Britse overheid wil standaardwachtwoorden verbieden

Een wetsvoorstel van de Britse overheid moet een einde maken aan makkelijk te raden wachtwoorden die fabrikanten standaard op apparaten instellen. Het wetsvoorstel moet de veiligheidsstandaarden van een groot aantal producten verbeteren.

De overheid van het Verenigd Koninkrijk heeft de Product Security and Telecommunications Infrastructure Bill gepresenteerd, een wetsvoorstel waar een consultatieperiode van een jaar in 2019 aan voorafging. Het voorstel bestaat uit een deel dat de beveiliging van producten regelt en een deel dat de communicatie-infrastructuur moet verbeteren. Het Britse parlement neemt het voorstel nu in behandeling.

De Product Security-maatregelen moeten garanderen dat internet-of-things-apparaten, wearables, slimme babyfoons en smart-tv's beter beveiligd worden en de privacy van burgers beter beschermen. Onderdeel van dit voorstel is dat apparaten een uniek wachtwoord krijgen, dat niet te herstellen is door het apparaat terug te zetten naar de fabrieksinstellingen. Volgens de Britse overheid zijn producten met standaardwachtwoorden een makkelijk doelwit voor criminelen.

Het voorstel is verder om beleid omtrent het melden van kwetsbaarheden verplicht te stellen. Beveiligingsonderzoekers moeten daarmee eenvoudig kwetsbaarheden kunnen melden aan fabrikanten. Ten slotte moet de PSTI-wet maken dat consumenten duidelijkheid krijgen over de periode waarbinnen ze beveiligingsupdates kunnen verwachten.

Als het wetsvoorstel wordt aangenomen, krijgt een door de overheid aangewezen toezichthouder bevoegdheden om bedrijven die in strijd met de PSTI-wet handelen, boetes op te leggen. Daarbij gaat het niet alleen om fabrikanten, maar ook om importeurs en distributeurs. Die boetes kunnen oplopen tot 4 procent van de jaarlijkse omzet met een maximum van 10 miljoen Britse pond, omgerekend 11,8 miljoen euro. Bij voortduring van de overtredingen kan een boete van 20.000 pond per dag opgelegd worden.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 26-11-2021 10:42218

26-11-2021 • 10:42

218 Linkedin

Lees meer

Verenigd Koninkrijk wil cookies opt-out maken in plaats van opt-in Nieuws van 17 juni 2022
Raspberry Pi Foundation haalt standaardgebruiker 'pi' uit Raspberry Pi OS Nieuws van 9 april 2022
Verenigd Koninkrijk stopt tegen 2033 met publieke 2G- en 3G-netwerken Nieuws van 9 december 2021
'Standaardwachtwoorden Zoom-meetings waren binnen enkele minuten te kraken' Nieuws van 30 juli 2020
Britse overheid waarschuwt voor cybercriminelen die zich richten op sportsector Nieuws van 23 juli 2020
Meer producten en artikelen
Beveiliging en antivirus Politiek en recht Verenigd koninkrijk Wachtwoord

Reacties (218)

-Moderatie-faq
-12180214+174+210+30Ongemodereerd127
Wijzig sortering
Tweakert2020
26 november 2021 10:45
Dan krijg je vervolgens apparaten (zoals de modems van KPN) waar het default wachtwoord met een sticker onder/achter op het apparaat staat en niet geforceerd hoeven te wijzigen
skelleniels
@Tweakert202026 november 2021 12:01
In hoeverre is dat dan onveilig, zelfs al wordt het niet veranderd? Ik zie het met veel Brother printers nu ook zo en vind ik best prima voor zulke toestellen. Je moet al fysiek bij het toestel zelf kunnen, waardoor je inbraken van buitenaf al kunt uitsluiten.
GertMenkel
@skelleniels26 november 2021 15:59
Op veel apparaten (KPN weet ik niet, niet meer geloof ik) zijn die standaardwachtwoorden afgeleid van een unieke identifier op het apparaat. Zo kan het standaardwachtwoord met een algoritme worden berekend en hoeft het niet in de firmware gestopt te worden. Zo wordt ook vaak het standaard-WiFi-wachtwoord gegenereerd te worden.

Die identifier blijkt in de praktijk vaak het MAC-adres te zijn van het apparaat. Dat adres wordt doorgaans over WiFi constant geadverteerd, of in elk geval eenaadres dat bij het gegenereerde adres in de buurt ligt.

Standaardwachtwoorden hebben het voor botnet als Mirai triviaal gemaakt om te groeien. Ik ben zelf groot voorstander van deze move. Nu moét je na een reset wel een eigen wachtwoord kiezen, en kun je de fabrikant niet meer de schuld geven als dat "admin" is.

Je zou zeggen "wie is er dan ook zo dom om zijn apparaat zomaar aan internet te hangen" maar DDoS-aanvallen zijn een echt probleem en komen grotendeels van dit soort apparatuur vandaan. Het gebeurt in de praktijk genoeg om het een probleem te maken en het "eigen verantwoordelijkheid"-geval gaat in mijn ogen alleen op als internetproviders actief stappen ondernemen (lees: internet tijdelijk afsluiten) tegen mensen die aan dit soort aanvallen meedoen, bewust of onbewust. Het is geen eigen verantwoordelijkheid als je je nergens verantwoordelijk voor hoeft te voelen.

[Reactie gewijzigd door GertMenkel op 26 november 2021 15:59]

sympa
@GertMenkel26 november 2021 17:20
Ja dat is een domme fout. Door uitlezen van de firmware zijn alle standaard wachtwoorden te berekenen.
Goede providers specificeren dat een fabrikant dat op een andere manier doet.
GertMenkel
@sympa26 november 2021 17:28
Naar mijn mening specificeren goede providers dat je met een standaardwachtwoord alleen in staat bent een nieuw wachtwoord in te stellen. Als je je wachtwoord vergeet, kun je altijd het apparaat resetten.
sympa
@GertMenkel26 november 2021 17:56
Je moet beide doen. Want genoeg mensen loggen nooit op hun modem in. Die staat dan met standaard wifi-credentials en management-login zijn dagen te slijten.
bbob
@Tweakert202026 november 2021 11:17
Men moet verplicht stellen hoofd/kleine letter, cijfer en speciaal teken en minimaal 8 posities. Op die manier heb je al stuk complexer wachtwoord.
EvilWhiteDragon
@bbob26 november 2021 12:45
Alsjeblieft, kunnen we een keer ophouden met die mythe dat een wachtwoord met verplichte tekencategoriën veilig zijn? Je maakt daarmee de pool van mogelijke wachtwoorden fors kleiner. De minimale lengte omhoog schroeven is een veel beter idee.
Nimja
@EvilWhiteDragon26 november 2021 23:00
correct battery horse staple!
jcvw
@Nimja26 november 2021 23:12
Context: https://xkcd.com/936/
mcyh
@EvilWhiteDragon26 november 2021 17:42
StandaardEenUitroepteken1!
lenwar
@EvilWhiteDragon26 november 2021 20:16
Het ligt er natuurlijk aan waar je jezelf tegen wil beschermen. Als het gaat om ‘raden door andere mensen’ voegt het wel degelijk wat toe.
rotterdam zal makkelijker geraden worden dan RotterDam010! (Beiden niet sterk natuurlijk)

Als het gaat om bescherming ‘tegen rainbowtables’ zal dat inderdaad weinig uithalen en is eigenlijk alleen de regel ‘hoe langer hoe beter’ van toepassing.
Als het gaat om bruteforcing kan juist de verplichte variatie weer wel toevoegen, afhankelijk van hoe de gebruiker z’n wachtwoorden kiest.

Idealiter gebruikt iedereen een wachtwoordmanager en ondersteund ieder apparaat wachtwoorden van 128 karakters, al is dat natuurlijk een crime als je die ook reden X een keer moet overtypen.

Het blijft een dingetje.
jvdmeer
@bbob26 november 2021 12:36
Zoiets als:
JBontiusplaats9!

Voldoet aan alle eisen. Maar is denk ik niet echt complex.
bbob
@jvdmeer26 november 2021 15:20
Op zich niet complex maar veel complexer als welkom 2020
sympa
@bbob26 november 2021 17:57
Dan nemen we Welkom2020!
NBK
@sympa26 november 2021 19:31
Of Welkom2022! dan zijn we meteen op de toekomst voorbereid.

Maar dit soort standaard wachtwoorden voor services die van buitenaf bereikbaar zijn gebruiken is natuurlijk ook wel super dom.
Maar voor intern? Eerst een keer intern inloggen met standaard wachtwoord voor je ergens gebruik van kunt maken werkt prima.

Ik vind het zelf wel fijn dat apparatuur naar een standaard account terug valt. Op die manier kan ik iemand telefonische gewoon z'n modem of iets laten resetten en vervolgens via teamviewer verbinding maken om de boel wel goed in te stellen.
Door de MAC adres gebaseerde wachtwoorden werd dat al een stuk lastiger maar een random wachtwoord gaat gewoon betekenen dat ik eerst bij iemand langs moet om uit te leggen welk kastje het modem is en van welke sticker ze een leesbare foto moeten maken.

[Reactie gewijzigd door NBK op 26 november 2021 19:35]

PepijnK
@bbob26 november 2021 18:27
Men moet verplicht stellen hoofd/kleine letter, cijfer en speciaal teken en minimaal 8 posities. Op die manier heb je al stuk complexer wachtwoord.
Het toevoegen van een handjevol extra dingen als cijfers en speciale tekens doet amper wat voor de veiligheid. Goed je krijgt er theoretisch 42 tekens bij op een normaal toetsenbord door cijfers en speciale tekens toe te staan. Maar 8 tekens is gewoon te kort.

