Ik blijf me verbazen hoe conservatief ze in de financiele wereld zijn. Ik snap dat ze voorzichtig zijn en heel zuinig maar het schiet een beetje door.
Beetje off topic, maar ik moet af en toe aan banken en dergelijk instituten vragen of ze kunnen bewijzen dat ze veilig zijn zodat wij aan onze verplichtingen kunnen voldoen. Ik wordt standaard de eerste drie keer uitgelachen en weggestuurd met zoiets als "wij zijn een bank/accountant/... hoor, natuurlijk zijn we veilig en alles is geheim!". Dan kan ik op fouten en problemen wijzen maar dat wordt allemaal afgeketst met "je moet maar geloven dat wij weten wat we doen". Overigens gaat het binnen mijn eigen organisatie niet veel anders hoor, ze vinden het allemaal veel te moeilijk en willen niet echt weten hoe we er voor staan, alleen dat iemand een handtekening zet.
Je kan het volgens mij het best zo zien: die beveiliging is er niet voor jou. De beveiliging is er ook niet om jouw centen beschermen. De beveiliging is er om te zorgen dat die toko niet aansprakelijk is als er iets mis gaat. De werkelijk is iets minder cynisch maar je kan daar niet op vertrouwen.
Het bewaken van mijn wachtwoorden en dergelijke zie ik dus ook als mijn eigen verantwoordelijk, ik vertrouw er niet op dat 2fa van de bank voorkomt dat iemand misbruik kan maken van mijn wachtwoord.
Nou ja, hopelijk veranderen ze dat gauw en heb ik tegen die tijd kunnen oefenen.
En nog maar een paar accounts ondersteunen dat je zonder authenticator kan authenticeren (weet even niet meer hoe dat heet, dus alleen de sleutel er in), waaronder Facebook, Twitter en Google.
fido2 / webauthn
Mijn ideaal voor de meeste zaken is overigens hardware sleutel + authenticator en dus geen (verplicht) wachtwoord. Niet voor alles, uiteraard wil je dit soort beveiliging ook aanpassen aan wat "nodig" is voor de situatie.
<intermezzo wachtwoordenˇ>
"moeilijke" wachtwoorden zijn in mijn ogen een fundamentele mislukking.
Het belangrijkste kenmerk van een "klassiek" wachtwoord is namelijk dat je het van buiten kent en nergens opschrijft. Dat is belangrijk omdat we voor Multi Factor Authentication verschillende soorten beveiligingsmiddelen horen te gebruiken. Bv iets dat je hebt (hardware key) + iets dat je weet (wachtwoord).
Als je dat niet doet loop je het gevaar dat bij 1 hack of lek beide middelen op dezelfde manier kwetsbaar zijn.
Zodra je een wachtwoord lang en lastig gaat maken kunnen mensen het niet meer onthouden en gaan ze wachtwoordmanagers gebruiken. Daar is op zich niks mis mee zolang je maar nadenkt over hoeveel "echte" factoren je hebt. Ik zie vaak dat alle middelen neerkomen op "een paar bytes op mijn HD die geheim moeten blijven en die allemaal op dezelfde manier beveiligd zijn.". En als je dan toch wachtwoorden gaat opslaan dan hoeven we ook niet meer met menselijke beperking te werken zoals wachtwoorden van 16 tekens. Maak er dan maar 1000 tekens van, voor de computer maakt het niet uit.
Wachtwoorden moeten dus kort en simpel zijn. Ter vergelijking, onze pinpassen hebben een wachtwoord van 4 cijfers en dat is prima, dat kunnen de meeste mensen nog onthouden. Dan nog moeten het er niet te veel worden, meer dan een stuk of 10 pincodes/wachtwoorden zou ik niet durven te verwachten. Een modern mens heeft al snel tientallen accounts op allerlei websites en het zal onmogelijk zijn om die allemaal een uniek wachtwoord te geven.
Het is niet dat er geen plek is voor wachtwoorden maar ze zijn niet ideaal als belangrijkste en vaak enige middel, zeker niet als er fundamentele verschillen zitten tussen het theoretische concept van een wachtwoord (iets dat alleen in je hoofd zit) en de praktische implementatie (bytes op je HD).
</intermezzo>
This post is warranted for the full amount you paid me for it.
:strip_icc():strip_exif()/u/209357/crop681e81174fabf_cropped.jpg?f=community)
/u/365254/crop62e2919a741c0.png?f=community)
:strip_icc():strip_exif()/u/79614/Family-Guy-Victory-is-Ours.jpg?f=community)