Change Your Password Day: 29 procent van de Belgen trekt zich er niets van aan

Zelfs een sterk wachtwoord moet regelmatig veranderd worden. Minstens eens per jaar, luidt de stelregel van Change Your Password Day, die wereldwijd op 1 februari plaatsvindt. Uit recent Belgisch onderzoek bleek dat bijna 29 procent van de gebruikers nooit wachtwoorden verandert.

Voor wachtwoorden gelden er drie basisregels: maak ze niet te makkelijk, gebruik nooit twee keer hetzelfde password voor belangrijke diensten, en zorg ervoor dat de wachtwoorden regelmatig worden vernieuwd. Om gebruikers daaraan te herinneren is 1 februari enkele jaren geleden uitgeroepen tot internationale Change Your Password Day. Uit een recent Belgisch onderzoek door AXA Partners bleek nog eens dat zo’n initiatief geen overbodige luxe is.

Uit dat onderzoek kwam naar voren dat 72 procent van de Belgen voor alle websites hetzelfde wachtwoord gebruikt. Bovendien past 28,9 procent dat wachtwoord nooit aan. Verder geeft 29 procent van de Belgen aan de wachtwoorden op een of andere manier te noteren. Dat hoeft in principe geen probleem te zijn, maar bij één op de vier gebeurt dat in de vorm van een briefje of post-it in de buurt van het bureau of de computer, wat wel risico's met zich mee kan brengen.

Overigens kent Nederland ook een Nationale Check Je Wachtwoorden Dag, telkens op 24 november. Op de website van dit initiatief staan tips om sterke wachtwoorden te genereren, algemene beveiligingstips en links naar een aantal bekende wachtwoordmanagers.

Lees meer

Reacties (119)

svenslootweg 1 februari 2019 11:51

Als je inderdaad een wachtwoordmanager gebruikt - en die ook je wachtwoorden laat genereren - dan is het dus nergens voor nodig om 'regelmatig je wachtwoord te veranderen'; dat advies dateert nog van de oude NIST-richtlijnen, waar na jaren ageren vanuit de infosec-gemeenschap eindelijk wijzigingen in zijn aangebracht.

Sterker nog, nu beveelt NIST aan om dat niet meer te doen.

Het oorspronkelijke idee achter het regelmatig wijzigen van wachtwoorden is dat, mocht er een dienst gehackt worden, je de impact limiteert door ieder wachtwoord maximaal X tijd geldig te laten zijn, waardoor de aanvaller vervolgens niet meer in je account kan na die tijd.

In de praktijk blijkt echter:

- Mensen kiezen zwakkere wachtwoorden om te compenseren voor dit rotatie-werk.
- Het tijdsbestek tot aan de volgende wachtwoordwijziging is lang genoeg dat een aanvaller 9 van de 10 keer alles kan doen wat hij of zij in gedachten had.
- Het hele nut van zo'n rotatie valt weg als je toch al geen wachtwoorden hergebruikt; als iemand je wachtwoord heeft voor een dienst, betekent dat hoogstwaarschijnlijk dat de dienst zelf gehackt is en de aanvaller dus toch al toegang tot alle gegevens en functionaliteit heeft.

Er zijn dan ook maar twee situaties waarin je daadwerkelijk je wachtwoord hoeft te veranderen:

1. Wanneer een site gehackt wordt (en dan zal de site dit doorgaans afdwingen), of
2. Wanneer je zelf je wachtwoord ergens lekt.

Met andere woorden: prima dat mensen zich niets van deze dag aantrekken, want regelmatig je wachtwoorden veranderen is gewoon geen zinvolle actie in de praktijk, en een hoop werk. Als het nou "schakel om naar een wachtwoordmanager"-dag geweest zou zijn, dan zou het nog nuttig zijn.

spoonman @svenslootweg • 1 februari 2019 12:25

Het kan ook anders:
- kies een sterk paswoord
- kies een manier om dit paswoord eenvoudig aan te passen voor iedere dienst

Voorbeeld:
- basis paswoord: @zM_=*12
Voeg de afkorting van de dienst/applicatie toe na de underscore

Facebook:@zM_fb=*12
Linkedin:@zM_li=*12
Microsoft:@zM_ms=*12
Google:@zM_g=*12
...

Een paswoord manager heb ik eerlijk gezegd nooit bekeken. Valt dat eenvoudig te gebruiken op pc/phone/tablet ?

[Reactie gewijzigd door spoonman op 26 juli 2024 16:53]

svenslootweg @spoonman • 1 februari 2019 12:44

Deze methode is absoluut onveilig. Zodra er twee van je wachtwoorden gekraakt worden (of zelfs eentje, in het geval van een aanvaller die goed is in puzzelen) kan je 'handmatige algoritme' eruit afgeleid worden, en kan iemand al je andere wachtwoorden raden. Het is in de praktijk dus niet noemenswaardig beter dan overal hetzelfde wachtwoord gebruiken.

Een wachtwoordmanager - digitaal of zelfs gewoon een notitieboekje - is echt de enige juiste oplossing hier.

Wat betreft je vraag: afhankelijk van welke wachtwoordmanager je gebruikt zijn er doorgaans synchronisatiemogelijkheden; bij door derde partijen gehoste wachtwoordmanagers is dat meestal automagisch via hun servers, en bij lokale wachtwoordmanagers zoals KeePass(XC) is het mogelijk om via iets als Dropbox zelf de bestanden te synchroniseren en met verschillende clients op verschillende platformen te gebruiken.

Hoe dan ook is er vrijwel gegarandeerd wel een wachtwoordmanager die werkt op alle platformen waar je hem nodig hebt.

spoonman @svenslootweg • 1 februari 2019 15:14

Deze methode is absoluut onveilig. Zodra er twee van je wachtwoorden gekraakt worden ...

Als ik een password manager gebruik, moet er één paswoord gekraakt worden, en dan hebben ze ook al mijn paswoorden?

svenslootweg @spoonman • 1 februari 2019 15:29

Hoewel dat technisch gezien kan kloppen (al ligt dat er helemaal aan of je een lokale wachtwoordmanager gebruikt of eentje die in de wolk leeft), ontbreekt in die opmerking een essentieel detail: welk wachtwoord er gekraakt moet worden.

Bij een wachtwoordmanager wordt je wachtwoord doorgaans (indirect) gebruikt als encryptiesleutel, en is er op z'n hoogst een (veilige) hash van dat wachtwoord opgeslagen in de wachtwoorddatabase. Dan moet je dus specifiek de wachtwoordmanager kraken en een zwakheid in het hashing-algoritme vinden danwel de encryptie bruteforcen.

Bij een handmatig algoritme ligt dat anders; daar kun je op eender welke twee websites inbreken, want zolang er maar twee websites zijn die de gebruiker gebruikt en die een wachtwoord als platte tekst of met bijvoorbeeld MD5 opslaan, heb je al toegang tot het volledige algoritme en dus alle andere wachtwoorden van die gebruiker. Het is triviaal om twee sites te vinden met slechte beveiliging.

Het verschil zit hem er dus in dat je bij een handmatig algoritme heel veel single points of failure hebt, waarvan er veel onveilig zijn en het niet uitmaakt op welke er ingebroken wordt; terwijl je bij een wachtwoordmanager maar een enkele single point of failure hebt, waarvan het zeer waarschijnlijk is dat deze veilig is.

In het kort: als je een wachtwoordmanager gebruikt en iemand op twee brak geschreven forums die jij gebruikt inbreekt, dan maakt dat helemaal niets uit. Als je in datzelfde scenario een handmatig algoritme gebruikte, dan ben je de pineut.

[Reactie gewijzigd door svenslootweg op 26 juli 2024 16:53]

Verwijderd @spoonman • 1 februari 2019 16:44

Bij een goede paswoordmanager in de cloud kan geen willekeurige browser of connectie bij de kluis. 1password bijvoorbeeld moet je bij de eerste wel wat meer info opgeven alvorens je in de kluis kan. Een vorm van MFA.

mvds @spoonman • 7 februari 2019 09:00

Een goede passwordmanager heeft 2FA mogelijkheden, dus dan is het al een heel stuk moeilijker. Neem er een met mogelijkheid tot het gebruik van bijvoorbeeld een Yubikey dan is het zelfs zo dat er een one time password (OTP) nodig is in combinatie met dat ene unieke wachtwoord.

Bij mij is het zo dat ik een wachtwoord moet invullen die een combi is met een stukje die ik zelf invul, samen met een deel wat van de Yubikey af komt (erg lang password) waarna er nog een keer om een OTP gevraagd wordt. Succes met proberen zou ik zeggen

Wel slim is om 2 Yubikeys te nemen, een voor gebruik en 1 als backup (opbergen in een kluis oid). Je kan wel om een recovery van je data vragen als je de key kwijt bent, maar dat is best lastig en tijdrovend

enigmafan @svenslootweg • 1 februari 2019 13:33

Deze methode is absoluut onveilig. Zodra er twee van je wachtwoorden gekraakt worden (of zelfs eentje, in het geval van een aanvaller die goed is in puzzelen) kan je 'handmatige algoritme' eruit afgeleid worden, en kan iemand al je andere wachtwoorden raden. Het is in de praktijk dus niet noemenswaardig beter dan overal hetzelfde wachtwoord gebruiken.

Als iemand heel erg geïnteresseerd is in specifiek jou dan is dit een aannemelijk scenario. In de praktijk verkrijgt een hacker(sgroep) een half miljoen wachtwoorden en gaat daarmee op andere sites hetzelfde e-mailadres en ww testen. Die gaan echt niet tussen dat half miljoen wachtwoorden zoeken naar die paar die 'wn' hebben verwerkt in hun wachtwoord voor site winkelnaam en dat dan testen voor andere sites.

Carharttguy @enigmafan • 1 februari 2019 14:28

Je beseft dat hackers gewoon 1 query uitvoeren en al dit soort gein er in een paar seconden uithalen?

enigmafan @Carharttguy • 1 februari 2019 15:05

Je beseft dat hackers gewoon 1 query uitvoeren en al dit soort gein er in een paar seconden uithalen?

Ik wil je direct geloven maar toch ben ik benieuwd dan of het zin heeft. Stel je voor dat mijn modus operandi is dat ik voor mijn wachtwoord het volgende gebruik; !Wsk( daarna de eerste letter van de afkorting voor de site (zeg facebook dus afkorting fb) en dan *HDs en dan de tweede letter en dan nog ^Fzm dus mijn ww voor facebook wordt: !Wsk(f*HDsb^Fzm
Als de hacker(s) alleen dit wachtwoord hebben dan moeten ze wel heel goed zijn in puzzelen om daar je standaard wachtwoord uit te raden. Goed, stel ze hebben ook m'n tweakers wachtwoord (!Wsk(t*HDsw^Fzm) dus ze kunnen nu zien dat ik de fb heb vervangen door tw. Nu hebben ze de keuze om (van die half miljoen buitgemaakte wachtwoorden) de 20.000 te gebruiken die daadwerkelijk overal hetzelfde wachtwoord gebruiken en heel snel te gebruiken zijn of ze gaan die 500 die mijn bovenstaand scenario volgen voor elke site raden wat het moet zijn (of geautomatiseerd alle 2-letter combo's proberen met als nadeel na 5 pogingen geblokkeerd). De hoeveelheid extra werk is kan het gewoon niet interessant maken om dit te doen. Tenzij, zoals ik al eerder zei, jij specifiek getarget wordt. Maar de hoeveelheid mensen die interessant zijn om specifiek te targetten kan echt niet groot zijn. Ik gok nog niet eens 0,001% van alle bezoekers op tweakers.

Carharttguy @enigmafan • 1 februari 2019 15:09

Neen inderdaad, jouw voorbeeld is al te complex, ik haakte meer in op wat @spoonman zei. Dus echt letterlijk de volledige naam gebruikers, facebook1234, linkdin1234 etc.

svenslootweg @enigmafan • 1 februari 2019 15:33

[...]

Als iemand heel erg geïnteresseerd is in specifiek jou dan is dit een aannemelijk scenario. In de praktijk verkrijgt een hacker(sgroep) een half miljoen wachtwoorden en gaat daarmee op andere sites hetzelfde e-mailadres en ww testen. Die gaan echt niet tussen dat half miljoen wachtwoorden zoeken naar die paar die 'wn' hebben verwerkt in hun wachtwoord voor site winkelnaam en dat dan testen voor andere sites.

Je vergeet het punt waar de databases uitlekken en jan en alleman gaan zitten graven naar de wachtwoorden van iedereen waar ze nog een appeltje mee te schillen hebben - die databases worden echt niet alleen maar geautomatiseerd gebruikt.

(Bovendien is het niet bijzonder moeilijk om een hoop van dit soort handmatige algoritmes geautomatiseerd vast te stellen, en gezien de waarde van exclusieve toegang tot sommige accounts, is er ook zeker een incentive voor aanvallers om hier tijd en moeite in te steken.)

Het gebruiken van zo'n handmatig algoritme is gewoon een onnodig risicovolle aanpak. Wachtwoordmanagers zijn in alle oppervlakken veiliger, en hebben dit risico niet, dus waarom moeilijk doen?

Fealine @spoonman • 1 februari 2019 12:38

Voordat ik een password manager gebruikte deed ik het ook exact op deze manier, maar liep steeds tegen issues aan waarbij de betreffende website mijn algoritme niet ondersteunde (geen @, minimale / maximale lengte, verplicht bepaalde type tekens, etc). Dit zorgde ervoor dat ik voor verschillende websites uitzonderingen moest maken en die uitzonderingen weer lastig waren te achterhalen wanneer het nodig was.

Nu al jaren een password manager met 128-bits wachtwoorden en ik zou niet meer terug willen naar welk systeem dan ook.

P_Tingen @Fealine • 1 februari 2019 14:48

Ik loop nu - met ww manager - ook nog wel eens tegen dit soort domme beperkingen aan; sites die geen ww accepteren die langer zijn dan x tekens bijvoorbeeld. Tja en daar kom ik dan aan met mijn wachtwoord als "&s93C75KGSbZvK8&"

Fealine @P_Tingen • 1 februari 2019 15:11

Klopt helaas snappen een hoop website bouwers nog niet hoe het zou moeten werken.

Maar dat is juist geen probleem met een wachtwoord manager. Je past je eenmalig tijdens registratie voor die site je wachtwoord aan en je hebt er geen omkijken meer naar.

Martao @Fealine • 1 februari 2019 22:34

Waaronder fucking ING....

gimbal @Martao • 1 februari 2019 22:49

... nee, die ondersteunen gewoon een wachtwoord van 20 karakters. Lang zat.

Martao @gimbal • 2 februari 2019 15:35

Hoezo is dat lang zat? Waarom zou je uberhaupt een maximum lengte willen?

Voor mij persoonlijk gold in ieder geval dat het reuze irritant is, omdat ik van mijn standaard wachtwoord systeem (nee, dus niet hetzelfde wachtwoord) af moest wijken. Dit levert over het algemeen niet een veiliger wachtwoord op.

[Reactie gewijzigd door Martao op 26 juli 2024 16:53]

DeTeraarist @P_Tingen • 1 februari 2019 18:49

Als een website een maximale lengte van het wachtwoord vereist, dan is de kans groot dat de boel gewoon plain-text opgeslagen wordt. Zouden ze gehashed worden, dan zou het weinig uitmaken hoe lang het wachtwoord is, de uiteindelijke hash heeft dan bij iedereen dezelfde lengte(op een aantal exotisch algoritmes na) en dan pas je het database veld daar gewoon op aan.

P_Tingen @DeTeraarist • 1 februari 2019 19:43

Ik snap best dat een site - om wat voor technische reden dan ook - een limiet aan de lengte van een wachtwoord wil zetten, maar doe dan een limiet van 1000 tekens of zo. In ieder geval iets waar een normaal mens niet zo snel tegenaan loopt.

spoonman @Fealine • 1 februari 2019 13:08

Klopt, daar loop ik af en toe ook tegen.

Misschien toch eens zoeken naar wat vergelijkende testen van paswoord managers

Jairbear @spoonman • 1 februari 2019 12:41

Ik gebruik Keepass.
De library sync ik met mijn Onedrive zodat één en hetzelfde bestand door mij thuis, mij op mijn werk, mij op mijn telefoon en mijn vrouw kunnen gebruikt worden.

Er bestaat een add-on die automatisch je keepass sync met die van je onedrive:
https://github.com/KoenZomers/KeePassOneDriveSync

Op android gebruik ik keepassDroid. Daar kan ik inloggen met fingerprint en hoef ik niet altijd te prielen met een touchscreen-keyboard. Wel moet ik af en toe handmatig een update afhalen van onedrive. Maar per gebruik kun je gewoon de usernaam en wachtwoorden copy pasten vanuit je notificaties.
http://blog.keepassdroid....sername-and-password.html

[Reactie gewijzigd door Jairbear op 26 juli 2024 16:53]

Primuszoon @Jairbear • 1 februari 2019 20:14

Ik moet eens op zoek naar een keepass app voor iOS die onedrive sync ondersteund. Ik heb vandaag een dropbox enkel en alleen om mijn keepass db te syncen terwijl ik met al de rest op onedrive zit.

CollisionNL @Primuszoon • 2 februari 2019 02:33

Wat maakt OD beter dan DB? Ik gebruik ook ivm IOS DB voor de sync.

Primuszoon @CollisionNL • 2 februari 2019 12:58

Niet beter of slechter maar bij Office 365 zit al 1 TB aan cloudopslag

CollisionNL @Primuszoon • 2 februari 2019 17:56

Duidelijk! Ik draai zelf een 'cloud' via mijn NAS. Helaas kan ik niet daarmee de Keepass DB realtime naar mijn Iphone syncen.

Dukey @spoonman • 1 februari 2019 12:45

Heb zelf al jaren Lastpass en ja die hebben apps die zich intregeren in het OS (ervaring met ios). Als je tijdens surfen of zelfs in een andere app een prompt krijgt kan lastpass aanbieden om ww automatisch in te vullen. Zij hebben ook een autheticator ala google authenticator met cloud backup, dit heeft me geholpen toen ik wisselde van telefoon.

RangedNeedles @spoonman • 1 februari 2019 12:47

Dus, eens ik weet wat voor paswoord je hebt (via 'n lek of social engineering etc.), geraak ik overal binnen als ik merk dat (een deel van de) naam van de website in je paswoord staat? Het is verleidelijk maar toch niet helemaal veilig.

Ik dacht mijn paswoorden onlangs ook op deze manier te wijzigen maar ik heb het onmiddellijk goed aangepakt en een paswoordmanager gaan gebruiken. Bevalt me best goed! Geen sync issues (desktop en mobile), alles wordt vanzelf ingevuld in online forms en met 'n paswoordlengte van 20 karakters incl. speciale tekens, hoofd- en kleine letters en cijfers, zit je wel goed. Wordt er dan toch eens iets gestolen, goed, dan blijft het beperkt tot die ene site

Stievydude @spoonman • 1 februari 2019 13:42

Lastpass werkt op pc, phone en tablet

CyberJack @spoonman • 1 februari 2019 14:50

In het verleden heb ik ook wachtwoorden op die manier onthouden, echter merkte ik al snel dat deze methode voor mij verre van ideaal was. Binnen no-time moest ik wachtwoorden aanmaken die niet aan deze regels voldeden, waardoor deze lastig/niet te onthouden zijn.

Zo liep ik tegen de volgende problemen aan:
- Site/dienst ondersteund bepaalde speciale tekens niet.
- Site/dienst is ooit gehacked en je moet een nieuw wachtwoord verzinnen.
- Site/dientst (vooral bij bedrijven intern) heeft een wachtwoord policy waarbij het wachtwoord verloopt en je een andere moet verzinnen.

Buiten wachtwoorden moet je ook een username onthouden... en was dat nu een zelf gekozen naam of een email adres (en welke email adres)? Al met al, nog meer om te onthouden.

Inmiddels gebruikt ik al jaren een een password manager (met 2FA waar mogelijk) en heb ik nergens last meer van. Bijkomend voordeel is dat ik nu een beter overzicht heb van waar ik allemaal een account heb.

[Reactie gewijzigd door CyberJack op 26 juli 2024 16:53]

Geerbeer94 @svenslootweg • 1 februari 2019 12:15

- Mensen kiezen zwakkere wachtwoorden om te compenseren voor dit rotatie-werk.

Precies dit hebben wij op werk, we moeten elke 3 maanden ons ww wijzigen. Vb. Wachtwoord 1: qwerty123
Wachtwoord 2: qwerty234

Ik heb het al eens aangekaart, maar ze zijn niet zo snel bij IT.

mg794613 @Geerbeer94 • 1 februari 2019 12:32

Mijn ervaring is dat het meestal niet aan IT ligt, maar aan een Manager die overruled "ja dat is echt te moeilijk hoor, moet gewoon m'n werk kunnen doen met 'welkom123'"
Tja, sta je dan met je goeie ideeën.

Geerbeer94 @mg794613 • 1 februari 2019 16:40

IT is bezig met het wachtwoordprobleem, akkoord van management is er. Er wordt ook gekeken naar een passwordmanager, want als mijn inlog ww zwak is, dan is die bij website nog veel zwakker. Maar ja, gewoon wachten tot het fout gaat en dan zal er een keer vaart in komen.

blackadder91 @Geerbeer94 • 1 februari 2019 13:24

Ha, bij ons is dat elke 2 weken! Vervolgens heeft elk bureau een whiteboard waarop de naam van de collega staat en een nummer erachter dat elke 2 weken +1 gaat. De pc's van de lab instrumenten hebben respectievelijk elke 3, 4, 8 en 12 weken een nieuw wachtwoord nodig.

ArnoutV

@blackadder91 • 1 februari 2019 13:30

Dus schijnveiligheid, want niemand kan met een systeem overweg waar je zo vaak je wachtwoord moet veranderen.

El_Bartholomew @Geerbeer94 • 1 februari 2019 12:22

Hadden ze bij ons ook, resultaat overal gele post itjes op de bureaus met de wachtwoorden ...

theduke1989 @Geerbeer94 • 1 februari 2019 12:28

Om de 3 maanden is nog laks gezegd

Wij moeten elk maand de wachtwoord veranderen. De normale wachtwoord en je admin wachtwoord. De eindgebruiker alleen de normale account.

Uit veilig handelen natuurlijk. Daarnaast uitsluitend op het LAN / VPN netwerk. Niet eens via wifi naar bedrijf toe.

En minimaal 10 karakters

Proxx @Geerbeer94 • 1 februari 2019 12:48

wij hebben op eenzelfde policy, niet omdat wij dit zo graag willen maar onze accountants leggen ons die richtlijnen op. en onze IT-manager volgt dit advies trouw op, wetende dat het juist misbruik in de hand helpt.

Geerbeer94 @Proxx • 1 februari 2019 16:42

Niks aan te doen dan. Helaas vormt phishing bij ons een groter probleem, je zou denken dat als je een advocaat bent je slim genoeg bent om een phishing mail te herkennen. Maar nee hoor...

Mathi159 @Geerbeer94 • 1 februari 2019 12:48

Ik garandeer dat de meeste werknemers daar [seizoen][jaartal] gebruiken.

Verwijderd @Geerbeer94 • 1 februari 2019 16:49

Als een goed MFA systeem verplicht gesteld wordt en dus ook afgedwongen, dan is het complexiteit en leeftijd van een wachtwoord een stuk minder relevant.

drdray29 @Geerbeer94 • 2 februari 2019 11:11

@geerbeer94 waar werkte je ook alweer ?

slijkie @svenslootweg • 1 februari 2019 12:17

Precies dit, heb voor 99/100 diensten een ander wachtwoord, random generated 14-18 tekens. Vind het onnodig om dit vaak te wijzigen. Ben ook recent begonnen met een domein te gebruiken voor elke dienst (bijv. tweakers@domein.nl voor tweakers en mediamarkt@domein.nl) zodat dit ook beter los van elkaar is. Jammer dat het zo lastig allemaal moet, Maarja, het is maar zo.

Sircuri @slijkie • 1 februari 2019 12:36

Dit doe ik precies zo. Heb een password manager die voor elke login een nieuw ww genereert. Verder gebruik ik voor elke website waar ik weer eens onnodige informatie moet achterlaten een alias op mijn eigen domeinen voor de email adressen.
Dit maakt het overigens ook heel makkelijk om te achterhalen wie je gegevens doorverkoopt

StefanJanssen @svenslootweg • 1 februari 2019 13:10

Some systems require that passwords be changed a few times a year, which actually made password security worse. Frequent password changes often created weaker passwords and bigger vulnerabilities.

Als ik dit lees zie ik juist dat ze zeggen dat het slecht is omdat men dan vaker slechtere wachtwoorden maken. Dus juist als je WEL een password manager gebruikt zou je regelmatig je wachtwoord moeten wijzigen aangezien een dergelijk systeem altijd even goede wachtwoorden genereerd.

Horstenator @StefanJanssen • 1 februari 2019 14:06

Dus juist als je WEL een password manager gebruikt zou je regelmatig je wachtwoord moeten wijzigen aangezien een dergelijk systeem altijd even goede wachtwoorden genereerd.

Nee, ook als je wel goede wachtwoorden hebt heeft periodiek wijzigen geen zin, omdat de hackers niet netjes een paar weken wachten voor ze je gestolen wachtwoord gebruiken.

StefanJanssen @Horstenator • 1 februari 2019 16:24

Nee, maar stel ze doen er 4 jaar over het te kraken en je wisselt het na een jaar is de kans een stuk kleiner dat het gekraakt wordt. En wat Sven zegt is dat het wordt afgeraden, maar met een wachtwoordmanager wordt het dus niet afgeraden.

svenslootweg @StefanJanssen • 1 februari 2019 18:33

Het punt is dat het totaal niet relevant is of een wachtwoord gekraakt wordt, als je voor iedere dienst een ander wachtwoord gebruikt; als ze namelijk bij de hash van je wachtwoord op die dienst konden, hadden ze vrijwel zeker ook toegang tot de rest van je data op die dienst, en is een hash kraken totaal onnodig.

Vandaar dat het niet nodig is om je wachtwoord regelmatig te veranderen als je een wachtwoordmanager gebruikt, en dit is dan ook de reden waarom "verander regelmatig je wachtwoord" niet als beleid bij diensten ingevoerd moet worden. In plaats daarvan moeten die diensten aanraden een wachtwoordmanager te gebruiken.

StefanJanssen @svenslootweg • 1 februari 2019 19:45

Ik mag hopen dat een dienst als DigiD niet alle gegevens in 1 enkele database heeft staan maar dat gemeentelijke informatie gescheiden is van CBR, belastingen, DUO etc, en zo zijn er wel meer diensten waarbij het op deze manier geregeld is. Ook wat je tegenwoordig steeds vaker ziet met federated systems zal wat jij zegt niet opgaan.

En nogmaals:
OP stelt dat het wordt afgeraden wachtwoorden te wijzigen als je met een password manager werkt.
Ik stel dat het wijzigen van een wachtwoord in ieder geval geen negatieve gevolgen heeft als je met een password manager werkt

[Reactie gewijzigd door StefanJanssen op 26 juli 2024 16:53]

svenslootweg @StefanJanssen • 1 februari 2019 20:43

Het maakt niet uit of de gegevens in meerdere databases staan; ieder systeem dat met de juiste inloggegevens toegang kan geven tot een ding X, kan als het gehackt wordt ook zonder die inloggegevens toegang geven tot dat ding X (al is dit wel alleen geldig voor het systeem dat de inloggegevens controleert). Immers, om toegang te kunnen geven tot iets aan iemand anders, moet het zelf daar al toegang toe hebben.

Het punt blijft dus ook bij bijvoorbeeld DigiD geldig: als iemand in kan breken op de authenticatieservers van DigiD, dan kan die persoon zich voordoen als wie dan ook, inclusief bij diensten van derden als het CBR of de Belastingdienst.

--

Vanuit beveiligingsoogpunt heeft het inderdaad geen negatieve gevolgen om een wachtwoord te wijzigen, wanneer je met een wachtwoordmanager werkt. Wel is het een onnodig en behoorlijk arbeidsintensief werkje, en dat is voor veel mensen wel een negatief gevolg

Sterker nog, die workload kan er toe leiden dat mensen geen wachtwoordmanager gaan gebruiken, als ze er (onterecht) van overtuigd zijn dat regelmatig wachtwoorden veranderen belangrijk is. Het lijkt dan immers op veel meer werk. Vandaar dat dit verhaal over regelmatig wachtwoorden wijzigen echt schadelijk advies is.

stresstak @svenslootweg • 1 februari 2019 13:12

Er zijn dan ook maar twee situaties waarin je daadwerkelijk je wachtwoord hoeft te veranderen:
1. Wanneer een site gehackt wordt (en dan zal de site dit doorgaans afdwingen), of
2. Wanneer je zelf je wachtwoord ergens lekt.

3. Wanneer de bank het van mij verlangt.

Maar goed, de passwordmanager had je toch al open. Genereer nieuwe en leef door.
Sla wel nieuwe kopieen van de veranderde database op.

svenslootweg @stresstak • 1 februari 2019 18:33

Vandaar ook mijn klacht over dit soort regelmatig-veranderen-beleid bij organisaties; dit zou je bank uberhaupt niet van je moeten verlangen

(Uiteraard kun je daar als klant niet veel aan doen, behalve klagen bij de bank in kwestie.)

ep667

@svenslootweg • 1 februari 2019 13:18

Behalve een wachtwoordmanager, gebruik ik tegenwoordig ook 2FA waar mogelijk. Een stapje extra, maar als dat voorkomt dat een lek ervoor zorgt dat iemand mijn creditcardgegevens buitmaakt, dan neem ik dat voor lief.

BuZZem @svenslootweg • 1 februari 2019 15:04

Ik wilde daar dus wat over zeggen, maar je bent me voor en uitgebreider.

one word: achterhaald.

en zelfs zonder wachtwoordmanager hoeft het niet als je maar een goede password routine hebt.

en de poll is ... niet zo goed.
Sommige rotzooi passwords of gebruikt op plekken die ik niet zo secure acht verander ik regelmatig. er zijn ook passwords die ik al best lang gebruik (maar die zijn dan ook van de volledige tekenset, no dictionary en een behoorlijkelengte categorie - die zijn niet irritant want muscle memory works)

[Reactie gewijzigd door BuZZem op 26 juli 2024 16:53]

Oyxl @svenslootweg • 1 februari 2019 18:12

Amen. Fijn dat ik niet de enige ben die even zn hoofd schudde bij het lezen van het artikel. Zolang je unieke, lange, maar goed te onthouden wachtwoorden gebruikt voor belangrijke zaken, zoals je primaire en bedrijfsemail en zaken waar creditcards aan hangen en bij voorkeur een vorm van 2fa, dan ben je gewoon veilig tenzij de dienst wordt gekraakt. En als dit gebeurt, blijft de schade beperkt tot dat ene incident.

Ik heb zelf drie categorieen wachtwoorden.
Moeilijk, voor email e.d. , 36+ chars en vreemde tekens.
Middel, rond de 16
Makkelijk, onder de 10

Die bovenste zijn allemaal uniek
Die middelste zijn lang maar niet altijd uniek. Die gebruik ik voor zaken waar ik liever mn data niet van kwijt raak, zoals een AAA game account.
De onderste komen meestal enigszins overeen met elkaar, op een getal na ofzo, en die gebruik ik voor internet fora e.d. Waar geen koppelingen met mail of facebook aan hangen.

ChAiNsAwII @svenslootweg • 3 februari 2019 10:34

password managers zuigen, je geeft gelijk alles weg.

svenslootweg @ChAiNsAwII • 4 februari 2019 15:05

Hoe bedoel je?

bantoo 1 februari 2019 11:45

Ik gebruik een password manager. Wachtwoorden veranderen doe ik enkel in het geval dat ik weet dat ergens een database gelekt is waar ik een account heb. Het veranderen van wachtwoorden is mij toch echt te veel gedoe. Ik vraag me ook sterk af hoeveel nut het heeft in de praktijk.

zarex @bantoo • 1 februari 2019 11:52

In enterprise omgevingen heeft dit zeker wel nut voor privileged accounts, maar dan het liefst in combinatie met PAM oplossingen zoals cyberark. Hierbij wordt het wachtwoord door het centrale systeem beheert, waardoor je onder andere betere auditability krijgt.

Blokker_1999

België
Networking en security
Wachtwoord

@zarex • 1 februari 2019 12:01

Tot je in de logs begint te kijken wanneer niemand zich er iets van aantrekt.

Step5 @zarex • 1 februari 2019 23:14

In een bedrijfsomgeving of school of wat dan ook is het denk ik ook wel nuttig want je weet niet altijd of er iemand meekijkt en oplet. Thuis achter de pc zal dat al minder een probleem zijn.
Al zie je natuurlijk op het werk ook wel de post-its en briefjes onder de klapper... Tjah

GekkePrutser

Wachtwoord

1 februari 2019 11:46

Tja, als je goede wachtwoorden gebruikt (random gegenereerd in paswoord manager) en verschillend per site, dan is het toch niet zo nodig om die ook steeds te gaan veranderen? Dat is alleen nodig als er op die betreffende site een lek is geweest.

Sowieso vind ik dat paswoorden zouden moeten uitsterven en alles met public key authenticatie zou moeten lopen (vanuit een secure enclave op het apparaat of een token zoals een yubikey), maar daar zijn we nog niet helaas (gelukkig komen we wel in de buurt nu met dingen als Webauthn).

Dus ja ik ben een van die die ze minder dan 1x per jaar verandert, in zo'n geval is dat niet meer dan bezigheidstherapie.

[Reactie gewijzigd door GekkePrutser op 26 juli 2024 16:53]

Splitinfinitive @GekkePrutser • 1 februari 2019 11:51

is het juist niet gevaarlijk om "random" gegenereerde wachtwoorden te gebruiken? dit omdat er een algoritme aan de grondslag ligt? zodat ze mischien niet het wachtwoord zelf kraken maar het algoritme waardoor ze weer wachtwoorden kunnen genereren voor een wordlist?

mij is altijd gezegd om iets te doen van bijvoorbeeld "muispaardK!kk3r" of iets dergelijks omdat computers hier minder goed mee om kunnen gaan.

kan het mishebben. plus mij lijken wachtwoorden minder belangrijk met dingen zoals 2FA e.d.

GekkePrutser

Wachtwoord

@Splitinfinitive • 1 februari 2019 11:58

Dat is alleen in theorie mogelijk, niet in de praktijk.

"Ze" moeten maar net weten:
- Wat je random seed was (afhankelijk van je computer op dat moment)
- Welk algoritme je gebruikte met welke parameters (paswoord lengte, wat voor soort tekens enz)

En dan gaat het ook nog eens om paswoorden van online diensten waar je na een paar pogingen geblokkeerd wordt (of zou moeten worden!)

Dus in de praktijk: Nee, dit is niet praktisch mogelijk. Random generatie op een PC is inderdaad niet perfect. Maar wel goed genoeg voor dit soort toepassingen.

De reden dat die "muispaard" paswoorden genoemd worden is omdat dit makkelijk te onthouden is voor mensen en omdat de lengte de bepalende factor is bij bruteforcing. Dit maakt het makkelijker voor mensen om een lang wachtwoord te onthouden. In het geval van een paswoord manager is het zelf onthouden aspect helemaal irrelevant en kan je veilig lange wachtwoorden gebruiken.

Door bekende woorden te gebruiken maak je het alleen maar makkelijker voor aanvallers omdat ze woordenboeken kunnen maken in combinatie met regels die de woorden uit die woordenboeken combineren. Zie bijv. de tool Hashcat die daar een heel uitgebreide scripttaal voor heeft.

[Reactie gewijzigd door GekkePrutser op 26 juli 2024 16:53]

svenslootweg @Splitinfinitive • 1 februari 2019 12:16

Je hebt deels gelijk; als je een voorspelbaar algoritme gebruikt, dan is het inderdaad mogelijk voor een aanvaller om op basis daarvan wachtwoorden te raden. Dit is ook precies waarom handmatige algoritmes ("pak de eerste drie letters van de naam van de service, dan twee letters van je gebruikersnaam, ..." enz.) een slecht idee zijn.

Een goede wachtwoordmanager zal echter iets gebruiken dat een CSPRNG heet - een Cryptographically Secure Pseudo-Random Number Generator. Dat doet zo ongeveer wat de naam suggereert; het genereert willekeurige nummers (of breder gezien, waardes) die cryptographically secure zijn, oftewel niet te voorspellen. Dit is bijvoorbeeld ook wat gebruikt wordt om keypairs te genereren.

Ieder (serieus) besturingssysteem levert hiervoor een gebruiksklare API aan.

Het genereren van wachtwoorden in een goede wachtwoordmanager is dan ook volledig veilig; het zal in de praktijk niet mogelijk zijn voor een aanvaller om af te leiden hoe je wachtwoorden tot stand komen.

(Edit: Ter volledigheid, de definitie van "cryptographically secure" heb ik in bovenstaande iets versimpeld. Er zijn meerdere karakteristieken die een PRNG moet hebben om CS te zijn, maar die zijn hier niet relevant om te benoemen.)

[Reactie gewijzigd door svenslootweg op 26 juli 2024 16:53]

daellat @Splitinfinitive • 1 februari 2019 11:54

Die algoritmes zullen ook veranderd worden en ze moeten heel wat wachtwoorden vangen van dezelfde manager + algoritme en zelfs dan zal het omzetten vrij lastig worden. Ook dingen zoals 2fa en dingen als extra stap nodig bij nieuw apparaat / locatie helpen een hoop

svennd @Splitinfinitive • 1 februari 2019 11:55

Jep, als een hacker het algoritme kan achterhalen heeft hij minder entropy om te kraken. Maar veel paswoord services hebben verschillende algoritmes (+ length + complexiteit +...) , en sommige gaan ook gewoon regelmatig aanpassen. Waardoor deze attack vector super minimaal is. Veel makkelijker is de gebruikers die geen paswoord manager hebben.

sjanssen15 @Splitinfinitive • 1 februari 2019 11:58

In dit geval krijg je dat men standaard alle E en I vervangt door 1 en 3. Ook gooien ze er woordenboeken tegen aan. Zeker in het geval dat je weet dat iemand Nederlands is kun je standaard woorden combineren uit Nederlandse woordenlijsten/boeken en zou je op bovenstaande wachtwoord kunnen komen.

Ook de opbouw van wachtwoorden is heel vaak te voorspellen. Denk aan eerste letter met een hoofdletter en als einde jaartallen/getallen.

.oisyn Moderator Devschuur® @Splitinfinitive • 1 februari 2019 12:16

mij is altijd gezegd om iets te doen van bijvoorbeeld "muispaardK!kk3r" of iets dergelijks omdat computers hier minder goed mee om kunnen gaan.

Dan heeft die persoon die dat gezegd heeft er compleet geen kaas van gegeten. Computers kunnen heel snel bruteforcen, maar een reeks van compleet willekeurige tekens geeft vele malen meer mogelijkheden dan een reeks woorden waarbij tekens vervangen worden door vergelijkbare tekens.

Wat natuurlijk wel zo is, is dat een willekeurige tekenreeks lastig te onthouden is en een reeks met woorden niet. Maar dan moet je je "wachtwoordzin" wel iets langer maken dan die drie woorden. Helaas werkt dat dan weer niet zo goed samen met de vaak compleet absurde eisen die men stelt aan het wachtwoord (zoals een maximumlengte, of de eis dat er minimaal een kleine letter, hoofdletter, een cijfer en een teken in moeten

).

Maar goed, een passwordmanager verhelpt natuurlijk al die problemen (compleet random en toch voldoen aan de willekeurige eisen die gesteld worden).

[Reactie gewijzigd door .oisyn op 26 juli 2024 16:53]

downtime @GekkePrutser • 1 februari 2019 11:51

Maar hoe weet je of jouw password gelekt is? Ben je er zo van overtuigd dat alle bedrijven waar passwords lekken het zelf weten en jou ook nog eens eerlijk informeren?

GekkePrutser

Wachtwoord

@downtime • 1 februari 2019 12:19

Als een bedrijf mijn paswoord lekt en daar misbruik van wordt gemaakt, dan kan dat alleen bij dat bedrijf zelf, immers gebruik ik dat paswoord nergens anders. Dan zijn ze daar zelf ook verantwoordelijk voor. Bovendien: als dat bedrijf gehackt is dan hebben de aanvallers mijn paswoord niet eens nodig om van mijn account daar misbruik te maken

Maar dit is wel de reden dat ik vind dat paswoorden gewoon moeten verdwijnen en we helemaal over moeten op public key authenticatie.

Want: Met public key kan je authentificeren tegen een partij zonder ze de mogelijkheid te geven zich als jouzelf voor te doen. Met een paswoord kan dit wel. Met een PKI systeem geef je de privesleutel nooit uit handen, je gebruikt hem wel maar hij kan niet door de gene bij wie je aanmeldt gekopieerd worden.

[Reactie gewijzigd door GekkePrutser op 26 juli 2024 16:53]

Clemens123 @downtime • 1 februari 2019 12:36

Normaal gezien kunnen wachtwoorden niet lekken als bedrijven het goed aanpakken, aangezien normaal gezien salted hashes van wachtwoorden opgeslaan worden:

- Op het moment dat jij je wachtwoord ingeeft, wordt niet het wachtwoord doorgestuurd maar een hash van het wachtwoord. Dit wordt telkens vergeleken met de hash die op de server opgeslaan wordt (en bij het registeren wordt enkel de hash ook doorgestuurd)
- Er wordt salt aan toegevoegd, wat wil zeggen iedere gebruiker krijgt een random ID of zo toegekend aan je gebruikersnaam (in plain tekst beschikbaar), en het wachtwoord wordt geconcateneerd met die ID alvorens te hashen. Op die manier creeeren zelf dezelfde wachtwoorden verschillende hashes.
- Er worden hashes gebruikt die goed zijn, dat wil zeggen niet omkeerbaar.

Dat wil zeggen als iemand de wachtwoord database van een bedrijf hacked is er eigenlijk geen probleem: de dieven hebben de hashes, maar niet de wachtwoorden.
Als ze ook de (geencrypteerde) bedrijfsgegevens hebben kunnen ze met de opgeslagen hashes eventueel toegang verkrijgen tot die gegevens met de hashes, en is dit problematisch voor de gegevens van het bedrijf in kwestie. Daarom is het ook cruciaal dat beide niet opdezelfde manier toegankelijk zijn en de kans dus klein is dat hackers en de gegevens en de wachtwoorddatabase hacken.

Maar wachtwoorden zullen ze in principe niet vinden, en accounts van andere sites zijn veilig. En als enkel de wachtwoordhashes gehacked worden zijn zelfs de accounts van die sites veilig.

[Reactie gewijzigd door Clemens123 op 26 juli 2024 16:53]

downtime @Clemens123 • 1 februari 2019 12:45

“Als bedrijven het goed aanpakken”, je zegt het zelf al, en daar staat of valt jouw hele verhaal mee.

Malantur

@downtime • 1 februari 2019 12:25

Vaak wordt de database ‘in het wild’ gespot en wordt deze opgenomen in https://haveibeenpwned.com.
Gisteren ook nog dit artikel met een andere database:
nieuws: Verzameling met 2,2 miljard accounts stond online

RoofTurkey 1 februari 2019 11:48

Wachtwoordmanagers zijn echt een uitkomst voor dit probleem, of in ieder geval een groot deel ervan. Het zou mooi zijn als hier wat meer voorlichting over komt ipv alleen aan onderwerpen als phishing. Zelf gebruik ik al jaren met veel tevredenheid keepass, maar andere opties als lastpass zijn ook erg goed. Daarvoor gebruikte ik een zelf gebouwde manager, maar daarvan durfde ik op een gegeven moment toch niet echt meer te vertrouwen dat het veilig 'genoeg' was.

Edit: in deze tools is het ook mogelijk om een herinnering te zetten om je wachtwoord te vernieuwen, zeker niet verkeerd gezien datalekken vaker voorkomen dan je zou denken/gemeld worden.

[Reactie gewijzigd door RoofTurkey op 26 juli 2024 16:53]

Verwijderd @RoofTurkey • 1 februari 2019 12:03

Het probleem met wachtwoordmanagers vind ik persoonlijk juist dat de wachtwoorden zo random en lang zijn. Natuurlijk fijn voor je veiligheid, maar ik wil ook gewoon kunnen inloggen op websites als mijn telefoon leeg/thuis is en ik daar niet een 25 karakter brij van letters en cijfers voor hoef te hebben.

Ik denk ook dat dat een deel is van waarom niet meer mensen het gebruiken, leuk dat ze random wachtwoorden creeëren, maar dit zijn helemaal niet praktisch voor mensen.

