Over beveiliging en de gemakzucht van internetters

Experts adviseren gebruikers van het internet om regelmatig hun wachtwoorden te veranderen voor hun eigen veiligheid. We kunnen het al een beetje op onze klompen aanvoelen, maar weinig mensen houden zich aan deze aanbevelingen. Meer dan de helft van de internettende menigte verandert zijn wachtwoord nooit. Opvallend onveilig is ook de keuze van de wachtwoorden: het meest worden namen van partners of kinderen gebruikt, maar ook het favoriete voetbalelftal of de naam van een geliefde band. Er zijn zelfs mensen die hun wachtwoord gewoon op een briefje op de computer hebben hangen. Het onderzoek waaruit deze gegevens komen is door de Britse online bank Egg gehouden onder 1000 personen:

The warning comes as a survey suggests more than half of computer users never change their passwords, and many use words that can be easily guessed.

The study published by the British online bank Egg says users even leave passwords written on Post-It notes attached to their computers.

The names of loved ones and relatives top the list of the most commonly chosen passwords, according to the survey of 1,000 users.

Dit maal bedanken we pietvs voor de tip.

IT-banen

Reacties (82)

Verwijderd 25 juni 2002 12:40

Ik denk dat iedereen wel een rijtje met "standaard" passwords heeft. Het is onmogelijk om iedere keer een nieuwe te verzinnen en die te onthouden. Dat lukt gewoon niet als je na gaat waar je allemaal een password voor nodig heb. (mail, t.net, GoT, school etc..)

Beaves @Verwijderd • 25 juni 2002 12:46

Dat klopt, maar je kan die nog steeds regelmatig wijzigen zonder dat het al te veel moeite kost om te onthouden, je kan bijvoorbeeld samenvoegingen maken of de woorden omdraaien (als je een zin gebruikt). Als je bijvoorbeeld Ferrarirules gebruikt kan je bijvoorbeeld rulesFerrari gebruiken.

Daarnaast kan je wisselen, bijvoorbeeld je passwd voor Tweakers voor Hotmail gebruiken en andersom, dan wordt het ook lastig voor een ander om de passwd's te raden.

Het veiligste is idd een radom generated passwd, maar die kan ik niet onthouden en daarom gebruik ik ze niet.

xenobia12345 @Beaves • 25 juni 2002 12:56

Ik heb nu iets van 25 verschillende wachtwoorden of inlognamen.... Ik wordt er echt moe van om dat allemaal bij te houden. Is er niet een manier om gewoon met een persoonlijke handtekening in te loggen op de diverse sites en systemen. Ik denk bv aan de vingerafdrukherkenning van ASUS. Als je die nu als .jpg naar een site stuurt, natuurlijk encrypted met PGP ofzo en dan daarmee inlogd???

Nappie @xenobia12345 • 26 juni 2002 10:38

Misschien mis ik iets, maar het lijkt mij dat je geen moeilijke dingen hoeft te doen met vingerafdrukken opsturen en zo. Er zijn browsers (bijv. Mozilla) die een password manager hebben.

Ofwel, je gebruikt 1 wachtwoord voor je password manager en die vult automatisch je passwords voor alle sites in en onthoud ze voor je. Dat laatste natuurlijk bij voorkeur encrypted (Mozilla laat je kiezen tussen security en obscurity).

Het veilig over internet sturen van die wachtwoorden is afhankelijk van de site waar je op inlogt: soms is dat secure (https) en soms niet (bij tweakers niet geloof ik?).

egeltje @xenobia12345 • 25 juni 2002 14:44

Ooit van van Microsoft's Paspoort gehoord?

Firefox @xenobia12345 • 26 juni 2002 09:10

Ja, via SSL ("https:").

Dat was de vraag niet. SSL is alleen maar een versleutelings protocol met een certificaat per bezochte site, waarbij de verbinding versleuteld is, en het certificaat de "garantie" geeft dat de site die je bezoekt ook de site is die je denkt dat het is.

Waar het de vraagsteller om ging is een oplossing waarbij je met 1x inloggen op een centrale plek overal bij komt. -> 1x inloggen op het domein van je werk, en je kan bij je e-mail, je mag door de proxy, je kunt je files op vragen, je mag in de database klungelen, etc.

Maar dan dat zelfde dus op internet...

idd, MS Passport van .NET is een begin van zo'n oplossing. Wat ik begrepen heb is het uiteindelijke doel om op die manier niet alleen verschillende websites op te gaan, maar ook op bedrijfsnetwerken in te loggen.

Ben ik zelf niet zo'n warm voorstander van, eenmaal die passports in handen zou je daarmee dus echt overal in kunnen loggen. Schade aspect is veel te groot. Bovendien zou daarmee een wezenlijk deel van je netwerk beveiliging en toegangs controle in handen liggen van een externe organisatie, die bovendien precies bij kan houden wie waar wanneer inlogt. Dat brengt voor mij het big brother gevoel een tikke te dicht naast de deur. (Ik heb er wel een hoor, dat MSN werkt toch nog best goed eigenlijk)

Misschien dat de toegangs code systemen van RSA wel werken, aangezien je daar elke zoveel minuten een speciale code krijgt toegewezen aan jouw RSA-ID
(tijds gebaseerd, en zover ik weet is het algoritme nog niet gekraakt)

Verwijderd @xenobia12345 • 26 juni 2002 02:37

Is er niet een manier om gewoon met een persoonlijke handtekening in te loggen op de diverse sites en systemen.

Ja, via SSL ("https:").

RobT @Beaves • 25 juni 2002 13:00

Neem voor een veilig paswoord de eerste letters van een zin, die je gemakkelijk onthoudt, bv:

mijn verjaardag is op de 24e maart
wordt dan:
mviod24m

en om te varieren kan je dan steeds een letter verder gaan als je gedwongen (bv op je werk elke 3 of 6 maanden of zo) je paswoord moet wijzigen.

En na een tijdje neem je gewoon een andere 'pasphrase' of paszin, etcetc.

Je kan dan zelfs 'cryptisch' je paswoord opschijven, bv in mijn voorbeeld hierboven kan je aangeven: 'geboortedatum'. (NB Dit is een voorbeeld!!)
Dus gewoon iets waardoor je zelf herinnert wat voor paszin je gebruikt hebt.
Als mensen niet weten waar dat cryptische geheugensteuntje op slaat, hebben ze er niets aan.

Tachyon @Beaves • 25 juni 2002 13:00

Als je bijvoorbeeld Ferrarirules gebruikt kan je bijvoorbeeld rulesFerrari gebruiken.

Dat zijn dus beide zogenaamde "weak-passwords", omdat ze gebaseerd zijn op namen en woorden die je zo uit het woordenboek kunt halen. Een beetje brute-force password-generator weet daar wel raad mee...

Je staat er versteld van hoe makkelijk je een random password kunt onthouden als je er een ezelsbruggetje van kunt maken.

Ikzelf ken de meeste passwords van mijn users uit mijn hoofd (een stuk of 30) omdat ik ze gewoon veel gebruik. Dat werkt het beste.

Robin @Tachyon • 25 juni 2002 14:09

bij mijn weten hackt elk betje van een brute force password generator elk paswoord... ook de gegenereerde (gewoon omdat alle combis gebruikt worden)

Om precies te zijn, zijn er 2 soorten methodes om iets te kraken:

Dictionairy en brute-force. Dictionairy wilt zeggen dat elk woord wat in een woordenboek voorkomt (vandaar ook dictionairy

) geprobeert wordt en brute-force wilt zeggen dat elke mogelijke combinatie geprobeert wordt

Vaudtje @Tachyon • 25 juni 2002 13:37

Ikzelf ken de meeste passwords van mijn users uit mijn hoofd (een stuk of 30) omdat ik ze gewoon veel gebruik. Dat werkt het beste.

Een echte BOFH kent inderdaad de passwords van al zijn userts

Webdoc @Tachyon • 25 juni 2002 14:45

I don't think so.. niet als je een password heb als
34)-XQX-(43 of ({321-XX-123})

makkelijk maar bijna niet te cracken...

[reactie op CrazyX]

Verwijderd @Tachyon • 26 juni 2002 02:40

Om precies te zijn, zijn er 2 soorten methodes om iets te kraken: Dictionairy en brute-force.

Nooit over "social engineering" en "analyse" gehoord?

crazyx @Tachyon • 25 juni 2002 13:40

hmm...

bij mijn weten hackt elk betje van een brute force password generator elk paswoord... ook de gegenereerde (gewoon omdat alle combis gebruikt worden)

Olaf van der Spek @Tachyon • 25 juni 2002 18:06

Denk je echt dat je zo even 36^8 passwords probeert?
Bovendien staat een goed systeem je bijvoorbeeld toe slechts drie passwords per seconde te proberen.

trenjeska @Verwijderd • 25 juni 2002 12:57

ik heb overal andere passwords en ze zijn te onthouden, je moet gewoon zelf een formule verzinnen die je toepast op de site + een extra stukje en je ww zijn amper te raden, altijd anders en makkelijk te herinneren (zo is het me gelukt WEL mn vergeten ww op yahoo na 3 jaar niet gebruikt te hebben te herinneren, maar NIET mn gehieme vraag die ik eerst probeerde

)

Mx. Alba @Verwijderd • 26 juni 2002 09:47

Natuurlijk heeft iedereen een stel standaard passwords. Ik heb er, ff snel denken, 9. Van "onder" naar "boven" gebruik ik de onderste twee helemaal nergens meer voor, de twee daarboven gebruik ik voor dingen op Internet (zoals Yahoo en Tweakers), de drie daarboven voor bijvoorbeeld op het werk (login workstation bv) en op andere "vreemde" systemen en voor POP-mail. De tweede van boven gebruik ik voor mijn eigen login op mijn eigen en bevriende systemen, en de bovenste voor mijn root password. Eén keer in de zoveel tijd voeg ik er boven eentje aan toe.

Dit systeem gebruik ik nog niet zo lang, en ik moet zeggen dat alleen de bovenste drie random gegenereerd zijn, maar over een half jaar zullen die "line noise" passwords naar beneden gedruppeld zijn en de originele niet-sterke passwords wegduwen, zoals die onderste twee die ik niet meer gebruik maar soms nog wel terugvind op web accounts van een paar jaar oud die ik weer eens bezoek

Wat zijn "line noise" passwords? Zoiets als $mdEVa\1 bijvoorbeeld.

edit:
spelfautjess

wmvink 25 juni 2002 12:49

Ik doe klantenservice-werk voor een groot bedrijf dat ook op internet actief is, en zie zo elke dag honderden wachtwoorden voor mijn ogen voorbij komen. Ik heb nog NOOIT een wachtwoord in de trant van 2!hfUJ&&dp3-*$ gezien. Het is in 90% van de gevallen de voornaam of achternaam van de klant, de straatnaam, postcode, of nog beter: geheim en wachtwoord.

Je gaat me niet vertellen dat iedereen die bij ons klant is een grote NOOB is, ik weet zeker dat er ook een paar die-hard tweakertjes/sysops tussen zitten. We zijn mensen he...

Hoog tijd dus voor alternatieven zoals de iris-scan en dergelijke.

Vaudtje @wmvink • 25 juni 2002 13:44

hoog tijd dat ze de passwords bij jullie gaan encrypten in de database?

Ik zou er niet blij mee zij als ik wist dat iedere suffe beheerder mijn wachtwoord zo kan opzoeken.

Ik voel me altijd al genaaid als ik een auto-generated meeltje terugkrijg met een bevestiging van het wijzigen van mijn wachtwoord (bijv. bij Tweakers).
Al kunnen de beheerders daar niet bij, mijn wachtwoord staat ineens wel ineens in een mailtje, terwijlk ik het zelf NOOIT opschrijf oid.

wmvink @Vaudtje • 25 juni 2002 14:27

Ik heb me er indertijd ook over verbaasd dat ik zonder problemen alle wachtwoorden kon zien, maar in de praktijk is het nou eenmaal nodig. Als ' beheerder' moet je mensen kunnen helpen waarbij inloggen niet lukt, en zoveel andere problemen oplossen waarbij het wachtwoord van belang is.

Ga er maar vanuit dat dit bij ieder bedrijf zo is waar je een wachtwoord op internet achterlaat. Kan me niet voorstellen dat Femme met geen mogelijkheid mijn wachtwoord kan achterhalen.

Vaudtje @wmvink • 25 juni 2002 14:50

Dat is wat mij betreft totale onzin.

Het enige wat je moet kunnen is paswords resetten, dan kun je de gebruiker zijn nieuwe password vertellen. Elke (slimme) gebruiker zal (moet) vervolgens dat password meteen wijzigen, zodat daarna weer alleen hij/zij het kent. Klaar.

Alle acties waar jij het password van een gebruiker voor nodig hebt, mag jij nooit uitvoeren.
Da's toch logisch?

Je kunt hoogstens je gebruikers voor jou laten inloggen, dan weten zij namelijk dat er iemand onder hun naam bezig is. (en dan niet stiekum met hun anderhalf-vingerige typekunsten meegluren

)

Ik heb van het forum begrepen dat op GoT en Tweakers de passwords een one-way-encryption hash meemaken voor ze in de DB terechtkomen. Zie http://gathering.tweakers.net/showtopic.php/464150/1/100

Als ik van een site weet dat de medewerkers bij mijn wachtwoord komen is dat voor mij een grote belemmering met ze in zee te gaan. Dat betekent namelijk dat 'iedereen' dingen kan doen onder mijn naam, zonder mijn tussenkomst. Zoals online betalingen....

Verwijderd @wmvink • 25 juni 2002 15:33

Ik ben helemaal eens met het ALLEEN kunnen password resetten.
Als je toch bij bestanden / mail van een medewerker moet kunnen doe je dat onder je eigen account met admin rechten. (is er tenminste te zien in de logfiles dat je er geweest bent)
Wij hebben hier exchange 5.5 draaien en als admin kan je iedere mailbox openen die is aangemaakt. Blijft buiten kijf dat het NOT DONE is om mail van anderen te lezen.
Bottom line is dat je als admin ALTIJD moet bedenken dat je met privacy gevoelige en bedrijfs informatie bezig bent en daar naar handelen.

Ortep

25 juni 2002 13:02

Je kan toch heel eenvoudig makkelijk te onthouden 'strong' paswoorden maken? Gebruik een 0 (nul) ipv een een O gebruik een 1 ipv van een i Gebruik een 5 ipv een S en goochel wat met hoofd en kleine letters. En wat krijgen we: 0PeLa5TrAgt1 Dat is een lastig te kraken paswoord en jij kan het zo onthouden. Je kan dan lekker varieeren door soms wel een cijfer door een letter te veranderen. Geboortedatum? Precies hetzelfde maar dan andersom: Oi-I2-i98S

kvdveer @Ortep • 25 juni 2002 14:27

De flink aantal brute-force machines lost dat al op. Trouwens, de 'raadbaarheid' neemt hierdoor niet af... bij mijn vorige werkgever hadden we een systeembeheerder die altijd een grote mond had over wachtwoorden... Bij mijn derde poging was het raak: w1lm@, de naam van zijn vriendin in '1337 5p34ch'

mvt 25 juni 2002 12:36

ik weet van mezelf dat ik autogenerated paswords gebruik ( 3 totaal, waar ik kan aanpassen gebruik ik 1 hiervan), maar aanpassen doe ik niet. Gelukkig zijn ze ook moeilijk zomaar te raden.

edit:
doet me trouwens denken aan die Noorse database die ze laatst gekraakt moesten hebben, ook al zo'n voorspelbaar wachtwoord (je moet er alleen effe opkomen

Plux 25 juni 2002 12:39

Ben benieuwd hoeveel mission-critical systemen dan nu de wachtwoorden 'zuid-korea' en 'hiddink' hebben

netwebber 25 juni 2002 12:45

Ben er niet blij mee maar voor dit probleem ontwikkeld microsoft dat Passpoort.. Dan kan je 1 (moeilijk) password onthouden en is het overal hetzelfde.
Ben er niet blij mee omdat ze zo wel erg veel te zeggen krijgen en als je passpoort weer eens lek is ben je goed de sigaar.

ijdod

25 juni 2002 13:25

ze vergeten een belangrijke: 100% van de deelnemers beantwoordt vragen over hun wachtwoord.

Ik neem even aan dat eea wel anoniem zal zijn gedaan, maar toch. Overigens is dit geen echt nieuws. Zelfs in bedrijven waar een vrij strakke password policy is, zie je passwords als jantje001, jantje002, enz.

Zelf heb ik er een aantal, categorie 'hard'. Die varieer ik met enige regelmaat. Voor niet kritieke online zaken (zoals fora e.d.) heb ik een vrij standaard methode.

Verwijderd 25 juni 2002 12:45

Kheb een vaste alpha-numerieke code van meer dan 6 tekens, waarachter een code wordt geplakt van de plek waar hij toegepast wordt. Wordt dan zoiets als yz_4321tweakersnet. Dat is voor mij voldoende.

[Edit]
Reactie op vso

Kheb ook geen belangrijke info op mijn PC die verbonden is met het net. Die staat op een andere, die als het nodig is wordt verbonden.

Als je maar 8 mag gebruiken, dan krab ik achter m'n oor en kijk of er gevoelige info zal worden gebruikt.

[quote]
Gepost door LuCarD
Doe het dan een stukje slimmer...
Pak alleen de eerste twee letters of de laatste twee ofzo iets, dan kan een beheerder niet snel zien wat jouw regelmaat is. Bijkomend voordeel is dat je ook niet zoveel hoeft te tikken.
[/quote]

Hahaha.

Je denkt toch niet dat ik de werkelijke opzet hier ga schrijven? Dat was alleen een voorbeeld. Ik doe het idd vaak met 2 tot 4 letters toegevoegd. Dit zorgt ook voor varieerende lengte van het PW.

[OT]Waarom heb ik voor mijn post 'flamebait'? Ik krijg toch goeie en intelligente response!? Heb ik mijn 1e beschrijving te kort gehouden?[OT]

wmvink @Verwijderd • 25 juni 2002 12:51

Kheb een vaste alpha-numerieke code van meer dan 6 tekens, waarachter een code wordt geplakt van de plek waar hij toegepast wordt. Wordt dan zoiets als yz_4321tweakersnet. Dat is voor mij voldoende.

Da's een goede. Ga ik ook doen, ehhh vanaf NU.

Bedankt.

vso @Verwijderd • 25 juni 2002 12:49

ff een domme vraag jamf ... maaruh als je maar 8 charakters mag gebruiken ?

geen slechte opzet btw .. maar ook weer makkelijk .. te kraken .. als je "regelmaat"weet .. dan ben je dus binnen bij jou teminste .. ligt eraan waar je het toepast ..

maar then again... belangrijke data zetten we toch op een cd en trappen het van de HD af toch ?

LuCarD @Verwijderd • 25 juni 2002 13:06

Doe het dan een stukje slimmer...

Pak alleeen de eerste twee letters of de laatste twee ofzo iets.
Dan kan een beheerder niet snel zien wat jouw regelmaat is. Bijkomend voordeel is dat je ook niet zoveel hoeft te tikken.

NaliXL 25 juni 2002 12:44

Hmm, heb wel vrij moeilijke wachtwoorden, maar begin me idd. steeds vaker zorgen te maken over hoe makkelijk die nou te kraken zijn. Zag een poosje terug een (hacking) site die vrolijk de inhoud van mijn HDD op het scherm liet zien (MSIE6.0), en bovendien, als ik op een link klikte, zomaar een installatieprogramma wist op te starten op mijn PC, en dat was géén plugin! En ik maar denken dat ik betrekkelijk veilig zat met ZoneAlarm en AntiVir geïnstalleerd.....

Verwijderd @NaliXL • 25 juni 2002 12:55

Zag een poosje terug een (hacking) site die vrolijk de inhoud van mijn HDD op het scherm liet zien (MSIE6.0)

Dan ben je goed gefopt.
Zij kunnen niet de inhoud van je HD zien, maar jij zelf kan wel naar de inhoud van je HD kijken middels een bekend javascriptje..

NaliXL @Verwijderd • 25 juni 2002 13:42

Hoewel het is te begrijpen omdat IEXplore ook file-browser is, vind ik toch dat dat niet moet kunnen. Een complete installer kunnen starten op mijn PC vind ik eigenlijk nog gekker, dat is lijkt mij wel degelijk goed exploiteerbaar...

KBDE @NaliXL • 25 juni 2002 12:58

die inhoud van je hd kun alleen JIJ zien, is gewoon een standaard functie, niemand anders kan de inhoud dus zien.
Dit is een beetje paniek zaaien, de meesten trappen hier nog in ook

Aboe @NaliXL • 25 juni 2002 13:01

beetje naief, type is in je webbrowser file:///c:/

mooie hack..

maar velen stinken erin

edit
ik was weer mooi op tijd..
/edit

Verwijderd @NaliXL • 25 juni 2002 13:02

doh...
je c schijf inhoud laten zien is heel makkelijk te realiseren door een (i)frame te laten verwijzen naar file:///C|/
het zelfde geldt voor een link naar een installatie programma.

laat je niet gek maken, dit heeft nix met security te maken. dit is gezichtsbedrog.

Verwijderd 25 juni 2002 12:57

Ik verander regelmatig mijn wachtwoord. zeker 1 keer in de 4 weken.

maar ook als ik ook maar de minste verdenking heb dat er iets mis is. huppakee. meteen een ander.

ik gebruik niet te lange wachtwoorden, maar wel met een addertje. bijvoorbeeld 'plati.num' (las ik van een cd-r af) en dan wel een punt ertussen. je hebt van die mensen die wel eens mee kijken. en die '.' zit onder je handpalm (als je met 10 fikken typt iig) die zien ze je niet zosnel aanslaan.

daarnaast heb ik ook 4 niveaus van wachtwoord. 1 voor dingen waar je per se een wachtwoord in moet vullen, maar het je toch niet kan verrekken, en een zooimail account.
1 voor zooi op internet (got, t.net, anandtech, fok enz) 1 voor belangrijke email (chello, 1xhotmail enz). en de laatste voor servers enz.

Slush @Verwijderd • 25 juni 2002 13:27

1 voor zooi op internet (got, t.net...)

PARDON?

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (82)

Sorteer op:

Weergave: