Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 117 reacties

TV5Monde, dat woensdagavond werd gehackt, blijkt niet al te voorzichtig met wachtwoorden. In een tv-interview over de hack was in ieder geval het wachtwoord van het YouTube-kanaal van TV5Monde voor iedereen te lezen.

Het wachtwoord van het YouTube-kanaal stond op een post-it die tijdens een interview met TV5Monde-verslaggever David Delos te lezen was. Het interview met het Franse tv-programma 13 Heures vond plaats naar aanleiding van de hack op TV5Monde door jihadistische aanvallers, die de socialemedia-accounts vulden met extremistische boodschappen en de zender offline wisten te halen.

Op de post-it in de achtergrond stond 'lemotdepassedeyoutube', wat het wachtwoord van het YouTube-kanaal bleek te zijn, achterhaalde Twitter-gebruiker pent0thal. In het Nederlands luidt dat 'het wachtwoord van YouTube'. Ook waren er post-its met de wachtwoorden van de Twitter- en Instagram-accounts, maar die konden niet goed worden gelezen.

Hoewel het interview met 13 Heures niet de aanleiding van de hack kan zijn geweest - het vond immers na de hack plaats - geeft dit wel aan hoe slordig TV5Monde omsprong met wachtwoorden. Beveiligingsonderzoekers raden sterk af om wachtwoorden onversleuteld op te slaan, laat staan op post-its. TV5Monde noemde de hack tot nu toe echter 'zeer geavanceerd'.

Moderatie-faq Wijzig weergave

Reacties (117)

Het zijn niet alleen post it die daar hangen met password maar ook volle muren...
Dit is niet helemaal fair naar tv5monde. Hoe veel medewerkers van bedrijven plakken hun monitor niet vol met Post-it notes voor hun wachtwoorden en loginnamen. Zolang er geen goed wachtwoord systeem uitgevonden wordt, zal dit ook wel zo blijven. Nou moeten ze niet ineens doen alsof tv5monde zo slecht omgaat met wachtwoorden en op deze manier helemaal zwart worden gemaakt in de media.

Update:
Even een aanvulling op mijn post vanwege de berichten hieronder. Ik zeg dus ook niet dat TV5Monde goed bezig is door post-it notes te plakken op je monitor. Feit is gewoon dat veel medewerkers van bedrijven dit doen. En wat ik bedoel met een "goed systeem" wat nog uitgevonden moet worden, heeft betrekking op het algemene username/wachtwoord systeem wat we nu eenmaal kennen in de online wereld. Daarbij geeft elke website wel weer een eigen draai aan hoe je wachtwoord er persee uit moet zien, waardoor het soms erg moeilijk wordt om je wachtwoorden te onthouden. Een soort global single-signon zou een mogelijkheid kunnen zijn of inderdaad inloggen op een compleet andere manier waar toch veel bedrijven mee bezig zijn om uit te zoeken.
Ikzelf heb ook 2 wachtwoorden, waar ik dan variaties om maak (cijfer erin, hoofdletters) totdat een website ineens bepaald dat er ook een speciaal leesteken in moet. Juist dat zijn de wachtwoorden die ik dus altijd vergeet. Waarom dwingt een website mij een wachtwoord te kiezen die ik niet kan onthouden of waar ik dus persee een password tooltje voor nodig heb?

[Reactie gewijzigd door Sircuri op 10 april 2015 09:29]

Er is hele goede software waar je een soort van kluisje van wachtwoorden mee kunt maken. Dan hoef je bijvoorbeeld als bedrijf voor al je sociale media maar 1 wachtwoord te onthouden en met dat wachtwoord unlock je het wachtwoord voor de site die je eigenlijk wil bezoeken. Scheelt al weer een paar post-its ;).
@roy-t
Wat als "die hele goede software' het ineens niet meer doet?

Ik vind zo'n ingewikkelde portemonnee levensgevaarlijk als je er van afhankelijk bent.
Stel dat je over 30 jaar nog even het password van je levensverzekering moet opgeven, en het zit versleuteld verstopt in 'die hele goede software' van 30 jaar geleden. :(
Er zijn altijd extremen te bedenken.
Maar met zo'n systeem moet je dan ook inspelen op de tijd en omstandigheden.

Ik heb de google inactiviteitsmode aanstaan.
Elke 6 maanden krijg ik een herinnering of alles nog klopt.
Als ik 30 dagen geen account-activiteit heb, krijgt mijn vrouw en broertje een email met instructies.

Die moet ik bijhouden natuurlijk, daarin staat mijn "digitale testament"
Een verwijzing en locatie naar mijn key-database en de toegangscode's om te ontsluiten.
( de database staat op een usbstick, hangende aan de binnenkant van de meterkast )

Ik heb mezelf dus aan moeten leren om elke maand mijn keyfile uit dropbox te kopiëren naar die usbstick, om hem up to date te houden.
Ook moet ik de betreffende mail + adressen bijhouden en tijdig aanpassen, over 30 jaar kan het zomaar zijn dat het anders is ... tegen die tijd is dáár ook wel weer een oplossing voor
Wow, geweldige functie van google. Net ingeschakeld, als er ooit iets gebeurt met mij krijgen mijn ouders alle gegevens.
Stel dat je over 30 jaar nog even het password van je levensverzekering moet opgeven, en het zit versleuteld verstopt in 'die hele goede software' van 30 jaar geleden. :(
Dertig jaar alle monitoren bewaren omdat er een post-it opgeplakt zit is ook geen pretje ..
Dit is mij overkomen. Jaren geleden draaide ik thuis op Windows 2000 en besloot enkele bestanden met privé-gegevens op te slaan in PGPDisk (vergelijkbaar met Truecrypt). Inmiddels ben ik al jaren over op Linux en werkt PGPDisk daar niet meer. Daarnaast ben ik ook het wachtwoord vergeten en is het bestandsformaat van PGPDisk nergens gedocumenteerd zonder ik het ook niet kan brute-forcen. Ik ben zelfs vergeten wat er in zat en ik denk dat ik er ook nooit meer achter kom...

P.S. Als iemand nog tips heeft wat betreft PGPDisk onder Linux, dan houd ik me aanbevolen.
Alle wachtwoordsystemen zijn er op ingesteld dat je je wachtwoord kunt vergeten. Het vervelende van het wachtwoord van je kluis vergeten is alleen dat je voor meerdere sites een nieuw wachtwoord aan moet vragen.

Zelfs het vergeten van je DigiD wachtwoord is geen ramp. Die krijg je gewoon opnieuw over de post.
En dan kennen dus meerdere personen van het bedrijf het passwoord van de kluis.
Als bedrijf leg je dan wel heel veel vertrouwen in de kenners van het meesterpasswoord.
Je kan verschillende kluizen maken maar dan zit je weer met meerdere passwoorden, en dat is net hetgene wat je wou vermijden.
Dat is juist het hele idee. Je maakt 1 kluis voor alle social media. Dan kunnen je werknemers die bij social media moeten er makkelijk mee werken. Als je niet op die manier doet heeft elke werknemer die bij de social media accounts moet 5 post-its op zijn/haar bureau.

Natuurlijk maak je meerdere kluizen voor verschillende functies. Maar het is niet minder veilig, immers zouden dit dezelfde mensen zijn die anders het 'kale' wachtwoord zouden hebben.

En tsja, alles achter 1 wachtwoord kan natuurlijk niet.
Dus role based passwoord kluizen. Dat is inderdaad wel een goed idee :)
Dat werkt prima, bij ons ook ingevoerd.

combinatie van schijftoegang & keepass database's extern opgeslagen hebben.
Afdeling één heeft de ww voor hun afdelingen, en overlappende service's staan in beide database's

( het zijn hier geen 100'en accounts, eerder rond de 15 ... het is overzichtelijk )
Er bestaan inderdaad al best goede systemen om met 1 hoofdwachtwoord al je wachtwoorden te bewaren. Er zijn zelfs systemen waarbij iedereen een eigen account en dus eigen hoofdwachtwoord heeft, maar waarbij je account gegevens beveiligd kan delen. Als je dit op de juiste manier managed heb je in ieder geval geen post-its meer nodig. Maarja de zwakste schakel in de beveiliging blijft helaas hoe de gebruiker met de procedures om gaat.

Om een voorbeeld te noemen wat ik zelf binnen mijn huishouden gebruik: https://www.dashlane.com/ werkt bovendien ook op alle populaire platformen. Ik hoef nooit meer een wachtwoord te bedenken/onthouden ik moet alleen zo nu en dan mijn meester wachtwoord aanpassen. Maar zelfs met die in handen hebben ze nog mijn authenticator nodig. Genoeg lagen van beveiliging voor mijn persoonlijke wensen.

[Reactie gewijzigd door MittaM op 10 april 2015 11:26]

Ben ik met je eens. Ik zeg ook niet dat ze goed bezig zijn. Ik zelf gebruik ook zo'n password tool. Maar het ging me even om de algemene zin. Op veel bedrijven hangen nou eenmaal plakbriefjes op monitoren voor allerhande gegevens. Daar reageerde ik op.
Daarnaast is dit mogelijk ook gebeurt door de hele hack op de zender, waardoor ze als noodsprong via youtube zijn gegaan. Ik denk tenminste niet dat elke TV zender een live youtube stream standby heeft staan voor het geval hun complete station gehacked wordt.

Neemt natuurlijk niet weg dat er veilig met wachtwoorden om gegaan moet worden.

Die pasword tools zijn natuurlijk wel nuttig, maar je moet natuurlijk wel volledig vertrouwen hebben in die tools, immers staan daar al jou (al dan niet random generated) gegevens in. Dus als zo'n tool niet betrouwbaar blijkt te zijn of zelf gehacked wordt... Gebruik ze wel voor de meeste zaken maar de echt belangrijke onthou ik liever zelf of vertrouw ik dan liever aan een stukje offline papier toe wat het huis niet verlaat, Maar natuurlijk niet open en bloot naast de pc ligt/hangt

[Reactie gewijzigd door VVV-007 op 10 april 2015 09:19]

Misschien heb ik teveel BOFH gelezen maar als ik interim bij een bedrijf dan ben ik zo bot om ieder wachtwoord dat ik tegenkom op een postit onmiddellijk te gebruiken, het wachtwoord te veranderen en daarna de betreffende manager / directeur in te lichten. De betreffende werknemer kan dan bij die manager / directeur verhaal - en zijn nieuwe wachtwoord - halen. Binnen een week zijn dan bijna alle postits verdwenen, ook die aan de onderkant van het toetsenbord. En ja, een aantal werknemers vinden me ineens niet meer zo aardig - het lot van de signalerende en pro-actieve interimmer.

De volgende stap KeePass / 1Password / LastPass / mSEcure enz. blijft een moeilijke. Werknemers vinden dit te moeilijk en pleuren de wachtwoorden dan maar in een Excel documentje, volledig vertrouwend op de beveiliging van het netwerk.
Sowieso, vooral zo doorgaan hoor. Moet je eens in mijn systeem inloggen met mijn creds. Kun je zien wie aan het kortste eind trekt. Je hebt daar niets te zoeken.
Mijn leidinggevende is destijds juist hier om ontslagen.
Kon zijn spullen pakken en vertrekken, staande voet.

( mijn ww stond weliswaar niet op een postit, maar via een omweg en klein falen in ons toenmalig systeem had de leidinggevende toegang tot de database waar de ww in stonden )

2 problemen opgelost, ten eerste had hij niets in die database te zoeken, en al helemaal niet in mijn gegevens.
en hij was niet zo heel populair op de werkvloer < mede om dit soort zaken >

( hij maakte de fout om bestanden te openen op momenten dat ik niet eens aanwezig was, EN er veranderingen in aan te brengen in zijn voordeel )

[Reactie gewijzigd door FreshMaker op 10 april 2015 13:46]

Ik doe dit soort dingen natuurlijk alleen op aangeven van management / directie. Er is natuurlijk consultatie en instructie aan voorafgegaan, een stuk begeleiding maar uiteindelijk ook waarschuwingen - ik hoef jou vast niet te vertellen hoe dat werkt, lijkt me ook niet nodig op een platform als tweakers.

Dat jij mij gaat vertellen dat ik totaal niet weet hoe dingen werken, jammer - ik weet volgens mij verdomd goed hoe de dingen werken en wat ik wel/niet mag. ik weet exact mijn juridische positie. Jammer dat je ook niet door had dat mijn eerdere berichtje een versimpeling en chargering is. NB. inloggen op netwerk accounts is natuurlijk geen sprake van: zo'n wachtwoord is simpel te resetten via bv. AD. Met sommige andere accounts is dat niet mogelijk. Het betreft hier de allerlaatste gebruikers in een bedrijf die erg veel moeite hebben hun gewoontes af te leren. Het alternatief was een officiële waarschuwing vanuit HR naar de betreffende werknemers. Dat is zo voorkomen - en inderdaad, je maakt je daar even niet populair mee bij deze paar mensen, dat hoeft op dat moment ook niet, zolang de goede verstandhouding op langere duur wel goed blijft - en dat lukt mij tot nu toe altijd. Ik ben er natuurlijk niet op uit om iemand te zieken, ik drink op vrijdagmiddag ook liever gezellig een biertje.

Wonderlijk dat jij daarnaast met judische blabla komt terwijl je zelf coquetteert met het logo van een ander, ook al zijn het misschien je initialen. Maar dit terzijde.
Ook goed voor papierloos werken, hoewel dat dan weer lastig werkt in de journalistiek...
Er is alsnog slecht omgegaan met wachtwoorden. Als je je personeel geen training geeft over hoe ze met wachtwoorden om moeten gaan roep je het over je af dat het gebeurt. Misschien heeft het personeel er geen schuld aan maar het bedrijf dan wel. Hadden ze het maar duidelijk moeten maken.
Personeel is net zo goed het bedrijf.

Vind het verdomd goedkoop dat het personeel op een dergelijke manier getracht wordt te ontzien en met een vingertje naar de leiding/management probeert te wijzen.

Er wordt nu de claim gemaakt dat het een geavanceerd IS-gerelateerde hack is waarbij vervolgens ook nog eens bijbehorende maatregelen worden ondernomen en vanuit de politiek medeleven wordt betuigd,
terwijl een kind van 9 jas deze grap had kunnen uithalen omdat de wachtwoorden overal rondslingeren.

Personeel had met een beetje verstand zelf moeten aangeven dat het op een dergelijke manier geen werkbare situatie is waarbij de gevolgen niet te overzien zijn.
Een media-bedrijf dat veel naar buiten communiceert moet sowieso zijn kanalen naar buiten eens goed tegen het licht houden. Welke redacteur heeft de bevoegdheid, wie beheert de accounts, wie is tweede man, etc.

Lijkt er op dat TV5 nog erg veel achterloopt met betrekking tot relatief simpele regels over omgaan met ICT.
Nou moeten ze niet ineens doen alsof tv5monde zo slecht omgaat met wachtwoorden en op deze manier helemaal zwart worden gemaakt in de media.
Ze gáán slecht met de wachtwoorden om wanneer ze een post-it met het wachtwoord op TV laten zien.

Daarnaast zijn ze de media, waarbij zij het afdoen als een geavanceerde hack. Ze maken zichzelf zwart met het zaaien van paniek, terwijl de daadwerkelijke oorzaak kinderlijk eenvoudig is.
Daar heb je absoluut gelijk in. Het is een media bedrijf en ze zijn er zelf mee naar buiten gekomen. Het is absoluut knullig om je post-it notes zo open en bloot voor de camera te hebben hangen.
Tactisch is het zeker niet van ze.

Geeft wel weer eens aan dat bedrijven eens achter hun oren moeten krabben wat betreft wachtwoord beleid voor hun medewerkers.
Dit is niet helemaal fair naar tv5monde. Hoe veel medewerkers van bedrijven plakken hun monitor niet vol met Post-it notes voor hun wachtwoorden en loginnamen.
Are you kidding me? Élk bedrijf (en dan wil ik nog wel bakkeleien over de bakker op de hoek) dat medewerkers heeft met post-its op de monitoren hoort aan diezelfde schandpaal.
Zolang er geen goed wachtwoord systeem uitgevonden wordt, zal dit ook wel zo blijven
Er is méér dan genoeg software voorhanden om dit beter en goed op te lossen zoals Lastpass, 1Password, Keepass en ga zo maar door waarbij je kunt kiezen voor al-dan-niet cross-platform, commercieel vs. gratis, cloud vs. lokaal etc. Voor ieder wat wils.

En je maakt 't nog een stuk veiliger door 2FA te vereisen (wat o.a. door YouTube/Google maar alle andere social media zoals FB en Twitter ook ondersteund wordt (en niet alleen op social media, vele andere bedrijven ondersteunen dit ook)); dan kun je met een wachtwoord alleen nog steeds niets.

[Reactie gewijzigd door RobIII op 10 april 2015 09:11]

Niet ieder bedrijf kan ff 2fa invoeren omdat niet alle softwRe dit ondersteund, daarnaast moet er daarvoor weer een mobiel worden aangeschaft met te goed waar je geen drol mee doet. Leg maar eens uit aan de baas: "We moeten toestel x voor bedrag x nemen met x te goed. We bellen er niet mee, dus dat geld komt weer te vervallen."
99% van de bazen lacht je uit.
Voor 2FA heb je geen mobiel nodig (en als je er toch een gebruikt heb je geen beltegoed o.i.d. nodig; je kunt SMS'jes ontvangen maar veel makkelijker is gewoon een app als Google authenticator of Auty o.i.d. gebruiken waardoor je ook 'offline' gewoon kunt inloggen. "Veel" software ondersteunt het niet misschien maar voor de software/websites die dit wél ondersteunen is er geen excuus IMHO.

[Reactie gewijzigd door RobIII op 10 april 2015 09:29]

Dan moet je wel software hebben dat het ondersteund.
Overstappen op andere software is niet te doen omdat bazen dit verbieden.
Dan moet je wel software hebben dat het ondersteund.
D'uh.
Je kunt je software-leverancier ook gewoon lief vragen het te implementeren. Over het algemeen is 't zo geďmplementeerd en er zijn zat kant-en-klare libraries voorhanden voor de meeste platformen / talen. Hell, ik heb er zélf een gemaakt ;)
Dan moet je alsnog toestemming krijgen om dat uit te voeren en tijd is geld... opnieuw zal je keiharde nee krijgen.
Verwijs ik je even naar RobIII in 'nieuws: Gehackt TV5Monde blijkt slordig met wachtwoorden' ;) :w

Met jou / je baas z'n houding komen we er wel d:)b

Ik kan je wel verklappen dat je een lul-de-behanger van een baas hebt; in 99 v.d. 100 gevallen waar ik 't tegen kom bij conculega's etc. is het geen probleem, en al helemaal niet als je de voordelen uitlegt.

[Reactie gewijzigd door RobIII op 10 april 2015 09:38]

2FA kan ook zonder extra mobiel. Bijvoorbeeld met een Yubikey of op een bestaande telefoon/iPod/iPad als app (Google Authenticator, Authy). Daarnaast kost veiligheid natuurlijk wat, maar het ontbreken ervan kan nog veel meer kosten!

[Reactie gewijzigd door davasch op 10 april 2015 09:29]

Dan heb je daarop weer makkelijk wachtwoord....
Weet je: je kunt ook problemen blijven zoeken ("het mag niet", "de baas wil het niet", "het kost geld", "heb een telefoon nodig", "moeilijk"). Met zo'n houding moet je gewoon lekker vooral opgeven en post-its op je monitor plakken. Er is zat voorhanden, het kost niets (of althans: het hoeft niets te kosten) en het is helemaal niet moeilijk. Maar als je te lam bent je een beetje in te lezen en vooral graag je schouders ophaalt en zucht en verder klaagt: laat mij je pret niet bederven ;) Ga ervoor!

[Reactie gewijzigd door RobIII op 10 april 2015 09:33]

Ik zelf wil niets liever, moet zelfs anno 2015 welke datum is het vandaag????
10 April 2015 werken op een WINDOWS XP bak en krijg geen go voor upgrade naar nieuwer OS. Ook is daar het wachtwoord beleid slap, maarja een go is dan maar ermee leven.
Heb zelf waar het kan op al mijn privé dingen 2fa geactiveerd.
Heb zelf waar het kan op al mijn privé dingen 2fa geactiveerd.
Zou je niet zeggen a.d.h.v. je reacties hier... Waarom post je iets als
"We moeten toestel x voor bedrag x nemen met x te goed. We bellen er niet mee, dus dat geld komt weer te vervallen."
dan? Want dan had je geweten dat dat argument totale kul is.

Maar goed; mijn punt is gemaakt. Wat jij / de rest van de wereld ermee doet moet je / moeten ze zelf weten. Ik zeg alleen maar:

[Reactie gewijzigd door RobIII op 10 april 2015 10:03]

Dat gaat over het bedrijfsleven niet over het privé leven.
Je moet niet denken alsof bazen makkelijk zijn.
Je moet niet denken alsof bazen makkelijk zijn.
Je moet niet denken dat alle bazen lul-de-behangers zijn. De meesten bijten niet en kun je prima eens aanspreken over iets als dit ;)
Ik heb het geprobeerd en het is een lul de behanger.
Waarom ik nog op xp moet werken is mij een raadsel.
Dat heb je zelf in de hand, of de organisatie als ze het goed geregeld hebben.

Het is op die manier ook makkelijker om voor iedere account een ander wachtwoord te kiezen. Als er dan een uitlekt kunnen zie niet in álle accounts.
Ja, maar de 2FA blijft wel intact. Het voorkomt dat je op het scherm van de post-it een wachtwoord kunt afschrijven en thuis even gaan inloggen op de betreffende account. 2FA gaat er net om dat je iets weet (het wachtwoord) en iets hebt (een mobiel nummer, een yubi key, de betreffende tablet, ...).

Daarnaast kan het ook met single factor een stuk veiliger zoals al meerdere malen is neergepend hier. Wachtwoorden opschrijven en opplakken is simpelweg not done
Men kan bijvoorbeeld LastPass Enterprise nemen, kost zeer weinig geld en is toch al een pak veiliger.
Je moet dan wel geld hebben en niet veel bedrijven zwemmen in het geld.
Wat Blokker_1999 in 'nieuws: Gehackt TV5Monde blijkt slordig met wachtwoorden' zegt. En het kost je $24,- teruglopend naar $18,- per werknemer / jaar. Op een minimumloon is dat ¤18.021,60 + ¤22,59 = ¤18.044,19. Een verschil van 0.125%. Het is niet alsof dat nou een fortuin is. Als je zo krap in je winst/marge zit heb je wel een ander probleem. Maar er zijn ook zat gratis alternatieven dus dat argument gaat sowieso niet op.

[Reactie gewijzigd door RobIII op 10 april 2015 09:47]

En als we de ROI-praat van LastPass mogen geloven brengt het zelfs nog op ;-)

Maar goed, tot daar nog aan toe, het is inderdaad een verwaarloosbare kost op je personeelskost.
Als je rekent wat een tijdsverlies het bijvoorbeeld niet is als iemand dat 'uberveilige' wachtwoord heeft aangepast en dat niet heeft gecommuniceerd naar de rest (en hoe doe je dat op een veilige manier via de gebruikelijke kanalen zonder dat je een IT-techneut nodig hebt)...

Bij mijn laatste werkgever gebruikten we LastPass dagelijks, alle wachtwoorden volledig random, en van tijd tot tijd veranderde iemand dan wel eens een wachtwoord.
Niemand die er last van had, want iedereen moest het toch opzoeken in LP.
(Met 'iedereen' bedoel ik overigens 4 mensen inclusief mezelf die hier toegang tot hadden)
En wat denk je dat dit ene incident gekost heeft aan het bedrijf? Waarom nemen mensen een verzekering bijvoorbeeld? Dat is ook weggegooid geld, totdat er iets gebeurd.
Wat dacht je van Keepass bijvoorbeeld ?
Daarin kun je al je wachtwoorden opslaan.
Daarin moet je 1 keer in loggen om bij je wachtwoorden te kunnen.
Je hoeft maar 1 wachtwoord te onthouden en deze hoef je dan ook niet op een Post-It op te slaan.

[Reactie gewijzigd door Thrilseeka op 10 april 2015 09:06]

Ik begrijp niet waarom je op 0 staan want je hebt zeker een punt.
Ik zag het ook op de bank waar ik werkte, zeer strenge wachtwoordeisen (elke maand een nieuwe, niet als de vorige 36 maanden, zoveel dit en dat, niet te veel op elkaar lijken). Iedereen had dus een wachtwoord met de naam van de hond of partner, aangevuld met een volgnummer.
Zolang er geen goed systeem is zal dit blijven.

Prive heb ik een algoritme in mijn hoofd dat een standaardwachtwoord (dat ik kan onthouden) is en voor elke site een unieke prefix koppelt. Ik heb overal een ander wachtwoord, en een sterk wachtwoord dat ik toch altijd kan onthouden!
Het is alleen jammer dat bijvoorbeeld Telfort roet in het eten gooit want vind dat ik tekens gebruik/teveel heb die volgens hen niet veilig zijn :? Daar vraag ik dus altijd mijn wachtwoord voor op... op papier ;(
Bij een van mn werkgevers was het zo dat we dat soort blaadjes direct weg moesten halen, en aan de leidinggevende van de persoon waarvan het was moesten overhandigen. Die moest dan controleren of de usernames/passwords inderdaad van bedrijfsystemen waren, en zo ja actie te ondernemen tegen de medewerker.

Het was wel hilarisch als je dan bij de leidinggevende van iemand zn kantoor in kwam, het briefje overhandigde en vervolgens bij die leidinggevende gelijk ook weer zo'n blaadje van zn monitor/pc kast kon trekken en gelijk door kon naar ZIJN leidinggevende..

Ergens voelde het heel overdreven, maar gezien de info waar het om ging was het imho volledig terecht.
Het is fair naar tv5monde. Zij hanteren een jaren 80 aanpak aangaande hun (online) accounts. Dat is zeer onverstandig, en dit is een prima voorbeeld waarom. Wie zijn billen brand moet op de blaren zitten. Dat anderen hun billen (nog) niet gebrand hebben is jammer voor het "gevoel van rechtvaardigheid" van tv5monde.

@Update:
Waarom dwingt een website mij een wachtwoord te kiezen die ik niet kan onthouden of waar ik dus persee een password tooltje voor nodig heb?
Omdat het hebben van een veilig wachtwoord belangrijker is dan het hebben van een wachtwoord dat je kunt onthouden.
Alhoewel die praktijken bij bedrijven niet goed zijn is er volgens mij toch wel een groot verschil met een bedrijfskantoor waar in princiepe alleen medewers komen of een tv station waarvan de beelden de hele wereld over gaan.
Neem net niet persoonlijk, maar hoe een Senior Consultant met IT opleiding zulke uitspraken kan doen gaat mijn petje te boven.

Er is geen enkele reden waarom je in godsnaam passwoorden op een post-it zou willen schrijven.

Buiten het feit dat er software genoeg is om paswoorden veilig op te slaan zou elk bedrijf voor zijn sociale media accounts 2 factor authentication moeten gebruiken. Youtube, Twitter, Facebook ondersteunen het allemaal.
Het security-aware maken van je medewerkers is een taak van "het bedrijf".

- Jaarlijks mailtje met de do en don't kost geen geld.
- Eens rondgaan en post-it jes verzamelen (helpdesk, it-medewerker, de baas, de kuisploeg... ze kunnen het allemaal). En Idem voor de niet vastgelegde laptop's.
- PC's locken bij het verlaten van je bureau...
- Voorinstalleren van de tools
etc etc etc

Voor een bedrijf dat actief is in 200 landen, 250 millioen huishoudes kan bereiken en voor zijn goed functioneren volledig afhankelijk is van zijn IT infrastuctuur zou dit zelfs zeer actief moeten gebeuren.

Het moet een cultuur worden om veilig om te gaan met gegevens, waar iedere medewerker aan meewerk en door zijn collega's op gewezen wordt als hij het niet doet.

tv5monde lijkt hier duidelijk niet aan mee te doen.
Sorki, ik ben het helemaal met je eens. Dit bedrijf moet eens goed nadenken over zijn security beleid.

Ik reageerde op je persoonlijke insteek van je vorige bericht waarin je zelfs aanhaalde dat ik als Senior Consultant wel beter moest weten.
Op elkaar reageren is prima, maar maak het niet persoonlijk en al helemaal niet als je mijn berichten niet goed leest.
Hahaha er zijn zelfs bronnen die melden dat er wachtwoorden zijn als : azerty12345 . wanneer je als bedrijf zulke slechte minimale eisen stelt aan wachtwoorden. Dan vraag je ook om moeilijk heden.

We leven in een tijd dat de minimale eisen aan een wachtwoord wel zijn:
- Minimaal 2 niet opvolgende hoofdletters
- 1 special character
- 1 cijfer omringd door 2 letters
- geen woorden
- minimaal 3 klinkers achter elkaar die niet "sch" zijn.
- bij geen enkele andere dienst het zelfde wachtwoord hebben.

En wachtwoorden opschrijven is zeker NOT done. Waarom er voor zulke belangrijke dingen ook geen maandelijks wisselende certificaten nodig zijn, blijft me ook een vraag...
Dat soort wachtwoordeisen (behalve de laatste) zijn echt niet meer van deze tijd.

Ze zorgen ervoor dat wachtwoorden zo complex zijn dat het juist mensen ertoe uitnodigt om ze dan maar op te gaan schrijven. Veel beter is het om gewoon lange zinnen te creëren. Die speciale tekens voegen echt helemaal niks toe op een lang wachtwoord (+12 karakters). Op die manier heb je veilige wachtwoorden en kunnen je medewerkers die wachtwoorden gewoon normaal onthouden.

Vergeet niet dat een aanvaller niet weet of een wachtwoord speciale tekens bevat of niet. En met een wachtwoord van minimaal 12 karakters is de kraaktijd toch zo lang dat het toch geen zak uitmaakt..

Intel zegt bijvoorbeeld over een kort maar complex wachtwoord ("$%ged_4w!") dat het ongeveer 5 dagen kost om te kraken. Een wachtwoord als Wateenklotewachtwoord kost 3134124810260 jaar om te kraken.

Zie hier: https://www-ssl.intel.com...en/forms/passwordwin.html

[Reactie gewijzigd door Glashelder op 10 april 2015 09:34]

Helemaal mee eens, maar dan is het wel belachelijk dat je wachtwoord gemaximaliseerd wordt bij sommige diensten, dan weet je ook al dat je wachtwoord niet gehashed wordt maar gewoon plain-text opgeslagen. Gelukkig genereer ik de wachtwoorden die dan in 1Password gaan (niet naar een cloud syncen).
Het is net door zulke absurd ingewikkelde wachtwoordeisen dat 99.9% van de gebruikers ofwel zijn wachtwoord ergens opschrijft en nooit veranderd; of een systeem bedenkt dat nŕ het "veilige" stuk gewoon telkens een cijfertje verhoogt bij een maandelijkse verplichting tot wijziging.

En gelijk hebben ze! Je kan niet van mensen verwachten dat ze honderden complexe paswoorden onthouden omdat de IT-dienst het leuk vindt om zo'n regeltjes te bedenken.
Of netwerk instellingen die je verplichten om elke maand een nieuw wachtwoord in te stellen.
Fiets01, Fiets02, Fiets03
De helpdeskmedewerkers zijn hier soms een half uur bezig met iemand te helpen een wachtwoord aan te maken dat voldoet aan die complexiteit. Gebruiksgemak is ook iets.
Alleen zulke eisen aan het wachtwoord geeft hackers ook weer een goed idee wat voor patronen ze kunnen gebruiken om wachtwoorden te achterhalen, omdat iedere gebruiker het minimale zal doen. Dus zulke eisen stellen is ook niet per definitie een goed idee.
Dus eerst moet een bedrijf moeilijke passwords verzinnen of nieuwe personeelslid en dat maandelijks aanpassen? Dat werkt niet in het bedrijfsleven anno 2015.
Daarnaast zal je altijd hackbaar blijven.
Wachtwoord:
wortel
Sorry, het wachtwoord moet uit minimaal 8 tekens bestaan:
gekookte wortel
Sorry het wachtwoord moet minstens 1 cijfer bevatten:
1 gekookte wortel
Sorry het wachtwoord mag geen spaties bevatten:
50gekooktewortels
Sorry het wachtwoord moet minimaal 1 hoofdletter bevatten:
50FKINGgekooktewortels
Sorry het wachtwoord mag geen achtereenvolgende hoofdletters bevatten:
50FkingGekookteWortels
Sorry het wachtwoord mag geeen scheldwoorden bevatten:
NuWordIkEchKwaadAlsMijnWachtwoordNietGoedIsSchuijfJeDie50GekookteWortelsMaarLekkerInJeReet
Sorry dat wachtwoord is al in gebruik.
_/-\o_
Haha!! Geniaal!!
Zoals mijn reactie boven ergens... hoe strenger je de eisen maakt hoe groter de kans dat men het opschrijft. Zeker als je ook nog van die flut systemen hebt waarbij je meerdere wachtwoorden hebt omdat een ! of een % ineens niet mag in een bepaalde omgeving.

Ik zou eerder op 2-stapsverificatie of een goed password management systeem (van Apple of 1Password of iets) gebruiken.
Dit is het soort wachtwoorden waar ik van gruwel, en doet me altijd terugdenken aan de alomgekende xkcd comic: https://xkcd.com/936/

We maken het ons zelf zo moeilijk terwijl het kinderlijk eenvoudig is voor een brute force om uw complex wachtwoord te kraken terwijl het dus veel eenvoudiger kan als je al die eisen maar laat vallen en enkel de minimale lengte opschroeft naar bijvoorbeeld 16 of 20 karakters.

En het periodiek afwisselen van wachtwoorden zorgt ook alleen maar voor een grotere voorspelbaarheid van de wachtwoorden wat op termijn ook weer een zwakte kan zijn. Ik wil de wachtwoorden niet tellen die op 2 of 3 cijfers eindigen en waarbij de gebruiker periodiek gewoon het cijfer met 1 verhoogd.
Vroeger werd ik gek dat ik mijn wachtwoord iedere paar maanden moest veranderen.
Toen kwamen al die eisen aan passwords, waarom komen ze niet met een nieuwe minimum lengte!?
Sites die een maximum password lengte onder 10 tekens zonder extra beveiliging....dank u voor de bruteforce die bij andere sites dan goed hergebruikt kan zijn.

Je verbaast je hoeveel mensen wachtwoorden hergebruiken.
Ik houd van lange wachtwoorden ook al zijn ze simpel, ze zijn lang en daardoor ook veilig.

edit: typo

[Reactie gewijzigd door SirJMO op 10 april 2015 09:52]

In nederland zou azerty misschien nog wel kunnen...
Eh? Azerty staat gewoon bovenin de lijst met internationaal meest gebruikte wachtwoorden... Hoezo is het in Nederland wel veilig?

[Reactie gewijzigd door vdvoort op 10 april 2015 09:24]

Gaat er meer om dat qwerty vaker gebruikt zal worden dan azerty, natuurlijk is er voor de rasechte hacker een goede woordenlijst waar ook natuurlijk de azerty in staat. Maar voor de huis, tuin en keuken mensen die een beetje raden, kan het nog wel eens zo zijn dat azerty niet geprobeerd wordt.
Zal je wel geen Belg zijn, azerty is hier het standaard toetsenbord, dus ik vermoed dat dit paswoord hier meer gebruikt word als qwerty
Hij zegt het zou in Nederland nog wel kunnen... nee, als je wachtwoord bij de top 100 meest gebruikte wachtwoorden zit dan kan het niet. Al helemaal niet voor een dergelijke instelling wat internationaal aantrekkelijk is.
Daar trekken de internationale bots met woordenboek aanvallen op je wachtwoord zich niets van aan.
En toch https://xkcd.com/936/. En wanneer je mensen in mijn ervaring aan zo'n regels onderwerpt
doen ze het minimum om hun eerste wachtwoord sterk te maken. Met alsnog
meestal een post-it of latere passwoord reset tot gevolg
Volgens mij moeten die grote spelers die "gehackt" worden, dit niet afdoen als "geavanceerde aanvallen" het zorgt volgens mij alleen maar voor meer paniek bij mensen die er niets van af weten...
Het is een vorm van geen gezichtsverlies te lijden. Bijkomend kan het goed zijn dat net omdat ze geen echte aanvalsmethode vinden men er maar van uit gaat dat het heel geavanceerd moet zijn geweest.
Moesten ze er intern zo mee omgaan is het zeker een goeie manier om het probleem aan te pakken, maar naar buiten toe zou er toch een iets meer geinformeerd bericht mogen worden verstuurd.

Zelfs hier op tweakers was er gisteren iemand die zei "ja dat is wel heel dichtbij", je kan er praktisch van aflezen dat er een bepaalde angst omgaat in die persoon zijn hoofd. Maar als je dan doorhebt dat ze het wachtwoord hebben kunnen aflezen van een post-it dan is er eigenlijk helemaal niets aan.
Het is niet alleen bij grote spelers zo.. hoe vaak hoor je niet in de volksmond iemand zeggen dat "zijn facebook gehackt" is.. terwijl het dan om het ex-liefje blijkt te gaan die toevallig het Facebook-wachtwoord ook kende..
Ik heb geen ex-liefjes in Kiev, maar toch kreeg ik melding dat ik vanaf daar had ingelogd.
Dan zal het toch zijn dat jij ergens je Facebook password laten slingeren hebt?
Of er zou echt een lek in Facebook moeten zitten waarbij men enkel jou heeft uitgepikt als slachtoffer?

Moest de mogelijkheid bestaan om zomaar in te loggen in andermans account, zou dat dan niet op grote schaal gebeuren, of op zijn minst - no offence - bij mensen waarbij dat nuttig kan zijn? Ik weet natuurlijk niet wat jouw bezighouding in de maatschappij is, maar ik kan me voorstellen dat het interessanter is om Facebook-accounts van bijvoorbeeld politieke personen en en andere prominenten over te nemen dan die van jou en mij?
Op een post-it is slecht, op een post-it die op tv verschijnt is wel een overtreffende trap..
En het uiteindelijke wachtwoord maakt het dan nog erger... :X
Stupidity knows no boundaries 8)7

Hier hebben sommige mensen een post-it in hun optical drive zitten, opzich geen gek idee sinds niemand daar in kijkt en de drives zelf toch niet meer benut worden
Tja, als je je wachtwoorden op Post-It's opslaat is het al snel "geavanceerd"
Gebeurde na de uitzending, dat ding showen.
Als van een nieuws-zender de bedrijfs processen zo zwak zijn dat een bezoeker de social-media kan overnemen door even op de muur te lezen. Ten opzichte van dat zijn vrijwel al de mogelijke vormen van 'hacken' erg geavanceerd.
Zelfs op jouw bedrijf zijn er mensen die even dom omgaan met wachtwoorden...
Je passeerd even op de redactie om een gesprek te hebben met een redacteur of een interview af te laten nemen, na te kijken, ... en je bekijkt ondertussen de post-its. Na het bekendraken van deze feiten lijkt dat mij de meest waarschijnlijke manier dat TV5Monde is kunnen gehacked worden.
Volgens de directeur van TV5 hadden ze nochthans adequate beveiliging: een firewall! :)

Maar daar stopt het dan meestal ongeveer en dat is een ziekte die ik professioneel op meerdere locaties heb gezien. Bedrijf contacteert 'specialist' voor 'beveiliging'. Helaas is de interne software op maat zo brak (een voorbeeld: een retailer die sql transacties flat text van kassa naar backend stuurt) of de honger naar online wereldwonder 2.0 zo groot, dat die dure firewall met IPS/IDS, layer7 inspectie, AV e.d. zo goed presteert als een packet filter.

Hoe hoger je dan klimt in de hiërarchie, hoe meer 'uitzonderingen' je mag configureren, tot en met een any tcp/udp outbound, liefst zonder filtering. Anders werken de 'internet of things' speelgoedjes, gaande van intelligente stroommeters tot camera's tot de thuisdomotica niet.

Op Europees niveau heb je dan onzinnige certificaties zoals CEH (certified ethical hacker) waar je in de 'test' versie vragen krijgt voorgeschoteld over WEP? WEP? in 2015?

Het was voor mij voldoende om, desondanks mijn kennis, afscheid te nemen van 'security' als specialisatie. Het kan niemand een vliegende fuck schelen, overheid inbegrepen. De markt is overspoeld met bogus certificatie ter eer en glorie van 'yet another vendor'.

Ik heb jarenlang netjes exploits gemeld, sql injecties, open dir's, brakke implementaties van 'embedded' speelgoed om geen, een boze, een lauwe of ontwijkende reactie te krijgen.

Zoeken ze het maar fijn zelf uit :)
Kwam vorig jaar nog een goede tegen, toegegeven iets moeilijker te spotten. Had een interne app in een .Net decompiler gestoken. Bleek de SQL niet alleen onversleuteld te zijn, maar gebruikte deze ook nog eens de root user.

En dan heeft de verantwoordelijke het nog zo verkocht dat ik heb zitten hacken, dat ik er misbruik van heb zitten maken en werd door een andere persoon mijn ontslag geëist.

En ondanks mijn smeekbede heeft men geen procedures opgesteld om dit soort zaken correct te kunnen melden (ben op ons netwerk ooit in plain text database dumps van de HR database tegengekomen) maar heb ik een tik op de vingers gekregen en heb ik moeten beloven het nooit meer te doen ... as if that's gonna happen.
Je moet maar eens aan de slag gaan met 'binwalk' op firmware images van embedded devices, ongelooflijk wat voor een ellende je daar ziet: command chaining, tcpdump als standaard gebruiker, hardcoded root of salt/crypt om van te huilen.

Ik heb zo een een POC gedaan met voice over ip telefoons van een 'grote' Chinese vendor, met wat eenvoudige exploits had ik in geen tijd een super botnet kunnen maken, waarmee ik kon meeluisteren met alle gesprekken (geen hond die SRTP gebruikt) of phone directories kon 'oogsten', altijd handig in spear phishing...

Dat dat aan de fabrikant laten weten, bleek dat de hardware (Texas Instrument ARM SoC - Da Vinci), te zwak was en tja ... er waren er nog zoveel van in productie en op voorraad dat het 'niet mogelijk' was om dit op te lossen.

En zou kan ik nog wel even doorgaan :)
Iedereen weet dat je post-its' met wachtwoorden onder je toetsenbord moet plakken om dit soort security leaks te voorkomen... prutsers :(
Je hebt er geen idee van hoeveel mensen dit dus effectief doen... OF een blad in de eerste schuif.
Post-it's in de DVD speler wordt ook nog wel eens gebruikt hier
Opzich ook wel een effectieve manier van verstoppen gezien CDs toch niet meer gebruikt worden
Ik snap dat je zo gemodereerd wordt, maar hij is wel erg grappig :+
Het is zo enorm slecht. De online hack challanges die je op internet kunt doen, maar ook veel computerspellen hebben zelfs de 'post it' voorbeelden als makkelijkste methode om in te breken. Vooral in een tijd met zaken zoals lastpass e.d. is het helemaal niet nodig om nog zulke foute dingen te leren.

Ik begrijp het ook wel, ik heb uit mijn hoofd zeker iets van 20 verschillende wachtwoorden voor net zoveel verschillende zaken. Natuurlijk vergeet en verwissel je dan uiteindelijk wachtwoorden, maar om dan post-its te gaan gebruiken...dat is gewoon bizar slecht.
opzich is "lemotdepassedeyoutube" wel een sterk wachtwoord. Het is lang, makkelijk te onthouden en hij wordt waarschijnlijk niet voor andere site's gebruikt.

Denk dat ik hem ook ga gebruiken

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True