Poll
Wachtwoorden-wildgroei
De Franse overheid wil het gebruik van wachtwoorden op het internet overbodig maken, door gebruikers hun identiteit te laten bevestigen met een certificaat in de vorm van een smartcard of usb-stick. Goed idee?
- Nee, te onveilig
- 36,4%
- Interessant idee, maar ik moet het nog zien
- 26,9%
- Ze bieden een oplossing voor een probleem dat er niet is
- 23,7%
- Ja, ik word gek van al die wachtwoorden
- 13,0%
Aantal stemmen: 31.334. Deelname gesloten op 25-02-2010 11:44. Stemmen is niet meer mogelijk.
Reacties (115)
In mijn ogen een combinatie van "Ze bieden een oplossing voor een probleem dat er niet is" en "Nee, te onveilig".
Ten eerste zie ik het probleem helemaal niet. De meesten gebruiken sowieso maar één of twee verschillende wachtwoorden, dus dat is echt niet zo moelijk om te onthouden. Ik gebruik zelf wel allerlei verschillende wachtwoorden, maar het onthouden ervan is geen probleem.
Ten tweede is het veel te onveilig en te onhandig om je inloggegevens fysiek met je mee te dragen. Wat gebeurt er als de USB-stick kapot gaat? Dan kun je ineens nergens meer inloggen. Dan moet je een nieuwe gaan aanvragen en als dat op dezelfde manier gaat als het aanvragen van een nieuw paspoort, kun je minimaal een week wachten voordat je weer eens ergens kan inloggen (en moet je natuurlijk ook weer twee middagen vrij nemen: één keer om de USB-stick aan te vragen en nog een tweede keer om hem op te halen).
Wat doe je dan als je op je werk even wilt inloggen? Ik ga zo'n USB-stick echt niet mee naar mijn werk nemen. Stel je voor dat ik hem verlies of hem per ongeluk in de PC laat zitten als ik even naar de W.C. ben. Veel te onveilig. Dat zou dus betekenen dat je alleen nog maar thuis kunt inloggen.
Stel dat ik hem wel mee naar mijn werk neem, wat dan? Is het mogelijk om hem op het werk te gebruiken? Hoe zit het namelijk met beperkte rechten op PC's op het werk? Misschien mogen op het werk wel helemaal geen USB-sticks gebruikt worden. Wat nu als ik op het werk met een thin client werk? Moet er extra software voor geïnstalleerd worden om het ding te laten werken? Werkt hij dan alleen onder Windows of houden de Fransen ook rekening met Mac OS X, Linux of welk besturingssysteem dan ook? Gaan ze me verplichten om een ander besturingssysteem te gebruiken als ik gebruik maak van BeOS?
Een gebruikersnaam en wachtwoord invullen kan altijd en overal. Het maakt niets uit achter wat voor een PC ik zit. Als er een mogelijkheid is om op welke manier dan ook tekens in het tekstveld in te voeren, kan ik inloggen. Ik denk niet dat dat met deze USB-stick gaat lukken.
Nu heb ik het nog niet eens gehad over wat er gebeurt als de USB-stick gejat wordt. Hoe veilig is het ding? Hoe lang gaat het duren voordat hij gekraakt is en je gewoon iemands USB-stick kunt jatten en met een programmaatje alle gegevens kunt uitlezen?
Nee, wat die Fransen doen moeten ze zelf weten, maar ik houd het gewoon bij gebruikersnamen en wachtwoorden die ik in mijn hoofd heb opgeslagen.
Ten eerste zie ik het probleem helemaal niet. De meesten gebruiken sowieso maar één of twee verschillende wachtwoorden, dus dat is echt niet zo moelijk om te onthouden. Ik gebruik zelf wel allerlei verschillende wachtwoorden, maar het onthouden ervan is geen probleem.
Ten tweede is het veel te onveilig en te onhandig om je inloggegevens fysiek met je mee te dragen. Wat gebeurt er als de USB-stick kapot gaat? Dan kun je ineens nergens meer inloggen. Dan moet je een nieuwe gaan aanvragen en als dat op dezelfde manier gaat als het aanvragen van een nieuw paspoort, kun je minimaal een week wachten voordat je weer eens ergens kan inloggen (en moet je natuurlijk ook weer twee middagen vrij nemen: één keer om de USB-stick aan te vragen en nog een tweede keer om hem op te halen).
Wat doe je dan als je op je werk even wilt inloggen? Ik ga zo'n USB-stick echt niet mee naar mijn werk nemen. Stel je voor dat ik hem verlies of hem per ongeluk in de PC laat zitten als ik even naar de W.C. ben. Veel te onveilig. Dat zou dus betekenen dat je alleen nog maar thuis kunt inloggen.
