Wachtwoordbeleid



Toon eerste bericht

108 reacties

Reputatie 4
Badge
@Wesleye. Uitstekend ! En nu hopen dat KNAB er iets mee doet (mogen toch wel aannemen :8)
Reputatie 1
Badge
Ook de andere NIST aanbeveling zijn bovendien waard om te lezen en op te volgen. Hopen wij, dat dit meer websites doen dan nu.
Reputatie 1
Badge
Gisteren wil ik inloggen, maar dat kon niet zonder geforceerd veranderen van het wachtwoord.
Please, please, doe dit niet. Behalve als er een hack/veiligheidslek is geweest.


Goedemiddag! Bedankt voor je inbreng. Ik ga dit voorleggen aan mijn collega's van Security, ben benieuwd hoe zij hier tegenaan kijken. Je hoort het snel!


Is er bovendien nog verder een antwoord te verwachten? De laatste update was vrij algemeen en vrijblijvend...
Reputatie 6
Badge +2
Hi Marcello,

Zoals ik in mijn eerdere reacties aangaf blijven er twee stromingen/meningen: het vaker wijzigen van het wachtwoord is veiliger of juist het tegenovergestelde. Wij orienteren ons absoluut op andere methodes, maar daarover kan ik niets concreets melden omdat dit om ons veiligheidsbeleid gaat. Op dit moment is de huidige verificatie nog gebaseerd op inloggen met gebruikersnaam en wachtwoord, en eens in het half jaar wachtwoord wijzigen.

Prettige dag!
Ik heb volgens mij nog nooit ww gewijzigd en als ik dat moet gaan doen stop ik bij de knab net als toen bij ing
Reputatie 1
Ik heb volgens mij nog nooit ww gewijzigd en als ik dat moet gaan doen stop ik bij de knab net als toen bij ing

Zoek dan maar alvast een andere bank, want je moet er binnenkort toch aan geloven.

Heb hier al eens eerder per email over gecorrespondeerd met KNAB, het periodiek aanpassen van wachtwoorden zorgt potentieel voor onveilige situaties bij de ene groep gebruikers en verder voor een andere groep tot irritaties. Ik behoor tot de laatste.

Als al eerder aangegeven in het topic zijn er over dit beleid twee kampen, maar ook ik stem voor het veranderen van het beleid en een verplichte wachtwoordwijziging eens in het half jaar te laten verdwijnen.
Reputatie 1
Badge
*bump* vandaag werd gevraagd om mijn random generated wachtwoord te wijzigen. Kan er ergens ingesteld worden dat je je wachtwoord niet per se hoeft te wijzigen?
Reputatie 6
Badge +2
@Waterkip: Dat is helaas niet mogelijk bij ons. We kijken wel naar eventuele andere opties. Er loopt hier al een Topic over op de community: Geforceerd wachtwoord veranderen.
Reputatie 1
Badge
Hi Marcello,

Zoals ik in mijn eerdere reacties aangaf blijven er twee stromingen/meningen: het vaker wijzigen van het wachtwoord is veiliger of juist het tegenovergestelde. Wij orienteren ons absoluut op andere methodes, maar daarover kan ik niets concreets melden omdat dit om ons veiligheidsbeleid gaat. Op dit moment is de huidige verificatie nog gebaseerd op inloggen met gebruikersnaam en wachtwoord, en eens in het half jaar wachtwoord wijzigen.

Prettige dag!


Vertaling: Het blijft dus zoals het is, totdat mischien ergens op een helemaal andere verificatie overgegaan word.

Zullen bij sommige mensen de Post-It's weer meer gebruikt worden. 8-;
Reputatie 4
Badge
@Waterkip: Dat is helaas niet mogelijk bij ons. We kijken wel naar eventuele andere opties. Er loopt hier al een Topic over op de community: Geforceerd wachtwoord veranderen.
@PAM: Wat is de status ?
Reputatie 5
Badge +1
@Tonk44: Er zijn nog geen updates rondom het eventueel wijzigen van ons wachtwoordbeleid.

Reputatie 3
@Tonk44: Er zijn nog geen updates rondom het eventueel wijzigen van ons wachtwoordbeleid.

Dat is dus in principe: "We weten dat we jullie nutteloos frustreren, maar een man met een stropdas vind het een goed idee dus doen we het toch."

Erg jammer. Mijn dunk over de veiligheid van KNAB zakt hier mee :(

Jullie zijn "de online bank", gedraag je dan ook als een digitaal kundig bedrijf.
Reputatie 1
De huidige wachtwoordvereisten voor de inloggegevens van de Knab omgeving zijn:

Een geldig wachtwoord bestaat uit minimaal 10 en maximaal 32 tekens. Gebruik tenminste een hoofdletter, kleine letter en een cijfer. Alleen de volgende speciale tekens zijn toegestaan: - _ . @ ! $ * + / = ? )


Op zich niet ongebruikelijk, er is echter genoeg op aan te merken. Ten eerste technisch. Waarom is er een maximum, en waarom is er maar een beperkte selectie aan speciale tekens mogelijk? Het lijkt me dat er totaal geen reden is in de back-end om dit te beperken, aangezien deze toch naar een hash van een gelijke lengte omgezet wordt.

Daarnaast neem ik aan dat het security team wel bekend zal zijn met het correct horse battery staple verhaal. Het verplicht stellen van een hoofdletter en een cijfer verhoogt niet de beveiliging van een wachtwoord. Juist voor zaken die ik mogelijk vanaf meerdere devices moet gebruiken (een iDEAL betaling vanaf een andere computer oid) zou ik liever een lang wachtwoord gebruiken dat enkel uit woorden bestaat, wat zorgt voor een betere beveiliging en makkelijker te onthouden is.

De vereisten en de maximum lengte staan dit nu in de weg. Is dit iets waar nog over na te denken is?
Reputatie 2
Badge
De huidige wachtwoordvereisten voor de inloggegevens van de Knab omgeving zijn:

Een geldig wachtwoord bestaat uit minimaal 10 en maximaal 32 tekens. Gebruik tenminste een hoofdletter, kleine letter en een cijfer. Alleen de volgende speciale tekens zijn toegestaan: - _ . @ ! $ * + / = ? )


Op zich niet ongebruikelijk, er is echter genoeg op aan te merken. Ten eerste technisch. Waarom is er een maximum, en waarom is er maar een beperkte selectie aan speciale tekens mogelijk? Het lijkt me dat er totaal geen reden is in de back-end om dit te beperken, aangezien deze toch naar een hash van een gelijke lengte omgezet wordt.

Daarnaast neem ik aan dat het security team wel bekend zal zijn met het correct horse battery staple verhaal. Het verplicht stellen van een hoofdletter en een cijfer verhoogt niet de beveiliging van een wachtwoord. Juist voor zaken die ik mogelijk vanaf meerdere devices moet gebruiken (een iDEAL betaling vanaf een andere computer oid) zou ik liever een lang wachtwoord gebruiken dat enkel uit woorden bestaat, wat zorgt voor een betere beveiliging en makkelijker te onthouden is.

De vereisten en de maximum lengte staan dit nu in de weg. Is dit iets waar nog over na te denken is?


Helemaal mee eens!
Maanden terug dit ook al aangegeven en later meerdere keren herhaald. KNAB geeft dan aan dat er andere onderzoeken zijn die blijkbaar anders beweren. Ik ben ze nog niet tegen gekomen of ze zijn enorm verouderd.
Bij zo'n lang wachtwoord is het ook niet nodig deze elke keer maar te moeten aanpassen. Bij 12 karakters is het wachtwoord al niet meer te kraken zonder social engineering. Nu gaan mensen met opvolgnummerstjes werken waardoor het telkens moeten veranderen van een wachtwoord dus schijnveiligheid is!!!

Dus ook mijn oproep, pas het beleid aan naar de standaarden van deze tijd!! Gewoon minimaal 12 zo niet meer karakters verplichten zonder enige restrictie en laat het daar bij!
Reputatie 1
Ik had geen idee dat hier al een discussie over bestond, en dat Knab blijkbaar elk halfjaar een wachtwoordverandering forceert?

Ik heb nu al spijt van het feit dat ik die overstapservice heb aangevraagd… Bank van de toekomst, met de beveiliging van eind jaren negentig dus.

Een tip voor het security team: kijk eens naar hoe Google en Facebook hun beveiliging regelen. Kijk naar PayPal. Zij kunnen het blijkbaar wel zonder deze vreemde regels, en grappig genoeg gaat er meer geld om in hun systemen dan in heel Aegon.
Reputatie 3
Ik heb nu al spijt van het feit dat ik die overstapservice heb aangevraagd… Bank van de toekomst, met de beveiliging van eind jaren negentig dus.

Afgezien van deze onzin doet KNAB het goed hoor. Alleen die mandatory change is echt dom.

Kijk naar PayPal. Zij kunnen het blijkbaar wel zonder deze vreemde regels, en grappig genoeg gaat er meer geld om in hun systemen dan in heel Aegon.

Exact. Als je meer security wil, good er dan een 2FA overheen. Maar dat heb je in principe toch al met de reader.
Reputatie 1
Afgezien van deze onzin doet KNAB het goed hoor. Alleen die mandatory change is echt dom.

Het gaat er meer om dat ik me er niet heel comfortabel bij voel om mijn geld te laten beheren door een partij die niet snapt hoe beveiliging op het internet anno 2017 geregeld hoort te worden. Dat lijkt me redelijk belangrijk.

Aan de andere kant… als de beveiliging laks is ligt het risico bij de bank dus ik zal me er voorlopig niet teveel zorgen over maken, maar zorgen uiteraard wel uiten.
Reputatie 3
Afgezien van deze onzin doet KNAB het goed hoor. Alleen die mandatory change is echt dom.

Het gaat er meer om dat ik me er niet heel comfortabel bij voel om mijn geld te laten beheren door een partij die niet snapt hoe beveiliging op het internet anno 2017 geregeld hoort te worden. Dat lijkt me redelijk belangrijk.

Aan de andere kant… als de beveiliging laks is ligt het risico bij de bank dus ik zal me er voorlopig niet teveel zorgen over maken, maar zorgen uiteraard wel uiten.


Just remember dat het NL stelsel 100k per bank verzekerd.
Reputatie 1
Just remember dat het NL stelsel 100k per bank verzekerd.
Well… ja en nee. Het depositogarantiestelsel garandeert tot €100k in geval van faillisement. Dat heeft niets te maken met misbruik van mijn account door onvoldoende beveiliging.
LastPass is toch nog niet zo lang geleden gehacked.

Ja maar daarbij zijn geen wachtwoorden bij de hackers terecht gekomen. Alleen de hashes. Bij lastpass zijn die per account met een andere sleutel gehasht.
Reputatie 4
Badge
LastPass is toch nog niet zo lang geleden gehacked.

Ja maar daarbij zijn geen wachtwoorden bij de hackers terecht gekomen. Alleen de hashes. Bij lastpass zijn die per account met een andere sleutel gehasht.

Jij zegt het :S Wie weet het ? Hoe lang nog ?
Geachte lezers,

onlangs werd mij gevraagd vanuit de Knab Online Banking omgeving mijn wachtwoord te veranderen omdat dat veiliger zou zijn voor mij, de gebruiker. Ik kon dit niet afwijzen helaas. Ik ben geen groot voorstander van het wijzigen van wachtwoorden...

Je kan mij het beste beschrijven als een zeer kritische tech-liefhebber die erg gesteld is op zijn privacy, online en offline. Om deze reden ben ik fervent liefhebber van Two-Factor Authorization in combinatie met een wachtwoord beheerder. Van hieruit bekeken heb ik liever dat Knab de site beveiligt met een 100 characters tellend wachtwoord en dat je die 100 ook daadwerkelijk moet gebruiken, hiermee dwing je mensen een veilig wachtwoord af. Nu denk je, 100 characters, dat kan ik niet onthouden! Ja dat klopt, ik ook niet, ik heb slechts EEN wachtwoord dat ik nodig heb en de rest staat in mijn wachtwoord kluis. Uiteraard gebruik je unieke wachtwoorden in combinatie met unieke loginnamen. Maak je loginnaam ook volledig willekeurig zodat niemand je account kan 'social engineeren'. (https://nl.wikipedia.org/wiki/Social_engineering_(informatica))

Zelf gebruik ik Lastpass (https://www.lastpass.com/), de betaalde versie van $12 per jaar in combinatie met de Yubikey (https://www.yubico.com/). Dit is een off- en online kluis waarin je al je wachtwoorden, notities en andere gevoeleige dingen plaatst. De kluis unlock je met je hoofdwachtwoord (iets dat je weet) en door middel van je USB/NFC-sleutel (iets dat je hebt). Als iemand jouw hoofdwachtwoord weet kan deze persoon nog steeds niet de kluis openen want de fysieke sleutel ontbreekt. Zelfs al wordt Lastpass gehackt heeft de hacker niks aan de wachtwoorden wegens pas willen decrypten in combinatie met de Yubikey. De betaalde versie van Lastpass synchroniseert je kluis naar al je devices, waaronder je smartphone en iPad/tablet en is voorzien van erg handige invulhulp. Je hoeft dus zelf geen loginnamen/wachtwoorden in te typen.

Mijn voorstel voor Knab is dan ook:
1: dwing wachtwoorden af van 100 characters
2: laat het wachtwoord veranderen van de gebruiker afhangen ipv het af te dwingen

En voor de gebruikers:
3: gebruik voor iedere site een unieke loginnaam en wachtwoord dat zo lang mogelijk is.
4: gebruik two-factor authorization

Mocht 1 echt niet gaan (het afdwingen van 100 characters) zorg er dan in ieder geval voor dat wij als gebruikers veilige wachtwoorden kunnen gebruiken die 100 characters lang zijn, dan kunnen de mensen die wel over hun veiligheid nadenken en zelf kiezen de naam van hun huisdier en hun trouwjaar aan elkaar te koppelen of een door Lastpass gegenereerd wachtwoord te gebruiken. Overigens, hier is een voorbeeld wachtwoord: Axtzhh1zY18s&QKf7HYwIspXwKD^Z3v22jS8mj1z9imY19mT75Z7rkVPJG5w7Du061uuSG2PtMG0&WvonIZUZB8u4YTgGL!4AY#t

Overigens heb ik geen aandelen bij de aanbieders die ik nu aanhaal, ik haal ze aan omdat ze op veiligehidsvlak toonaangevend zijn.

Graag hoor ik hoe Knab, en de communityleden hier over denken.

alvast bedankt, Melvin

ps: ik wil mijn Forumnaam en Online Banking naam ABSOLUUT gescheiden houden!
Het eerste punt is dat je het gebruik van een wachtwoordenkluis natuurlijk niet af kan dwingen, volgens mij kunnen we het daar mee eens zijn. Het afdwingen van een wachtwoord van 100 karakters is om zowel praktische redenen (geen password manager = ergens op een XL post-it opschrijven) als technische redenen niet handig en nodig.

In de security community zeggen we dat 128bits aan entropie in de (nabije) toekomst niet te kraken is. In een enkel karakter (kleine en hoofdletters, cijfers en wat tekens) zit ongeveer 6 bits aan entropie. Dat betekent dat we met 22 karakters genoeg entropie hebben gecreëerd om veilig te blijven.
Heeft het technisch zin om een langer wachtwoord toe te laten? Ja en nee, met een langer wachtwoord heb je een grotere kans op collisions (de statistische mogelijkheid dat je met een ander wachtwoord ook kan inloggen), maar je vergroot daarmee ook de search-space van een brute force aanval (het duurt langer om alle opties uit te proberen). Met andere woorden, met de 32 karakters van Knab is niets mis.
Reputatie 1
In de security community zeggen we dat 128bits aan entropie in de (nabije) toekomst niet te kraken is. In een enkel karakter (kleine en hoofdletters, cijfers en wat tekens) zit ongeveer 6 bits aan entropie. Dat betekent dat we met 22 karakters genoeg entropie hebben gecreëerd om veilig te blijven.
Heeft het technisch zin om een langer wachtwoord toe te laten? Ja en nee, met een langer wachtwoord heb je een grotere kans op collisions (de statistische mogelijkheid dat je met een ander wachtwoord ook kan inloggen), maar je vergroot daarmee ook de search-space van een brute force aanval (het duurt langer om alle opties uit te proberen). Met andere woorden, met de 32 karakters van Knab is niets mis.

Ten eerste, "in de security community" zeggen we niets zo stellig. De minimale veilige entropie is afhankelijk van veel verschillende factoren en basically onbekend.

Overigens ga ik er vanuit dat Knab een redelijk PBKD functie gebruikt en collisions een non-argument zijn. Elke limitatie op het wachtwoord verkleint de search space. Dat is goed in bepaalde gevallen (geen korte wachtwoorden toestaan) en slecht in elk ander geval. Zelfs het vereisen van speciale tekens maakt het wachtwoord per definitie minder veilig.

Hoe kun je mogelijk zeggen dat er niets mis is met het 32 karakters limiet? Er is geen enkele redenen om dat niet fors te verhogen, en dat heeft enkel en alleen maar een netto positief effect op de veiligheid.
Stellig niet, maar om het bruikbaar te maken moet je natuurlijk op een gegeven moment een implementatie kiezen (tevens iets over het kennen van je publiek, niet iedereen is security expert). Het houden op "basically onbekend" is een luxe die velen zich niet kunnen permitteren in hun vak :)
Als we naar populaire implementaties kijken, zie je dat bij BCrypt bijvoorbeeld de input vaak op 72 of 55 characters truncate (56 bytes, of 18 32-bit words maakt 72 bytes, limitaties van de Blowfish cipher). Dus ja, ze *zouden* het kunnen verhogen en natuurlijk heeft dat een positief effect. Maar zoals ik hierboven al deed vermoeden, ik voel me vooralsnog prima veilig met de 32 karakters en de entropie die dat bied.
Maargoed, mijn antwoord was voornamelijk gericht op waarom het afdwingen van 100 karakters geen zin heeft. Niet om een technische discussie te starten die 99% van dit forum niet snapt.

Reageer