Een op de drie Nederlanders wijzigt wachtwoord nooit

Op mijn werk moet ik verplicht wachtwoorden wijzigen. Dat zijn er zo'n stuk of zes. Elk op een ander tijdstip en elk met andere voorwaarden (leesteken, hoofdletter enz.). Prive heb ik ook nog een flink aantal wachtwoorden.
Resultaat: op mijn werk houdt ik ze daarom allemaal bij op papier, lekker onveilig dus eigenlijk. Maar ja, allemaal onthouden gaat het ook niet worden.
Onbegrijpelijk dat wachtwoord wijzigen nog steeds wordt afgedwongen. Als ik het vrijwillig zou kunnen doen dan kon ik het tenminste allemaal het zelfde maken en ook gelijktijdig wijzigen.
Ik weet dat er tooltjes voor zijn, maar ik mag hier niks installeren.

Ik vind het wel handig als je gewoon kan inloggen met je gmail of facebook (gmail dan liever!) Zo hoef je maar 1 wachtwoord voor alles te wijzigen. Nadeel is dan natuurlijk wel dat als je een keer gehackt bent dat je dan volledig gehackt bent....

Ik ga ook maar weer eens veranderen maar dan moet ik wel weten welke accounts ik allemaal heb. Iemand tips om je oude accounts weer te vinden want ik houd echt niet bij wat ik allemaal voor accounts heb

Wachtwoorden wisselen heeft volgens mij ook geen zin. Als ze de eerste konden vinden, dan kunnen ze vermoedelijk op dezelfde wijze ook de nieuwe vinden. Verder is het niet gezegd of dat het nieuwe wachtwoord beter is dan die je al gebruikt. Als het bruut force is, dan heeft het alleen zin als je wachtwoord steeds verder in de rij komt. Als je dezelfde hoeveelheid tekens gebruikt, zou het dus kunnen dat deze eerder in de rij voorkomt en dat deze dus sneller gevonden wordt. Dus eigenlijk moet je van 8 tekens naar 9 gaan en vervolgens naar 10 etc. Maar computers worden steeds sneller en bij bijvoorbeeld Amazon kan je voor een prikkie een heel arsenaal aan processorkracht inhuren welke wachtwoorden binnen no-time kraken. Volgens mij had iemand dit al een keer gedaan en was binnen bijvoorbeeld 10 minuten klaar, wat iets van een paar euro koste.

Ten eerste moet je volgens mij geen wachtwoorden gebruiken, maar wachtzinnen. I.p.v. "tiI^%76BB" gebruik je "Sinds 1999 ben ik al aardig aan het sparen. :)". Vaak zie je dat bij Wifi routers.
Ten tweede moeten opgeslagen wachtwoorden in keyloggers los van internet of computer of smartphone zijn. Ga ervan uit dat je niet weet dat bij jou een programma draait die schermafdrukken verstuurt met toetsaanslagen.
Ten derde, men moet niet weten dát je wachtwoorden opslaat. Dan gaat men ook niet zoeken.
Ten vierde valt en staat jouw wachtwoord/wachtzin met de beveiliging van bijvoorbeeld website waar je deze invoert.
Ten vijfde, gebruik nooit dezelfde wachtwoord/wachtzin voor andere websites. Vaak is je emailadres je gebruikersnaam. Dus als ze bij de ene binnenkomen, zullen ze dat wachtwoord ook voor de andere websites gebruiken.
Ten laatste (volgens mij), gebruik nooit echte antwoorden, maar random antwoorden, voor vragen in geval van wachtwoord recovery. Vaak zijn het dezelfde vragen (Hoe heet je hond. Wat is je eerste auto, e.d.) en vaak kan men deze op Facebook e.d. wel terug vinden (vooral hoe je hond heet ).

Mooi artikel op Wired, over de zwakten van een wachtwoord: http://www.wired.com/gadg...-honan-password-hacker/5/

Met korte samenvatting uit de comments:

Pg 4 gets to the problem:
The age of the password has come to an end; we just haven’t realized it yet. And no one has figured out what will take its place. What we can say for sure is this: Access to our data can no longer hinge on secrets—a string of characters, 10 strings of characters, the answers to 50 questions—that only we’re supposed to know.

Pg 5 conclusion:
The only way forward is real identity verification: to allow our movements and metrics to be tracked in all sorts of ways and to have those movements and metrics tied to our actual identity.

Ik zie ook het nut niet zo. Ik heb verschillende wachtwoorden voor verschillende sites en als er één gehackt wordt verander ik dat dan en daar.
Mijn bank verzin ik jaarlijks wat anders voor omdat de bank me dat oplegt, maar de rest zal me echt een worst wezen.
Kheb al zo veel codes in de kop als ik die ook nog allemaal moet gaan zitten verversen om de zoveel tijd...
Geen zin in. Niet voor dingen als een twitter of tweakers accountje i.i.g.

Ik hanteer alleen echte wachtwoord policies als het er toe doet voor wat voor reden dan ook.

[Reactie gewijzigd door Alpha Bootis op dinsdag 20 november 2012 23:18]

Ik wijzig mijn wachtwoorden ook niet vaak. Meestal 1 keer per jaar. Verder pleit ik er erg voor om voor websites verplicht te stellen om Two-factor authentication in te voeren. Websites waar die mogelijkheid geboden wordt maak ik gretig gebruik van. Helaas kent de Two-factor authentication de zwakte van applicatiespecifieke wachtwoorden. Als er een keylogger op je pc staat en zo'n wachtwoord wordt gelogt, ben je alsnog het haasje. Echter is het voor een doorsnee hacker heel wat lastiger om je account binnen te dringen. Verder zou het goed zijn dat bijv. OpenID meer ondersteunt wordt.