Windows 11 krijgt sha-3-ondersteuning en waarschuwing bij plakken van wachtwoord

De nieuwe Windows 11 Insider-previewbuild in het Canary Channel, nummer 25324, komt met ondersteuning voor sha-3-functies en -algoritmes in de cng-library. Daarnaast krijgen gebruikers nu een waarschuwing als ze een onveilig wachtwoord kopiëren en plakken.

Het gaat om specifiek te zijn om de volgende sha-3-hashfuncties: sha3-256, sha3-384 en sha3-512. De ondersteunde sha-3-hmac-algoritmes zijn mac-sha3-256, hmac-sha3-384 en hmac-sha3-512. Verder worden er ook een aantal algoritmes ondersteund die zijn afgeleid van sha-3: shake128, shake256, kmac128, kmac256, kmacxof128 en kmacxof256.

Daarnaast krijgen gebruikers die de waarschuwingsopties onder Phishing-bescherming in Windows-beveiliging hebben aangevinkt, vanaf deze build een pop-up in beeld als ze een 'onveilig' wachtwoord kopiëren en plakken in het wachtwoordenveld van een site. Voorheen verscheen de pop-up alleen als ze het wachtwoord handmatig invoerden.

De Insider-build voegt verder een groter widgetbord toe, met drie kolommen in plaats van twee. Daarbij moeten de widgets ook beter geordend zijn, stelt Microsoft, met een 'duidelijke scheiding' tussen de verschillende secties. Enkele widgets op de taakbalk, zoals het weersicoontje, krijgen tevens korte animaties indien gebruikers er met hun muis overheen bewegen.

Windows 11 waarschuwing plakken wachtwoord — De pop-up die verschijnt bij het plakken van het onveilige wachtwoord

Reacties (112)

StGermain 25 maart 2023 12:32

Dit is allemaal mooi gekopieerd van het bericht van Microsoft maar een beetje uitleg over wat die sha3 functies toevoegen voor de gebruiker is toch wel het minste wat ik van t.net verwacht.

Verder gaat als ik het goed begrijp dus vanaf dat je phishing bescherming hebt aangevinkt elk paswoord dat je intikt of paste langs de Microsoft servers?

dasiro @StGermain • 25 maart 2023 12:39

Verder gaat als ik het goed begrijp dus vanaf dat je phishing bescherming hebt aangevinkt elk paswoord dat je intikt of paste langs de Microsoft servers?

geen idee waar je dat leest. Misschien in het ergste geval dat hashes worden verstuurd, maar sowieso nooit paswoorden zelf als het al niet lokaal gedaan wordt.

Anoniem: 1322 @dasiro • 25 maart 2023 14:31

Dat is een simpele conclusie om te trekken dus niet vreemd dat hij dat vraagt.

De meeste mensen weten niet dat bijna alles naar Microsoft gaat (online spellingcontrole) en ja, ook de wachtwoorden. Dat dit op een ‘veilige’ manier gebeurd (via hashes) is een belofte van Microsoft. Maar ik heb nog nooit een audit gezien waar dit bevestigd wordt. Dus beweren dat alles oké is is ook te kort door de bocht.

dasiro @Anoniem: 1322 • 25 maart 2023 15:42

Wetende dat ze software maken die door (militaire) overheidsdiensten gebruikt wordt zou het me ten zeerste verbazen dat ze daar mee weg zouden kunnen komen. Als je bvb in power automate wachtwoordvelden gebruikt, dan worden ze ook op een beveiligde manier doorgegeven, dus ik zou eerder geneigd zijn te geloven dat ze hierover ook wel deftig hebben nagedacht.
Langs de andere kant als jij iets copy/paste uit third-party software, dan weet ik niet of die gegevens als dusdanig gemarkeerd zijn (moest die mogelijkheid al bestaan)

Anoniem: 1322 @dasiro • 25 maart 2023 15:52

Wetende dat ze software maken die door (militaire) overheidsdiensten gebruikt wordt zou het me ten zeerste verbazen dat ze daar mee weg zouden kunnen komen.
Nou, dan moet je de diap nog maar een keer nalezen die diverse landen hebben opgesteld. Sinds Windows 10 is Windows een cloud OS. Dat wil zeggen dat massa’s data richting Azure gaat. Het is ook de bedoeling dat je deze beheerd via Azure. Wil je geen telemetry en controle over deze zaken dan moet je Windows enterprise aanschaffen en zelfs dan is er nog genoeg zaken die online gaan. Daarom heeft onze Rijksoverheid hier veelvuldig afspraken met Microsoft over moeten maken. Over Windows 11 zal ik maar niet beginnen.

TLDR, ze komen nergens mee weg, ze geven het zelf netjes aan. Take it or leave it.

Langs de andere kant als jij iets copy/paste uit third-party software, dan weet ik niet of die gegevens als dusdanig gemarkeerd zijn (moest die mogelijkheid al bestaan)
Je moet ook nooit copy/pasta gebruiken. Als IOS ons iets geleerd heeft is dat heel veel apps continu het klembord uitlezen. Zeker de Chinese en ’gratis’ apps. Mijn persoonlijke mening is dat dit ook veelvuldig op Windows gebeurd.

GeroldM

Windows 11

@dasiro • 25 maart 2023 20:35

Ik heb een nu zo'n 8 jaar oude Windows 8 laptop, Overgenomen voor een appel en een ei van de originele eigenaresse. Systeem migreerde uitstekend naar Windows 10 (2015 versie daarvan). na enkele andere Windows 10 updates werd het systeem ongeloofelijk sloom. Het maakte niet uit waar je klikte in het scherm in welk programma dan ook, het duurde vaak bijna 30 seconden voordat de handeling die bij die klik hoorde werd uitgevoerd.

Welnu, een beetje achtergrond informatie. Voor netwerk- en internet verbindingen maakt Windows gebruik van het TCP protocol. Voor de meeste essentiele instellingen in dat protocol heeft Windows geen configuratie scherm gemaakt. En dat gaan ze ook nooit doen, want veel te veel ellende als ze dat wel zouden doen. Diegenen die weten wat ze doen, weten de settings wel in de registry te vinden.

Een van die settings is dat het TCP protocol maximaal 30 seconden wacht voordat het een connectie als niet werkbaar beschouwd. Toen ik me dat herinnerde, keek ik eens naar de netwerk hardware WiFi en Ethernet. Bleek van dezelfde maker te zijn en na onderzoek op hun website bleek dat zij geen drivers meer leverden voor die specifieke hardware in 2019. Dus elke keer dat ik een oude versie van Windows 10 installeerde werkte de laptop weer uitstekend, dus Microsoft begint weer vrolijk te updaten en het probleem was meteen weer terug.

Heel veel tekst om aan te geven dat er echt heel veel data van jouw machine naar de servers van Microsoft verhuist. Jij mag misschien denken dat het meevalt, mijn ervaring is anders.

Daarnaast, hoe zeker ben jij dat Microsoft geen specifieke Windows builds maakt voor hun defensie partners? Microsoft is groot en kundig genoeg om dat zonder problemen voor elkaar te krijgen.

De laptop? Deze draait nu naar volle tevredenheid al zo'n 3 jaar Linux en verwacht nog wel dat het ding zo'n 2 tot 3 jaar "leven" in zich heeft.

dasiro @GeroldM • 25 maart 2023 20:55

geen idee waar je naartoe wil met je onsamenhangende verhaal, maar je lijkt te impliceren dat Microsoft een click-en keylogger op je toestel heeft gezet die dan ook nog eens brak werkt. Moest dat effectief zo zijn, dan hadden vlotjes tientallen miljoenen mensen hetzelfde probleem met hun oude hardware, wat me onwaarschijnlijk lijkt. Aangezien je een ander OS draait verwacht ik niet dat je hier nog verder op wil troubleshooten, dus misschien moet je gewoon dit verhaal laten voor wat het is: een verhaal.

GeroldM

Windows 11

@dasiro • 25 maart 2023 21:51

Onsamenhangend?

Wat was onduidelijk bij 'fabrikant levert geen windows drivers meer voor netwerk hardware' ?

Heb ondertussen ook al een aantal Sony Vaio's ter reparatie aangeboden gekregen. Allemaal met een specifiek paneel waarvan de fabrikant ook de drivers heeft ingetrokken. De meesten hadden een i7 en 8 GByte dus Windows 10 zou gewoon door moeten blijven werken tot 2025.

Ga je echter op de Sony website zoeken, dan kom je erachter dat er in bepaalde modellen Vaio's panelen van verschillende fabrikanten zijn gebruikt. Niet elke fabrikant is even scheutig met software ondersteuning.

Elke versie van Windows 10 die tijdens/na 2019 zijn uitgegeven, die toonden rare karakters door het beeld op die Vaio's, want de Microsoft default drivers werkten niet goed. Hetzelfde gold voor de netwerk hardware in mijn laptop. De default Microsoft drivers werkten ook niet.

Want dat is namelijk het vervelende met laptops. Fabrikanten van laptops kopen onderdelen in waar ze maar kunnen om hun productieaantallen hoog genoeg te houden. Dat mag je wel denken dat jij en je collega dezelfde laptop hebben gekregen voor je werk, want zelfde merk, zelfde model zelfde behuizing. Maar ga je daadwerkelijk eens nazoeken welke onderdelen er specifiek in beide laptops zitten, dan kom je er al gauw achter dat er toch veel variatie in zit.

Met desktops speelt dit probleem veel minder. En is het dus makkelijker om oude hardware langer werkend te krijgen of te houden. Of je dat met nou met Windows of Linux doet, dat is om het even.

Laptops zijn echter een bron van ellende. En ook vaak de reden waarom een persoon zegt totaal geen problemen te hebben met het installeren van Linux op een bepaald merk/model/bouwjaar laptop en de ander niets dan ellende ondervind met zijn/haar laptop van hetzelfde merk/model/bouwjaar.

Maar goed, jij vindt het maar verhalen. Dus schrijf ik dit maar voor anderen die in hetzelfde schuitje terecht zijn gekomen en wel openstaan voor advies.

dasiro @GeroldM • 25 maart 2023 22:05

daarom dus dat ik het onsamenhangend vond: ik dacht dat je aan het klagen was over Microsoft, terwijl het dus richting de fabrikant van de componenten in je laptop gaat

SeelenSchmerz @dasiro • 26 maart 2023 17:02

Wetende dat ze software maken die door (militaire) overheidsdiensten gebruikt wordt zou het me ten zeerste verbazen dat ze daar mee weg zouden kunnen komen. Als je bvb in power automate wachtwoordvelden gebruikt, dan worden ze ook op een beveiligde manier doorgegeven, dus ik zou eerder geneigd zijn te geloven dat ze hierover ook wel deftig hebben nagedacht.
Langs de andere kant als jij iets copy/paste uit third-party software, dan weet ik niet of die gegevens als dusdanig gemarkeerd zijn (moest die mogelijkheid al bestaan)

Wat bedoel je met "dat ze hierover ook wel deftig hebben nagedacht"? Ik neem aan dat je "grondig" bedoeld?

https://www.vandale.nl/gr...derlands/betekenis/DEFTIG

dasiro @SeelenSchmerz • 26 maart 2023 21:55

Vlaams # Nederlands, wat wij lopen noemen is bij jullie rennen, terwijl lopen bij jullie stappen voor ons is (en bij jullie ook

)

Frame164 @Anoniem: 1322 • 26 maart 2023 00:05

Ga er maar vanuit dat Microsoft wel weet wat ze doen. Hun diensten worden door de grootste organisaties in de wereld gebruikt. De CTIO-teams van die organisaties hebben ietsjes meer kennis in huis dan wij reageerders op een internetforum...

Anoniem: 1322 @Frame164 • 26 maart 2023 13:08

Euumm, ik zit dus bij clubs en overheden om dit te implementeren

Zoals ik zeg, alles wat je moet doen is precies beschreven. Maar niet omdat Microsoft het wil maar om onze eigen overheid veilig te houden. Maar daar zitten dus ook een boel ‘papieren’ afspraken tussen die slechts af en toe geauditeerd worden.

jpsch @StGermain • 25 maart 2023 12:39

Alles langs MS, daar lijkt het wel op. Vraag me toch af of dat al niet gebeurt, aangezien je MS account ook gebruikt wordt voor inloggen op diensten en computers.

Hero of Time Moderator LNX 25 maart 2023 12:32

Lekker, die melding als je een wachtwoord wilt plakken. Krijg je constant die popup als je wachtwoordmanager even niet lekker wil werken of wanneer je het in een ander programma wil invullen (denk aan Steam bijvoorbeeld). Zeker de tekst is lekker ruk, "MS adviseert je om je wachtwoord te wijzigen". Fijn, wil je dat doen, krijg je bij het wijzigen weer die melding omdat je een wachtwoord aan het copy/pasten bent.

Dit is een functie die bij bedrijven hoogstwaarschijnlijk uitgezet gaat worden (bij ons iig zeker, wanneer we dat kunnen), want dit gaat echt enorm veel helpdesk belletjes/tickets opleveren.

CPV @Hero of Time • 25 maart 2023 12:43

Alleen bij het plakken van onveilige wachtwoorden?
Als er iets onveilig is, is het wel wachtwoorden in je pastebuffer zetten.

Blokker_1999

Besturingssystemen
Windows 11
Microsoft Windows
Microsoft

@CPV • 25 maart 2023 13:10

Hoe wil je anders een lang en complex wacht woord van je password manager naar een app brengen?

curkey @Blokker_1999 • 25 maart 2023 13:33

Keepass simuleert toetsaanslagen.

Bor Coördinator Frontpage Admins / FP Powermod @curkey • 25 maart 2023 13:47

Keepass doet helemaal niets op dit punt zonder plugins.

curkey @Bor • 25 maart 2023 14:07

Zeker wel. Met plugins zoals WebAutoType wordt het beter, maar de vanille versie kan ook al een en ander.
https://keepass.info/help/base/autotype.html

ger0448 @curkey • 26 maart 2023 03:10

kan je zeggen dat bitwarden best goed werkt maar niet perfect en keepass bij genoeg pagina's het ww veld niet juist invult.((met keepasss zijn speciale tekens van een gegenereerd ww reeks dat voorkomt dat de rest ww word ingevuld) heb die gebruikt als vanilla.)
(zonder plugins gezien deze mogelijk een bug bevat waarvoor exploits ontwikkeld worden)

het ligt aan de site of een ww manager wel of niet lekker werkt met het registreren/invullen van het ww. als windows daar moeilijk over gaat doen (oa gegenereerd ww) zoek ik oplossingen dat ik die melding niet meer krijg.

curkey @ger0448 • 26 maart 2023 10:20

Dat heb ik met keepass nog niet gehad.

Bij de tools waar zoiets issues geeft, kun je ook een eigen wachtwoord patroon opgeven voor het genereren. Ik heb er een of twee die op de command line issues geven met quote karakters. Die heb ik daar dan op de exclusielijst staan.

In trage webformulieren (bv met per-tekenJavaScript validaties) kun je een delay instellen om bij het typen van de karakters genoeg tijd te geven de validatie uit te voeren. Dat loste voor mij een hoop issues op.

Het.Draakje @Blokker_1999 • 25 maart 2023 17:21

Ik heb mijn password manager op mijn telefoon. Als mijn pc om een wachtwoord vraagt heb ik er geen moeite mee om even *pxZZdn224Jmmuy!' in te tikken.

Opgeven van veiligheid voor wat simpel gemak. Welke Amerikaan had daar ook al weer een gevleugelde uitspraak over?

Uiteraard is het ruk om dat wachtwoord iedere keer in te tikken als ik Telegraaf.nl bezoek, maar aan de andere kant, het helpt me wel om daar dan maar niet teveel te komen.

curkey @Het.Draakje • 26 maart 2023 10:26

De file kun je prima syncen over devices, dat zij verschillende manieren voor, evt zelfs manueel.

Het.Draakje @curkey • 26 maart 2023 13:45

Ik sync dat bestand van mijn telefoon met die van mijn vrouw en naar mijn tablet, zodat ik een backup heb als er één device stuk gaat. En de wwm heeft gewoon een windows en mac client. Maar ik heb het bewust niet op mijn pc.

Windows en OS X kunnen gewoon een wachtwoord wat je in een browser tikt onthouden. Die functie gebruik ik eveneens niet.

IrBaboon79 @Hero of Time • 25 maart 2023 12:38

Ach, als het om re-use gaat is die melding zo slecht niet, wel gegarandeerd irritant natuurlijk.
Als het ding afgaat vanuit m'n KeePass is dat natuurlijk een ander verhaal en zit er hopelijk een uitknop bij.

We gaan het zien...

Hero of Time Moderator LNX @IrBaboon79 • 25 maart 2023 13:29

Wachtwoord re-use. Ga jij in een bedrijf met 20+ managed switches per switch een ander wachtwoord instellen? Natuurlijk niet. Maakt het beheer alleen maar erger en ingewikkelder.

Bor Coördinator Frontpage Admins / FP Powermod @Hero of Time • 25 maart 2023 13:46

In dat geval zet je in op radius of een andere oplossing. Het gebruik van dezelfde wachtwoorden op meerdere device is geen best practica.

Hero of Time Moderator LNX @Bor • 25 maart 2023 14:20

Wachtwoord voor de management interface. En dat ga je dan via radius laten authenticeren. Dat vereist ook weer een passphrase. He, oeps, dan gaat Windows ook opeens piepen als je die kopieert om ergens in te vullen. Of waar ik tegenaan ben gelopen is dat de radius server of de client om met de switch te verbinden je wachtwoordzin niet slikt en dan kom je de switch niet in.

Wat je ook gaat bedenken, deze hele popup voor wanneer je een wachtwoord gaat kopiëren is een slecht idee.

Anoniem: 316512 @Hero of Time • 25 maart 2023 13:36

Zeker wel. Met fatsoenlijke management software hoef je namelijk niet per switch steeds in te gaan loggen.

Hero of Time Moderator LNX @Anoniem: 316512 • 25 maart 2023 13:37

Klopt, maar je moet in die software wel elke keer dat aparte wachtwoord toevoegen. Ipv zeggen "hier is eentje met default password, zet deze config erop dat op elke andere switch ook wordt toegepast", met hetzelfde wachtwoord er dus in. En niet 20 aparte configs hebben, vanwege het andere wachtwoord.

readefries

@Hero of Time • 25 maart 2023 14:49

Ik gebruik doorgaans ssh keys per use case met passphrase: voordeel je hebt een tweede factor nodig

Het.Draakje @Hero of Time • 25 maart 2023 17:12

Uiteraard is het perfect mogelijk om zonder veel problemen een ander administratief wachtwoord per device te hebben en te beheren. Ik ben inmiddels de naam vergeten (ben al een aantal jaren gepensioneerd) maar er zijn applicaties waar je als beheerder via een eigen user-id/password op aanmeldt en vervolgens op een device kan aanmelden.

De applicatie regelt zelf dat
- hetzij het wachtwoord getoond wordt, dan wel dat je automatisch op het systeem aangemeldt bent.
- Na afloop van jouw actie geef je in de applicatie de controle weer terug
- Password wordt reset (en is daarna dus weer geheim voor jou)
- De actie gelogged wordt (draakje had beheer over het device op maandag 31 februari tussen 12.00.00 en middag). Als ik als beheerder loopt te stuntelen kan mijn manager mij er dus gewoon op aanspreken.

Gedurende de tijd dat ik het beheer over een device heb, kan een ander dat niet hebben omdat het wachtwoord alleen bij mij bekend is (en vooraf en nadien is het alleen bij de applicatie beschikbaar).

Destijds had ik (met mijn collega's) zo'n 200 devices onder beheer (een deel van het geheel). Geen enkel probleem.

Het gebruik van één master password voor het gehele netwerk maakt het extra onveilig.

IrBaboon79 @Hero of Time • 25 maart 2023 18:39

Daar zijn andere oplossingen voor - ik zeg niet dat het een ideale oplossing is maar ik kan de usecase wel zien dat eindgebruikers (en ja, die loggen niet gauw op HW in) zo gestimuleerd worden niet op elke sites dezelfde meuk te gebruiken. Misschien dat er wat meer configuratie mogelijk is - een site whitelist oid? - waardoor je bepaalde spullen kunt toestaan zonder verdere check na 1e keer mekkeren? Het artikel is daar niet duidelijk over dus laten we kijken waar ze mee komen…

ArmEagle

@Hero of Time • 25 maart 2023 12:47

Ik vind het artikel wat onduidelijk. Maar volgens mij alleen als je zwakke (de "onveilige") wachtwoorden plakt.

SuperDre @Hero of Time • 25 maart 2023 20:03

Het is geen melding die je elke keer krijgt, het is een melding die je krijgt als het gebruikte wachtwoord onveilig is, omdat het bv te simpel is of omdat het in een database met gestolen passwords voor komt, of omdat je het op meerdere plekken gebruikt.

Hero of Time Moderator LNX @SuperDre • 25 maart 2023 21:25

En juist dat laatste is waar ik het over heb. Bedrijfsomgeving, standaardisering van zaken, mogelijk meerdere plekken waar hetzelfde wachtwoord wordt gebruikt.

Als het tevens controleert of dat wat je hebt gekopieerd op een of andere lijst staat, zit het dus ook constant je klembord inhoud naar MS of andere partijen te sturen.

_Dune_ Moderator OeB

@YangWenli • 25 maart 2023 13:16

Ingewikkelde wachtwoorden zijn inmiddels ook wel weer achterhaald. Een simpel wachtwoord bestaande bijvoorbeeld uit een deel van een zin die jouw iets zegt, wat voor jou makkelijk te onthouden is, van minimaal 14 karakters is vele malen sterker dan een ingewikkeld niet te onthouden wachtwoord van 8 karakters. Bedrijven of organisaties die denken dit nog te moeten vereisen lopen inmiddels wel achter de feiten aan. 😉

field33P @_Dune_ • 25 maart 2023 14:23

Helaas zijn er nog zat organisaties met een niet-deugdelijk wachtwoordbeleid (lees: voor alles verschillende wachtwoorden, iedere drie maanden wijzigen, een hele wirwar aan letters, cijfers, tekens maar een beperking op de lengte) waarvan de onvermijdelijke consequentie post-itjes vol met wachtwoorden aan beeldschermen is.

readefries

@field33P • 25 maart 2023 14:53

Voor alles een ander wachtwoord is dan weer wél een goed idee. Je wil dat als er iets lekt, de scope van het lek zo klein mogelijk is.

field33P @readefries • 25 maart 2023 16:14

Zorg er dan in ieder geval voor dat er een wachtwoordmanager aanwezig is op het systeem en/of dat je applicaties zoveel mogelijk single sign on kunnen gebruiken.

readefries

@field33P • 25 maart 2023 16:38

Wachtwoordmanager zeker SSO vind ik een slecht idee, dan geef je sleutel voor alle systemen weg. Dat is wel makkelijk, maar niet veilig

field33P @readefries • 25 maart 2023 16:42

Volgens mij is het makkelijker om één aanmeldsysteem te beveiligen dan twintig verschillende systemen met ieder hun eigen lekken. Als er dan eens een applicatie gehackt wordt hoef je alleen even de SSO-tokens die bij die applicatie horen te blokkeren.

Het.Draakje @_Dune_ • 25 maart 2023 17:35

Sorry? Als jij een methodiek kunt verzinnen voor jouw wachtwoorden, kan de hacker dat ook. Daarbuiten, als jij een deel van een zin gebruikt, dan is een deel van jouw wachtwoord een bestaand woord. En dus kwetsbaar.

Zomer_In_Zeeland_1984! is niet een sterk wachtwoord.

Gebruik een wachtwoordmanager. Ze zijn of gratis of (als je wat meer wilt) voor een habbekrats te verkrijgen. Die verzint wel een wachtwoord wat ingewikkeld is, voldoende lang en kan dat (als je dat wilt) ook automatisch voor je invullen op een website.

Hoef je alleen maar het master wachtwoord van de wachtwoordmanager te onthouden en dan ben je een stuk veiliger dan dat 'verzin een leuke zin' gedoe.

_Dune_ Moderator OeB

@Het.Draakje • 25 maart 2023 17:58

De wachtwoord zin die jij hebt opgegeven gaat men in een brute force attack eeuwen over doen om deze te kraken, in tegenstelling als iets als dit Qv3@#&ww Een dergelijk wachtwoord is binnen no time gekraakt. De key zit in het aantal karakters. Daarnaast moet je natuurlijk niet zaken gaan combineren die direct naar jou herleidbaar zijn zoals geboorte datum en geboorte maand etc. Nee, het moet een zin zijn die jou persoonlijk iets zegt.

Ga hier maar eens meespelen dan zie je het verschil: https://password.kaspersky.com/

Het.Draakje @_Dune_ • 25 maart 2023 18:23

Het simpele feit dat de van een wachtwoord 22 tekens lang is geeft een zekere beveiliging. Wat nagenoeg teniet wordt gedaan dat 'Zomer (etc)' bestaande woorden zijn. Entropy is belangrijk bij niet bestaande woorden/zinnen. Zeker omdat de meeste systemen een wachtwoord na x aantal tekens afkappen.

(Er is voor dergelijke systemen geen verschil tussen 'Zomer_In_Z' en 'Zomer_In_Zeeland_1984!")

Uiteraard zijn geboorte datum e.d. gevaarlijk maar ook als het een zin is die jou iets zegt ligt social hacking op de loer.

Brute force is (zoals de naam al zegt) een grove methode. Beslist niet de enige en zeker niet de meest intelligente. Zoals een rainbow table. Of gewoon een slimme hacker die nadenkt over de logica achter een wachtwoord. Voor hem is brute force het laatste wat hij probeert.

readefries

@Het.Draakje • 25 maart 2023 18:25

Prima wachtwoord. Entropie is veel belangrijker dan complexiteit. Complexiteitseisen werken alleen maar tegen, omdat daardoor het aantal mogelijkheden afneemt.

Het.Draakje @readefries • 25 maart 2023 18:42

Oud verhaal: https://arstechnica.com/i...at-out-of-your-passwords/

Let vooral op de zin bijna aan het eind:

"the problem with password strength meters found on many websites is they use the total number of combinations required in a brute-force crack to gauge a password's strength. What the meters fail to account for is that the patterns people employ to make their passwords memorable frequently lead to passcodes that are highly susceptible to much more efficient types of attacks."

Entropy is niet zaligmakend.

Een wachtwoord van 8 karakters is zo gekraakt. Zelfs als het een random string is. Een wachtwoord van 20 karakters kan wel veilig wel zijn, MITS het een random string is.

Logica in wachtwoorden is een gevaar. Een zin die jou (alleen) iets zegt is een gevaar.

Complexiteitsregels zijn lastig voor de mens, dus ook voor de hacker. Vandaar de noodzaak voor een wachtwoordmanager. Die wwm heeft geen enkel probleem met complexiteit. Of met random strings. En is niet gebonden aan logica. En hoeft niet aan dezelfde logica te voldoen bij alle websites.

TheVivaldi @Het.Draakje • 25 maart 2023 19:28

Leuk, zo'n wachtwoordbeheerder en gebruik ik zelf ook graag, maar hoe laat je die werken op het inlogscherm van je computer? Op het vergrendelscherm kom je met bijv. Espanso nog een eind, maar na een koude start op het inlogscherm zul je toch echt zélf moeten gaan typen…

Het.Draakje @TheVivaldi • 26 maart 2023 05:07

Als ik een wachtwoord op mijn computer zou willen hebben dan ontkom je er niet aan om dat wachtwoord in te tikken. Vandaar dat je met windows (voor zover ik weet) ook met een camera of vingerafdruk kunt aanmelden.

Blokker_1999

Besturingssystemen
Windows 11
Microsoft Windows
Microsoft

@YangWenli • 25 maart 2023 13:10

Daar heb je wachtwoordmanagers voor.

MrMarcie @YangWenli • 26 maart 2023 11:36

winkelenbijJumbo#1
Kan je goed onthouden, is veilig en voldoet.

It would take a computer about 7 quadrillion years to crack your password

[Reactie gewijzigd door MrMarcie op 22 juli 2024 18:40]

MrMonkE 25 maart 2023 12:21

vraag: Heeft dit impact op boot USB-sticks die een windows account password reset kunnen doen?
Kan ik digibete familieleden nog helpen met mijn password reset stick?

Ik zit 99% in Linux tegenwoordig en ziet er naar uit dat ik de sprong precies op tijd genomen gezien de password mekker dialoog. Ik mis wel heel veel zaken. Waar ik in Windows programma's heb waar ik mee kan lezen&schrijven (en tekenen).

[Reactie gewijzigd door MrMonkE op 22 juli 2024 18:40]

The Zep Man

Besturingssystemen
Microsoft Windows

@MrMonkE • 25 maart 2023 12:29

vraag: Heeft dit impact op boot USB-sticks die een windows account password reset kunnen doen?

Nee.

Kan ik digibete familieleden nog helpen met mijn password reset stick?

Ja, tot zover je dat nog kan, onafhankelijk van de introductie van SHA-3.

In de Windows-wereld is er in de laatste 10 jaar veel veranderd. Veel gebruikers werken met Microsoft-accounts om in te loggen in Windows, omdat dark patterns hen daarheen stuurden en omdat het tegenwoordig in bepaalde gevallen lastig tot onmogelijk is om met een 'offline/limited' (enkel lokaal NT-account) te werken. Een vergeten wachtwoord lokaal wijzigen lost daarom mogelijk het probleem niet op. Men zal online door een recoveryprocedure moeten gaan. Ook zal je iets met BitLocker moeten doen als dat gebruikt wordt, zoals @field33P hieronder noemt.

Iets algemener:
SHA-3 (gebaseerd op Keccak) is een interessant hashalgoritme omdat het fundament afwijkt van dat van SHA-1 en SHA-2 (en ook MD5). Ondersteuning voor SHA-3 is goed voor de situatie dat SHA-2 niet meer voldoende vertrouwd kan worden voor alledaagse zaken.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 18:40]

field33P @The Zep Man • 25 maart 2023 12:32

Gezien dat schijfencryptie op de meeste OEM-pc’s alweer enige jaren standaard aan staat is het nog maar de vraag of zo’n stick überhaupt het bestandssysteem kan lezen ja.

ArmEagle

@field33P • 25 maart 2023 12:45

Huh? Een OEM Windows licentie die full disk encryptie toestaat? Daar zit dat wel in, maar in mijn huis-tuin-en-keuken Windows licentie niet?

Ik vind het niet meer kunnen dat je daar tegenwoordig nog professional voor moet hebben.

the_stickie @ArmEagle • 25 maart 2023 13:55

Ik denk dat Microsoft geen zin heeft in het ondersteunen van thuisgebruikers die al hun data kwijt zijn omdat 'iemand' hun drive encrypte, er vervolgens iets stuk ging en 'niemand' de recovery keys heeft.

dieter001 @the_stickie • 25 maart 2023 23:18

Waarom verplichten ze dan om een TPM chip te hebben voor W11 om er vervolgens niets mee te doen?

osmosis @the_stickie • 25 maart 2023 23:34

Zie ik nu al praktisch eens per maand voorbijkomen.
Heel leuk Bitlocker! Enkel misschien niet verstandig als je niet weet wat het exact doet.
Herstel sleutel? Wat is dat? Zo vaak gehoord al.

the_stickie @field33P • 25 maart 2023 14:06

dat klopt niet afaik...
Ten eerste heeft Windows Home geen bitlocker, ten tweede is het nogal van belang dat er consent is over de impact (mogelijk dataverlies als je computer stuk gaat) ten derde moeten de recovery keys ergens heen (de gebruiker, een microsoft account of een AD)
Als OEM bitlocker activeren zou dus impliceren dat de OEM de keys kent (wat niet de bedoeling is) en ze aan de gebruiker moet leveren (usb stick of stukje papier), met het nodige risico en beseffend dat dit veruit de inferieure manieren zijn om je key bij te houden.

Wat een OEM wél kan doen is Automatic Device Encryption gebruiken. Het activeren van bitlocker is dan deel van de OOBE zodat de keys ineens netjes in een Microsoft of Azure AD account kunnen worden opgeslagen en de gebruiker ook op de hoogte is van de encyptie.

[Reactie gewijzigd door the_stickie op 22 juli 2024 18:40]

field33P @the_stickie • 25 maart 2023 14:19

Ik schat in dat het werkt zoals bij iOS, die apparaten hebben encryptie ook standaard aan staan.

the_stickie @field33P • 25 maart 2023 15:11

Neen, apple gaat ervan uit dat al je data in icloud staat en je kan de storage simpelweg niet met een andere tpm gebruiken: de chips zitten vast gesoldeerd.
Dus als er wat mis gaat met je apparaat is decrypten/unlocken simpelweg niet nodig.

Een Windows pc bevat mogelijk een hoop data die je naar een volgende pc wil zetten. Dan moet je a) weten dat je encryptie hebt b) die kunnen decrypten/unlocken.
Ja, je zou ook een backup moeten hebben en je kan je data ook in de cloud kwijt, maar dat gebeurt lang niet altijd.

Het werkt bij Windows zoals beschreven in het linkje hierboven: de OEM zorgt dat aan de voorwaarden voldaan is, en als de gebruiker de eerste keer z'n computer gebruikt en inlogt met een Microsoft of Azure AD account (dan pas) wordt bitlocker geactiveerd (en de keys gebackupped in het gebruikte account)

The Zep Man

Besturingssystemen
Microsoft Windows

@the_stickie • 25 maart 2023 15:15

Neen, apple gaat ervan uit dat al je data in icloud staat en je kan de storage simpelweg niet met een andere tpm gebruiken: de chips zitten vast gesoldeerd.
Dus als er wat mis gaat met je apparaat is decrypten/unlocken simpelweg niet nodig.

Hetzelfde voor Microsoft met OneDrive. Ook heeft FileVault van Apple een recovery key, net als BitLocker van Microsoft.

dog4life @the_stickie • 25 maart 2023 19:40

Windows home heeft wel BitLocker, vanaf tenminste windows 10

edit: in home heet het apparaat versleuteling, een soort lite versie van BitLocker.
Maar, dat lijkt dus niet in alle gevallen beschikbaar te zijn, waarom weet ik ook niet. Mijn initiële post is dan ook het (helemaal?) correct, excuus.

[Reactie gewijzigd door dog4life op 22 juli 2024 18:40]

the_stickie @dog4life • 25 maart 2023 20:18

heb je daar ook een bron van? ik vind nl enkel dit https://support.microsoft...88-5f74-5105-741561aae838

Opmerking: U ziet u deze optie alleen als BitLocker beschikbaar is voor uw apparaat. De versie is niet beschikbaar op Windows 11 Home-editie.

Derkades @the_stickie • 25 maart 2023 22:58

Ik kan je geen bron geven, maar het klopt wel. Bij de UvA kwamen we erachter toen studenten dit jaar Linux probeerden te installeren voor de opleiding. "BitLocker" instellingen waren nergens te vinden op Home edities, maar toch kon Windows versleuteld zijn door een nieuwe optie "Apparaatversleuteling" binnen de nieuwe instellingen.

Aionicus @the_stickie • 25 maart 2023 14:38

Hoe vaak ik wel niet heb gezien dat de bitlocker recovery key niet werkt in enterprise omgevingen.

Toevallig vorige maand een test gedaan met 100 vm's. 94! waren er maar te restoren. Bij de rest was of de key niet opgeslagen in azure AD of de key weigerde gewoon , ondanks directe copy / paste. En nee dat had niets te maken met de virtuele TPM chips etc.

6 op de 100 gaan er fout. Dan doe ik liever full drive encryption via LUKS en dan daarna een bootloader chain om windows te laden.

The Zep Man

Besturingssystemen
Microsoft Windows

@Aionicus • 25 maart 2023 15:17

Hoe vaak ik wel niet heb gezien dat de bitlocker recovery key niet werkt in enterprise omgevingen.

In enterprise-omgevingen zijn recovery keys juist minder relevant, want je zorgt er uiteraard voor dat je gebruikers met online data werken. Je moet immers ook rekening houden met dat een notebook simpelweg niet meer beschikbaar is (gestolen/vernietigd).

Bij de rest was of de key niet opgeslagen in azure AD of de key weigerde gewoon , ondanks directe copy / paste.

Dat klinkt eerder alsof het beheer niet in orde is.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 18:40]

jbhc @The Zep Man • 25 maart 2023 19:11

Volgens mij staat er een directe copy paste. Dat heeft weinig met beheer te maken.

dasiro @The Zep Man • 25 maart 2023 12:42

het is zelfs geen dark pattern, maar gewoon de standaard manier om microsoft-producten te gebruiken. Local accounts moet je eerder als legacy zien

The Zep Man

Besturingssystemen
Microsoft Windows

@dasiro • 25 maart 2023 13:55

het is zelfs geen dark pattern, maar gewoon de standaard manier om microsoft-producten te gebruiken. Local accounts moet je eerder als legacy zien

Je zet het neer als feit, maar het is een mening. Ik werk graag voor mijn eigen computers met accounts die geen online afhankelijkheden hebben. Iemand zal plots maar ergens bepalen dat je niet meer mag inloggen op je eigen computer. Nee, bedankt.

dasiro @The Zep Man • 25 maart 2023 15:35

dark patterns geven je nog de keuze maar suggereren heel sterk een bepaalde voorkeur van de fabrikant, maar dat is niet meer zo bij de OOBE (out of box experience) als je een windows installatie begint te gebruiken. Je kan middels een aantal workarounds nog wel een local account aanmaken, maar bij gewoon gebruik heb je die niet meer.

Ik ga je niet zeggen hoe je je pc moet gebruiken, maar de realiteit is dat Microsoft het product maakt en dus beslist hoe je hem (nog) kan gebruiken. Er zijn voor elk scenario voor- en nadelen, de ene keer voor jou, de andere keer voor Microsoft.

Als ze beslissen om local-accounts te strippen uit het OS, dan is er weinig dat anderen er tegen kunnen doen. Ik zie het zo snel niet gebeuren, maar moest het ooit zo ver komen, dan zal je opnieuw moeten kiezen of je nog met hun product wil werken inclusief de nadelen voor jou. Dat is helaas zo met alle producten en diensten die niet specifiek op maat van de gebruiker is gemaakt, maar bedoeld zijn voor algemeen gebruik.

The Zep Man

Besturingssystemen
Microsoft Windows

@dasiro • 25 maart 2023 16:11

Ik ga je niet zeggen hoe je je pc moet gebruiken, maar de realiteit is dat Microsoft het product maakt en dus beslist hoe je hem (nog) kan gebruiken.

(...)

Als ze beslissen om local-accounts te strippen uit het OS, dan is er weinig dat anderen er tegen kunnen doen.

Meer dan drie decennia aan Windows-hacking spreken je tegen. Als iets voldoende gewenst is in Windows en Microsoft faciliteert niet, dan doen anderen het.

Ik zie het zo snel niet gebeuren, maar moest het ooit zo ver komen, dan zal je opnieuw moeten kiezen of je nog met hun product wil werken inclusief de nadelen voor jou.

You are preaching to the choir. Ik gebruik Linux op de desktop. Wanneer ik Windows incidenteel moet gebruiken dan doe ik dat in gehackte of enterprise-vorm. Aan het ene kan Microsoft niets doen, aan het andere durft Microsoft niets te doen.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 18:40]

GekkePrutser @The Zep Man • 25 maart 2023 16:07

Of net zo erg: Een tweede account aanmaken.

PS: En idd, natuurlijk kunnen ze ook backdoors toevoegen via updates en dat is ook een van de redenen dat ik tegen geforceerde updates ben zoals MS die ook doet.

Maargoed, het heeft niet zoveel met 'legacy' te maken op technisch gebied, meer op marketinggebied. Door het het verschuiven van het verdienmodel van softwareprodukten naar diensten, waarbij ze je zo makkelijk mogelijk allerlei diensten als onedrive willen verkopen, en bovendien meer van je willen weten omdat Microsoft de meeste beslissingen nu op basis van telemetrie neemt.

Zelf zit ik nu op FreeBSD en ben er erg blij mee, maar ik heb mijn Windows Game PC nog steeds nodig voor bijvoorbeeld VR (ik doe ook ontwikkeling dus dat is best veel nodig).

[Reactie gewijzigd door GekkePrutser op 22 juli 2024 18:40]

Houtenklaas @dasiro • 25 maart 2023 14:08

Het is de Microsoft manier om steeds meer afhankelijkheden/lockin te creëren, waar 90% zonder ook maar een seconde na te denken in mee gaat. Waarmee bestanden ineens in de cloud terecht komen. Ik denk daar liever zelf over na voordat ik besluit dat dat geen goed idee is. Buiten privacy redenen heb ik altijd het schrikbeeld van de vent voor me die een foto van dochter in een zwembadje in de cloud had staan waarna Microsoft alles wegkieperde en zijn account blokkeerde. Te bizar voor woorden.

BlueHulk @dasiro • 25 maart 2023 14:25

Het is mijn standaard manier om microsoft producten te gebruiken op local accounts. Persoonlijk doe ik niets in de cloud, maar al zeker geen accounts/wachtwoorden.

MacGyverNL @The Zep Man • 25 maart 2023 13:36

Ondersteuning voor SHA-3 is goed voor de situatie dat SHA-2 niet meer voldoende vertrouwd kan worden voor alledaagse zaken.

Een situatie die, even voor de volledigheid, op het moment van schrijven puur hypothetisch is en niet binnen afzienbare tijd verwacht wordt. SHA-2 en SHA-3 bestaan naast elkaar als volwaardige en betrouwbare algoritmes. Er zijn voldoende redenen om voor SHA-3 of verwanten te kiezen als je iets nieuws bouwt, maar je hoeft niet nu alles te gaan migreren dat nog SHA-2 gebruikt.

[Reactie gewijzigd door MacGyverNL op 22 juli 2024 18:40]

field33P @MrMonkE • 25 maart 2023 12:28

Meerdere Linux-distro’s en *nix’en checken naar mijn weten (ik heb al enige tijd geen *nix meer aangeraakt) al decennialang of een wachtwoord sterk is en/of het niet voorkomt in een woordenboek. Windows kwam hier relatief recent mee.

batjes

Besturingssystemen
Microsoft Windows
Microsoft

@field33P • 25 maart 2023 12:41

Zeker niet, ik gebruik op mijn dev machientjes al 20 jaar hetzelfde wachtwoord op Debian. (deze bakjes hangen niet met ssh oid aan het internet). Datzelfde ww eind vorig jaar ook nog gebruikt op Ubuntu en Mint.

Datzelfde wachtwoord wordt keihard geweigert (maar goed ook

) voor mijn Microsoft account.

[Reactie gewijzigd door batjes op 22 juli 2024 18:40]

MartenBE @batjes • 25 maart 2023 13:17

Fedora, CentOS, Almalinux, ... (RHEL varianten) zijn daar wel erg hard op: je moet tijdens de install expliciet bevestigen dat je een zwak werkwoord wil gebruiken.

84hannes @MartenBE • 25 maart 2023 14:03

Security Theater: voor elke definitie van een sterk wachtwoord is wel een zwak wachtwoord te bedenken dat makkelijk te onthouden en in te toetsen is.

M.a.w., de door jou genoemde distributies detecteren hooguit een subset van alle zwakke wachtwoorden.

[Reactie gewijzigd door 84hannes op 22 juli 2024 18:40]

field33P @84hannes • 25 maart 2023 14:20

Security Theater: voor elke definitie van een sterk wachtwoord is wel een zwak wachtwoord te bedenken dat makkelijk te onthouden en in te toetsen is.

Allicht, daarom zou het helpen wanneer applicaties eindelijk eens de limieten op de lengte van wachtwoorden opheffen en stoppen met de eis om ieder kwartaal het wachtwoord aan te passen.

Anoniem: 532949 @field33P • 26 maart 2023 14:29

Ja precies dit, een hoofdletter en een cijfer eis doen niet zo veel als iedereen "Straatnaam+huis nr" als ww heeft.. of "Naam + geboortedatum"

HakanX @84hannes • 25 maart 2023 16:33

Security Theater: voor elke definitie van een sterk wachtwoord is wel een zwak wachtwoord te bedenken dat makkelijk te onthouden en in te toetsen is.

Als er staat je bent verplicht een hoofdletter te gebruiken, één cijfer en een leesteken dat samen minimaal uit 12 tekens moet bestaan. Dan weet je al EXACT hoe 99% van de hele wachtwoordendatabase eruit ziet waardoor je bruteforce attack of social engineering een stuk makkelijker wordt.

Je begint dus gewoon met een hoofdletter in het begin want dat is logisch en zijn we van af. 12 tekens zijn al irritant genoeg om in te tikken, dus 13 gaat het hem sowieso niet woorden. Kut moet ook nog een cijfer en leesteken, nou vooruit 1!

Wachtwoord1!

6 maanden later verplicht veranderen gaan we natuurlijk niet opnieuw die moeilijke rebus oplossen dus die is ook al duidelijk

Wachtwoord2!

[Reactie gewijzigd door HakanX op 22 juli 2024 18:40]

jbhc @HakanX • 25 maart 2023 19:08

Ik heb na die voorwaarden ervoor gekozen om een hele mooie slogan voor onze ict afdeling maken. Weliswaar wat langer dan de 12 tekens maar prima te onthouden

MartenBE @84hannes • 26 maart 2023 12:18

Het gebeurt niet alleen via regels, maar er wordt ook gecontroleerd via dictionairies etc. De gebruikte library is libpwquality. Uiteraard is dit geen magische uitvinding (anders moet ik er direct in investeren), dat was ook niet het punt van mijn comment, maar het helpt wel. Gebruik SSH public keys en disable password login als je kan.

TheVivaldi @MartenBE • 25 maart 2023 19:23

De vraag is: wat is een zwak wachtwoord? Mijn computerwachtwoord (Linux-only) is kort en wordt daardoor als zwak gezien, maar het bestaat volledig uit speciale tekens en ook nog eens tekens die je niet zomaar even achter elkaar zet, zeker niet op QWERTY/QWERTZ/AZERTY, dus ik denk niet dat het zo even geraden kan worden.

Frame164 @TheVivaldi • 26 maart 2023 00:07

Als het kort is, is het dus met brute force extreem simpel te kraken.

delphium

@Frame164 • 26 maart 2023 09:52

Nee, want door meerdere tekensets toe te voegen, neemt het aantal mogelijkheden exponentieel toe.
Dat is precies de reden dat je hoofdletters, kleine letters, cijfers en speciale tekens moet gebruiken.

MartenBE @delphium • 26 maart 2023 12:25

Het NIST verkiest lengte boven complexiteit. Zie https://pages.nist.gov/800-63-3/sp800-63b.html (A.2 en A.3). Als je moet kiezen, dan liever (veel) langer met een beperkte set van tekens, dan kort met een grotere set van tekens. Maar idealiter best beiden uiteraard (lang en complex).

delphium

@MartenBE • 26 maart 2023 17:58

@lenwar & @MartenBE,
Natuurlijk hebben jullie beiden gelijk. Het is alleen een theoretisch verhaal. Als je kijkt naar de logs van een gemiddeld Linux-systeem zul je zien dat het merendeel van de (ssh)aanvallen gedaan wordt met woordenlijsten. Ik garandeer je dat op die lijsten geen enkele Ł, ő, ã, ⁰, of ħ voorkomt.

Zo wordt security by obscurity ook als bad practice beschouwd. Toch zie ik op mijn servers met een exotisch ssh-poortje nog nauwelijks aanvallen binnen komen. Niet dat dat de enige beveiliging is, maar het heeft wel het meeste effect; van duizenden aanvallen per uur, naar 10 per maand.

lenwar

Besturingssystemen
Microsoft Windows

@delphium • 26 maart 2023 21:15

Rainbowtabels worden in de praktijk inderdaad vaak gebruikt. Ik zou overigens niet weten of je die specifieke karakters die je aangeeft ook daadwerkelijk kan gebruiken op een standaard Linux systeem (of dat je ze op alle Linux-systemen überhaupt kan intypen) Maar dat is even een andere discussie

. Maar los daarvan.

Rainbowtables zijn vooral praktisch voor wanneer mensen zelf wachtwoorden moeten verzinnen. Dus dat je P0ez3n, E1ndH0v3n of F3y3no0rd ofzo pakt. Daar zijn rainbowtables heel handig voor. Maar stel dat je je wachtwoord in een lokale passwordmanager (Keepass/Enpass/enz) stopt, dus dat het zo’n wachtwoord is dat er uit ziet alsof je kat over je toetsenbord heeft gerold, doet zo’n rainbowtable niet zo veel. Dan wordt het toch daadwerkelijk een brute-force ding, en dan is langer beter.

Ook is er een factor social engineering. Stel dat jij fan bent van Ajax (om welke reden dan ook ;-) ) dan is het wacht AjaxAjaxAjax natuurlijk niet zo slim om te hebben. (Of de naam van je partner/kind/huisdier/favoriete vakantielocatie of het met merk/type van je fotocamera/auto/enz)

In de praktijk is het denk ik het veiligste wachtwoord, het wachtwoord dat je zelf ook niet kent. Dus dat een één of andere password manager (die zwaar beveiligd toegankelijk is onder hele specifieke omstandigheden) iedere dag het wachtwoord veranderd met een string van 30 karakters of zo. Maar goed. Dat is in de praktijk meer weggelegd voor grote bedrijven om daar een heel systeem voor te hebben. Veel MKB/particulieren is dat niet realistisch voor.

Enfin:
Maar: Als een algemene regel (geen 100% score natuurlijk), is een lang wachtwoord per definitie beter dan een kort wachtwoord, maar dan wel in combinatie van allerlei regels (cijfers, onderkast, bovenkast, leestekens/speciale karakters) en dat het wachtwoord niets met jou als persoon te maken heeft (ivm social engineering). Denk bijvoorbeeld aan een wachtwoordzin als W0rtelsZ1jnL3kkerGr@pje! . Het is te onthouden (Hoofdletters op de eerste plaats, eerste klinker vervangen door een cijfer/speciaal karakter), het is nietszeggend (tenzij je bekend staat als iemand met een zeer uitgesproken mening over wortels) en het is vrij lang.

Zo wordt security by obscurity ook als bad practice beschouwd.

Dat wordt als bad practice beschouwd als dat je enige/primaire lijn van verdediging is. Je mag best wel wat exotische dingetjes erbij doen, maar dat moet je dan meer doen als extraatje.
Ik heb persoonlijk een fail2ban-configuratie op m’n servers staan. Dus als er in een bepaalde tijd meerdere mislukte inlogpogingen waren dat hij dan automatisch een tijdelijke firewallregel neerzet en dat doet hij dan direct als iemand wil inloggen met gebruikers als admin, mysql, apache, enz, enz.

lenwar

Besturingssystemen
Microsoft Windows

@delphium • 26 maart 2023 12:06

Stel dat er 80 karakters zijn. (Hoofdletter, onderkastletters, cijfers, speciale karakters)
Dat is niet heel veel. Maar stel dat weet alleen hoofdletters en kleine letters zouden forceren (voor het gemak 40 karakters)

80x80 = 6400
40x40x40 = 64000

Lengte vergroot de veiligheid voor brute-force aanvallen gigantisch!

De combinatie is natuurlijk het meest ideaal. Door het gebruik ervan te forceren verklein je theoretisch de pool van mogelijkheden. In de praktijk zullen veel mensen dan geen sterke wachtwoorden maken. (( deelnemers van dit platform zullen dat bovengemiddeld veel wel doen verwacht ik ))

Uiteraard is bovenstaande puur theoretisch, want dan zou het betekend dat qwertyuiop op een veiliger wachtwoord is dan hJ*4B} wat voor brute-force aanvallen klopt maar voor social engineering dus niet.

DVBNL @MrMonkE • 25 maart 2023 13:46

Je kunt altijd nog vanaf een Windows install USB booten en cmd starten via shift f10, vind de OS partitie, cd naar de system32 folder en hernoem utilman.exe naar .old. Rename cmd.exe naar utilman.exe en herstart de PC. Als je daarna rechtsonderin klikt op de ease of use knop kun je met net user het wachtwoord resetten.

Dit werkt wel alleen als bitlocker disabled is

markg85 25 maart 2023 18:12

Daarnaast krijgen gebruikers die de waarschuwingsopties onder Phishing-bescherming in Windows-beveiliging hebben aangevinkt, vanaf deze build een pop-up in beeld als ze een 'onveilig' wachtwoord kopiëren en plakken in het wachtwoordenveld van een site. Voorheen verscheen de pop-up alleen als ze het wachtwoord handmatig invoerden.

Zeer slecht!

Hoe je het ook ziet, er zal data verstuurd moeten worden tussen jou en microsoft om die functie aan te bieden. En daarmee zal dus je wachtwoord worden verstuurd. Of microsoft het nou wel of niet hashed, je wachtwoord is nu hooguit zo veilig als de beveiliging in die functie zelf.

Wat als er nou toch achteraf een lekje in die functie zit (bedoeld of onbedoeld maakt niet eens uit).
Nee volgens mij moet je een functie als dit, hoe goed het ook bedoeld is, niet in een operating systeem willen. Een password manager kan dit veel beter en veel veiliger dan een OS.

Mr. M @markg85 • 27 maart 2023 12:19

Dat was ook mijn reactie.

Kan iemand mij uitleggen waarom Microsoft alle data van het clipboard controleert? Dat zijn toch hun zaken niet? Dat je nakijkt of een wachtwoord veilig is bij het aanmaken van een wachtwoord op jouw service, daar kan ik mij nog iets bij voorstellen, maar zomaar alle data die in het clipboard staat nakijken (over het internet) gaat toch veel te ver.

Ik zit nog altijd op Windows 10 en dit soort zaken is de hoofdreden waarom dit mijn laatste Windows versie gaat zijn.

Roel1966

25 maart 2023 18:54

Tja ik heb een chronische hekel gekregen aan popups waarmee je al letterlijk om de oren gegooid word door zowel Windows als websites. Bij een verse installatie van Windows ben je alleen al een uur bezig allerlei popups weg te klikken en uit te schakelen. En vaak dat popups ook nog eens pontificaal midden in het scherm verschijnen of net op een plek dat je niet kan lezen wat erachter staat. Vooral voor iemand die toch al een ooghandicap heeft kan dit soms ontzettend storend werken.

En tja wat wachtwoorden betreft heb ik zoiets dat ik zelf wel bepaald welk wachtwoord ik wil kiezen en dit niet door Windows wil laten bepalen. Ik kies altijd wachtwoorden die ik zelf goed kan onthouden maar soms dan misschien volgens algoritmes niet helemaal veilig zijn. Die keuze is dan aan mij en niet aan Windows vind ik en ik wens daarom ook geen popups met meldingen te krijgen daarvan.

Maar ja, de dingen waar al velen een hele tijd om vragen namelijk aanpassingen van de taakbalk schijnt niet door te dringen bij Microsoft. Zelfs een stug en hardnekkig eigenwijs bedrijf als Apple zie je steeds meer tegenmoet komen aan de wensen van hun klanten. Alleen lijkt het erop dat Microsoft net de andere kant uit gaat en ons steeds meer hun eigen dingen door de strot wil duwen. Laten we wel wezen, wat is nog het verschil met Apple en Microsoft.

Bij Apple weet je waar je aan toe bent en alleen Apple software werkt op Apple apparaten, duidelijk en je gewoonweg geen andere keuze hebt. Microsoft zou universeel moeten zijn maar zie bij Windows 11 dat ze een heleboel restricties hebben aangebracht. Oudere cpu's worden officieel niet meer ondersteund en zit er geen TPM 2.0 module in kan je het officieel gezien ook vergeten. Dus ja waar zit nog het verschil eigenlijk.

ger0448 25 maart 2023 15:00

Dit is waarschijnlijk een noob vraag (of vragen naar de bekende weg)
Hoe kan ik nog iemand helpen die tijdens zijn verhuizing het ww boekje kwijt is geraakt (vergeten welke ww manager die gebruikt) en na 3 maanden weer eens wilt inloggen. die weet natuurlijk zijn ww niet meer.
Microsoft kan je niet meer bellen en de FAQ zegt "volg de recovery" dingen uit. blijkbaar is deze persoon al eens op die manier gehackt en heeft die ooit veranderd maar weet niet meer naar wat.(staat in het ww boekje)

Het systeem was zo dicht getimmerd is dat zelfs de hiren's boot of DLC Boot niet meer werkt (boot from usb of portable cd werd vanuit de bios niet ondersteund.)
schijf aan ander systeem gehangen en vraagt om bitlocker, die natuurlijk ook nergens te vinden is.(hij wist niet eens wat bitlocker was en heeft waarschijnlijk ergens op ja geklikt)

ik heb hem niet verder kunnen helpen dan zeggen dat hij zijn gegevens waarschijnlijk kwijt is (30+ jaar aan foto's (oa van zijn overleden vrouw)
met als troost dat mocht hij het ww toch herinneren het staat immers nog in de cloud.....

hoe kan je zo iemand op de juiste manier helpen?

waarschijnlijk ben ik de enigste die dit meemaakt al lijkt het mij iets dat vaker voor komt.

Het.Draakje @ger0448 • 25 maart 2023 17:58

Heb je de methode zoals hierboven door DVBNL als geprobeerd?

Maar inderdaad, het komt vaker voor. Laatst nog even een paar dames verteld dat als zij hun gmail wachtwoord niet weten (hoezo, ik heb toch geen wachtwoord voor email) ze hun gegevens en foto's op hun oude telefoon niet op hun nieuwe telefoon te zien krijgen.

Heb ze vervolgens nog even gewezen dat (na het installeren van hun nieuwe telefoon) hun wachtwoorden moeten registreren. Wat ze uiteraard niet gedaan hebben. (aangezien het naaste familie betreft heb ik het nieuwe wachtwoord maar in mijn eigen wachtwoordmanager gezet [uiteraard is dat FOUT! uit privacy oogpunt], maar dat gezeik wil ik niet nog een keer hebben).

ger0448 @Het.Draakje • 26 maart 2023 01:36

Hey, Tnx voor info van DVBNL
Echter in de bios was geen optie om van een ander medium op te starten dan de interne harde schijf of netwertk.
al het andere kreeg de melding this boot option is not supported by your bios. (uefi met safeboot aan en grayed out is.)
Iets met een reset knop dat zou moeten werken. Dit werd een factory reset dat een blauw scherm opleverde. (daarnaast bitlocker is de encryptie die aanstaat)

Waarschijnlijk werkt een netwerk boot maar heb ik niet standaard klaar staan.

Gelukkig heeft je familie iemand die wel het belang van gegevens inziet.

De persoon waar ik het over heb was minder gelukkig zodat die mij nodig had.

[Reactie gewijzigd door ger0448 op 22 juli 2024 18:40]

foleor81 25 maart 2023 18:23

Voegd dit wat toe. JA het voegd wat toe. Heeft het nut. JA het heeft nut. Haalt het wat uit, NEE Waarschijnlijk niet. Meeste mensen klikken waarschijnlijk toch klakkeloos op oke.

foleor81 25 maart 2023 18:29

Excus mijn reactie slaat niet op die van jou.

ASx2608 25 maart 2023 21:42

Ik vind dat iedereen een passwordmanager moet hebben zoals Bitwarden of iets in vergelijking. Bitwarden is mijn beste vriend bij wachtwoorden en gebruik het heel erg vaak. Een nadeel is dat je hoofdwachtwoord moet onthouden, dat is maar wel 1 van de mogelijke 1000 wachtwoorden die je moet onthouden.

MrMarcie @ASx2608 • 26 maart 2023 11:32

Heb ik al jaren, maar bizar dat als ik een PW copy Windows die dan leest en gaat beoordelen. Dat wil je toch niet?
Gelukkig werk ik voornamelijk met Linux maar voor gamen heb ik nog als dualboot W11 erop staan.

mutley69 26 maart 2023 19:11

Misschien moeten we wel blij zijn dat Microsoft hier geen biometrie gebruikt. Dat is de zotst bedenkbare beveiligingstechnieken uit de laatste 50 jaar. Wie haalt het in zijn hoofd om iets dat van op afstand waarneembaar is - te gebruiken als wachtwoordvervanger. De CCC uit Hamburg bewees het in het verleden al meermaals, zelfs met eenvoudige tools is zoiets eenvoudig te omzeilen.
Neem nu Apple's facescan - politie houdt verdachte tegen, wil de telefoon ontgrendelen - en houdt de camera gewoon voor het gezicht van de 'verdachte' - kaboom ze zijn binnen!
Vingerafdrukken - lees het verhaal over hoe men Schauble 2x gerold heeft.
Bekijk maar 's hoe scherp de huidige lenzen en camera's geworden zijn - dan besef je pas hoe onzinnig dit allemaal is.
Bovendien verlies je wellicht de controle over je eigen gegevens - een vingerafdruk of een gezichtsscan, of iris, of aderpatronen - het is uw eigendom. Verbiedt het commerciëel gebruik (ik noem dat misbruik) daar gewoon boudweg van. Mijn bank heeft dat al te horen gekregen: 'Ge moogt het niet controlleren, raadplegen, opslaan of vragen' - uiteraard doen ze dan alsof ze dat niet gehoord/gelezen hebben - en verwijzen ze naar de algemene voorwaarden. Maar ik ben eerst in het eenzijdig opleggen van die maatregelen en dan moet men maar gewoon gehoorzamen. Ik wil dat niet - en zij zullen dat niet doen. Ze hebben al een keer een ernstige waarschuwing gehad (iets met een verloren gegane copie van een identiteitskaart - de reactie was snoeihard - u heeft 4 uur de tijd of uw bank is RIP).
Gewoon staalhard mee zijn - security kan misbruikt worden om data te oogsten. Let op uw data!

Op dit item kan niet meer gereageerd worden.

Windows 11 krijgt sha-3-ondersteuning en waarschuwing bij plakken van wachtwoord

Lees meer

Reacties (112)

Sorteer op:

Weergave: