Kan een 4 cijferig wachtwoord als veilig bestempeld worden?

Alleen een wachtwoord bestaande uit 4 cijfers niet.
Maar, als er een mechanisme is dat de toegang na 3 keer een foutieve combinatie ingeven blokkeert is het al weer een ander verhaal.

De 10.000 combinaties die mogelijk zijn, zijn iets te snel geraden. Dus er moet een blokkade opzitten.
En zoals je al aangeeft, die is er.

Het is dan - naar mijn mening - niet de beste beveiliging, maar zeker niet hopeloos.
Mits er dus aanvullende maatregelen zijn.

Het is vergelijkbaar met je pinpas: als je daarmee 3x achterelkaar een foute PIN geeft zonder tussentijds de goede PIN te geven blokkeert de chip zichzelf en mag je langs de bank (mogelijk zelfs nieuwe pas aanvragen).

_JGC_ schreef op dinsdag 3 oktober 2017 @ 12:52:
Het is vergelijkbaar met je pinpas: als je daarmee 3x achterelkaar een foute PIN geeft zonder tussentijds de goede PIN te geven blokkeert de chip zichzelf en mag je langs de bank (mogelijk zelfs nieuwe pas aanvragen).

Met als verschil dat je in bezit moet zijn van de fysieke pinpas om er misbruik van te kunnen maken...

Het is de combinatie e-mailadres, pincode en blokkade na 3 foutieve pogingen. Dat is wel redelijk veilig te noemen. Voor het inzien van polissen vind ik dat acceptabel. Voor bijvoorbeeld het bedienen van een kernreactor niet.

Enige vervelende van dit systeem is dat een kwaadwillende accounts kan blokkeren, waardoor jij er weer werk aan hebt om een nieuwe pincode aan te vragen.

Xander schreef op dinsdag 3 oktober 2017 @ 12:54:
[...]

Met als verschil dat je in bezit moet zijn van de fysieke pinpas om er misbruik van te kunnen maken...

En bij polismap heb je meer nodig dan een 4 cijferige code, een snelle check op de site leert me dat je nodig hebt:

E-mail
Inlogcode (Ik neem aan de 4 cijferige code)

Xander schreef op dinsdag 3 oktober 2017 @ 12:54:
[...]

Met als verschil dat je in bezit moet zijn van de fysieke pinpas om er misbruik van te kunnen maken...

Het is combinatie e-mail, pin en na 3x betreffende account blokkeren. Allereerst moeten ze jouw e-mailadres raden, vervolgens hebben ze 3 mogelijkheden om een PIN te geven, daarna krijg jij een mailtje dat er 3x fout is ingelogd en dat je account geblokkeerd is.

Verder is fysieke toegang tot een pinpas niet zo heel moeilijk. Mensen laten die dingen slingeren, op hun werk, in de auto, verlies, kaarten fysiek verwisselen met een babbeltruc, skimmen, etc.

Waarbij het wel opgemerkt mag worden dat dit een ideale manier is om iemand te iriteren als je zijn email kent. voer 3 keer een verkeerde code in, en degene mag weer gaan bellen om zijn account te unlocken

Palomar schreef op dinsdag 3 oktober 2017 @ 12:55:
Het is de combinatie e-mailadres, pincode en blokkade na 3 foutieve pogingen. Dat is wel redelijk veilig te noemen. Voor het inzien van polissen vind ik dat acceptabel. Voor bijvoorbeeld het bedienen van een kernreactor niet.

Enige vervelende van dit systeem is dat een kwaadwillende accounts kan blokkeren, waardoor jij er weer werk aan hebt om een nieuwe pincode aan te vragen.

Het emailadres wat je aan elke instantie en hun moeder afgeeft? Dat is echt geen factor. Ik weet het jouwe namelijk al

Stoelpoot schreef op dinsdag 3 oktober 2017 @ 13:05:
[...]


Het emailadres wat je aan elke instantie en hun moeder afgeeft? Dat is echt geen factor. Ik weet het jouwe namelijk al

Kan niet voor hem spreken, maar persoonlijk gebruik ik het email adres wat hier op tweakers staat negen van de tien keer niet voor andere doeleinden

Fly-guy schreef op dinsdag 3 oktober 2017 @ 13:08:
[...]

Kan niet voor hem spreken, maar persoonlijk gebruik ik het email adres wat hier op tweakers staat negen van de tien keer niet voor andere doeleinden

Ik zou zeggen 10 van de 10 keer, want ik zie 'm niet

Maar waar gebruik je je echte email adres dan voor? Facebook waarschijnlijk. Communicatie met je bank. De gemeente? Je zorgverzekeraar? De Coolblue webshop, of Bol.com? De nieuwsbrief van de voetbalclub van je zoontje? Communicatie met zijn school?

En hoe zit het met de beveiliging van de mensen die jouw email-adres hebben, zoals je broer of zus?

Een emailadres is allerminst veilig of geheim. Kijk maar eens in je spamfilters.

heuveltje schreef op dinsdag 3 oktober 2017 @ 13:01:
Waarbij het wel opgemerkt mag worden dat dit een ideale manier is om iemand te iriteren als je zijn email kent. voer 3 keer een verkeerde code in, en degene mag weer gaan bellen om zijn account te unlocken

Dit werkt bij heel veel manieren op deze manier.

Stoelpoot schreef op dinsdag 3 oktober 2017 @ 13:12:
[...]


Ik zou zeggen 10 van de 10 keer, want ik zie 'm niet

Maar waar gebruik je je echte email adres dan voor? Facebook waarschijnlijk. Communicatie met je bank. De gemeente? Je zorgverzekeraar? De Coolblue webshop, of Bol.com? De nieuwsbrief van de voetbalclub van je zoontje? Communicatie met zijn school?

En hoe zit het met de beveiliging van de mensen die jouw email-adres hebben, zoals je broer of zus?

Een emailadres is allerminst veilig of geheim. Kijk maar eens in je spamfilters.

Ik gebruik liefst per communicatiepartner een specifiek e-mailadres, maar dat is bepaald niet gangbaar natuurlijk, noch doe ik dat consequent.

IMHO is trouwens het kennen van een e-mailadres niet echt een sterke extra horde naast een IMHO ook niet al te sterke 4-cijferige pincode. Ik snap de gedachte achter het verplichten van een 4-cijferige pincode ook gewoon niet. 'Wij hebben ervoor gekozen niet met lange inlogcodes te werken' - waarom dus? En waarom niet even lang met letters en leestekens toegestaan?

[ Voor 20% gewijzigd door begintmeta op 03-10-2017 13:40 ]

Stoelpoot schreef op dinsdag 3 oktober 2017 @ 13:12:
[...]


Ik zou zeggen 10 van de 10 keer, want ik zie 'm niet

Maar waar gebruik je je echte email adres dan voor? Facebook waarschijnlijk. Communicatie met je bank. De gemeente? Je zorgverzekeraar? De Coolblue webshop, of Bol.com? De nieuwsbrief van de voetbalclub van je zoontje? Communicatie met zijn school?

En hoe zit het met de beveiliging van de mensen die jouw email-adres hebben, zoals je broer of zus?

Een emailadres is allerminst veilig of geheim. Kijk maar eens in je spamfilters.

Ik wil ook niet zeggen dat een email een super veilige factor is, verre van. Maar helemaal open ligt het nu ook weer niet als je een beetje je best doet.
Geen facebook, wat sowieso al een stuk veiligheid brengt en verreweg de meesten mensen mailen mij op een adres wat niet gebruikt wordt voor veel "serieuze" zaken. En daaronder valt de overheid, banken, verzekeringen, eigenlijk alles waar op een iets veiligere manier ingelogd moet worden dan een username en wachtwoord en persoonlijke gegevens bevat.
Alle andere zaken, zoals webshops, communicatie met bedrijven (school ligt al ver achter me) gaat weer over een ander adres dan die voor persoonlijke zaken.

In dit specifieke geval zou ik dan ook een nieuw email adres gebruiken om in te loggen (of beter nog, waarschijnlijk helemaal niet inschrijven, aangezien het me niets lijkt te brengen).

Dus iemand die bij bol.com werkt zal niet zo snel mijn email weten die mijnoverheid.nl kent. En iemand die me een leuk plaatje wil sturen zal niet snel weten onder welk email ik hier geregistreerd sta, etc.
Zeker niet 100% foolproof, verre van, maar zou ik een account hebben bij de dienst van dit topic, dan moet je aardig wat moeite doen wil je dat adres van me kunnen weten.

Wat gebeurt er als je account geblokkeerd is?
Wat heb je nodig om dit te unlocken?
Is dat enkel een telefoontje met "hoi dit is mijn email please unlock"

Ik kan je dus echt dwars zitten als ik je email heb. gewoon 3x inloggen en jouw account is weer frozen.
erg vervelend lijkt mij

pray2win schreef op dinsdag 3 oktober 2017 @ 14:57:
Ik kan je dus echt dwars zitten als ik je email heb. gewoon 3x inloggen en jouw account is weer frozen.
erg vervelend lijkt mij

Tenzij ze bij Voogd&Voogd uiteraard zo slim zijn om je dan obv je IP adres te blokkeren na een bepaald aantal pogingen. Dat melden ze niet, maar de mail via TS teruggekregen heeft ziet er ook niet uit alsof uitputtend wordt beschreven hoe de beveiliging is.

Ik denk dat de gekozen methode van mail + code redelijk veilig is. Waarom V&V het niet vrijlaat om een code van weet-ik-hoe-lang in te voeren ontgaat me eerlijk gezegd een beetje. Mijn gok is dat ze bang zijn voor teveel verkeerde inlogpogingen:

Je moet je aanmelden voor een account door je klantnummer door te geven. Ik neem aan dat je daarna een email toegestuurd krijgt met de viercijferige pincode. Als V&V ellenlange codes zou doorsturen, zijn ze misschien bang dat mensen dat over gaan typen (ipv copy-paste), vervolgens daarmee fouten maken en dan de helpdesk gaan bellen. Door korte codes te gebruiken voorkom je dat.

Nogmaals: dit is een aanname van mij. Als dat zo is, kan ik snappen dat ze gebruik maken van een korte code. Google, DropBox en LastPass sturen ook korte codes, al zijn dat TOTP codes. Waarom V&V dan niet toestaat dat je die zelf kan vervangen door een veel langere snap ik niet helemaal.

MaartenKoller schreef op dinsdag 3 oktober 2017 @ 14:46:
Maar als dit veilig zou zijn, waarom maken dan niet meer sites er gebruik van? Want 4 cijfers is natuurlijk makkelijker te onthouden.

Hier durf ik best over te zeggen: Omdat iedereen het zo doet.

Als dit echt veilig zou zijn, dan is dat bedrijf een genie omdat iedereen maar de standaard volgt van jaren geleden. Maar ik geloof dan ook niet dat dit veilig is. Het gemiddelde wachtwoord is nog onveilig. 256Bits, willekeurig gegenereerd, achter 2 wachtwoorden en een 2FA, dat is veilig IMO.

@P_Tingen Als ze bang zijn voor te veel contacten wegens verkeerd inloggen dan is een blokkade na 3 keer niet echt een goede oplossing.

@MaartenKoller Het ligt er aan hoe de blokkade ingesteld wordt om te zien hoe veilig het is. Zo kan het zijn dat ze hebben ingesteld dat als één username 3x verkeerd inlogt dat dan de username geblokkeerd wordt. De truc is dan om vooral heel veel verschillende e-mail adressen te gaan proberen.

Het kan op IP-adres niveau gaan dat als een ip-adres 3x verkeerd inlogt dat dan dat adres geblokkeerd wordt. Dat kan je dan weer omzeilen door het vanaf verschillende adressen te proberen.

Zo zijn er nog meer opties maar als ze het slim aanpakken dan hebben ze een combinatie van verschillende checks.

Stoelpoot schreef op dinsdag 3 oktober 2017 @ 15:29:
[...]
256Bits, willekeurig gegenereerd, achter 2 wachtwoorden en een 2FA, dat is veilig IMO.

Lijkt me effectief genoeg om zowel alle hackers als gebruikers buiten de deur te houden.

P_Tingen schreef op dinsdag 3 oktober 2017 @ 16:02:
[...]

Lijkt me effectief genoeg om zowel alle hackers als gebruikers buiten de deur te houden.

Niet de gebruikers die netjes een password manager gebruiken

Voor gevoelige gegevens zou ik liever wat sterkers zien.

Indien de 'code vergeten' geen aanroep limiet heeft kun je met enige moeite/geluk valide e-mail adressen achterhalen. Hierna heb je een lijst met valide e-mail adressen, genereer nu diverse zwakke pins zoals 1234, 4321, 0000, etc. Test nu 1 code op elk e-mail adres in je lijst, bij het einde ga je naar code 2, etc.

Indien dit lang genoeg duurt ontloop je de counter van blokkeer na 3 pogingen binnen x tijd. En anders bouw je handmatig een vertraging in. Proxies etc kunnen tegen IP-blokkade helpen.

Je gaf aan dat je nu zelf het account gelocked hebt. Dat lijkt mij een goede zaak afhankelijk van hoe complex het unlock process is. Hopelijk inderdaad niet zonder goede verificatie of nog erger, automatisch na x tijd.

MaartenKoller schreef op dinsdag 3 oktober 2017 @ 14:46:
Maar als dit veilig zou zijn, waarom maken dan niet meer sites er gebruik van? Want 4 cijfers is natuurlijk makkelijker te onthouden.

Heeft denk ik te maken met de mate van overlast voor de eindgebruiker als het account geblokkeerd wordt. Bijv. bij Gmail of Facebook wordt dagelijks miljarden keren door hackers 'aan de deur geklopt' met inlogpogingen. Het is voor de eindgebruiker dan niet gebruiksvriendelijk als zijn account steeds geblokkeerd wordt, omdat je die sites dagelijks gebruikt.
Zo'n polis-site ligt denk ik sowieso wat minder onder vuur van geautomatiseerde bots en bovendien gebruik je zo'n site niet dagelijks, waardoor de overlast ook minder is als je account geblokkeerd wordt.