Het zou voor de meeste mensen een veel beter idee zijn om ze van een wachtwoord naar een 'wachtzin' te laten gaan. Dus niet minimaal 8 tekens, maar minimaal 32 tekens.
Een wachtwoord met 8 tekens, met hoofdletters, kleine letters, cijfers en speciale tekens dat 8 tekens lang is heeft een entropie van 51 bits. Dan praat je over iets dat met een huis- tuin- en keuken PC binnen 14 dagen kan kraken, puur op brute force.
Pak je een zin van 32 tekens, met alleen hoofdletters, kleine letters en spaties. Zonder cijfers of leestekens. Dan praat je over een entropie van 183 bits. Op een huis- tuin- en keuken PC is dat ronduit onkraakbaar, al was je bij de big bang begonnen, dan nog was je nu niet klaar.
Lord Anubis
@bbob26 november 2021 17:30
Onzin, mensen moeten gewoon leren om een wachtwoord op te bouwen uit alle tekens en niet per se verplichtte tekens. Reden: je beperkt het aantal mogelijkheden namelijk, is dus sneller geraden/berekend.
mcyh
@Lord Anubis26 november 2021 17:43
Jammer dat emoji’s ingeven nog niet overal lukt. En wat onhandige met huidtintvarianten 😅
Dokkumer
@Tweakert202026 november 2021 10:48
Is dat zo?
Onderdeel van dit voorstel is dat apparaten een uniek wachtwoord krijgen, dat niet te herstellen is door het apparaat terug te zetten naar de fabrieksinstellingen
Bij de modems worden ze vrijwel altijd terug gezet naar admin/admin.
wpa key is vaak ook weer een ander verhaal.
SinergyX
@Dokkumer26 november 2021 10:49
Die KPN boxjes hebben een aparte inlog op de stikker/kaart, zelfs met een reset gaat hij juist terug naar die instellingen.
biteMark
@SinergyX26 november 2021 10:58
Precies, dat zou met deze maatregel dus verholpen moeten worden. Hoog tijd ook, deze manier van werken is al lang niet meer veilig en er zijn best wel alternatieven voor te bedenken.
3raser
@biteMark26 november 2021 11:11
Een random wachtwoord met een sticker op de router die na de eerste keer inloggen verplicht moet worden gewijzigd klinkt anders behoorlijk veilig. En dat hij na een harde reset terug gaat naar het wachtwoord op de sticker is juist ideaal. Anders kun je de router weggooien als je ooit de accountgegevens kwijt raakt. En het weggooien van spullen die nog prima bruikbaar zijn doen we al genoeg.
Aeternum
@3raser26 november 2021 11:31
Niet eens nodig. Bij reset to factory settings van de router direct verplicht een nieuw wachtwoord opgeven in de setup. Op die manier hoef je niet eens zo'n sticker erbij te doen.
MsG
@Aeternum26 november 2021 12:31
En wat als je hem dan wil resetten omdat je er juist niet meer inkomt? Een heel gangbaar scenario als je bij leken komt en iets met het internet/wifi moet fixen. Dan zou je in dit geval niet kunnen resetten?
GertMenkel
@MsG26 november 2021 17:29
Is het fysieke resetknopje tegenwoordig van dit soort apparaten verwijderd? Ieder modem dat ik ooit in mijn handen had, had een knopje dat je een paar seconden moest inhouden om hem te resetten.
MsG
@GertMenkel26 november 2021 18:48
Dan gaat het scenario waar ik op reageer toch niet op? Hij pleit voor het meteen moeten instellen van een wachtwoord vóór het resetten, die stap heb je helemaal niet als je hem via het knopje reset. Met welk wachtwoord moet ik dan inloggen als een standaardwachtwoord dus niet meer mag?
GertMenkel
@MsG26 november 2021 20:21
Het resetten zet een apparaat terug naar zijn standaardinstellingen zoals je hem ook aankoopt.

Mijn ervaring in de telecom (ben ik wel inmiddels uit) is dat er standaard geen wachtwoord op zit na een reset. Het apparaat doet ook verder weinig behalve een configuratiepagina tonen.

Waar je op reageerde is
Niet eens nodig. Bij reset to factory settings van de router direct verplicht een nieuw wachtwoord opgeven in de setup. Op die manier hoef je niet eens zo'n sticker erbij te doen.
Mij lijkt dat dit prima lukt met een fysieke resetknop. Je hebt er geen gegevens of wachtwoord voor nodig om zo'n apparaat in te stellen.
Pep7777
@Aeternum26 november 2021 11:48
Alleen is dat weer een beetje lastig als je draadloos wil configureren (wat veel routers nu toelaten).
Dan moet je voor de eerste keer verbinden toch iets aan inloggen doen.
Zo'n stickertje is prima voor die eerste connectie en dan idd in setup vragen om een nieuw password.

Hoe dan ook alles beter dan een apparaat bij aanzetten gelijk admin/admin als combinatie te laten aanbieden.
Trekfolie
@3raser26 november 2021 11:39
Nadeel van een wachtwoord wat moet worden gemaakt door gebruikers is dat je dan dingen krijgt als “W€lkom1234”. Veiliger dan admin/admin maar 2FA lijkt me een betere optie.
NoobishPro
@Trekfolie26 november 2021 11:49
2FA op een router zal toch echte en werkende internetverbinding vereisen.

Gaat het een beetje lastig maken wanneer je moet troubleshooten, denk je niet?
PaMu
@NoobishPro26 november 2021 11:59
Time based OTP heeft geen internet nodig om te functioneren. Enige wat nodig is is dat de tijd goed staat ingesteld
latka
@PaMu26 november 2021 12:19
Yup en daar heb je NTP voor nodig (ofwel: internet).
anvil
@latka26 november 2021 13:32
Nee hoor, komt niet zo precies... drift van enkele seconden geeft geen probleem met de Google Authenticator libs (eigen ervaring)
latka
@anvil26 november 2021 13:43
Wat jullie over het hoofd zien is dat er een domme router staat die het internet niet op kan. De stroom is eraf geweest dus er is helemaal geen tijd beschikbaar behalve de startup time van dat ding. Er zit meestal geen battery backed-up RTC in die dingen, dus TOTP is niet haalbaar tenzij we overal een batterij in gaan doen. Wat zou kunnen is een challenge response login waarbij de login pagina een challenge toont die je met een app moet verifieren. Dus geen TOTP.

(edit) wat eventueel zou kunnen is via een browser erheen en via Javascript de huidige tijd van de client-pc posten en die gebruiken als TOTP time voor je router. Maar of dat nou zo veilig is (untrusted input accepteren voor login doeleinden...). Zal overigens vast wel een leverancier zijn die het zo gaat doen.

[Reactie gewijzigd door latka op 26 november 2021 13:45]

GertMenkel
@latka26 november 2021 17:31
De tijd vanaf JS opsturen maakt het hergebruik van TOTP-codes mogelijk, dat is inderdaad niet iets dat je wilt.

Je zou wel in dit scenario je recovery-codes erbij kunnen pakken die je bij de meeste TOTP-setups krijgt. Die werken ongeacht of de goede tijd/datum zijn ingesteld.

Persoonlijk vind ik voor consumentenhardware 2FA nogal overkill, een goed wachtwoord vereisen is daar al meer dan genoeg voor.

[Reactie gewijzigd door GertMenkel op 26 november 2021 17:31]

the_stickie
@latka26 november 2021 12:32
met een sporadische internetverbinding, tijd uit gps of radio of zelfs een kwaliteits RTC kom je al heel ver/ver genoeg
McBrown
@latka26 november 2021 12:32
Dat is eventueel nog wel te syncen via andere methoden. Er zit nog wat tolerantie in totp afaik
GrooV
@NoobishPro26 november 2021 12:08
Nee juist niet, TOTP zoals Google Authenticator werkt zonder internet, het enige wat nodig is dat je klok goed staat.

Daarom heten ze ook Time-based one-time Passwords

[Reactie gewijzigd door GrooV op 26 november 2021 12:09]

TheVivaldi
@NoobishPro26 november 2021 12:15
Waar denk je dat TOTP voor is uitgevonden?
Zynth
@3raser26 november 2021 12:29
Veilig is het niet.
De fabrikant kan alsnog een lijst bijhouden met de default unieke wachtwoorden, en dit delen met de lokale autoriteiten.
Als mensen nooit inloggen, en/of het wachtwoord niet wijzigen, kan een vreemde (mogendheid) alsnog je apparaat in.
3raser
@Zynth26 november 2021 13:16
Als de fabrikant zo gericht is op het binnendringen van de router die zij zelf leveren dan hebben ze daar ongetwijfeld andere middelen voor.
indigo79
@3raser26 november 2021 13:50
Ik denk dat dit gewoon bedoeld wordt.
Sharky
@biteMark26 november 2021 11:12
Ben wel benieuwd welke alternatieven jij al hebt bedacht. Volgens mij is dat niet zo simpel. Hou er rekening mee dat een gemiddelde consument er mee om moet kunnen gaan. Een niet te raden wachtwoord als sticker op je modem of apart op een pasje is volgens mij niet eens heel onveilig, het gaat vooral om de standaard wachtwoorden die niet meer mogen.
CompFrans
@Sharky26 november 2021 12:04
Niet op de sticker maar bij Ziggo en KPN in de database... Een paar slimme verificatievragen.
Lastiger dan een sticker, maar wel een stuk veiliger.
Het is nog niet eens zo dat een standaard password bij een reset het grootste probleem is: dat zou vooral voor diefstal zijn, maar het probleem is dat een hoop mensen zo dom zijn dat password niet gelijk de eerste keer dat ze hem aanzetten wijzigen... Ik zou wel eens willen weten hoe hoog het percentage is van de mensen dat dat doet, zelfs onder de Tweakers hier...!
latka
@CompFrans26 november 2021 12:22
Van mijn router? Niet. Het wachtwoord met sticker ziet er serieus random uit en er staat een firewall tussen mijn lan en de router. Het is niet dat ik die router meer vertrouw dan het internet wat er ook via binnenkomt. Dus ik zie geen enkele reden dat wachtwoord te veranderen behalve dat het lastiger is als er problemen zouden zijn. Nu kan ik het thuisfront wijzen naar de reset-knop en de sticker op het apparaat.
CompFrans
@latka26 november 2021 13:11
Omdat er gewaarschuwd wordt dat ze te kraken zijn. Zie bijv https://www.ready4it.nl/k...woord-router-te-wijzigen/

Nu zie ik mensen denken: misschien niet zo'n groot risico, maar dat is juist wat er mis is met het denken over veiligheid: bijna elk risico is klein en pas relevant nadat het gebeurd is. Als je je kansen wilt verbeteren, dan gebruik je overal het maximaal veilige.
Maar je bent niet alleen als dat dat pas gaat doen ná je eerste hack...
(hetzelfde geldt voor backups: ik ken zóveel mensen die daar pas mee begonnen zijn toen ze een serieus dataverlies hadden meegemaakt)
latka
@CompFrans26 november 2021 13:41
Daarom ook een firewall die wel dicht staat tussen router en lan. Ik vertrouw dat Ziggo modem net zoveel als de rest van het internet (lees: niet). Enigste wat ze kunnen op die router is mijn link slopen (jammer, geen internet) of gratis wifi (veel plezier en als je handig bent combineer je het met de 12 andere accesspoints hier in de straat voor een serieuze speedboost). Backups (inclusief offsite) gebeuren hier dagelijks dus ben paranoia genoeg.
CompFrans
@latka26 november 2021 13:52
Een of twee tekentjes toevoegen of veranderen. Desnoods voeg je aan AL je standaardpasswords twee letters/cijfers toe en je bent er al vanaf. Extra veiligheid voor het geval er wel weer een nieuwe bug wordt gevonden waarmee wel iets kan wat we nu niet weten en ons niet kunnen voorstellen.

Je mag het natuurlijk helemaal zelf weten hoor! Geen probleem, maar als je een willekeurig veiligheidscursus/college volgt - niet alleen voor computers, maar ook bijv. brandveiligheid - dan hoor je dat de basisregel is dat je elk risico minimaliseert om het totale risico te verkleinen, dat er altijd voor risico's zijn die je niet onderkent totdat het te laat is (waardoor het van extra belang is risico's die je wel kent zo klein mogelijk te houden) en - meestal het belangrijkst - dat je dat standaard altijd doet/ je tot je gewoonte maakt, zodat je kansen beter worden. Een leuk voorbeeld vind ik deze: als je aan het koken bent en je legt je mes neer, dan doe je dat niet op de rand als je slim bent, maar achter op het aanrecht. Niet dat het die keer dat je dat bewust doet het wat uitmaakt: dan denk je er aan en stoot je hem er niet af. En ook niet voor die 10-100x daarna. Maar er komt een keer dat je er even niet aan denkt... Ligt die dan achter op je aanrecht dan zit je teen er nog wel aan - alleen doordat je in je gewoontes veiligheid hebt ingebouwd. Altijd in 999 van de 1000 gevallen overbodig, maar die ene keer...
Met computers is het niet anders.
PepijnK
@latka26 november 2021 18:44
Tot er iemand op jouw wifi zwaar illegale dingen gaat doen en jij geen idee heeft wie dat het is geweest, maar je wel mag komen verantwoorden.

Ik weet uit ervaring hoe gammel wifi wachtwoorden kunnen zijn, toen ik een arme student was liftte ik mee op de wifi van een van de buren die gewoon het standaard UPC modem met standaard UPC wachtwoord gebruikten.
Niet op een vervelende manier waar zij "last" van hadden, ik drukte hun verbinding niet de strot dicht, maar ik liet 's nachts en overdag als de buren sliepen of te werk waren wel rustig mijn Kazaa op hun verbinding lopen.
Ga jij Stichting Brein maar overtuigen dat jij niet weet wie er op jouw Wifi heeft gezeten en die illegale muziek downloads heeft gedaan.

Op dezelfde manier heb ik tijdens vakanties in Canada en America in het verleden contact gehouden met het thuisfront. 's Avonds met de camper een woonwijk in rijden en dan met de laptop proberen om genoeg packets van iemand's wifi af te luisteren dat de WEP key te berekenen was. Geen haan die er naar kraait. Eenmaal toegang tot iemands netwerk verstuurde ik mijn emails en dan reed ik weer weg.

Nu gebruikte ik het voor een MP3tje of een mailtje en verder eigenlijk niets. Maar er zijn ook minder frisse zaken die op diezelfde manier via jouw verbinding kunnen worden gedaan, alleen maar omdat je wifi een zwak default password heeft.
latka
@PepijnK26 november 2021 22:07
Wifi wachtwoorden zijn een ander verhaal. Ik had het over toegang tot de router admin pagina.
aikebah
@CompFrans26 november 2021 21:04
Tsja.. het maximaal veilige is die router gewoon uitzetten.
CompFrans
@aikebah26 november 2021 21:48
Ja, en geen eten klaarmaken (geen vuur, niets snijden), niet lopen (je kan vallen), überhaupt niets met electriciteit... :D 8)7
YangWenli
@CompFrans26 november 2021 23:19
Ik neem bewust het risico. Ik gebruik gewoon het wachtwoord dat op de sticker staat en het interesseert me verder geen reet. Dat is de vrijheid waarvoor Hannie Schaft voor is gefusilleerd.
CompFrans
@YangWenli27 november 2021 11:05
Je mag doen wat je wilt, maar beledig een heldin niet! Zij stierf voor de vrijheid van anderen niet voor de vrijheid om zelf dom te zijn! Schande dat je haar naam zo durft te gebruiken!
bytemaster460
@CompFrans26 november 2021 12:14
Totdat bij een hack alle wachtwoorden van álle apparaten van Ziggo of KPN op straat liggen...
JackBol
@bytemaster46026 november 2021 12:50
Die wachtwoorden worden niet centraal bijgehouden. Die worden random gegenereerd, op het stickertje geprint en vergeten.
bytemaster460
@JackBol26 november 2021 13:48
Dat snap ik maar ik reageerde op een reactie waarin werd geopperd om geen stickertje meer te maken maar dat ze juist WEL centraal zouden worden bijgehouden.
JackBol
@bytemaster46026 november 2021 13:49
Ja dat lijkt me ook onlogisch. Mij lijkt die sticker methode namelijk veilig genoeg voor een thuisgebruiker.
Ik zou niet eens gebruikers dwingen om bij eerste inlog het wachtwoord te wijzigen. 99 van de 100 gebruikers gaat er namelijk een minder veilig wachtwoord voor terugplaatsen.

En om het stickertje te kunnen lezen heb je fysieke toegang nodig, maar dan is het hele punt van digitale veiligheid toch al overbodig.
CompFrans
@bytemaster46026 november 2021 13:13
Als daar nu een hack is, dan zijn je router gegevens waarschijnlijk het minste waar je zorgen over hoeft te maken...
sympa
@CompFrans26 november 2021 17:24
Zo'n lijst routerwachtwoorden komt op allerlei plaatsen. O.a. in de fabriek, bij onderaannemers e.d.
Op een sticker is prima. Als de gebruiker het een risico vindt kan ie de sticker er af krabben.
TheVivaldi
@Sharky26 november 2021 12:16
Ik dacht dat de gemiddelde consument niks van modems/routers wist en alles liet uitvoeren door een monteur of handige harry uit de straat?
CompFrans
@TheVivaldi26 november 2021 13:12
Precies en daarom is het zo goed als de wetgever een handje helpt!
Krulliebol
@Sharky27 november 2021 22:15
Behalve dat zo'n wachtwoord meestal wél te raden is, omdat het een afgeleide van het mac-adres is.
bigbadbull
@SinergyX26 november 2021 11:11
Onderdeel van dit voorstel is dat apparaten een uniek wachtwoord krijgen, dat niet te herstellen is door het apparaat terug te zetten naar de fabrieksinstellingen.
ook een beetje moeilijk om een apparaat te voorzien van een ww dat bij reset niet meer hetzelfde is.
Hoe moet je dan verbinden met het toestel als het WW niet meer gekend is ?
oplossing zou zijn dat je 15 ww in de manual print en elke keer een het volgende ww neemt tot ze alle 15 gebruikt zijn, en daarna kan je het apparaat weg smijten. Of in de praktijk moet je elke keer een nieuwe kopen want tegen dan in "jouw" handleiding natuurlijk al lang ergens verloren gelopen.
beerse
@bigbadbull26 november 2021 11:17
Een 'willekeurig' wachtwoord in een apparaat zoals een modem is 'eenvoudig': In de regel heeft zo'n apparaat ook een serienummer en een mac-adres dat in de toestellen vast is opgesteld. Bij dat zelfde stukje opslag kan heel goed een wachtwoord worden opgeslagen.

De simpelere zielen kunnen op basis van het mac adres een serienummer en wachtwoord genereren maar dat kan iedereen daarna reproduceren dus dat zou ik niet doen.
Alex3
@beerse27 november 2021 01:28
Dat doet me denken aan de modems waarbij je het wachtwoord kon afleiden uit de SSID.
Honytawk
@bigbadbull26 november 2021 11:23
Ze kunnen het zo instellen dat het apparaat om een nieuw paswoord vraagt als je er de eerste keer op inlogt.
En je zal het ook niet kunnen gebruiken tot je eens inlogt nadat het reset is naar fabrieksinstellingen.

Maar of dit veel gaat verbeteren aan security is mij de vraag.
Hierdoor gaan veel meer generic paswoorden gebruikt worden.
Krulliebol
@bigbadbull27 november 2021 22:13
Hoe moet je dan verbinden met het toestel als het WW niet meer gekend is ?
Wat dacht je van: met een kabeltje.
Koeitje
@SinergyX26 november 2021 11:04
Dit is hetzelfde met Ziggo, daar heb je ook een los kaartje (bankpas materiaal) met daarop de unieke inloggegevens.
beerse
@Koeitje26 november 2021 11:15
Bij ziggo was het wachtwoord van de geleverde modems 'draadloos'. Dat is nu dat wat op het kaartje staat. Bij een ander kastje, een ander kaartje met een ander wachtwoord.
Volgens mij is het bij de Britten nu dat ze die 'draadloos' nu verbieden en die met unieke wachtwoorden en de kaartjes toestaan.
Sharky
@beerse26 november 2021 12:10
Ik heb nog nooit een ziggomodem gehad met als ww 'draadloos'. En dus ook niet op het kaartje.
MsG
@Sharky26 november 2021 12:33
Ik wel, dat was bij talloze andere ziggo-klanten waar ik de WiFi van inregel ook het geval. Pas met die connectbox kwam zo'n zo'n uittrekkaartje met de unieke gegevens.
beerse
@Sharky26 november 2021 19:06
Dan ben je te laat, die 'draadloos' was uit de tijd dat zij nog niet met kaartjes werkten maar het wachtwoord gewoon in de handleiding stond en dus voor iedereen gelijk (en "draadloos") was.
BCC
@SinergyX26 november 2021 11:15
Meestal is dat een hash van het serienummer.. valt dat ook onder "standaard wachtwoord"?
Mathi159
@Dokkumer26 november 2021 11:21
Dan rest mij de vraag, wie heeft dan "veilig" de mogelijkheid om jou het nieuwe wachtwoord te geven na een fabrieksreset? Want het lijkt me niet de bedoeling dat je je apparaten dan mag weggooien.
Sircuri
@Mathi15926 november 2021 11:37
Dat zou wat zijn inderdaad. Shit ww vergeten, maar een factory reset lost dat niet op. Apparaat kan dan de kliko in?
DigitalExorcist
@Mathi15926 november 2021 11:41
Is ook beetje onzinnig. Een factory reset wipet per definitie alle gebruikersinstellingen. Ja je hebt dan een 'schone' router of modem of whatever, maar iemand die je modem jat heeft dan alleen maar een modem of een router en verder niks.

Het is net als een laptop met Secure Boot. Je kan encrypten en secure booten wat je wil, maar als iemand je laptop jat en er een nieuwe SSD in drukt start ie gewoon weer op. Ja die persoon kan dan nog steeds niet bij je data.. maar je hebt wél een laptop.

[Reactie gewijzigd door DigitalExorcist op 26 november 2021 11:42]

GeroldM
@DigitalExorcist26 november 2021 19:15
Het is net als een laptop met Secure Boot. Je kan encrypten en secure booten wat je wil, maar als iemand je laptop jat en er een nieuwe SSD in drukt start ie gewoon weer op. Ja die persoon kan dan nog steeds niet bij je data.. maar je hebt wél een laptop.
Harde schijf vervangen lijkt me de meest logische optie, als de crimineel de laptop steelde voor de laptop en niet de data die zich op dat moment in de laptop bevind.

Hoe goed je encryptie op de originele drive ook is, met dat device in handen van de onverlaat, die kan nu relatief op zijn gemak de drive gaan brute-forcen, want tijd. Tijd is een belangrijk onderdeel van beveiliging. Des te meer tijd er beschikbaar is om whatever je hebt ge-encrypt te decrypten, des te groter de kans op success.

Maar om op het punt terug te komen:
Is het dan niet beter om een soort van PKI opzet te gebruiken voor de distributie van wachtwoorden na een fabrieks-reset?

Bij PKI heb je een centraal orgaan en een zender + ontvanger, welke encryptie toepassen middels een sleutel die geverifieerd is door het centraal orgaan.

De fabrikant van de router zou dan als centraal orgaan kunnen dienen, de router zelf neemt de rol van 'ontvanger' aan, een 2FA app op de telefoon van de eigenaar zou dan de rol van 'zender' aannemen.

Zal er wel te simpel over nadenken, maar beter iets maken dat op een goed gejat concept is gebaseerd, dan zelf wat krakkemikkigs te verzinnen..
DigitalExorcist
@GeroldM26 november 2021 19:45
Oef, technisch overzie ik niet of en hoe dat zou gaan werken met die PKI's... daar schiet m'n kennis een beetje te kort :)

Vwb. die laptop: de mééste criminelen stelen iets fysiek om het snel te kunnen verkopen. Een crimineel steelt jouw auto niet om jou te beletten naar je werk te gaan, maar om 'm te verkopen en zo snel mogelijk geld te verdienen. De mééste laptops worden ook bij 'gelegenheid' gestolen (laptoptas zichtbaar in de auto bijvoorbeeld, of bij een inbraak). Je moet al een speciale interesse hebben bij een specifieke groep criminelen als ze je spullen stelen puur vanwege de inhoud van je laptop of datadrager in het algemeen.

Dat sluit niet uit dát het niet gebeurd, maar ik denk dat het gros van de criminelen geen baat heeft bij je data als het om fysieke diefstallen gaat.
Rainb0w
@Tweakert202026 november 2021 10:49
De Ziggo connectbox heeft een wizzard die je moet doorlopen na de initiële installatie. Ze gebruiken een black hole redirect op alle requests in je browser om je naar de wizzard te krijgen. Daarnaast stel ik me ook voor dat je gebruikers naar een app kunt forceren zoals bij Google WiFi waar je ook verplicht een wachtwoord moet kiezen voor je product daadwerkelijk werkt.
Koeitje
@Rainb0w26 november 2021 11:05
Elke Connectbox heeft sowieso een uniek eigen wachtwoord. Zit een los kaartje bij en dat wachtwoord staat volgens mij ook niet op het modem zelf.
Krulliebol
@Koeitje27 november 2021 21:58
Het probleem is dat dat wachtwoord meestal niet zo willekeurig is als het lijkt. In veel gevallen is het een afgeleide van bijvoorbeeld het mac-adres en dat kunnen hackers makkelijk uitlezen.
svennd
@Tweakert202026 november 2021 10:47
Tenzij het te voorspellen is, is dat nog steeds een verbetering ten opzichte van admin/admin admin/ root/toor admin/password ...
Blokker_1999
@svennd26 november 2021 11:50
admin/nimda, admin/<niets>, ...
mitch2kbe
@Tweakert202026 november 2021 10:48
True, maar het is in ieder geval al een stap in de goede richting. En een sticker op het toestel wilt zeggen dat een individu fysiek toegang tot het apparaat moet hebben om het wachtwoord te weten.
Krulliebol
@mitch2kbe27 november 2021 22:09
Helaas wordt zo'n wachtwoord vaak opgebouwd op basis van je mac-adres. En dát is nou net goed op afstand te achterhalen...
m00d
@Tweakert202026 november 2021 10:48
Zolang dat een random wachtwoord is per modem is dat al veel minder erg dan een standaard wachtwoord gebruiken. Je moet immers om dat wachtwoord te weten eerst inbreken en fysiek bij de modem weten te komen.
Krulliebol
@m00d27 november 2021 22:07
Helaas is dat wachtwoord doorgaans niet zo random. Het is bijvoorbeeld gebaseerd op je mac-adres en dus makkelijk na te gaan.
FrankoNL
@Tweakert202026 november 2021 10:56
Dat is, met name voor aanvallen van buitenaf, nog altijd een betere oplossing dan admin en "blank"...
mjz2cool
@Tweakert202026 november 2021 11:51
Dat is dan toch juist handig? Het gaat erom dat anderen niet de login moeten kunnen raden, en dat zijn die gegenereerde wachtwoorden niet bepaald.

Wat ik me wel afvraag is wat ze precies bedoelen met het volgende:
Onderdeel van dit voorstel is dat apparaten een uniek wachtwoord krijgen, dat niet te herstellen is door het apparaat terug te zetten naar de fabrieksinstellingen.
Er moet hoe dan ook een standaard wachtwoord op het apparaat komen, want je moet toch kunnen inloggen om instellingen te kunnen wijzigen.

Een optie is om te verplichten om eenmalig in te loggen op het apparaat zonder wachtwoord, en dan een wachtwoord te kiezen. Maar hoeveel mensen weten dat ze bijvoorbeeld op een Experiabox in kunnen loggen? Volgens mij kun je die aansluiten en vervolgens met de standaard SSID en bijbehorend wachtwoord verbinding maken via WiFi.

Ik denk eerder dat ze met standaard wachtwoorden bedoelen dat je niet met admin/admin en dat soort bekende gegevens in kunt loggen. Dan is de oplossing van de meeste providers tegenwoordig wel goed, met een gegenereerd wachtwoord die op het apparaat staat.

[Reactie gewijzigd door mjz2cool op 26 november 2021 11:52]

JackBol
@Tweakert202026 november 2021 11:57
En wat is het probleem daarvan?
Als iemand met slechte intenties er fysieke toegang to heeft, kan je het device toch al als gecompromitteerd beschouwen.
bzuidgeest
@Tweakert202026 november 2021 12:08
Die sticker is er ook bij ziggo en anderen. Laatste modem kreeg ik de sticker los zodat ik zelf kon bepalen waar ik hem plakte.
Sabes
@Tweakert202026 november 2021 13:16
Wanneer ik mijn Modem van KPN (V12) reset dan kan ik inloggen met het wachtwoord vermeld op de sticker maar krijg dan direct het scherm waarin ik verplicht ben mijn wachtwoord te wijzigen.
Tapijtmepper
@Tweakert202026 november 2021 18:38
Op dooie momenten kijk ik hoeveel printers ik via wifi (in open netwerken en printers die zomaar broadcasten) kan vinden met mijn telefoon. Via Fing doe ik een portscan en voor je 't weet ben je binnen.
Standaard wachtwoorden zoals 12345, 123456789,... Je vind 't overal. Je kan firmware uploaden en wie weet wat nog allemaal.
Ik druk meestal 1 pagina af met instructies voor de gebruiker over hoe ze het veilig kunnen maken (Ik weet immers niet altijd waar de printer staat.).

Via een landelijke bib kon ik de touchscreens gebruiken om op de lokale server alle persoonsgegevens te bekijken en wie welk boek had uitgeleend.

Ziekenhuizen zijn ook vol gaten. Ik gebruik gewoon een appje en Google (nog niet eens Shodan ea. dingen) en geraak te vaak binnen op delen van netwerken waar ik niet hoor te zijn.

Ik meld het elke keer netjes, vaak reageren ze supergoed, maar als ik op meer dan de helft van de spullen met het default ww binnen geraak is er iets grondig mis en vind ik zo een maatregel een goed idee (Vrij zeldzaam dat politici goede ICT-maatregels voorstellen).

[Reactie gewijzigd door Tapijtmepper op 26 november 2021 18:42]

StephanW73
26 november 2021 10:48
Onderdeel van dit voorstel is dat apparaten een uniek wachtwoord krijgen, dat niet te herstellen is door het apparaat terug te zetten naar de fabrieksinstellingen.
Als het wachtwoord wordt gewijzigd, en je mocht het vergeten, dan is het resetten van het apparaat dus niet mogelijk om weer toegang te verschaffen tot het apparaat. Kan me niet voorstellen dat dit een goede optie is.

[Reactie gewijzigd door StephanW73 op 26 november 2021 10:54]

Seal64
@StephanW7326 november 2021 11:13
De enige optie zou dan zijn om bij eerste installatie, en elke reset, de gebruiker naar een login pagina te leiden waar je verplicht een wachtwoord moet instellen. Ik denk alleen dat je dan krijgt dat iedereen alsnog een heel zwak wachtwoord gaat gebruiken omdat ze dat anders toch niet onthouden.

Deze eis vind ik inderdaad ook moeilijk te verdedigen. Ziggo heeft een random wachtwoord, maar dat wordt wel op een reset teruggezet. Maar dan moet je inderdaad wel eerst inbreken wil je daar misbruik van kunnen maken, en op het moment dat je fysiek toegang tot zo'n ding hebt kun je digitaal beveiligen tot je een ons weegt, binnen komen ze dan toch wel.
Nyarlathotep
@Seal6426 november 2021 12:54
Dit dus.
De verantwoordelijkheid van een goed wachtwoord dient toch echt bij de gebruiker te liggen.
Dus forceer een koper om bij het eerste gebruik meteen het wachtwoord te veranderen.
Psyveira
@Nyarlathotep26 november 2021 13:14
Dat is denk ik dus onderdeel van het probleem, er zijn veel Plug & Play apparaten zoals Netwerk Switches waarbij de gebruiker niet op de interface hoeft in te loggen voor gebruik. Op zulk soort apparaten blijft het wachtwoord dus bijvoorbeeld admin/admin.
CH4OS
@Nyarlathotep26 november 2021 15:45
Maar hoe wil je een gebruiker ergens verantwoordelijk voor maken als diegene niet weet wát een veilig wachtwoord is? Dat hoeft niet per definitie een wachtwoord te zijn dat voldoet aan de complexiteitseisen die bijvoorbeeld in de webinterface zitten.
CAPSLOCK2000
@CH4OS26 november 2021 16:43
De gebruiker is nu ook al verantwoordelijk, of de gebruiker dat nu weet of niet.
Door het instellen van een nieuwe wachtwoord af te dwingen komt er in ieder geval een signaal dat de gebruiker iets moet doen.
akooijman
@Nyarlathotep26 november 2021 16:52
Dus ik wordt verplicht het random wachtwoord van mijn Ziggo modem bij eerste gebruik te wijzigen naar het wachtwoord dat ik overal en nergens gebruik. Abc-123! (Hoofdletter, letters, cijfers, leestekens: 5 sterren wachtwoord, gebruik ik op elke website 😂)
Klinkt als een geweldig idee...
Nyarlathotep
@akooijman26 november 2021 17:58
Het is in ieder geval beter dan een standaard wachtwoord dat je online kan vinden.
Maar het weg blijven halen van eigen verantwoordelijkheid bij mensen maakt ze alleen maar dommer en dommer...
Fire69
@Seal6426 november 2021 13:00
Ze bedoelen misschien dat het bij een reset niet terug hetzelfde paswoord mag zijn?
Bvb. je koopt een ipcam, daar zit een random paswoord 'x5s4f7rs' op. Dat paswoord sla je ergens op.
Als je die camera doorverkoopt en de nieuwe eigenaar doet een reset zou er een ander random paswoord moeten gezet worden, anders kan de eerste eigenaar gewoon meekijken.
DiaZ_1986
@Fire6926 november 2021 13:40
En hoe weet je dan wat het nieuwe wachtwoord is? Deze is immers gereset naar iets willekeurigs.
Groningerkoek
@Fire6926 november 2021 14:37
Het toestel mag rustig terug naar het door de fabriek aangebracht uniek wachtwoord, er is maar 1 partij die dit wachtwoord ook weet en dat is de vorige eigenaar. En als het toestel daarna de nieuwe eigenaar de optie geeft om een nieuw wachtwoord in te stellen lijkt mij dat meer dan goed genoeg.
Ge Someone
@Groningerkoek26 november 2021 15:03
Tja, het apparaat weet immers niet dat er een andere eigenaar is.
Groningerkoek
@Ge Someone26 november 2021 15:07
Als in "altijd optie geven om wachtwoord te wijzigen na een reset" ;)
gimbal
@Fire6926 november 2021 15:15
De implicatie zal dan zijn dat je het niet door gaat verkopen. Het is van jou, en van jou alleen.
beerse
@StephanW7326 november 2021 11:21
Volgens mij bedoelen ze dat een wachtwoord reset functie van het apparaat niet terug gaat naar 'admin/admin' of zo iets. Wel mag het bij een wachtwoord reset terug vallen op het wachtwoord waarmee het is uitgeleverd. Dat wachtwoord kan dan naast het serienummer op het apparaat staan.
Cloud
@beerse26 november 2021 11:27
Volgens mij wordt met 'standaard wachtwoord' inderdaad zo'n username/password combinatie bedoeld die voor alle apparaten van dat type gelijk is. De beruchte admin/admin, admin/1234 en soortgelijke dingen.

Als ook een default wachtwoord van KPN of Ziggo daaronder zou vallen, zou het wel erg gek zijn om dat niet toe te staan bij een reset naar fabrieksinstellingen. Meestal moet je zelf nog het wachtwoord aanpassen, dus dan zou je niets meer aan die reset hebben als je ooit je accountgegevens kwijtraakt. Ik kan me niet voorstellen dat een fabrikant met zo'n situatie akkoord zou gaan.

[Reactie gewijzigd door Cloud op 26 november 2021 17:04]

StCreed
@Cloud26 november 2021 13:37
Ik zou zeggen: een per toestel uniek nummer wat je niet kan afleiden van het mac-adres, dat zou je wel mogen resetten. Mijn fritzbox heeft dat ook, en als iemand zover komt dat dat wordt gereset dan lijkt me dat het grootste probleem. Na een reset wel verplicht weer het wachtwoord wijzigen, dan.
LurkZ
@beerse26 november 2021 12:26
Wel mag het bij een wachtwoord reset terug vallen op het wachtwoord waarmee het is uitgeleverd.
Als dat wachtwoord uniek is voor ieder apparaat.
1000 standaard moeilijke wachtwoorden zijn te brute-forcen.

Super veilig staat vaak aan onveilig.
Al mijn wachtwoorden zijn van dit type "Lg16Z5F*tQh8WPm6fzBIUFE6mV#" maar veel gebruikers zullen dat bij de eerste keer typen naar 123 veranderen.
Maar het veel betere 6hG&aa blijven ze wellicht wel gebruiken.

M.i. is de wachtwoorden discussie heel vaak een discussie die wiskundig gezien zeeer goed is maar het menselijke oogpunt niet meeneemt in de adviezen.
EvilWhiteDragon
@LurkZ26 november 2021 12:48
Ik denk dat ze BatteryHorseStaple beter onthouden dan 6hG&aa. Maak een wachtwoord langer ipv complexer door rare tekens. Door het combineren van random woorden kan je een wachtwoord langer maken die wel te onthouden is.
CH4OS
@EvilWhiteDragon26 november 2021 15:49
Lengte is ook niet per definitie een beter wachtwoord. Het mooiste is dus een wachtwoord waar geen logica in zit. ;) Een wachtwoord zonder logica is dus ook niet aan de hand van een ezelsbruggetje bijvoorbeeld terug te herleiden, zoals bij BatteryHorseStaple dat wél het geval is. ;)

[Reactie gewijzigd door CH4OS op 26 november 2021 15:52]

aikebah
@EvilWhiteDragon26 november 2021 21:23
Prima te onthouden toch? 6 handige Grietjes en altijd ananas....
emphy
@LurkZ26 november 2021 13:32
maar veel gebruikers zullen dat bij de eerste keer typen naar 123 veranderen.
Veel gebruikers zullen niet eens door hebben dat ze het wachtwoord kunnen veranderen.
Frogmen
@StephanW7326 november 2021 10:55
Dat wordt natuurlijk gedaan vanuit milieu oogpunt, stel je voor dat er te weinig afval komt. Was precies ook mijn gedachte toen ik het las.
wica
@StephanW7326 november 2021 11:03
Bij mijn router met openwrt, kan ik het wachtwoord ook niet resetten.
Dan moet ik hem meestal opnieuw installeren door middel booten via tftp.
kodak
@StephanW7326 november 2021 11:09
Aangezien de meeste fabrikanten al jren zorgen dat hun product te resetten is om het nog te kunnen blijven gebruiken klinkt jou gedachten niet heel realistisch.

Daarbij doen die fabrikanten dat niet zomaar. Als een verkoper iets levert wat na een reset al niet meer bruikbaar is dan is dat al snel een niet deugdelijk product wat negatieve financiële gevolgen heeft. Van het afhandelen van klachten tot schade voor compensatie en verlies aan klanten.
teun95
@StephanW7326 november 2021 14:34
Het hangt er vanaf hoe je 'default password' definieert.

Als ik het zo lees op de website van de Britse overheid worden default passwords die apparaten een makkelijk doelwit maken in de ban gedaan. Oftewel: hetzelfde wachtwoord voor elk apparaat van dat type.

Het lijkt me aannemelijk dat apparaten die bij het herstellen van de fabrieksinstellingen weer het unieke wachtwoord wat op een sticker op de onderkant van het apparaat staat al voldoen aan deze wetgeving.
Yoshi
26 november 2021 10:44
dat is een goeie zaak, iemand weet of dit in de eu ook in de steigers staat?
CH4OS
@Yoshi26 november 2021 10:49
Ik zie om eerlijk te zijn de meerwaarde niet om dit via een wet te moeten afdwingen. Natuurlijk, geen standaard wachtwoorden gebruiken/hebben is goed voor de veiligheid en daar ben ik ook zeker voor!

Het staat jou als gebruiker echter wel vrij om vervolgens het wachtwoord aan te passen en wel een (voor jou) "standaard"* wachtwoord te gebruiken. Je schuift op deze manier echter wel de verantwoordelijkheid door. Fabrikanten gebruiken ook steeds meer gegenereerde wachtwoorden naar mijn weten.

Beste manier blijft gewoon om uit te leggen waarom standaard wachtwoorden niet veilig zijn en bewustzijn te kweken bij de (eind)gebruiker, dat een password manager met gegenereerde passwords veiliger is en dergelijken. Anders zul je dit probleem nooit goed kunnen aanpakken.

* Dit hoeft geen wachtwoord te zijn uit een woordenlijst, maar een wachtwoord die jij zelf standaard/veelvuldig gebruikt, bijvoorbeeld.

[Reactie gewijzigd door CH4OS op 26 november 2021 11:02]

mdgf
@CH4OS26 november 2021 11:03
Dit heeft te maken met hardware apparaten dewelke hun login admin/admin is, password managers hebben hier niet veel mee van doen, een moeilijk wachtwoord mag gerust met een sticker fysiek op het device hangen, zolang mr. hacker het maar niet kan raden.

Beste illustratie voor dit probleem is dat je bij honderduizenden mensen gewoon kan binnenkijken omdat ze een ip camera met default wachtwoord hebben hangen in of rond hun huis. Nu mag je zeggen dat dit de gebruiker hun fout is, maar deze wetgeving zou dat toch oplossen, en is dus zeker een meerwaarde om de mensen te beschermen.

[Reactie gewijzigd door mdgf op 26 november 2021 11:04]

CH4OS
@mdgf26 november 2021 12:21
Dat snap ik dat dit gaat om apparaten. Die kunnen prima hun allereerste wachtwoord gegenereerd hebben. Maar dat weerhoudt mij als gebruiker van zo'n product er niet van om het wachtwoord naar eigen smaak aan te passen. En waarom zou ik dan geen password manager gebruiken voor het genereren van wachtwoorden? ;) Ik zie alleen echter niet iedereen een password manager gebruiken en daarom "dus" maar een wachtwoord gebruikt die zij redelijk makkelijk zelf bedenken kunnen.

Ik zou het wachtwoord voor mijn account (waarvan de username ook geen admin is, overigens) op mijn router niet weten, omdat het wachtwoord een gegenereerd wachtwoord is en in mijn password manager staat die het voor mij onthoudt.

[Reactie gewijzigd door CH4OS op 26 november 2021 12:53]

bbob
@CH4OS26 november 2021 11:18
Zie commentaar hierboven, als men hoofd/kleine letter, cijfer en speciaal teken, minimaal 8 positief heb je al een redelijk complex wachtwoord. Sommige online diensten doen dat nu ook al.
CH4OS
@bbob26 november 2021 12:22
Dat snap ik, maar wat weerhoudt jou als gebruiker om het wachtwoord vervolgens aan te passen naar bijvoorbeeld een standaard wachtwoord die jij veelvuldig gebruikt? :) Een Wet als deze maakt deze producten niet per definitie veiliger, alleen bij levering, maar een product gebruik je hopelijk wel langer dan dat. ;)

[Reactie gewijzigd door CH4OS op 26 november 2021 12:53]

bbob
@CH4OS26 november 2021 15:20
Alles als er in de software/hardware een vereist zit om altijd te voldoen aan eisen hoofd/klein cijfer speciaal teken.
Met een hash van het standaard wachtwoord zou software er ook voor kunnen zorgen dat je dat nooit meer als nieuw wachtwoord kan kiezen.
CH4OS
@bbob26 november 2021 15:40
Alsof er maar 1 wachtwoord is dat gebruikt kan worden als "standaard"...
debroervanhenk
@CH4OS26 november 2021 11:19
Dit is niet alleen een probleem voor de consument die het apparaat koopt. Gehackte apparaten kunnen ook worden gebruikt om anderen aan te vallen. Het is dus een maatschappelijk probleem dat het beste centraal en wettelijk kan worden aangepakt.
CH4OS
@debroervanhenk26 november 2021 12:24
Nee, want een gehacked apparaat houdt zich niet aan de Wet en wie wil je daarvoor verantwoordelijk houden? De onwetende? Ga je die dan straffen omdat die geen veilig wachtwoord heeft gebruikt, laat staan dat die weet wat een veilig wachtwoord is?

Dit soort zaken kun je niet afdwingen door het in Wet- en andere regelgeving te stoppen wanneer er niet bij iedereen begrip is (in het belang van goede, sterke wachtwoorden). De Wet is bedoelt om een strafmaat vast te stellen bij overtreding, niet om bepaald gedrag af te dwingen of zaken in hokjes te stoppen.

[Reactie gewijzigd door CH4OS op 26 november 2021 12:32]

GertMenkel
@CH4OS26 november 2021 16:04
Als je een apparaat koopt dat overlast veroorzaakt, ben jij daar onderaan de streep verantwoordelijk voor dat de overlast stopt. Xs4all heeft naar mijn weten mensen die onderdeel waren van een botnet afgesloten met de waarschuwing dat ze weer internet krijgen als ze aangeven hun hele netwerk gescand te hebben en dat bij herhaaldelijk misbruik het contract mogelijk komt te vervallen. Dat vind ik een goede aanpak van de problematiek die deze apparaten veroorzaken.

Standaardwachtwoorden zijn een bekende aanvalsvector van botnets. Dat je nu zelf je wachtwoord op Welkom123 moet zetten vind ik eigenlijk geen probleem. Deze wetgeving zet een absoluut minimale eis neer voor internetapparaten, en ik zie er het probleem niet mee.
LurkZ
@CH4OS26 november 2021 12:31
Veel websites stellen eisen aan wachtwoorden.
Minimaal 8 karakters, minimaal 1 cijfer en speciaal karakter, etc.
Dat zou bij hardware ook een forse vooruitgang zijn.
Perfect? Nee. Maar toch wel beter dan 123...
CH4OS
@LurkZ26 november 2021 12:34
Ik ben ook zeker voorstander van dat er op apparaten gegenereerde wachtwoorden komen, dat komt de veiligheid alleen maar ten goede. Maar je kunt dat niet in een Wet vastleggen wanneer het merendeel niet eens weet wat een (enigszins) veilig wachtwoord is.

Wanneer zo'n persoon dan voor zichzelf een ander wachtwoord ingesteld op dat apparaat bijvoorbeeld, wat weerhoudt zo'n persoon er dan van om een (voor diegene) "standaard" wachtwoord te gebruiken? Weliswaar hoeft dat geen wachtwoord te zijn wat in een woordenlijst staat of iets dergelijks, maar kan ook een wachtwoord zijn die die persoon veelvuldig gebruikt, bijvoorbeeld.
mjtdevries
@CH4OS26 november 2021 13:04
Maar je kunt dat niet in een Wet vastleggen wanneer het merendeel niet eens weet wat een (enigszins) veilig wachtwoord is.
Het is overduidelijk dat je dat wel kunt doen, want de UK gaat het doen.

Je haalt twee dingen door elkaar.
Deze wet gaat over standaard wachtwoorden van leveranciers.
Jij hebt het over gebruikers wachtwoorden.

Als iemand voor al zijn devices hetzelfde gebruikers wachtwoord gebruikt, dan zou je dat voor die persoon zijn "standaard" wachtwoord kunnen noemen. Maar dat is overduidelijk iets totaal anders dan de "standaardwachtwoorden" van leveranciers.
CH4OS
@mjtdevries26 november 2021 13:12
Het is overduidelijk dat je dat wel kunt doen, want de UK gaat het doen.
Dat de overheid iets wilt, betekend nog niet dat het direct een Wet is. Daar moet ook bij hun goedkeuring (en een meerderheid) voor zijn.
Je haalt twee dingen door elkaar.
Deze wet gaat over standaard wachtwoorden van leveranciers.
Jij hebt het over gebruikers wachtwoorden.
Ik heb het niet over "gebruikers" of "fabrieks" wachtwoorden, daar zit natuurlijk geen verschil in, ik praat over wachtwoorden in het algemeen.

Leuk dat zo'n Wet gaat eisen dat je bij de productie van jouw product een gegenereerd wachtwoord moet gaan meegeven, maar tegenwoordig gebeurd dat al steeds meer en meer. Een Wet zou dus alleen maar bevestigen wat fabrikanten eigenlijk alleen maar aan het doen zijn.

Je wilt bij een Wet als deze dus zorgen dat je altijd een gedegen wachtwoord hebt, maar dat ga je simpelweg nooit krijgen met een Wet. Dan is het leuk dat je zoiets bij de fabrikant wel afdwingt, maar wat weerhoudt een gebruiker om het wachtwoord te veranderen en een onveilig wachtwoord in te stellen? Dan kan je inderdaad zeggen "de gebruiker heeft het zelf aangepast, want standaard is het geleverd met een ander wachtwoord", maar daar los je het probleem wat het wachtwoord moet oplossen niet op. Ergo, dan is de Wet redelijk nutteloos. Voor specifieke gevallen / situaties wil je geen Wet hebben die dat vastlegt, je wilt met een Wet de strafmaat bepalen bij overtreding ervan.

Een Wet zal ook nooit defineren wat een sterk wachtwoord is of hoe je dat vervolgens opslaat, omdat tijden nu eenmaal veranderen, evenals inzichten. Een MD5 hash is ook al jaren niet meer veilig, bijvoorbeeld.
Als iemand voor al zijn devices hetzelfde gebruikers wachtwoord gebruikt, dan zou je dat voor die persoon zijn "standaard" wachtwoord kunnen noemen. Maar dat is overduidelijk iets totaal anders dan de "standaardwachtwoorden" van leveranciers.
Het gaat mij om het complete plaatje. Er is daarbij geen onderscheid in wat een "gebruikerswachtwoord" of "fabriekswachtwoord" is.

[Reactie gewijzigd door CH4OS op 26 november 2021 13:16]

mjtdevries
@CH4OS26 november 2021 13:18
Er zijn twee verschillende problemen.
1. leveranciers gebruiken nog steeds standaard wachtwoorden.
2. eindgebruikers gebruiken simpele wachtwoorden.

De UK wil een wet maken om probleem 1 op te lossen.
Jij zegt: De wet is nutteloos want het lost probleem 2 niet op.

Dat is een onzinnige discussie.

[Reactie gewijzigd door mjtdevries op 26 november 2021 13:18]

CH4OS
@mjtdevries26 november 2021 13:23
Punt 1 is al in steeds mindere mate een probleem, omdat steeds meer en meer bedrijven / apparaten met gegenereerde wachtwoorden komen, dus dat probleem wordt al kleiner. Probleem 2 is inderdaad ook een ding, maar is niet per se iets waar ik het nu per definitie over heb. Als je denkt dat ik het wel daarover heb, dan denk ik echt dat je mijn posts even opnieuw moet lezen.

Probleem 2 is meer de onderbouwing voor het probleem dat gebruikers de wachtwoorden aanpassen, omdat ze gemakkelijker willen kunnen inloggen, want ja, zo'n gegenereerd wachtwoord is maar irritant om te onthouden.
mjtdevries
@CH4OS26 november 2021 13:24
Volgens mij moet je zelf je eigen posts even opnieuw lezen.
CH4OS
@mjtdevries26 november 2021 13:25
Ik weet heel goed wat ik schrijf en wat ik zelf bedoel. Als jij van mening blijft dat ik wat anders schrijf, dan denk ik dat we klaar zijn met deze discussie. ;)

In concreto gaat een Wet als dit een praktisch nut opleveren van 0 en is het dus niet handig om het op deze manier te implementeren, het gaat nooit werkend zoals bedoeld en om iets dusdanig specifiek te gaan maken, ga je simpelweg je doel voorbij. Een Wet is, zoals ik eerder al zei, bedoeld om de strafmaat te bepalen, niet gedrag.

[Reactie gewijzigd door CH4OS op 26 november 2021 13:27]

mjtdevries
@CH4OS26 november 2021 13:27
Jij weet blijkbaar wel wat jij bedoelt, maar je schrijft het zo raar op dat de rest van de wereld iets heel anders leest dan wat jij blijkbaar bedoeld. Dat is toch echt een probleem dat alleen jij kunt oplossen.
CH4OS
@mjtdevries26 november 2021 15:39
Hoe zou ik het dan moeten schrijven, volgens jou? :?
InflatableMouse
@Yoshi26 november 2021 10:48
Niet dat ik weet maar ik vind dit niet zo'n goed idee denk ik.

Verplicht dan 2FA, dat is met een gemakkelijk wachtwoord veiliger dan alleen een ingewikkeld wachtwoord zonder 2FA.
ikt
@InflatableMouse26 november 2021 10:51
Je hebt het artikeltje blijkbaar ook niet gelezen, want het gaat over apparaten. Moeilijk om daar 2FA op te zetten als je nog niet eens de beheerpagina in kunt :+
Alfa1970
@ikt26 november 2021 11:19
Natuurlijk is het mogelijk om 2FA op apparatuur te integreren, bij initiele setup moet je gewoon de gegevens voor 2FA invullen en klaar. Je hebt ook nog zoiets als een CLI (meestal via een seriele poort) dus GUI toegang niet noodzakelijk, maar zelfs dat kan via een default ip address en een initiele setup wizard.
Veel apparatuur werkt al op die manier, dus ik zie eigenlijk het probleem niet.
Het is niks nieuws en zelfs vrij simpel.
Zer0
@Alfa197026 november 2021 12:19
Je hebt ook nog zoiets als een CLI (meestal via een seriele poort) dus GUI toegang niet noodzakelijk
Ja, want een doorsnee gebruiker gaat met seriele kabels en de CLI lopen klootzakken |:(
sygys
@Alfa197026 november 2021 13:18
Je moet eerst op het apparaat inloggen 9m de 2fa in te stellen. Dit wachtwoord is standaard. Als mensen dus niet inloggen de eerste keer dan heb je een standaard ww. Dus ieder apparaat te voorzien van een identiek ww helpt al. Dit we kan dan op de router staan bijvoorbeeld. Draytek doet dit overigens al jaren
Alfa1970
@sygys26 november 2021 18:35
De oplossing om dit tegen te gaan is dat het apparaat alleen maar z'n functie gaat uitvoeren als je de 2FA ingesteld hebt, en dat kun je zodanig inregelen dat in plaats van de login pagina de configuratie pagina van de 2FA wordt getoont.
Eenzelfde methode met gewoon wachtwoord helpt natuurlijk ook.
In ieder geval zou het zo moeten zijn dat het apparaat niet functioneerd zolang geen wachtwoord of 2FA is ingesteld.
Alle apparaten van eenzelfde wachtwoord voorzien is natuurlijk een security probleem.
Praktish is het wel, maar het is ook een groot risico dat toeneemt met het aantal keren dat hetzelfde wachtwoord is gebruikt.
lenwar
@Alfa197026 november 2021 15:44
De simpelste manier die ik kan bedenken is een fysieke knop op het apparaat om binnen zoveel minuten in te loggen zonder 2fa. Dus de eerste keer, druk je op die knop en kan je met het ww op de sticker inloggen.

Daarna heb je de keuze om die te veranderen en al dan niet 2fa aan te zetten.
Als je dat niet doet of wilt, moet je dus altijd de knop indrukken om tijdelijk in te kunnen loggen. Dan heb je gelijk een makkelijke methode om de 2fa te resetten als dat misgaat, of de klok uit sync raakt.
Alfa1970
@lenwar26 november 2021 18:38
Dit is een mogelijkheid, maar dat kost extra geld aan hardware voor de leverancier.
Ik denk dat de optie om het apparaat pas te laten werken nadat een wachtwoord of 2FA is ingesteld op de software matige manier een optie is waar de meeste fabrikanten voor zullen kiezen.
lenwar
@Alfa197026 november 2021 19:44
Afhankelijk van het apparaat kunnen ze ook bestaande knoppen (de resetknop voor de paperclip ‘dubbelklikken’ of zo. Verzin een list) gebruiken waardoor het meer een softwareding wordt.

Misschien is het met een tv wat ingewikkelder, maar daar is misschien juist weer iets met de afstandsbediening mogelijk.

Maar ik denk dat het leeuwendeel van de apparaten prima met een bestaande knop iets moeten kunnen regelen.
mjz2cool
@ikt26 november 2021 11:55
2FA op apparaten is heel eenvoudig (en wordt al heel veel toegepast). Je hebt gewoon een initiële setup, die kan je prima een 2FA in laten stellen. Nadeel is dan wel dat het minder gebruiksvriendelijk wordt.
The Zep Man
@InflatableMouse26 november 2021 10:52
Dit heeft niets met gemakkelijke of ingewikkelde wachtwoorden te maken, maar met standaardwachtwoorden.

Verder heeft 2FA verplicht invoeren weinig nut op iets waar een gewone gebruiker eigenlijk nooit op inlogt. De kans dat die de betreffende 'bezit' factor nog heeft als het ooit nodig is, is nihil. Ook is 2FA op veel manieren te implementeren, terwijl wachtwoorden relatief standaard zijn.

Wat ik liever zou zien was de verplichting om 2FA (optioneel voor de gebruiker) op een gestandaardiseerde manier te ondersteunen. Denk aan TOTP en U2F.

[Reactie gewijzigd door The Zep Man op 26 november 2021 11:18]

Z80
@InflatableMouse26 november 2021 15:48
Echter voor 2FA heb je een data verbinding nodig. En een externe server bij een bedrijf die over een paar jaar dat ding zo uit kan zetten.
Maar wat is er nu zo moeilijk aan een wachtwoord dat direct bij de eerste login gewijzigd moet worden.
Maak het dan ook direct zo dat apparaat pas op internet gaat NA het wijzigen van het wachtwoord.
Kan het standaard wachtwoord nog steeds simpel/standaard gehouden worden. Maar is elk apparaat dat in gebruik genomen wordt voorzien van een uniek wachtwoord.
lenwar
@Z8026 november 2021 19:39
Dat ligt er net aan wat ze gebruiken. TOTP (Google Authenticator e.d.) vereist alleen dat de klokken gelijk lopen. Technisch is het niks meer dan een shared secret.
Krulliebol
@lenwar28 november 2021 04:29
En hoe komt je apparaat aan de juiste tijd als 'ie geen dataverbinding heeft?
lenwar
@Krulliebol28 november 2021 09:26
Hij had het over centrale servers, enz, enz.
Het gaat hier om over apparaten met standaardwachtwoorden. Dat is meestal een probleem zodra er een dataverbinding is.

Maar stel dat er geen dataverbinding is en 2fa wel nodig is, dan is TOTP geen praktische oplossing, dan zou je eerder met ‘vertrouwde’ apparaten kunnen werken, dus dan zou de unieke identificator van je telefoon (bijvoorbeeld) een aardige kunnen zijn of eventueel met een vertrouwde sleutel.
svennd
26 november 2021 10:46
"dat niet te herstellen is door het apparaat terug te zetten naar de fabrieksinstellingen" Hoe ga je dan nog inloggen na een reset ? 8)7
Een einde aan admin/admin, enkel maar een goeie zaak !
Genosha
@svennd26 november 2021 10:48
Ik denk dat de default dan geen wachtwoord wordt, met een unskipable prompt voor het invoeren van een wachtwoord. Wat dan auto random generated kan zijn, je vervolgens direct vergeet en weer in een reset gaat.
handoff
@Genosha26 november 2021 10:51
Geen wachtwoord is toch ook een standaard wachtwoord?
LankHoar
@handoff26 november 2021 10:53
Het is dan wel standaard geen wachtwoord, maar het is geen wachtwoord.
Genosha
@handoff26 november 2021 10:53
Niet als je direct geforceerd wordt om een wachtwoord in te voeren, en zonder die stap het apparaat onbruikbaar is.
mjz2cool
@handoff26 november 2021 11:58
Er zijn wel apparaten / services die dit gebruiken, je kunt er dan wel bij, maar het doet verder nog niets tot je de login hebt ingesteld.
SinergyX
@Genosha26 november 2021 11:22
Dus enige wat je dan als 'hacker' zou moeten doen, is simpel een reset zien te forceren, zodat je daarna zelfs je eigen wachtwoord mag gaan uitkiezen? Hoe precies is dat veilig?
Genosha
@SinergyX26 november 2021 11:31
Niet. Maar dat is het juist. Geen wachtwoord, een standaard wachtwoord of een forced wachtwoord bij eerste gebruik is allemaal net zo veilig als onveilig. Genoeg mogelijkheden om kwaadwillig de controle te nemen. Maar dat is de grap ook in mijn post; de normale gebruiker die in een factory-reset-loop blijft zitten omdat hij elke keer het nieuwe wachtwoord vergeet.

Overigens sticker op de achterkant; ook slecht. Vaak amper te lezen als apparaat wat ouder is OF te verwarrend voor de leek door gebruik van 1, lowercase L, uppercase I, 0 en upper/lowercase o.
SinergyX
@Genosha26 november 2021 11:39
Ik heb eerder het idee dat ze nu maar een 'we gaan dit doen, wat omdat het moet' ding er van zijn gaan maken, zonder echt na te denken wat nu echt een 'betere' oplossing is.

Opties als QR code scannen en via je telefoon valideren, account-based via de fabrikant/leverancier/provider, van mij part een hardware token (usb stick, of iets), het lost A op, maar creeert transitie naar B.
LurkZ
@Genosha26 november 2021 12:35
OF te verwarrend voor de leek door gebruik van 1, lowercase L, uppercase I, 0 en upper/lowercase o.
Helemaal onjuist en totaal onbegrijpelijk. Het is zeer simpel om een random wachtwoord te genereren zonder verwarrende letters en cijfers.
DigitalExorcist
@SinergyX26 november 2021 11:43
Niet, maar als het ding factory reset is zijn ook alle gebruikerssporen eruit gewist, dus als hacker heb je er dan nog niet zoveel aan.
mjz2cool
@SinergyX26 november 2021 11:59
Die hacker moet dan wel eerst inbreken om de reset te forceren, of inloggen, maar dan is de reset niet meer nodig natuurlijk.
Splorky
@svennd26 november 2021 10:53
Ik werk met apparatuur dat een standaard gebruikersnaam en wachtwoord heeft, en als je dat niet aan past krijg je na elke inlog de vraag het aan te passen zolang dat niet gedaan is. Wat ook wel erg goed motiveert.

Als ik het goed heb heeft ieder Ziggo modem een sticker op de onderkant met een randomized standaard wachtwoord. Voor inlog of wifi.
mjz2cool
@Splorky26 november 2021 12:02
Dat herken ik ook wel op bepaalde routers die we als bedrijf gebruiken voor klanten. Echter je logt na instellen eigenlijk bijna nooit meer in, dus als je het de eerste keer negeert blijft het wachtwoord staan. Een ander merk die we gebruiken heeft wel een standaard wachtwoord, maar forceert het wijzigen van het wachtwoord.
AJediIAm
@svennd26 november 2021 11:21
Er zijn best veel verschillende manieren om een apparaat de eerste keer in te stellen.
De meeste IoT apparaten die ik heb maken gebruik van een local hotspot, Bluetooth of NFC, vaak in combinatie met een tijdslimiet van 5 tot 15 minuten na de reset.
Ik heb ook een apparaat gezien die de login key in binary via een ledje naar een camera van een smartphone kan sturen. Super simpel!
purge
@svennd26 november 2021 16:46
Bijvoorbeeld door een fysieke knop op het apparaat. Een voorbeeld is de Hue bridge.
Je maakt verbinding met de Hue bridge. Dan wordt gevraagd om de knop in te drukken. Daarmee autoriseer je je als het ware. Onder water wordt dan een random (api) code gegenereerd.

In plaats van een API code kan dat natuurlijk ook een wachtwoord zijn.
Als ik er zo over nadenk dan is de oplossing van de Hue bridge al een stuk beter omdat er voor ieder client/device een andere (api) code wordt aangemaakt. Weg met wachtwoorden! ;)
svennd
@purge26 november 2021 17:09
Je bedoelt WPS ? oja dat is zeeeeer veilig :)
purge
@svennd27 november 2021 00:05
WPS is inderdaad een knop op het apparaat. Dit bedoel ik helaas niet.
Er is vast een veilige knop voor te maken.
avlt
26 november 2021 10:55
Ben benieuwd hoe ze dat gaan handhaven cq controleren met alle Chinese en no-name IOT apparaten.
Seal64
@avlt26 november 2021 11:16
De leverancier/importeur op zijn ballen geven als het niet zo is. En dat zal dan in veel gevallen de consument zelf zijn, als die het bij Ali Baba bestelt, want Ali Baba is geen Brits bedrijf en houdt zich dus ook niet aan de Britse wetgeving. Maar als een grote telco routers uitdeelt met dit stramien, zijn zij ook verantwoordelijk voor deze eis en zullen dat dus met hun Chinese leverancier moeten opnemen.
mjtdevries
@Seal6426 november 2021 13:31
Als Ali Baba een site specifiek op de uk gericht heeft, dan zullen ze zich wel aan de britse wetgeving moeten houden.
Seal64
@mjtdevries26 november 2021 20:58
Zoals ze dat nu al met NL wetgeving doen? Er is een NL versie van de site en de app, maar ik durf te wedden dat er heel veel rotzooi op die site staat die in de verste verte nog niet aan EU of NL wetgeving omtrent kwaliteitseisen voldoet.
mjtdevries
@Seal6426 november 2021 21:58
Dat kan best zijn, maar ze kunnen daarvoor dan wel vervolgd worden, want niet kan als de website zich niet op NL richt.
kodak
@avlt26 november 2021 11:21
Als het een veplichting is dan wil dat ook zeggen dat als gebruikers merken dat fabrikanten er niet aan voldoen ze dat kunnen aangeven.
Het doel van wetgeving is niet alleen dat wie er niet aan wil voldoen dus maar direct aangepakt kan worden, maar ook dat de samenleving zorgt dat ze niet accepteren wat niet volgens de wet is. Aangezien fabrikanten net zo goed onderdeel van die samenleving zijn zal het bijvoorbeeld zorgen dat ongewenste afwijkingen niet meer zo gewoon blijven.

In het verleden kwam je als fabrikant nog aanzetten met apparatuur zonder account, vervolgens werd het gewoon om account met een makkelijk te raden wachtwoord te leveren, de afgelopen jaren zijn fabrikanten meer unieke gegevens gaan toepassen. De wet komt dus niet met iets nieuws, maar is ook een poging tot verbetering van omstandigheden en bewustzijn wat niet meer acceptabel is.
amx
@avlt26 november 2021 16:45
ze mogen nu ook geen niet-CE gecertificeerde apparaten versturen. Exact dezelfde beperkingen/controles
Lord Anubis
26 november 2021 17:33
Onzin, mensen moeten gewoon leren om een wachtwoord op te bouwen uit alle tekens ( en niet per se verplichtte tekens). Reden: je beperkt het aantal mogelijkheden namelijk, is dus sneller geraden/berekend.

Wat fabrikanten kunnen doen is zodra een nieuwe gebruiker, ook na een reset een nieuw wachtwoord verplicht moeten aanmaken van een minimaal een bepaalde lengte, zonder verdere verplichtte tekens ( lees; werkt als restrictie ).
sprankel
26 november 2021 19:26
Doet het UK het er om of ligt het aan mij?

https://tweakers.net/nieu...eid-slimme-apparaten.html

Quote van het UK
Consumer connectable products, such as Internet of Things (IoT)
Andere Quote van het UK waar in ze refereren dat deze "UK" regel onderandere tot stand is gekomen op basis van een rapport van Kaspersky
Kaspersky research shows that there were 1.5 billion attacks against IoT products in the first six months
of 2021,
https://www.theregister.c...sian_anti_virus_software/
The United Kingdom's National Cyber Security Centre has effectively banned the use of Russian anti-virus products from government departments and revealed it is trying to “prevent the transfer of UK data to the Russian state” from Kaspersky Labs software.
Dat gaat de VS niet leuk vinden dat hun dikke vriend UK Kaspersky rapporten gebruikt, zeer eigenaardig. Het Europees Telecommunicatie en Standaardisatie werkt wel samen met Kaspersky.
Zouden ze nu echt een copy paste gedaan hebben?

https://www.etsi.org/deli..._60/ts_103645v010101p.pdf

EU document
• connected children's toys and baby monitors;
• connected safety-relevant products such as smoke detectors and door locks;
• smart cameras, TVs and speakers;
• wearable health trackers;
• connected home automation and alarm systems;
• connected appliances (e.g. washing machines, fridges); and
• smart home assistants.
UK document
smartphones
connected cameras, TVs and speakers
connected children’s toys and baby monitors
connected safety-relevant products such as smoke detectors and door locks
Internet of Things base stations and hubs to which multiple devices connect
wearable connected fitness trackers
outdoor leisure products, such as handheld connected GPS devices that are not wearables
connected home automation and alarm systems
connected appliances, such as washing machines and fridges
smart home assistants
Hoe langer hoe minder serieus dat ik de overheid van de UK nog kan nemen, ocharme de inwoners van het UK....

Edit: mocht het nog niet duidelijk zijn, de UK is gewoon 1 op 1 EU regelgeving aan het invoeren, een heel Brexit drama om hun eigen ding te kunnen doen, aan geen enkele eis van de EU willen voldoen om vervolgens gewoon EU regelgeving te copy pasten zonder schaamte...

Edit 2: in de copy paste hierboven hebben ze links en rechts nog wat gewijzigd in een poging het wat te verdoezelen, uit een ouder UK document

https://assets.publishing...urity_October_2018_V2.pdf
• Connected children’s toys and baby monitors,
• Connected safety-relevant products such as smoke detectors and door locks,
• Smart cameras, TVs and speakers,
• Wearable health trackers,
• Connected home automation and alarm systems,
• Connected appliances (e.g. washing machines, fridges),
• Smart home assistants

[Reactie gewijzigd door sprankel op 26 november 2021 19:39]

himlims_
26 november 2021 10:48
dat ze die achterlijke 'beperkingen' opheffen;
- wachtwoord is te lang
- wachtwoord bevat teken speciale tekens, dat kan niet
- wachtwoord policy van niets (leest je mee @Anoniem: 325293 )

.... bizonder toch ? wachtwoord123 is wel geaccepteerd, maar W26767w090rd.'$ niet (te lang, vreemde karakters ...)

minnetjes dag vandaag?

[Reactie gewijzigd door himlims_ op 26 november 2021 11:12]

bigbadbull
@himlims_26 november 2021 11:16
je hebt/krijgt dan van die mensen/systemen dat onmogelijke paswoorden genereren.
zoals bvb mkqd m jn"'~
zonder copy past kan je dit niet ingeven
voor de ~ moet spatie ingeven na het teken, maar als je dat intypt heb je dus een spatie teveel gezet O-)
en staat er "' of '" heb ooit zo eens een paswoord gekregen als Aa1´'`"~
dus ja dat er sommige beperkingen zijn is niet altijd slecht.
Blokker_1999
@bigbadbull26 november 2021 11:55
Euhm ... daarvoor heb je toch net wachtwoordmanagers?

Er hoeven geen beperkingen te zijn, elke beperking is een zwakte in je systeem. Laat de mensen vrij om een wachtwoord naar keuze te zetten, ongeacht hoe complex ze het willen maken. De enige echte vereiste zou de minimale lengte mogen zijn.

Als ik op een website een account moet aanmaken dan laat ik mijn wachtwoordmanager ook altijd iets genereren van de maximale lengte die de manager niet ondersteund. Als de site dat niet aanneemt wordt het voor mij al direct een afweging tussen hoe vertrouwelijk de informatie is die ik wil geven aan die site en of ik dan nog wil voldoen aan hun eisen.

en sommige sites zijn echt belachelijk. Kreeg eens de melding dat mijn wachtwoord niet lang genoeg was op een site ondanks dat het 100 karakters bevatte. Contact opgenomen met support, bleek dat je onder de 62 moest blijven .... vreemd en arbitrair getal. Dat schept geen vertrouwen. Heb uiteindelijk afgezien van hun diensten.
bigbadbull
@Blokker_199926 november 2021 12:07
maak degalijks gebruik van een wachtwoord manger en kom ook dagelijks tegen dat ik niet kan kopieren , of beter gezegd kan plakken van het wachtwoord, maar toch nog moet intypen.
bvb VM in VM , bij stagen van laptops, diskencryptie bij booten over imm (en consoorten) over beveiligde overname omgeving waar kladblok is uitgeschakeld.
Met al die securtity hier, is het soms heel lastig werken en is de eniste oplossing om effectief te typen.
om dan nog niet te klagen over de keyboard layouts die totaal de mist in slaan of aanslagen dubbel registreert.

op websites maak is sowieso altijd al een afweging vanhoe belangrijk en kies naar de hand daarvan username, email adres en paswoord.
in de meeste gevallen vallen ze al over m'n email omdat ik een redirect email gebruik en geen persoonlijk.
Krulliebol
@Blokker_199927 november 2021 21:43
Ik kan een eind met je meegaan, maar 62 tekens geeft geen vertrouwen? Da's echt méér dan zat, hoor. Totdat er quantumcomputers komen misschien (en dan is 100 ook niet meer genoeg).
beerse
@himlims_26 november 2021 11:25
Groot gelijk. Mijn msx computer van nu ruim 30 jaar oud had al een wachtwoord van onbeperkte lengte.... dat wil zeggen, alles werd geaccepteerd, alleen de eerste 8 karakters werden geaccepteerd. Dat was toen genoeg.

Zelf zet ik graag een spatie in mijn wachtwoord. Maar er is niet echt vele waar dat mogelijk is.
bigbadbull
@beerse26 november 2021 12:11
he he herinner mij ook zo'n onbenullig programma als SAP toen in begon. (in de tijd dat de dieren nog spraken in ABAP)
m'n standaard werk wachtwoord was 12 karkaters en kon dat zonder problemen ingeven.
Echter bij het inloggen werkte m'n paswoord niet.
Bleek dat SAP m'n paswoord afkapte op 8 karkaters, maar bij ingave wel de 12 (die ik ingaf) tov de 8 controleerde die opgeslagen was 8)7
Seal64
@himlims_26 november 2021 11:10
Dat valt me ook op, ja. Ik krijg soms op mijn falie van websites dat de wachtwoorden die KeePassXC uitspuugt niet geaccepteerd worden, want te lang of te complex. Je zou denken dat er geen max op zit, maar niks hoor.
Multimediaknaller
@himlims_26 november 2021 12:28
Begrijp ik ook niet, maar geef je volkomen gelijk!
Jerie
@himlims_26 november 2021 12:36
Vaak hebben dergelijke policies geen weet van entropie, zo snappen ze niet dat een wachtwoordzin veilig genoeg is zonder speciale tekens omdat deze voldoende karakters heeft (sterker nog: veiliger dan Wachtwoord!1). Nee, dan moet ik er nog een hoofdletter of cijfer bij doen. Wel, ik doe dan altijd dezelfde hoofdletter en altijd hetzelfde cijfer (3x raden welke). Ik hoef dat niet eens in mijn wachtwoordmanager op te slaan want ik zou standaard het wachtwoord in de wachtwoordmanager gebruiken plus de toevoegingen van hoofdletter en cijfer.

[Reactie gewijzigd door Jerie op 26 november 2021 12:37]

aikebah
@Jerie26 november 2021 21:46
Die hoofdletter zou niet meer nodig zijn om aan de policy te voldoen, want iedere correcte zin begint al met een hoofdletter. Eindigt ook al met een punt, dus alleen bij de 4 van 4 karakter sets policy zou je er niet genoeg aan hebben omdat er ook zo nodig een cijfer in moet.
LurkZ
@himlims_26 november 2021 12:39
Ik begrijp die minnetjes niet.
Ik heb je een +2 gegeven. Niet omdat je post extreem veel informatie bevat, maar wel tot de kern v/d discussie gaat.
Vreemde karakters en uiteraard lengte voegen veel toe aan veiligheid.

Om die reden zou de wet moeten plichten dat wactwoorden met vreemde karakters en minimaal 20 karakter mogelijk zijn.
Cyb
26 november 2021 11:31
Dit probleem is nu minder relevant dan dat het vroeger was. Vroeger hingen apparaten vaak direct aan het Internet (via geforwarde TCP/UDP poorten op de router, die je vaak zelf moest openzetten), dat is tegenwoordig veel minder het geval. Van bijna alle moderne consumentenproducten verloopt communicatie via servers van de fabrikant, wat een nieuw en ander privacyprobleem introduceert.
Henkieschmenkie
26 november 2021 11:57
“standaard wachtwoorden verbieden” betekent volgens mij toch echt dat wachtwoorden in standaardscenario’s verboden worden of dat een standaard voor wachtwoorden verboden wordt, niet wat met het artikel bedoeld wordt :+

Kies score Let op: Beoordeel reacties objectief. De kwaliteit van de argumentatie is leidend voor de beoordeling van een reactie, niet of een mening overeenkomt met die van jou.

Een uitgebreider overzicht van de werking van het moderatiesysteem vind je in de Moderatie FAQ

Rapporteer misbruik van moderaties in Frontpagemoderatie.
1 2

Op dit item kan niet meer gereageerd worden.

Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee