Wachtwoorden wijzigen veiligheid t.o.v. gebruiksgemak

Ik werk zelf ook in voor een zorginstelling op de ICT. Bij ons moet men elke 3 maand hun wachtwoord veranderen en moet aan dezelfde eisen voldoen behalve dan minimaal 8 tekens.

Je gaat bij een zorginstelling om met medische informatie. Een van de meest gevoelige informatie die er is. Dat dient op een goede manier beveiligd te zijn.

Daarnaast moeten zorginstellingen kwa ICT ook aan nomen voldoen die opgelegd worden door de inspectie/overheid. Het zal waarschijnlijk niet iets zijn dat de ICT afdeling helemaal vrijwillig besloten heeft

Elke maand is wel wat vaak, twee maanden is wat meer gangbaar. Verder zijn de eisen die je noemt vrij standaard (in elk geval voor wat betreft mijn ervaring bij verschillende grote bedrijven).

Wat ik niet helemaal begrijp is waarom je voor een zorginstelling andere eisen zou verwachten dan voor een bank of overheidsinstelling? Als er ergens gevoelige gegevens beschermd moeten worden dan is het wel bij een zorginstelling. Voornamelijk ook omdat het uitlekken van dergelijke gegevens eigenlijk onherstelbaar is. In tegenstelling tot bijvoorbeeld fraude bij een bank.

Over het nut van complexe wachtwoorden vs. alternatieven is een boel gezegd en geschreven. Er zijn zelfs behoorlijk treffende strips over gemaakt: http://xkcd.com/936/

Een optie die ik wel eens in de praktijk ben tegengekomen is dat een bedrijf voorschrijft dat je of een kort, maar complex wachtwoord moet gebruiken, of een wachtwoord van 15+ tekens, waarbij enkele complexiteitseisen vervallen.

Ik denk dat het regelmatig wijzigen van wachtwoorden, en het niet mogen hergebruiken van oudere wachtwoorden leidt tot onbedoelde situaties.

Namelijk:
1. Als mensen van verschillende loginsystemen zeer regelmatig hun wachtwoord moeten wijzigen, kunnen ze dat snel vergeten met als resultaat dat mensen 5x of meer moeten gaan gokken welk wachtwoord het was. Keyloggers zouden daar zeer veel baat bij kunnen hebben, en eventueel toekomstige wachtwoorden met een bepaalde zekerheid kunnen voorspellen.
2. Mensen die hun wachtwoord niet regelmatig gebruiken, en maar een paar keer in hoeven te tikken, zullen hun wachtwoord op zo'n post-it vellletje schrijven om te voorkomen dat ze die de volgende keer weer vergeten. Ook zal het systeembeheer vaak ook meer aanvragen krijgen om het wachtwoord opnieuw in te stellen omdat gebruikers die zijn vergeten.

Bij mij op 't werk (supermarkt) gelden de volgende eisen:
Het wachtwoord moet minimaal 8 posities lang zijn
Het wachtwoord mag maximaal 2 keer hetzelfde teken bevatten
Het wachtwoord moet minimaal 2 cijfers bevatten
Het wachtwoord mag geen spatie of # of + of & of < bevatten
Het wachtwoord moet anders zijn dan de vorige 6 wachtwoorden
Het wachtwoord mag niet gelijk zijn aan uw gebruikersnaam
Het wachtwoord mag niet lijken op uw voornaam en of achternaam
En elke 3 maanden wijzigen

Gevolg: wekelijks diverse medewerkers die hun wachtwoord vergeten zijn. Of moeten veranderen omdat een aantal tekens (zoals ! of ^ ) niet op het schermtoetsenbord van de PDA's staan. Zelf merk ik dat het vaak mis gaat met hoofdletters, in plaats van Shift net even de toets ernaast pakken.

Het enige wat ik enigszins overdreven vind is die 24 wachtwoorden ervoor.... Ik weet zelfs vaak niet eens meer het wachtwoord van 3 keer geleden, laat staan 24 keer geleden! (elke maand je wachtwoord wijzigen betekend dat je dan ook je wachtwoord van de afgelopen 2 jaar moet onthouden...)

