'Wachtwoordexplosie' baart VN-telecomorgaan zorgen

Volgens de VN-organisatie International Telecommunications Union (ITU) leidt toenemend gebruik van het web tot een dusdanige mate van hergebruik van wachtwoorden onder internetters dat er voor de veiligheid van vertrouwelijke gegevens gevreesd moet worden.

Volgens de ITU vergroot het hergebruik van wachtwoorden de kans op identiteitsdiefstal, en moet er naar betere manieren worden gezocht voor mensen om zich op websites te identificeren, waarbij de organisatie overigens geen suggesties geeft in welke richting er gekeken moet worden behalve dat de identificatieprocessen 'eenduidiger' moeten zijn. Dat heeft ook weer te maken met de mening van het telecomorgaan dat het bijhouden van vele loginnamen en wachtwoorden 'tijdverspilling' is. Het ITU-voorstel verwijst impliciet naar Microsofts oude 'Passport'-poging om gebruikers op deelnemende sites met een enkele identiteit in te laten loggen, maar ironisch genoeg strandde dat onder meer vanwege de kritiek dat het onveilig werd geacht om inloginformatie voor allerhande sites bij een en hetzelfde bedrijf onder te brengen. Het voorstel doet daarnaast denken aan het Nederlandse DigiD, waarmee er in één loginprocedure voor overheidssites wordt voorzien.

IT-banen

Reacties (93)

Verwijderd 4 december 2006 18:39

http://www.onepassword.com/

Is daar een perfecte oplossing voor, via simpele methodes maak dat programma een uniek wachtwoord aan voor iedere site, gebaseerd op één wachtwoord.

Simpelweg genomen voor de technische uitleg, wordt de domeinnaam de salt en wordt dat gecombineerd met jouw enkele wachtwoord om zodoende een uniek MD5 wachtwoord te maken.

md5('www.tweakers.net' + 'wachtwoord')

@JapyDooge, dat blijft altijd een probleem, maar daarom had ik ook de technische code erbij gedaan. Ik heb dus mijn eigen systeem gemaakt voor onze klanten met een paar regels code. En met wat simpele cryptography kan je het ook zelf doen.

Voorbeeld: je wachtwoord wordt eerste 4 letters van de website die je bezoekt met elk character 1 bij opgetelt + je normale wachtwoord. Dus zeg je enkelvoudige wachtwoord is "_Japy#Doodge(6192)" en je bezoekt "Tweakers.net", dan wordt je wachtwoord daar:

Twea = Uvfb (alle letters +1) »» Uvfb_Japy#Doodge(6192)

Nu is dit meest simpele vorm, maar resulteert in een zeer sterk wachtwoord. Echter is deze techniek erg simpel, dus moet je wel twee 'master' wachtwoorden gebruiken met dit systeem, want anders zou een corrupte website beheerder die toegang heeft tot 2 websites waar jij dit systeem op gebruikt zeer snel jouw wachtwoord systeem kunnen afleiden en dan meteen jouw Paypal.com wachtwoord weten bijvoorbeeld. Maar twee wachtwoorden onthouden waarbij je één voor SSL beveiligde financiële websites gebruikt en de andere voor een site zoals Tweakers is nog wel te doen voor de meeste mensen.

En er zijn natuurlijk veel complexere methodes te gebruiken die wel veilig zijn, zoals via PHP code: php -r "echo md5('Tweakers.net' . 'Japy#Doodge(6192)').\"\\n\"; =
25fe368a6a24b34e3270245e7f9521b1

@MagicPatrick, de MD5 is 32 hex-chars, dus je berekening klopt niet. Je kan ook SHA-512 gebruiken, of de 32-hex char MD5 te converteren naar een 16-char full-ASCII wachtwoord (dat laatste is de methode die wij gebruiken). Zolang je jezelf maar tot denken zet en een goede methode gebruikt die voor jouw het makkelijkst werkt.

