Echter gebruikers checken niet of ze compromised zijn en zullen dus ook niet doorhebben dat andere accounts van ze ook vulnerable zijn........
Totdat er rare dingen gebeuren en het te laat is.......
Knap dat je het beter weet dan NIST, het advies is daar ook om wachtwoord wijzigingen niet meer af te dwingen omdat dat alleen maar tot gevolg heeft dat je hetzelfde wachtwoord met 1 cijfertje ophoogt, of de maand gebruikt in het wachtwoord.
Waarom moet een wachtwoord gebruikt worden? Om andere niet geautoriseerde gebruikers te weren.
Waarom moet er dan überhaupt een complex wachtwoord gebruikt worden. Daarmee voorkom je toch niet een ongeautoriseerde toegang? Je voorkomt een ongeautoriseerde toegang door een GEHEIM wachtwoord, en een inlog mogelijkheid vanaf een vertrouwde plek... Beide worden niet afgedwongen door "D1tIz33nGeh1emW8chtWo0rd!@#!
Het lost het probleem niet op en veroorzaakt 2 ergere andere problemen.
#1 het invoeren is complex, dus traag (meer kans op aflezen en shouldersurfing)
#2 het onthouden is onmogelijk, dus moet het elders NOG een keer bewaard worden (harvesting van geeltjes/postit of password vaults.
Moet ik dan aangeven wat wel moet? Nee, dat is groen-links mentaliteit... Je mag gerust zeggen dat iets geen oplossing zonder het probleem van andere te moeten oplossen. Ik werk in de techniek, niet in de politiek... De kneuzen die zich vastlijmen komen ook niet met een patentvrije oplossing voor schone energie, alleen wat oerang-oetang kreten als 'stup oijl'...
Dan ziet men gelijk of het paswoord veilig is.
F-Droid heeft wel een aantal goede waaronder deze:
En KeepassDX heeft er ook eentje ingebouwd.
https://f-droid.org/en/packages/com.vecturagames.android.app.passwordgenerator/
Gaat een leuke worden..... Keepass is geen probleem, websites is geen probleem, maar in RDP kan je niet je wachtwoord plakken.
Zinnen zijn een oplossing, maar moet je wel spaties kunnen gebruiken en ook dat is weer een bijzonder teken.
Daarnaast hebben die een ander probleem: nu heb je met 1 wachtwoord (tenzij er fatsoenlijke 2-factor aanwezig is) toegang tot alles wat erin de kluis zit, alsof je op alle websites hetzelfde wachtwoord gebruikt hebt.
Het is alleen een stapje lastiger dan als op alle websites letterlijk dit het geval zou zijn geweest.
Is daarmee de beveiliging voldoende? Dat hangt er maar helemaal vanaf en is een risico afweging.
Daarnaast hebben die een ander probleem: nu heb je met 1 wachtwoord (tenzij er fatsoenlijke 2-factor aanwezig is) toegang tot alles wat erin de kluis zit, alsof je op alle websites hetzelfde wachtwoord gebruikt hebt.
Het is alleen een stapje lastiger dan als op alle websites letterlijk dit het geval zou zijn geweest.
Is daarmee de beveiliging voldoende? Dat hangt er maar helemaal vanaf en is een risico afweging.
Maar een perfecte oplossing bestaat niet echt, zelfs alles op briefjes schrijven heeft zijn gevaren.
Met een goed paswoord en een degelijk besturingsysteem (GrapheneOS, LMDE, etx) is het wel aardig beveiligd.
Alles kan gecompromiteerd worden, maar we moeten toch kiezen uit een oplossing, Keepass is aardig, papiertjes net zo.
Hoe men er mee omgaat is een ander, neem dus een veilig besturingsysteem of bewaar de papiertjes op een verborgen plek. (In de binnenmuur of iets dergelijks)
Daarnaast hebben die een ander probleem: nu heb je met 1 wachtwoord (tenzij er fatsoenlijke 2-factor aanwezig is) toegang tot alles wat erin de kluis zit, alsof je op alle websites hetzelfde wachtwoord gebruikt hebt.
Het is alleen een stapje lastiger dan als op alle websites letterlijk dit het geval zou zijn geweest.
Is daarmee de beveiliging voldoende? Dat hangt er maar helemaal vanaf en is een risico afweging.
Maar een perfecte oplossing bestaat niet echt, zelfs alles op briefjes schrijven heeft zijn gevaren.
Met een goed paswoord en een degelijk besturingsysteem (GrapheneOS, LMDE, etx) is het wel aardig beveiligd.
Alles kan gecompromiteerd worden, maar we moeten toch kiezen uit een oplossing, Keepass is aardig, papiertjes net zo.
Hoe men er mee omgaat is een ander, neem dus een veilig besturingsysteem of bewaar de papiertjes op een verborgen plek. (In de binnenmuur of iets dergelijks)
Hee vreemd data wereldvreemde gedoe bij die club
-- minimaal 12 tekens
-- 3 character classes
Maar, indine je wachtwoord > 24 tekens is... dan vervallen alle andere requirements.... dus gebruik een passwordmanager en passphrases.
En een goede hacker hacked je ze allemaal in 3 dagen....
Gaat een leuke worden..... Keepass is geen probleem, websites is geen probleem, maar in RDP kan je niet je wachtwoord plakken.
Je zou dan beter ook nooit RDPen met je admin account ;)
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.