Voor de rest, het is heel makkelijk om een "raar" wachtwoord te maken en te onthouden, door er een zin van te maken, bijvoorbeeld:

Ik moet een stom wachtwoord onthouden van die 2 van ICT!

Het wachtwoord zou dan zijn: Imeswovd2vICT! Voldoet volledig aan de eisen. Hoofdletters, kleine letters, cijfers en niet-alfanumerieke tekens.

(hij voldoet zelfs aan die eisen van ShitHappens!)

Onbekend schreef op zaterdag 05 april 2014 @ 16:48:
Ik denk dat het regelmatig wijzigen van wachtwoorden, en het niet mogen hergebruiken van oudere wachtwoorden leidt tot onbedoelde situaties.

Namelijk:
1. Als mensen van verschillende loginsystemen zeer regelmatig hun wachtwoord moeten wijzigen, kunnen ze dat snel vergeten met als resultaat dat mensen 5x of meer moeten gaan gokken welk wachtwoord het was. Keyloggers zouden daar zeer veel baat bij kunnen hebben, en eventueel toekomstige wachtwoorden met een bepaalde zekerheid kunnen voorspellen.

Daarom is het ook aan te raden om binnen een bedrijf niet talloze authenticatiesystemen te gebruiken, maar dat zoveel mogelijk met één centrale username/password op te lossen.

2. Mensen die hun wachtwoord niet regelmatig gebruiken, en maar een paar keer in hoeven te tikken, zullen hun wachtwoord op zo'n post-it vellletje schrijven om te voorkomen dat ze die de volgende keer weer vergeten. Ook zal het systeembeheer vaak ook meer aanvragen krijgen om het wachtwoord opnieuw in te stellen omdat gebruikers die zijn vergeten.

Voor password unlock zijn ook allerlei self-service oplossingen te verzinnen. En niet regelmatig gebruiken? Dat zal vooral voorkomen als je losse wachtwoorden hebt voor specifieke applicaties. Als het gros van je logins op basis van je AD/Windows login is, dan gebruik je dat wachtwoord doorgaans vrij regelmatig.

Wailing_Banshee schreef op zaterdag 05 april 2014 @ 16:51:
Het enige wat ik enigszins overdreven vind is die 24 wachtwoorden ervoor.... Ik weet zelfs vaak niet eens meer het wachtwoord van 3 keer geleden, laat staan 24 keer geleden! (elke maand je wachtwoord wijzigen betekend dat je dan ook je wachtwoord van de afgelopen 2 jaar moet onthouden...)

Je hoeft helemaal niks extra te onthouden, dat doet het systeem wel voor je. Sure, het is even irritant als je een wachtwoord kiest dat geweigerd wordt omdat het al eens eerder gebruikt is, maar dan probeer je het gewoon nog eens. Als je erg vaak op eerdere wachtwoorden uitkomt, dan wordt het tijd om eens na te denken over een iets handigere manier om je wachtwoord te verzinnen.

Voor de rest, het is heel makkelijk om een "raar" wachtwoord te maken en te onthouden, door er een zin van te maken, bijvoorbeeld:

Ik moet een stom wachtwoord onthouden van die 2 van ICT!

Het wachtwoord zou dan zijn: Imeswovd2vICT! Voldoet volledig aan de eisen. Hoofdletters, kleine letters, cijfers en niet-alfanumerieke tekens.

(hij voldoet zelfs aan die eisen van ShitHappens!)

Exact, er zijn allerlei trucjes om op een handige manier sterke wachtwoorden te kiezen. Al blijft het natuurlijk gewoon een kwetsbare manier van authenticeren, wat voor regels en tips je je gebruikers ook geeft.

Nickbn schreef op zaterdag 05 april 2014 @ 16:58:
@iisschots, ik begrijp dat de informatie beveiligd moet worden en heb daar alle respect voor. Echter ik heb geen toegang tot medische informatie rondom onze clienten. Die persoonlijke informatie is voorbehouden aan de zorgmanagers en directie. Echter val ik wel onder dezelfde wachtwoordwijzigingsregeling. En in hoeverre voegt het maandelijks wijzigen nu echt iets toe? Jaarlijks wijzigen en bepaalde eisen aan de vorm kan ik begrijpen, maar maandelijks en draconische eisen? Ik vind de verwarring en het ongemak hier wel steeds meer een rol spelen.