@Proxy, en waar ben je bang voor? Je wachtwoord is in het ergste geval al bekend (een goede site gebruikt hash-verificatie en kan jouw wachtwoord zelf geneens). Als jij nu al gebruikt maakt van unieke wachtwoorden voor elke website die je gebruikt, dan petje af voor je. Echter het hergebruiken van wachtwoorden is een bekend fenomeen, en daar moet je dus zo voor oppassen. Je kan ook een TrueCrypt volume of een 7-zip bestand gebruiken met een wachtwoord bestand erin. Het voordeel van de url-salt+wachtwoord methode die ik beschreef is nu juist dat het "master wachtwoord" alleen in je hoofd zit.

Bl@ckbird @Verwijderd • 4 december 2006 22:51

Feit blijft dat het op een wachtwoord gebaseerde authenticatie berust. Net als biometrisch of een hardware matige sleutel zijn dit enkelvoudige methoden om je te authentiseren.

Een sterke authenticatie methode bestaat uit twee of drievoudige authenticatie.
- Iets wat je weet: Wachtwoord / pincode
- Iets wat je hebt: Pinpas / autosleutel / USB authenticatie-token
- Iets wat je bent: Iris(scan) / vinger(print) / DNA / pasfoto

Vandaar dat een pinpas een pincode heeft en dat een vingerafdruk alleen, niet genoeg is.

<span style="color:#786562">* Bl@ckbird is het daarom niet eens met het DigiD, omdat het alleen gebaseerd is op een username / password.
</span>
Voor een belastingaangifte is dat nog geen probleem, maar straks wordt je hele medische dossier er achter gehangen. ( Bij wijze van...)

Olaf van der Spek @Bl@ckbird • 4 december 2006 23:37

* Bl@ckbird is het daarom niet eens met het DigiD, omdat het alleen gebaseerd is op een username / password.

DigiD gebruikt toch ook SMS authenticatie (ongeveer iets wat je hebt: een telefoon)?

tERRiON @Olaf van der Spek • 5 december 2006 09:59

Alleen als je ook je 06 opgeeft.

IntToStr @Bl@ckbird • 5 december 2006 12:57

Er zijn 3 gradaties in de diensten waarvoor digid kan worden gebruikt.

De simpelste diensten, misschien bijv rijbewijs aanvragen of zo, kan met alleen je gebruikersnaam + wachtwoord.

Verder zijn er al diensten waarbij sms authenticatie nodig is. Om hier gebruik van te kunnen maken is het dus noodzakelijk dat je een 06 nummer hebt geregistreerd. (Ik vraag me af hoe ze dat gaan doen als mensen in de loop der jaren van nummer gaan wisselen aangezien je elk nummer maar 1 keer kunt registreren en zo...)

Er komt nog een derde gradatie die op dit moment nog niet is geimplementeerd of zelfs maar uitgewerkt voor zover ik begreep.

* IntToStr heeft toevallig net zo'n digid account aangevraagd

Noxious @Verwijderd • 4 december 2006 18:48

Weet wel zeker dat die site betrouwbaar is

Stel, ik maak ook zoiets op mijn site, maar laat hem ook de gegevens opslaan in een database

gooi er wat Google AdWords reclame tegenaan en heb zo een database vol met wachtoorden + de websites waar ze voor zijn al erbij

Verwijderd @Verwijderd • 4 december 2006 21:04

Je maakt het daarmee echt moeilijker ja! Niet dus. Reken maar na:

16 (je gebruikt hexadecimaal) ^ 12 = 281474976710656

94 (hoofd- en klein letters, cijfers, en alle symbolen op je keyboard) ^ 8 = 6095689385410816

De laatste (een vrij standaard wachtwoord) is dus veiliger dan die hash van jou.

Olaf van der Spek @Verwijderd • 4 december 2006 22:43

De laatste (een vrij standaard wachtwoord) is dus veiliger dan die hash van jou.

Het voordeel van die hash is dat je voor elke site een uniek password hebt. Dat heb jij dus niet.

