ING's wachtwoordenbeleid niet meer van deze tijd - Privacy en beveiliging

maandag 25 oktober 2021 23:31

Acties:

+2 Henk 'm!

Topicstarter

Ik werd vanavond gevraagd door ING om mijn wachtwoord te wijzigen en daarbij stellen ze nogal wat eisen die behoorlijk uit de tijd zijn, waardoor ik vermoed dat ze de wachtwoorden nog altijd unsalted en unhashed opslaan.

Hopelijk niet in plaintext, hoewel dit lijstje toch echt anders doet vermoeden:

Afbeeldingslocatie: https://tweakers.net/i/euJ2zYp8t0KX9qq_Oz3W09mTa1E=/x800/filters:strip_exif()/f/image/fMrIih5lJ4cFZeyzwfO1iXiq.png?f=fotoalbum_large

Allereerst het maximum aantal tekens van 20 karakters en vervolgens ook nog eens een limiet op het aantal speciale tekens. (blijkbaar mag de & niet, ik heb de apostrof en aanhalingstekens niet geprobeerd, maar die staan ook niet in het lijstje van toegestane tekens).
Geen van mijn (door mijn wachtwoordmanager gegenereerde) wachtwoorden werden geaccepteerd.

Zijn jullie ook al eens dergelijke zaken tegen gekomen?

maandag 25 oktober 2021 23:34

Acties:

+13 Henk 'm!

CyBeRSPiN

sinds 2001

Vaak genoeg, maar waarom denk je op basis hiervan dat het unsalted / unhashed wordt opgeslagen?

maandag 25 oktober 2021 23:34

Acties:

0 Henk 'm!

MadJo80

Topicstarter

Ik kan het me overigens niet voorstellen dat een grote bank als ING niet unsalted en unhashed wachtwoorden opslaat, maar deze eisen zijn in mijn ogen dan echt overbodig en staan echt goede wachtwoorden in de weg.

maandag 25 oktober 2021 23:36

Acties:

0 Henk 'm!

MadJo80

Topicstarter

CyBeRSPiN schreef op maandag 25 oktober 2021 @ 23:34:
Vaak genoeg, maar waarom denk je op basis hiervan dat het unsalted / unhashed wordt opgeslagen?

Als het wachtwoord gehasht wordt, maakt de lengte niks uit. Elk wachtwoord krijgt een even lange hash, ongeacht of het wachtwoord zelf nu 8 of 100 tekens bevat.

dinsdag 26 oktober 2021 00:19

Acties:

+1 Henk 'm!

CyBeRSPiN

sinds 2001

Alleen een wachtwoord volstaat al lang niet meer. ING heeft 2FA middels de app.
Een wachtwoord van 2000 tekens kan net zo makkelijk onderschept als een van 20 toch?

dinsdag 26 oktober 2021 00:30

Acties:

+7 Henk 'm!

Josk79

Ja, rare restrictie, maar dat kunnen de Tweakers niet voor je/ze oplossen. Moet je bij ING zelf zijn.

Heeft er ook niks mee te maken of het unhashed opgeslagen zou worden.

dinsdag 26 oktober 2021 00:42

Acties:

+2 Henk 'm!

Gropah

Admin Softe Goederen

Oompa-Loompa 💩

MadJo80 schreef op maandag 25 oktober 2021 @ 23:36:
[...]

Als het wachtwoord gehasht wordt, maakt de lengte niks uit. Elk wachtwoord krijgt een even lange hash, ongeacht of het wachtwoord zelf nu 8 of 100 tekens bevat.

Het hashen gebeurd sowieso bij de server van ING zelf en er is geen garantie dat het gehashed word verzonden. Maar zelfs als het ongehashed word verzonden, snap i zelf ook niet waarom er een limiet van 20 tekens op word gegooid. 120 tekens maakt qua (pay)load niet genoeg uit om dat te blokkeren.

Ik schat dat dit soort policies nog stammen uit vroegere tijden, toen kortere wachtwoorden of string manipulations aan wachtwoorden voor ze gehashed werden nog vaker gebeurden.

Zo zijn de wachtwoorden bij runescape hoofdletter ongevoelig (codebase komt origineel uit begin 00's) en gebruikte DES origineel alleen de eerste 8 characters.

Wat mij betreft mag er een schandpaal komen voor dit soort praktijken, vooral als de frontend van de site het wel toelaat om meer characters te sturen, maar het vervolgens niet mogelijk is om met datzelfde wachtwoord (wat dus te lang zou zijn) in te loggen

[ Voor 6% gewijzigd door Gropah op 26-10-2021 00:43 ]

dinsdag 26 oktober 2021 06:33

Acties:

0 Henk 'm!

sypie

Gropah schreef op dinsdag 26 oktober 2021 @ 00:42:
Wat mij betreft mag er een schandpaal komen voor dit soort praktijken…

Nou, die bestaat op dit moment al door dit topic.

@MadJo80 Wijs de technische kant van ING er op dat dit topic bestaat, stuur ze de link mee en kijk wat er gebeurt.

@Verwijderd Zijn jullie nog actief op Tweakers en lezen jullie mee?

dinsdag 26 oktober 2021 07:00

Acties:

+1 Henk 'm!

Verwijderd

Wachtwoorden is uiteraard altijd een lastig probleem. Ik moet, om te beginnen, even bekennen dat ik geen wachtwoordmanager gebruik, eerlijk gezegd uit luiheid. Ik moet ze dus zelf onthouden.

Bij mijn vorige werkgever hadden ze een pakket om je loonstroken in te zien, die nogal buitensporige eisen aan wachtwoorden stelde, als er ook maar ergens een 'opvolgende' reeks was (ABC, 123): FOUT. Iets wat ook maar leek op een naam, FOUT, 12 tekens, ik weet niet meer hoeveel special characters. Het gevolg was dat elke poging om een ww te verzinnen fout ging. Ik heb toen hun voorbeeld ww genomen, overal 1 bijgeteld, en ziedaar .. dat accepteerde hij. Dit gedeeld met collega's, en raad eens wat voor WW die hadden ? Het alternatief was uiteraard de bekende en beproefde post-it, wel onder je toetsenbord, daar kijkt niemand.

dinsdag 26 oktober 2021 07:06

Acties:

+6 Henk 'm!

sh4d0wman

Attack | Exploit | Pwn

De lengte kan komen door de backend. In het verleden had ik een Windows omgeving met AS400 mainframe in beheer. Die laatste kon maar een x password string lengte aan en een subset van alle speciale tekens. Daar kwamen we achter toen we SSO in wilden stellen. Een technische reden kan dus de limiet verklaren.

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

dinsdag 26 oktober 2021 07:07

Acties:

+2 Henk 'm!

bregweb

Een goed wachtwoordbeleid is een balans tussen veiligheid en gebruiksgemak. De echte IT-ers slaan door naar veiligheid, de standaard gebruiker naar gemak. Aangezien er 2FA gebruikt wordt bij ING vind ik dit nogal meevallen, er zijn lichte verbeteringen mogelijk maar het is niet rampzalig.

Hattrick: Thorgal Eagles

dinsdag 26 oktober 2021 07:11

Acties:

0 Henk 'm!

Marzman

They'll never get caught.

Het lijkt me sterk, het wachtwoord dat ik nu zou kiezen zou hier gewoon aan voldoen trouwens.

Volgens mij hoef ik helemaal geen wachtwoord meer in te vullen voor de bank, authentificatie is met de mobiel via een vingerafdruk of vijf cijferige code (of hun kastje met codegenerator, dat kan ook nog)

[ Voor 9% gewijzigd door Marzman op 26-10-2021 07:12 ]

☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.

dinsdag 26 oktober 2021 08:23

Acties:

0 Henk 'm!

DaFeliX

Tnet Devver

Ik heb ING hier al 'ns eerder op geattendeerd, vorig jaar voor 't laatst.Toen waren 't dezelfde eisen, alleen een iets minder vriendelijke tekst "Je nieuwe wachtwoord mag niet eerder gebruikt zijn en bevat minimaal".

Helaas heb ik op beide attenties nooit een zinnige reactie gekregen, behalve medeleven dat ze 't begrijpen. Een uitleg waarom, en of 't aangepast gaat worden heb ik helaas nooit gekregen. Ik weet dat ING last heeft van legacy, wellicht dat 't daar vandaan komt. Maar ze hebben ook zeer strenge eisen mbt data-opslag, dus ik weet vrijwel zeker (zonder dat ik 't kan bewijzen) dat je wachtwoord wel veilig word opgeslagen. Wellicht dat het nog wel via een legacy-systeem loopt, of in elk geval compatible moet zijn met zo'n systeem waardoor 't niet anders kan.

Einstein: Mijn vrouw begrijpt me niet

dinsdag 26 oktober 2021 08:25

Acties:

+1 Henk 'm!

Nycrea

MadJo80 schreef op maandag 25 oktober 2021 @ 23:31:
Ik werd vanavond gevraagd door ING om mijn wachtwoord te wijzigen en daarbij stellen ze nogal wat eisen die behoorlijk uit de tijd zijn, waardoor ik vermoed dat ze de wachtwoorden nog altijd unsalted en unhashed opslaan.

Dit is wel een vergezochte aanname, deze wachtwoord requirements zijn er enkel om de niet zo beveiligings bewuste gebruiker ook te dwingen tot een marginaal effectief wachtwoord. Het heeft niets te maken met wat ze in hun backend doen of kunnen.

MadJo80 schreef op maandag 25 oktober 2021 @ 23:36:
[...]

Als het wachtwoord gehasht wordt, maakt de lengte niks uit. Elk wachtwoord krijgt een even lange hash, ongeacht of het wachtwoord zelf nu 8 of 100 tekens bevat.

Ook hier is je aanname, dat deze requirements iets te maken hebben met wat ze in hun backend doen, onjuist.

Verder ben ik het totaal met je eens dat dit soort vereisten erg irritant zijn en inderdaad de searchspace verminderen. Echter is dit een bewuste trade-off om te voorkomen dat men te simpele wachtwoorden kiest. Of deze manier de juiste is, en of deze trade-off het waard is, dat is een andere discussie.

[ Voor 15% gewijzigd door Nycrea op 26-10-2021 08:30 ]

🇺🇦

dinsdag 26 oktober 2021 08:28

Acties:

0 Henk 'm!

Verwijderd

Banken conservatief? Say it ain’t so 😂

dinsdag 26 oktober 2021 08:45

Acties:

+1 Henk 'm!

SMGGM

Onwetende Belg hier, maar waarom moet je een wachtwoord hebben voor ING?
Hier in België werkt geen enkele bank met een wachtwoord. Wil je aanmelden, dan moet je de kaart en bijhorende kaartlezer gebruiken of itsme (een app om je te identificeren).

De laatste bank die ik mij kan herinneren dat een wachtwoord heeft gebannen tijdens het inlogproces was zo'n 7 jaar geleden dacht ik (ironisch genoeg was dit wel ING België denk ik).

Is een wachtwoord immers niet extreem onveilig. Je moet maar 1 keylogger hebben en je bent gezien.
Als het dan wel in combinatie is met een ander (out of band token), waarom dan nog dat wachtwoord?

[ Voor 18% gewijzigd door SMGGM op 26-10-2021 08:47 ]

dinsdag 26 oktober 2021 09:07

Acties:

+1 Henk 'm!

Xanaroth

Soms is juist veiligheid een reden voor beperkingen. Stel ik ben IT-er, en ik beperk de invoer tot 20 karakters met daarbij wat criteria, dan beperk ik daarmee ook automatisch (risicio's van) potentieel misbruik zoals code injectie.

Belangrijkste bij de ING is echter 2FA. Men heeft nodig;
- mijn login
- mijn wachtwoord
- mijn mobieltje, fysiek
- de inlogcode van mijn mobiel (scherm unlock)
- de inlogcode van de app (login authorisatie goedkeuren)

En zelfs dan, als je een PW-manager gebruikt, zullen ze ook fysiek toegang moeten krijgen tot de PC. Een 'simpele' ontvoering is daarmee niet voldoende om toegang te krijgen.

Dan hebben ze pas mn betaalrekening te pakken, nu nog de spaar/beleg rekening gegevens. Dan de paar uur tot werkdag vertraging voor overboeken van geld, 4u vertraging voor ophogen van de dagelijkse limiet die overgeboekt kan worden, etc etc...

Zelfs al maak je je wachtwoord Aa123456 of zoiets bizars, en slaat die in plain-text op, dan nog moeten ze een hele lijst doorwerken voordat ze er iets mee kunnen.

[ Voor 24% gewijzigd door Xanaroth op 26-10-2021 09:12 ]

dinsdag 26 oktober 2021 09:26

Acties:

+1 Henk 'm!

RiDo78

SMGGM schreef op dinsdag 26 oktober 2021 @ 08:45:
Onwetende Belg hier, maar waarom moet je een wachtwoord hebben voor ING?
Hier in België werkt geen enkele bank met een wachtwoord. Wil je aanmelden, dan moet je de kaart en bijhorende kaartlezer gebruiken of itsme (een app om je te identificeren).

De laatste bank die ik mij kan herinneren dat een wachtwoord heeft gebannen tijdens het inlogproces was zo'n 7 jaar geleden dacht ik (ironisch genoeg was dit wel ING België denk ik).

Is een wachtwoord immers niet extreem onveilig. Je moet maar 1 keylogger hebben en je bent gezien.
Als het dan wel in combinatie is met een ander (out of band token), waarom dan nog dat wachtwoord?

Ach, dat vraag ik mij ook af.
Je kunt namelijk het wachtwoord bij ING heel makkelijk omzeilen. Klik op de link dat je je wachtwoord vergeten bent, voer je inlognaam en je geboortedatum in en na bevestiging in de app .... mag je het wachtwoord aanpassen!

Natuurlijk moet je wel in de app bevestigen, maar dat moet je ook bij het inloggen. Dus het nut van het wachtwoord is mijns inziens waardeloos geworden. Het biedt enkel nog een schijnveiligheid voor de onwetenden.

dinsdag 26 oktober 2021 09:28

Acties:

+2 Henk 'm!

laurens0619

Wachtwoord complexiteit is overrated

Hoe wordt een account gehackt?
- phishing (lengte/karakterset boeit niet)
- raden ((lengte/karakterset boeit niet)
- datalek (lengte/karakterset boeit niet)
- device hacking (lengte/karakterset boeit niet)

Eigenlijk boeit alleen lengte/complexiteit bij bruteforce. Bruteforce lukt je niet tegen een buitenkant aan, heb je de hash voor nodig. Sterker nog, studies hebben uitgewezen dat complexiteit/lengte/passw changes opleggen het wachtwoord juist minder sterk maakt.

Veel belangrijker is het om unieke wachtwoorden te gebruiken, gelekte wachtwoorden proactief te blokkeren en zwakke wachtwoorden te blokkeren (zoals Password1!). Tenminsye, als je al wachtwoorden wilt gebruiken, beter is van niet

https://docs.microsoft.co...tions?view=o365-worldwide

@RiDo78
Ik denk dat het vooral de transitie is naar passwordless. Bij de ing moet je die app eerst activeren met een passw en sms code, je kan er nog niet vanaf

Knab is wel meer password loos. Je registreert de app op je tel met een passpoor rfid scan plus geZichtsherkenning. Daarna is je app trusted en kun je daar alles mee dke

[ Voor 31% gewijzigd door laurens0619 op 26-10-2021 09:39 ]

CISSP! Drop your encryption keys!

dinsdag 26 oktober 2021 09:45

Acties:

0 Henk 'm!

MadJo80

Topicstarter

SMGGM schreef op dinsdag 26 oktober 2021 @ 08:45:
Onwetende Belg hier, maar waarom moet je een wachtwoord hebben voor ING?
Hier in België werkt geen enkele bank met een wachtwoord. Wil je aanmelden, dan moet je de kaart en bijhorende kaartlezer gebruiken of itsme (een app om je te identificeren).

De laatste bank die ik mij kan herinneren dat een wachtwoord heeft gebannen tijdens het inlogproces was zo'n 7 jaar geleden dacht ik (ironisch genoeg was dit wel ING België denk ik).

Is een wachtwoord immers niet extreem onveilig. Je moet maar 1 keylogger hebben en je bent gezien.
Als het dan wel in combinatie is met een ander (out of band token), waarom dan nog dat wachtwoord?

ING Nederland werkt niet met een kaartlezer maar met 2FA via de app.
Alleen was ik gisterenavond bezig om die app opnieuw in te stellen op mijn nieuwe mobiel toen ik gelijk de mededeling kreeg dat ik mijn wachtwoord moest vernieuwen.
Daarna leek het heel even alsof ik in een catch 22 situatie terecht was gekomen omdat de website vroeg om in de app even aan te geven dat ik de persoon was die aan het inloggen was. Terwijl ik nog moest inloggen in de app.
Gelukkig was het nieuwe wachtwoord al opgeslagen, dus kon ik inloggen in de app en een pincode instellen.

dinsdag 26 oktober 2021 09:55

Acties:

0 Henk 'm!

MadJo80

Topicstarter

laurens0619 schreef op dinsdag 26 oktober 2021 @ 09:28:
Wachtwoord complexiteit is overrated

Ben ik met je eens, en liever wil ik mijn wachtwoorden niet eens weten, maar gewoon mijn password manager gebruiken. Maar de wachtwoorden die door mijn password manager gisteren werden gecreëerd werden niet geaccepteerd door het systeem van ING. De passphrase-generator-optie die ik doorgaans gebruik (3 random woorden met speciale tekens en cijfers er tussendoor) waren allemaal te lang.
En de password-generator-optie maakte gebruik van tekens die het systeem van ING als illegaal heeft bestempeld.

En die beide beperkingen gaven mij het gevoel dat het niet veilig wordt opgeslagen. Vandaar dit topic.

En ik weet dat dat aannames zijn, want ik kan me niet voorstellen dat ze het niet unsalted en unhashed opslaan. Die vreemde beperkingen in je wachtwoorden zijn gewoon niet meer van deze tijd.

dinsdag 26 oktober 2021 10:00

Acties:

+1 Henk 'm!

MadJo80

Topicstarter

Nycrea schreef op dinsdag 26 oktober 2021 @ 08:25:
[...]

Dit is wel een vergezochte aanname, deze wachtwoord requirements zijn er enkel om de niet zo beveiligings bewuste gebruiker ook te dwingen tot een marginaal effectief wachtwoord. Het heeft niets te maken met wat ze in hun backend doen of kunnen.

De minimum eisen (minimaal x aantal tekens, cijfers, hoofdletters/kleine letters, speciale tekens), daarbij kan ik me helemaal vinden met jouw opmerking, het zit hem bij mij vooral in de maximum lengte en de beperkte set aan speciale tekens, die zouden er mijns inziens niet moeten zijn.

dinsdag 26 oktober 2021 10:01

Acties:

0 Henk 'm!

SampleUser

laurens0619 schreef op dinsdag 26 oktober 2021 @ 09:28:
Wachtwoord complexiteit is overrated

Hoe wordt een account gehackt?
- phishing (lengte/karakterset boeit niet)
- raden ((lengte/karakterset boeit niet)
- datalek (lengte/karakterset boeit niet)
- device hacking (lengte/karakterset boeit niet)

Het is ook gewoon een kwestie van verantwoordelijkheid. Phishing, raden, device gehackt, brute force? Jouw schuld. Datalek? Schuld van de bank.

Overigens is complexiteit zeker een argument om het raden van een wachtwoord te vermoeilijken, Pietje123! is makkelijker te raden dan PietjeHoudtVanPizzaEnLasagna1985!! bijvoorbeeld.

En het hacken van een telefoon is ook vrij complex, op Android moet je bijvoorbeeld roottoegang hebben om de accesstoken van de ING-app te ontfutselen of een heimelijke schermopname uit te voeren, dus zero-days daargelaten is dat ook onwaarschijnlijk

dinsdag 26 oktober 2021 10:15

Acties:

+1 Henk 'm!

laurens0619

@SampleUser
Technisch gezien klopt het wat je zegt maar ik vind Dat wel te gemakkelijk.
Een goede security afdelingen probeert zaken veiliger te maken, niet verantwoordelijkheden af te schuiven. Met datalek bedoel ik bv dat je linkedin password exposed is en dat wachtwoord hetzelfde was bij ing. een beetje bedrijf monitoort dat en reset dat pro actief.
Ja het is de schuld van de gebruiker dat ze wachtwoorden hergebruikten, nee dat betekent niet dat je niets moet doen

Complexiteit doel ik op spec chars niet op lengte.
Dan nog gaat het om de kwaliteit van een password want aaaaaaaaaaaaaaaaaaaaaaaaaaA1! Is ook een geldig password volgens de traditonele metrics

Passwords puur volgens metrics zijn gewoon niet sterk en worden er juist in zijn algemeenheid zwakker door

https://auth0.com/blog/am...nist-password-guidelines/

[ Voor 10% gewijzigd door laurens0619 op 26-10-2021 10:24 ]

CISSP! Drop your encryption keys!

dinsdag 26 oktober 2021 10:30

Acties:

+5 Henk 'm!

FirePuma142

Sergius Bauer

MadJo80 schreef op maandag 25 oktober 2021 @ 23:31:
Ik werd vanavond gevraagd door ING om mijn wachtwoord te wijzigen en daarbij stellen ze nogal wat eisen die behoorlijk uit de tijd zijn, waardoor ik vermoed dat ze de wachtwoorden nog altijd unsalted en unhashed opslaan.

Hopelijk niet in plaintext, hoewel dit lijstje toch echt anders doet vermoeden:

[Afbeelding]

Allereerst het maximum aantal tekens van 20 karakters en vervolgens ook nog eens een limiet op het aantal speciale tekens. (blijkbaar mag de & niet, ik heb de apostrof en aanhalingstekens niet geprobeerd, maar die staan ook niet in het lijstje van toegestane tekens).
Geen van mijn (door mijn wachtwoordmanager gegenereerde) wachtwoorden werden geaccepteerd.

Zijn jullie ook al eens dergelijke zaken tegen gekomen?

Een gegenereerd wachtwoord dat voldoet aan deze regels (dat kan gewoon met KeePass) heeft alsnog een entropie van boven de 100, en dan duurt het nog heel erg lang voordat dat gekraakt is. En dat is nog buiten 2FA gerekend.

Afbeeldingslocatie: https://i.imgur.com/e3mGIFY.png

Afbeeldingslocatie: https://i.imgur.com/e3mGIFY.png

Minimaal 402 miljoen jaar als je er 100 biljoen guesses per second op los laat.

SH9Q-JoujWvx3yjgWHAe is 125.07 bit entropie, dan hebben we het over pak 'm beet 5 triljard jaar brute forcen.

[ Voor 10% gewijzigd door FirePuma142 op 26-10-2021 10:36 ]

Good taste is for people who can’t afford sapphires

dinsdag 26 oktober 2021 10:30

Acties:

0 Henk 'm!

Helixes

MadJo80 schreef op maandag 25 oktober 2021 @ 23:31:
Ik werd vanavond gevraagd door ING om mijn wachtwoord te wijzigen en daarbij stellen ze nogal wat eisen die behoorlijk uit de tijd zijn, waardoor ik vermoed dat ze de wachtwoorden nog altijd unsalted en unhashed opslaan.

De regels zijn nogal streng voor banken... Zo staat hun hele online banking omgeving onder toezicht van DNB. Bovendien wordt die beveiliging vrij regelmatig geaudit. Immers, als de beveiliging van de internetbankieren omgeving niet op orde is, dan is dat direct een vrij groot financieel risico. Daar wordt op gerapporteerd in het jaarverslag.

Als ING deze wachtwoorden unhashed en unsalted opslaat - en ik zeg niet dat dat zo is - dan is de gehele package blijkbaar alsnog veilig genoeg om die audits te doorstaan.

License to use this text for use in LLM-related products and services can be purchased for €1.000

dinsdag 26 oktober 2021 12:53

Acties:

0 Henk 'm!

Zebby

Ik heb ze er ook op gewezen een tijd terug uit frustratie, maar ze doen er gewoon niks mee. Dit zou toch zo'n kleine wijziging zijn dat het wel ergens op een backlog moet komen. Ze moeten wel voldoen aan PCI-DSS, maar toen ik daar laatst in keek zag ik geen harde wachtwoord eisen terug komen. Het juist opslaan is wel een voorwaarde. Waarom ze dan niet gelijk beide aanpassen, who knows...

Ik had geinig genoeg bij XS4all het probleem dat ik dus netjes een veilig wachtwoord invulde, wat ze zelf suggereren, en toen bleek dat het loginformulier het na 20 karakters afknipte oid. Ik snapte er echt niks van want dit stond nergens vermeld. Heb het toen live aan de telefoon gedaan en zij ook, toen kwamen ze daar achter. Dat hebben ze echter wel gelijk netjes gefixed.

dinsdag 26 oktober 2021 15:17

Acties:

+1 Henk 'm!

FirePuma142

Sergius Bauer

MadJo80 schreef op maandag 25 oktober 2021 @ 23:34:
staan echt goede wachtwoorden in de weg.

Dit is in ieder geval onjuist, de vraag is dus, wat is het probleem dat opgelost moet worden? Ook voor @Zebby.

Good taste is for people who can’t afford sapphires

dinsdag 26 oktober 2021 17:45

Acties:

0 Henk 'm!

Van der Berg

Ik veranderd elke 6 tot 12 maanden mijn wachtwoorden ik doe dit bij ING ook. Bij ABN AMRO moet ik een identifer gebruiken en op mobiel heb ik pincode en vingerafdruk. Bij ING app trouwens het zelfde.

Ik vind het ook dat bij ING beter moet, wat als we gehackt wordt

X570 Aorus Pro - Ryzen 7 5800X- Noctua NH-U14S - FSP Hydro Ti PRO 1000W - 32GB DDR4 3600MHz C16 - GeForce RTX 4090 - 990 Pro 4TB - MSI MAG 321UP QD-OLED 4K/165Hz - 65" OLED LG B4 - Watch Ultra LTE - S24 Ultra 1TB - Tab S10+ 512/12GB - Buds 3 Pro - 22TB

dinsdag 26 oktober 2021 17:53

Acties:

+1 Henk 'm!

CyBeRSPiN

sinds 2001

@Van der Berg wat bedoel je met "wat als we gehackt wordt"?
Dat jouw login+password achterhaald wordt? Dan maakt het alsnog niet uit of het 10, 20 of 1000 tekens is.
En dan is er 2FA of je te beschermen, de dief kan immers zonder toegang tot jouw mobiele app alsnog niks.

Of bedoel je dat de database van ING gehackt wordt en dan alle passwords van alle klanten op straat liggen?
Dan heeft ING een mega probleem (en lijkt me ook zeer onwaarschijnlijk dat dit ooit gebeurt), maar als jij een goed random password hebt gekozen (en dus niet hergebruikt bij andere logins) dan heb je alsnog niets te vrezen?

dinsdag 26 oktober 2021 18:01

Acties:

0 Henk 'm!

JukeboxBill

Ik vind het al raar dat je bij het inloggen bij ING de mogelijkheid hebt om je gebruikersnaam op te slaan. Dat is toch de eerste drempel en bij mij ook een soort password.

Een slimme vos is nooit te oud om een nieuwe streek te leren

dinsdag 26 oktober 2021 18:38

Acties:

+2 Henk 'm!

Zebby

FirePuma142 schreef op dinsdag 26 oktober 2021 @ 15:17:
[...]

Dit is in ieder geval onjuist, de vraag is dus, wat is het probleem dat opgelost moet worden? Ook voor @Zebby.

Het staat echt goede wachtwoorden wel in de weg, simpelweg door het maximale limiet van 20. Mijn standaard is 32-64. Er is geen goede software technische reden dit <256 te houden.

dinsdag 26 oktober 2021 19:34

Acties:

0 Henk 'm!

FirePuma142

Sergius Bauer

Zebby schreef op dinsdag 26 oktober 2021 @ 18:38:
[...]

Het staat echt goede wachtwoorden wel in de weg, simpelweg door het maximale limiet van 20. Mijn standaard is 32-64. Er is geen goede software technische reden dit <256 te houden.

Nee, dat staat het niet. De maximale limiet van 20 met de toegestane karakters kan wachtwoorden genereren die in praktische zin in de huidige tijd totaal onkraakbaar zijn. Zie mijn eerdere post over entropie. Of deze blogpost van 1Password. Of deze van Protonmail.

Dan blijft dus de vraag, wat is het probleem?

Good taste is for people who can’t afford sapphires

dinsdag 26 oktober 2021 19:51

Acties:

+3 Henk 'm!

SampleUser

Voor de liefhebbers en unixbaarden onder ons:

code:

1	pwgen -sy -r ":;{}()[]<>+\"~'&\\\\|=,^*?\`/" 20 1

genereert altijd een geldig passwoord voor wat de ING betreft.

woensdag 27 oktober 2021 00:04

Acties:

+1 Henk 'm!

laurens0619

Ing.nl

Nieuw wachtwoord aanvragen
Wachtwoord kwijt of vergeten, maar heb je nog wel je gebruikersnaam? Of heb je 5 keer een verkeerd wachtwoord ingetoetst en is daardoor je toegang tot Mijn ING geblokkeerd? Dan kun je zelf je wachtwoord voor Mijn ING opnieuw instellen. Pak je Mobiel Bankieren App of ING Scanner erbij en regel het direc

Je hebt dus 5 pogingen om Het wachtwoord te bruteforcen. Wat boeit het dan als je wachtwoord “slechts” 20 karakters is? Vanuit een bruteforce gedachte zit je met een minimaal aantal karakters al veilige

Nogmaals: hashing boeit alleen bij een offline attack op bv een hash, die je alleen krijgt als je al binnen was

[ Voor 53% gewijzigd door laurens0619 op 27-10-2021 00:08 ]

CISSP! Drop your encryption keys!

woensdag 27 oktober 2021 02:09

Acties:

0 Henk 'm!

kevinr1

Dude?

SampleUser schreef op dinsdag 26 oktober 2021 @ 19:51:
Voor de liefhebbers en unixbaarden onder ons:
code:
1
pwgen -sy -r ":;{}()[]<>+\"~'&\\\|=,^*?\`/" 20 1
genereert altijd een geldig passwoord voor wat de ING betreft.

Goud.

[ Voor 7% gewijzigd door kevinr1 op 27-10-2021 02:12 ]

Life is meant to be experienced

woensdag 27 oktober 2021 10:55

Acties:

+1 Henk 'm!

DaFeliX

Tnet Devver

SampleUser schreef op dinsdag 26 oktober 2021 @ 19:51:
Voor de liefhebbers en unixbaarden onder ons:
code:
1
pwgen -sy -r ":;{}()[]<>+\"~'&\\\|=,^*?\`/" 20 1
genereert altijd een geldig passwoord voor wat de ING betreft.

op mijn bak is pwgen niet standaard geinstalleerd; maar ook is het niet zo fraai dat je een lijst met niet-valide karakters moet opgeven. Beter geef je aan welke karakters wel mogen, en zonder pwgen zou je dat zo kunnen doen:

code:

1	tr -cd '[:alnum:]' < /dev/urandom \| head -c 20

Einstein: Mijn vrouw begrijpt me niet

woensdag 27 oktober 2021 13:04

Acties:

+1 Henk 'm!

MadJo80

Topicstarter

FirePuma142 schreef op dinsdag 26 oktober 2021 @ 15:17:
[...]

Dit is in ieder geval onjuist, de vraag is dus, wat is het probleem dat opgelost moet worden? Ook voor @Zebby.

De maximale lengte eraf halen zou al een goede eerste stap zijn. En het liefst ook die beperking van "vreemde" tekens.
SQL injection voorkom je tegenwoordig op andere manieren.

woensdag 27 oktober 2021 13:08

Acties:

0 Henk 'm!

Sebazzz

3dp

Het kan natuurlijk wel zijn dat ze proberen te voorkomen dat nog vreemdere tekens een web application firewall triggeren. Voor de rest mag zeker de lengtelimiet eraf (die ook Microsoft vreemd genoeg nog steeds heeft....).

[Te koop: 3D printers] [Website] Agile tools: [Return: retrospectives] [Pokertime: planning poker]

woensdag 27 oktober 2021 13:49

Acties:

0 Henk 'm!

CyBeRSPiN

sinds 2001

DaFeliX schreef op woensdag 27 oktober 2021 @ 10:55:
[...]

op mijn bak is pwgen niet standaard geinstalleerd; maar ook is het niet zo fraai dat je een lijst met niet-valide karakters moet opgeven. Beter geef je aan welke karakters wel mogen, en zonder pwgen zou je dat zo kunnen doen:
code:
1
tr -cd '[:alnum:]' < /dev/urandom | head -c 20

Dat werkt dan weer niet altijd goed omdat je zo niet afdwingt dat er minimaal een nummer / hoofdletter etc in moet zitten. Al is de kans met 20 lang wel klein.

woensdag 27 oktober 2021 14:08

Acties:

0 Henk 'm!

L01

MadJo80 schreef op woensdag 27 oktober 2021 @ 13:04:
[...]

De maximale lengte eraf halen zou al een goede eerste stap zijn. En het liefst ook die beperking van "vreemde" tekens.
SQL injection voorkom je tegenwoordig op andere manieren.

cc: @Sebazzz

Banken zoals ING hebben vaak te maken met complexere aanvallen of aanvallen op een andere schaal dan de gemiddelde website.
De maximale lengte van een wachtwoord afhalen is absoluut geen goed idee omdat er iets bestaat wat Hash DDOS Attack heet.

In het kort komt het erop neer dat het berekenen van de hash van een enorme lange tekenreeks veel meer CPU resources vraagt dan een korte.
Aanvallers hier gebruik van maken door de server te bestoken met enorm lange tekenreeksen waardoor de server het begeeft. Dat is niet wat je wilt als bank.

https://arstechnica.com/i...-can-be-bad-for-security/

Hi, I'm a signature virus. Put me in your signature to help me spread.

woensdag 27 oktober 2021 14:18

Acties:

0 Henk 'm!

japie06

JukeboxBill schreef op dinsdag 26 oktober 2021 @ 18:01:
Ik vind het al raar dat je bij het inloggen bij ING de mogelijkheid hebt om je gebruikersnaam op te slaan. Dat is toch de eerste drempel en bij mij ook een soort password.

Gebruikersnamen zijn niet geheim en worden ook niet gehashed opgeslagen. Het lijkt mij een zeer gevaarlijke aanname om er van uit te gaan dat je gebruikersnaam geheim wordt gehouden. Ik zou er echt 0 waarde aanhechten op het gebied van beveiliging.

woensdag 27 oktober 2021 14:39

Acties:

0 Henk 'm!

Sebazzz

3dp

L01 schreef op woensdag 27 oktober 2021 @ 14:08:
[...]

cc: @Sebazzz

Banken zoals ING hebben vaak te maken met complexere aanvallen of aanvallen op een andere schaal dan de gemiddelde website.
De maximale lengte van een wachtwoord afhalen is absoluut geen goed idee omdat er iets bestaat wat Hash DDOS Attack heet

Ik denk dat het wel duidelijk is dat we het niet hebben over een wachtwoord van 2GB invullen maar dat je in ieder geval 100 tekens oid kan invullen

[Te koop: 3D printers] [Website] Agile tools: [Return: retrospectives] [Pokertime: planning poker]

woensdag 27 oktober 2021 14:51

Acties:

+2 Henk 'm!

FirePuma142

Sergius Bauer

MadJo80 schreef op woensdag 27 oktober 2021 @ 13:04:
[...]

De maximale lengte eraf halen zou al een goede eerste stap zijn. En het liefst ook die beperking van "vreemde" tekens.
SQL injection voorkom je tegenwoordig op andere manieren.

Maar wat is het probleem?

Ik zie als enige probleem een minor usability issue, voor de select few die pertinent, zonder toegevoegde waarde op securitygebied, wachtwoorden willen gebruiken die meer dan 20 karakters lang zijn en geen karakterbeperkingen kennen. Ik zou er dan ook geen prioriteit aan toekennen, je kunt dev resources wel beter gebruiken.

[ Voor 33% gewijzigd door FirePuma142 op 27-10-2021 14:57 ]

Good taste is for people who can’t afford sapphires

woensdag 27 oktober 2021 17:23

Acties:

0 Henk 'm!

L01

Sebazzz schreef op woensdag 27 oktober 2021 @ 14:39:
[...]

Ik denk dat het wel duidelijk is dat we het niet hebben over een wachtwoord van 2GB invullen maar dat je in ieder geval 100 tekens oid kan invullen

Wat ik probeer te zeggen is dat het niet altijd direct duidelijk is waarom een bank ervoor kiest om bepaalde restricties op te leggen, maar dat ze daar heel vaak een goede reden hebben waar de onwetende niet direct aan denkt.

"Haal de password length eraf" roepen is daarom onnodig.

Hi, I'm a signature virus. Put me in your signature to help me spread.

vrijdag 29 oktober 2021 05:58

Acties:

0 Henk 'm!

Verwijderd

SMGGM schreef op dinsdag 26 oktober 2021 @ 08:45:
Onwetende Belg hier, maar waarom moet je een wachtwoord hebben voor ING?
Hier in België werkt geen enkele bank met een wachtwoord. Wil je aanmelden, dan moet je de kaart en bijhorende kaartlezer gebruiken of itsme (een app om je te identificeren).

De laatste bank die ik mij kan herinneren dat een wachtwoord heeft gebannen tijdens het inlogproces was zo'n 7 jaar geleden dacht ik (ironisch genoeg was dit wel ING België denk ik).

Is een wachtwoord immers niet extreem onveilig. Je moet maar 1 keylogger hebben en je bent gezien.
Als het dan wel in combinatie is met een ander (out of band token), waarom dan nog dat wachtwoord?

ING (bankieren op PC/Laptop) = username en password, daarna autoriseren met de app op je telefoon. Is dat (on)veiliger dan zo'n kastje (ik meen dat ABN dat b.v. heeft) geen idee. Mijn idee is dat het niet veel uitmaakt. Je hebt in elk geval 2 fasen autorisatie.
ING telefoon (de app) : autoriseren met je ID kaart, 1 malig bij installatie. Daarna inloggen met vingerafdruk of pincode. En uiteraard gaan ze er van uit dat je zelf je telefoon goed beveiligt. Er is wel een maximum wat je via telefoon kan overmaken. Dat kan je verhogen, maar dat kost en paar uur.

Dus de onveiligheid van dat wachtwoord valt mee: ze moeten dan ook je telefoon en vingerafdruk/pincode hebben.Tegen een gast met een bivakmuts en een shotgun tegen je hoofd is weinig beveiliging opgewassen.

woensdag 3 november 2021 15:19

Acties:

0 Henk 'm!

lucatoni

Xanaroth schreef op dinsdag 26 oktober 2021 @ 09:07:
Soms is juist veiligheid een reden voor beperkingen. Stel ik ben IT-er, en ik beperk de invoer tot 20 karakters met daarbij wat criteria, dan beperk ik daarmee ook automatisch (risicio's van) potentieel misbruik zoals code injectie.

Belangrijkste bij de ING is echter 2FA. Men heeft nodig;
- mijn login
- mijn wachtwoord
- mijn mobieltje, fysiek
- de inlogcode van mijn mobiel (scherm unlock)
- de inlogcode van de app (login authorisatie goedkeuren)

En zelfs dan, als je een PW-manager gebruikt, zullen ze ook fysiek toegang moeten krijgen tot de PC. Een 'simpele' ontvoering is daarmee niet voldoende om toegang te krijgen.

Dan hebben ze pas mn betaalrekening te pakken, nu nog de spaar/beleg rekening gegevens. Dan de paar uur tot werkdag vertraging voor overboeken van geld, 4u vertraging voor ophogen van de dagelijkse limiet die overgeboekt kan worden, etc etc...

Zelfs al maak je je wachtwoord Aa123456 of zoiets bizars, en slaat die in plain-text op, dan nog moeten ze een hele lijst doorwerken voordat ze er iets mee kunnen.

Ik heb al eens eerder op Tweakers gemeld, maar er zit nog een vreemde functie in de ING app. Via de ING app kan je middels single sign on naar de web omgeving. Dus volstaat ook:
- mijn mobieltje, fysiek
- de inlogcode van mijn mobiel (scherm unlock)
- de inlogcode van de app (login authorisatie goedkeuren)

woensdag 3 november 2021 15:21

Acties:

0 Henk 'm!

lucatoni

Verwijderd schreef op vrijdag 29 oktober 2021 @ 05:58:
[...]

ING (bankieren op PC/Laptop) = username en password, daarna autoriseren met de app op je telefoon. Is dat (on)veiliger dan zo'n kastje (ik meen dat ABN dat b.v. heeft) geen idee. Mijn idee is dat het niet veel uitmaakt. Je hebt in elk geval 2 fasen autorisatie.
ING telefoon (de app) : autoriseren met je ID kaart, 1 malig bij installatie. Daarna inloggen met vingerafdruk of pincode. En uiteraard gaan ze er van uit dat je zelf je telefoon goed beveiligt. Er is wel een maximum wat je via telefoon kan overmaken. Dat kan je verhogen, maar dat kost en paar uur.

Dus de onveiligheid van dat wachtwoord valt mee: ze moeten dan ook je telefoon en vingerafdruk/pincode hebben.Tegen een gast met een bivakmuts en een shotgun tegen je hoofd is weinig beveiliging opgewassen.

Via je telefoon app geldt inderdaad een maximum. Je kan echter via de telefoon middels single sign on naar de webomgeving en daar een betaling initieren waarbij een ander maximum limiet van toepassing is.

Pagina: 1

Reageer