Stel dat ik hem wel mee naar mijn werk neem, wat dan? Is het mogelijk om hem op het werk te gebruiken? Hoe zit het namelijk met beperkte rechten op PC's op het werk? Misschien mogen op het werk wel helemaal geen USB-sticks gebruikt worden. Wat nu als ik op het werk met een thin client werk? Moet er extra software voor geïnstalleerd worden om het ding te laten werken? Werkt hij dan alleen onder Windows of houden de Fransen ook rekening met Mac OS X, Linux of welk besturingssysteem dan ook? Gaan ze me verplichten om een ander besturingssysteem te gebruiken als ik gebruik maak van BeOS?
Een gebruikersnaam en wachtwoord invullen kan altijd en overal. Het maakt niets uit achter wat voor een PC ik zit. Als er een mogelijkheid is om op welke manier dan ook tekens in het tekstveld in te voeren, kan ik inloggen. Ik denk niet dat dat met deze USB-stick gaat lukken.
Nu heb ik het nog niet eens gehad over wat er gebeurt als de USB-stick gejat wordt. Hoe veilig is het ding? Hoe lang gaat het duren voordat hij gekraakt is en je gewoon iemands USB-stick kunt jatten en met een programmaatje alle gegevens kunt uitlezen?
Nee, wat die Fransen doen moeten ze zelf weten, maar ik houd het gewoon bij gebruikersnamen en wachtwoorden die ik in mijn hoofd heb opgeslagen.
Als je gek wordt van al die WW's maak dan 3 tot 4 ww's aan die je meestal gebruikt en maak een hard-copy van (op papier dus) en berg het op waar jij het weet waar ze liggen.
sieraden doosjes,lade's (wel goed geoordende lade's want anders ben je hem zo kwijt) ETC.
sieraden doosjes,lade's (wel goed geoordende lade's want anders ben je hem zo kwijt) ETC.
Ze hebben op zich wel een goed punt, maar brengen het verkeerd. Het zou best mooi zijn om voor bepaalde diensten (als overheidsdiensten etc.) een goede veilige vorm van inloggen te hebben.
Maar wachtwoorden overbodig maken? Ik heb genoeg plekken waar ik totaal geen behoefte heb om in te loggen als mezelf, maar gewoon als anonieme internetgebruiker met een rare nickname...
Maar wachtwoorden overbodig maken? Ik heb genoeg plekken waar ik totaal geen behoefte heb om in te loggen als mezelf, maar gewoon als anonieme internetgebruiker met een rare nickname...
Daar hebben ze digid voor uitgevonden (wat dan weer niet handig werkt).
:strip_icc():strip_exif()/u/88819/larry_new.jpg?f=community){kind=small}
DigiD is weliswaar persoonsgebonden, maar ze verbinden er geen conclusies aan.
Bij de belastingaangifte van vorig jaar ofzo gaf de belastingdienst mensen zonder DigiD als tip de DigiD van de buurman te gebruiken. Het ging alleen maar om de ondertekening van de aangifte, niet of de ondertekenaar dezelfde persoon als van aangifte was.
Hier hebben ze wel op hun flikker voor gekregen en volgens mij is het inmiddels ook aangepast.
Linkje
Bij de belastingaangifte van vorig jaar ofzo gaf de belastingdienst mensen zonder DigiD als tip de DigiD van de buurman te gebruiken. Het ging alleen maar om de ondertekening van de aangifte, niet of de ondertekenaar dezelfde persoon als van aangifte was.
Hier hebben ze wel op hun flikker voor gekregen en volgens mij is het inmiddels ook aangepast.
Linkje
:strip_icc():strip_exif()/u/229801/crop594d1429e8d7a_cropped.jpeg?f=community){kind=small}
digid, laat me niet lachen, als het niet zo droevig was.
met een pincode krijg ik bij de bank maar een paar honderd euro, de overheid vindt dat ik daar maar de grootste transactie van het jaar mee moet doen, m'n belastingaangifte ...
een van oveheidswege verstrekt certificaat, zoals in belgie, is vééél beter. in welke vorm, ( smartcard, rfid, mobiele telefoon ) moet dan nog bekeken worden.
met een pincode krijg ik bij de bank maar een paar honderd euro, de overheid vindt dat ik daar maar de grootste transactie van het jaar mee moet doen, m'n belastingaangifte ...
een van oveheidswege verstrekt certificaat, zoals in belgie, is vééél beter. in welke vorm, ( smartcard, rfid, mobiele telefoon ) moet dan nog bekeken worden.
en wat als de postbode dat bij je buurman door de brievenbus gooit??? en nu zal dat met een belastingaangifte nog niet zo heel veel uitmaken maar wat als het om de aanvraag van je nieuwe studiefinanciering gaat?
heetzelfde als een wachtwoord op je laptop of telefoon, dat staat erop omdat zelfs met fysieke toegang je nog niet zomaar overal toegang tot moet hebben
heetzelfde als een wachtwoord op je laptop of telefoon, dat staat erop omdat zelfs met fysieke toegang je nog niet zomaar overal toegang tot moet hebben
:strip_icc():strip_exif()/u/122857/Ed.jpg?f=community){kind=small}
defineer niet handig? Voor veel zaken zoals verhuizen naar andere gemeente e.d. belasting aangifte. Doe ik allemaal met DIGID.
:strip_icc():strip_exif()/u/207277/avatar2080_3.jpg?f=community){kind=avatar}
SMS authentificatie werkt inderdaad handig genoeg..
:strip_icc():strip_exif()/u/276052/avatar_2.jpg?f=community){kind=avatar}
Ja dat zeker, maar ik wordt er wel gek van dat ik het elke keer moet doen als ik ga inloggen.
Het zou wat mij betreft makkelijker zijn als dat alleen gebeurd bij het muteren van gegevens.
De site van bijvoorbeeld de IB-Groep(of hoe dat dan ook heet nu) is nogal brak, en je moet om de 10 min. opnieuw inloggen...
Het zou wat mij betreft makkelijker zijn als dat alleen gebeurd bij het muteren van gegevens.
De site van bijvoorbeeld de IB-Groep(of hoe dat dan ook heet nu) is nogal brak, en je moet om de 10 min. opnieuw inloggen...
Klopt maar dat ligt meer aan de slechte service van de overheid.
Ze willen je gewoon minder anoniem maken om de veiligheid te verhogen. Ik vertrouw die fransen echter voor geen meter ze willen vast er ook iets anders mee.
Ze willen je gewoon minder anoniem maken om de veiligheid te verhogen. Ik vertrouw die fransen echter voor geen meter ze willen vast er ook iets anders mee.
/u/159942/crop64f75622619cc.png?f=community){kind=small}
De relatieve anonimiteit die wij internetzers hebben is een doorn in het oog van overheden en tal van andere organisaties. Als dit een poging is daar wat aan te doen, gebracht in de vorm van een grote verbetering voor ons, dan hebben de marketeers werkelijk briljant werk afgeleverd.
Veiligheid voorop, is de insteek van de overheid tegenwoordig. Zoals men van boerkas af willen komen, mogen mensen ook niet meer schuilen achter een nickname en zelf verzonnen gegevens.
:strip_icc():strip_exif()/u/66780/macnerd.jpg?f=community){kind=small}
Analoog daaraan zou een schrijver ook geen pseudoniem moeten hebben en artiesten geen artiestennaam...
:strip_exif()/u/92704/AthlonX2.gif?f=community){kind=small}
Wie zegt dat je niet overal een nick kan kiezen en daramee bekent bent bij de sites? We weten nog helemaal niet wat ze van plan zijn en hoe ze het uit willen werken.
Dus goed idee, maar eerst even afwachten voordat er iemand iets zinnigs kan zeggen.
We kunnen wel van alles gaan roepen maar er bestaat nog geen plan.
Dus goed idee, maar eerst even afwachten voordat er iemand iets zinnigs kan zeggen.
We kunnen wel van alles gaan roepen maar er bestaat nog geen plan.
:strip_icc():strip_exif()/u/140051/BSOD.jpg?f=community){kind=small}
dus omdat het gros te dom is om een wachtwoord te onthouden heb je stax gewoon een 100% waterdicht systeem om iemands hoe waar en waarom op internet in de gaten te houden...
ze moesten gewoon boetes uit gaan delen voor vergeten en/of opgeschreven wachtwoorden..
ze moesten gewoon boetes uit gaan delen voor vergeten en/of opgeschreven wachtwoorden..
[Reactie gewijzigd door i-chat op 31 juli 2024 07:47]
Wat heb jij een heerlijk makkelijk leventje dan."een wachtwoord"
Als ik eens bedenk hoeveel wachtwoorden ik momenteel heb... (en veel daarvan kun je hetzelfde maken, maar heel veel anderen ook niet).
Alleen al voor de twee ziekenhuizen waar ik werk zit ik per ziekenhuis aan 3-4 verschillende codes om röntgen/MRI-beelden in te zien, het patiëntendossier in te zien, in het voorschrijfsysteem te komen, etc. Tel daar bij op dat in het ene ziekenhuis die klotecodes ook nog eens om de maand ofzo gewijzigd moeten worden, in het andere om de 2 maanden (en je de code van de afgelopen 15 keer niet mag gebruiken) en dan vinden de ICT'ers aldaar het ook nog gek dat ik nadat ik 3 maanden in het ene ziekenhuis heb gewerkt, ik de codes in het andere niet meer weet en weer alles kan laten resetten...
De oplossing: je codes opschrijven???? Dat is denk ik toch aanmerkelijk onveiliger dan mijn zelfde code, die al tien jaar niemand weet, te gebruiken.
Ach ja, als ik dan een keer in de dienst toch in het andere ziekenhuis moet zijn kan ik weer om drie uur 's nachts de dienstdoende ICT'er uit zijn nest bellen om mijn account te laten resetten. In mijn ogen poetic justice. (in hun ogen vermoedelijk niet
).edit: typo
[Reactie gewijzigd door Masterlans op 31 juli 2024 07:47]
:strip_icc():strip_exif()/u/12461/crop65b195553d948.jpg?f=community){kind=small}
Heb ik zelf iig wel.Wat heb jij een heerlijk makkelijk leventje dan.
Heb ik ook. Momenteel een stuk of 50. Voor elke site waar ik me registreer neem ik een ander wachtwoord.Als ik eens bedenk hoeveel wachtwoorden ik momenteel heb...
Nee, een key generator gebruiken adhv een per systeem opgeslagen salt en je master wachtwoord. Je hoeft maar 1 ww te onthouden, die je bovendien nooit over het internet hoeft te sturen, terwijl het uiteindelijk gebruikte ww voor ieder systeem anders is.De oplossing: je codes opschrijven????
Een beetje vergelijkbaar met de random reader die bij banken gebruikt wordt (behalve dat het geen challenge/response is, maar dat het wel gewoon overal mee werkt). Zou evt ook een applicatie op je telefoon kunnen zijn, die je vrijwel altijd bij je draagt. Het grote verschil met wat de Fransen willen is dat je nog steeds iets houdt wat je uit je hoofd moet weten. En dát is dom, want dan kun je je impersoneren door simpelweg dat apparaat te stelen wat jou moet gaan identificeren.
[Reactie gewijzigd door .oisyn op 31 juli 2024 07:47]
Is daar al een goed toepasbare variant op te vinden? (voor een smartphone bijvoorbeeld?) Of stel ik het me dan te simpel voor? Ik houd me warm aanbevolen als je een verbetering in mijn huidige wachtwoorden-situatie kunt bewerkstelligen...
[Reactie gewijzigd door Masterlans op 31 juli 2024 07:47]
Opzich een goed systeem maaaaaaar....
Bv: standaard = !ww123
En dan als toevoeging de eerste 3 letters van de website/systeem erachter.
Het probleem gaat hem alleen zitten als je bijvoorbeeld 3 maandelijks of halfjaarlijks je wachtwoord moet wijziging... daar zou je weer met een ophoging van je standaard wachtwoord kunnen werken mja... dan moet je dat weer onthouden
Dus oisyn verrijk ons met je wijsheid!
Bv: standaard = !ww123
En dan als toevoeging de eerste 3 letters van de website/systeem erachter.
Het probleem gaat hem alleen zitten als je bijvoorbeeld 3 maandelijks of halfjaarlijks je wachtwoord moet wijziging... daar zou je weer met een ophoging van je standaard wachtwoord kunnen werken mja... dan moet je dat weer onthouden
Dus oisyn verrijk ons met je wijsheid!
:strip_icc():strip_exif()/u/2210/cobra.jpg?f=community){kind=small}
Daar zijn SSO oplossingen voor. Moeten ze het wel implementeren natuurlijk.
Is dan ook al herhaaldelijk om gevraagd... Nog steeds geen verbetering helaas. Ook de introductie van SAP (mijns inziens een mooi moment om zoiets vanaf het begin erin te hebben) heeft alleen maar weer een extra wachtwoord toegevoegd...
:strip_icc():strip_exif()/u/268410/worm.jpg?f=community){kind=small}
opschrijven is eigenlijk wel een goed plan, hou het papiertje gewoon goed op een veilig plaats bij je, aangezien de wachtwoorden toch elke maand gewijzigd worden is er maar een klein risico als je het zou verliezen.
Ik heb mijn wachtwoorden op m'n muur geschreven
Lijkt dom maar op diezelfde muur staan nog een hoop andere onzin opgeschreve tegen geplakt en dingen zelfs verstopt (onder papiertjes).
En de kans dat iemand hier physiek in mijn kamer komt om m'n passwoord te stelen is kleiner dan dat kans dat er spyware op mijn systeem komt dat leest welke passwoorden ik intyp.
Lijkt dom maar op diezelfde muur staan nog een hoop andere onzin opgeschreve tegen geplakt en dingen zelfs verstopt (onder papiertjes).
En de kans dat iemand hier physiek in mijn kamer komt om m'n passwoord te stelen is kleiner dan dat kans dat er spyware op mijn systeem komt dat leest welke passwoorden ik intyp.
/u/15664/crop6881d8a8bb43f_cropped.png?f=community){kind=small}
Dus mijn oma van 87 is dus dom omdat zij haar wachtwoorden en pincodes niet kan onthouden?
Probeer eens verder te denken dan jouw eigen wereldje voordat je dit soort uitspraken doet kerel... Er genoeg mensen die idd moeite hebben met het onthouden van al die verschillende wachtwoorden, en dat hoeft helemaal niks te maken te hebben met het dom zijn van die mensen.
Probeer eens verder te denken dan jouw eigen wereldje voordat je dit soort uitspraken doet kerel... Er genoeg mensen die idd moeite hebben met het onthouden van al die verschillende wachtwoorden, en dat hoeft helemaal niks te maken te hebben met het dom zijn van die mensen.
/u/152942/crop687206d7bca78.png?f=community){kind=small}
En voor iedereen die z'n wachtwoorden niet kan onthouden zijn er tooltjes die het voor jou kunnen doen, en dat begint al bij de web browser. Iedere moderne browser heeft een password store. Volgens mij is dat al een jaar of 15 zo.
i-chat, later komt er ook nog een iris scan bij. Extra veilig. Extra big brother.
Het gaat niet om het onthouden van wachtwoorden, het gaat om dat we niet meer anoniem kunnen zijn.
En dan verliest iemand bij de AIVD zijn stickje....
Kan ik er zomaar mee inloggen op de AIVD site, en misschien er ook nog wel het gebouw mee binnenlopen. Even stickje in de paal bij het poortje en de poort gaat open.
Kan ik er zomaar mee inloggen op de AIVD site
, en misschien er ook nog wel het gebouw mee binnenlopen. Even stickje in de paal bij het poortje en de poort gaat open.
Inderdaad ook het eerste wat ik dacht.
Wel heel veilig alles op een stick, maar als deze je "indentiteit" bevat kun je met die stick overal naar binnen/toegang krijgen,
Wel heel veilig alles op een stick, maar als deze je "indentiteit" bevat kun je met die stick overal naar binnen/toegang krijgen,
helemaal niet op die stick staat dus nu gewoon een wachtwoord.
(mischien een code, met antwoord code of wat dan ook doet er niet toe.)
dat betekent dat als je de data uitvoer van die stick kan namaken.
(wat voor soor dat ook mag zijn)
je alle beveiligde content van die persoon kan accessen.
nu kan men door verschillende wachtwoorden te gebruiken zorgen dat als er iets gehacked wordt, iig niet meteen alles gehacked wordt...
(mischien een code, met antwoord code of wat dan ook doet er niet toe.)
dat betekent dat als je de data uitvoer van die stick kan namaken.
(wat voor soor dat ook mag zijn)
je alle beveiligde content van die persoon kan accessen.
nu kan men door verschillende wachtwoorden te gebruiken zorgen dat als er iets gehacked wordt, iig niet meteen alles gehacked wordt...
[Reactie gewijzigd door freaq op 31 juli 2024 07:47]
/u/327184/Sonar%2520pic%2520small.png?f=community){kind=small}
En daardoor verhelpen ze het probleem niet. Je hebt opnieuw een code die je moet onthouden, maar dit keer is het een code die voor heel veel verschillende inlogsystemen geschikt is. Als je nu dat ding verliest en iemand anders vindt het, hoeft die persoon maar één code te kraken.helemaal niet op die stick staat dus nu gewoon een wachtwoord.
(mischien een code, met antwoord code of wat dan ook doet er niet toe.)
In mijn geval zijn er verschillende wachtwoorden die ik op internet gebruik, wat naar mijn idee veiliger is.
Ik kan het nut van zo'n ding ook wel inzien, minder gedoe maar ik vind het zeker niet veiliger dan het huidige systeem.
:strip_icc():strip_exif()/u/6105/crop5864bdfc59eeb_cropped.jpeg?f=community){kind=small}
Knappe jongen die die code kan kraken in (vaak) maximaal drie pogingen. Daarna wordt de token geblokkeerd en kun je fluiten naar de wachtwoorden.
Kan je heel makkelijk oplossen door bijv in de stick ook een fingerprint reader te zetten
Valt me trouwen op dat veel mensen hier denken dat de mensen die dit moeten invoeren te dom zijn om te denken aan alle nadelen die hier aangedragen worden. Denken jullie nou werkelijk dat het voldoende is om puur dat stickje in te pluggen om volledige toegang te gaan krijgen tot overheidssystemen e.d.?
Valt me trouwen op dat veel mensen hier denken dat de mensen die dit moeten invoeren te dom zijn om te denken aan alle nadelen die hier aangedragen worden. Denken jullie nou werkelijk dat het voldoende is om puur dat stickje in te pluggen om volledige toegang te gaan krijgen tot overheidssystemen e.d.?
/u/64683/crop67e6d240d8cdc_cropped.png?f=community){kind=small}
Jammer dat in Duitsland al aangetoond is dat de huidige generatie vingerafdrukscanners geen verschil zien tussen een echte vingerafdruk en een kopie op een plakbandje (op een vinger van was)
Ik weet trouwens niet of ik blij moet zijn met biometrische toegangscontrole. Mijn wachtwoord/pincode kan ik desnoods wijzigen, mijn vingerafdruk nooit. En ik wil niet graag in een je vinger-of-je-leven situatie verkeren.
Ik weet trouwens niet of ik blij moet zijn met biometrische toegangscontrole. Mijn wachtwoord/pincode kan ik desnoods wijzigen, mijn vingerafdruk nooit. En ik wil niet graag in een je vinger-of-je-leven situatie verkeren.
Hmm, ik heb weer eens een mix van antwoorden.
Ja, ik word gek van al die wachtwoorden. Het is niet veilig om voor een forum zoals dit, je bankzaken, je online shops, je email, je netwerk account op de zaak etc. etc. dezelfde wachtwoorden te hanteren. Daardoor zit ik nu met minstens tien verschillende wachtwoorden en dat is lastig.
Bewaren in een centrale app vind ik ook weer niet safe. Op fora heb ik al vaak dat ik maandelijks de wachtwoord vergeten optie gebruik en het random gegenereerde nieuwe wachtwoord gebruik.
Nee, te onveilig. Een USB stick is onhandig en in ieder geval niet veiliger naar mijn idee. Je kunt 'm kwijtraken of de stick gaat kapot. Daarbij is het onduidelijk op welke momenten de stick uitgelezen wordt en welke informatie daarvoor centraal bijgehouden zal worden. Ook één "toegangsbewijs" voor fora, bankzaken etc. lijkt me niet verstandig.
De hoeveelheid wachtwoorden maakt het onhandig en men is al minstens tien jaar bezig om een slimmer alternatief hiervoor te verzinnen, maar vooralsnog is geen enkele oplossing levensvatbaar gebleken. Ook de stick of card lijkt me geen oplossing.
Ja, ik word gek van al die wachtwoorden. Het is niet veilig om voor een forum zoals dit, je bankzaken, je online shops, je email, je netwerk account op de zaak etc. etc. dezelfde wachtwoorden te hanteren. Daardoor zit ik nu met minstens tien verschillende wachtwoorden en dat is lastig.
Bewaren in een centrale app vind ik ook weer niet safe. Op fora heb ik al vaak dat ik maandelijks de wachtwoord vergeten optie gebruik en het random gegenereerde nieuwe wachtwoord gebruik.
Nee, te onveilig. Een USB stick is onhandig en in ieder geval niet veiliger naar mijn idee. Je kunt 'm kwijtraken of de stick gaat kapot. Daarbij is het onduidelijk op welke momenten de stick uitgelezen wordt en welke informatie daarvoor centraal bijgehouden zal worden. Ook één "toegangsbewijs" voor fora, bankzaken etc. lijkt me niet verstandig.
De hoeveelheid wachtwoorden maakt het onhandig en men is al minstens tien jaar bezig om een slimmer alternatief hiervoor te verzinnen, maar vooralsnog is geen enkele oplossing levensvatbaar gebleken. Ook de stick of card lijkt me geen oplossing.
/u/28121/avatar_kleiner.png?f=community){kind=avatar}
Wellicht heb je niet helemaal begrepen wat voor USB-stick dit is, of wat een smartcard inhoudt. Die moet je met een PIN of (master-) wachtwoord openen voor gebruik. En al je versleutelde verkeer gaat dan door de USB stick, omdat de private key van het persoons-gebonden certificaat de kern van de USB-stick niet uit komt.
Ik vind het een geweldig idee, maar nogal onwerkelijk om het op een dergelijke manier in te voeren.
Ik heb zo'n USB-stick van Aladdin. Het is een e-Token en bevat een crypto-engine in de stick, met een klein geheugen om de private key in aan te maken en nooit uit te laten kopieren. Mits je de chip opensnijdt met een laser om het uit de epoxie te halen (zonder dat het breekt).
Dit initiatief mist:
- de uitrol van een PKI omgeving bij de betrokken bedrijven
- de ondersteuning voor verschillende PKI structuren (op een gebruiksvriendelijke manier) met de USB-etokens of smartcards.
- bedrijven en particulieren moeten hier ook gebruik van moeten maken.
- Moet goedkoop zijn of gratis (als je ziet wat VeriSign vraagt voor zoiets...)
- ...
Verder is het lariekoek als de overheid deze service gaat draaien. Dit zou verspreid moeten worden om concurrentie niet af te slaan. Ik wil het als non-profit ook kunnen doen.
Het is ook lariekoek dat de overheid gelijk weer een tap in je leven krijgt. Je geeft nu ook al je gebruikersnaam en wachtwoord af. Dus ze weten al iets van je. Je moet gewoon op dezelfde cryptografische prettige manier ook anonieme certificaten kunnen aanmaken, net als met een gebruikersnaam nu.
Als dat niet kan... forget it!
Ik vind het een geweldig idee, maar nogal onwerkelijk om het op een dergelijke manier in te voeren.
Ik heb zo'n USB-stick van Aladdin. Het is een e-Token en bevat een crypto-engine in de stick, met een klein geheugen om de private key in aan te maken en nooit uit te laten kopieren. Mits je de chip opensnijdt met een laser om het uit de epoxie te halen (zonder dat het breekt).
Dit initiatief mist:
- de uitrol van een PKI omgeving bij de betrokken bedrijven
- de ondersteuning voor verschillende PKI structuren (op een gebruiksvriendelijke manier) met de USB-etokens of smartcards.
- bedrijven en particulieren moeten hier ook gebruik van moeten maken.
- Moet goedkoop zijn of gratis (als je ziet wat VeriSign vraagt voor zoiets...)
- ...
Verder is het lariekoek als de overheid deze service gaat draaien. Dit zou verspreid moeten worden om concurrentie niet af te slaan. Ik wil het als non-profit ook kunnen doen.
Het is ook lariekoek dat de overheid gelijk weer een tap in je leven krijgt. Je geeft nu ook al je gebruikersnaam en wachtwoord af. Dus ze weten al iets van je. Je moet gewoon op dezelfde cryptografische prettige manier ook anonieme certificaten kunnen aanmaken, net als met een gebruikersnaam nu.
Als dat niet kan... forget it!
[Reactie gewijzigd door VisionMaster op 31 juli 2024 07:47]
Niet te moeilijk denken man. Het kan ook een programmatje à la KeePass zijn (of zelfs een plugin ervoor) waarmee een website direct ingelogd kan raken. Een certificaat (op de website) is dan natuurlijk nodig ter verificatie en identificatie.
Dat betekent dus HTTPS, maar dat zou eigenlijk sowieso verplicht moeten zijn voor het overpompen van gevoelige data als wachtwoorden.
In principe zijn de ingrediënten er dus al. Nu nog de last mile waarin de boel gekoppeld en geintegreerd wordt. En heel belangrijk: maak het makkelijk en toegankelijk, en zorg ervoor dat mensen weten dat het er is en waarom het handig/verstandig is.
Dat betekent dus HTTPS, maar dat zou eigenlijk sowieso verplicht moeten zijn voor het overpompen van gevoelige data als wachtwoorden.
In principe zijn de ingrediënten er dus al. Nu nog de last mile waarin de boel gekoppeld en geintegreerd wordt. En heel belangrijk: maak het makkelijk en toegankelijk, en zorg ervoor dat mensen weten dat het er is en waarom het handig/verstandig is.
[Reactie gewijzigd door _Thanatos_ op 31 juli 2024 07:47]
:strip_exif()/u/25150/Gizzbril.gif?f=community){kind=small}
Ik hoef nu al geen duizend verschillende wachtwoorden te onthouden. Ik ken er 3 uit mijn hoofd en de overige 50 staan netjes in Keepass.Bovendien hoeven gebruikers niet meer 'duizend verschillende wachtwoorden te onthouden', stelt Nathalie Kosciusko-Morizet, de Franse minister voor Digitalisering
Welke gebruiker heeft nou echt duizend wachtwoorden
Ik heb dan ook 'Ze bieden een oplossing voor een probleem dat er niet is' gestemd.
Zelfs mijn moeder hoeft maar één wachtwoord te onthouden omdat de rest in Keepass staat.
Duizend is natuurlijk figuurlijk bedoeld, en betekent in dit geval "veel"
:strip_icc():strip_exif()/u/20383/crop57de62db41c81.jpeg?f=community){kind=small}
Opvallend hoeveel Tweakers een certificaat minder veilig vinden dan een wachtwoord. Een beetje certificaat heeft een entropie die zo'n honderd keer zo groot is als een gemiddeld wachtwoord. Daarbij hoeft een certificaat, dankzij publieke-sleutel-encryptie, nooit over een onveilig kanaal verstuurd te worden, in tegenstelling tot een wachtwoord.
Alleen waar komt die certificaat vandaan
In veel gevallen is het gewoon een bestandje ergens op de HDD. En die kan simpel naar een andere schijf gekopieerd worden.
In veel gevallen is het gewoon een bestandje ergens op de HDD. En die kan simpel naar een andere schijf gekopieerd worden.
:strip_icc():strip_exif()/u/105829/crop5dafb3f448ec1_cropped.jpeg?f=community){kind=small}
vertrouw jij de Nederlandse overheid met jouw veiligheid certificaat? DigiD iemand?
vanwege DigiD doe ik al mijn aangiften juist op papier, dat systeem is gewoon echt schijt.
ik heb het hier niet over wie er in het kabinet zit, ik ben zelf pvda
overheden en computer systemen gaan gewoon niet samen, vooral niet met dat soort domme vrouwen uit mijn eigen partij (jezus waar hebben ze die groep vrouwen vandaan getoverd? het is echt niveau Verdonk "alzheimer iemand?")
(edit all into al)
vanwege DigiD doe ik al mijn aangiften juist op papier, dat systeem is gewoon echt schijt.
ik heb het hier niet over wie er in het kabinet zit, ik ben zelf pvda
overheden en computer systemen gaan gewoon niet samen, vooral niet met dat soort domme vrouwen uit mijn eigen partij (jezus waar hebben ze die groep vrouwen vandaan getoverd? het is echt niveau Verdonk "alzheimer iemand?")
(edit all into al)
[Reactie gewijzigd door stewie op 31 juli 2024 07:47]
Tsja, daar zeg je wat: het hele idee van een certificaat is dat het identificerend is voor jou en dat jij dus de enige bent die erover beschikt. Als je dat niet kunt garanderen dan is alle waarde weg. (Vgl vingerafdrukkendatabase: zodra die bestaat bewijst een vingerafdruk niets meer)
En @ stewie: Helaas lijken juist bij de grote partijen inderdaad de mensen te zitten die er op zijn zachtst gezegd opvallende ideeën op nahouden met betrekking tot IT, veiligheid, dataopslag en dergelijken.
En @ stewie: Helaas lijken juist bij de grote partijen inderdaad de mensen te zitten die er op zijn zachtst gezegd opvallende ideeën op nahouden met betrekking tot IT, veiligheid, dataopslag en dergelijken.
Het is wel een goed idee. De franse overheid volgt hier mee de nederlandse overheid, die binnenkort een smart card voor digid authenticatie met verhoogde beveiliging gaat invoeren
Natuurlijk gaat dit niet alle wachtwoorden voor alle diensten op internet vervangen.
Daarnaast ben ik eigenlijk best wel geschokt, over het aantal reacties, waarin zomaar even wordt gesteld, dat de overheid dan weet en bijhoudt op welke websites je inlogt. Ook voor de organisatie die digid beheert, behoort zich te gedragen volgens de wet bescherming persoonsgegevens.
Bovendien als website beheerder bepaal je natuurlijk zelf hoe je je klanten toegang geeft.
Natuurlijk gaat dit niet alle wachtwoorden voor alle diensten op internet vervangen.
Daarnaast ben ik eigenlijk best wel geschokt, over het aantal reacties, waarin zomaar even wordt gesteld, dat de overheid dan weet en bijhoudt op welke websites je inlogt. Ook voor de organisatie die digid beheert, behoort zich te gedragen volgens de wet bescherming persoonsgegevens.
Bovendien als website beheerder bepaal je natuurlijk zelf hoe je je klanten toegang geeft.
Als je het artikelen beter had gelezen dan was je erachter gekomen dat er in de eerste regel van het artikel staat:Natuurlijk gaat dit niet alle wachtwoorden voor alle diensten op internet vervangen.
De Franse overheid wil het gebruik van wachtwoorden op het internet overbodig maken, door gebruikers hun identiteit te laten bevestigen met een certificaat in de vorm van een smartcard of usb-stick.
Het gaat niet alleen om de toegang tot het overheid website, maar het idee is om een universeel wachtwoord dat alle andere wachtwoorden moet vervangen.
Het lijkt mij juist minder veilig worden, als hackers het voor elkaar krijgen het certificaat na te maken of te kopiëren hebben ze in één keer toegang tot je hele internet leven.
Waarom niet gewoon het mooie protocol OpenID gebruiken? Is open, veilig, gratis, snel en makkelijk te implementeren in allerlei applicaties.
Inderdaad.
Alleen het probleem is dat bedrijven eerder denken "Mensen moeten op mijn site kunnen inloggen", dan "Ik wil ingelogde mensen indentificeren om zo te kunnen personaliseren".
Bij het eerste zal de implementatie een eigen login mechanisme zijn.
Bij het tweede kunnen ze ook kiezen voor openID.
Ook hebben veel applicatieservers, frameworks, e.d. een login mechanisme met gebruikersnaam/email en wachtwoord. Het is dan veel makkelijker/sneller om dat te gebruiken in plaats van de openID te gebruiken.
Alleen het probleem is dat bedrijven eerder denken "Mensen moeten op mijn site kunnen inloggen", dan "Ik wil ingelogde mensen indentificeren om zo te kunnen personaliseren".
Bij het eerste zal de implementatie een eigen login mechanisme zijn.
Bij het tweede kunnen ze ook kiezen voor openID.
Ook hebben veel applicatieservers, frameworks, e.d. een login mechanisme met gebruikersnaam/email en wachtwoord. Het is dan veel makkelijker/sneller om dat te gebruiken in plaats van de openID te gebruiken.
:strip_icc():strip_exif()/u/8379/crop568422c027ddc_cropped.jpeg?f=community){kind=small}
Te onveilig natuurlijk.
Voor iedereen die passwords onthouden lastig vindt, twee tips:
1) Laat Firefox je passwords voor websites onthouden, maar vergeet niet het master password te zetten.
2) Gebruik KeePass voor de rest. (En voor het genereren van unieke passwords voor elke website.)
Voor iedereen die passwords onthouden lastig vindt, twee tips:
1) Laat Firefox je passwords voor websites onthouden, maar vergeet niet het master password te zetten.
2) Gebruik KeePass voor de rest. (En voor het genereren van unieke passwords voor elke website.)
Dus je bent verder tegen sterke cryptografische oplossingen, als die gebruikt kunnen worden?
Ik vind het persoonlijk een leuk idee van de Fransen, maar totaal onhaalbaar. Ik gebruik certificaten om mezelf te identificeren bij werkgerelateerde dingen. Met mijn eToken had ik mijn certificaat in dat ding zitten. De private key wordt gebruikt alleen in de USB stick. Het kan niet veel veiliger.
Ik vind het persoonlijk een leuk idee van de Fransen, maar totaal onhaalbaar. Ik gebruik certificaten om mezelf te identificeren bij werkgerelateerde dingen. Met mijn eToken had ik mijn certificaat in dat ding zitten. De private key wordt gebruikt alleen in de USB stick. Het kan niet veel veiliger.
Op dit item kan niet meer gereageerd worden.