Voor elke soort medewerkers een ander wachtwoord beleid voeren lijkt me nog veel verwarrender. Wellicht niet direct voor de eindgebruiker, maar voor IT wordt het er op die manier niet makkelijker op. En dan moet je dat dus ook nog gaan aanpassen als iemand promotie krijgt etc.

Om maar te zwijgen van mijn collega's die het liefste zo min mogelijk met computers te maken willen hebben.

En ik ben het roerend eens met Onbekend. Dit veroorzaakt naar mijn mening meer werk dan dat het veiligheid biedt.

Als je het goed inricht hoeft dat niet. Maar zoals gezegd: elke maand is wel wat overdreven.

Overigens over de persoonsgegevens gesproken van clienten, deze bevinden zich in de diverse lades en archiefkasten die onze kantoren rijk zijn. Een beetje logisch denkenk en beredenerend mens zou zo kunnen achterhalen waar wij deze gegevens houden en zich toegang kunnen verschaffen tot die gegevens. Als je zo kijkt is onze zwakste schakel niet digitaal maar fysiek. Zou je niet een beleid moeten hebben dat fysiek en digitaal met elkaar in verhouding staat?

Beide moeten in balans zijn met het risico dat je loopt. Het risico op een fysieke inbraak is niet per se gelijk aan het risico op een digitale inbraak. In de ladekast van iemand anders gaan zitten rommelen valt veel eerder op dan iemand anders z'n account misbruiken (tenzij je fatsoenlijke security monitoring tools gebruikt).

En er zullen ongetwijfeld ook fysiek de nodige beveiligingsmiddelen worden ingezet (sloten / toegangspasjes, cameras, receptie/beveilingspersoneel, alarmsysteem).

Wachtwoord laten veranderen maakt het wachtwoord onveiliger.
Waarom mensen beginnen dit op hun laptop te plakken, onder hun keyboard te leggen of in hun schuif.

Wat wel een handige parameter is om account te locken na x aantal pogingen. Hierdoor kan je brute force aanvallen voorkomen. En als je het toch veiliger wil. Maak gebruik van tokens (Vasco, fortinet).

Bij ons op het werk mag je ook een wachtwoord maar éénmalig hebben...

Een optellend nummer of een maand in je wachtwoord zetten werkt daar goed bij

Persoonlijk denk ik dat dit soort strenge eisen juist voor onveiligheid zorgen, omdat het op een gegeven moment onmogelijk word om een dermate lastig wachtwoord steeds opnieuw te onthouden

Wachtwoordbeleid van 24 wachtwoorden is belachelijk en helpt niet.

Januari: Tweaker1!
Februari: Tweaker2!
Maart: Tweaker3!

Wordt erg voorspelbaar.

Een sterk wachtwoord langer behouden is vele malen veiliger dan "zwakke" wachtwoorden vaak wijzigen.

belrpr schreef op zaterdag 05 april 2014 @ 17:24:
Wat wel een handige parameter is om account te locken na x aantal pogingen. Hierdoor kan je brute force aanvallen voorkomen. En als je het toch veiliger wil. Maak gebruik van tokens (Vasco, fortinet).

Geen wachtwoord is trouwens ook veilig. Daarmee worden alle remote connecties geblokkeerd (totdat iemand de GPO wijzigt).

[ Voor 45% gewijzigd door Trommelrem op 05-04-2014 17:54 ]

Nickbn schreef op zaterdag 05 april 2014 @ 16:58:
@iisschots, ik begrijp dat de informatie beveiligd moet worden en heb daar alle respect voor. Echter ik heb geen toegang tot medische informatie rondom onze clienten. Die persoonlijke informatie is voorbehouden aan de zorgmanagers en directie. Echter val ik wel onder dezelfde wachtwoordwijzigingsregeling.

Je werkt in de gezondheidszorg, punt. Je zit op de administratie, en hebt dus (mogelijkerwijs) te maken met gegevens van je collega's.
En verwacht je nu echt dat ICT met persoongebonden profielen wil werken die onder andere de wachtwoordpolicy aanpassen op bais van functie?? Ik heb net een behoorlijke migratie bij een redelijk grote zorgclub meegemaakt en heb nog hoofdpijn van grotere en kleinere screw-ups met betrekking tot rechten op programma's en folders.

En in hoeverre voegt het maandelijks wijzigen nu echt iets toe? Jaarlijks wijzigen en bepaalde eisen aan de vorm kan ik begrijpen, maar maandelijks en draconische eisen? Ik vind de verwarring en het ongemak hier wel steeds meer een rol spelen. Om maar te zwijgen van mijn collega's die het liefste zo min mogelijk met computers te maken willen hebben.

Maandelijks is misschien wat overtrokken. Overigens hebben mensen in de zorg (althans in mijn beleving) sowieso een antipathie tegen computers

En ik ben het roerend eens met Onbekend. Dit veroorzaakt naar mijn mening meer werk dan dat het veiligheid biedt.

Misschien wel... maar ik zou dat niet alleen op ICT gooien. Er is ook een management (dat niet altijd gehinderd wordt door functionele kennis) en de al aangestipte antipathie tegen computers/automatisering.
[/quote]
Het rotte is, bij voorbeeld bij eerder genoemd hoofdpijnbedrijf, dat er altijd van alles bij komt. Zoiets leuks en handigs als single signon bijvoorbeeld... leuk voor later. Een intranet dat gekoppeld is aan een zelfgekozen adres, terwijl (voor een deel van het bedrijf) het emailadres al gebruikt werd voor inloggen en ongeveer twee maanden na de uitrol van het nieuwe intranet de nieuwe inlogmethode werd uitgerold (company wide)... namelijk met een (nieuw) emailadres.
Uiteraard had het intranet daar niets mee van doen... maar je wilt niet weten hoeveel mensen daar niet meer konden inloggen. En tussen vrijdag en maandag hun (prive)mailadres waren vergeten.

@trommelrem en nooberke: Dat is via policies gewoon te voorkomen

Wailing_Banshee schreef op zaterdag 05 april 2014 @ 16:51:
Het enige wat ik enigszins overdreven vind is die 24 wachtwoorden ervoor.... Ik weet zelfs vaak niet eens meer het wachtwoord van 3 keer geleden, laat staan 24 keer geleden! (elke maand je wachtwoord wijzigen betekend dat je dan ook je wachtwoord van de afgelopen 2 jaar moet onthouden...)

Voor de rest, het is heel makkelijk om een "raar" wachtwoord te maken en te onthouden, door er een zin van te maken, bijvoorbeeld:

Ik moet een stom wachtwoord onthouden van die 2 van ICT!

Het wachtwoord zou dan zijn: Imeswovd2vICT! Voldoet volledig aan de eisen. Hoofdletters, kleine letters, cijfers en niet-alfanumerieke tekens.

(hij voldoet zelfs aan die eisen van ShitHappens!)

Dit is juist één van de slechtste adviezen die je kan geven. Waarom niet gewoon de hele zin gebruiken? Die is makkelijker te onthouden, en veiliger omdat hij veel meer lengte heeft. Er is echt geen enkele reden om de zin zo in te korten (afgezien van oude pakketten die 30+ karakterige wachtwoorden niet ondersteunen natuurlijk).

Orion84 schreef op zaterdag 05 april 2014 @ 17:18:
[...]
Daarom is het ook aan te raden om binnen een bedrijf niet talloze authenticatiesystemen te gebruiken, maar dat zoveel mogelijk met één centrale username/password op te lossen.

Ik doelde hierbij niet alleen bij systemen binnen een bedrijf alleen, maar ook buiten het bedrijf. Thuis heeft iemand ook verschillende wachtwoorden voor computer, e-mail, draadloos netwerk, pincode, en websites zoals van de bank, aantal fora, verzekering en meer producten die allemaal andere eisen stellen aan het wachtwoord zelf en hoe lang je die mag gebruiken.

