Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Nederlandse politici hergebruiken zwakke wachtwoorden bij socialmedia-accounts'

Door , 194 reacties

RTL Nieuws heeft grote datalekken, zoals die van LinkedIn en Dropbox, doorzocht op inloggegevens van Nederlandse politici. Op die manier lukte het bijvoorbeeld om binnen te dringen op het Twitter-account van SGP-fractievoorzitter Kees van der Staaij.

Daarnaast lukte het om in het LinkedIn-profiel van Van der Staaij in te loggen. Hetzelfde deed RTL Nieuws bij Tweede Kamerlid Pieter Omtzigt van het CDA, al bestrijdt de politicus dit en zegt dat het alleen om een oud LinkedIn-account gaat. Bij andere politici lukte het om in te loggen in hun Facebook-profielen. Daarmee wil de site aantonen dat het vrij eenvoudig is om de inloggegevens van verschillende Nederlandse politici te achterhalen. Zij zouden interessante doelwitten zijn voor buitenlandse hackers.

Tweet vanaf het account van Van der Staaij

Zo is Van der Staaij bijvoorbeeld lid van de zogenaamde Commissie Stiekem, die toezicht houdt op de Nederlandse inlichtingendiensten en waarin vertrouwelijke informatie wordt gedeeld. De wachtwoorden van de politici zijn te achterhalen, doordat ze voorkomen in grote datalekken als die van LinkedIn of Dropbox. Deze waren vaak gehasht met een zwak algoritme als md5, waardoor eenvoudige wachtwoorden zonder al te veel moeite te achterhalen zijn. Verschillende diensten laten gebruikers eenvoudig controleren of hun gegevens in uitgelekte databases voorkomen, bijvoorbeeld haveibeenpwned.

De Telegraaf meldde donderdag op basis van eigen bronnen dat het NCSC deze week Nederlandse politici heeft gewaarschuwd over hackers met het oog op de naderende verkiezingen. Zo kregen verschillende partijen tips over beveiligingsmaatregelen. Bert Koenders, minister van Buitenlandse Zaken, zei donderdag tegen de NOS dat Nederland 'zeer alert' is op dreigingen, onder andere vanuit Rusland. "Ik heb daar geen concrete aanwijzingen voor, maar ik ben niet naïef", aldus Koenders.

Update, 14:10: Kamervoorzitter Khadija Arib zegt tegen RTL Nieuws dat zij per direct een team met experts aanstelt om Kamerleden te adviseren bij de beveiliging van hun socialmedia-accounts.

Sander van Voorst

Nieuwsredacteur

12 januari 2017 13:28

194 reacties

Linkedin Google+

Reacties (194)

Wijzig sortering
Kamervoorzitter Khadija Arib zegt tegen RTL Nieuws dat zij per direct een team met experts aanstelt om Kamerleden te adviseren bij de beveiliging van hun socialmedia-accounts.
AAARGH. NEE! Houd op met symptoombestrijding en denk eens na over het probleem. Het gaat niet over social media accounts, het probleem is gebrekkige informatiebeveiliging. Slechte wachtwoorden op je social media zijn daar maar n aspect van maar die social media zijn niet het grootste probleem. Als deze mensen niet inzien waar ze mee bezig zijn, hoe kunnen we ze dan vertrouwen met de beveiliging van zaken die echt belangrijk zijn. Staatsgeheimen, militaire installaties, kerncentrales, dat soort werk. Gebruiken ze daarvoor ook overal hetzelfde wachtwoord? Moeten we daar niet een beveiligingsteam aan wijden?

Wat een symboolpolitiek, nu gaan alle politici een keertje op Twitter-cursus en morgen loggen ze gewoon weer op hun PC in met het wachtwoord dat ze al twintig jaar gebruiken want die cursus ging alleen over Twitter.

Ik stel voor dat we voortaan 1000 euro borg vragen bij het aanmaken van iedere account. Op je profielpagina komt dan een knop: "Sluit mijn account en stort het geld op rekening: ...". Iedereen die daar bij kan is dan in staat om die 1000 euro naar z'n eigen rekening te laten sturen. Als het ze 1000 euro per keer kost dan beseffen mensen hopelijk dat hun wachtwoord belangrijk is.
Ben stiekem (nee niet die commissie) eigenlijk ook benieuwd wat die "experts" gaan adviseren aan de politici.

En of het over een tijdje anders is dan nu. Of blijft het bij een statement nu om van dit onderwerp af te zijn?
Ik denk dat de Teleac-cursus uit 1998 gebruikt gaat worden.
Ben stiekem (nee niet die commissie) eigenlijk ook benieuwd wat die "experts" gaan adviseren aan de politici.
Ik denk niet dat het aan de experts gaat liggen, er zijn er genoeg te vinden die weten hoe het hoort. Ik heb meer mijn twijfels over hoeveel mensen naar die cursus gaan, of er goed opgelet wordt en of ze vervolgens bereid zijn om het ook in praktijk te brengen. Ik ben bang dat het binnen de kortste keren toch weer als te veel gedoe ervaren wordt en we op de oude toer verder gaan.

Maar goed, niks doen heeft ook geen zin, je moet het blijven proberen. Iedere stap vooruit is er eentje, als er een paar mensen iets oppikken van die cursus is dat al iets.

Ik ben bang dat er nog meer incidenten nodig zijn voor echt doordringt hoe groot het probleem is. Stiekem ben ik een beetje blij als politici getroffen worden, we hebben ze ook nodig om het probleem op te lossen.
Klinkt als iets wat een lid van de commissie zou zeggen...

Maar goed, het lijkt me dat een expert minimaal een goede wachtwoordmanager aanbeveelt.
Wachtwoordmanager, en klaar. LastPass kost 12 EUR/jaar. Dat is 1 EUR/maand.
Lastpass is gratis, zelfs de mobiele versie hoef je tegenwoordig niet meer voor te betalen. Er is nog wel een betaalde versie maar die voegt functies toe die eigenlijk niets met wachtwoorden te maken hebben.
Ah ja dat hebben ze veranderd. 2FA is wel een verdomd handige feature anders, en heeft opzeker met authenticatie te maken.
Niks is gratis. Dan staan je gegevens op foute amerikaanse servers. Dat is lekker veilig :S Wil je EU server, moet je premium nemen. Duidelijke combo waarbij je de onderliggende gedachte wel moet kunnen begrijpen, toch? Bovendien ook niet open source. Ik vertrouw 't voor geen meter.
Raar toch dat mensen een soort schijnveiligheid creren. Liefst die gratis apps willen hebben met dubieuze voorwaarden en geloven dat het veiliger is - als 't maar makkelijk is. Alsof we Snowden alweer vergeten zijn ...
Een tool om mensen dom te houden. Gewoon je hersenen gebruiken is veel veiliger.

Helaas is dat icm politiek een lastige combinatie. Nu snap ik dat niet iedereen een tweaker kan / wil zijn, maar de politiek is gewoon verplicht opgeleid te worden in hoe zaken werken en hoe veilig met gegevens om te gaan. Dat is toch hele andere informatie dan jantje op de hoek die wat selfies van z'n matties online zet. Kiest hij zelf voor. Ook niet slim.

[Reactie gewijzigd door xs4me op 13 januari 2017 09:09]

Goed plan joh, LastPass.

https://www.wired.com/201...stpass-got-breached-hard/

Wachtwoorden van politici moeten offline. Allemaal.
Nou, nou zeg. Ik ben 53. Menig jongere onder de 40, maar ook 30 en 20 hebben absoluut geen benul. Heeft niks met leeftijd te maken maar met kennis.

Dus die moeten we bijspijkeren.
Maak niet de fout dat dit leeftijdgebonden gedrag zou zijn.
Het heeft met kunde, welwillendheid en een bepaald niveau van verantwoordelijkheidsniveau te maken, en gebrek daaraan is helaas niet leeftijdgerelateerd gezien de scope aan mensen die ik in mijn werk als IT Helpdesker op totaal Henken-gedrag betrap als het gaat om hun zelfverzonnen wachtwoordbeleid.
Haha, dank. Dus ik mag al 6 jaar wieberen van het internet. En ik maak al dik 10 jaar gebruik van LastPass (eerst Keepass).

Mijn standaard reactie terug: iedereen die zonder nadenken reageert, niet meer op fora toelaten zonder rijbewijs. Je mag ook niet op de openbare weg komen zonder dat je bewezen hebt dit aan te kunnen. :+
;-) Subtiele meningen werken niet op het internet ;-) Maar het internetbewijs ben ik wel voor (en iedere 5 jaar opnieuw examen doen: de wereld draait te snel en het internet is geen speelgoed meer. Pacemakers, energiecentrales en staatsgeheimen hangen eraan).
Dus omdat pacemakers, energiecentrales en staatsgeheimen mogelijk via internet te benaderen zouden zijn (wat eigenlijk niet de bedoeling is) moet de rest van de gebruikers op cursus? Zou iedereen die in een vliegtuig stapt over een brevet moeten beschikken? 8)7

De reden dat er een rijbewijs bestaat is omdat bij onverantwoord gebruik van een motorvoertuig dit fysiek gevaar oplevert voor anderen. Ja, bij massaal onverantwoord gebruik van het internet (zoals dat op dit moment al het geval is) ontstaat er financiele en maatschappelijke schade (DDOS-aanvallen, ransomware, spam, chantage en/of lekken van pikante foto's of filmpjes, etc, etc), maar ik heb eigenlijk nog weinig gehoord dat een gemiddelde persoon door het niet goed beveiligen van zijn computer aantoonbaar ervoor zorgde dat een ander in het ziekenhuis is beland.

Ja, politici en andere mensen hoog in een organisatie die een interessante target voor internetcriminelen zijn (topmensen in een groot bedrijf) zouden beter moeten weten, maar dit rechtvaardigt nog niet dat de overige 99% gedwongen een internetbewijs moet halen.

Een schreeuw om een internetbewijs is al net zulke grote symboolpolitiek als de kamerleden op een cursusje van 2 uur sturen.

En dit is nog afgezien van het feit dat het natuurlijk totaal niet uitvoerbaar is, klauwen met geld kost (handhaven, opleidingen/certificatie, administratieverwerking, totale arbeid die hierbij betrokken is) en relatief weinig oplevert (alle bovengenoemde internetcriminaliteit zal misschien iets afnemen maar niet geheel verdwijnen, dat is vrij naief).

En als laatste: herexamen om de VIJF jaar? Heb jij enig idee hoe snel de veranderingen tegenwoordig gaan? Als jij met de kennis van nu over vijf jaar het internet op gaat ben jij al net zo'n gevaar en achter-de-feiten-aanlopend als al die mensen die jij nu verfoeit.
Met die opmerking geef je nogmaals aan hoe onrealistisch dit voorstel is. Dan zou je moeten werken met nascholingspunten (zoals voor professionals zoals piloten en medisch specialisten bijvoorbeeld het geval is) en mensen moeten verplichten om hun kennis aantoonbaar up to date te houden. Wat de kosten nogmaals astronomisch maakt.
Dus omdat het duur is gaan we niets doen? Omdat het moeilijk is gaan we niets doen. Een internet bewijs is geen oplossing. De werkelijke oplossing zit hem in betere oplossingen (vergelijk dit met zelfrijdende auto's om menselijke fouten te vermijden). Ik zie die ontwikkeling echter nauwelijks gebeuren. Een veilig alternatief voor wachtwoorden zou bijvoorbeeld certificaten kunnen zijn maar in MS Edge kun je geen client-certs meer aanvragen en de zowel Firefox als Chrome maken dit nodeloos complex en er gebeurt niets aan om dit proces beter te maken/uit te werken. TOTP verplicht stellen met een device (dus alles 2-factor maken) lijkt op dit moment meer de route te zijn voor het beveiligen van diensten.

De vergelijking met vliegtuigen gaat niet op: je laat je niet internetten je doet het zelf natuurlijk.
Google maar eens cyberpesten
Cyberpesten was inderdaad heel even in mij opgekomen toen ik een lijstje met nare internetzaken aan het optikken was, maar besloot om dit niet te noemen omdat dit feitelijk een fenomeen is dat zijn oorzaak heeft in de cultuur en dat het internet toevallig als medium gebruikt.

Pesten is al zo oud als de weg naar Rome en staat los van het internet, laat staan dat het gebruik van sterke wachtwoorden of andere "good practice" op het internet hier ook maar enige invloed op heeft.
Als we gewoon de sociale media zien als de speeltuin of de kroeg zijn we ook klaar. Er wordt wel eens iemand voor aap gezet of gehackt, jammer maar pech gehad.
Voor serieuze aangelegenheden is een wachtwoord eigenlijk niet voldoende.
Dit toont enkel maar hoe politici zelf niet willen inzien hoe zij zelf de zwakste schakel zijn als het aankomt op technologie.

Hebben die mensen nog nooit gehoord van betaalde paswoord managers.
Da's nu toch geen 2 minuten werk om zoiets in te stellen?

Een goede manier van werken, om dit zo aan het oppervlakte te brengen.
Imo mogen ze alle acc hacken van de ministers (door white hat hackers).
Tot ze het leren.
Misschien dat tweakers een review van de verschillende password managers kan maken.
Inmiddels hebben enkele van die paswordmangers ook ondersteuning voor Window hello, de biometrische autenticatiemodule van windows, waarmee de autenticatie via vingerafdrukken of irisscans kan worden gedaan.
Voor politici lijkt me dus ook zinvol om een laptop met vingerafdrukscanner of voor Windows hello geschikte camera te halen en dan een password manager te gebruiken die inhaakt op Windows hello
Liever niet. Biometrische "wachtwoorden" kun je namelijk niet aanpassen! ;) ALs iemand ze eenmaal in bezit heeft (digitaal) dan is die persoon dus altijd binnen :+
ALs iemand ze eenmaal in bezit heeft (digitaal) dan is die persoon dus altijd binnen
Dat is niet juist want je kunt niet remote inloggen met een biometrisch gegeven. Je moet het juist lokaal invoeren en dat kan niet digitaal.
Misschien kan Tweakers een review maken dan de digitale agenda van de politieke partijen. Dan kunnen we beter kiezen waar we op stemmen en dan zien ze misschien eens in wat er allemaal beter kan.

Punten als het volgende zouden er in behandelt kunnen worden!
- Hebben ze IT experts in dienst (of laten ze zich goed informeren)
- Hoe willen ze investeren in onze veiligheid
- Hoe willen ze de falende IT projecten aanpakken
Daar zitten we op te wachten: nog een onderwerp waar iedere partij een 'correct' antwoord op gaat geven.
Dan krijgen we politiek voorgeschreven tools, net zoals de halve IT in de jaren 80 aan de Pascal zat omdat de manager dat kende (hij had de Teleac-cursus gevolgd).

(Reken er maar niet bij voorbaat op dat de politiek voorgeschreven communicatiemethode iets anders wordt dan Facebook, of Twitter)
De Correspondent publiceert deze week iedere dag een artikel over informatiebeveiliging en privacy. Misschien lezen politici dat eerder dan Tweakers.
Praktisch idee, maar ik zou eerder zeggen dat een NU.nl of iets voor het bredere publiek dit ook zou overnemen of schrijven...
sommige zijn gewoon gratis. en kunnen veel wachtwoorden creeren.
de browser maxthon heeft zo'n generator erin zitten. waarbij je tot 99 characters aan tekens in je PW kan hebben.
Echter zijn dan de andere partijen het probleem.
Zo had ik dit bij Vodafone. Was weer eens al mijn wachtwoorden aan het veranderen, liet een wachtwoord genereren door 1Password met streepjes erin, kwam ik op een wachtwoord van 14 tekens ofzo.

