Ik wijzig mijn zwakke wachtwoord mooi niet

Je bent niet verplicht om je wachtwoord te wijzigen?

Lucht het op ja?

Zie de discussie hier: Wachtwoordeisen en lees met name deze reactie eens: Femme in "Wachtwoordeisen"

Hier op Tweakers is er altijd open en directe communicatie mogelijk met de mensen achter de site en we staan ook altijd open voor feedback en beargumenteerde kritiek. Helaas valt dit topic niet in de twee laatste categorieën...

Nu vraag ik me af, reageer je nu zo bot, omdat je denkt dat het alleen aan jou gericht is? Of omdat je denkt dat T.net je verplicht je wachtwoord te veranderen?

Want allebei is niet van toepassing.

nouja je krijgt wel elke dag de melding in zn geel rotscherm elke keer klik ik hem weg maar blijft terug komen.

Verwijderd schreef op donderdag 15 september 2011 @ 08:34:
nouja je krijgt wel elke dag de melding in zn geel rotscherm elke keer klik ik hem weg maar blijft terug komen.

Als het goed is zou in een cookie moeten worden opgeslagen dat je 'm hebt weggeklikt; gooi je soms tussendoor cookies weg?

crisp schreef op donderdag 15 september 2011 @ 09:27:
[...]

Als het goed is zou in een cookie moeten worden opgeslagen dat je 'm hebt weggeklikt; gooi je soms tussendoor cookies weg?

Waarom word dit niet in de DB gedaan ? Het is toch bloed irritant als dit op elke locatie weer naar voren komt?

DennusB schreef op donderdag 15 september 2011 @ 09:29:
[...]


Waarom word dit niet in de DB gedaan ? Het is toch bloed irritant als dit op elke locatie weer naar voren komt?

Omdat we daar technisch nog geen mogelijkheid voor hebben, en de huidige functionaliteit met opslag in een cookie al wel bestond...

crisp schreef op donderdag 15 september 2011 @ 09:27:
[...]

Als het goed is zou in een cookie moeten worden opgeslagen dat je 'm hebt weggeklikt; gooi je soms tussendoor cookies weg?

ik werk op verschillende locaties met verschillende systemen

die neemt het wel heeeel serieus.
waarom?

Verwijderd schreef op donderdag 15 september 2011 @ 10:00:
[...]


ik werk op verschillende locaties met verschillende systemen

Ik ook, erg vervelend dat ik op elke locatie die waarschuwing weer kan wegdrukken

De snelle oplossing is je wachtwoord aanpassen. Dan verschijnt de gele balk namelijk ook niet meer.

@rob_erwt: dat is dus het dwingende er aan, om van de balk af te komen moet je _of_ je wachtwoord aanpassen, _of_ je krijgt steeds een gele balk met de mededeling dat ik mijn wachtwoord moet aanpassen.

Fijn, ik heb een zwak wachtwoord. En? Dat weet ik al jaren, interesseert me voor iets als een forum totaal niet. Daar waar spannende dingen gebeuren, zijn mijn wachtwoorden van een andere catergorie.

Ik ben het dus met de TS eens, val me er niet mee lastig. Maar goed, ik ga wel alle locaties langs om een gele balk weg te klikken...

Ik vind 't wel vreemd dat 't mensen geen drol interesseert dat ze een zwak wachtwoord hebben, "want het is maar een forum en geen bankapplicatie" (en prima hoor; als je er zo over denkt is dat helemaal aan jou/jullie ) maar vervolgens wel helemaal over de rooie gaan omdat er een geel balkje staat dat ze met 1 klik kunnen verbergen. En poehee, je zult 't eens op 3 andere lokaties nog een keer tegenkomen. Met alle respect, ik denk dat als we 't dan toch in perspectief moeten zien dat we dan ook meteen alles in perspectief moeten zien

Ik zeg hiermee niet dat alles blijft zoals 't is; dat is (o.a.) aan het MT, productteam, devvers en weet-ik-wie-nog-meer; ik geef alleen even mijn 2 centjes.

[ Voor 15% gewijzigd door RobIII op 15-09-2011 18:25 ]

rob_erwt schreef op donderdag 15 september 2011 @ 13:22:
De snelle oplossing is je wachtwoord aanpassen. Dan verschijnt de gele balk namelijk ook niet meer.

Ik vind het prima dat T.net één keer de melding geeft dat mijn wachtwoord zwak is, maar daarna is het aan mij om te beslissen of ik 'm aanpas of niet. Dus dit vind ik eigenlijk (ook) best onzin

Dat zwakke wachtwoord komt uit een aanval op de database. Iets waar je normaal simpelweg geen toegang tot hebt. Nu zal t.net de database vast niet op usenet mikken. Dus een zwak wachtwoord is alleen 'erg' als t.net een zwakke beveiliging heeft.

Ja, als je overal het zelfde wachtwoord gebruikt, en een andere party wordt gehackt, kan je het wachtwoord vinden, en op andere sites inloggen.

Ik denk persoonlijk dat het meer een storm in een glas water is. Ik ben dan ook niet van plan m'n wachtwoord te veranderen. Die melding boeit me ook vrij weinig, gezien ik toch niks op de FP doe (ik GoT, met de oude template, dus ik zie geen melding).

rob_erwt schreef op donderdag 15 september 2011 @ 13:22:
De snelle oplossing is je wachtwoord aanpassen. Dan verschijnt de gele balk namelijk ook niet meer.

Hoe vaak heeft je vader of moeder je verteld dat je iets beter kunt doen, en na hoeveel keer negeer je het compleet? Ik zie het ook als iets wat na een paar keer wel weg mag, advies moet je niet blijven geven

Ja, poe hee, ik heb ook al helemaal die gele balk weg moeten klikken. Dat was al een paar dagen geleden, en ik heb nog spierpijn. Ik moet er niet aan denken dat ik dit op andere computers nog een keer moet meemaken, dan kan ik meteen de ziektewet in. Om over de opgelopen trauma's maar niet te spreken

/

TS, kom op zeg. Maak het verdorie 8 tekens lang cijfers en letters en 1 specialer tekentje: 1234tweak~ Klaar. Makkelijk te onthouden, zou d'r doorheen moet komen en hatsee. Je reageert wat mij betreft wat te geagiteerd.

@SkyStreaker: werkt dus niet, want ik heb zo'n soort wachtwoord, met hoofdletters, kleine letters, een vreemd teken, en gebasseerd op een woord wat niet bestaat, 8 tekens lang. En toch is het een onveilig wachtwoord.

Ik vind het wel fijn en goed dat Tweakers hier aandacht aan besteed.

Vind het aan de andere kant wel raar dat ik die melding ook krijg terwijl, als ik hetzelfde wachtwoord invul, de melding krijg dat het "vrij sterk is" (met hoofdletter, cijfer en speciaal teken)


Misschien dat dat te maken heeft omdat ik geen voornaam/achternaam/geboortedatum etc heb ingevuld ofzo?

Maar goed; heb het nu veranderd naar mijn huidige password methode en hij is nu supersterk

[ Voor 10% gewijzigd door Krypt op 15-09-2011 18:42 ]

gambieter schreef op donderdag 15 september 2011 @ 18:30:
[...]

Hoe vaak heeft je vader of moeder je verteld dat je iets beter kunt doen, en na hoeveel keer negeer je het compleet? Ik zie het ook als iets wat na een paar keer wel weg mag, advies moet je niet blijven geven

We gaan die balk echt niet 'voor altijd' laten zien hoor. Geen idee wat precies de planning is, maar ik neem aan dat hij bij bijvoorbeeld de volgende iteratie weer uitgeschakeld wordt.

Ik moest opeens hier aan denken...


(jaja slechte kwaliteit, iemand die een betere link heeft voel je geroepen en doe je plicht)

Ik vind het ook lief dat tweakers de suggestie maakt, maar ben blij dat jullie de inhoud van mijn wachtwoord sterk genoeg vinden en niet willen wijzigen, bij sommige websites wordt je gewoonweg verplicht. Ik hoop dat tweakers dit niet zal doen.

Ik wijzig mijn zwakke wachtwoord mooi niet

En vooralsnog zie ik geen echt overtuigend argument in je rant waarom je dat niet wilt doen.

Beetje kinderachtig, vind je ook niet? "Ik doe het niet, ik doe het niet, ik doe het NIET!"

Waarom doe je het nou eigenlijk niet? Wat voor een argument is "Omdat het maar een forum is" nou helemaal? Dat is geen argument om je wachtwoord niet te veranderen. Het is enkel een constatering van een volslagen irrelevant en voor de hand liggend feit.

Doe je het niet omdat je niet nog een wachtwoord wil onthouden? Nou, doen dan net als ik - neem één volslagen onmogelijk te kraken wachtwoord dat voor een menselijk brein gemakkelijk is om te onthouden en gebruik dat vervolgens overal. Dat hele verhaal dat je voor iedere aparte website/dienst een ander wachtwoord moet gebruiken is grotendeels paniekzaaierij. Er zit zondermeer wel wat in om het wél te doen, maar het is bij lange na niet zo ernstig als dat sommigen zouden voorspiegelen.

sus schreef op donderdag 15 september 2011 @ 18:41:
@SkyStreaker: werkt dus niet, want ik heb zo'n soort wachtwoord, met hoofdletters, kleine letters, een vreemd teken, en gebasseerd op een woord wat niet bestaat, 8 tekens lang. En toch is het een onveilig wachtwoord.

Eigenaardig, omdat die van mij ook die richting in gaat en ik geen melding heb gekregen. Heb ik wel een audit gekregen? Gaat dat niet, verzin ik zo 1 van 35 of 50 tekens met alles d'r op en d'r aan die ik onthoudt Je moet er een systeem in hebben.

[ Voor 16% gewijzigd door SkyStreaker op 15-09-2011 18:51 ]

En dus voor mij de reden om het wachtwoord niet te veranderen, ik vind het sterk genoeg.

SkyStreaker schreef op donderdag 15 september 2011 @ 18:49:
[...]


Eigenaardig, omdat die van mij ook die richting in gaat en ik geen melding heb gekregen. Heb ik wel een audit gekregen? Gaat dat niet, verzin ik zo 1 van 35 of 50 tekens met alles d'r op en d'r aan die ik onthoudt Je moet er een systeem in hebben.

Ik zit momenteel op 24, maar, ik denk dat ik daar vanaf stap. Omdat het te lang is voor sommige andere diensten waarvoor ik hem zou willen gebruiken. *zucht*

Misschien maar een tijdje lang genoegen nemen met 16 tekens. Nu nog een goede bedenken.

Het vreemde vind ik nog wel: ik heb een wachtwoord van maar 6 karakters en ik had verwacht ook zo'n gele melding te krijgen. Maar niks van dat alles...

448191 schreef op woensdag 14 september 2011 @ 19:17:
Ik wijzig mijn zwakke wachtwoord mooi niet

Ik ook niet, maar ik zie geen reden om T.net uit te kafferen voor deze beleefde geste

Spotmatic schreef op donderdag 15 september 2011 @ 19:00:
Het vreemde vind ik nog wel: ik heb een wachtwoord van maar 6 karakters en ik had verwacht ook zo'n gele melding te krijgen. Maar niks van dat alles...

Vraag ik me af welke 6 karakters dat zijn dan.

Verwijderd schreef op donderdag 15 september 2011 @ 19:08:
[...]

Vraag ik me af welke 6 karakters dat zijn dan.

yohan schreef op donderdag 15 september 2011 @ 19:19:
[...]

spoiler:

Spoilers beschermen je niet tegen bots!

Dat soort tekens moeten het wel zijn dan, ja.

yohan schreef op donderdag 15 september 2011 @ 19:19:
[...]

spoiler:

&<x%`~

Nope, totaal geen speciale tekens

Spotmatic schreef op donderdag 15 september 2011 @ 19:00:
Het vreemde vind ik nog wel: ik heb een wachtwoord van maar 6 karakters en ik had verwacht ook zo'n gele melding te krijgen. Maar niks van dat alles...

Dan had je mazzel Tot en met 5 karakters is er ook brute force gebruikt, maar alles langer dan dat is mbv een dictionary attack geprobeerd te kraken.

Krypt schreef op donderdag 15 september 2011 @ 18:42:
[...]
Vind het aan de andere kant wel raar dat ik die melding ook krijg terwijl, als ik hetzelfde wachtwoord invul, de melding krijg dat het "vrij sterk is" (met hoofdletter, cijfer en speciaal teken)
[afbeelding]

De wachtwoordsterktemeter doet natuurlijk geen dictionary-attack dus is meer een indicatie gebaseerd op sterkte bij een brute-force attack

RobIII schreef op donderdag 15 september 2011 @ 18:24:
Ik vind 't wel vreemd dat 't mensen geen drol interesseert dat ze een zwak wachtwoord hebben, "want het is maar een forum en geen bankapplicatie" (en prima hoor; als je er zo over denkt is dat helemaal aan jou/jullie ) maar vervolgens wel helemaal over de rooie gaan omdat er een geel balkje staat dat ze met 1 klik kunnen verbergen. En poehee, je zult 't eens op 3 andere lokaties nog een keer tegenkomen. Met alle respect, ik denk dat als we 't dan toch in perspectief moeten zien dat we dan ook meteen alles in perspectief moeten zien

Ik vind het vreemd dat een website als Tweakers.net, die zich profileert als een "slimme ICT website", wachtwoorden met MD5 hashes opslaat en vervolgens gebruikers gaat lopen naggen met stomme gele balken die na 3x nog terug blijven komen, omdat er geen manier is om het sluiten van die balk in de database op te slaan ().
Of je kunt je beveiliging gewoon omhoog schroeven door al dan niet meerdere SHA hashes (met een salt) te gebruiken, eventueel in combinatie met een captcha test. Het verbaast me trouwens dat de focus van de wachtwoorden zo op de lengte daarvan ligt. "12345678" is makkelijker te raden dan "n*Dm#3" voor iemand die even wat wachtwoorden uitprobeert. Het is een combinatie van lengte, gebruik van leestekens en wijze van opslag van het wachtwoord die een systeem veilig of onveilig maakt.

Zoals je zegt: we moeten alles in perspectief zien.

Verwijderd schreef op dinsdag 20 september 2011 @ 11:06:
[...]


Ik vind het vreemd dat een website als Tweakers.net, die zich profileert als een "slimme ICT website", wachtwoorden met MD5 hashes opslaat

Dat doen ze dus NIET: plan: Development-round-up augustus 2011 - iteratie #4

Terw_Dan schreef op dinsdag 20 september 2011 @ 11:10:
[...]


Dat doen ze dus NIET: plan: Development-round-up augustus 2011 - iteratie #4

Nee, nu niet meer nee.

Verwijderd schreef op dinsdag 20 september 2011 @ 11:13:
[...]


Nee, nu niet meer nee.

Dus wat wil je daarmee zeggen dan?

vwb de wachtwoordeisen: we overwegen al om dat aan te gaan passen nav Wachtwoordeisen

crisp schreef op dinsdag 20 september 2011 @ 11:34:
[...]

Dus wat wil je daarmee zeggen dan?

Dat het nogal frappant is dat Tweakers.net zelf vaak bericht over problematiek rondom beveiliging met oa. overheidwebsites, hier artikelen over schrijft en interviews over doet en vervolgens zélf pas kort geleden kritisch naar haar eigen beveiliging gaat kijken. En dan nog heb je het over: "We overwegen de wachtwoordeisen aan te passen".

Dat doet naar mijn mening behoorlijk afbreuk aan hoe Tweakers.net zich tracht te profileren als tech-website, waarbij de beveiliging (voor zover de opslag van wachtwoorden) tot voor kort dus behoorlijk tekort schoot. Het verbaast mij dan ook dat Tweakers.net met zo'n halve oplossing komen als "voer maar een langer wachtwoord in, dan is het weer goed".

Verwijderd schreef op dinsdag 20 september 2011 @ 11:49:
[...]

Dat het nogal frappant is dat Tweakers.net zelf vaak bericht over problematiek rondom beveiliging met oa. overheidwebsites, hier artikelen over schrijft en interviews over doet en vervolgens zélf pas kort geleden kritisch naar haar eigen beveiliging gaat kijken.

Het feit dat onze wachtwoordopslag een zwak punt was weten we natuurlijk al jaren en willen we ook niet bagatelliseren; wel is het zo dat het een van de laatste security-schakels is en er nog heel wat aan vooraf moet gaan wil iemand die lijst met hashes te pakken krijgen. Over het algemeen is er dan wel meer gecomprommiteerd dan enkel de wachtwoorden van je gebruikers.

Daarnaast is het zo dat dit soort zaken vaak lastig zijn om prioriteit voor te krijgen aangezien er niet direct een duidelijke voordeel aan zit (business-wise). Het is juist door de algemene aandacht rond beveiliging dat wij het hier ook eens op de kaart hebben kunnen zetten.

En dan nog heb je het over: "We overwegen de wachtwoordeisen aan te passen".

Ook hier speelt dat wij hier natuurlijk ook tijd voor moeten zien te krijgen. Uiteindelijk zijn wij devvers niet degenen die hier bepalend in zijn. Beargumenteerde kritiek en bijval vanuit de community helpt ons natuurlijk wel daarbij

Dat doet naar mijn mening behoorlijk afbreuk aan hoe Tweakers.net zich tracht te profileren als tech-website, waarbij de beveiliging (voor zover de opslag van wachtwoorden) tot voor kort dus behoorlijk tekort schoot. Het verbaast mij dan ook dat Tweakers.net met zo'n halve oplossing komen als "voer maar een langer wachtwoord in, dan is het weer goed".

Uiteraard streven wij er naar om uiteindelijk tot een Tweakers-waardige oplossing te komen, maar ook wij kunnen Rome niet in 1 dag (her)bouwen

Verwijderd schreef op dinsdag 20 september 2011 @ 11:49:
[...]

Dat het nogal frappant is dat Tweakers.net zelf vaak bericht over problematiek rondom beveiliging met oa. overheidwebsites, hier artikelen over schrijft en interviews over doet en vervolgens zélf pas kort geleden kritisch naar haar eigen beveiliging gaat kijken. En dan nog heb je het over: "We overwegen de wachtwoordeisen aan te passen".

Er is natuurlijk nogal een verschil tussen een overheidssite zoals bijvoorbeeld die van DigiD of een simpele nieuwssite met forum... Natuurlijk moeten ze beiden goed beveiligd zijn maar de consequenties van een hack zijn in beide gevallen totaal onvergelijkbaar en dus is je vergelijking nogal brak. Voor een overheidssite zou je verwachten dat er juist veel meer tijd gespendeerd wordt aan beveiliging, daarom kosten die dingen ook miljoenen.

[ Voor 8% gewijzigd door NMe op 20-09-2011 15:03 ]

Ik ben het met je eens dat de overheid haar zaakjes op orde dient te hebben. Maar om zoveel mogelijk te privatiseren schuift de overheid die verantwoordelijkheid bij derden neer.

Vergeet niet dat de overheid zelf voor de nodige overhead/bureaucratie zorgt. Iets wat een simpele nieuwssite met forum (over notabene ICT techniek) totaal niet heeft. In dat opzicht en ook over topics die al veel vaker op het forum voorbij zijn gekomen dat md5 al oud en achterhaalt is.

Goed, ik heb dan een zwak wachtwoord, volgens de md5-hash. T.net gebruikt dat dus niet meer, en intresseerd me die informatie eigenlijk bar weinig. De benodigheden voor het achterhalen van mijn zwak wachtwoord is:
- Database

De noodzaak om mijn zwakke password (met een oud algoritme) in de huidige situatie niet aan te passen.

De zwakte of sterkte ligt dus aan de manier van opslaan en hoe eenvoudig dat de bruteforcen is. En hoe eenvoudig men bij de database kan komen.

RaZ schreef op dinsdag 20 september 2011 @ 17:12:
[...]
De zwakte of sterkte ligt dus aan de manier van opslaan en hoe eenvoudig dat de bruteforcen is. En hoe eenvoudig men bij de database kan komen.

En of je dat wachtwoord wel of niet op andere sites gebruikt, en hoe veilig die zijn

Zoals je in Wachtwoordeisen kan lezen gaat het ons er niet om om draconische eisen te stellen die hun doel voorbij schieten, maar om meer bewustheid te creeëren omtrent het belang van een (redelijk) sterk wachtwoord. Daar willen we graag sturing aan geven; wellicht zelfs tips & truuks geven over hoe je een sterk en uniek wachtwoord kan maken dat toch goed te onthouden is (pass phrases, een 'globaal' wachtwoord aangevuld met een site-specifiek woord - hoewel een van de huidige draconische eisen dat laatste nu weer juist verbiedt...).

Onze huidige opslag maakt een dictionary-attack op de database inderdaad kansloos. Alleen het 'raadbaar' zijn van een wachtwoord is dus nog een zwakke plek - er zullen best tweakers zijn die als wachtwoord 'wachtwoord', 'tweakers' of 'Password123' hebben gebruikt, dus in theorie hoef je dan alleen maar alle nicknames af te gaan en een paar van die zwakke wachtwoorden uit te proberen*

Daarom hechten we toch belang aan een redelijk sterk wachtwoord, maar met de nadruk op 'redelijk'. We zijn dus aan het kijken of we de eisen dusdanig kunnen aanpassen dat die redelijkheid ook in de eisen wordt meegenomen (bijvoorbeeld door enkel een bepaalde minimale 'entropie' te vereisen via een simpel algoritme wat je uiteindelijk vrijer laat in je eigen invulling).

Dan is er nog de issue van de terugkerende mededeling omdat deze (browser)sessie afhankelijk is en niet user-based; dat zal waarschijnlijk binnenkort ook een keer zodanig aangepast worden dat dit bij het wegklikken op user-basis (indien ingelogd) zal worden onthouden

* in theorie want ons inlogformulier werkt met eenmalige tokens wat betekend dat voor elke inlogpoging een nieuw token benodigd is, en veel herhalende requests binnen korte tijd worden door ons gelogged en resulteren uiteindelijk zelfs in een automatische ip-ban. Er staat nog een ticket open om het maximaal aantal inlogpogingen binnen een bepaalde tijd ook hard te gaan beperken.

Haha de moeite om hier te klagen duurt al langer dan je wachtwoord wijzigen..

Verwijderd schreef op donderdag 22 september 2011 @ 19:17:
Haha de moeite om hier te klagen duurt al langer dan je wachtwoord wijzigen..

En pak daar vervolgens een grafiek bij met het aantal password-resets momenteel en op dezelfde dagen twee maanden geleden.

Prima dat Tweakers aandacht aan de beveiliging besteedt; thumbs up, echt waar! Maar het forceren van een draconisch wachtwoord (want dat is het) voor een nieuwssite, schiet zijn doel voorbij.

Mijn wachtwoord voor Tweakers is simpel, maar sterk genoeg om dictionary attacks te weerstaan.
Dat iemand het eventueel zou kunnen bruteforcen (nadat hij door de diverse andere beveiligingen van T.net is gekomen); mwah. En? Het wachtwoord wordt nergens anders gebruikt en is ook geen afgeleide van een ander wachtwoord.


Daarbij gebruik ik LastPass voor PayPal, internetbankieren (oh nee, die lullo's gebruiken 2x een statische 5-cijferige code.. ) en andere belangrijke zaken i.c.m. een 23-karakter wachtwoord. Zaken waar de sterkte van het wachtwoord er wel toe doet.


Maar nu wordt een ander wachtwoord voor Tweakers.net opgedrongen bij mensen wiens wachtwoord eventueel met een bruteforce achterhaald zou kunnen worden, met als eis dat het dezelfde sterkte heeft als andere belangrijke sites, en dát is iets teveel van het goede.
Laat dat dan staan voor de '123456', 'wachtwoord', 'password' mensen, maar eis asjeblieft niet dat ik mijn wachtwoord wijzig omdat Tweakers en ik verschillen van mening wat betreft de waarde van een T.net wachtwoord.

In het kort; common sense.
Te makkelijke raadbare wachtwoorden niet toestaan: prima. Je gebruikers forceren een (te) complex wachtwoord te gebruiken: nee, bedankt.

Note: Mijn wachtwoord is vergelijkbaar met 'b0emb1ngpl0f', wat schijnbaar 'zwak' is. Ik moet nog de eerste dictionary-lijst tegenkomen waar deze opstaat.

En het is al ondoenlijk om een 8-karakter "zwak" wachtwoord in te voeren op GoT via een smartphone, laat staan de complexere

r0b schreef op donderdag 22 september 2011 @ 19:39:
[...]

Maar nu wordt een ander wachtwoord voor Tweakers.net opgedrongen bij mensen wiens wachtwoord eventueel met een bruteforce achterhaald zou kunnen worden, met als eis dat het dezelfde sterkte heeft als andere belangrijke sites, en dát is iets teveel van het goede.

Er wordt niets opgedrongen; je bent niet verplicht je wachtwoord te wijzigen

Wb de wachtwoordeisen: lees mijn vorige post eens of dit topic: Wachtwoordeisen - dat gaan we dus verbeteren

TS heeft wel een punt. Ik vind het ook maar dikke onzin om je pass te veranderen omdat het zwak is.

Jarenlang gebruik ik hetzelfde paasword en nu moet je het opeens veranderen, anders kom je namelijk niet van de "ellendige popup af"

Zo word je dus gedwongen om je pass te veranderen, slecht zaak dit

RoaDHouse schreef op donderdag 22 september 2011 @ 22:48:
TS heeft wel een punt. Ik vind het ook maar dikke onzin om je pass te veranderen omdat het zwak is.

Jarenlang gebruik ik hetzelfde paasword en nu moet je het opeens veranderen, anders kom je namelijk niet van de "ellendige popup af"

Zo word je dus gedwongen om je pass te veranderen, slecht zaak dit

Euhmm, ellendige pop-up? Gewoon kruisje?

yannickie111 schreef op donderdag 22 september 2011 @ 22:53:
[...]


Euhmm, ellendige pop-up? Gewoon kruisje?

Nee, na reg- cleanen komt hij weer na boven. Je kan het niet uitschakelen

RoaDHouse schreef op donderdag 22 september 2011 @ 23:01:
[...]


Nee, na reg- cleanen komt hij weer na boven. Je kan het niet uitschakelen

crisp schreef op dinsdag 20 september 2011 @ 22:42:
[...]
Dan is er nog de issue van de terugkerende mededeling omdat deze (browser)sessie afhankelijk is en niet user-based; dat zal waarschijnlijk binnenkort ook een keer zodanig aangepast worden dat dit bij het wegklikken op user-basis (indien ingelogd) zal worden onthouden

...of gewoon zorgen dat je je .tweakers.net cookies laat staan

crisp schreef op donderdag 22 september 2011 @ 22:39:
[...]

Er wordt niets opgedrongen; je bent niet verplicht je wachtwoord te wijzigen

"Het is nu zo, maar als je het ooit veranderd, moet het anders" is niet 'niet verplichten'.
Misschien wil ik vandaag wel mijn wachtwoord veranderen in net zo'n 'zwak' wachtwoord als ik eerder had?

Wat ik nu zeg kan misschien wat zeurderig overkomen, maar je snapt mijn punt hopelijk. Momenteel is mijn wachtwoord "in limbo"; ik kan het niet wijzigen, omdat ik dan aan te strenge eisen moet voldoen. Het is "actief, maar niet ok".

Wb de wachtwoordeisen: lees mijn vorige post eens of dit topic: Wachtwoordeisen - dat gaan we dus verbeteren

Had ik gelezen inderdaad; ik wacht geduldig af. Bij vooruitgang moet je soms ook een (klein) stapje achteruit nemen; het eindresultaat zal in ieder geval zijn dat de beveiliging op T.net beter is.

r0b schreef op vrijdag 23 september 2011 @ 00:19:
Misschien wil ik vandaag wel mijn wachtwoord veranderen in net zo'n 'zwak' wachtwoord als ik eerder had?

Dan heb je de keuze dat óf niet te doen, door de wachtwoordseisen te volgen óf je account bij Tweakers.net te laten zitten voor wat het is en er gewoon geen gebruik meer van te maken als je niet akkoord kan gaan met een objectief gesproken verstandig beleid.

Ja, dat klinkt misschien wat cru... maar, het moet je inmiddels wel duidelijk zijn geworden dat oneindig lang blijven doorzeuren over de in jouw ogen te strenge wachtwoordseisen zeer weinig effect zal hebben. En er dan maar continu over door blijven gaan is enkel en alleen maar vermoeiend voor alle partijen.

Los daarvan is het heel, heel gemakkelijk om een simpel te onthouden wachtwoord te bedenken dat volledig voldoet aan de wachtwoordseisen.

Ik heb dus deze hele discussie gemist, ik begrijp ook dat het helemaal geen zin heeft om hier nog over te zeuren maar ik meld toch het volgende even.

Ik ben inderdaad iemand één wachtwoord heeft voor alles, misschien niet slim maar wel handig. Gewoon regelmatig wijzigen. Nu mijn wachtwoord in de linkedin lijst is opgedoken een goede reden om dit te doen, ik heb even nagedacht over mijn nieuwe wachtwoord en deze is iets minder sterk dan mijn oude. Reden hiervoor is dat vreemde tekens nog heel vaak ook niet geaccepteerd worden. Heb nu 8 tekens willekeurige cijfers en letters bedacht en uit mijn hoofd geleerd. Dit wachtwoord wordt geaccepteerd door Visa, Paypal, Google zegt dat het een sterk wachtwoord is. Nu nog even bij Tweakers wijzigen en daar mag het niet. Een beetje vreemd en in mijn opinie behoorlijk doorslaan in beveiliging. Ik snap niet waarom Tweakers denkt een sterker wachtwoord te moeten afdwingen dan VISA of Paypal. Heftig irritant en ik zal mijn wachtwoord bij tweakers niet wijzigen.

Ik weet dat de discussie gevoerd is en dat het niet zal veranderen. Sorry voor het schoppen van dit topic maar wilde het toch even kwijt.

Maar even resumerend, je bent met je neus op het feit gedrukt hoe onveilig de situatie is wanneer je slechts 1 wachtwoord hebt, en gaat vervolgens gewoon door?

Toegegeven, nog niet heel lang geleden deed ik hetzelfde, maar ik kan iedereen keepass aanraden (die je middels dropbox synced naar je pc's en je telefoon waarbij je de keyfile niet op dropbox zet). Ja, dan heb je nog steeds 1 wachtwoord, maar die is van je database en kun je zo sterk maken als je wilt en toch kan ik nog overal bij mijn wachtwoorden.

Nooit gehoord van een keychain? 1 wachtwoord voor je keychain en alle sites een random password.

edit: met wat Janoz zegt dus. Ik gebruik alleen zelf LastPass, werkt met een yubikey prima ook geen gezeur met dropbox etc.

[ Voor 39% gewijzigd door Megamind op 07-06-2012 11:15 ]

En toch heb ik er bezwaar tegen om mijn passwordfile (encrypted of niet) in Dropbox of ergens anders semi-publiek neer te zetten.

Zonder een bijbehorende key file en het wachtwoord heb je er niet heel veel aan. Het blijft een afweging tussen security en usability. In dit geval vindt ik het mogelijke beveiligingsrisico van Dropbox opwegen tegen de voordelen van het altijd overal beschikbaar kunnen hebben.

[ Voor 55% gewijzigd door Janoz op 07-06-2012 14:29 ]

Dropbox heeft in 't verleden een aantal gaten gekend en in de toekomst sluit ik ze zeker ook niet uit. Maar zelfs al wordt je Dropbox "gekraakt"; de "KeePass DB" is dan nog steeds encrypted (en tools als Keepass e.d. doen dat echt niet met een lullig (zelfverzonnen ) algoritmetje maar met AES/Rijndael 256 bit (als ik me niet vergis). Grote jongen als je dat gekraakt krijgt. En nee, ik weet niet hoe 't er in 2018 voor staat op dit gebied, maar dat is een zorg voor dan En ja, ook bij KeePass kunnen ze een fuckup maken (of hebben gemaakt) waardoor de DB minder veilig is als je graag zou hebben. Maar je eigen externe HD verliezen, USB stick verliezen of weet-ik-wat kan ook. Het is, zoals Janoz zegt, ook een beetje een afweging security en gebruiksgemak.

[ Voor 38% gewijzigd door RobIII op 07-06-2012 14:44 ]

Inderdaad, die afweging kun je prima zelf maken. Ik heb bewust mijn Keepass file in mijn Dropbox gezet (momenteel buiten een Truecrypt container, wat je ook nog kunt overwegen). Maar met AES/Rijndael256 en het aantal iteraties wat ik gekozen heb; knappe machine die dat kan brute forcen. Het valideren van het wachtwoord duurt op mijn pc (Core i5) een ruime 5 seconden. En daar komt de losse keyfile nog bij dan. Het is wel iets om bij te houden natuurlijk, ik heb het aantal iteraties na een upgrade van mijn pc bijvoorbeeld verhoogd.

Tenzij de makers van Keepass een enorme flater gemaakt hebben in hun programma, zit ik wel veilig. Aangezien Keepass zelfs expliciet genoemd wordt in o.a. de beveiligingsaanbevelingen van de Duitse BSI, denk ik dat dat wel snor zit.

Ik geef wel toe dat daadwerkelijk de overstap naar een password manager maken, even slikken was Ik heb dan ook vele mogelijkheden overwogen en uiteindelijk KP gekozen die mij als het betrouwbaarste overkwam. Maar omdat ik nu veel complexere en veel meer verschillende wachtwoorden kan gebruiken dan hiervoor; voel ik me nu stukken veiliger.

[ Voor 16% gewijzigd door Cloud op 07-06-2012 14:58 ]

Ik wil mijn wachtwoord wijzigen hier, maar ik zie niet waar ik dit kan doen?

kokker schreef op maandag 29 oktober 2012 @ 21:35:
Ik wil mijn wachtwoord wijzigen hier, maar ik zie niet waar ik dit kan doen?

https://secure.tweakers.net/my.tnet/profile#tab:account

kokker schreef op maandag 29 oktober 2012 @ 21:35:
Ik wil mijn wachtwoord wijzigen hier, maar ik zie niet waar ik dit kan doen?

Rechtsboven staat je gebruikersnaam in de navigatiebalk. Klik > onderaan staat Uitloggen.
Klik > rechtsonder staat account bewerken. Fwalla.

Thanks.. gevonden..
jeetje, je moet een aardig wachtwoord verzinnen voordat ie "sterk" aangeeft.
Dit wordt dus vaak een nieuw wachtwoord aanvragen zie ik al, dit ga ik niet onthouden.

Dan maak je toch gewoon een lang wachtwoord in een zin die je makkelijk kan onthouden? "altijd is kortjakje ziek" is in principe een sterk wachtwoord (maar een slecht voorbeeld omdat het een bekend rijmpje is). Verzin een zinnetje dat je makkelijk kan onthouden en klaar is Kees. Heb je geen getallen of leestekens voor nodig. Zie ook deze webcomic: http://xkcd.com/936/

[ Voor 6% gewijzigd door NMe op 29-10-2012 22:10 ]