Wachtwoordbeleid


Reputatie 3
Goedemorgen,

Gisteren wil ik inloggen, maar dat kon niet zonder geforceerd veranderen van het wachtwoord. Op twitter gaven jullie aan dat:

"Elk half jaar het wachtwoord wijzigen is in onze beleving wel veilig."

Ik wil jullie er even op wijzen dat onderzoek uitwijst dat dit soort ongefundeerde 'security' practices alleen maar voor ZWAKKERE wachtwoorden zorgen. Zie FTC onderzoek van rond maart: https://www.ftc.gov/news-events/blogs/techftc/2016/03/time-rethink-mandatory-password-changes

Please, please, doe dit niet. Behalve als er een hack/veiligheidslek is geweest.

108 reacties

Reputatie 3
Badge

Die rente daar is toch niet zo heel interessant? Die krijg je alleen over de eerste 10.000 volgens mij, in ieder geval particulier, dacht zakelijk ook.

Reputatie 3

Ik denk dat erover drie maanden een reactie komt van Knab dat het op de lijst staat en dat ze er naar kijken of bezig zijn met de fundering. Maar ook dat er heel veel projecten zijn en dat ze niet alles kunnen doen binnen 5-10 jaar, zie andere threads over mobiel betalen en Apple pay etc…. :-(

 

Zeer waarschijnlijk inderdaad. Dit thread is al 3 jaar oud…

Ik overweeg erg sterk om naar Bunq over te stappen maar ben geen fan van hun zakelijke kosten structuur. Al is met de 0.29% rente daar eigenlijk niets tegen in te brengen...

Reputatie 1

Ik denk dat erover drie maanden een reactie komt van Knab dat het op de lijst staat en dat ze er naar kijken of bezig zijn met de fundering. Maar ook dat er heel veel projecten zijn en dat ze niet alles kunnen doen binnen 5-10 jaar, zie andere threads over mobiel betalen en Apple pay etc…. :-(

Reputatie 4
Badge

Klaarblijkelijk is Knab in volledige lockdown.  Zelfs simpele aanpassingen om de email-meldingen m.b.t reacties op threads de juiste link mee te geven wordt niet opgelost.

Reputatie 3

Was ik weer? Wanneer gaan jullie over op evidence-based security? Dit is nog steeds ontzettend irritant.

Reputatie 4
Badge
Daarom blijf ik terugkomen naar dit thread, zodat het duidelijk blijft dat wij klanten er nog steeds mee zitten en nog steeds willen dat het wordt veranderd.
Ik steun je hiermee ten volle !!!
Reputatie 3
Daarom blijf ik terugkomen naar dit thread, zodat het duidelijk blijft dat wij klanten er nog steeds mee zitten en nog steeds willen dat het wordt veranderd.
Reputatie 1
Badge
Ik denk deze dingen zijn gewoon zo laag in hun prioriteit, daar gebeurt niks meer aan...
Reputatie 3
W00t, was ik weer.

Nog een geforceerde verandering. Zelfde klachten.

> Zoals eerder aangegeven, er wordt gewerkt aan een nieuw wachtwoordbeleid.

Ja ik zie het.

>> Waarom mogen characters als % en # niet?
> Mijn collega heeft dit eerder in dit topic al aangegeven. Je kunt het hier teruglezen.

Daar staat alleen 'we kunnen het niet'. Zo iets belangrijks mag inmiddels wel opgelost zijn...

Dus nogmaals, vertellen jullie me nou dat jullie character sanitation zo zwak ik dat een " of een ^ mijn data in gevaar brengt? Wekt geen vertrouwen of cybersec gebied.
Reputatie 6
Badge +2
Waarom mogen characters ans % en # niet?

Hi Actuallymentor,

Mijn collega heeft dit eerder in dit topic al aangegeven. Je kunt het hier teruglezen.

Groet, Pam
Reputatie 3
Waarom is dit en wanneer worden complexere wachtwoorden toegestaan op het Knap portaal voor al mijn bankzaken? Wetende dat er ook geen 2FA gebruikt wordt voor het inloggen via een browser, zowel op een computer als een mobiel.

Werd net weer geforceerd een nieuw wachtwoord te kiezen (zucht, we hebben het hier over gehad oom KNAB), en kreeg deze melding:

Een geldig wachtwoord bestaat uit minimaal 10 en maximaal 32 tekens. Gebruik tenminste een hoofdletter, kleine letter en een cijfer. Alleen de volgende speciale tekens zijn toegestaan: - _ . @ ! $ * + / = ? )


Langere wachtwoorden zijn top, maar bepaalde speciale characters niet toestaan betekent of:

1. Arbitraire beslissing
2. Bang zijn voor SQL injecties e.d.

Optie 1 is onacceptabel.

Optie 2 geeft aan dat het security team geen vertrouwen heeft in de sanitation code. Ook onacceptabel.

Waarom mogen characters ans % en # niet?
Reputatie 4
Badge
No, eight characters, some capital letters and numbers is not a good password policy

https://www.theregister.co.uk/2018/08/28/bad_passwords_never_go_out_of_fashion/

Het mag best wel in het Nederlands. Het is een Nederlands forum !
No, eight characters, some capital letters and numbers is not a good password policy

https://www.theregister.co.uk/2018/08/28/bad_passwords_never_go_out_of_fashion/
Het wachtwoordbeleid van het Knab portaal voor mijn bankzaken is minimaal 10 en maximaal 32 karakters bestaande uit a-z, A-Z en 0-9. Het wachtwoordbeleid voor dit form staat sterker wachtwoorden toe die langer zijn dan 32 karaters en ook vreemde tekens kunnen bevatten.

Waarom is dit en wanneer worden complexere wachtwoorden toegestaan op het Knap portaal voor al mijn bankzaken? Wetende dat er ook geen 2FA gebruikt wordt voor het inloggen via een browser, zowel op een computer als een mobiel.
Reputatie 3
Badge
Ik spreek niet voor de bank, maar ik vind dat je jouw probleem het probleem van (in dit geval) Knab maakt. Knab heeft prima veiligheidseisen, ik zou frequenter wijzigen zelfs normaal vinden, aangevuld met tweefactor authenticatie, dan is het vervolgens aan jou om zo flexibel te zijn om een wachtwoord van vijf karakters minder te verzinnen.

Je doet nu alsof het de schuld van de bank is dat je je wachtwoord ergens moet opschrijven, dat is natuurlijk volslagen onzin en je eigen verantwoordelijkheid.
Beste Ontwikkelaars,

Zoals in meerdere berichten op internet te vinden is, is het periodiek veranderen van wachtwoorden en deze een combinatie van (hoofd)letters en cijfers niet het vergroten van veiligheid! Het is juist een vermindering, omdat er door het niet alleen bij Knab maar ook op andere plaatsen bijhouden van wachtwoorden alles opgeschreven wordt, en zo er juist een zwakte gecreerd wordt in het wachtwoord beleid.

Als voorbeeld mijn inlogpoging, en het verplicht veranderen van het wachtwoord. Hier zit ik niet op te wachten.
Als er dan toch een wachtwoord benodigd is, zorg dan voor een "Pass Frase" ofwel een wachtwoord zin. Waardoor het hacken zoveel lastiger gemaakt wordt dat een "brute force attack" zelfs met supercomputers jaren duurt. Hierdoor kan iemand hetzelfde wachtwoord zin blijven gebruiken als de lengte hiervan maar minimaal 25 karakters is.

Ikzelf heb een Pass Frase van 37 karakters die ik op de meeste plaatsen gebruik, alleen kan ik dat hier dus weer niet toepassen want er kunnen maar 32 karakters maximaal ingevoerd worden.

Als dit nu eens aangepast kan worden, en er een optie kan komen dat je zelf als gebruiker kiest voor een Pass Frase die je niet meer hoeft te veranderen, met als minimale eis 25 karakters en bijvoorbeeld 255 als max.dan helpt dus een hoop gebruikers die nu gewoon alles gaan opschrijven omdat zij weer gedwongen elk half jaar een wachtwoord moeten veanderen!
Reputatie 2
Badge

Ah ok, maar dat wil ik juist niet.. is die autofill van het wachtwoord dat je hier ziet http://prntscr.com/jcpkcf dan van LP? Ik wil dit juist weg hebben, lijkt me onveilig. Zit niet in mijn browserinstellingen/cache/formuliervelden

Kijk je instellingen nog maar een keer goed na. Zowel bij je browser als bij LastPass kan je dit uitzetten. Daarna je geschiedenis helemaal wissen. Ik weet niet meer waar het zit bij LP, na alle problemen bij LP ben ik over naar Bitwarden, maar ik weet zeker dat je het kan uitvinken.
Inloggen via lp, ja geen probleem. Maar ik wil mijn auto-fill terug: dus direct bij het laden van de pagina mijn user+pw ingevuld.

Bij Ing + Asn werkt dit prima.


Ah ok, maar dat wil ik juist niet.. is die autofill van het wachtwoord dat je hier ziet http://prntscr.com/jcpkcf dan van LP? Ik wil dit juist weg hebben, lijkt me onveilig. Zit niet in mijn browserinstellingen/cache/formuliervelden
Inloggen via lp, ja geen probleem. Maar ik wil mijn auto-fill terug: dus direct bij het laden van de pagina mijn user+pw ingevuld.

Bij Ing + Asn werkt dit prima.
Hoi, bij andere banken vult lastpass mijn username+pw direct in als ik op de online banking inlog pagina kom. Hoef ik alleen nog op de submit-knop te klikken.

Echter bij knab niet.

Waarom niet? Wat kan ik hier aan doen?


Hoi, ik ben een nieuwe Knab klant, en kan gewoon inloggen met LastPass. Mijn wachtwoord is blijkbaar al opgeslagen in mijn browser (gruwel! ik kan dit niet wijzigen door mijn cache/wachtwoorden/formulieren te legen in browser instellingen) en door op de 3puntjes te klikken verschijnt mijn gebruikersnaam en kan ik inloggen.

Wat mij zorgen baart is dat je niet, net zoals bij de Rabobank, met je bankpas en cardreader moet inloggen. Het voelt nu erg onveilig.
Reputatie 2
Badge
Ook de makers van password managers raden de auto fill functie af i.v.m. veiligheid.
Reputatie 6
Badge +2
Hoi, bij andere banken vult lastpass mijn username+pw direct in als ik op de online banking inlog pagina kom. Hoef ik alleen nog op de submit-knop te klikken.

Echter bij knab niet.

Waarom niet? Wat kan ik hier aan doen?


Goedenmiddag, ik heb je bericht even in dit bestaande topic geplaatst omdat hier al eerder dit punt wordt genoemd. Het heeft te maken met bepaalde security overwegingen waarom wij dit niet ondersteunen. Ik ben benieuwd of veel mensen tegen dit probleem aanlopen, daarom bundelen we het in dit topic. Lees ook de discussies die eerder in dit topic gaande waren over de Password Managers.

Fijne Koningsdag!

groet, Pam
Hoi, bij andere banken vult lastpass mijn username+pw direct in als ik op de online banking inlog pagina kom. Hoef ik alleen nog op de submit-knop te klikken.

Echter bij knab niet.

Waarom niet? Wat kan ik hier aan doen?
Reputatie 2
Badge
Ik zie eerlijk gezegd graag betere ondersteuning voor passwordmanagers. Ik gebruik zelf iCloud Keychain en ik moet bij Knab altijd manueel inloggen (aanklikken en selecteren) in plaats van lekker enteren. Hoe vaak er een wachtwoord veranderd wordt, maakt mij dan ook niet zo heel veel uit.
Tja, en hoe betrouwbaar/veilig is een passwordmanager in de Cloud?

Daarom gebruikt ik Bitwarden. Bevalt zeer goed. Geen problemen met inloggen op KNAB.
Reputatie 5
Badge +1
Hoi Bart1977,
Wake up KNAB! Het is toch echt al een tijdje geleden dat het 2013 was. Two factor authentication optie niet mogelijk? Ik begrijp niet dat hier niet al lang een apart topic voor is binnen de Ideeënbus. Of ik heb niet goed genoeg gezocht? Er is wel een wachtwoorden topic, maar dit overstijgt wat mij betreft dat topic.

Ik heb je topic verplaatst naar ons bestaande wachtwoordbeleid topic. De reden hiervoor is dat de twee staps verificatie onderdeel kan zijn van dit beleid en omdat dit een belangrijk onderdeel is geweest van de gesprekken hier.

Voor het inloggen op je Knab rekening heb je op dit moment inderdaad geen twee staps verificatiemogelijkheden. Voor het bijvoorbeeld het bevestigen van een betaling is dit wel het geval; de Cardreader of de Knab app.

We zijn bezig met een nieuw inlogsysteem. Hoe dit er uit gaat zien dat weet ik op dit moment niet precies. Ik heb wel van mijn collega begrepen dat twee staps verificatie wel iets is waar ze mee bezig zijn.

Groet, David

Reageer