Wachtwoordbeleid


Reputatie 3
Goedemorgen,

Gisteren wil ik inloggen, maar dat kon niet zonder geforceerd veranderen van het wachtwoord. Op twitter gaven jullie aan dat:

"Elk half jaar het wachtwoord wijzigen is in onze beleving wel veilig."

Ik wil jullie er even op wijzen dat onderzoek uitwijst dat dit soort ongefundeerde 'security' practices alleen maar voor ZWAKKERE wachtwoorden zorgen. Zie FTC onderzoek van rond maart: https://www.ftc.gov/news-events/blogs/techftc/2016/03/time-rethink-mandatory-password-changes

Please, please, doe dit niet. Behalve als er een hack/veiligheidslek is geweest.

108 reacties

Reputatie 6
Badge +2
Gisteren wil ik inloggen, maar dat kon niet zonder geforceerd veranderen van het wachtwoord.
Please, please, doe dit niet. Behalve als er een hack/veiligheidslek is geweest.


Goedemiddag! Bedankt voor je inbreng. Ik ga dit voorleggen aan mijn collega's van Security, ben benieuwd hoe zij hier tegenaan kijken. Je hoort het snel!
Reputatie 3
Goedemiddag! Bedankt voor je inbreng. Ik ga dit voorleggen aan mijn collega's van Security, ben benieuwd hoe zij hier tegenaan kijken. Je hoort het snel!

Hoor het graag!

Ik snap dat dit soort dinge instinctief veiliger voelen maar ze doen eigenlijk niets anders dan irritaties opleveren. Beetje als de 100ml per flesje limiet op vliegvelden.
Reputatie 2
Badge
Helemaal mee eens. Je kan beter er voor zorgen dat men een sterk wachtwoord moet gebruiken van veel en verschillende tekens dan telkens het wachtwoord te laten veranderen. Mensen gaan dan bijvoorbeeld oplopende getallen gebruiken oid wat niet echt veiliger is.
Reputatie 3
Helemaal mee eens. Je kan beter er voor zorgen dat men een sterk wachtwoord moet gebruiken van veel en verschillende tekens dan telkens het wachtwoord te laten veranderen. Mensen gaan dan bijvoorbeeld oplopende getallen gebruiken oid wat niet echt veiliger is.

Exact, plus dat veel mensen makkelijkere/kortere wachtwoorden doen als ze wachtwoorden moeten aanpassen.

Beter om een minimumlengte in te stellen, bijv een passphrase in plaats van een 6 character password.
Beste Pam,

heb je al antwoord van de afdeling security?

Ik heb hierover dik een jaar geleden ook al eens vragen gesteld en toen zou het ook aan die afdeling voorgelegd worden...

Voor zover ik me kan heugen is KNAB de enige instantie die dit historische uiterst storende beleid nog voert en mijn wachtwoord wordt ook elke keer alleen maar zwakker
Reputatie 3
Je hoort het snel!

heb je al antwoord van de afdeling security?

Ben ook erg nieuwsgierig. We denken als gebruiker graag mee, maar blijf wel communiceren anders wordt het alleen maar frustrerender.
Reputatie 6
Badge +2
heb je al antwoord van de afdeling security?
Ben ook erg nieuwsgierig. We denken als gebruiker graag mee, maar blijf wel communiceren anders wordt het alleen maar frustrerender.

Hi Marcel en Actuallymentor,

Ik ben er hard mee bezig. Ik snap jullie wens om snel een antwoord te krijgen, maar omdat het om jullie veiligheid gaat wil ik jullie van een degelijk antwoord voorzien. Daarom wordt er op dit moment vanuit meerdere perspectieven de discussie gevoerd zodat we een weloverwogen reactie kunnen plaatsen.

Groet Pam
Reputatie 6
Badge +2
Gisteren wil ik inloggen, maar dat kon niet zonder geforceerd veranderen van het wachtwoord.
Helemaal mee eens.
heb je al antwoord van de afdeling security?

Nogmaals bedankt voor jullie kritische kijk rondom het wijzigen van het wachtwoord. Doordat het een gevoelig punt is, het gaat tenslotte om jullie veiligheid, vinden wij het erg belangrijk om onze keuze goed te kunnen toelichten, vandaar dat ons antwoord wat langer achterwege bleef.

Zoals jullie weten dien je bij Knab om het half jaar je wachtwoord verplicht te wijzigen. Er zijn meerdere onderzoeken gedaan, waarbij er twee meningen zijn: het vaker wijzigen van het wachtwoord is veiliger of juist het tegenovergestelde. Het artikel dat jij (@actuallymentor) meestuurt is zeer interessant en voor mijn collega's die over dit vraagstuk gaan ook zeker de moeite waard om zich verder in te verdiepen.

Het standpunt dat Knab heeft ingenomen is gebaseerd op de huidige manier van verificatie (inloggen met gebruikersnaam en wachtwoord). Wij zijn ons aan het oriënteren op andere methodes, hier kan ik echter nog niks concreets over melden. Zodra we andere methodes faciliteren, zullen ook de regels omtrent het wijzigen van het wachtwoord mogelijk worden herzien.

Groet Pam
Mocht het beleid niet veranderen, zou het dan mogelijk zijn om een notificatie te krijgen dat je wachtwoord over x dagen verloopt? Afgelopen weekend moest ik midden in een iDeal betaling spontaan mijn wachtwoord veranderen: onhandig!
Gister werd mij gevraagd om mijn wachtwoord te wijzigen (gedurende een iDeal betaling, heel vervelend, maar daar is al een ander topic over). Ik wilde dat uiteraard doen, anders kon ik niet doorgaan met betalen, maar tot mijn schrik is er nog niets veranderd in het wachtwoord beleid sinds ik daar vorig jaar al eens melding van maakte.

Wat is het wachtwoord beleid nu?


Een nieuw wachtwoord moet bestaan uit:
- 10 - 32 tekens
- combinatie van hoofdletters, kleine letters en cijfers
- geen wachtwoord wat al eens eerder is gebruikt

Wat is er dan mis mee?


Er zijn eigenlijk 2 dingen mis mee:
1. De eerste 2 regels maken het vrijwel onmogelijk om; ofwel een password manager te gebruiken met een voldoende lang wachtwoord (mijn 1Password staat bijvoorbeeld standaard op 50 karakters ingesteld); ofwel om een passphrase te gebruiken. Van passphrase is al langere tijd duidelijk dat het veel veiliger is dan passwords. Geloof mij daar niet in, geloof anderen die hier veel meer onderzoek naar hebben gedaan,
https://stormpath.com/blog/5-myths-password-security
https://wachtwoordbewust.nl
http://www.baekdal.com/insights/password-security-usability
en hier is vast nog veel meer over te vinden.

2. De laatste regel suggereert dat; ofwel alle wachtwoorden plain-text worden opgeslagen, wat security sin nummer 1 is; ofwel dat wachtwoorden wel gehasht worden opgeslagen, wat in zichzelf al een interessant feit is, want dat maakt de database van wachtwoorden (zeker over tijd) een heel interessant doelwit voor kwaadwillenden.

Wat te doen dan?


Ik zou aanraden om
- geen limiet te zetten op een wachtwoord, of de limiet zo groot te maken als technisch mogelijk is
- bij passphrase geen eisen te stellen aan de complexiteit
- geen oude wachtwoorden meer op te slaan OF meer duidelijkheid bieden in hoe deze opgeslagen zijn
- extra: three factor authentication toepassen, maar dat is een ander topic

Überhaupt zou ik graag zien dat er meer transparantie geboden wordt over de beveiliging van gegevens (zowel wachtwoorden als andere privé gegevens), in de vorm van een speciale pagina op de website (dus niet "slechts" een blog of forum topic), waar bij het inloggen en aanpassen van een wachtwoord naar toe gelinkt wordt.
Reputatie 6
Badge +2
Mocht het beleid niet veranderen, zou het dan mogelijk zijn om een notificatie te krijgen dat je wachtwoord over x dagen verloopt? Afgelopen weekend moest ik midden in een iDeal betaling spontaan mijn wachtwoord veranderen: onhandig!

Hi Pieter,

Lijkt mij een goed alternatief, wat ik ook erg handig zou vinden. Klopt het ook dat doordat je het wachtwoord moest wijzigen, de iDeal betaling afgebroken werd? En dat je vervolgens op de normale wijze via www.knab.nl je wachtwoord moest wijzigen? Dit probleem zou namelijk opgelost moeten zijn bij de nieuwe website, waar we op dit moment mee bezig zijn. Je zult dan tijdens de iDeal betaling de melding krijgen om het wachtwoord te wijzigen, maar vervolgens kun je de iDeal betaling wel afronden.

Wat betreft de notificatie, deze vraag hebben we eerder gehad, echter bleek de oplossing niet heel simpel. Daarom vraag ik mij af of je de melding 'je wachtwoord verloopt over x dagen' nog noodzakelijk ervaart als het probleem tijdens een iDeal betaling is opgelost. Verder kun je namelijk wel gewoon gebruik maken van je App, ookal moet je het wachtwoord wijzigen. En als je de App opnieuw gaat registreren (terwijl je het wachtwoord moet wijzigen), dan krijg je hier een melding van die je de goede kant op stuurt.

Graag hoor ik van je of er meer situaties zijn waar je tegenaan loopt waarbij je graag de notificatie zou willen zien.

Groet, Pam
Reputatie 5
Badge +1
Überhaupt zou ik graag zien dat er meer transparantie geboden wordt over de beveiliging van gegevens (zowel wachtwoorden als andere privé gegevens), in de vorm van een speciale pagina op de website (dus niet "slechts" een blog of forum topic), waar bij het inloggen en aanpassen van een wachtwoord naar toe gelinkt wordt.

Hi Pascal, dank voor je uitgebreide feedback over het wachtwoordbeleid.

Vervelend dat het maximum aantal en type karakters dat bij ons is ingesteld niet goed werkt bij jouw Password Manager. We hebben dit niet eerder gehoord, maar zijn natuurlijk erg benieuwd of meer klanten dit probleem ervaren voordat we iets wijzigen. Onze wachtwoorden worden absoluut niet plain-text opgeslagen, dat zou inderdaad totaal ‘not done’ zijn.

Je noemt het gebruik van een pasphrase of het gebruik van three factor authentication (of two factor) als alternatief, dit is inderdaad interessant, maar er zijn nog geen concrete plannen om op dit vlak veranderingen door te voeren, wel ideeën.

Diepgaande informatie, waarnaar jij denk ik op zoek bent (over onze beveiliging en de architectuur) brengen wij in principe niet naar buiten. We worden regelmatig gecheckt door de toezichthouders, en we voldoen aan de eisen die zij stellen.

Kun je mij aangeven waar je precies naar op zoek bent? Wellicht kan ik dan meer informatie geven dan op onze website staat. Groet, Lisa
Reputatie 1
Badge
Ik gebruik standaard 32 karakter wachtwoorden en wordt er zelf ook kriechel van als anderen dan een andere eis hebben, bijvoorbeeld max 16 oid (American Express heeft dat bijvoorbeeld). Dus met de lengte eis ben ik het met je eens. Ik weet dat sommige bedrijven andere eisen stellen afhankelijk van de lengte van het wachtwoord: min 8 dan zit er een eis aan de toegestane karakters, bij minimaal 16 chars vervallen de eisen van toegestane chars. En dan mag je dus echt vanalles invullen. Een soortgelijke policy zou wel tof zijn, wij kunnen gewoon onze random generated passwords gebruiken die keklang zijn en de rest van de wereld mag dan andere wachtwoorden gebruiken die aan bepaalde eisen moeten voldoen.

Over het hergebruiken van wachtwoorden, dat vind ik ook een stomme eis, maar als je random generated passwords gebruikt heb je denk ik hoe dan ook geen last van die eis. Maar op zich ben ik het met je eens, maar snap Knab ook omdat je anderen hebt die wel wachtwoorden hergebruiken en ze het die wat moeilijker willen maken. Maar dan kan je alsnog Welkom123 naar Welkom 456 gebruiken, het is een beetje een .. matige dingetje in een wachtwoord policy.
Reputatie 3


Er zijn meerdere onderzoeken gedaan, waarbij er twee meningen zijn: het vaker wijzigen van het wachtwoord is veiliger of juist het tegenovergestelde.



Bedankt voor de terugkoppeling!

Waar zijn de desbetreffende onderzoeken te vinden? Ik heb ze namelijk nog nooit gezien.
Reputatie 6
Badge +2
Waar zijn de desbetreffende onderzoeken te vinden? Ik heb ze namelijk nog nooit gezien.

Hi Actuallymentor!

Ik bedoelde meer dat er twee stromingen zijn, vaker wijzigen en minder vaak. Concrete onderzoeken kan ik je niet geven. Maar vaker wijzigen is wellicht een ouder gebruik/advies, en recent(er) onderzoek wijst uit dat vaker wijzigen niet per definitie helpt. Zo heeft Lorrie Cranor, een bekende naam op computer science gebied, hier het een en ander over geschreven. Echter wat zij als frequent wijzigen ziet is eens per maand of kwartaal, en zij stelt dat eens in het half jaar of jaar in veel gevallen vaak genoeg is. Dus of wij in het licht van de algemene recentere onderzoeken op dit vlak vallen in de categorie ‘onnodig vaak’ wijzigen, durf ik niet te zeggen.

Groet, Pam
Reputatie 3
Ik bedoelde meer dat er twee stromingen zijn, vaker wijzigen en minder vaak. Concrete onderzoeken kan ik je niet geven. Maar vaker wijzigen is wellicht een ouder gebruik/advies ...

In principe is dit dus een geval van 'ja zo doen andere mensen dat' zonder daadwerkelijke onderbouwing...

Redenen voor periodiek veranderen: meningen en traditie
Redenen om het niet te doen: onderzoek en negatieve klanten ervaringen

Ik snap dat jij er persoonlijk niets aan kan doen, maar dit vind ik als programmeur zijnde erg jammer.
Reputatie 1
Badge
Op dit moment vraagt knab.nl relatief complexe wachtwoorden (geen probleem ermee) en dat je deze regelmatig veranderd in een nog niet gebruikte.

Persoonlijk gebruik ik 2-3 relatief complexe wachtwoorden voor bank zaken, die ik in mijn hoofd heb. Inmiddels heb ik die door. Dus de nieuwe wachtwoord voor Knab is nu in de browser opgeslagen (wat ik anders nog bij geen bank gedaan heb)! De browser als centraal wachtwoord opslag vind ik eigenlijk voor bankzaken niet goed, maar alles andere werd te omslachtig.

Gaat dit andere mensen ook zo, dat ze dit policy ongemakkelijk *en* *juist minder veilig* vinden?

Ik vond wel wat wetenschappelijk onderzoek over dit soort policies:
https://www.ftc.gov/news-events/blogs/techftc/2016/03/time-rethink-mandatory-password-changes (Overzicht)
https://www.cs.unc.edu/~reiter/papers/2010/CCS.pdf (Details)

Ik zou er graag een discussie over zien.
Reputatie 5
Badge +1
Op dit moment vraagt knab.nl relatief complexe wachtwoorden (geen probleem ermee) en dat je deze regelmatig veranderd in een nog niet gebruikte.

Persoonlijk gebruik ik 2-3 relatief complexe wachtwoorden voor bank zaken, die ik in mijn hoofd heb. Inmiddels heb ik die door. Dus de nieuwe wachtwoord voor Knab is nu in de browser opgeslagen (wat ik anders nog bij geen bank gedaan heb)! De browser als centraal wachtwoord opslag vind ik eigenlijk voor bankzaken niet goed, maar alles andere werd te omslachtig.

Gaat dit andere mensen ook zo, dat ze dit policy ongemakkelijk *en* *juist minder veilig* vinden?

Ik vond wel wat wetenschappelijk onderzoek over dit soort policies:
https://www.ftc.gov/news-events/blogs/techftc/2016/03/time-rethink-mandatory-password-changes (Overzicht)
https://www.cs.unc.edu/~reiter/papers/2010/CCS.pdf (Details)

Ik zou er graag een discussie over zien.


Hi Marcello, ik heb bij deze je reactie in een goed passend topic geplaatst. Mochten er toch nog vragen/opmerkingen zijn dan horen wij dat graag.
Reputatie 2
Badge
Tegenwoordig kan je (bijna) niet meer zonder een password manager. Zelf gebruikt ik al jaren LastPass. Ook voor bankzaken......
Reputatie 4
Badge
Ook voor bankzaken...... en dan ook nog met LastPass, waarbij je kluis ergens op het web ronddwaald en dus hackbaar is ??
En dat ook nog in het openbaar te melden 😞 Lijkt me niet erg verstandig.
Reputatie 2
Badge
Misschien, maar alles wat online is gaat over het web. Wanneer er bv. een keylogger op je PC zit, gaat je ingetikte ww ook het www op. Nu weet ik wel dat je de risico's zo veel moet verkleinen, het moet nog wel werkbaar zijn. En anders de stekker eruit trekken.
Reputatie 4
Badge
Ik heb het niet nageplozen maar bij een hack zou dat een reden van een bank (willekeurige) kunnen zijn je niet schadeloos te stellen omdat je je bankpin op een dergelijke manier hebt opgeborgen.
Reputatie 3
Password manager zijn oneindig veiliger dan handgetypte passwords. Het kraken van dergelijke AES-256 is niet haalbaar, zie xkcd: http://xkcd.com/538/
Reputatie 4
Badge
LastPass is toch nog niet zo lang geleden gehacked.
Ik kwam toevallig gisteren dit topic tegen, vandaag geeft ook NIST (National Institute of Standards and Technology) aan dat rotatie niet wenselijk is: https://pages.nist.gov/800-63-3/sp800-63b.html#memorized-secret-verifiers

"Verifiers SHOULD NOT impose other composition rules (mixtures of different character types, for example) on memorized secrets. Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically) unless there is evidence of compromise of the authenticator or a subscriber requests a change."

Reageer