Herleidbare wachtwoorden....

Het eerste wat in mijn hoofd opkomt is plaintext, maar dat gaat alleen over hoé de website de wachtwoorden opslaat. KrebsOnSecurity heeft een mooie samenvatting over plaintext: https://krebsonsecurity.c...-the-plaintext-offenders/

Volgensmij bestaat er geen specifieke term voor dit soort flaws; wat het dichtst in de buurt komt is default password. Vaak vergeten mensen het standaard wachtwoord te wijzigen, maar dat je geeneens de optie krijgt is absurd.

Voor zover ik weet is het standaard om geen persoonlijke informatie te gebruiken in een wachtwoord. Volgens mij is dit dan ook een standaard advies voor degene die een wachtwoord moet bedenken.

Do not use other information easily obtained about you. This includes your phone, social security, Yale ID, license plate, VISA credit card number, your birth date, the brand of your automobile, the name of the street you live on, etc.
bron: http://www.yale.edu/ppdev/Guides/its/passwords.pdf

Zoektermen als 'personal information as password' en 'what not to use as password' leiden je tot allerlei van dit soort tips.

Pas op: de vraag van de TS is een stuk 'erger' dan zelf een wachtwoord verzinnen. In dit geval krijgt iedereen obv eenzelfde algoritme een eenvoudig herleidbaar wachtwoord.

Het is IMHO dusdanig geen wachtwoord dat het te veel een inkopper is om niet eens voor te komen in lijstjes domme fouten

F_J_K schreef op woensdag 24 oktober 2012 @ 15:09:
Pas op: de vraag van de TS is een stuk 'erger' dan zelf een wachtwoord verzinnen. In dit geval krijgt iedereen obv eenzelfde algoritme een eenvoudig herleidbaar wachtwoord.

Het is IMHO dusdanig geen wachtwoord dat het te veel een inkopper is om niet eens voor te komen in lijstjes domme fouten

Ik zeg ook niet dat zijn wachtwoord door hemzelf gekozen is . Ik zeg enkel dat gebruik van persoonlijke informatie één van de eerste adviezen is die er wordt gegeven aan gebruikers en dat dit dan geldt voor de uitgever van de wachtwoorden lijkt me duidelijk . Maar TS zoekt een onderzoek of soort van ander gewichtig bewijs heb ik het idee dat het inderdaad behoort tot het lijstje domme fouten.

rjvencken schreef op donderdag 18 oktober 2012 @ 16:22:
Ik heb een herleidbaar wachtwoord uitgedeeld gekregen van een webwinkel en kan dat niet wijzigen dus kom er niet vanaf. Met een herleidbaar bedoel ik bijvoorbeeld dat het verstrekte wachtwoord uit de laatste 6 cijfers van je telefoonnummer bestaat. Naar mijn idee een fors en knullig beveiligingsrisico. Heeft er iemand een link naar een artikel hierover danwel een andere naam waaronder dit soort flaws bekend is?

Volgens mij is daar geen goede naam voor. Er bestaan natuurlijk wel een reeks best practices m.b.t. wachtwoorden.

Eentje is dat je geen persoonlijke informatie in een wachtwoord opneemt die door derden geraden kan worden, zoals een geboortedatum, de naam van je hond, of je telefoonnummer. In dit geval is het nog erger doordat een serieuze hacker al weet dat jouw telefoonnummer het wachtwoord is, en dus niet eens veel over jou hoeft te weten. Jouw wachtwoord staat gewoon in het telefoonboek. Hoeveel gemakkelijker kun je het maken?

De tweede is dat wachtwoorden regelmatig gewijzigd moeten worden. Dat is hier onmogelijk gemaakt.

En een derde, maar minst ernstige, is dat gebruikers eigenlijk verplicht moeten worden om zelf het wachtwoord te wijzigen als er een wachtwoord toegewezen is. Ook dat is hier onmogelijk.

Ik denk niet dat je een uitgebreid onderzoek gaat vinden naar herleidbaarheid. Niet hoe het op deze manier gebeurt, want dat is toch wel 1 van de grootste anti-patterns op security gebied, net na geen wachtwoord vereisen.
Zelfs een complete leek op computergebied kan wel bedenken dat dit een extreem dom iets is.

Misschien kan je dit topic wel gebruiken als referentie

[ Voor 8% gewijzigd door Standeman op 24-10-2012 15:22 ]