mbk-bedrijven?

Oké, eenentwintig is dan wel goed genoeg? Het beste is om voor elk account een eigen wachtwoord te hebben.

Dat is apart advies om het zacht uit te drukken.. We hebben hier toch altijd geleerd dat je wachtwoord informatie veilig genoeg moet zijn voor de huidige generatie bruteforce mogelijkheden om minimaal drie maanden stand te houden en optimaal zes maanden. Dat moet genoeg tijd geven om ingeval van een datalek geinformeerd te worden door de andere partijen.

Misschien 22. Dan zal het zeker lukken (kuch)

Ja logisch; je wilt niet telkens je hond een nieuwe naam moeten geven. Wordt dat beest ook gek van.

En met al die wachtwoord regels is beste om gewoon toe te geven dat je password minimaal onmogelijk te onthouden moet zijn. Dus by default beginnen met een password reset. Iets omslachtiger, maar het heet niet zomaar "wachtwoord".

Ja, ik snap dat ook niet.

Het is niet bedoeld als een precies criterium om je aan te houden, het is een poging om aan neurotypische mensen duidelijk te maken dat als iemand een wachtwoord probeert te raden die persoon best een aanhouder kan zijn die dingen blijft proberen. Ze proberen met die opmerking te stimuleren dat iemand die een wachtwoord bedenkt zich even een beetje in de positie verplaatst van iemand die het probeert te raden en vanuit dat perspectief nadenkt over de vraag of wat ze bedenken wel sterk genoeg is. In plaats van 20 hadden ze ook 30 of een ander getal kunnen noemen, het gaat niet om het precieze getal maar om stilstaan bij hoe de kwetsbaarheid van slechte wachtwoorden werkt.

Of ben ik niet neurotypisch genoeg om te snappen dat jullie grapjes aan het maken zijn? ;-)

Als je niets te verbergen hebt,
heb je ook geen wachtwoord nodig...

Het is gewoon raar advies voor MKB. Was het naar particulieren gericht had ik het nog enigzins gesnapt maar dit is ver onder de maat voor MKB beveiliging. Wat je nu kan krijgen is dat een manager of directielid die geen jota verstand van cybersec heeft zo bericht leest en het als bevestiging ziet dat extra maatregelen of resources niet nodig zijn. En kom dan maar eens met een argument als een hoger liggend cyber security center een best practice afgeeft met zo advies.

Kan er niet bepaald om lachen.

Is een wachtwoord dat bestaat uit 3 willekeurige woorden niet sterk genoeg dan ?
Dat is namelijk het advies.
--
Why does the NCSC recommend using ‘three random words’ as a way to create passwords?

By using a password that’s made up of three random words, you’re creating a password that will be ‘strong enough’ to keep the criminals out, but easy enough for you to remember.

Longstanding advice around making your passwords very complex (which suggests we should create passwords full of random characters, symbols and numbers) is not helpful. This is because most of us have lots of passwords, and memorising lots of complex passwords is almost impossible.

Passwords generated from three random words is a good way to create unique passwords that are ‘long enough' and ‘strong enough’ for most purposes, but which can also be remembered much more easily.

De K in MKB staat voor klein. Daar zitten zat bedrijven van een of enkele mensen bij die hun IT niet anders doen dan een particulier dat doet: een pc neerzetten en maar wat aanrommelen zonder kennis van zaken. Ik snap heel goed waarom het eruit ziet als advies aan particulieren. Er is een groot aantal bedrijven dat op dat niveau functioneert.

Nee niet zolang er een cruciaal detail niet gemeldt is de lengte van die woorden.
ikmiesmuis vs automaattelefoonkoelkast je kan wel raden welke veiliger is.

Dan nog is het altijd onveiliger dan een compleet randomized wachtwoord.

En daarnaast ga je echt niet als eind gebruiker magisch al die woord combinaties onthouden per service. Dus wat gaat er gebeuren men gaat ze hergebruiken en dan ben je weer terug bij af. Of ze gebruiken een wachtwoord manager of boekje maar dan is het al helemaal overbodig.

Het is dood eenvoudig dit soort wachtwoorden te achterhalen een case study vind je hier onder.
https://medium.com/@0xae/how-safe-from-brute-forcing-is-the-3-random-words-password-format-1458e1803b76
En dat weet NCSC ook echt wel en dan ga je je toch afvragen waarom geven ze slecht adviezen.

Oh right: https://bit-tech.net/news/tech/software/gchq-ncsc-call-for-end-to-end-encryption-back-door/1/

Maar je hebt wel wat te beschermen.

Oef, 20 keer "raden" lol!
Wat moet ik daar nou over zeggen...

Om paswoorden te beoordelen is dit een goede (FOSS) tool, bevat geen trackers en werkt offline;

https://f-droid.org/en/packages/com.cyb3rko.pazzword/

Om paswoorden aan te maken is dit een goede (FOSS) tool, bevat geen trackers en werkt offline;

https://f-droid.org/en/packages/com.vecturagames.android.app.passwordgenerator/

De titel is verkeerd. Het zou moeten luiden: Zorg dat organisaties ophouden met het vragen naar de naam van je huisdier, meisjesnaam van je moeder, je favoriete kleur en spreek organisaties die dat toch blijven doen consequent aan met "beste securityanalfabeet."

Dit wordt vaak afgedwongen door organisaties met een securityplank voor de kop en het is een enorme open deur voor alle bekenden van het aanstaande slachtoffer. En niet alleen bekenden als je alles op social media plempt.

Als je wat wil beschermen, is een wachtwoord onvoldoende.
Leven zonder risico's bestaat niet,
maar zodra je computer verbonden is met Internet,
loop je wel heel grote risico's met bijvoorbeeld je gegevens.
Zo staat bijvoorbeeld al je e-mail op de computers van anderen
en er zijn zelfs besturingssystemen die vrijwel automatisch
jouw data op jouw computer op die van hun computer zetten...

Goed advies
Beschermen tegen bruteforce aanvallen is minder relevant gewordne over de jaren maar toch zie je hier veel policies nog op gebaseerd (speciale karakters etc). Een online account kun je niet meer zomaar brurteforcen. Hashes wel maar als die uitlekken heb je een ander probleem.

Accounts worden gehackt door a)phishing b)datalekken of c)raden. Vooral bij pincodes op smartphone is de kans op raden hoog. Met iemand zijn postcode, geboortedatum (van hemzelf/kinderen) of de namen van kinderen ben je er vaak al :)

Ja laten we bruteforce aanvallen verlagen door het aantrekkelijk te maken van dictionary attacks...

Je geeft het zelf al aan online is lastig te bruteforcen dat gebeurt offline waarna ze aan de haal gaan met de data na het kraken. En in dat soort gevallen moet je wachtwoord gewoon sterk genoeg zijn om maanden mee te kunnen gaan zodat de leverancier inbraak opmerkt en het digitaal forensisch onderzoek is afgerond voor er meer schade ontstaat. Want nagenoeg geen enkele leverancier meldt netjes binnen de wettelijk gestelde 72 uur dat er een datalek is geweest ook al hebben ze het meteen opgemerkt.

Phising kun je niks tegen doen qua wachtwoord complexiteit die legt het altijd af tegen de actie van een mens dan. En meeste gevallen ook van MFA tenzij je een goede constructie hebt opgezet waarbij de MFA in beheer is van een los staand persoon die de aanvraag ook nog eens behandeld zodat de kans op phising aanzienlijk daalt.

En het raden van een willekeurig wachtwoord is nagenoeg onmogelijk waarbij dat met woorden vele malen hoger ligt.

De reden dat bruteforce minder populair is omdat mensen gewoon makkelijker te manipuleren zijn tot zelf fouten maken.
Ik zou me kapot schamen als security officer als ik met zo een advies kwam naar bedrijven. Er is geen enkel excuus voor een bedrijf om zich niet goed te beveiligen en voortelichten. Ontbreekt de kennis dan huur je het in. Is het te duur dan hecht je geen waarde aan de veiligheid van je werknemers en klanten. Snapt men dat niet dan moeten ze geen bedrijf voeren dat gaan we echt niet afvangen door het veiligheid advies te verlagen. Want dat doen de criminelen zeker niet.

We gaan toch ook niet zeggen je hoeft geen nooduitgang te hebben in je pand zolang je aangeeft waar de voordeur zich bevindt omdat het te duur is inspectie te laten doen of een deur te laten installeren? We zijn op een punt aangekomen dat digitale veiligheid gewoon eens wetgevelijk moet worden vastgelegd en dan doel ik niet op een AVG maar een echte verplichte certificering tegen inbraak preventie voor je klant data mag verwerken.

Als je iemand zijn hash weet te bemachtigen die je kunt bruteforcen dan betekent dat in de praktijk dat je al toegang hebt tot de data van de partij die gehackt is. Bruteforcen is dan alleen nog maar relevant om tot het oorspronkelijke wachtwoord te komen die weer te misbruiken is op andere omgevingen als mensen het wachtwoord hergebruikt hebben.
Natuurlijk zijn er uitzonderingen waar bruteforcen wel degelijk relevant zijn maar voor eindgebruikers van bv online diensten ligt dit anders.

Daarnaast hoe sterk je wachtwoord ook was, als een partij gehackt is en je hash is gelekt moet je deze altijd veranderen (helemaal als je zo onhandig bent geweest het wachtwoord vaker te gebruiken)

Toppie joppie.

Mensen die al moeite hebben met het kiezen van goede passwords leren dat ze vooral apps uit untrusted repo's moeten installeren als een anoniem dat zegt ?
En dan ook eentje met zo'n verdachte l33t namez . Echt serieus - waarom denk JIJ eigenlijk dat het goede apps zijn ?


Het is gewoon een prima lekenadvies voor de loodgieter en de yoga-studio-mevrouw dat z'n boormachine merk of d'r sanskriet-yoga naam ook geen goede password keuzes zijn.

Nee, sorry, dat is echt onzin, het zijn goede apps.
Ten eerste is het vrije en open source software, dus is het transparant en kan met de code reviewen, ten tweede bevatten de apps geen trackers en online permissions.
Als u graag de commerciele proprietaire zwarte dozen-apps uit de playstore wilt vertrouwen, gaat vooral uw gang, lol.
F-Droid is een goede software repository en geven daadwerkelijk om de privacy en veiligheid van haar gebruikers, er zijn strenge voorwaarden aan verbinden voordat een ontwikkelaar zijn of haar apps kan distribueren.
Als voorbeeld is er de set van apps van Simple Mobile Tools, deze zijn gecompromiteerd nadat ze gekocht zijn door een vage koper uit Israël, (zipoapps) nu staan de playstore versies er bij met reclame en straks trackers, de fdroid versies worden inmiddels niet meer geupdate en alleen nog de laatste goede versies zijn beschikbaar, men is nu al bezigmet een alternatief. (Fossify)
Als u wilt spugen op andere ontwikkelaars kunt u beter op de playstore kinken, daar zit een hoop Chinese ongein tussen dat wilt u niet weten.
F-Droud is juist ren goede repository voor apps, evenals vele andere zoals The Guardian Project, Briar, etc, etc.
Als u het hebt over apks van een vage site halen, ja, daar heeft u gelijk in, maar dat is dit niet.
Google is juist het tegenovergestelde van veilig, die geven alleen maar om hun eigen portomonnee op de eerste plaats.

Als het bekijken van namen uw manier van een beoordeling van beveiliging van apps is dan is het eind zoek.
Kijk liever naar de broncode, en ja, alle apps op F-Droid hebben dat, ook deze twee apps, dan kunt u zien dat deze twee apps prima in orde zijn.
En als we het toch over namen hebben, waarom zouden mensen een tegenadvies van een andere "anoniem" moeten aannemen, en inderdaad, mijzelf ook, vertrouw niemand, neem liever met concrete bewijzen zoals transparantie en open code, dat is het mooie van FOSS.
Vaak hebben deze apps ook een kleine footprint.
Als u wilt kunt u best doneren aan de appmakers aangezien het non-profit is en ze het met liefde doen.
En nee, als u of Google even bepaald dat hun repo de enige veilige is dan hebben ze het mis, datzelfde geld eveneens voor Apple.
Broncodes van de twee apps:
https://github.com/cyb3rko/pazzword
https://gitlab.com/vecturagames/passwordgenerator
Ik geef mensen juist een advies dat beter is voor hun privacy en veiligheid, het maakt niet uit of u het een onveilig idee vind, ik stel zelf liever alleen de feiten.
Met deze apps kunnen mensen beoordelen of hun paswoorden veilig zijn tegen oa. bruteforcen en meer, en kunnen mensen er veilige paswoorden mee genereren, daarnaast werkt het volledig offline.
Als u vergelijkbare apps van de playstore haalt heeft u geheid een vage Chinese app in huis die zoveel mogelijk metadata wil ontvangen van uw telefoon, weer zo'n app op de "veilige" playstore, zucht!
Vrijheid is daarnaast ook zeer belangrijk, controleert de gebruiker het programma of controkeert het programma de gebruiker, het verschil tussen FOSS en proprietaire software is bijna zoals het verschil tussen goed en kwaad.