RoofTurkey @Verwijderd • 1 februari 2019 13:45

Het genereren van wachtwoorden is slechts één van de vele functionaliteiten die een wachtwoordmanager biedt. Als alternatief kun je ook gewoon zelf wachtwoorden invoeren, met alsnog het voordeel dat je ze niet hoeft te onthouden (en dus ook makkelijker steeds andere kunt gebruiken). Als middenweg heb je ook nog de optie om de moeilijkheid van de generator naar beneden bij te stellen (bijvoorbeeld alleen letters en cijfers en geen speciale karakters). De mogelijkheden zijn ruim genoeg om ieder naar zijn/haar wens te bedienen, maar het probleem zit hem vooral in voorlichting.

Verwijderd @RoofTurkey • 1 februari 2019 13:47

Maar wachtwoorden invoeren creeërt hetzelfde probleem. Ik wil gewoon zonder toegang tot mijn telefoon ook kunnen inloggen. Er zijn wel eens plekken waar ik deze niet bij me heb of waar hij leeg is, dan sta je daar, ook als je 100 verschillende wachtwoorden hebt voor 100 verschillende sites.

Als er een manier zou zijn om zonder batterij de opslag te doen, dan zou dat voor mij al veel beter zijn.
Ik denk dat genoeg mensen weten dat wachtwoord123 niet slim is, maar bij gebrek aan een eenvoudiger alternatief kiezen mensen de makkelijkste optie, daar gaat voorlichting niet veel aan veranderen ben ik bang.

RoofTurkey @Verwijderd • 1 februari 2019 14:56

Je zou je wachtwoordenkluis portable kunnen maken op bijvoorbeeld een versleutelde usb stick of in de cloud. Liever nog een keyfile meenemen op versleutelde usb stick (of vergelijkbaar) en de kluis zelf in de cloud achter een sterk wachtwoord (zinnen zijn relatief sterke wachtwoorden). Ook hier geldt weer dat (van) alles mogelijk is, maar je moet het maar net weten.

sewer @Verwijderd • 1 februari 2019 14:59

Probleem is kleiner dan je wellicht denkt.

Ik gebruik lastpass, die is er als app voor ios/android, en ook als plugin voor chrome. Voor alle devices die ik beheer (zowel thuis als op het werk) kan ik via die weg direct bij mijn wachtwoorden zonder de telefoon te hoeven gebruiken.

Als ik op een andere device zou zitten en de telefoon niet bij me hebben, dan kan ik ook altijd nog naar de website van lastpass gaan en daar inloggen. Dan kan ik ook mijn gewenste wachtwoord eruit trekken.

svenslootweg @Verwijderd • 1 februari 2019 18:39

Serieus advies: overweeg een notitieboekje te gebruiken. Het is minder veilig dan een wachtwoordmanager (want je hebt die extra laag beveiliging met een master password niet), maar nog altijd veiliger dan overal hetzelfde wachtwoord gebruiken of handmatige algoritmes gaan gebruiken. Fysieke aanvallen komen niet zo heel veel voor.

mvhorssen

@RoofTurkey • 1 februari 2019 11:58

Eens, ik heb eerst een tijd Lastpass gebruikt, maar vond de apps en UI het allemaal net niet. Nu gebruik ik alweer een klein jaar 1Password (1 time buy licentie) die ik synchroniseer via iCloud.

Er is wel kritiek op het gebruik van wachtwoordmanagers, bijvoorbeeld dat het een single point of failure is. Ik ben het hier mee eens, echter denk ik dat in veel gevallen het gebruik van een wachtwoordmanager zorgt voor een veiliger manier van werken. Het gemak weegt voor mij op tegen de bezwaren.

MrBreaker @mvhorssen • 1 februari 2019 12:43

Die kritiek is wel iets om rekening mee te houden.

Daarom gebruik ik keepass, waarbij de database online staat (enkel benaderbaar met een user name en wachtwoord, waardoor deze op elk device altijd gesynchroniseerd is) en er voor het openen van de database ook een keyfile nodig is.

Zou iemand dan je wachtwoord weten/loggen dan hebben ze ook nog toegang nodig tot de database en tot de keyfile.

Verwijderd @mvhorssen • 1 februari 2019 16:55

In die combinatie zou ik wel rekening houden met die kritiek.
Als je 1password-cloud gebruikt, zitten er veel meer lagen van beveiliging overheen dan in jouw situatie.

Maar iedereen moet zelf de balans tussen gemak, kosten en veiligheid (risico) bepalen.

Demonitzu 1 februari 2019 16:14

Één argument voor regelmatig wachtwoorden veranderen is als websites/diensten het achterliggende algoritme van het hashen van de wachtwoorden veranderd heeft (ervanuitgaand dat de bestaande hash niet opnieuw gehashed is)

Salmon @Demonitzu • 1 februari 2019 18:11

Met de essentie van de zin op "als"... Hoe vaak veranderende gevestigde websites hun algoritme voor de wachtwoorden? Nooit of eenmaal (indien er al een keer een datalek heeft plaatsgevonden bijvoorbeeld).

Demonitzu @Salmon • 1 februari 2019 21:47

Het is mogelijk met een software update als er kant-en-klare software wordt gebruikt, maar dat komt vast niet vaak voor

Sensei_D 1 februari 2019 12:00

Wachtwoorden, dat is toch niet meer van deze tijd vind ik. De mooiste oplossing die ik ben tegengekomen is die van PostNL (ffs

). Daar geef ik mijn e-mailadres op om te identificeren en krijg ik op mijn e-mail een loginlink. Ik druk daarop en ben in hun app of site ingelogd. Zonder wachtwoord! Ik ken de technische implmentatie niet en weet niet hoe secure dit is, maar vanuit een eindgebruiker gezien... Mooier gaat bijna niet!

Waarom is het niet veel meer mainstream om gewoon aan te geven wie je bent en dit moet bewijzen met iets van die gebruiker; een mobile device, een e-mailadres, een token, whatever. Ik denk vast te simpel, omdat ik mij nu gedraag als eindgebruiker

Maar een wachtwoord uniek moeten houden op ieder account en dat ook nog om het jaar wijzigen voor ieder account zonder dubbele te gebruiken is onmogelijk zonder tooling. Die tool heeft dan weer 1 wachtwoord... Voelt gewoon vreemd aan vind ik.

aap @Sensei_D • 1 februari 2019 12:30

PostNL vertrouwt er dan wel op dat jij je e-mail wel beveiligd hebt met een wachtwoord.

Nathan13877 @Sensei_D • 1 februari 2019 13:14

Het grootste probleem hiermee is dat je ergens iets moet vertrouwen. Of dit een hardware matig iets is (vinger afdruk) of software matig (in dit geval, email). Bij je email gebruik je wel een wachtwoord. Het probleem hiermee is dus dat als iemand je email wachtwoord heeft, ze ook gelijk bij PostNL kunnen.

(Wachtwoorden die met email gereset kunnen worden hebben hetzelfde probleem)

comecme @Nathan13877 • 1 februari 2019 13:49

Bijna altijd kunnen wachtwoorden via email gereset worden. Zelfs wachtwoorden met 2FA. Dat is wel een risico.

Maar ja, hoe moet een site dat anders doen?

De enige die dat echt veilig doet is DigiD, omdat die een code naar je woonadres sturen.

Sensei_D @Nathan13877 • 1 februari 2019 14:08

Ja tuurlijk guys, voor mijn e-mail heb ik wel een wachtwoord, maar het is er al 1 minder in dit geval

Maar als je voor toegang tot je e-mail nou alleen opgeeft wie je bent. Je registreert eenmalig je telefoon en als je wilt inloggen krijg je daar een melding en geef je toestemming om in te loggen met een tap op het scherm en je vingerafdruk. Sure, als mensen je toestel in handen krijgen en kunnen unlocken kun je inneens bij alle accounts. Maar veel mensen met een password manager hebben precies op diezelfde telefoon een app voor diezelfde passwords, dus het beschreven probleem bestaat nu eigenlijk al. Alleen is dan nu de oplossing (de password manager) imho meer een work-around. Is toch niet praktisch

svenslootweg @Sensei_D • 4 februari 2019 15:11

Er zijn meerdere problemen met die inlogmethode:

- Het is een hoop gedoe als je niet constant je e-mailclient bij de hand houdt. Het valt namelijk totaal niet als proces te automatiseren (terwijl dat met bijv. een wachtwoordmanager of keypair-gebaseerde authenticatie wel kan).
- E-mails kunnen relatief gemakkelijk onderschept worden. Dit is al een risico bij wachtwoord-reset-mailtjes, maar dan krijg je in ieder geval nog een indicatie dat er iets mis is (want dat mailtje verwacht je niet). Een enkel login-mailtje tussen de tientallen/honderden valt totaal niet op, en kan dus dienen als manier om geruisloos op een account in te breken.

Wachtwoorden zijn inderdaad al lange tijd een achterhaalde methode - en wachtwoordmanagers zijn daar een soort workaround voor - maar deze e-mailmethode is niet echt beter.

Er zit meer toekomst in dingen als de WebAuthn-standaard, waar je browser al dan niet met fysieke 'hardware token' automatisch voor jou in kan loggen op de sites die je bezoekt, zonder dat daar een wachtwoord bij komt kijken.

Aiii 1 februari 2019 11:47

Tsja, ergens een lovenswaardig initiatief, maar ergens heb ik zoiets van: spendeer die tijd en dat geld liever aan voorlichting over hoe men password managers installeert, gebruikt, hoe het cross device werkt en hoe makkelijk het is om wachtwoorden automatisch in te vullen ermee, zodat mensen daarop overstappen.

Het is niet realistisch om van mensen te verwachten dat ze ieder jaar een sterk nieuw wachtwoord bedenken, en dan ook nog een voor elk van de "belangrijke" services die ze gebruiken. Terwijl er een heel simpele oplossing is die voor de mindere technische personen ook goed te gebruiken is, maar waar ze simpelweg geen weet van hebben of waarvan ze denken dat het heel lastig te gebruiken is.

[Reactie gewijzigd door Aiii op 26 juli 2024 16:53]

Christoxz 1 februari 2019 11:50

Denk dat in Nederland het er net zo veel zijn als in Belgie.
En dan had ik eigenlijk nog gedacht dat hier op Tweakers daar weinig van zullen zijn, maar aan de resultaten van de poll te zien valt dit ook zwaar tegen(Ik ben der een van!) maar als je weer een password manager gebruikt met unieke wachtwoorden is dit natuurlijk ook niet echt nodig.

Aiii @Christoxz • 1 februari 2019 12:00

Dat, ik heb soms geantwoord, maar alleen omdat de optie "ik heb een password manager" ontbreekt.

WaterFire @Aiii • 1 februari 2019 12:09

Dat argument ontgaat mij.
Het hebben van een moeilijk wachtwoord binnen een password manager heeft toch niets met de vraag in de poll te maken, het al dan niet regelmatig aanpassen van je wachtwoord?

Gehacked is gehacked en gelekt is gelekt, als de andere kant het kraakbaar opslaat kan je het zo ingewikkeld maken als je wilt, het komt uiteindelijk als plain text tevoorschijn.

Aiii @WaterFire • 1 februari 2019 12:17

Waarom zou ik 200 random gegenereerde 32-karakters lange wachtwoorden ieder jaar gaan aanpassen?

Zelfs als zou iemand het wachtwoord in plain-text hebben in een collection, dan zijn ze nog geen steek verder. Als er een website specifiek gehacked wordt, kan ik op dat moment het wachtwoord op die website veranderen. Het heeft w.m.b. geen doel om daar een jaarlijks klusje van te maken.

WaterFire @Aiii • 1 februari 2019 13:22

Als er een website specifiek gehacked wordt, kan ik op dat moment het wachtwoord op die website veranderen

In de regel sturen de hackers je geen vriendelijk mailtje dat op 'dat moment' je gegevens in hun bezit gekomen zijn. Je ziet toch regelmatig de berichten dat 'enkele maanden geleden' een inbraak is geweest?

Ik probeer je niet te overtuigen hoor, ik doe het zelf niet beter. Maar het ging mij om de redenatie dat een manager de 'change your password day' overbodig zou maken.
@svenslootweg beschrijft ook het tegendeel hieronder, hij begon zo goed, tot de praktijk er bij kwam..

[Reactie gewijzigd door WaterFire op 26 juli 2024 16:53]

Aiii @WaterFire • 1 februari 2019 13:35

Op het moment dat ik persoonlijk gehacked wordt sturen ze inderdaad geen mailtje. Maar op dat moment wordt ik gehacked ongeacht of ik vorig jaar, vorige maand, of 3 jaar geleden voor het laatst mijn wachtwoord op die specifieke website heb aangepast.

Die website is hoe dan ook compromised, tenzij je beargumenteert om wekelijks een wachtwoord aan te passen, natuurlijk, maar jaarlijks aanpassen voorkomt slechts je scenario als de "maanden geleden" hack op de getroffen website net voor dat jaarlijkse aanpas-momentje geschiedt.

Uiteindelijk is in dit scenario de kans vrij groot dat zowel jij met je jaarlijkse aanpas-moment en ik met mijn vaste gerandomiseerde wachtwoord compromised zijn op deze website, en we komen er samen tegelijk achter als het mailtje van de website zelf, of van ihavebeenpwned.com binnenkomt.

Daarnaast nog even terzijde, als een hack pas maanden later ontdekt wordt, hebben de kwaadwillende tussen het ontdek-moment en de tijd dat de hack heeft plaatsgevonden altijd toegang via de nog niet gepatchte website. Zelfs als zou je je wachtwoord hebben aangepast, kunnen ze altijd nog een nieuwe dump maken met je nieuwe wachtwoord.

[Reactie gewijzigd door Aiii op 26 juli 2024 16:53]

iCore 1 februari 2019 11:51

Ik ben er nu mee bezig, toen ik gister dit artikel zag: https://tweakers.net/nieu...ccounts-stond-online.html Werd ik toch een beetje bang.

Gelijk maar even een Password manager aangeschaft en alle wachtwoorden verander met auto-gegenereerde wachtwoorden vervangen (moest ik tuurlijk eerder doen...) , 1x per jaar al mijn wachtwoorden veranderen is tuurlijk dan ook slim. Wat gedoe, misschien soms nutteloos, maar ik vind het het wel waard.

Zonder Password manager was elk jaar wachtwoord veranderen wel een beetje onmogelijk

detheavn 1 februari 2019 11:52

Ik heb nog nooit van een "Nationale Check Je Wachtwoorden Dag" of "Change Your Password Day" gehoord, dus ik kan me best voorstellen dat mensen er dan geen gehoor aan geven. Daarintegen weet ik wel dat Talk Like a Pirate Day op 19 september is, dus misschien moeten ze met de wachtwoordendagen even werken aan een stukje extra promotie

Ik update mijn wachtwoorden eigenlijk best regelmatig, maar dus wel altijd adhv KeePass en in het verleden ook LastPass. Is gewoon iets waar je aan gewend moet raken

Op dit item kan niet meer gereageerd worden.

Change Your Password Day: 29 procent van de Belgen trekt zich er niets van aan

Hoe vaak verander jij je wachtwoorden?

Lees meer

Reacties (119)

Sorteer op:

Weergave: