Wachtwoordbeleid


actuallymentor Auteur

Je ziet hier hoeveel reputatiepunten actuallymentor heeft ontvangen van andere leden.

3-zits Reacties: 17

1 september 2016, 12:29

Goedemorgen,

Gisteren wil ik inloggen, maar dat kon niet zonder geforceerd veranderen van het wachtwoord. Op twitter gaven jullie aan dat:

"Elk half jaar het wachtwoord wijzigen is in onze beleving wel veilig."

Ik wil jullie er even op wijzen dat onderzoek uitwijst dat dit soort ongefundeerde 'security' practices alleen maar voor ZWAKKERE wachtwoorden zorgen. Zie FTC onderzoek van rond maart: https://www.ftc.gov/news-events/blogs/techftc/2016/03/time-rethink-mandatory-password-changes

Please, please, doe dit niet. Behalve als er een hack/veiligheidslek is geweest.

Reacties (103)

  • PamPam

    Je ziet hier hoeveel reputatiepunten Pam heeft ontvangen van andere leden.

    Moderator Reacties: 1081
    Allrounder

    Allrounder

    Expert

    Expert

    Lezer

    Lezer

    1 september 2016, 13:58

    actuallymentor schreef:

    Gisteren wil ik inloggen, maar dat kon niet zonder geforceerd veranderen van het wachtwoord.
    Please, please, doe dit niet. Behalve als er een hack/veiligheidslek is geweest.



    Goedemiddag! Bedankt voor je inbreng. Ik ga dit voorleggen aan mijn collega's van Security, ben benieuwd hoe zij hier tegenaan kijken. Je hoort het snel!
    Webcare Moderator bij Knab
  • actuallymentor Auteur

    Je ziet hier hoeveel reputatiepunten actuallymentor heeft ontvangen van andere leden.

    3-zits Reacties: 17

    2 september 2016, 12:09

    Pam schreef:

    Goedemiddag! Bedankt voor je inbreng. Ik ga dit voorleggen aan mijn collega's van Security, ben benieuwd hoe zij hier tegenaan kijken. Je hoort het snel!



    Hoor het graag!

    Ik snap dat dit soort dinge instinctief veiliger voelen maar ze doen eigenlijk niets anders dan irritaties opleveren. Beetje als de 100ml per flesje limiet op vliegvelden.
  • JHNieiwenhuis

    Je ziet hier hoeveel reputatiepunten JHNieiwenhuis heeft ontvangen van andere leden.

    Reacties: 20
    Allrounder

    Allrounder

    6 september 2016, 11:02

    Helemaal mee eens. Je kan beter er voor zorgen dat men een sterk wachtwoord moet gebruiken van veel en verschillende tekens dan telkens het wachtwoord te laten veranderen. Mensen gaan dan bijvoorbeeld oplopende getallen gebruiken oid wat niet echt veiliger is.
  • actuallymentor Auteur

    Je ziet hier hoeveel reputatiepunten actuallymentor heeft ontvangen van andere leden.

    3-zits Reacties: 17

    7 september 2016, 13:40

    JHNieiwenhuis schreef:

    Helemaal mee eens. Je kan beter er voor zorgen dat men een sterk wachtwoord moet gebruiken van veel en verschillende tekens dan telkens het wachtwoord te laten veranderen. Mensen gaan dan bijvoorbeeld oplopende getallen gebruiken oid wat niet echt veiliger is.



    Exact, plus dat veel mensen makkelijkere/kortere wachtwoorden doen als ze wachtwoorden moeten aanpassen.

    Beter om een minimumlengte in te stellen, bijv een passphrase in plaats van een 6 character password.
  • Marcel69

    Je ziet hier hoeveel reputatiepunten Marcel69 heeft ontvangen van andere leden.

    2-zits Reacties: 1

    13 september 2016, 22:20

    Beste Pam,

    heb je al antwoord van de afdeling security?

    Ik heb hierover dik een jaar geleden ook al eens vragen gesteld en toen zou het ook aan die afdeling voorgelegd worden...

    Voor zover ik me kan heugen is KNAB de enige instantie die dit historische uiterst storende beleid nog voert en mijn wachtwoord wordt ook elke keer alleen maar zwakker
  • actuallymentor Auteur

    Je ziet hier hoeveel reputatiepunten actuallymentor heeft ontvangen van andere leden.

    3-zits Reacties: 17

    14 september 2016, 10:04

    Pam schreef:

    Je hoort het snel!



    Marcel69 schreef:

    heb je al antwoord van de afdeling security?



    Ben ook erg nieuwsgierig. We denken als gebruiker graag mee, maar blijf wel communiceren anders wordt het alleen maar frustrerender.
  • PamPam

    Je ziet hier hoeveel reputatiepunten Pam heeft ontvangen van andere leden.

    Moderator Reacties: 1081
    Allrounder

    Allrounder

    Expert

    Expert

    Lezer

    Lezer

    14 september 2016, 12:26

    Marcel69 schreef:

    heb je al antwoord van de afdeling security?


    actuallymentor schreef:

    Ben ook erg nieuwsgierig. We denken als gebruiker graag mee, maar blijf wel communiceren anders wordt het alleen maar frustrerender.



    Hi Marcel en Actuallymentor,

    Ik ben er hard mee bezig. Ik snap jullie wens om snel een antwoord te krijgen, maar omdat het om jullie veiligheid gaat wil ik jullie van een degelijk antwoord voorzien. Daarom wordt er op dit moment vanuit meerdere perspectieven de discussie gevoerd zodat we een weloverwogen reactie kunnen plaatsen.

    Groet Pam
    Webcare Moderator bij Knab
  • PamPam

    Je ziet hier hoeveel reputatiepunten Pam heeft ontvangen van andere leden.

    Moderator Reacties: 1081
    Allrounder

    Allrounder

    Expert

    Expert

    Lezer

    Lezer

    20 september 2016, 15:59

    actuallymentor schreef:

    Gisteren wil ik inloggen, maar dat kon niet zonder geforceerd veranderen van het wachtwoord.


    JHNieiwenhuis schreef:

    Helemaal mee eens.


    Marcel69 schreef:

    heb je al antwoord van de afdeling security?



    Nogmaals bedankt voor jullie kritische kijk rondom het wijzigen van het wachtwoord. Doordat het een gevoelig punt is, het gaat tenslotte om jullie veiligheid, vinden wij het erg belangrijk om onze keuze goed te kunnen toelichten, vandaar dat ons antwoord wat langer achterwege bleef.

    Zoals jullie weten dien je bij Knab om het half jaar je wachtwoord verplicht te wijzigen. Er zijn meerdere onderzoeken gedaan, waarbij er twee meningen zijn: het vaker wijzigen van het wachtwoord is veiliger of juist het tegenovergestelde. Het artikel dat jij (@actuallymentor) meestuurt is zeer interessant en voor mijn collega's die over dit vraagstuk gaan ook zeker de moeite waard om zich verder in te verdiepen.

    Het standpunt dat Knab heeft ingenomen is gebaseerd op de huidige manier van verificatie (inloggen met gebruikersnaam en wachtwoord). Wij zijn ons aan het oriënteren op andere methodes, hier kan ik echter nog niks concreets over melden. Zodra we andere methodes faciliteren, zullen ook de regels omtrent het wijzigen van het wachtwoord mogelijk worden herzien.

    Groet Pam
    Webcare Moderator bij Knab
  • Pieter

    Je ziet hier hoeveel reputatiepunten Pieter heeft ontvangen van andere leden.

    2-zits Reacties: 5

    3 oktober 2016, 07:17

    Mocht het beleid niet veranderen, zou het dan mogelijk zijn om een notificatie te krijgen dat je wachtwoord over x dagen verloopt? Afgelopen weekend moest ik midden in een iDeal betaling spontaan mijn wachtwoord veranderen: onhandig!
  • pascaldevink

    Je ziet hier hoeveel reputatiepunten pascaldevink heeft ontvangen van andere leden.

    2-zits Reacties: 1

    4 oktober 2016, 12:05

    Gister werd mij gevraagd om mijn wachtwoord te wijzigen (gedurende een iDeal betaling, heel vervelend, maar daar is al een ander topic over). Ik wilde dat uiteraard doen, anders kon ik niet doorgaan met betalen, maar tot mijn schrik is er nog niets veranderd in het wachtwoord beleid sinds ik daar vorig jaar al eens melding van maakte.

    Wat is het wachtwoord beleid nu?


    Een nieuw wachtwoord moet bestaan uit:
    - 10 - 32 tekens
    - combinatie van hoofdletters, kleine letters en cijfers
    - geen wachtwoord wat al eens eerder is gebruikt

    Wat is er dan mis mee?


    Er zijn eigenlijk 2 dingen mis mee:
    1. De eerste 2 regels maken het vrijwel onmogelijk om; ofwel een password manager te gebruiken met een voldoende lang wachtwoord (mijn 1Password staat bijvoorbeeld standaard op 50 karakters ingesteld); ofwel om een passphrase te gebruiken. Van passphrase is al langere tijd duidelijk dat het veel veiliger is dan passwords. Geloof mij daar niet in, geloof anderen die hier veel meer onderzoek naar hebben gedaan,
    https://stormpath.com/blog/5-myths-password-security
    https://wachtwoordbewust.nl
    http://www.baekdal.com/insights/password-security-usability
    en hier is vast nog veel meer over te vinden.

    2. De laatste regel suggereert dat; ofwel alle wachtwoorden plain-text worden opgeslagen, wat security sin nummer 1 is; ofwel dat wachtwoorden wel gehasht worden opgeslagen, wat in zichzelf al een interessant feit is, want dat maakt de database van wachtwoorden (zeker over tijd) een heel interessant doelwit voor kwaadwillenden.

    Wat te doen dan?


    Ik zou aanraden om
    - geen limiet te zetten op een wachtwoord, of de limiet zo groot te maken als technisch mogelijk is
    - bij passphrase geen eisen te stellen aan de complexiteit
    - geen oude wachtwoorden meer op te slaan OF meer duidelijkheid bieden in hoe deze opgeslagen zijn
    - extra: three factor authentication toepassen, maar dat is een ander topic

    Überhaupt zou ik graag zien dat er meer transparantie geboden wordt over de beveiliging van gegevens (zowel wachtwoorden als andere privé gegevens), in de vorm van een speciale pagina op de website (dus niet "slechts" een blog of forum topic), waar bij het inloggen en aanpassen van een wachtwoord naar toe gelinkt wordt.
  • PamPam

    Je ziet hier hoeveel reputatiepunten Pam heeft ontvangen van andere leden.

    Moderator Reacties: 1081
    Allrounder

    Allrounder

    Expert

    Expert

    Lezer

    Lezer

    5 oktober 2016, 18:15

    pieter schreef:

    Mocht het beleid niet veranderen, zou het dan mogelijk zijn om een notificatie te krijgen dat je wachtwoord over x dagen verloopt? Afgelopen weekend moest ik midden in een iDeal betaling spontaan mijn wachtwoord veranderen: onhandig!



    Hi Pieter,

    Lijkt mij een goed alternatief, wat ik ook erg handig zou vinden. Klopt het ook dat doordat je het wachtwoord moest wijzigen, de iDeal betaling afgebroken werd? En dat je vervolgens op de normale wijze via www.knab.nl je wachtwoord moest wijzigen? Dit probleem zou namelijk opgelost moeten zijn bij de nieuwe website, waar we op dit moment mee bezig zijn. Je zult dan tijdens de iDeal betaling de melding krijgen om het wachtwoord te wijzigen, maar vervolgens kun je de iDeal betaling wel afronden.

    Wat betreft de notificatie, deze vraag hebben we eerder gehad, echter bleek de oplossing niet heel simpel. Daarom vraag ik mij af of je de melding 'je wachtwoord verloopt over x dagen' nog noodzakelijk ervaart als het probleem tijdens een iDeal betaling is opgelost. Verder kun je namelijk wel gewoon gebruik maken van je App, ookal moet je het wachtwoord wijzigen. En als je de App opnieuw gaat registreren (terwijl je het wachtwoord moet wijzigen), dan krijg je hier een melding van die je de goede kant op stuurt.

    Graag hoor ik van je of er meer situaties zijn waar je tegenaan loopt waarbij je graag de notificatie zou willen zien.

    Groet, Pam
    Webcare Moderator bij Knab
  • LisaLisa

    Je ziet hier hoeveel reputatiepunten Lisa heeft ontvangen van andere leden.

    Moderator Reacties: 522
    Allrounder

    Allrounder

    Expert

    Expert

    6 oktober 2016, 16:58

    pascaldevink schreef:

    Überhaupt zou ik graag zien dat er meer transparantie geboden wordt over de beveiliging van gegevens (zowel wachtwoorden als andere privé gegevens), in de vorm van een speciale pagina op de website (dus niet "slechts" een blog of forum topic), waar bij het inloggen en aanpassen van een wachtwoord naar toe gelinkt wordt.



    Hi Pascal, dank voor je uitgebreide feedback over het wachtwoordbeleid.

    Vervelend dat het maximum aantal en type karakters dat bij ons is ingesteld niet goed werkt bij jouw Password Manager. We hebben dit niet eerder gehoord, maar zijn natuurlijk erg benieuwd of meer klanten dit probleem ervaren voordat we iets wijzigen. Onze wachtwoorden worden absoluut niet plain-text opgeslagen, dat zou inderdaad totaal ‘not done’ zijn.

    Je noemt het gebruik van een pasphrase of het gebruik van three factor authentication (of two factor) als alternatief, dit is inderdaad interessant, maar er zijn nog geen concrete plannen om op dit vlak veranderingen door te voeren, wel ideeën.

    Diepgaande informatie, waarnaar jij denk ik op zoek bent (over onze beveiliging en de architectuur) brengen wij in principe niet naar buiten. We worden regelmatig gecheckt door de toezichthouders, en we voldoen aan de eisen die zij stellen.

    Kun je mij aangeven waar je precies naar op zoek bent? Wellicht kan ik dan meer informatie geven dan op onze website staat. Groet, Lisa
    Webcare Moderator bij Knab
  • waterkip

    Je ziet hier hoeveel reputatiepunten waterkip heeft ontvangen van andere leden.

    3-zits Reacties: 16
    Allrounder

    Allrounder

    18 oktober 2016, 11:15

    Ik gebruik standaard 32 karakter wachtwoorden en wordt er zelf ook kriechel van als anderen dan een andere eis hebben, bijvoorbeeld max 16 oid (American Express heeft dat bijvoorbeeld). Dus met de lengte eis ben ik het met je eens. Ik weet dat sommige bedrijven andere eisen stellen afhankelijk van de lengte van het wachtwoord: min 8 dan zit er een eis aan de toegestane karakters, bij minimaal 16 chars vervallen de eisen van toegestane chars. En dan mag je dus echt vanalles invullen. Een soortgelijke policy zou wel tof zijn, wij kunnen gewoon onze random generated passwords gebruiken die keklang zijn en de rest van de wereld mag dan andere wachtwoorden gebruiken die aan bepaalde eisen moeten voldoen.

    Over het hergebruiken van wachtwoorden, dat vind ik ook een stomme eis, maar als je random generated passwords gebruikt heb je denk ik hoe dan ook geen last van die eis. Maar op zich ben ik het met je eens, maar snap Knab ook omdat je anderen hebt die wel wachtwoorden hergebruiken en ze het die wat moeilijker willen maken. Maar dan kan je alsnog Welkom123 naar Welkom 456 gebruiken, het is een beetje een .. matige dingetje in een wachtwoord policy.
    I think sex is better than logic, but I can't prove it.
  • actuallymentor Auteur

    Je ziet hier hoeveel reputatiepunten actuallymentor heeft ontvangen van andere leden.

    3-zits Reacties: 17

    24 november 2016, 14:52

    Pam schreef:



    Er zijn meerdere onderzoeken gedaan, waarbij er twee meningen zijn: het vaker wijzigen van het wachtwoord is veiliger of juist het tegenovergestelde.



    Bedankt voor de terugkoppeling!

    Waar zijn de desbetreffende onderzoeken te vinden? Ik heb ze namelijk nog nooit gezien.
  • PamPam

    Je ziet hier hoeveel reputatiepunten Pam heeft ontvangen van andere leden.

    Moderator Reacties: 1081
    Allrounder

    Allrounder

    Expert

    Expert

    Lezer

    Lezer

    24 november 2016, 16:45

    actuallymentor schreef:

    Waar zijn de desbetreffende onderzoeken te vinden? Ik heb ze namelijk nog nooit gezien.



    Hi Actuallymentor!

    Ik bedoelde meer dat er twee stromingen zijn, vaker wijzigen en minder vaak. Concrete onderzoeken kan ik je niet geven. Maar vaker wijzigen is wellicht een ouder gebruik/advies, en recent(er) onderzoek wijst uit dat vaker wijzigen niet per definitie helpt. Zo heeft Lorrie Cranor, een bekende naam op computer science gebied, hier het een en ander over geschreven. Echter wat zij als frequent wijzigen ziet is eens per maand of kwartaal, en zij stelt dat eens in het half jaar of jaar in veel gevallen vaak genoeg is. Dus of wij in het licht van de algemene recentere onderzoeken op dit vlak vallen in de categorie ‘onnodig vaak’ wijzigen, durf ik niet te zeggen.

    Groet, Pam
    Webcare Moderator bij Knab
  • actuallymentor Auteur

    Je ziet hier hoeveel reputatiepunten actuallymentor heeft ontvangen van andere leden.

    3-zits Reacties: 17

    24 november 2016, 17:00

    Pam schreef:

    Ik bedoelde meer dat er twee stromingen zijn, vaker wijzigen en minder vaak. Concrete onderzoeken kan ik je niet geven. Maar vaker wijzigen is wellicht een ouder gebruik/advies ...



    In principe is dit dus een geval van 'ja zo doen andere mensen dat' zonder daadwerkelijke onderbouwing...

    Redenen voor periodiek veranderen: meningen en traditie
    Redenen om het niet te doen: onderzoek en negatieve klanten ervaringen

    Ik snap dat jij er persoonlijk niets aan kan doen, maar dit vind ik als programmeur zijnde erg jammer.
  • marcello

    Je ziet hier hoeveel reputatiepunten marcello heeft ontvangen van andere leden.

    Hoekbank Reacties: 48
    Allrounder

    Allrounder

    11 december 2016, 19:28

    Op dit moment vraagt knab.nl relatief complexe wachtwoorden (geen probleem ermee) en dat je deze regelmatig veranderd in een nog niet gebruikte.

    Persoonlijk gebruik ik 2-3 relatief complexe wachtwoorden voor bank zaken, die ik in mijn hoofd heb. Inmiddels heb ik die door. Dus de nieuwe wachtwoord voor Knab is nu in de browser opgeslagen (wat ik anders nog bij geen bank gedaan heb)! De browser als centraal wachtwoord opslag vind ik eigenlijk voor bankzaken niet goed, maar alles andere werd te omslachtig.

    Gaat dit andere mensen ook zo, dat ze dit policy ongemakkelijk *en* *juist minder veilig* vinden?

    Ik vond wel wat wetenschappelijk onderzoek over dit soort policies:
    https://www.ftc.gov/news-events/blogs/techftc/2016/03/time-rethink-mandatory-password-changes (Overzicht)
    https://www.cs.unc.edu/~reiter/papers/2010/CCS.pdf (Details)

    Ik zou er graag een discussie over zien.
  • LisaLisa

    Je ziet hier hoeveel reputatiepunten Lisa heeft ontvangen van andere leden.

    Moderator Reacties: 522
    Allrounder

    Allrounder

    Expert

    Expert

    12 december 2016, 09:47

    marcello schreef:

    Op dit moment vraagt knab.nl relatief complexe wachtwoorden (geen probleem ermee) en dat je deze regelmatig veranderd in een nog niet gebruikte.

    Persoonlijk gebruik ik 2-3 relatief complexe wachtwoorden voor bank zaken, die ik in mijn hoofd heb. Inmiddels heb ik die door. Dus de nieuwe wachtwoord voor Knab is nu in de browser opgeslagen (wat ik anders nog bij geen bank gedaan heb)! De browser als centraal wachtwoord opslag vind ik eigenlijk voor bankzaken niet goed, maar alles andere werd te omslachtig.

    Gaat dit andere mensen ook zo, dat ze dit policy ongemakkelijk *en* *juist minder veilig* vinden?

    Ik vond wel wat wetenschappelijk onderzoek over dit soort policies:
    https://www.ftc.gov/news-events/blogs/techftc/2016/03/time-rethink-mandatory-password-changes (Overzicht)
    https://www.cs.unc.edu/~reiter/papers/2010/CCS.pdf (Details)

    Ik zou er graag een discussie over zien.



    Hi Marcello, ik heb bij deze je reactie in een goed passend topic geplaatst. Mochten er toch nog vragen/opmerkingen zijn dan horen wij dat graag.
    Webcare Moderator bij Knab
  • MaxH

    Je ziet hier hoeveel reputatiepunten MaxH heeft ontvangen van andere leden.

    Hoekbank Reacties: 120
    Allrounder

    Allrounder

    12 december 2016, 13:06

    Tegenwoordig kan je (bijna) niet meer zonder een password manager. Zelf gebruikt ik al jaren LastPass. Ook voor bankzaken......
  • tonk44

    Je ziet hier hoeveel reputatiepunten tonk44 heeft ontvangen van andere leden.

    Werkbank Reacties: 529
    Allrounder

    Allrounder

    12 december 2016, 16:17

    Ook voor bankzaken...... en dan ook nog met LastPass, waarbij je kluis ergens op het web ronddwaald en dus hackbaar is ??
    En dat ook nog in het openbaar te melden :( Lijkt me niet erg verstandig.
    m.vr.gr. Ton
  • MaxH

    Je ziet hier hoeveel reputatiepunten MaxH heeft ontvangen van andere leden.

    Hoekbank Reacties: 120
    Allrounder

    Allrounder

    12 december 2016, 16:51

    Misschien, maar alles wat online is gaat over het web. Wanneer er bv. een keylogger op je PC zit, gaat je ingetikte ww ook het www op. Nu weet ik wel dat je de risico's zo veel moet verkleinen, het moet nog wel werkbaar zijn. En anders de stekker eruit trekken.
  • tonk44

    Je ziet hier hoeveel reputatiepunten tonk44 heeft ontvangen van andere leden.

    Werkbank Reacties: 529
    Allrounder

    Allrounder

    12 december 2016, 17:10

    Ik heb het niet nageplozen maar bij een hack zou dat een reden van een bank (willekeurige) kunnen zijn je niet schadeloos te stellen omdat je je bankpin op een dergelijke manier hebt opgeborgen.
    m.vr.gr. Ton
  • actuallymentor Auteur

    Je ziet hier hoeveel reputatiepunten actuallymentor heeft ontvangen van andere leden.

    3-zits Reacties: 17

    12 december 2016, 17:19

    Password manager zijn oneindig veiliger dan handgetypte passwords. Het kraken van dergelijke AES-256 is niet haalbaar, zie xkcd: http://xkcd.com/538/
  • tonk44

    Je ziet hier hoeveel reputatiepunten tonk44 heeft ontvangen van andere leden.

    Werkbank Reacties: 529
    Allrounder

    Allrounder

    12 december 2016, 17:24

    LastPass is toch nog niet zo lang geleden gehacked.
    m.vr.gr. Ton
  • WesleyE

    Je ziet hier hoeveel reputatiepunten WesleyE heeft ontvangen van andere leden.

    2-zits Reacties: 4

    14 december 2016, 09:07

    Ik kwam toevallig gisteren dit topic tegen, vandaag geeft ook NIST (National Institute of Standards and Technology) aan dat rotatie niet wenselijk is: https://pages.nist.gov/800-63-3/sp800-63b.html#memorized-secret-verifiers

    "Verifiers SHOULD NOT impose other composition rules (mixtures of different character types, for example) on memorized secrets. Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically) unless there is evidence of compromise of the authenticator or a subscriber requests a change."

Reageren

Bezig met uploaden:
0%
Bladeren
Als de URL correct is, zal hier een voorbeeld verschijnen. Grote afbeeldingen duren soms iets langer voordat deze geladen zijn.
  • :D
  • :?
  • :cool:
  • :S
  • :(
  • :@
  • :$
  • :8
  • :)
  • :P
  • ;)
Bekijk mobiele versie