Wil ik mijn account bij Vodafone opslaan:

“Uw wachtwoord is te lang.”

WTF?! Dan ben ik er gelijk wel klaar mee.
haha weet het.

het jammere is dat vele sites zulke tekens niet toestaan:
⩕⩓Ħƒ†⋉¤Ħ†

steam daarintegen staat een gelimiteerd gedeelte van zulke tekens toe
Het probleem met zulke tekens is, je wijkt af van de reguliere charset die je hanteert in je databases. Dan kunnen zulke tekens een probleem vormen. Ook hashing algoritmes kunnen struikelen over hele vreemde tekens.

Als men het limiteert tot reguliere leestekens zoals jij deze op je toetsenbord ziet, dan vind ik het prima, dan zal er een goede reden voor zijn qua compatibiliteit. Maar soms wordt zelfs '-' (streepje) tegen gehouden, dat gaat er bij mij niet in. Er is geen enkele technische reden om die te weigeren.
Hashing algoritmes struikelen niet over vreemde tekens maar de versimpelde API wel. Een algoritme als MD5, SHA1, SHA2 en zo door maken geen gebruik van charsets maar maken berekeningen op een binair niveau. Een character of zelf een emoji (Unicode) is makkelijk converteerbaar naar een binair formaat aan de server kant. Als je een hashing algoritme deze binaire data voed komt er een binair resultaat uit dat vervolgens naar Base64 of het vaker gebruikte hexadecimaal kan worden geconverteerd.

Er is geen enkele reden voor het niet mogelijk zijn van emojis als wachtwoord naast dat het process aan de server kant dit niet accepteert op enig punt in het proces. Een bewuste reden kan zijn dat het wachtwoord mentaal niet te onthouden is als je een serie emojis als wachtwoord neemt wat ik, persoonlijk, geen goede reden vind.
Het hoeft niet eens aan de API te liggen trouwens, het kan ook liggen aan de programmeertaal/het framework van de applicatie. Kijk maar eens naar de bar slechte ondersteuning van Unicode in PHP5, een van de meestgebruikte websitescripttalen op de wereld.

Als je meerdere systemen gebruikt (PHP voor de webmail, ASP.NET voor het accountbeheer etc.) dan kan een enkele oude PHP5 applicatie al roet in het eten gooien ook al heb je nog zo veel hypermoderne systemen. Een keten is zo sterk als zijn zwakste schakel...

En om dat hele platform weer om te schrijven naar PHP7 of naar multibyte strings omdat GertMenkel een emoji in zijn wachtwoord wil hebben is ook weer zo duur :) .

Bekijk het maar zo: er zijn nog steeds webshops die je je wachtwoord in plaintext mailen als je hem vergeten bent, dus het kan altijd nog erger.
Bekijk het maar zo: er zijn nog steeds webshops die je je wachtwoord in plaintext mailen als je hem vergeten bent, dus het kan altijd nog erger.
Of allerlei instellingen die zaken als adres-checks met volledige NAW gegevens erin versturen via onversleutelde mail. Bonus punten als dat via mass-mailing boeren gaat, die HTML mails ook direct op het web leesbaar maken via open toegankelijke, niet versleutelde pagina's.

(Technische Universiteit Eindhoven recent nog met al hun alumni.)

[Reactie gewijzigd door R4gnax op 12 januari 2017 21:17]

haha klopt dat is wel jammer

maar ze zijn zeker veel veiliger dan de symbolen:
~!@#$^%&*()_+
Hebben die mensen nog nooit gehoord van betaalde paswoord managers.
Da's nu toch geen 2 minuten werk om zoiets in te stellen?

Een goede manier van werken, om dit zo aan het oppervlakte te brengen.
Imo mogen ze alle acc hacken van de ministers (door white hat hackers).
Tot ze het leren.
Waarom moeten het per se betaalde wachtwoord managers zijn??? Er zijn genoeg goede, gratis alternatieven. En het hangt er natuurlijk van af hoeveel accounts je hebt. Als je veel accounts hebt, ben je natuurlijk geen 2 minuten bezig ;). Voor de rest helemaal met je eens.
Maar mag je die gratis alternatieven ook commercieel gebruiken?
Ik zou niet weten waarom dat niet zou mogen :).
Keepass is een goed voorbeeld van zo eentje. Open source ook en veel plugins. Maar goed, er zijn er meer.
Deze meneer zit ook gewoon in de commissie stiekem, wat een flater om slechte wachtwoorden te kiezen als je zulke gevoelige informatie bezit.
Het is beter om ze te laten schrikken zoals RTL Nieuws doet. Hierdoor snappen ze in ieder geval dat het een serieus probleem is.

Of laat ze een filmpje zien zoals
https://www.youtube.com/watch?v=7U-RbOKanYs

Waarin het duidelijk is dat de veel voorkomende nonsens wachtwoorden:
- Echte woorden (of combinaties van woorden)
- Hybride woorden van letters en leetspeak
- Woorden en Datums

In slechts luttele seconden gekraakt kunnen worden met een library of een simpele bruteforce. Al zijn het verouderde encryptie methoden het is nog steeds schrikbarend hoe snel het gekraakt kan worden.
Misschien kunnen de 'experts' iets meer vertellen over het gebruik van 2FA.

Verder is al vaker gebleken dat IT en Politiek niet samengaat, id.g.v. niet in deze vorm. Het is voor mij sowieso altijd een raadsel waarom een politicus op een stoel mag zitten waar hij/zij geen verstand van heeft (zie heel HTTPS verhaal). Misschien moet er een nieuwe post worden gecreerd en moeten deze mensen maar eens getoetst worden op hun kunnen. Ik krijg toch ook geen baan als golfer, als ik zelf nog nooit een balletje heb geslagen?
Er zijn maar 150 kamerleden, en heel veel expertisegebieden. Het is juist de kunst voor politici om het werk te doen zonder zich met details te bemoeien waarvoor je expert moet zijn.
Daar gaat het meestal mis: te veel met onzinnige details bemoeien waar experts mee zwaaien, en door die zelfde details zo overdonderd worden dat je niet meer weet waar je mee bezig bent.
Ja kom, we maken er een single point of failure van. Dat moet goed gaan.
Hetzelfde wachtwoord is de single point of failure zoals je kan zien :)
Je kunt een wachtwoord manager ook beveiligen met een fysieke sleutel waardoor hij vrijwel niet te kraken is. Ik zie dan ook niet in waarom dergelijke beveiliging maatregelen niet getroffen kunnen worden voor mensen die om moeten kunnen gaan met staatsgeheimen.
Les 1. Alles is te kraken, fysieke sleutels zijn overigens wel heel erg 2005
Klopt wel maar je moet net iets beter hebben dan je buurman.