Proxy @Olaf van der Spek • 5 december 2006 01:49

Ik heb ook voor elke site een uniek wachtwoord, daar heb ik geen generator voor nodig.

Verwijderd @Verwijderd • 5 december 2006 01:05

Je kan ook nog een str_replace toevoegen met 2 array's. Zodat je bepaalde letters altijd replaced met bijvoorbeeld hoofdletters of leestekens. Dit zorgt al voor wat meer beveiliging van je wachtwoord.

Wie zegt dat je een MD5 als hexadecimaal moet gebruiken?

Proxy @Verwijderd • 5 december 2006 01:48

Ik zou in mijn wachtwoord nou niet echt kenmerken van de site waarvoor dat wachtwoord is willen hebben.

Vaan Banaan @Verwijderd • 5 december 2006 10:15

Oei, ik zit net die xpi door te spitten, maar er zit wel iets vreemds in die scramblepass.js
[code]
var regx1 = new RegExp("\/","g");
var regx3 = new RegExp("[=]","g");
var regx2 = new RegExp("[+]","g"); //used [+] because slashes were bothering
//mozilla
//this replaces all instances of
//specified character (would normally be
//a list of characters)
hash = hash.replace(regx1,"x");
hash = hash.replace(regx2,"x");
hash = hash.replace(regx3,"x");

hash = hash.replace(regx3,"x");
//alert(hash);
-knip-
passwd = "s1"+ hash.substring(0,length-2);
[/code]
Oftewel je wachtwoord begint altijd met "s1" als je dit onepassword gebruikt. (Ben verder niet bekend met regexp, maar dat lijkt ook een verzwakking te zijn met die g's en x'en.) Zie ook de afbeelding op de site.
Dus dat lijkt me dan weer een vector om met phising achter je masterwachtwoord te komen. Aangezien je de salt hebt (is je eigen domeinnaam) en de uiteindelijke hash kan vergelijken.

wahey @Verwijderd • 5 december 2006 21:18

Net zoals http://www.passwordmaker.org. Dit programma, dat als extensie voor FireFox en een zwik andere browsers beschikbaar is, maakt door middel van een hoofdwachtwoord, de url van de site en een hash een uniek wachtwoord voor de betreffende site. Volgens de makers is het hoofdwachtwoord niet te herleiden, zelfs niet bij het in bezit zijn van meerdere gegenereerde wachtwoorden. Anyway, ik gebruik het al een tijdje en vind het een erg handige extensie.

kimborntobewild @Verwijderd • 6 december 2006 14:26

"_Japy#Doodge(6192)" en je bezoekt "Tweakers.net", dan wordt je wachtwoord daar:

Twea = Uvfb (alle letters +1) »» Uvfb_Japy#Doodge(6192)

Dat gaat dus never-nooit-niet veilig zijn!
Als iemand één dan van je wachtwoorden weet, weten ze gelijk al je wachtwoorden.
Tweakers: Uvfb_Japy#Doodge(6192)
Paypal: Qbzq_Japy#Doodge(6192)

Ik weet nu dus al Japie's paypal-wachtwoord, als ik toevallig op zijn Tweakers-wachtwoord stuit!

Rjn87 4 december 2006 18:34

fingerprint reader misschien een oplossing?

Verwijderd @Rjn87 • 4 december 2006 18:40

Je hoeft 1x je vingerafdruk ergens achter te laten en je bent voor de rest van je leven je wachtwoord kwijt.

Biometrische authenticatie zal naar mijn idee niet gaan werken. Als je bijvoorbeeld je iris informatie uitlekt, dan kunnen andere hier misbruik van maken.

Doe mij maar een digikey/rsakey/hoe je een hardwarematige calculator achtig iets wil noemen, dit per website.

Dan daarbij heb ik per vertrouwensniveau een wachtwoord (SSL heeft betere wachtwoorden dan onbeveiligde verbindingen, en dan nog per vertrouwen).

Adion

@Verwijderd • 4 december 2006 19:10

Je kan ook (en ik denk dat de huidige fingerprint lezers voor thuisgebruik al wel zoiets ondersteunen) lokaal een programmaatje hebben draaien dat allemaal random wachtwoorden onthoud per site, die je dan kan raadplegen doormiddel van je vingerafdruk.
Je vingerafdruk wordt dus niet doorgestuurd, en indien je toch iemand's vingerafdruk zou stelen, moet je nog steeds toegang hebben tot zijn pc om er iets mee te kunnen doen.

Fairy @Adion • 4 december 2006 21:17

Totdat het programmaatje gekraakt wordt. Een beetje hetzelfde als 1 database bij de politie, alleen dan hoeven ze alleen maar door jouw simpele thuisroutertje te komen.

Adion

@Adion • 4 december 2006 21:35

Lijkt me ten eerste al sterk dat dit zomaar gekraakt moet worden. Het programma heeft namelijk zelf geen internet-access nodig (moet hooguit communiceren met de browser, wat tot eenrichtingsverkeer beperkt kan worden)

Verder kan je ook de wachtwoorden encrypteren met je vingerafdruk. Het programma onthoud dan zelf je vingerafdruk niet, maar op het moment dat het wachtwoord nodig is wordt met de vingerafdruk het wachtwoord gedecrypteerd.

Het lijkt me dat het kraakbaar zijn van dit programma ongeveer even riskant is als de mogelijkheid dat er spyware of een keylogger ofzo op je pc geinstalleerd raakt.

Verwijderd @Verwijderd • 5 december 2006 10:18

Als je iris uitlekt, kun je dat dan niet gewoon oplossen door deze persoon een kleenex aan te bieden?

DaRealRenzel @Verwijderd • 5 december 2006 19:16

Ja handig. Dan heb je straks 300 RSA Keys op je desk liggen. Wie gaat die keys trouwens betalen ?

Doe mij maar een SmartCard waar ik m'n passwords op kan slaan, en waarbij de Site zelf de gegevens op kan halen (uiteraard na validatie van mijzelf dat de site dit mag)..

blup @Rjn87 • 4 december 2006 20:25

Zie mythbusters aflevering hierover.

Ze hadden 1 dag nodig om vanaf scratch iemand zijn print te jatten. (Via 'n CD hoesje) Vervolgens een 'zeer goed' beveiligde deur met vingerprint beveiliging te openen.

Dit lukte binnen enkele uren d.m.v. een siliconen hoesje met kopie van de afdruk om de vinger heen. Daarna lukte het zelfs nog met een herprint op papier met de vingerafdruk..

Veilig? nee.. Volgens de fabrikant van 't slot waren de sloten nog nooit gekraakt.

Verwijderd @Rjn87 • 4 december 2006 18:35

Mwa, dan heb je met een hack in een willekeurige fingerprint database (politie e.d.) gelijk van een heleboel mensen hun 'wachtwoord'.
Lijkt me ook niet al te handig.

Verwijderd @Verwijderd • 4 december 2006 18:39

Denk inderdaad ook dat het in zo'n geval toch beter is om gebruik te maken van wachtwoorden, en niet een fingerprint reader. Ben alleen wel benieuwd hoe ze op de een of andere manier die reader willen laten denken dat er een andere fingerprint op zit dan dat jij zelf hebt enzo. Lijkt me lastig te kraken, maar zeker niet onmogelijk, dus doe mij maar gewoon het wachtwoord

Noxious @Verwijderd • 4 december 2006 18:46

Kijk eens wat bloedige high tech actiefilms

*handjeshakacties*

hiostu @Verwijderd • 4 december 2006 19:41

Gewoon zelf een nep driver schrijven die gewoon een bestand in kan lezen. Het moet namelijk werken met allerlei hardware/browsers als het over internet beveiliging gaat.

eghie @Verwijderd • 4 december 2006 18:56

Fingerprint reader + wachtwoord.

Verwijderd @Verwijderd • 4 december 2006 22:45

nee dankje dan kun je als slager ook ineens bij vertrouwelijke bestanden van gebruikers komen

T geeft trouwens wel een nieuwe dementie aan het word
Hakken

klokop @Verwijderd • 5 december 2006 10:22

Hier nog wat meer info over dementie.
_{Ik gok dat je dimensie bedoelde.}

bpere @Rjn87 • 5 december 2006 10:26

Een nieuwe technologie moet niet zozeer gezocht worden.
De invoer van een toegangscode zou eerder moeten gestandaardiseerd worden zodat tal van andere "keys" gebruikt kunnen worden.
Nu is het vaak enkel mogelijk om een wachtwoord in te typen. Hetzelfde object (meestal een textfield) zou uitgebreid moeten kunnen worden zodat dit ook andere soorten van input herkent zoals bvb fingerprint, smartguard, eye-scan, eID... ipv alleen tekst. Een goede standaard en API hiervoor zou wonderen kunnen doen.

kimborntobewild @bpere • 6 december 2006 09:30

Zo'n standaard en API moet dan wel 100% Open Source zijn, anders is 't nog steeds zo dat de ene fabrikant van die standaard/API bij alle wachtwoorden kan.
Bij Open Source kan je tenminste controleren of de wachtwoorden e.d. niet stiekum versleuteld worden verzonden samen (zodat 't niet opvalt in een firewall) met willekeurige Google-zoekopdrachten of Windows-updates of Genuine software etc. etc.

Foamy @Rjn87 • 4 december 2006 18:40

Hmz, lekker handig... Hoef je van mensen waarvan je een account ergens wilt 'hacken' dus alleen nog maar een vingerafdruk te hebben. So far for security

Rembert @Rjn87 • 6 december 2006 00:21

Een fingerprint reader is niet veilig. Als je bij een PC komt met fingerprint reader, dan is het een kwestie van ff zoeken rondom de PC naar een vingerafdruk. Deze neem je over op silicone en daarmee kun je, binnen een half uurtje, de fingerprint reader gebruiken. Dit werd gedemonstreerd op What the Hack.

Een ander zwak punt van de fingerprint reader is dat de fingerprint wordt gedigitaliseerd: je hoeft dus alleen maar die dbitstream te pakken te krijgen om over de betreffende fingerprint te beschikken. Dit geldt ook voor irisscan readers enz.

Zelf gebruik ik zo sterk mogelijke wachtwoorden die ik in een tekstbestandje opsla (nu meer dan 1000 wachtwoorden, niet allemaal verschillend). De meest gebruikte wachtwoorden staan ook in de verschillende password managers. Ja, ik weet t, dat tekst bestandje is de zwakste schakel in mijn beveiligings strategie.

kimborntobewild @Rembert • 6 december 2006 09:43

Ik denk eerder dat die password managers bij jou de zwakste schakel zijn... Een PC die voor jou ergens alle wachtwoorden onthoudt, dat kan nooit erg veilig zijn, imho.
Dat tekstbestandje van jezelf, daar kan je leesrechten op geven voor alleen jezelf. Maar waar staan al die wachtwoorden opgeslagen in de passwordmanagers...? Weet jij welke bestandjes dat zijn, en zijn die alleen leesbaar onder jouw gebruikersnaam? En kan je de leverancier van die manager vertrouwen? En zit er niet een security-lek in?
Tevens kan je foefjes uit halen met de wachtwoorden van 't tekstbestandje, zodat bij verlies daarvan de wachtwoorden nog steeds niet bekend zijn (tenminste als 't een goed foefje is). Ook kan je bijv. de gebruikersnamen er niet bij zetten, en slechts een paar gebruikersnamen gebruiken die je wel uit 't hoofd weet. Zo'n tekstbestandje lijkt me - op 't moment - dan ook nog wel de beste oplossing.

Sir Guinhill 4 december 2006 18:46

De oplossing die XOOPS, phpnuke achtig, gebruikt is het gebruiken van een login naam die afwijkt van de Nick die verder op de site gebruikt wordt.

Op die manier is het minder makkelijk om dmv brute force pasword gegok iemands account te kraken.

Verwijderd @Sir Guinhill • 4 december 2006 19:29

Captcha is een veel betere manier om brute-force tegen te gaan, in combinatie met een foutieve-inlog timeout (3x fout, 30 minuten wachten, weer 3x fout, 1 uur wachten).

Brute-Force methodes werken alleen maar effectief als ze via een geautomatiseerd proces gedaan kunnen worden, en Captcha onderschept dat het beste.

@Bor, de DoS kan weer worden ondervangen door wel een extra login poging toe te staan van de IP range die behoort bij een vorige juiste poging. Geen systeem is echt perfect. Had laatst een DDoS brute-force aanval op de FTP server, 358,398 zombie computers met unieke IPs die probeerde accounts van onze klanten te kraken. Zat een fout in de GeneFTP deamon software op die server, waardoor de time-out/retry beveiliging niet juist functioneerde. Hebben het nu vervangen met Serv-U, maar de logs gaven wel aan ongeveer 48 miljoen verbindingen in een korte tijd, voordat de beheerder die op dat moment dienst had erachter kwam.

Bor Coördinator Frontpage Admins / FP Powermod @Verwijderd • 4 december 2006 20:10

Captcha is een veel betere manier om brute-force tegen te gaan, in combinatie met een foutieve-inlog timeout (3x fout, 30 minuten wachten, weer 3x fout, 1 uur wachten).

En daarmee introduceer je een erg makkelijk te exploiten Denial of Service mogelijkheid. Je hoeft alleen maar willekeurige passwords in te voeren om iemands account voor langere tijd te disablen.

Olaf van der Spek @Bor • 4 december 2006 22:44

Kan je niet de plaats waarvandaan een fout PW gegeven wordt voor een bepaalde tijd verbieden?

Nee. Aangezien je nooit weet of die 'plaats' (IP adres) niet door anderen wordt gebruikt en je zo alsnog een DoS optie maakt.

Bor Coördinator Frontpage Admins / FP Powermod @Bor • 4 december 2006 23:39

Kan je niet de plaats waarvandaan een fout PW gegeven wordt voor een bepaalde tijd verbieden?

Nee, wat je wel kunt doen is het inloggen op een bepaald account alleen toe te staan vanaf een bepaald ip adres. Dit zou in bv een bedrijfstoepassing kunnen worden gebruikt mits er vaste ip adressen zijn. Echt ideaal is het niet overigens.

Major 7 @Bor • 4 december 2006 21:28

Kan je niet de plaats waarvandaan een fout PW gegeven wordt voor een bepaalde tijd verbieden? Dan is dat disabelen al een stuk lastiger.
Overigens is het al erg effectief als je maar 1 PW per zeg, 10 seconden kan invoeren. Dat haalt het Brute-force al aardig neer en voor mensen is het niet echt een belemmering.

Mbyte @Bor • 5 december 2006 16:50

Voor SSH bestaat Denyhosts
Werkt bij mij uitstekend.

Stephan11117 4 december 2006 18:43

Ook OpenID is een opensource variant die hier een oplossing voor probeert te implementeren.

Verwijderd 4 december 2006 18:50

ach een zeer effeciteve manier lijkt me dat gewoon elke pc een kaartleze krijgt en dat iemand gewoon met een plastic kaartje er in steekt en dan toegang krijgt tot die site....maar ja .. eerst een universeel systeem vinden ala de bankpasjes.. dan nog bij elke pc een kastje via usb bijvoorbeeld...

dat is voorlopig toekomst muziek maar het kan wel

op dat kaartje kan dan je sofi nummer staan, je biometrische kenmerken etc...

Wapster @Verwijderd • 4 december 2006 18:55

en als je dat pasje dan kwijt bent of dat pasje gejat wordt?
Dat moet je dan toch weer koppelen aan een "pincode" bovendien wil je niet overal zo duidelijk je gegevens achterlaten lijkt me.

Als jij je ergens op geeft voor een minder legale website of ergens waar je ook anoniem wil blijven (tot op zekere hoogte), dan wil ik daar niet mij sofinummer en biometrische kenmerken achterlate

Verwijderd @Verwijderd • 4 december 2006 18:57

En dat je dan als eigenaar van de kaart kan aangeven welke informatie de applicatie/website mag zien. Bijvoorbeeld enkel je digitale fingerprint maar niet je NAW gegevens.

Ik wil helemaal niet dat iedere website mijn volledige gegevens kan uitlezen.

ottovds 4 december 2006 19:31

mac osx heeft zoiets als keychain. Dat is een programma dat al je ingegeven paswoorden onthoud bij alle applicaties, websites, etc... Ik gebruik gewoon random paswoorden, ze worden toch lekker automatisch ingevuld. Zo moet ik enkel mijn system paswoord onthouden. Nog zoiets waarbij apple 's osx wat voor is op Windhoos hé

locke960 @ottovds • 4 december 2006 20:14

Euhh, dat keychain is een mooi en handig systeem, daar niet van, maar heb je wel eens gezien wat er gebeurd als die keychain beschadigt raakt of andersinds ontoegankelijk wordt ?

ik wel.. ik zou die passwords ook maar ergen anders opslaan. Keychain is voor het gemak, niet voor de zekerheid.

Mentalist @ottovds • 5 december 2006 05:25

Zulke systemen kan ik ook verzinnen, Firefox kan ook wachtwoorden onthouden.

Dit systeem heeft 2 grote problemen:

1. Wachtwoordenbestand beschadigd = al je logins weg. Dit is op te lossen door een backupmogelijkheid.
2. Onmogelijk mee te nemen. Hoe log je hiermee in in de bibliotheek?

Ik zat naar aanleiding van dit artikel net ook na te denken hierover, maar het is toch moeilijk een ideaal systeem te maken. Meest ideale wat ik heb verzonnen:

Je hebt een service online die je wachtwoordenbestand bewaard. Je kan dit uiteraard ook op je eigen server zetten, dus je bent niet aan 1 service gebonden. Het hier opgeslagen wachtwoordenbestand is an sich waardeloos, omdat je de wachtwoorden alleen kunt decrypten met je master password. Browsers krijgen allemaal een plugin zodat je alleen de URL naar je wachtwoordenbestand en je master password hoeft in te voeren. De plugin moet clientside wachtwoorden zowel encrypten als decrypten, hier komt geen server aan te pas en zo kan je gerust je wachtwoordenbestand online bewaren.

Zo moet je dus 2 dingen onthouden, de URL van je bestand (voor thuis kan je die opslaan in je browser, die hoef je alleen voor onderweg te onthouden), welke publiek kan zijn. En je master password.

Maar waarschijnlijk bestaat zoiets al, zonder het server-gedeelte zijn er al tal van implementaties van (zoals op jouw mac). Ik weet alleen niet hoe het heet.

Dat lijkt me bijna-ideaal. Vervelende is dat je nog steeds 1 sterk wachtwoord moet onthouden, samen met je URL, en dat áls het gekraakt zou worden er wel heel erg veel wachtwoorden op straat liggen.

Dreamvoid

Bedrijfsnieuws

@ottovds • 4 december 2006 20:37

Dat zit al zo'n tien jaar op het Windows platform en het heet AutoComplete

Maar veel plezier met je Mac!

PolarBear @Dreamvoid • 5 december 2006 15:37

Keychain gaat verder dan AutoComplete in Windows.

Verwijderd 4 december 2006 19:58

mijn wachtwoord is "kjs..??+sdf$*^^¨¨ùµ3ç" , ik denk niet dat veel mensen dit wachtwoord gebruiken

DataGhost

@Verwijderd • 4 december 2006 22:52

<?php
$user = $_POST["username"];
$pass = $_POST["password"];
if(controleerlogin($user, md5($pass))) {
mysql_query("INSERT INTO gejattewachtwoorden (naam, wachtwoord) VALUES ('$user', '$pass')");
toon_ingelogd_pagina($user);
} else {
toon_foutwachtwoord_pagina($user);
}
?>

vervolgens kijk ik eens in de zoveel tijd in mijn database en zie ik opeens een rij staan:
"sehzades" "kjs..??+sdf$*^^¨¨ùµ3ç"

Daarna ging ik naar tweakers.net, logde ik in met die informatie en toen had ik jouw account! Heel simpel te regelen als jij je gewoon registreert op mijn site en inlogt (hoewel ik het al bij de registratie kan opslaan, hoor). Bij 100% van de sites is dit zeer makkelijk te doen door de webmaster, het maakt hierbij niet uit of je wel of geen https gebruikt. Zolang je je wachtwoord ergens invult en dat vaker op andere sites gebruikt, is het te jatten.

Stel je trouwens even voor wat er precies allemaal kan gebeuren als ik hiermee in weet te loggen op jouw paypal-account, om even iets te noemen. Ik weet niet meer precies hoe betalingen daarmee gingen, maar volgens mij is het niet al te moeilijk met je gebruikersnaam en wachtwoord.

Verwijderd @Verwijderd • 5 december 2006 00:27

ooh niet waar, hij klopt niet

ViPER_DMRT @Verwijderd • 4 december 2006 22:34

Mijn wachtwoord is .. HEY !

GENETX 4 december 2006 19:06

Het ergste vind ik nog dat je tegenwoordig bijna overal moet inloggen. Ik heb dan nu 1 wachtwoord met 1 gebruikersnaam die ik gewoon opsla. Zo vertrouwelijk is mijn info niet en ook maak ik me niet veel zorgen hierom, ik ga gek worden als ik overal weer een ander wachtwoord heb, alle 100 sites iedere maand een nieuwe zou geven en dan niet te spereken over de 100 bevestigings mailtjes..

Laatst ook, kreeg een pamflet op school over een of andere marktplaats kopie. Stond er mooi "registreer nu je eigen account" oid, toen ik dat las direct verscheurd en weg gegooid, wachtwoord dit, wachtwoord dat!

Hou op en laat me internetten, zodra ik echt ergens toegang toe zou moeten hebben (zoals een forum om te posten, ophalen van specifieke info) dan wil ik wel inloggen, maar niet om één of andere demo van een mirror te halen...

wizzkizz @GENETX • 4 december 2006 19:18

ik gebruik daar meestal http://www.dodgeit.com/ voor

Allemaal mensen die een mailtje willen sturen droppen het daar maar, de gegevens die ik in die forms invul zijn toch zo nep als maar kan.

GENETX @wizzkizz • 4 december 2006 19:26

^^ gebruik ik ook voor dingen die ik eenmalig gebruik, echter zijn er nog wel eens sites die ik toch in mijn eigen mail wil en vaker gebruik terwijl ik het niet een nutteloze actie vind om op die site om een account te vragen...

Noxious 4 december 2006 18:33

[Afbeelding: Tweakers.net Editor Login]

* Noxious gokt: femme/14m1337

Verwijderd @Noxious • 5 december 2006 18:55

is DigiD dan ook niet veilig? Lekker dan, heb het net aangevraagd

Tenshi818 4 december 2006 19:45

Gewoon een beetje creatief zijn met het maken van a wachtwoord...

Een complex en zo goed als niet te raden wachtwoord is makkelijk te maken.

in plaats van bijvoorbeeld je geboorte datum pak de zin:

"mijn geboorte datum is 12-06-1920"

je wachtwoord: Mgdi12-06-1920

Lijkt lastig en misschien veel typen maar dat valt wel mee as je het eenmaal gewent bent type je het in a paar seconden zonder er bij na te hoeven denken.

Dit kan natuurlijk met elke zin.

ook gebruik van websites zoals www.bugmenot.com zijn een goed idee dan hoef je wachtwoord en andere info niet op elke site neer te gooien.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (93)

Sorteer op:

Weergave: