/u/214894/crop5baaa31f9c4ff_cropped.png?f=community)
Ik open dit topic meer als een Request For Comments, in dit gedeelte, omdat webpaswoorden het meest in gevaar zijn.
(Vandaag, 0-day in wordpress legt potentieel passwoorden bloot)
Geleidelijk aan bewegen we gebruikers ertoe gebruik te maken van een centrale authentificatie service.
Ofwel is het Auth2.0, OpenID, Google, of Facebook, ofwel via tools als Lastpass.
De eerste soort centrale login, vermijdt dat je telkens een nieuwe login moet aanmaken, en een paswoord moet verzinnen, (vaak hetzelfde). De vereiste is natuurlijk wel dat de dienst dit ondersteund.
Bij de tweede soort centrale login, moet je wel telkens een nieuw profiel maken, en beheren, maar kan je wel moeilijke paswoorden genereren, en die in een kluis bewaren, achter 1 paswoord.
Beide opties zijn orthogonaal te gebruiken, het ene sluit het andere niet uit.
In combinatie met beide opties, stel ik voor dat er ook een zekere online standaard wordt ontworpen om paswoorden automatisch te wijzigen.
Het probleem is dat als een database wachtwoorden lekt, en deze zijn onvoldoende geëncrypteerd, je nauwelijks meer weet wat de impact hiervan is.
Lastpast zou dan zo kunnen worden ingesteld, dat ze automatisch paswoorden ververst, per tijd, of na een melding.
Dit zou simpel kunnen gaan via een POST per HTTPS, met authentificatie natuurlijk.
Ik heb niet het vermoeden dat hier al over is nagedacht, tenzij jullie mij de weg kunnen wijzen?
(Vandaag, 0-day in wordpress legt potentieel passwoorden bloot)
Geleidelijk aan bewegen we gebruikers ertoe gebruik te maken van een centrale authentificatie service.
Ofwel is het Auth2.0, OpenID, Google, of Facebook, ofwel via tools als Lastpass.
De eerste soort centrale login, vermijdt dat je telkens een nieuwe login moet aanmaken, en een paswoord moet verzinnen, (vaak hetzelfde). De vereiste is natuurlijk wel dat de dienst dit ondersteund.
Bij de tweede soort centrale login, moet je wel telkens een nieuw profiel maken, en beheren, maar kan je wel moeilijke paswoorden genereren, en die in een kluis bewaren, achter 1 paswoord.
Beide opties zijn orthogonaal te gebruiken, het ene sluit het andere niet uit.
In combinatie met beide opties, stel ik voor dat er ook een zekere online standaard wordt ontworpen om paswoorden automatisch te wijzigen.
Het probleem is dat als een database wachtwoorden lekt, en deze zijn onvoldoende geëncrypteerd, je nauwelijks meer weet wat de impact hiervan is.
Lastpast zou dan zo kunnen worden ingesteld, dat ze automatisch paswoorden ververst, per tijd, of na een melding.
Dit zou simpel kunnen gaan via een POST per HTTPS, met authentificatie natuurlijk.
Ik heb niet het vermoeden dat hier al over is nagedacht, tenzij jullie mij de weg kunnen wijzen?
:strip_icc():strip_exif()/u/19784/crop5602e6447372a_cropped.jpeg?f=community)
/u/848253/crop5b1fedd835c9e_cropped.png?f=community)