Maar even offtopic
Ik heb gewoon sleutels voor mijn deuren geen biometrish slot.
Les 1. Alles is te kraken, fysieke sleutels zijn overigens wel heel erg 2005
Vandaar ook dat ik het woord 'vrijwel' in mijn zin gebruik. Het zal te kraken zijn maar eenvoudig is het niet als je EN de fysieke key moet hebben EN het wachtwoord van de key moet weten. Openbreken of bruteforcen kan bij deze niet dus de meest viable approach is de wrench attack maar dan hebben we wel andere problemen.
Ja, dat gaat inderdaad wel goed. Een heel stuk beter dan de onbeheerde points of failure zoals Linkedin dit keer was.
Nee, dat gaat juist niet goed, want je bent alleen maar bezig met het verplaatsen van het probleem en niet het oplossen. Als iemand in je wachtwoordmanager komt zijn de problemen ook aanwezig en waarschijnlijk zelfs een heel stuk groter. Het risico zit 'm dan (deels) niet direct meer bij externe partijen zoals LinkedIn, maar is zeker net zo aanwezig. Zeker omdat de meeste wachtwoordmanagers beveiligd worden door opnieuw een wachtwoord, dat ook uit kan lekken. Op dit moment kun je dus ook beter iets anders gebruiken, zoals een simpel en loos wachtwoord met 2FA.
Politici lijken net mensen. Gemak gaat boven veiligheid.
De social media zouden wel iets kunnen doen om de veiligheid te verhogen door regels te stellen aan een wachtwoord (sterk, 2 maal per jaar veranderen en hergebruik uitsluiten), maar daar hebben die diensten helemaal geen belang bij. Een groot deel van de mensen gaat dan ook afhaken omdat die dat niet pikken en niets te verbergen hebben.
Dit geeft wel gelijk een mogelijkheid aan voor de Russen om onze verkiezingen te benvloeden, even compromitterend berichtje plaatsen en klaar is Kees.
benvloeden, even compromitterend berichtje plaatsen en klaar is Kees.
en klaar is Kees vd staaij :+
Wellicht hebben ze een password manager maar nooit wachtwoorden geupdate omdat ze die nooit gebruiken?
Een PEBKAC is toch vaak wel het grootste probleem.
Waarom accepteren deze sites zwakke wachtwoorden nog?
De vraag is meer, waarom gebruikt men hetzelfde wachtwoord voor verschillende sites?
Dat ook natuurlijk. Maar door gebruikers te dwingen om sterkere wachtwoorden te gebruiken kun je er in ieder geval voor zorgen dat je eigen platform veiliger wordt.
Zegt ook niet alles.

Welkom01 komt vrijwel altijd door de checks heen. 8 of meer karakters, hoofdletter, kleine letters en cijfers.

Terwijl iedereen kan zien dat dat een achterlijk wachtwoord is. Er zijn zat dictionaries waarmee dit binnen een paar minuten gekraakt is. Dan liever een wachtwoord als

MandarijnHeftruckBosvruchtenSjaal

Geen cijfers, maar kijk zelf maar is welke eerder gekraakt is.
Klopt, een langer wachtwoord is meestal beter dan een complex wachtwoord.

Een groot deel van het probleem kan worden opgelost door gebruikers op te voeden, tot die tijd zul je het aan de kant van de website moeten oplossen denk ik.

Langere wachtwoorden, wachtwoorden laten verlopen na 30/60/90 dagen, nieuwe wachtwoord moeten uniek zijn etc. etc. Er zijn heel veel mogelijkheden.
deze is veiliger en ook nog eens veel leuker:
⩕@⩓d@⩓Ħƒ†⋉¤vĦ†⩓j@@l
Echter vindt ik het wachtwoord dat ik gepost heb wat gemakkelijker te onthouden ;)

Maar je heb wel gelijk, complete random wachtwoorden in een password database is de beste tactiek imo. Natuurlijk is het argument dat je 1 zwakheid in het systeem heb, namelijk het master password en je wachtwoorden kluis. Je maakt daarmee je attack surface vrij specifiek.

Maar het "genot" dat je krijgt bij een grote breach met een random wachtwoord is toch wel heel erg fijn :) Hoef je niet bang te zijn dat je op 6 sites je wachtwoord opeens opnieuw moet instellen.
als je goed kijkt zie je dat het pw wat ik gepost heb veel lijkt op die van jou.

maar dan is bijn elke letter vervangen door een html ascii symbol.

zelfs al 1 van die symbolen in je pw is al volledig veilig genoeg. omdat deze pas aan het einde van de brute force lijst komen te staan.

maar bij een database hack is het weer niet veilig omdat je dan gewoon copy paste doet
Als je een sterk wachtwoord op meerdere sites gebruikt en 1 van de sites lekt informatie, waardoor je sterke wachtwoord ook te ontcijferen is, dan ben je gewoon de sjaak.

Of te wel, voor iedere belangrijke site/omgeving een ander wachtwoord gebruiken.
Inderdaad, dat doe ik zelf ook.

Alleen voor onbelangrijke site gebruik ik een makkelijk wachtwoord, maar als men die hackt maakt me dat niet zoveel uit. Alle belangrijke accounts hebben een wachtwoord van minimaal 16 tekens, allemaal uniek.
Mwah, indien dat sterkere wachtwoord slecht gehasht op straat ligt, en die alsnog herbruikt is, dan maakt dat weinig uit helaas.

Password managers is the way to go!
hoe meer eisen een site aan het wachtwoord stelt hoe makkelijker het wordt om het te bruteforcen.
Limitaties op welk wachtwoord je kan kiezen = limitaties aan het aantal mogelijkheden die je moet proberen. (niet toegelaten wachtwoorden dien je niet te proberen)
Maar dat voorkomt hergebruik van die wachtwoorden niet en had het probleem in dit nieuwsbericht maar met beperkte mate kunnen voorkomen. Het is dan lastiger om berhaupt aan het wachtwoord te komen maar wanneer het dan eenmaal is gelukt (op welke wijze dan ook, brute force, raden, keylogger, phising, you name it) zal het nog misbruikt kunnen worden vanwege het hergebruik.
Dat klopt, het is onmogelijk om te voorkomen dat een gebruiker hetzelfde wachtwoord gebruikt op meerdere sites, dat zal opgelost moeten worden door een stukje opvoeding.
Omdat wachtwoorden een verschrikkelijk achterhaald concept zijn en het voor Tante Nel en Oma Truus niet te doen is om om te gaan met password managers en random passwords.

Het is hoog tijd dat we eens gaan afstappen van dit 20e eeuw concept en volledig overstappen op passwordless accounts met andere vormen van authenticatie (via Apps etc). Maar dit brengt weer andere uitdagingen met zich mee: wat nou als Oma Truus geen smartphone heeft en dus niet overweg kan met zo'n authenticatie App...
Of wanneer je verplicht bent je telefoonnummer te delen met de dienst en dat niet wil.

Voorbeeld bij Steam: Elke keer als ik wat probeer te verkopen, moet ik het goedkeuren via mail. Maar dit vindt Steam onvoldoende, dus wordt alles pas na 2 weken daadwerkelijk op de market geplaatst.

Als ik direct dingen wil verkopen, moet ik 2FA gebruiken via de Mobile Authenticator. Om de Mobile Authenticator te authoriseren, willen ze mij een SMS sturen. Maar ik wil mijn telefoonnummer niet delen; Weer een Amerikaanse dienst die mijn telefoonnummer wil hebben EN: ik zou mijzelf toch kunnen authenticeren via de Steam client op de PC?
Ooit gedacht om voor de eerste authenticatie een Vodafone simkaartje op te pikken bij AH ?
Deze zijn gratis, en na activeren 6 maanden 'actief'

Dan kan je je 2FA aanzetten, en gebruiken.
Zou je je telefoon kwijtraken, of opnieuw installeren ( ja, ik ben je voor ) kan je het telnr. aanpassen waarop je de auth in eerste instantie al gedaan hebt, OF ( binnen die 6 maanden ) nogmaals dat gratis VFsimmetje gebruiken.

Problemen zijn makkelijker op te lossen dan je denkt.
Wat een goede tip :) Daar heb ik nooit bij stil gestaan, zal het proberen.
heel simpel. een code naar haar telefoon laten sturen (zoals het nu bij digiD wordt gedaan), dan kan zelf oma truus er mee overweg.
en dat snap ik ook dat sommige mensen liever niet hun telefoonnummer geven.
Voor Tante Nel en Oma Truus inderdaad niet erg praktisch, maar voor iemand die een belangrijke (openbare) positie bekleed en nationaal kritische gegevens in mag zien hoop ik toch dat er ergens door iemand een cursusje veiligheid op het internet gegeven word...
Als iemand als Mark Zuckerberg al niet verder komt dan "dadada" als wachtwoord te hanteren voor meerdere accounts, dan vrees ik niet dat kennis veel gaat helpen tegen pure gemakszucht.
  • Omdat er genoeg mensen zijn met het geheugen van een goudvis waardoor ze al moeite hebben om 2 verschillende wachtwoorden te onthouden.
  • Omdat er genoeg mensen zijn die te lui zijn om ook maar enige moeite voor iets te doen.
  • Omdat er genoeg mensen zijn die totaal het gevaar van simpele en hergebruikte wachtwoorden niet begrijpt.
  • Omdat er genoeg mensen zijn die het totaal niet boeit of hun hele leven op straat komt te liggen.
Ik heb niet het geheugen van goudvis, nog kan ik me in je andere punten herkennen.
Maar een tiental sterke wachtwoorden onthouden bij de juiste website is geen sinecure.
Zeker niets als je deze niet dagelijks of wekelijks gebruikt.

Wat nog kan helpen is een generiek sterk wachtwoord met daarin een deel van de site naam. Dat wordt dan meer een algoritme wat moet onthouden.
Overal wordt het op Tweakers al gezegd: neem een password manager. En regel die ook gelijk voor de familie.

Het gemak is enorm als je het eenmaal draaiend hebt. Als je ingelogd bent in je password manager kan deze automatisch inloggen op websites, autofill van registratie regelen en je hebt maar n wachtwoord dat je hoeft te onthouden.

Dit ervan uitgaande dat jij je ook daadwerkelijk afvroeg hoe je dit moest oplossen.
Ik gebruik zelf zeker een password manager!

Voor die tijd gebruikte ik bovengenoemde methode.
Dat antwoord is vrij simpel: Omdat mensen in de eerste plaats is aangeleerd om wachtwoorden alleen in je hoofd te bewaren en vooral niet op te schrijven. Aangezien je geen 200 essentieel verschillende wachtwoorden kunt onthouden, zul je moeten gaan hergebruiken zodra je meer dan een paar wachtwoorden hebt.

De oplossing is net zo simpel: schrijf je wachtwoorden op, zeker voor websites werkt een wachtwoordbeheerder als Keepass of Lastpass heel goed. Voor systeemwachtwoorden kun je een wachtwoordkaartje maken.

[Reactie gewijzigd door Bacchus op 12 januari 2017 13:48]

Kies vooral voor je emailaccount een verschillend en moeilijk wachtwoord (omdat je via je emailadres dikwijls een nieuw wachtwoord voor een of andere applicatie kan aanvragen indien je het vergeten bent) en beveilig je telefoon met een wachtwoord of vingerafdruk (wat mijn vrouw bijvoorbeeld nog altijd niet doet omdat dat "onhandig" is)
Ik denk dat dit de juiste vraag is in dit geval...
Leken zijn gewoon niet bezig met beveiliging dus je moet als dienstverlener dan zorgen dat de wachtwoorden die ze gebruiken adequaat zijn.
Het is eerder welke hash algoritmes gebruiken dropbox en linkedin om onze wachtworden te beveiligen.

Tuurlijk het hergebruiken van een wachtwoord is niet goed, maar de menselijke factor is lui en wil niet overal een ander wachtwoord.
Het wordt eens tijd dat de mensen genformeerd worden over wachtwoordmanagers. Maar dan nog. Mijn broertje is bijvoorbeeld verrot makkelijk met dat soort dingen en ik heb hem bijvoorbeeld al echt tig keer vertelt, dat als hij gehackt wordt, het zijn eigen stomme schuld is, want ik heb hem heel vaak gewaarschuwd. Alsnog denk ik dat de meeste mensen niet eens weten dat er wachtwoordmanagers bestaan zoals KeePass. Want tsja, zoveeel wachtwoorden onthouden uit je hoofd, is niet te doen natuurlijk.
Ik zou eerder mensen sturen naar een Lastpass, die heeft namelijk integratie met alles tot aan je broodrooster. Je moet dat zo makkelijk mogelijk maken, en nmaal ingericht is Lastpass bijna nog makkelijker dan overal hetzelfde wachtwoord te gebruiken omdat Lastpass heel het inloggen uit handen kan nemen.

Keepass is nog altijd wel een gedoetje, zeker als je niet al heel handig bent met computers.

Tevens blijf je altijd mensen houden die eerst even moeten voelen dat het toch echt een issue is, daar zou ik niet mega veel tijd in steken.
Misschien wel makkelijker dan KeePass, maar KeePass was dan ook maar gewoon een voorbeeld (omdat ik het zelf gebruik). Voor de beginner is LastPass misschien een betere keuze, vanwege de betere gebruiksvriendelijkheid. Alleen vind ik het link dat mijn database op hun servers staat (bij LastPass). Waarom? Vanwege het volgende: https://blog.lastpass.com...ass-security-notice.html/ (iets naar beneden scrollen).

Bovendien heb je dan een account wat gehackt kan worden :p (tenzij zij wl je wachtwoord mt een sterke vorm van hashing en een salt hebben opgeslagen). Zie bijvoorbeeld ook hier: http://lifehacker.com/is-...it-gets-hacked-1555511389

En waarom is KeePass dan een gedoe? Heb nergens last van.

[Reactie gewijzigd door AnonymousWP op 12 januari 2017 13:51]

Keepass file moet je synchroniseren (en backuppen), browser plugin is het net niet, app op je telefoon (???).
Het werkt wel maar het is al met al geen 1, 2, 3tje.
Daar moet ik je zeker gelijk in geven. Op mijn telefoon gebruik ik een applicatie die compatible is met de database van KeePass (kdb bestand) en is ook goedgekeurd door KeePass zelf. Als ik dan iets verander, zet ik het op m'n Google Drive, en dan download ik het naar m'n laptop en telefoon (of vice versa natuurlijk). Voor beginnende gebruikers kan ik begrijpen dat het niet makkelijk is, maar het is wel stukken veiliger. En dan zul je zometeen zien dat de leken een zwak wachtwoord gebruiken voor LastPass. Dan wordt dat gehackt, en dan heb je alsnog niets aan zo'n wachtwoord manager 8)7. Tweetrapsauthenticatie is er volgens mij wel, maar ja, zij weten denk ik niet eens wat het is. Laat staan het instellen ;).

[Reactie gewijzigd door AnonymousWP op 12 januari 2017 14:01]

Maar wat doe jij dan als je op je werk/school wil inloggen op een website waar je priv een account voor hebt? Dan heb je die password-manager niet tot je beschikking.
Of stel dat je ooit van die password-manager af wilt? Hoe makkelijk is het dan om een txt-bestandje te krijgen met daarin netjes de websites en de bijbehorende wachtwoorden?
Ik blijf aanhikken tegen het gebruik van een password manager, omdat ik bang ben dat 't zich ooit tegen mij keert.
Jawel hoor :). Want ik heb toch een telefoon bij de hand waar m'n database op staat? ;)

Waarom zou je van een wachtwoord manager af willen? Er komen alleen nog maar meer wachtwoorden bij op den duur. Mits het wachtwoord blijft bestaan.
Bij de meeste password managers kun je wachtwoorden van heel veel concurrenten importeren en op zijn minst in txt en csv exporteren. Dat is een belangrijk selectiecriterium, maar natuurlijk geen argument tegen password managers an sich. ;)
Keepass file moet je synchroniseren (en backuppen), browser plugin is het net niet, app op je telefoon (???).
Het werkt wel maar het is al met al geen 1, 2, 3tje.
keepass is er voor IOS en Android, keyfile kan je op een cloud-sync naar keuze zetten.
Ik gebruik Stack, heb Googledrive een backup hiervan, en een hele tijd dropbox gebruikt.

Werkt prima, en al zeker zo'n 3 jaar nu
Dat is exact waarom ik die verantwoordelijkheid bij de dienstverlener, in dit geval Twitter, neerleg.
Ik kan me niet voorstellen dat ze niet kunnen kijken naar hun wachtwoorden voorwaarden, bij voorkeur ook getoetst tegen een database zoals die van haveibeenpwned.com.

Je dat dit ook bij die Celebrity iCloud hack, o.a. mogelijk gemaakt omdat Apple's beveiligingsbeleid gewoon niet met de tijd mee is gegaan.

[Reactie gewijzigd door Ton Deuse op 12 januari 2017 13:44]

Dat is exact waarom ik die verantwoordelijkheid bij de dienstverlener, in dit geval Twitter, neerleg.
Grapjas ....

Als een site me rare voorwaarden stelt om in te loggen, ga ik naar de volgende.
Ik vind het prima als ik mijn verantwoording kan nemen, als voor mijn wachtwoord jan1234 wil gebruiken, dan doe ik dat.

Ik kwam vorige week op een site uit, waar ik al moest registreren om iets te mogen zien, deze accepteerde geen hotmail/guerillamail of andere 'gratis' dienst.
Mijn aandacht was licht verslapt, en toen ik uiteindelijk als 3e optie een oud yahoo kon gebruiken, kwam het wachtwoord.
moest hoofdletters, kleine letters, cijfers EN leesteken bevatten, maar mijn keepass generated 128bits mocht niet ... te lang :|

Toen had ik het wel gehad, ik wil gewoon Jan1234 gebruiken !
Jammer dan, als we het echt veilig willen maken, dan kan Jan1234 niet.

Gebruik dan maar iets als Jan!1@3$.
Mijn essentie was meer dat de verplichting anders moet worden ingesteld.

Wel aan de ene kant allemaal randvoorwaarden scheppen, maar uiteindelijk 'mag' je maar 8 tot 12 karakters gebruiken.

Ik heb een account in beheer met een dual 256bit key, overdreven, misschien wel.
gewoon "omdat het kan" ;)
Niet echt, het is duidelijk dat wanneer mensen een complex paswoord moeten ingeven, ze maar n paswoord gebruiken, wat nog onveiliger is dan een simpel paswoord maar op iedere service verschillend. Want je zal maar een complex paswoord in een plaintext service vinden.
Dit soort mensen gebruiken altijd hetzelfde wachtwoord, ik geloof er helemaal geen drol van dat complexiteit een significant aandeel in heeft in die keuze.
Scheelt wel iets aangezien de wachtwoorden in MD5 stonden moet je op zoek naar een rainbow table om het terug te vinden.
Elke dienst heeft weer zijn eigen regels, dus al die complexe paswoorden leveren alleen maar steeds opnieuw resetten van paswoorden op.
Je kan idd beter meerdere simpele wachtwoorden gebruiken. Het gaat niet eens perse over de complexiteit van het te kraken wachtwoord. Een website laat toch niet meer dan X pogingen toe.
Een offline database kraken is een questie van tijd en het juiste versleutel algoritme vinden. Breek je er n, dan breek je ze allemaal.
Maar mocht je dan het wachtwoord voor site A hebben, dan heb je niks voor site B, C en D.

Echter is 'alleen' een wachtwoord al een tijdje achterhaald, en zal elke zichzelf serieus nemende aanbieder van een dienst een 2-factor Auth. moeten aanbieden/afdwingen.
Dat kan op verschillende manieren, maar het idee dat iemand fysiek toegang moet hebben tot je telefoon is al een flinke barriere.
Klopt helemaal. De meeste mensen begrijpen niet welke risico's ze lopen door overal hetzelfde eenvoudige wachtwoord te gebruiken. Na wat uitleg snappen ze het vaak wel maar als puntje bij paaltje komt en ze horen dat ze beter overal een ander moeilijker wachtwoord moeten gebruiken doen ze dat toch niet, je kunt het beter afdwingen.
Ik weet niet wat de regels exact zijn van twitter, maar regels als minimaal 1 hoofdletter, minimaal 8 tekens en minimaal 1 speciaal karakter voorkomt nog steeds niet dat TweedeKamer2017! als wachtwoord gekozen word en een lijst van verboden woorden lijk me onbehapbaar voor dit soort bedrijven (alle talen over de wereld genomen).
Vodafone accepteerd geen wachtwoorden boven de +/- 12 tekens. Daar ben ik bij andere partijen eveneens tegenaan gelopen. Dus de vraag is k; waarom staan diensten geen ingewikkelde wachtwoorden toe.

[Reactie gewijzigd door xoniq op 12 januari 2017 13:57]

Dat is inderdaad heel erg slecht, ik loop er niet vaak tegenaan maar sommige sites gebruiken nog een wachtwoordbeleid uit de prehistorie. Vodafone zou zich moeten doodschamen dat ze geen langere wachtwoorden ondersteunen, willen ze geen veiligere dienst leveren?
Ik stond dan ook perplex. Implementaties die ik doe vereisten minimaal 1 bijzondere teken, minimaal 2 hoofdletters, minimaal 2 cijfers en verder een minimale lengte van 10 tekens.

Irritant voor de gewone consument, maar je zult wel moeten tegenwoordig, tevens stimuleert dat (hoop ik) men om een password manager te gebruiken.
Je kunt ook sterke wachtwoorden hergebruiken.
Uiteraard, maar sterke wachtwoorden zijn weer minder makkelijk te achterhalen. Social media moeten er in ieder geval voor zorgen dat de wachtwoordvereisten op hun eigen site in order zijn en dat je bij het wijzigen van het wachtwoord een uniek wachtwoord moet kiezen (nooit eerder gebruikt op de betreffende site). Dat gebruikers er zelf voor kiezen om voor alle sites hetzelfde wachtwoord te gebruiken kun je niet tegenhouden, Site A kan immers niet zien welk wachtwoord de gebruiker op Site B gebruikt.

Wellicht moet men two-factor authentication afdwingen. Door gebruikers met zwakke wachtwoorden die "gehackt" worden, wordt immers het imago van de hele site aangetast.

[Reactie gewijzigd door EnigmaNL op 12 januari 2017 13:42]

Eens je paswoord gelekt is, is het eigenlijk geen sterk wachtwoord meer.
Dat voorkomt het stelen van een wachtwoord hash niet, even als een rainbow table er op los laten om het te achterhalen en dan te proberen op een andere site, zoals die gasten van RTL gedaan hebben
Eigenlijk een hele goede vraag. En nog specifieker: waarom checken dit soort websites niet gewoon standaard de haveibeenpwned database? Allereerst natuurlijk wanneer een gebruiker een nieuw wachtwoord kiest, maar evt ook periodiek gewoon alle accounts checken. Foute boel? Contact opnemen met je gebruiker en informeren!

Daarnaast is ook de kwaliteit van wachtwoordcheckers abonimabel. Ze dwingen wel af dat je voldoende variatie hebt in letters/hoofdletters/tekens/cijfers en voldoende lengte, maar dat is echt maar het begin. Je moet weten met welke strategin hackers encrypted passwords kraken, en dr op checken. Hackers doen bijv eerst dictionary attacks, dan dictionary woorden met letters door cijfers vervangen, dan brute-force alle combi's t/m X tekens, dan alle combi's van X tekens met achteraan 1/2 cijfers of speciale tekens (want dat is namelijk de plek waar 99% van de mensen zijn cijfer of speciale teken plaatst). Om te beginnen moet je dus niet alleen veel verschillende tekens afdwingen, maar ook de plaatsing daarvan is essentieel. Daarnaast zou zo'n site eigenlijk zelf ook een vergelijking met een dictionary moeten maken en kijken of hij kwetsbaar is voor dictionary attacks.

Ik kan mij vaag herinneren dat Tweakers ooit een dergelijke test op hun eigen wachtwoord database had gedaan, en dat daar een aanzienlijk percentage kwetsbare wachtwoorden in bleek te zitten...
Ik weet niet of het misschien al het geval is maar na een x aantal pogingen zou een account op sociale media gewoon moeten vergrendelen, op die manier is een dictionary attack een stuk lastiger lijkt mij.
Zeker waar, maar daar heb je weinig aan als het een gerecycled wachtwoord is dat bij een andere site al is achterhaald - dan is de eerste inlogpoging namelijk meteen raak. Stel, een gebruiker heeft een wachtwoord voor Yahoo gebruikt en hetzelfde voor zijn Facebook. Van Yahoo zijn de (encrypted) wachtwoorden op straat beland. Als het een slecht wachtwoord is (makkelijk te brute-forcen), is er een dikke kans dat het wachtwoord gekraakt wordt - en vervolgens bij Facebook geprobeerd. Facebook kan dan wel het aantal inlogpogingen beperken, maar... daar los je dit probleem dus niet mee op.

Dit probleem beperk je alleen door betere controle op de kwaliteit van wachtwoorden - had FB dat gedaan, dan had de gebruiker een zwak wachtwoord niet kunnen recyclen (en was het wl een sterk wachtwoord geweest, had hij het wel kunnen recyclen, maar dan was het Yahoo wachtwoord niet gekraakt - ook goed).
Het zal helaas nooit waterdicht zijn maar een combinatie van tactieken zal de boel een stuk veiliger maken. Aan de technische kant aanpassingen doen en aan de menselijke kant moet men opgeleid worden. Ik denk dat het in ieder's belang is dat de social media (en andere grote online dienstverleners) hierin het voortouw nemen.
Omdat HaveIBeenPwned de wachtwoorden niet bewaart, omdat dat een gigantisch veiligheidsrisico is?
Ik heb wel meegemaakt dat een website mij waarschuwt dat mijn emailadres voorkwam in een gehackte database van een andere site en dat uit voorzorg mijn wachtwoord is gereset
Een sterk wachtwoord is ook niet alles. Sterker nog, vrij grote kans dat mensen dan nog eerder 1 complex wachtwoord verzinnen en dat weer voor alles gebruiken. 1 partij wordt gehacked en alles ligt open.
Klopt, maar dat is geen reden om dan maar geen sterke wachtwoorden te gebruiken :)
Kunstmatige limitaties aanleggen op welke karakters er gebruikt moeten en mogen worden maakt de wachtwoorden alleen maar zwakker voor brute-forcen.
Het enige wat de wachtwoorden zwak maakt is het sociale engineering aspect er achter. Twitter kan er niets aan doen dat haar gebruikers slechte wachtwoorden kiezen, het enige wat praktisch mogelijk is is het minimale aantal karakters verhogen naar een stuk of 20.
Aan de andere kant, moet je ze niet te moeilijk laten maken voor de normale gebruikers. Gelukkig is het een tijdje geleden, maar toen was het nog vrij normaal op post-it's bij schermen of laptops te plakken. Dat zie ik in mijn huidige werkomgeving gelukkig niet meer. Echter, ga je te moeilijke wachtwoorden eisen dan zie je dat misschien wel weer terugkomen (of mensen, zoals deze politici) gaan ze overal herbruiken omdat ze overal een moeilijk wachtwoord moeten verzinnen.

Ik ben persoonlijk van mening dat we wachtwoorden zo snel mogelijk moeten uitbannen. De gehashte wachtwoorden worden steeds makkelijker steeds sneller gekraakt. We moeten toe naar standaard 2FA met iets dat je hebt en iets dat je weet of iets dat je bent.
Omdat het geld gaat naat feature ontwikkeling voor enterprise customers, en boardmembers zoals Candy Rice, en niet naar developers die graag tot diep in de nacht hun werk goed doen voor het juiste geld.
Goede vraag, een actie van deze sites had kunnen zijn; uw ww+usr staat op bekende havklijst, stel uw ww verplicht opnieuw in voordat u verder kan.
Het moet eerst een keer goed misgaan, willen mensen wakker geschud worden. Voor mij was dat in 2011 het geval. Sindsdien alle wachtwoorden vervangen door unieke exemplaren. Een jaar later overgestapt op Keepass.

Overigens krijg ik maar moeizaam mensen overtuigd. Voor velen klinkt een password manager te ingewikkeld en houdt men het graag simpel. Mensen gaan graag voor het gemak. Beveiliging en gebruikersgemak gaan helaas niet altijd samen. Betalen voor beveiliging is ook vaak een heikel punt. Klaarblijkelijk weten mensen hun data niet altijd op waarde te schatten.

Dat politici dit overkomt, mag dan niemand verbazen, slecht is het wel. Juist, binnen de politiek zou hier oog voor moeten zijn. Maar ja, wat valt er anders te verwachten wanneer zelfs de zgn. ICT kamerleden (denk aan Ton Elias), tot de meest bizarre uitspraken komen. Veel politici geven er blijk van weinig kaas ervan te hebben gegeten. Dat geeft niets, zolang je je dan wel goed voor laat lichten en adviezen ter harte neemt. Dat ter harte nemen ben ik echter niet zo gerust op...

[Reactie gewijzigd door JKP op 12 januari 2017 14:07]

Ik verzin liever zelf goede wachtwoorden dan dat ik ze op 1 locatie opsla. Ik sla ze zelfs liever helemaal niet op. Je kan prima lastige Paswoorden verzinnen die makkelijk te onthouden zijn en verschillend genoeg van elkaar door de website naam er doorheen te mixen. Bijvoorbeeld om de 3 letters/cijfers 1 letter. Waneer je dat in combi doet met je inlog naam. Knappe jonge die dat vind tussen al die duizende gestolen inlog gegevens.

[Reactie gewijzigd door Finger op 12 januari 2017 14:31]

Het heeft mij altijd verbaasd dat er nog nooit een goed en vriendelijke password manager in OS'en zitten. Van MacOS synct bijvoorbeeld prima over meerdere apparaten, maar doet zelf nooit een (willekeurig en veilig) wachtwoord genereren voor een site, een feature die ik heel erg zou toejuichen.

[Reactie gewijzigd door archie2012 op 12 januari 2017 14:43]

Dat doet osx wel hoor. Waneer je op het sleuteltje drukt genereert hij zelf een passwoord.

[Reactie gewijzigd door Finger op 12 januari 2017 14:47]

Ah serieus? Sinds wanneer zit dat erin? :)
Zelf gebruik ik KeepassX, die ondersteund ook notities, etc. Volgensmij ondersteund ook Keychain dit, maar het is allemaal nog wat onvriendelijk in gebruik, misschien kan Apple deze ook een makeover geven.
Geen idee eigenlijk , kwam er laatst ook pas achter. Hoe vaak maak je ook een nieuw account ergens?
Ik krijg mensen ook niet overgestapt. Het is dat ik het ingesteld heb voor mijn ouders. En ze verteld hebben hoe ze het moeten gebruiken. Anders hadden ze nu nog steeds voor elke website hetzelfde wachtwoord.

Heb keepass voor ze genstalleerd en sync over dropbox en de keyfile over OneDrive. Ze hoeven nu alleen nog maar 1 moeilijk wachtwoord te onthouden. En de wachtwoorden voor dropbox, keepass en de keyfile fisiek ergens opgeslagen.
Ok, je hebt iig mij overtuigd. Ik ga (eindelijk) over naar een pw-manager en gelukkig zonder grote calamiteit. Kan me nog wel herinneren dat ik net de dans ontsprong bij die LinkedIn hack een paar jaar (?) terug, maar dat was toen blijkbaar geen reden er wat aan te doen.
Mensen blijven de zwakste schakel in beveiliging. Dus ik ben niet verbaasd dat men hier achter is gekomen.
De zwakste schakel is dat je voor elke website een wachtwoord moet instellen. Kost veel te veel moeite omdat allemaal te onthouden.
Er zijn tegenwoordig zoveel manieren om dat makkelijker te maken. Bijvoorbeeld, Lastpass, Keepass, Dashlane, 1Password, Roboform etc. Dan hoef je maar een wachtwoord te onthouden en de rest wordt of automatisch aangemaakt of verbeterd. Een kind kan de was doen.
Dan heb je dus altijd die tool nodig. Zonder telefoon opzak ben je al de sjaak. Laat staan dat de software op de meeste telefoons geen update krijgt dus zoveel veiliger ben je ook niet. Of als je je telefoon verliest kun je nergens meer bij. Nee, dank je.

Ik gebruik op 95% van de sites hetzelfde wachtwoord of ik ros wat op mijn toetsenbord en als ik weer moet inloggen doe ik een reset.
edit: verkeerd gelezen.

Je kunt uiteraard ook zonder telefoon of mobiele app, of een browser plugin op de site de ww manager bedienen.

Met 95 procent van de sites dezelfde inlog ben jij het perfecte doelwit. Ik hoop dat je niet gaat piepen als je ineens nergens meer inkomt.

[Reactie gewijzigd door TTLCrazy op 12 januari 2017 15:21]

Ik ga niet piepen, wees niet bang.
De zwakste schakel is dat je voor elke website een wachtwoord moet instellen. Kost veel te veel moeite omdat allemaal te onthouden.
Not sure if sarcasm ....

https://www.youtube.com/watch?v=KQuDrKSZkck

Maar veel moeite is overdreven, het kost even wat discipline, en volhouden in de routine.
Al heel veel gebruikers die nog minder 'interesse' hebben in pc's dan wij zijn over omwille van de veiligheid.

Het gebrek is de niet tastbare gevaren voor de persoon zelf.
Als mijn vader leest "politici gebruikt zwakke wachtwoorden" ziet hij zichzelf niet als slachtoffer.

Mijn wachtwoorden zijn niet van belang, wat wil men nu van mij, ik ben een simpele pensionado.

Maar als je dan uitlegt op 'zijn' manier, hoe zijn naam en wachtwoord misbruikt kan worden om leningen / bestellingen te doen, en ingezet kan worden als fake-verkoper op marktplaats, zijn ze ineens wel getriggerd.

Hij, een 72 jarige, heeft nu een heel lijstje in keeppass ( voorbeeld ) waarin hij elke site/mail login zet, en gebruikt om in te loggen.
Het duurde even, want het was zo makkelijk dat automatisch inloggen bij elk bezoek, maar is nu ook 100% over
Het zal allemaal wel. Ik vind dat er veel te veel sites om een wachtwoord vragen met onmogelijke voorwaarden.

Dus ik doe mijn ogen dicht en sla wat op mijn toestenbord.

87123ya87f09enhf;/lkJHGLKJ

Wachtwoord vergeten is dan mijn wachtwoordmanager.

En bij heel veel mensen is het gewoon een stuk papier.
Ik doe mijn ogen er niet eens bij dicht. Soms kopieer ik wat uit een toevallig openstaand schermpje, stukje Linux kernel code ofzo :)
Mijn conclusie was dan ook meteen: He, politici zijn dus net gewone mensen.

Het valt al mee dat het account van die persoon ook echt van die persoon is die hij claimt te zijn...
Dit zal bij veel mensen zo zijn.
Een x-aantal jaar geleden had ik ook zo'n beetje overal hetzelfde wachtwoord.
Daarna ben ik een wachtwoordmanager gaan gebruiken en heb ik overal een uniek wachtwoord.
Het word tijd dat die R.Plasterk eens flink gehackt word, misschien gaat hij er dan een serieus tegenaan kijken ipv weg kijken. Nog beter was dat hij dan vertrekt en er iemand komt te zitten die wel weet wat er speelt.
Nog een paar maanden wachten :Y)
En daarom is afpersing van mensen met macht nog steeds populair achter de schermen. Gevoelige informatie in de verkeerde handen, schamelijke positie voor iemand in positie, etc. In elke regering. In elk land. Dit op zich zou al een rede moeten zijn dat politici twee keer moeten nadenken, maar hun god-complex is soms groter 'ik sta boven de wet' gedrag.
Dit zijn de mensen die er voor gezorgd hebben dat wij de godganse dag moeten klikken op cookie knopjes om ons te beschermen, en ze maken het veiligheidsbeleid. Wat mij betreft wordt dit soort gedrag (hergebruik van wachtwoorden) reden tot ontslag voor een politicus. Door hun laksheid wordt het kinderspel om (laten we het buzzword maar es gebruiken) fake news te verspreiden en de democratie te ondermijnen. Wel vanochtend op de radio vertellen dat dat zeker voorkomen moet worden en dan zelf dit soort gedrag ten toon spreiden. Aanpakken zeg ik. Op kantoor mag niemand zich met mijn social media account bemoeien maar hier ligt dit qua risico toch net ff iets anders.
Toch vind ik het apart dat bedrijven en dienst aanbieders hun gebruikers nog steeds de mogelijkheid geven om wachtwoorden als: wachtwoord, password, drowssap, 1234567890, hun gebruikersnaam etc te laten gebruiken, en waarom niet de laatste 5 gebruikte wachtwoorden weigeren als nieuw wachtwoord.

Natuurlijk ligt de verantwoordelijkheid ook bij de gebruiker zelf maar dit zijn simpele aanpassingen die weinig tot geen extra energie kosten en een hoop problemen voorkomen.
Waarom spendeer je als dienst aanbieder bakken met geld in allerlei beveiligingen van buitenaf als je de meest simpele niet gebruikt.

Hoe het ook gebeurd, als een gebruiker zijn data gestolen wordt zal deze altijd de dienst aanbieder in het kwade daglicht proberen te zetten en zijn eigen schuldigheid proberen te ontkennen.

edit:
typo's en toevoeging:


Hoogwaardigheid bekleders in zowel Nederland als in het buitenland krijgen vaak 0,0 begeleiding en of cursus over hoe veilig om te gaan met verschillende apparatuur, wat er allemaal mee gedaan kan worden, wat de gevaren zijn etc.

Kijk alleen al naar het feit dat een app met genoeg rechten bijvoorbeeld je microfoon of camera kan activeren en kan volgen op afstand.
Politicus A neemt zijn telefoon mee de 1e of 2e kamer in en in Amerika/Rusland worden alle gesprekken opgenomen.

Het zou verboden moeten zijn om in zulke omgevingen ook maar enige persoonlijke apparaten bij je te dragen. (of maak er een mooie faraday cage omheen zodat alle signalen van buitenaf geblokkeerd worden).

[Reactie gewijzigd door Cowamundo op 12 januari 2017 13:58]

Maar verder was het prima dat je je privmail ook voor werkzaken gebruikt natuurlijk. Kan me de zaak rond Kamp nog wel herinneren waar toen niet echt een groot probleem van gemaakt werd.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*