[...]
Voor password unlock zijn ook allerlei self-service oplossingen te verzinnen. En niet regelmatig gebruiken? Dat zal vooral voorkomen als je losse wachtwoorden hebt voor specifieke applicaties. Als het gros van je logins op basis van je AD/Windows login is, dan gebruik je dat wachtwoord doorgaans vrij regelmatig.

Ook hier doelde ik ook buiten bedrijfsmatig gebruik. Ik gebruik bijvoorbeeld DigID maar 1x per jaar (voor de belastingsdienst) en mijn draadloze wachtwoord heb ik ook in 2 jaar tijd maar 3x in hoeven te stellen. Er zijn heel wat diensten waarbij je maar een enkele keer per jaar gebruik van maakt. Mijn lijst met gebruikersnamen en wachtwoorden is zo'n 30 stuks groot, en van maar een stuk of 5 ken ik deze uit m'n hoofd omdat dat ze bijna de zelfde wachtwoorden zijn. . Programma's zoals kee-pass vertrouw ik niet zo erg, want als dat niet meer werkt ben ik al mijn wachtwoorden kwijt.


Op mijn werk heb ik een lijst (ja, opgeschreven ja) van ruim 150 verschillende gebruikersnamen en wachtwoorden, en alleen maar bedoeld om onze systeembeheertaken uit te kunnen voeren, want met alleen een Windows domein kom je er niet. En dat zijn niet eens de interne gebruikersnamen en wachtwoorden van werknemers, maar wachtwoorden van websites en FTP, logins bij klanten en andere services waar wij bij aangesloten zijn.
En dan laat ik de product keys even achterwege, want dat is een andere lijst.
Het is namelijk ondoenlijk om zo'n lijst te onthouden en dan over te dragen aan een mede-systeembeheerder.

Slurpgeit schreef op zaterdag 05 april 2014 @ 18:16:
[...]


Dit is juist één van de slechtste adviezen die je kan geven. Waarom niet gewoon de hele zin gebruiken? Die is makkelijker te onthouden, en veiliger omdat hij veel meer lengte heeft. Er is echt geen enkele reden om de zin zo in te korten (afgezien van oude pakketten die 30+ karakterige wachtwoorden niet ondersteunen natuurlijk).

Omdat zo'n lange zin een crime is om te gebruiken op mobiele apparaten...

Voor die applicaties/websites die ik alleen op mijn PC gebruik, gebruik ik vaak een volledige zin. Voor alle andere gebruik ik een afgekorte.

Jester-NL schreef op zaterdag 05 april 2014 @ 18:14:
@trommelrem en nooberke: Dat is via policies gewoon te voorkomen

Dan heb je reversible encryption en dan verschuif je de onveiligheid alleen maar. Als er dan een domain controller wordt gejat, dan ben je helemaal de sjaak.

De vraag is dan wellicht of er ook op fysiek gebied wellicht niet eens wat verbetering nodig is

Nee, het is inderdaad link om door te schieten met dit soort maatregelen omdat ze dan een averechts effect hebben. In dit geval is het een combinatie van een bovengemiddeld streng wachtwoordbeleid, in combinatie met blijkbaar een gebrek aan toelichting waarom dat nodig wordt geacht. En dan is het logisch dat je als werknemer je afvraagt waar ze mee bezig zijn.

Ik zou zeggen, bespreek het met je collega's en als de algemene opvatting is dat met name dat maandelijkse wijzigen voor problemen zorgt, kaart dat dan gewoon aan.

[ Voor 15% gewijzigd door Orion84 op 06-04-2014 00:30 ]

Mindset veranderen: Het bedenken en onthouden van een wachtwoord moet je zien als een normaal onderdeel van jouw werk. Als je er maandelijks tien minuten tijd aan besteed is er geen probleem.
Zolang je het blijft zien als iets wat losstaat van jouw werk en jou belemmert ...werkt het niet.

Nickbn schreef op zaterdag 05 april 2014 @ 16:32:Minstens 7 karakters, mag niet op de 24 wachtwoorden daarvoor gebruikt lijken of zijn, moet uit tenminste een hoofdletter, kleine letter, numeriek teken en niet-alfanumeriek teken bevatten.

Dit is ook slecht omdat mensen gewoon een wachtwoord maken wat exact aan die eisen voldoet. Een hacker kan dit gewoon in zijn tooltje invullen waarna dat tooltje enkel die wachtwoorden gaat checken die aan die eisen voldoen. Met andere woorden, deze eisen maken het de hacker makkelijker!

Beter zou zijn als de IT-afdeling een minimaal aantal tekens (minimaal 8, liever meer ) zou opleggen als eis en de andere eisen qua nummers/hoofdletters laten vallen. Bij het aanpassen van het wachtwoord zou je wel een "hoe-sterk-is-mijn-wachtwoord"-metertje kunnen tonen.

Onbekend schreef op zaterdag 05 april 2014 @ 18:42:
[...]
Programma's zoals kee-pass vertrouw ik niet zo erg, want als dat niet meer werkt ben ik al mijn wachtwoorden kwijt.

Heb je uberhaupt KeePass wel eens gebruikt? Ik gebruik het al bijna twee jaar en kan vanaf allerlei devices bij m'n wachtwoorden. Nog nooit meegemaakt dat het niet werkte.

Op mijn werk heb ik een lijst (ja, opgeschreven ja) van ruim 150 verschillende gebruikersnamen en wachtwoorden, en alleen maar bedoeld om onze systeembeheertaken uit te kunnen voeren

Grappig dat je dus keepass niet vertrouwt want het zou wel eens niet kunnen werken, maar wat als er brand is op je kantoor? Dan ren jij als laatste met gevaar voor eigen leven de rook in op zoek naar je wachtwoordenboek?
Bovendien kan je met een een password-manager sneller werken: je hoeft dan geen wachtwoorden meer over te typen van je lijst, maar kan ze gewoon auto-typen.

Computers zijn gemaakt om ons te helpen, taken van ons over te nemen zodat wij minder hoeven te onthouden, waarom zou je dan moeilijk doen met zelf een wachtwoord verzinnen? Waarom niet een programma als keepass een mooi random wachtwoord van 24 tekens laten verzinnen en laten onthouden? Ja je geeft daar een stukje controle mee op, maar krijgt er veel gemoedsrust voor terug. Veel van je collega's hebben vast wel smartphones, die hebben ook allerlei wachtwoord management apps die je zou kunnen gebruiken.

Ja met een wachtwoord-management-app introduceer je weer andere risico's, maar het is allicht beter dan post-its of boeken met 150 wachtwoorden op of rond je bureau laten slingeren.

[ Voor 4% gewijzigd door Ramon op 06-04-2014 01:04 ]

Ramon schreef op zondag 06 april 2014 @ 00:59:
Heb je uberhaupt KeePass wel eens gebruikt? Ik gebruik het al bijna twee jaar en kan vanaf allerlei devices bij m'n wachtwoorden. Nog nooit meegemaakt dat het niet werkte.

Ik heb het wel eens een weekje of twee dit gebruikt voor maar een paar wachtwoorden.
Het is niet zo dat dat programma eens niet heeft gewerkt, maar op een of andere manier voelde ik mij daar niet prettig bij.

Grappig dat je dus keepass niet vertrouwt want het zou wel eens niet kunnen werken, maar wat als er brand is op je kantoor? Dan ren jij als laatste met gevaar voor eigen leven de rook in op zoek naar je wachtwoordenboek?

Tegen brand en ander verlies maken bedrijven natuurlijk ook backups . Bij ons liggen sommige backups dus ook ergens anders opgeslagen, ver buiten het bedrijfspand.

Ja met een wachtwoord-management-app introduceer je weer andere risico's, maar het is allicht beter dan post-its of boeken met 150 wachtwoorden op of rond je bureau laten slingeren.

Bij ons is dit netjes en veilig opgeborgen, en ligt dus niet zomaar op mijn bureau. Het zijn ook wachtwoorden die ik niet elke week nodig heb.
Verder werkt Keepass trouwens niet als je remote bij een klant bent ingelogd en daarin nog eens wachtwoorden in moet voeren.

Computers zijn gemaakt om ons te helpen, taken van ons over te nemen zodat wij minder hoeven te onthouden, waarom zou je dan moeilijk doen met zelf een wachtwoord verzinnen?

Het zijn de rare eisen die aan een wachtwoord worden gesteld. Bij de ene moet het wachtwoord tussen de 10 en 12 tekens lang zijn en bestaan uit allerlei soorten leestekens, en bij de andere mag je alleen maar letters en cijfers gebruiken (omdat waarschijnlijk het systeem dat niet aan kan.)

Overigens is het idee van allerlei verschillende gebruikersnamen en wachtwoorden dat als ze in verkeerde handen vallen je maar 1 login kwijt bent en niet van alles. Maar als je dit laat beheren door maar 1 applicatie (met wachtwoord) dan ben je ook met dit wachtwoord meteen alles kwijt.

Ik ben het er mee eens dat computers zouden moeten helpen, en op veel punten helpen ze al. Alleen de authenticatie blijft nog steeds een zorgenkindje.

Wat ik altijd doe is dat ik er zinnen van maak en een paar cijfers, bijvoorbeeld "iKbENeeNOLifaNT22"

Dat lijkt moeilijk te onthouden maar er zit een ezelsbruggetje in waar hackers naar mijn idee niet zo snel aan denken.

Namelijk: één kleine letter (i), één hoofdletter (K), één kleine letter (b), twee hoofdletters (EN), twee kleine letters (ee), drie hoofdletters (NOL), drie kleine letters (ifa), vanaf nu moet je iets kleins onthouden zal je denken: twee hoofdletters (NT), twee getallen (22). - je hoort eigenlijk vier hoofdletters te hebben en daarom doe je 2 tot de tweede of nog simpeler gezegd: 2 x 2. Dat is ook het aantal kleine letters.

Het wachtwoord heeft weliswaar vaak dezelfde tekens, maar dit lijkt me toch echt moeilijk te ontcijferen.

12345dan schreef op zondag 06 april 2014 @ 10:04:
Wat ik altijd doe is dat ik er zinnen van maak en een paar cijfers, bijvoorbeeld "iKbENeeNOLifaNT22"

Doen we het makkelijker te onthouden "Ik ben een olifant uit 1922!"



Dan blijkt dat die veel veiliger is, en het voldoet aan de eisen uit de topicstart.

Zie: https://howsecureismypassword.net/

[ Voor 4% gewijzigd door Ramon op 06-04-2014 11:02 ]

Ramon schreef op zondag 06 april 2014 @ 10:41:
[...]

[afbeelding]

Doen we het makkelijker te onthouden "Ik ben een olifant uit 1922!"

[afbeelding]

Dan blijkt dat die veel veiliger is, en het voldoet aan de eisen uit de topicstart.

Dat klopt (leestekens, spaties en dergelijke), alleen is die makkelijker te ontrafelen als iemand meekijkt op de computer (bijvoorbeeld een patiënt). Daar hielt ik ook rekening mee.

P.S. Hoe heet die website ? - O, ik heb hem al: https://howsecureismypassword.net

[ Voor 4% gewijzigd door 12345dan op 06-04-2014 11:47 . Reden: Trema ]

Nickbn schreef op zaterdag 05 april 2014 @ 16:58:
@iisschots, ik begrijp dat de informatie beveiligd moet worden en heb daar alle respect voor. Echter ik heb geen toegang tot medische informatie rondom onze clienten.

Overigens over de persoonsgegevens gesproken van clienten, deze bevinden zich in de diverse lades en archiefkasten die onze kantoren rijk zijn. Een beetje logisch denkenk en beredenerend mens zou zo kunnen achterhalen waar wij deze gegevens houden en zich toegang kunnen verschaffen tot die gegevens.

Ik snap je gedachtengang dus zal ik proberen een mogelijke verklaring te geven van de beveiligingsmaatregelen.

Dat je geen toegang hebt tot medische informatie maakt niet zo veel uit. Dit is waarschijnlijk wel opgeslagen op systemen waar jou pc toegang tot heeft. Als een aanvaller je wachtwoord kan raden en toegang heeft tot jou systeem dan kan hij dat gebruiken om verder in het netwerk te komen en zo uiteindelijk bij de gevoelige informatie uit te komen.

Een fysieke aanval is meestal een makkelijke manier om aan gegevens te komen maar ook veel risicovoller dan een computeraanval. De drempel voor criminelen is hoger aangezien men altijd zal berekenen hoe veel kans op ontdekking en dus politie / gevangenisstraf er is. Wat verder meespeelt is dat je via internet met de hele wereld verbonden bent en de kans dus zeer groot is dat iemand je aanvalt.

7 karakters is allang niet meer van deze tijd. Minimaal 8 is toch wel de standaard. En zelfs dat is aan de krappe kant m.i, geloof persoonlijk geloof meer in passphrases.

Mbt tot die archiefkasten geldt een hele andere afweging:

Fysieke toegang vereist; dat creert een enorme drempel, is niet anoniem, risicovoller en meestal heb je dan maar enkele specifieke dossiers. Via een geautomatiseerd systeem kan - in potentie - iemand vanaf de andere kant van de wereld, anoniem, met weinig risico, misschien wel in 5 minuten (los van de voorbereiding uiteraard) alle dossiers stelen...

SKiLLa schreef op vrijdag 11 april 2014 @ 18:41:
7 karakters is allang niet meer van deze tijd. Minimaal 8 is toch wel de standaard.

Mijn wachtwoorden zijn (bijna) altijd meer dan 15 karakters .

Ik gebruik menig tips die hier ook naar voren komen, Zinnen, random afkortingen, speciale leestekens etc.
Vanochtend las ik echter dit artikel waardoor ik toch wel even moest nadenken. Misschien toch maar een passwordmanager gaan gebruiken en bewuster om gaan met het inloggen.

http://lifehacker.com/593...g-you-from-todays-hackers

12345dan schreef op vrijdag 11 april 2014 @ 18:45:
[...]

Mijn wachtwoorden zijn (bijna) altijd meer dan 15 karakters .

24 minimaal hier (waar mogelijk, want veel sites hebben een max)

Bijvoorbeeld: G$AsQs'KR\xUx@FHntE9DncE

Random gegenereerd door mijn password manager.

[ Voor 8% gewijzigd door Ramon op 14-04-2014 00:03 ]

Ramon schreef op maandag 14 april 2014 @ 00:03:
[...]

24 minimaal hier (waar mogelijk, want veel sites hebben een max)

Bijvoorbeeld: G$AsQs'KR\xUx@FHntE9DncE

Random gegenereerd door mijn password manager.

Zoiets heb ik voor mijn Dropbox-account, maar verder niet. Ik heb bij Google wel en sterk wachtwoord maar dat is niet echt belangrijk als ze dat hebben, ik heb daarbovenop ook verificatie in twee stappen. Zou misschien ook handig zijn voor bedrijven, zorginstanties etc.. Misschien hoef je dan alleen wachtwoorden in te vullen op de computers in het bedrijf (je kan aangeven dat het daar niet hoeft) maar voor computers buiten het registratiesysteem niet. Alleen is er één vraag: Hoe erg vertrouw je het personeel? Misschien is het daarom om ook hen toegang buiten het bedrijf te stoppen. Dan moet er misschien op een paar plaatsten een simpel tabletje staan die alleen maar wachtwoorden aangeeft voor de tweede stap (verandert althans bij Google elke 10 seconden).

Nitai schreef op zondag 13 april 2014 @ 23:41:
Ik gebruik menig tips die hier ook naar voren komen, Zinnen, random afkortingen, speciale leestekens etc.
Vanochtend las ik echter dit artikel waardoor ik toch wel even moest nadenken. Misschien toch maar een passwordmanager gaan gebruiken en bewuster om gaan met het inloggen.

http://lifehacker.com/593...g-you-from-todays-hackers

Ja, daarom ben ik afgestapt van echte woorden en zoek ik een zinnetje waar ik de eerste letters van pak, met leestekens. Probeer daar maar eens een patroon in te herkennen...