Google: alleen aanbieden beveiligingsvragen voor recovery is onveilig

Beveiligingsvragen voor het herstellen van accounts bieden vaak een schijnveiligheid. De vragen moeten makkelijk te onthouden zijn, maar dat zorgt er juist voor dat kwaadwillenden de antwoorden snel kunnen achterhalen. Dat blijkt uit onderzoek van Google.

Het bedrijf heeft de werking van beveiligingsvragen onderzocht, omdat dit nog nooit tot in detail zou zijn bekeken. Dit is vreemd: talloze sites maken immers gebruik van beveiligingsvragen om gebruikers zo in gelegenheid te stellen hun account te herstellen nadat ze wachtwoorden zijn kwijtgeraakt.

De Google-medewerkers analyseerden 'honderden miljoenen' beveiligingsvragen van Google-accounts en pogingen om die vragen te beantwoorden. Ze ontdekten dat moeilijke vragen nauwelijks zijn te raden en dus in de meeste gevallen nutteloos zijn. Daarentegen bleken eenvoudige vragen snel te raden, wat de veiligheid sowieso niet ten goede kwam.

De wetenschappers keken naar de vragen en antwoorden van Engelse, Spaanse, Chinese, Portugese, Russische, Koreaanse en Arabische gebruikers. Ze vonden opmerkelijke verschillen tussen talen en culturen. Zo bleken Engelstaligen vaak bij de vraag wat hun favoriete voedsel is, pizza te hebben ingevuld. Kwaadwillenden waren daardoor in staat om in 19,7 procent van de gevallen meteen toegang tot een account te krijgen, zo staat er in de paper van de onderzoekers.

Daarnaast was bij Koreanen weer sneller de geboorteplaats te raden, simpelweg doordat de Koreaanse populatie is gecentreerd in minder steden dan bijvoorbeeld bij de Verenigde Staten het geval is. Dit betekent dat kwaadwillenden binnen tien pogingen 39 procent van de vragen van Koreanen wisten te raden.

De Google-medewerkers raden website-eigenaren af om in plaats van één, twee beveiligingsvragen tegelijkertijd te stellen. De kans dat kwaadwillenden beide antwoorden weten te ontfutselen is volgens de onderzoekers weliswaar klein, maar gebruikers weten niet zo snel de antwoorden meer op te rakelen. In totaal 41 procent van de gebruikers vergat een van de twee antwoorden.

Google raadt site-eigenaren aan om in plaats van beveiligingsvragen een andere vorm van recovery aan te bieden. Het versturen van mailtjes naar een alternatief mailadres of het verzenden van sms-berichten naar een telefoon zijn volgens het bedrijf betere alternatieven. Google biedt beide opties voor zijn gebruikers al geruime tijd aan. Ook concurrenten als Microsoft, Apple en Yahoo doen dat.

IT-banen

Reacties (73)

Muta 22 mei 2015 22:33

Ze ontdekten dat moeilijke vragen nauwelijks zijn te raden en dus in de meeste gevallen nutteloos zijn.

Vreemde aanname. Wie bepaalt wat een moeilijke vraag is? Wat als een moeilijke vraag (volgens de onderzoekers), voor de persoon van het account juist een makkelijk vraag is? Hoezo zijn ze dan in de meeste gevallen nutteloos? Dat kunnen ze nooit claimen, want de persoon met de 'moeilijke' vraag heeft misschien wel een goede beveiliging door deze vraag.

Verwijderd @Muta • 23 mei 2015 07:57

Er staan nog wel meer vreemde aannames in het artikel (bijvoorbeeld: makkelijk te onthouden is automatisch gelijk aan makkelijk te raden. Dat hoeft helemaal niet zo te zijn, maar daar gaat het artikel wel van uit). Volgens mij is het hele onderzoek nep. Er zijn genoeg vragen (en combinaties van vragen) te bedenken waarop het antwoord zo persoonlijk is voor de gebruiker dat het echt niet makkelijk geraden kan worden, zeker niet door een algoritme. Het "onderzoek" wil je gewoon wegsturen van een systeem wat best wel veilig kan zijn. En uiteraard gaat Google het afgeven van nog meer persoonlijke informatie (telefoonnummer, tweede mailadres) promoten, dat spreekt vanzelf. Het hele onderzoek is gewoon een lokkertje, meer niet.

kozue @Verwijderd • 23 mei 2015 08:54

Sowieso vind ik de genoemde alternatieven maar waardeloos. Ik ga mijn telefoonnummer niet aan websites geven, dus als ze daar om vragen krijgen ze toch een dummy nummer waarmee ze nooit verificatie kunnen doen.

Overigens vul ik bij vragen ook nooit het echte antwoord in. De meeste antwoorden zijn wel op een of andere manier te achterhalen. "Wat is de meisjesnaam van je moeder?" Dat kan iedereen toch opzoeken in de burgelijke stand, afgezien van het feit dat je hele familie dat weet?

Meestal zijn degenen die je account in willen volgens mij mensen die je kent.

[Reactie gewijzigd door kozue op 30 juli 2024 07:43]

Grrrrrene

@kozue • 23 mei 2015 21:21

Maar als je antwoorden geeft die niet kloppen met de vraag, hoe onthoud je het antwoord dan?

Ik ben het opzich eens met Google dat die beveiligingsvragen weinig zin hebben. Ik heb mijn mobiele nummer wel aan Google gegeven, dus ik gebruik die sms-authenticatie. Wat ik pas raar vind is inloggen met je DigiD, waarbij je zelf mag kiezen of je extra veilig inlogt met sms-code of zonder

@SacreBleu: Dat snap ik, maar je kunt altijd kiezen voor "zonder sms authenticatie", dan heeft die "met sms authenticatie" toch geen enkele zin? Je kunt dus inloggen met alleen je wachtwoord of in hetzelfde inlogscherm de boel nog wat extra vertragen met een optionele sms-code die 0,0 veiligheid toevoegt. Wat ik dus zeggen wil: als je de mogelijkheid biedt om zonder sms in te loggen, biedt de optie _met_ sms geen enkele toegevoegde veiligheid. Of zie ik nu iets over het hoofd?

[Reactie gewijzigd door Grrrrrene op 30 juli 2024 07:43]

SacreBleu @Grrrrrene • 23 mei 2015 21:30

Dat is ook raar, maar niet iedereen zal over een telefoon beschikken of soms kun je niet inloggen omdat, bijvoorbeeld, je netwerk eruit ligt. Je zou dan belangrijke zaken over je burgerschap niet meer kunnen regelen.

Het zijn uiterste gevallen - hoe vaak heb je écht geen bereik met je telefoon - maar het hoeft maar één keer te gebeuren en je kan er flink problemen van krijgen.

p-de-geus @Grrrrrene • 24 mei 2015 02:20

Tegenwoordig kan je via de DigiD.nl pagina instellen dat je altijd een SMS wilt ontvangen, ook als je dat niet kiest. Dit heb ik gedaan.

Tjeerd13 @Grrrrrene • 24 mei 2015 09:45

Voor sommige digi-d handelingen is extra authenticatie verplicht. (bv wijziging rekeningnummer toeslagen)

Opperpanter2 @Muta • 22 mei 2015 22:49

Rare zin inderdaad. Moeilijk te raden (maar makkelijk te onthouden) is toch juist wel nuttig?

mr.paaJ @Muta • 23 mei 2015 00:14

De naam van je eerste huisdier: was dat de hond van je of ouders, je eerste eigen kat of toch dat woestijnratje dat je ooit eens had maar de naam niet echt meer van weet? Ik bedenk het elke keer anders, hoe simpel de vraag ook mag lijken. Dat maakt hem inderdaad vrij nutteloos.

En dat je voor elk antwoord ook net een andere spelling kan gebruiken, of uit recalcitrantie iets willekeurigs wat je sowieso niet gaat onthouden.

bigbadbull @mr.paaJ • 26 mei 2015 14:45

is het antwoord niet altijd 42 ?
behalve op de vraag wat is je geluksgetal ? dan is het appelblauwzeegroen natuurlijk

nms2003 @Muta • 25 mei 2015 08:43

Ja inderdaad voorbarig. Ik heb de antwoorden op dat soort vragen op gewoon genoteerd staan in een password manager. De vragen kunnen bij mij zelfs niets te maken hebben met de vraag.

Eelco.L. 22 mei 2015 23:06

een voorbeeld hoe ik de beveiligings vraag aanpak:

vraag: Wat is de naam van je oude school?
antwoord: "OMGWTFBBQYOLOSWAG420NOSCOPE"

geloof me dat raad niemand...

qlum

@Eelco.L. • 22 mei 2015 23:21

Ik doe dit zelf ook al tijden op een dergelijke manier, kies een willekeurige vraag uit maar gebruik altijd het zelfde wachtwoord wat ik alleen hier voor gebruik.

Mmore @qlum • 23 mei 2015 01:06

Wat helaas ook weer risico's met zich meebrengt. De ervaring leert dat heel veel websites de antwoorden op 'beveilingsvragen' in plain text opslaan, in plaats van gehashed. Hierdoor kan bijvoorbeeld een medewerker telefonisch deze vragen met je controleren. Het risico hier is natuurlijk dat bij een beveilingslek deze gegevens gewoon 'open' op straat liggen, in tegenstelling tot wachtwoorden, die meestal wel gehashed worden door de bekendere websites.

Vervolgens kan iemand, als dit één keer gebeurt, met dat antwoord van jou al je andere websites benaderen. Hierdoor kan er dus (door iemand die er moeite voor doet) toch nog vrij eenvoudig toegang verschaft worden tot al je andere diensten.

Mijn advies is om voor elke website zowel een ander wachtwoord als een andere beveiligsvraag-antwoord te hebben. Beschouw deze voor het gemak allebei als een wachtwoord. Door voor elke website andere gegevens te gebruiken ben je bij een hack in elk geval beperkt tot die ene dienst die gehacked wordt. Diensten als Lastpass (met 2-factor authentication) en keepas kunnen helpen hierbij, waarbij je natuurlijk wel een single-point-of-failure creeërt.

Waar het met name op neer zal komen is gebruik van 2-factor-authentication en eventueel SMSjes (bijv. Google) als backup. Ik vind het jammer dat niet meer diensten bijv. de authenticator van Google ondersteunen, eigenlijk.

qlum

@Mmore • 23 mei 2015 11:50

Slechts een deel gebruikt dergelijke vragen waarbij de meerderheid daar van me niet zo veel kan boeien en verder al hebben ze het antwoord op mijn vraag dan nog krijg je meestal een confirmatie mail waarvoor je nog steeds mijn sterke mail wachtwoord voor moet kraken die ik alleen voor mail gebruik.

Verder heb ik voor de belangrijke zaken een andere alternatief wachtwoord voor dit soort vragen en geen van deze wachtwoorden worden voor iets anders dan beveiligingsvragen gebruikt. natuurlijk is het een kwetsbaarheid als iemand het specifiek op mij gemunt heeft maar ik denk niet dat dat het geval is.

Andere wachtwoorden en vragen zijn vaak ook weer lastig om te onthouden zelf hou ik het bij wachtwoord niveau's.
Betalingsdiensten is het hoogste niveau en hebben vaak 2-factore autorisatie
Mail zit daar onder gezien met een e-mail adres op veel plekken toegang te verkrijgen is.
Daar onder zitten diensten zoals steam waar ik iets van waarde op heb staan dit wachtwoord gebruik ik ook als master password in firefox. (thunderbird gebruik ik natuurlijk het mail wachtwoord).

en daar onder zitten plekken waar ik redelijk actief / misschien wat reputatie heb zoals tweakers en daar onder zit het /care niveau waar het me echt niets kan schelen of ze binnen weten te komen.

Dit systeem is naar mijn weten hoewel niet perfect toch vrij krachtig ieder jaar zakken de wachtwoorden eentje naar beneden waarbij mijn /care toch het zelfde blijft gezien het me niet veel kan schelen.

Horstenator @Mmore • 23 mei 2015 12:07

Ik ben het met je eens dat een goede authenticator handig is, maar Google is wel de laatste partij om hiermee te vertrouwen. Zie reacties hieronder. Er is een trusted third party voor nodig.

Mmore @Horstenator • 24 mei 2015 00:47

De Google authenticator maakt gebruik van de open standaard ontwikkeld door het Initiative for Open Authentication. Het gehele project inclusief de Android app staan op Github en het mooie is dus dat je met deze ene app in principe op iedere website de one-time-passcodes kan gebruiken zonder dat je daarbij steeds hoeft te vertrouwen dat het protocol dat deze website toepast wel veilig is.

Hiermee wil ik niet stellen dat er niets mis is met het protocol, er zitten wel dergelijk haken en ogen aan vast, maar deze hebben niets met Google te maken, die hier gewoon een open protocol implementeren en de source code openlijk delen.

calvinturbo @Horstenator • 23 mei 2015 18:18

Google gebruikt een open protocol.

MadEgg

Wachtwoord

@qlum • 23 mei 2015 08:34

Als ik verplicht een willekeurige vraag moet invullen genereer ik een nieuw willekeurig wachtwoord van 64 karakters met KeePassX welke naast het eigenlijke willekeurige wachtwoord van 16-32 karakters wordt opgeslagen (want doorgaans meer beperkingen aan lengte van wachtwoord dan lengte van geheime vraag

Eelco.L. @MadEgg • 23 mei 2015 12:03

en KeePassX is compleet veilig?
een database met al je wachtwoorden erin voor al je diensten lijkt me juist de playboy voor een hacker. ( ͡° ͜ʖ ͡°)

[Reactie gewijzigd door Eelco.L. op 30 juli 2024 07:43]

MadEgg

Wachtwoord

@Eelco.L. • 23 mei 2015 12:08

Dan moet je wel eerst überhaupt de database bemachtigen, daarna het juiste sleutelbestand weten te vinden dan dan ook het master password kraken. En dan heb je nog maar eenderde van mijn wachtwoorden te pakken, want ik gebruik drie losstaande keepass-databases met andere credentials. Succes ermee. Als je het weet te kraken krijg je van mij m'n pincode erbij (want die staat er niet in)

Eelco.L. @MadEgg • 23 mei 2015 12:11

klinkt interessant, kga het eens proberen denkik.
Alhoewel ik benieuwt ben hoe erg bestand het is tegen een rat.

DDX @Eelco.L. • 22 mei 2015 23:23

Zulk soort antwoorden geef ik ook altijd ja.
De standaard vragen die je altijd krijgt zijn voor mensen die graag toegang tot jouw account willen wel te achterhalen.
Gewoon reminder naar emailadres is een stuk veiliger.

raro007 @DDX • 23 mei 2015 00:49

doe ik ook maar toen moest ik voor itunes een beveiliging vraag beantwoorden en tjah dat lukte niet...

kan ook wel iets anders zijn geweest dan itunes maar de enige manier om het op te lossen was toen om apple te bellen.

[Reactie gewijzigd door raro007 op 30 juli 2024 07:43]

Kalief @Eelco.L. • 22 mei 2015 23:47

He, ik zat ook op die school ...

Ze ontdekten dat moeilijke vragen nauwelijks zijn te raden en dus in de meeste gevallen nutteloos zijn.
Dit begrijp ik niet. Nutteloos voor wie? De accounteigenaar weet het antwoord wel en het is juist de bedoeling dat het antwoord niet te raden is. Of bedoelen ze met 'nauwelijks te raden' eigenlijk 'nauwelijks te onthouden'?

Verwijderd @Eelco.L. • 23 mei 2015 09:47

Die antwoorden op beveiligingsvragen worden hoogstwaarschijnlijk niet encrypted opgeslagen. Dus je steelt 1 database en probeert de antwoorden bij een andere site. Dus als jij overal het zelfde rare antwoord gebruikt ben je nog steeds het haasje.

The Zep Man

Netwerk en systeembeheer

@Eelco.L. • 23 mei 2015 10:10

een voorbeeld hoe ik de beveiligings vraag aanpak:

vraag: Wat is de naam van je oude school?
antwoord: "OMGWTFBBQYOLOSWAG420NOSCOPE"

geloof me dat raad niemand...

Je kan het inderdaad zo aanpakken en een password manager gebruiken om het te onthouden, of gewoon de password manager het als een willekeurig wachtwoord in laten vullen. Probleem opgelost.

[Reactie gewijzigd door The Zep Man op 30 juli 2024 07:43]

Niemand_Anders 22 mei 2015 23:27

Ze ontdekten dat moeilijke vragen nauwelijks zijn te raden en dus in de meeste gevallen nutteloos zijn.

Da's een rare conclusie. Het antwoord op deze (beveiligings) vragen moet je namelijk weten, niet raden!
Wel is het mogelijk dat men op basis van social enginering het antwoord op die vragen weet te krijgen, maar dan betreft het een persoonlijke aanval. Het feit dat moeilijke vragen moeilijk zijn te raden, maakt ze dus eigenlijk perfect voor account recovery. Vragen die simpel zijn te raden, zijn totaal niet geschikt voor account recovery..

Maar ik maak mij persoonlijk een veel meer zorgen over het feit dat Google blijkbaar de antwoorden van deze security vragen als plaintext opslaat. De antwoorden dienen net als gewone wachtwoorden gehashed te worden. Immers het uitlekken van deze recovery antwoorden is net zo schadelijk als het uitlekken van de wachtwoorden!

Uiteraard zijn er betere methodes voor account recovery, maar dat geldt ook voor authenticatie zelf. Het gebruik van alleen een wachtwoord bied ook een schijn veiligheid. Zo mag bij KPN bijvoorbeeld alleen de tekens A-Z, a-z en 0-9 gebruikt worden in een wachtwoord, wat de entropy beperkt tot slechts 62 karakters. Daarnaast gebruiken heel erg veel mensen wachtwoorden..

MadEgg

Wachtwoord

@Niemand_Anders • 23 mei 2015 08:30

Hoe maakt dat dat een scheinveiligheid? Je Weet dat je wachtwoord langer dan één karakter mag zijn? Dus er zijn veel meer mogelijkheden dan 62. Hoe langer je wachtwoord, hoe sterker. 16 willekeurige karakters, met 62 mogelijkheden voor elk karakter geeft een enorme hoeveelheid mogelijkheden wat door geen supercomputer in afzienbare tijd te kraken is.

Niemand_Anders @MadEgg • 23 mei 2015 14:28

Als je wachtwoorden hashed is er geen ENKELE reden om de entropie te verkleinen.

Want waarom mag ik geen euro teken in mijn wachtwoord opnemen? Het is namelijk een teken welke niet in de standaard ASCII set voorkomt. Dat maakt het kraken van mijn wachtwoord ineens veel moeilijker.

KPN eist minimaal 8 en maximaal 16 tekens. Opnieuw waarom maximaal 16 tekens? Doet mij opnieuw vermoeden dat het wachtwoord in plaintext wordt opgeslagen want een hash van het wachtwoord is ongeachte de lengte van het wachtwoord altijd even lang. Een SHA1 hash is altijd 20 bytes (40 tekens in hexidecimale notatie).

De meeste mensen werken graag met zo kort mogelijk wachtwoorden. Grote kans dus dat in de KPN database de meeste wachtwoorden (> 50%) 8 karakters lang zijn. Dat betekend dat het wachtwoord te achterhalen valt in 62 ^ 8 = 218340105584896 pogingen. Lijkt lang genoeg toch. Als ik echter de volledige ASCII range accepteer gaat het betreft 255 ^ 8 = 17878103347812890625 mogelijk combinaties. Heb je enig idee hoeveel berekenen een Xeon Intel E5-2620 (V3) per seconde kan doen? Brute force attacks (welke gewoon alle mogelijk combinaties proberen) zijn nog steeds effectief. Via brute force attack zijn bijvoorbeeld ook al die iCloud account van beroemdreden gekraakt omdat Apple was vergeten om een maximaal aantal pogingen correct te implementeren.

Een wachtwoord is een schijnveiligheid op dezelfde manier dat de security vragen dat zijn. Daarom werken banken ook met two-factor authenticatie en niet met alleen een wachtwoord. Het betreft namelijk kennis van een wachtwoord, pincode digipass, etc + het bezit of toegang tot een telefoon, mailaccount, digipass, tokenizer, etc.

Two-factor authenticatie is vele malen beter dan alleen wachtwoord authenticatie. In dat zelfde opzicht is een password reset link ook een betere methode dan een security vraag, maar een wachtwoord of security vraag zijn even sterk of zwak. Dus als Google aangeeft dat een security vragen onveilig zijn, dan is authenticatie op basis van alleen een wachtwoord dat ook. Dat wordt immers elke keer bewezen als een database met login gegevens op straat komt te liggen..

MadEgg

Wachtwoord

@Niemand_Anders • 23 mei 2015 16:19

Ik ben het volledig met je eens dat een maximum van 16 karakters nutteloos is. Een limiet van meer dan de lengte van de resulterende hash is natuurlijk beter te verdedigen, aangezien op dat moment het wachtwoord meer entropie heeft dan de resulterende hash kan opslaan (al ruim daarvoor aangezien de hash altijd uit hexadecimale tekens bestaat en dus nog veel beperkter is). Echter, onder het mom van onthoudbaarheid van passphrases zou een limiet van 500 karakters ook lang niet gek zijn.

Een wachtwoord van +- 8 alfanumerieke karakters is lastig om te kraken maar nog wel in overzienbare tijd te doen met hedendaagse apparatuur. Een wachtwoord van 10 alfanumerieke karakters is met behulp van brute-force onkraakbaar met hedendaagse apparatuur maar het is nog wel te verwachten dat dit ooit gaat lukken. Wachtwoorden van 16 karakters kunnen werkelijk nooit gebrute-forced worden, deze wachtwoorden kunnen alleen gekraakt worden als er shortcuts zijn, zoals een kwetsbaarheid in het hashing algoritme of als het wachtwoord niet compleet willekeurig is.

Een wachtwoord is dan ook geen schijnveiligheid. Het is hoogstens schijnveiligheid om een wachtwoord van < 8 karakters te hebben. Een wachtwoord van 8 karakters is niet onkraakbaar maar biedt zeker wel een hoop veiligheid voor alledaags gebruik.

Om wachtwoorden veel veiliger te maken volstaat het om de minimale lengte omhoog te gooien, en wachtwoorden uit dictionary attack lists gewoon volledig te blokkeren: dus (relatief korte) wachtwoorden bestaand uit woorden, aangevuld met combinaties hierop met letters vervangen door cijfers of leestekens. Dat er mensen zijn daar dan vervolgens weer niet mee om kunnen gaan en het wachtwoord op een geel briefje aan hun monitor kleven doet niets af aan het concept wachtwoord.

Two factor authenticatie is leuk, maar teveel gehypt. Voor dingen als sociale netwerken etc is het compleet nutteloos, so what als iemand dat kraakt, het is toch al niet belangrijk. Hetzelfde voor gaming platforms als Battle.net of Steam. Ik zit er helemaal niet op te wachten om mijn telefoonnummer uit handen te geven of er extra accesoires voor mee te moeten zeulen, wan tzo belangrijk is het niet.

Voor bankzaken is de extra factor wel welkom, natuurlijk.

Teijgetje @Niemand_Anders • 23 mei 2015 09:42

Ze ontdekten dat moeilijke vragen nauwelijks zijn te raden en dus in de meeste gevallen nutteloos zijn.
Da's een rare conclusie. Het antwoord op deze (beveiligings) vragen moet je namelijk weten, niet raden!

Ik wist mijn beveiligingsvragen van PayPal laatst toch echt niet te raden.......

(PayPal had 2 beveiligingsvragen ingevoerd die ik nooit beantwoord had, ik kon ze dus niet beantwoorden en mijn account ging op slot.
Waarna ik alleen telefonisch (tijdens "kantooruren") met een daarna toegestuurde mail (code die ik weer aan de telefonist moest verifiëren) mijn account weer open kreeg en daarna de vragen in moest vullen)

Maar simpele antwoorden kan je natuurlijk zelf moeilijk maken, bv Gerrit kan ook als gERrit, GerriT, G@rr1t, mijnGerrit etc.
Je kan voor jezelf een makkelijk te onthouden systeem bedenken dat van je simpele wachtwoord iets niet bestaands maakt dmv simpele toevoegingen, lower/upper case en letter-cijfer vervangingen.

[Reactie gewijzigd door Teijgetje op 30 juli 2024 07:43]

Niemand_Anders @Teijgetje • 23 mei 2015 14:34

Het idee achter een security vraag is dat jij een vraag kiest waarvan maar weinig anderen het antwoord WETEN. Als het goed is WEET jij het antwoord op die vragen. Personen welke het antwoord niet weten, moet het vervolgens gaan RADEN.

Maar dat is toch ook de gedachte achter een wachtwoord? Als het goed ben jij de enige welke je wachtwoord weet. Andere kunnen echter besluiten of jouw wachtwoord te raden. In de beredenering van de Google onderzoekers zijn wachtwoorden dus net zo onveilig.

Het feit dat moeilijke antwoorden nauwelijks zijn te raden zorgt er toch voor dat zo'n persoon mijn account niet kan resetten? Hoe kan dat dan NUTTELOOS zijn?

Teijgetje @Niemand_Anders • 24 mei 2015 00:19

Ik heb dan ooit nooit gezegd dat het nutteloos is.
Ik merkte op, op jouw vraag dat je je eigen antwoorden zou moeten weten en niet raden, dat ik nochtans de antwoorden op mijn (nooit zelf ingestelde/ingevulde) beveiligingsvragen niet wist te raden....
Met een uitleg hoe je die naam van je moeder, die iedereen kan vinden en weten, zo kan noteren zodat zelfs de notatie van bv "Els" (Elsz1szM1jnM0eder) vrijwel onmogelijk te raden wordt. (s=sz, i=1, o=nul, woordbegin = hoofdletter, woorden aan elkaar)
En dat gaat inderdaad ook voor wachtwoorden op.
Dan is Els plotseling sterk.......

(Je WEET dat gebruik van hoofdletters GEZIEN WORDT als SCHREEUWEN?
Wil je je punt verduidelijken kan je beter de letters vet maken of onderstrepen.)

[Reactie gewijzigd door Teijgetje op 30 juli 2024 07:43]

involver 22 mei 2015 22:37

Lastpass voor alles... en elke beveiligingsvraag beantwoorden met totale random onzin... 2 factor instellen op LP en eventueel een Yubikey... Ben ik nog wat vergeten?

Egocentrix @involver • 22 mei 2015 22:46

Ja, dat je het eigenlijk ook nog een beetje makkelijk wilt. Iedere keer als je je mail wilt lezen een Yubikey erin stoppen, drie sms-codes ontvangen en hopen dat Lastpass het doet is, laten we wel wezen, niet te doen. Je wilt immers ook wel eens op de computer van iemand anders of op je telefoon mailen/facebooken/dingesen.

Room42 @Egocentrix • 22 mei 2015 23:16

Alleen is Lastpass juist zo makkelijk als jij het wilt. Je hoeft niet elke keer de Yubikey in te vullen. Dat is alleen bij het openen van Lastpass.

Granted, ik vind het wel griezelig dat er misschien op een automatische wijze mijn database uitgelezen kan worden. Maar dat geldt voor elk password management systeem.
En zonder password manager kan gewoon niet meer, vind ik. Dan zou je alles moeten onthouden, wat betekent dat de wachtwoorden te makkelijk zijn en/of teveel overeenkomen.

jaapzb @Room42 • 22 mei 2015 23:25

Granted, ik vind het wel griezelig dat er misschien op een automatische wijze mijn database uitgelezen kan worden. Maar dat geldt voor elk password management systeem.

Ik heb een keepass database die ik sync op mijn verschillende pc's via een setup op m'n vps (met unison). En de key daarvoor staat op een usbstick die ik altijd bij me heb. Hoe kan dat op automatische wijze uitgelezen worden?

Room42 @jaapzb • 22 mei 2015 23:33

Als ie open staat kan een automatisch proces met Keepass interactie hebben. Zelfs al zouden ze het automatiseren om bepaalde toetscombis te doen, is er data te lekken.

En wie zegt dat de data op jouw VPS veilig staat? En wat als je je USB-stick verliest of een virus kopieert gewoon de database terwijl je stick erin zit? Die heeft daarna alle tijd (en resources) om je password te brute forcen.

jaapzb @Room42 • 22 mei 2015 23:47

Als ie open staat kan een automatisch proces met Keepass interactie hebben. Zelfs al zouden ze het automatiseren om bepaalde toetscombis te doen, is er data te lekken

Ik denk dat je het dan eerder griezelig moet vinden dat iemand toegang heeft gekregen tot je PC.

En wie zegt dat de data op jouw VPS veilig staat?

Ik ga er gewoon van uit dat dat niet zo is, daarom staat de key op een usb stick.

En wat als je je USB-stick verliest

Back-up usb stick "in a safe place".

of een virus kopieert gewoon de database terwijl je stick erin zit?

Tja, dat zou dan wel een heel specifiek virus moeten zijn dat ook nog eens op linux draait. Dat kan dan eigenlijk alleen maar door iemand er op gezet worden die heel heel heel graag mijn password database wil hebben. Uiteindelijk is alles te kraken, ik probeer het zo veilig mogelijk op te zetten, maar op een bepaald moment is het ook gewoon niet realistisch meer.

[Reactie gewijzigd door jaapzb op 30 juli 2024 07:43]

KroontjesPen @jaapzb • 22 mei 2015 23:35

Je USB-stick kan je verliezen dus je moet ergens een back-up hebben wat weer een risico factor is. Want waar laat je die, al is het weer een USB-stick.

jaapzb @KroontjesPen • 22 mei 2015 23:42

Ach, een backup USB stick is net als een reserve sleutel, veilige plek in huis of bij iemand anders thuis.

Teijgetje @KroontjesPen • 23 mei 2015 09:20

Onder je (muis) mat natuurlijk.

BenGenaaid @Teijgetje • 23 mei 2015 10:07

Het is zo simpel eigenlijk, alles op een RFID onderhuids (kan je niet verliezen), gehashed natuurlijk, en decrypten met je vinger afdruk (kan je in de meeste gevallen ook niet verliezen

), moet je wel die vinger afdruk RFID combi scanner overal mee naartoe slepen (zo groot als een usb stick).

Of denk ik nu te simpel?

[Reactie gewijzigd door BenGenaaid op 30 juli 2024 07:43]

Diamond_DogG 22 mei 2015 22:31

ik vind de sms mij tel met code ( die je al eerder ingevoerd hebt dus )
ook best veilig . maar ja jatte ze je tel zit je al weer , het blijft een gevalletje .
als ze willen vinden ze een manier .

Megamind @Diamond_DogG • 22 mei 2015 22:40

Als je telefoon gejat is dan merk je dit gelijk. Een paar beveiliginsvragen beantwoorden heb je alle tijd voor, vaak is even je Facebook profiel doorkijken genoeg.

Iblies @Megamind • 23 mei 2015 08:15

Als je bij Facebook een verkeerd vinkje aanklikt kan elke ziel je profiel zien. Met een beetje pech kom je je eigen foto's tegen bij een of andere reclame.
Hetzelfde verhaal bij google want je hebt er een handtekening onder gezet.

Constatering van google kan zeker terecht zijn, maar wat die waard is bij een dergelijk bedrijf.

Een account standaard minder publiek maken zou veel meer kunnen betekenen voor veiligheid.

Verwijderd 22 mei 2015 23:33

Lol, twee vragen tegelijk stellen....

Het vragen idee is fundamenteel brak, dan nog zwaarder inzetten op dat idee maakt het niet beter. Legitieme gebruikers die na drie jaar geen idee hebben wat ze ooit hebben geantwoord gaan met twee vragen echt niet ineens goed antwoorden.

In mijn optiek, een nutteloos onderzoek. Gelukkig zijn ze er nu wel achter dat vragen stellen zinloos is, al is het waanzin dat daar onderzoek voor nodig was. Dit had iedere gebruiker die er ooit mee te maken heeft gehad kunnen vertellen!

[Reactie gewijzigd door Verwijderd op 30 juli 2024 07:43]

PhilipsFan @Verwijderd • 24 mei 2015 00:08

Inderdaad. Vragen zijn waardeloos. Ik vul altijd random bullshit in, want ik vergeet mijn wachtwoorden nooit dankzij Firefox. Maar laatst wilde ik aanloggen op een oud Yahoo-account. Ik wist het wachtwoord nog, maar omdat ik al zo lang niet meer had aangelogd wilde Yahoo toch even zeker weten of ik het wel was en moest ik dus de vragen beantwoorden. Dat account kom ik dus gewoon niet meer in omdat de aanbieder in tussentijd de regels heeft veranderd

Verwijderd 22 mei 2015 22:27

2 step auth. Of gewoon het wachtwoord 'niet' vergeten.

_Thanatos_ @Verwijderd • 23 mei 2015 02:21

2-step authentication is alleen maar lastig en onhandig.

Yemoke 22 mei 2015 22:36

Goede wachtwoorden woordenreeksen

icm een simpele reset naar het email vind ik persoonlijk prima.

Wat involver ook zegt, resetten via een vraag moet eigenlijk onmogelijk zijn, althans zo behandel ik ze zelf. Als het zover moet komen dat ik die nodig heb, wil ik ze niet gebruiken

[Reactie gewijzigd door Yemoke op 30 juli 2024 07:43]

rickboy333 22 mei 2015 22:46

Het moeten geen 2 vragen zijn maar juist persoonlijke vragen. ''Wat is de voornaam van je eerste Leeraar'' is wat moeilijker te raden dan ''wat is je favoriete voedsel'' Dat soort vragen zijn makkelijk ipv moeilijk.

''Wie is je beste vriend'', ''De voornaam van je moeder'' of ''de naam van je eerste liefde waarmee je sex hebt gehad'' zijn wat anders dan ''wat je je lievelingseten'' Ze kunnen inderdaat wel persoonlijk zijn en je wilt die het liefste niet delen met bv google maar dan kan je nog onzin invullen

Maar goed de kern is gewoon dat de vragen die gesteld worden te makkelijk zijn.

jaapzb 22 mei 2015 23:29

Een beetje een gevalletje open deur, of niet? "Wat is de meisjesnaam van uw moeder". Als iemand echt graag jouw account wil hebben is dat niet een lastige vraag om uit te zoeken.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (73)

Sorteer op:

Weergave: