Wachtwoordbeleid


Reputatie 3
Goedemorgen,

Gisteren wil ik inloggen, maar dat kon niet zonder geforceerd veranderen van het wachtwoord. Op twitter gaven jullie aan dat:

"Elk half jaar het wachtwoord wijzigen is in onze beleving wel veilig."

Ik wil jullie er even op wijzen dat onderzoek uitwijst dat dit soort ongefundeerde 'security' practices alleen maar voor ZWAKKERE wachtwoorden zorgen. Zie FTC onderzoek van rond maart: https://www.ftc.gov/news-events/blogs/techftc/2016/03/time-rethink-mandatory-password-changes

Please, please, doe dit niet. Behalve als er een hack/veiligheidslek is geweest.

108 reacties

Reputatie 3
Goedemiddag! Bedankt voor je inbreng. Ik ga dit voorleggen aan mijn collega's van Security, ben benieuwd hoe zij hier tegenaan kijken. Je hoort het snel!

Hoor het graag!

Ik snap dat dit soort dinge instinctief veiliger voelen maar ze doen eigenlijk niets anders dan irritaties opleveren. Beetje als de 100ml per flesje limiet op vliegvelden.
Reputatie 2
Badge
Helemaal mee eens. Je kan beter er voor zorgen dat men een sterk wachtwoord moet gebruiken van veel en verschillende tekens dan telkens het wachtwoord te laten veranderen. Mensen gaan dan bijvoorbeeld oplopende getallen gebruiken oid wat niet echt veiliger is.
Reputatie 5
Badge +1
Op dit moment vraagt knab.nl relatief complexe wachtwoorden (geen probleem ermee) en dat je deze regelmatig veranderd in een nog niet gebruikte.

Persoonlijk gebruik ik 2-3 relatief complexe wachtwoorden voor bank zaken, die ik in mijn hoofd heb. Inmiddels heb ik die door. Dus de nieuwe wachtwoord voor Knab is nu in de browser opgeslagen (wat ik anders nog bij geen bank gedaan heb)! De browser als centraal wachtwoord opslag vind ik eigenlijk voor bankzaken niet goed, maar alles andere werd te omslachtig.

Gaat dit andere mensen ook zo, dat ze dit policy ongemakkelijk *en* *juist minder veilig* vinden?

Ik vond wel wat wetenschappelijk onderzoek over dit soort policies:
https://www.ftc.gov/news-events/blogs/techftc/2016/03/time-rethink-mandatory-password-changes (Overzicht)
https://www.cs.unc.edu/~reiter/papers/2010/CCS.pdf (Details)

Ik zou er graag een discussie over zien.


Hi Marcello, ik heb bij deze je reactie in een goed passend topic geplaatst. Mochten er toch nog vragen/opmerkingen zijn dan horen wij dat graag.
Reputatie 2
Badge
De huidige wachtwoordvereisten voor de inloggegevens van de Knab omgeving zijn:

Een geldig wachtwoord bestaat uit minimaal 10 en maximaal 32 tekens. Gebruik tenminste een hoofdletter, kleine letter en een cijfer. Alleen de volgende speciale tekens zijn toegestaan: - _ . @ ! $ * + / = ? )


Op zich niet ongebruikelijk, er is echter genoeg op aan te merken. Ten eerste technisch. Waarom is er een maximum, en waarom is er maar een beperkte selectie aan speciale tekens mogelijk? Het lijkt me dat er totaal geen reden is in de back-end om dit te beperken, aangezien deze toch naar een hash van een gelijke lengte omgezet wordt.

Daarnaast neem ik aan dat het security team wel bekend zal zijn met het correct horse battery staple verhaal. Het verplicht stellen van een hoofdletter en een cijfer verhoogt niet de beveiliging van een wachtwoord. Juist voor zaken die ik mogelijk vanaf meerdere devices moet gebruiken (een iDEAL betaling vanaf een andere computer oid) zou ik liever een lang wachtwoord gebruiken dat enkel uit woorden bestaat, wat zorgt voor een betere beveiliging en makkelijker te onthouden is.

De vereisten en de maximum lengte staan dit nu in de weg. Is dit iets waar nog over na te denken is?


Helemaal mee eens!
Maanden terug dit ook al aangegeven en later meerdere keren herhaald. KNAB geeft dan aan dat er andere onderzoeken zijn die blijkbaar anders beweren. Ik ben ze nog niet tegen gekomen of ze zijn enorm verouderd.
Bij zo'n lang wachtwoord is het ook niet nodig deze elke keer maar te moeten aanpassen. Bij 12 karakters is het wachtwoord al niet meer te kraken zonder social engineering. Nu gaan mensen met opvolgnummerstjes werken waardoor het telkens moeten veranderen van een wachtwoord dus schijnveiligheid is!!!

Dus ook mijn oproep, pas het beleid aan naar de standaarden van deze tijd!! Gewoon minimaal 12 zo niet meer karakters verplichten zonder enige restrictie en laat het daar bij!
Reputatie 3
Helemaal mee eens. Je kan beter er voor zorgen dat men een sterk wachtwoord moet gebruiken van veel en verschillende tekens dan telkens het wachtwoord te laten veranderen. Mensen gaan dan bijvoorbeeld oplopende getallen gebruiken oid wat niet echt veiliger is.

Exact, plus dat veel mensen makkelijkere/kortere wachtwoorden doen als ze wachtwoorden moeten aanpassen.

Beter om een minimumlengte in te stellen, bijv een passphrase in plaats van een 6 character password.
Reputatie 3
Ik heb nu al spijt van het feit dat ik die overstapservice heb aangevraagd… Bank van de toekomst, met de beveiliging van eind jaren negentig dus.

Afgezien van deze onzin doet KNAB het goed hoor. Alleen die mandatory change is echt dom.

Kijk naar PayPal. Zij kunnen het blijkbaar wel zonder deze vreemde regels, en grappig genoeg gaat er meer geld om in hun systemen dan in heel Aegon.

Exact. Als je meer security wil, good er dan een 2FA overheen. Maar dat heb je in principe toch al met de reader.
Reputatie 4
Badge

Klaarblijkelijk is Knab in volledige lockdown.  Zelfs simpele aanpassingen om de email-meldingen m.b.t reacties op threads de juiste link mee te geven wordt niet opgelost.

Reputatie 3

Ik denk dat erover drie maanden een reactie komt van Knab dat het op de lijst staat en dat ze er naar kijken of bezig zijn met de fundering. Maar ook dat er heel veel projecten zijn en dat ze niet alles kunnen doen binnen 5-10 jaar, zie andere threads over mobiel betalen en Apple pay etc…. :-(

 

Zeer waarschijnlijk inderdaad. Dit thread is al 3 jaar oud…

Ik overweeg erg sterk om naar Bunq over te stappen maar ben geen fan van hun zakelijke kosten structuur. Al is met de 0.29% rente daar eigenlijk niets tegen in te brengen...

Reputatie 1
De huidige wachtwoordvereisten voor de inloggegevens van de Knab omgeving zijn:

Een geldig wachtwoord bestaat uit minimaal 10 en maximaal 32 tekens. Gebruik tenminste een hoofdletter, kleine letter en een cijfer. Alleen de volgende speciale tekens zijn toegestaan: - _ . @ ! $ * + / = ? )


Op zich niet ongebruikelijk, er is echter genoeg op aan te merken. Ten eerste technisch. Waarom is er een maximum, en waarom is er maar een beperkte selectie aan speciale tekens mogelijk? Het lijkt me dat er totaal geen reden is in de back-end om dit te beperken, aangezien deze toch naar een hash van een gelijke lengte omgezet wordt.

Daarnaast neem ik aan dat het security team wel bekend zal zijn met het correct horse battery staple verhaal. Het verplicht stellen van een hoofdletter en een cijfer verhoogt niet de beveiliging van een wachtwoord. Juist voor zaken die ik mogelijk vanaf meerdere devices moet gebruiken (een iDEAL betaling vanaf een andere computer oid) zou ik liever een lang wachtwoord gebruiken dat enkel uit woorden bestaat, wat zorgt voor een betere beveiliging en makkelijker te onthouden is.

De vereisten en de maximum lengte staan dit nu in de weg. Is dit iets waar nog over na te denken is?
Reputatie 1
Ik wil ook even deze blog post van Troy Hunt toevoegen aan deze discussie, compleet met lijst van NIST aanbevelingen waarvan Knab meer dan de helft breekt:

https://www.troyhunt.com/passwords-evolved-authentication-guidance-for-the-modern-era/

Met name:

Verifiers SHOULD permit subscriber-chosen memorized secrets at least 64 characters in length

All printing ASCII [RFC 20] characters as well as the space character SHOULD be acceptable in memorized secrets. Unicode [ISO/ISC 10646] characters SHOULD be accepted as well.

Verifiers SHOULD NOT impose other composition rules (e.g., requiring mixtures of different character types or prohibiting consecutively repeated characters) for memorized secrets
Reputatie 6
Badge +2
Gisteren wil ik inloggen, maar dat kon niet zonder geforceerd veranderen van het wachtwoord.
Helemaal mee eens.
heb je al antwoord van de afdeling security?

Nogmaals bedankt voor jullie kritische kijk rondom het wijzigen van het wachtwoord. Doordat het een gevoelig punt is, het gaat tenslotte om jullie veiligheid, vinden wij het erg belangrijk om onze keuze goed te kunnen toelichten, vandaar dat ons antwoord wat langer achterwege bleef.

Zoals jullie weten dien je bij Knab om het half jaar je wachtwoord verplicht te wijzigen. Er zijn meerdere onderzoeken gedaan, waarbij er twee meningen zijn: het vaker wijzigen van het wachtwoord is veiliger of juist het tegenovergestelde. Het artikel dat jij (@actuallymentor) meestuurt is zeer interessant en voor mijn collega's die over dit vraagstuk gaan ook zeker de moeite waard om zich verder in te verdiepen.

Het standpunt dat Knab heeft ingenomen is gebaseerd op de huidige manier van verificatie (inloggen met gebruikersnaam en wachtwoord). Wij zijn ons aan het oriënteren op andere methodes, hier kan ik echter nog niks concreets over melden. Zodra we andere methodes faciliteren, zullen ook de regels omtrent het wijzigen van het wachtwoord mogelijk worden herzien.

Groet Pam
Mocht het beleid niet veranderen, zou het dan mogelijk zijn om een notificatie te krijgen dat je wachtwoord over x dagen verloopt? Afgelopen weekend moest ik midden in een iDeal betaling spontaan mijn wachtwoord veranderen: onhandig!
Reputatie 3


Er zijn meerdere onderzoeken gedaan, waarbij er twee meningen zijn: het vaker wijzigen van het wachtwoord is veiliger of juist het tegenovergestelde.



Bedankt voor de terugkoppeling!

Waar zijn de desbetreffende onderzoeken te vinden? Ik heb ze namelijk nog nooit gezien.
Reputatie 3
Ik bedoelde meer dat er twee stromingen zijn, vaker wijzigen en minder vaak. Concrete onderzoeken kan ik je niet geven. Maar vaker wijzigen is wellicht een ouder gebruik/advies ...

In principe is dit dus een geval van 'ja zo doen andere mensen dat' zonder daadwerkelijke onderbouwing...

Redenen voor periodiek veranderen: meningen en traditie
Redenen om het niet te doen: onderzoek en negatieve klanten ervaringen

Ik snap dat jij er persoonlijk niets aan kan doen, maar dit vind ik als programmeur zijnde erg jammer.
Reputatie 3
Password manager zijn oneindig veiliger dan handgetypte passwords. Het kraken van dergelijke AES-256 is niet haalbaar, zie xkcd: http://xkcd.com/538/
Reputatie 3
@Tonk44: Er zijn nog geen updates rondom het eventueel wijzigen van ons wachtwoordbeleid.

Dat is dus in principe: "We weten dat we jullie nutteloos frustreren, maar een man met een stropdas vind het een goed idee dus doen we het toch."

Erg jammer. Mijn dunk over de veiligheid van KNAB zakt hier mee :(

Jullie zijn "de online bank", gedraag je dan ook als een digitaal kundig bedrijf.
Reputatie 3
- Passwordmanager
“Als jullie dan zo willen dat ik mijn wachtwoord vaak verander, waarom mag ik dan geen passwordmanager gebruiken?” Ook hier zit een veiligheidsgedachte achter; sommige passwordmanagers slaan je wachtwoorden op in de cloud. Om te voorkomen dat, wanneer die gehackt worden, mensen kunnen inloggen op je Knab omgeving hebben we alle passwordmanagers helaas zo veel mogelijk moeten blokkeren.


Password managers zijn veiliger dan mensen. Daarnaast worden de wachtwoorden bij password managers als LastPass en OnePassword als salted hashes opgeslagen. Mensen zijn mensen, het is dus onmogelijk dat ze voor elke website een ander veilig wachtwoord in hun hoofd onthouden. Welke stagaire heeft besloten password managers te blokkeren weet ik niet, maar stuur hem eens naar Defcon of Blackhat om met echte pentesters te praten.

Passwords are not the weak link in your customers.

- Alle bijzondere tekens toe staan
We bieden een beperkt aantal bijzondere tekens aan voor het kiezen van je wachtwoord. We hebben gevraagd dit uit te breiden. Helaas kunnen niet alle bijzondere tekens worden ingevoerd, er zijn een aantal beperkingen waar wij aan onze kant rekening mee moeten houden waardoor we dat niet mogelijk kunnen maken.


De enige reden dit niet te doen is dat je als developer bang bent voor injectie attacks of parse fouten. Dat ligt puur aan industry standard code schrijven die met * en ; kan omgaan zonder je database op te blazen. Deze uitleg is toch wel zo onzinnig...

Wachtwoordbeleid van de toekomst
Op dit moment is de verwachting dat wij een 2-staps verificatie gaan invoeren. De verwachtte termijn voor een invoer hiervan is ongeveer 6 tot 12 maanden. Dit geeft ook nieuwe perspectieven voor het periodiek moeten veranderen van wachtwoorden; zoals het er nu uit ziet gaan we dit inderdaad uitfaseren. Als we dit eerder kunnen doen, dan zullen we dat ook zeker eerder doen.


Praise the lord. Een lichtpuntje. Zolang na de 2FA implementatie mandatory password changes maar worden uitgezet.

Laat ik even duidelijk zijn. Deze redeneringen zijn dom en onzinnig, stroken niet met de realiteit van technologie en zijn een belediging naar de klant. Daarbij zeg ik wel dat andere banken nog slechter zijn, en vaak niet eens communiceren.

Ik waardeer de communicatie.

Ik be teleurgesteld over de conclusies.

Edit: spelling
Beste Pam,

heb je al antwoord van de afdeling security?

Ik heb hierover dik een jaar geleden ook al eens vragen gesteld en toen zou het ook aan die afdeling voorgelegd worden...

Voor zover ik me kan heugen is KNAB de enige instantie die dit historische uiterst storende beleid nog voert en mijn wachtwoord wordt ook elke keer alleen maar zwakker
Reputatie 1
Badge
Ik gebruik standaard 32 karakter wachtwoorden en wordt er zelf ook kriechel van als anderen dan een andere eis hebben, bijvoorbeeld max 16 oid (American Express heeft dat bijvoorbeeld). Dus met de lengte eis ben ik het met je eens. Ik weet dat sommige bedrijven andere eisen stellen afhankelijk van de lengte van het wachtwoord: min 8 dan zit er een eis aan de toegestane karakters, bij minimaal 16 chars vervallen de eisen van toegestane chars. En dan mag je dus echt vanalles invullen. Een soortgelijke policy zou wel tof zijn, wij kunnen gewoon onze random generated passwords gebruiken die keklang zijn en de rest van de wereld mag dan andere wachtwoorden gebruiken die aan bepaalde eisen moeten voldoen.

Over het hergebruiken van wachtwoorden, dat vind ik ook een stomme eis, maar als je random generated passwords gebruikt heb je denk ik hoe dan ook geen last van die eis. Maar op zich ben ik het met je eens, maar snap Knab ook omdat je anderen hebt die wel wachtwoorden hergebruiken en ze het die wat moeilijker willen maken. Maar dan kan je alsnog Welkom123 naar Welkom 456 gebruiken, het is een beetje een .. matige dingetje in een wachtwoord policy.
Reputatie 2
Badge
Tegenwoordig kan je (bijna) niet meer zonder een password manager. Zelf gebruikt ik al jaren LastPass. Ook voor bankzaken......
Reputatie 3

Was ik weer? Wanneer gaan jullie over op evidence-based security? Dit is nog steeds ontzettend irritant.

Ik kwam toevallig gisteren dit topic tegen, vandaag geeft ook NIST (National Institute of Standards and Technology) aan dat rotatie niet wenselijk is: https://pages.nist.gov/800-63-3/sp800-63b.html#memorized-secret-verifiers

"Verifiers SHOULD NOT impose other composition rules (mixtures of different character types, for example) on memorized secrets. Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically) unless there is evidence of compromise of the authenticator or a subscriber requests a change."
Hallo Knab,

Heb vandaag weer mijn wachtwoord moeten veranderen om in te kunnen loggen bij Knab.
Heel irritant en onhandig!

Knab wenst dat ik mijn wachtwoord geheim houd, Knab adviseert om het wachtwoord niet ergens op te schrijven.
Knab adviseert om een moeilijk wachtwoord aan te maken en dit wachtwoord niet voor andere sites te gebruiken.

Hoe kan je je wachtwoord ooit onthouden als je het steeds weer moet wijzigen?
Vreselijk irritant dit!
Ik heb zoals waarschijnlijk iedereen toch ergens een boekje liggen waarin alle wachtwoorden staan opgeschreven. Tja, niet veilig, maar hoe anders?
Is gewoon of voor alles eenzelfde wachtwoord gebruiken, of ze ergens noteren.
In dit geval was het helemaal lastig omdat ik in wilde loggen via mijn iPad op een andere plek dan thuis en ik de nieuwe inlogcode dus niet direct in mijn boekje kon noteren. Wat een gedoe weer!

Zou prettig zijn als Knab niet slechts aan eigen belang denkt bij het nemen van dit soort maatregels maar er ook over nadenkt wat werkbaar is voor haar klanten.

U hoeft mij niet te bellen met een uitleg want ik snap wel dat dit met veiligheid te maken heeft. Gaat mij erom dat u niet alleen aan uw veiligheid denkt maar ook aan uw klant.
Bovendien heb ik er geen zin in om na een telefonisch contact met een van uw medewerkers, waarbij het gesprek al werd opgenomen om de service in de toekomst nog verder te verbeteren, ik per mail weer een klein vragenlijstje voorgeschoteld krijg (neemt slechts enkele minuten van mijn tijd in beslag) als klant-tevredenheidsonderzoek om mij in de toekomst nog beter van dienst te kunnen zijn.

Nou, deze klant is dus niet tevreden over het steeds moeten wijzigen van de inlogcode en stelt die onzinnige klant-tevredenheidsonderzoekjes ook niet op prijs. Ik denk overigens dat ik hierin niet alleen sta.

Lex B
Reputatie 1
Ik had geen idee dat hier al een discussie over bestond, en dat Knab blijkbaar elk halfjaar een wachtwoordverandering forceert?

Ik heb nu al spijt van het feit dat ik die overstapservice heb aangevraagd… Bank van de toekomst, met de beveiliging van eind jaren negentig dus.

Een tip voor het security team: kijk eens naar hoe Google en Facebook hun beveiliging regelen. Kijk naar PayPal. Zij kunnen het blijkbaar wel zonder deze vreemde regels, en grappig genoeg gaat er meer geld om in hun systemen dan in heel Aegon.
Reputatie 1
Laten we dit dan eens stuk voor stuk bekijken.
- Passwordmanager
“Als jullie dan zo willen dat ik mijn wachtwoord vaak verander, waarom mag ik dan geen passwordmanager gebruiken?” Ook hier zit een veiligheidsgedachte achter; sommige passwordmanagers slaan je wachtwoorden op in de cloud. Om te voorkomen dat, wanneer die gehackt worden, mensen kunnen inloggen op je Knab omgeving hebben we alle passwordmanagers helaas zo veel mogelijk moeten blokkeren.

Komt erop neer dat je je klant niet vertrouwt. Prima instelling, maar waarom ophouden bij het blokkeren van passwordmanagers? Als je mensen een wachtwoord zelf laat kiezen is er een kans dat ze een onveilig wachtwoord kiezen. Dan kun je beter een wachtwoord voor ze verzinnen.

Sterker nog, als je mensen online laat inloggen heb je een kans dat ze per ongeluk op een nepsite inloggen. Je kunt dus beter helemaal geen internetbankieren aanbieden, dat is een stuk veiliger.

Waarom hebben jullie deze ontzettend arbitraire grens bij een passwordmanager gezet?


- Passphrase gebruiken
Hoewel een passphrase gezien wordt, ook bij ons, als zeer veilig willen wij mensen niet dwingen om dit te doen. Hierbij is het niet voor iedereen vriendelijke optie, en ook hier kan het gebeuren dat mensen dezelfde passphrase op meerdere plekken gaan gebruiken. Dat risico proberen we dus nu uit te sluiten door het vragen om een nieuw wachtwoord in te stellen.

Het is natuurlijk onzin om een zelfgekozen wachtwoord te limiteren "omdat het kan gebeuren dat mensen hetzelfde wachtwoord op meerdere plekken gaan gebruiken." Dat kun je alleen maar voorkomen door mensen niet zelf een wachtwoord te laten kiezen. Er is geen enkele andere oplossing voor dat probleem, want degene die hun wachtwoord hergebruikt verandert dezelfde 1 in een 2 op elke website die ze dwingt om hun wachtwoord te rouleren.


- Alle bijzondere tekens toe staan
We bieden een beperkt aantal bijzondere tekens aan voor het kiezen van je wachtwoord. We hebben gevraagd dit uit te breiden. Helaas kunnen niet alle bijzondere tekens worden ingevoerd, er zijn een aantal beperkingen waar wij aan onze kant rekening mee moeten houden waardoor we dat niet mogelijk kunnen maken.

Het feit dat er beperkingen zijn aan jullie kant maakt me echt gigantisch achterdochtig over de veiligheid van jullie authenticatie. Hashen jullie wel?

De enige beperkingen die er technisch gezien mogelijk zijn leiden tot verminderde beveiliging van mijn gevoelige informatie. Zijn jullie er comfortabel mee dat toe te geven?

Reageer