Wachtwoordbeleid



Toon eerste bericht

108 reacties

Reputatie 5
Badge +1
Ik kom nogmaals terug in dit thread na een geforceerde password change.Zoals eerder aangegeven, er wordt gewerkt aan een nieuw wachtwoordbeleid. Tot die tijd blijft de situatie zoals het nu is, daar kan ik niets aan veranderen. Ook wij worden streng gecontroleerd op dit gebied, en (hoewel misschien irritant) is bestempeld als goed. Dat neemt dus niet weg dat wij ook zien dat daar verbetering in kan komen, speciaal als het aankomt op gemak.

...mr stropdas...
We hebben hier geen Mr. of Mrs. Stropdas...alleen bij bezoek van toezichthouders wil iemand wel eens een stropdas omdoen. ;)

Nogmaals, ik waardeer veel van wat jullie doen, maar deze issue is echt heel sneu. En dubbel zo erg omdat het allemaal onnodig is.
Zo lang wij ons alternatief nog niet klaar hebben zien wij het, hoe sneu je dit ook mag vinden, als noodzakelijk om dit zo aan te houden. Mijn security collega's zijn daar heel hard en duidelijk in geweest. Verandering komt, maar het is vandaag nog niet klaar.

Groet, David
Reputatie 3
Ook wij worden streng gecontroleerd op dit gebied, en (hoewel misschien irritant) is bestempeld als goed.

Kijk, die uitleg kan ik wat mee. Eerder werd er aangegeven dat Knab zelf dit een goed beleid vond, dat doet pijn. Als Knab zelf ook inziet dat dit nutteloos is maar aan extern beleid moet voldoen is er vanuit mij alleen maar medeleven.

Verandering komt, maar het is vandaag nog niet klaar.

Good code takes time, dat is helemaal prima. Nogmaals, mij gaat het er puur om dat mijn bank evidence based te werk gaat met hun beleid. Zolang er toegegeven wordt dat het huidige beleid suboptimaal is ben ik al tevreden.

Tot zover was de communicatie vooral gericht op "jullie hebben het mis, ons team heeft andere (verkeerde) ideeën over veiligheid". Wat je nu uitlegt is een heel ander verhaal waar ik begrip voor kan hebben. Ik raad aan dat in toekomstige communicatie duidelijk te maken.
Reputatie 1
Ik wil op zich best geloven dat het aanpassen van beveiliging tijd kost. Het is echter al anderhalf jaar geleden dat Knab heeft aangekondigd dat er naar gekeken zou worden.

Als de security collega's na al die tijd nog steeds geen nieuwe inzichten hebben maak ik me oprecht een beetje zorgen over hoe de beveiliging daadwerkelijk geregeld is. Als blijkt dat de hash implementatie die jullie nu gebruiken gekraakt is, gaat er dan ook anderhalf jaar overheen voordat het opgelost wordt?

Dat de huidige implementatie niet bepaald veilig is hebben we lang en breed uitgelegd, met vakliteratuur. Lijkt me dat daar best prioriteit op gelegd mag worden.
Ook ik kreeg weer een opgave voor een nieuw wachtwoord. Ik hoor nu van steeds meer mensen dat ze door hun opties heen zijn en de gekozen wachtwoorden maar op papier of in hun telefoon gaan zetten. Dit lijkt me security technisch nou net niet de bedoeling.
Het is vrij eenvoudig om een MFA oplossing te implementeren waardoor iedereen een vaste username/password combinatie kan behouden en dmv de KNAB app een rolling code krijgt als hij/zij wil inloggen.
En mochten jullie daar hulp bij nodig hebben dan mag je altijd mailen!
Reputatie 4
Badge
Ik zie eerlijk gezegd graag betere ondersteuning voor passwordmanagers. Ik gebruik zelf iCloud Keychain en ik moet bij Knab altijd manueel inloggen (aanklikken en selecteren) in plaats van lekker enteren. Hoe vaak er een wachtwoord veranderd wordt, maakt mij dan ook niet zo heel veel uit.
Reputatie 4
Badge
Ik zie eerlijk gezegd graag betere ondersteuning voor passwordmanagers. Ik gebruik zelf iCloud Keychain en ik moet bij Knab altijd manueel inloggen (aanklikken en selecteren) in plaats van lekker enteren. Hoe vaak er een wachtwoord veranderd wordt, maakt mij dan ook niet zo heel veel uit.
Tja, en hoe betrouwbaar/veilig is een passwordmanager in de Cloud?
Reputatie 4
Badge
Ik zie eerlijk gezegd graag betere ondersteuning voor passwordmanagers. Ik gebruik zelf iCloud Keychain en ik moet bij Knab altijd manueel inloggen (aanklikken en selecteren) in plaats van lekker enteren. Hoe vaak er een wachtwoord veranderd wordt, maakt mij dan ook niet zo heel veel uit.
Tja, en hoe betrouwbaar/veilig is een passwordmanager in de Cloud?


iCloud Keychain heeft minimaal 128-bit AES encryptie. Als je dat wil kraken kost je dat 1 miljard jaar. Good luck ;)

Zie ook: https://support.apple.com/en-us/HT202303
Wake up KNAB! Het is toch echt al een tijdje geleden dat het 2013 was. Two factor authentication optie niet mogelijk? Ik begrijp niet dat hier niet al lang een apart topic voor is binnen de Ideeënbus. Of ik heb niet goed genoeg gezocht? Er is wel een wachtwoorden topic, maar dit overstijgt wat mij betreft dat topic.
Reputatie 5
Badge +1
Hoi Bart1977,
Wake up KNAB! Het is toch echt al een tijdje geleden dat het 2013 was. Two factor authentication optie niet mogelijk? Ik begrijp niet dat hier niet al lang een apart topic voor is binnen de Ideeënbus. Of ik heb niet goed genoeg gezocht? Er is wel een wachtwoorden topic, maar dit overstijgt wat mij betreft dat topic.

Ik heb je topic verplaatst naar ons bestaande wachtwoordbeleid topic. De reden hiervoor is dat de twee staps verificatie onderdeel kan zijn van dit beleid en omdat dit een belangrijk onderdeel is geweest van de gesprekken hier.

Voor het inloggen op je Knab rekening heb je op dit moment inderdaad geen twee staps verificatiemogelijkheden. Voor het bijvoorbeeld het bevestigen van een betaling is dit wel het geval; de Cardreader of de Knab app.

We zijn bezig met een nieuw inlogsysteem. Hoe dit er uit gaat zien dat weet ik op dit moment niet precies. Ik heb wel van mijn collega begrepen dat twee staps verificatie wel iets is waar ze mee bezig zijn.

Groet, David
Reputatie 2
Badge
Ik zie eerlijk gezegd graag betere ondersteuning voor passwordmanagers. Ik gebruik zelf iCloud Keychain en ik moet bij Knab altijd manueel inloggen (aanklikken en selecteren) in plaats van lekker enteren. Hoe vaak er een wachtwoord veranderd wordt, maakt mij dan ook niet zo heel veel uit.
Tja, en hoe betrouwbaar/veilig is een passwordmanager in de Cloud?

Daarom gebruikt ik Bitwarden. Bevalt zeer goed. Geen problemen met inloggen op KNAB.
Hoi, bij andere banken vult lastpass mijn username+pw direct in als ik op de online banking inlog pagina kom. Hoef ik alleen nog op de submit-knop te klikken.

Echter bij knab niet.

Waarom niet? Wat kan ik hier aan doen?
Reputatie 6
Badge +2
Hoi, bij andere banken vult lastpass mijn username+pw direct in als ik op de online banking inlog pagina kom. Hoef ik alleen nog op de submit-knop te klikken.

Echter bij knab niet.

Waarom niet? Wat kan ik hier aan doen?


Goedenmiddag, ik heb je bericht even in dit bestaande topic geplaatst omdat hier al eerder dit punt wordt genoemd. Het heeft te maken met bepaalde security overwegingen waarom wij dit niet ondersteunen. Ik ben benieuwd of veel mensen tegen dit probleem aanlopen, daarom bundelen we het in dit topic. Lees ook de discussies die eerder in dit topic gaande waren over de Password Managers.

Fijne Koningsdag!

groet, Pam
Reputatie 2
Badge
Ook de makers van password managers raden de auto fill functie af i.v.m. veiligheid.
Hoi, bij andere banken vult lastpass mijn username+pw direct in als ik op de online banking inlog pagina kom. Hoef ik alleen nog op de submit-knop te klikken.

Echter bij knab niet.

Waarom niet? Wat kan ik hier aan doen?


Hoi, ik ben een nieuwe Knab klant, en kan gewoon inloggen met LastPass. Mijn wachtwoord is blijkbaar al opgeslagen in mijn browser (gruwel! ik kan dit niet wijzigen door mijn cache/wachtwoorden/formulieren te legen in browser instellingen) en door op de 3puntjes te klikken verschijnt mijn gebruikersnaam en kan ik inloggen.

Wat mij zorgen baart is dat je niet, net zoals bij de Rabobank, met je bankpas en cardreader moet inloggen. Het voelt nu erg onveilig.
Inloggen via lp, ja geen probleem. Maar ik wil mijn auto-fill terug: dus direct bij het laden van de pagina mijn user+pw ingevuld.

Bij Ing + Asn werkt dit prima.
Inloggen via lp, ja geen probleem. Maar ik wil mijn auto-fill terug: dus direct bij het laden van de pagina mijn user+pw ingevuld.

Bij Ing + Asn werkt dit prima.


Ah ok, maar dat wil ik juist niet.. is die autofill van het wachtwoord dat je hier ziet http://prntscr.com/jcpkcf dan van LP? Ik wil dit juist weg hebben, lijkt me onveilig. Zit niet in mijn browserinstellingen/cache/formuliervelden
Reputatie 2
Badge

Ah ok, maar dat wil ik juist niet.. is die autofill van het wachtwoord dat je hier ziet http://prntscr.com/jcpkcf dan van LP? Ik wil dit juist weg hebben, lijkt me onveilig. Zit niet in mijn browserinstellingen/cache/formuliervelden

Kijk je instellingen nog maar een keer goed na. Zowel bij je browser als bij LastPass kan je dit uitzetten. Daarna je geschiedenis helemaal wissen. Ik weet niet meer waar het zit bij LP, na alle problemen bij LP ben ik over naar Bitwarden, maar ik weet zeker dat je het kan uitvinken.
Beste Ontwikkelaars,

Zoals in meerdere berichten op internet te vinden is, is het periodiek veranderen van wachtwoorden en deze een combinatie van (hoofd)letters en cijfers niet het vergroten van veiligheid! Het is juist een vermindering, omdat er door het niet alleen bij Knab maar ook op andere plaatsen bijhouden van wachtwoorden alles opgeschreven wordt, en zo er juist een zwakte gecreerd wordt in het wachtwoord beleid.

Als voorbeeld mijn inlogpoging, en het verplicht veranderen van het wachtwoord. Hier zit ik niet op te wachten.
Als er dan toch een wachtwoord benodigd is, zorg dan voor een "Pass Frase" ofwel een wachtwoord zin. Waardoor het hacken zoveel lastiger gemaakt wordt dat een "brute force attack" zelfs met supercomputers jaren duurt. Hierdoor kan iemand hetzelfde wachtwoord zin blijven gebruiken als de lengte hiervan maar minimaal 25 karakters is.

Ikzelf heb een Pass Frase van 37 karakters die ik op de meeste plaatsen gebruik, alleen kan ik dat hier dus weer niet toepassen want er kunnen maar 32 karakters maximaal ingevoerd worden.

Als dit nu eens aangepast kan worden, en er een optie kan komen dat je zelf als gebruiker kiest voor een Pass Frase die je niet meer hoeft te veranderen, met als minimale eis 25 karakters en bijvoorbeeld 255 als max.dan helpt dus een hoop gebruikers die nu gewoon alles gaan opschrijven omdat zij weer gedwongen elk half jaar een wachtwoord moeten veanderen!
Reputatie 3
Badge
Ik spreek niet voor de bank, maar ik vind dat je jouw probleem het probleem van (in dit geval) Knab maakt. Knab heeft prima veiligheidseisen, ik zou frequenter wijzigen zelfs normaal vinden, aangevuld met tweefactor authenticatie, dan is het vervolgens aan jou om zo flexibel te zijn om een wachtwoord van vijf karakters minder te verzinnen.

Je doet nu alsof het de schuld van de bank is dat je je wachtwoord ergens moet opschrijven, dat is natuurlijk volslagen onzin en je eigen verantwoordelijkheid.
Het wachtwoordbeleid van het Knab portaal voor mijn bankzaken is minimaal 10 en maximaal 32 karakters bestaande uit a-z, A-Z en 0-9. Het wachtwoordbeleid voor dit form staat sterker wachtwoorden toe die langer zijn dan 32 karaters en ook vreemde tekens kunnen bevatten.

Waarom is dit en wanneer worden complexere wachtwoorden toegestaan op het Knap portaal voor al mijn bankzaken? Wetende dat er ook geen 2FA gebruikt wordt voor het inloggen via een browser, zowel op een computer als een mobiel.
No, eight characters, some capital letters and numbers is not a good password policy

https://www.theregister.co.uk/2018/08/28/bad_passwords_never_go_out_of_fashion/
Reputatie 4
Badge
No, eight characters, some capital letters and numbers is not a good password policy

https://www.theregister.co.uk/2018/08/28/bad_passwords_never_go_out_of_fashion/

Het mag best wel in het Nederlands. Het is een Nederlands forum !
Reputatie 3
Waarom is dit en wanneer worden complexere wachtwoorden toegestaan op het Knap portaal voor al mijn bankzaken? Wetende dat er ook geen 2FA gebruikt wordt voor het inloggen via een browser, zowel op een computer als een mobiel.

Werd net weer geforceerd een nieuw wachtwoord te kiezen (zucht, we hebben het hier over gehad oom KNAB), en kreeg deze melding:

Een geldig wachtwoord bestaat uit minimaal 10 en maximaal 32 tekens. Gebruik tenminste een hoofdletter, kleine letter en een cijfer. Alleen de volgende speciale tekens zijn toegestaan: - _ . @ ! $ * + / = ? )


Langere wachtwoorden zijn top, maar bepaalde speciale characters niet toestaan betekent of:

1. Arbitraire beslissing
2. Bang zijn voor SQL injecties e.d.

Optie 1 is onacceptabel.

Optie 2 geeft aan dat het security team geen vertrouwen heeft in de sanitation code. Ook onacceptabel.

Waarom mogen characters ans % en # niet?
Reputatie 6
Badge +2
Waarom mogen characters ans % en # niet?

Hi Actuallymentor,

Mijn collega heeft dit eerder in dit topic al aangegeven. Je kunt het hier teruglezen.

Groet, Pam
Reputatie 3
W00t, was ik weer.

Nog een geforceerde verandering. Zelfde klachten.

> Zoals eerder aangegeven, er wordt gewerkt aan een nieuw wachtwoordbeleid.

Ja ik zie het.

>> Waarom mogen characters als % en # niet?
> Mijn collega heeft dit eerder in dit topic al aangegeven. Je kunt het hier teruglezen.

Daar staat alleen 'we kunnen het niet'. Zo iets belangrijks mag inmiddels wel opgelost zijn...

Dus nogmaals, vertellen jullie me nou dat jullie character sanitation zo zwak ik dat een " of een ^ mijn data in gevaar brengt? Wekt geen vertrouwen of cybersec gebied.

Reageer