http://www.nu.nl/internet(...)sen-heeft-spijt.htmlquote:Bill Burr, een voormalig Amerikaans overheidsmedewerker die in 2003 een set strenge eisen voor computerwachtwoorden opstelde, zegt dat hij spijt heeft van zijn invloedrijke werk.
Burr stelde voor het National Institute of Standards and Technology (NIST) een advies op, waarin hij mensen onder meer opriep om veel getallen en speciale tekens te gebruiken in wachtwoorden, en om deze regelmatig te veranderen.
De standaarden van NIST hebben veel invloed binnen de Amerikaanse overheid en in de privésector. Door het eerdere document van Burr was het bij veel agentschappen en bedrijven verplicht om regelmatig alle wachtwoorden te vervangen en tekencombinaties te gebruiken die moeilijk te onthouden zijn.
"Ik heb nu spijt van veel van wat ik heb gedaan", zegt de 72-jarige Burr dinsdag tegen de Wall Street Journal. In juni stelde NIST een nieuwe versie van zijn advies op, waarin grote veranderingen werden doorgevoerd.
Onthouden
In de praktijk blijkt dat veel mensen bij verplichte wachtwoordwijzigingen slechts kleine aanpassingen maken, door bijvoorbeeld één cijfer te wijzigen. Ook leidden de eisen ertoe dat veel mensen makkelijk te raden wachtwoorden als 'W4chtw00rd!' gebruiken.
Volgens experts is het beter om een lang, maar makkelijk te onthouden wachtwoord te gebruiken, dan een korter en ingewikkelder wachtwoord. Een wachtwoord dat bestaat uit vier willekeurige woorden achter elkaar is bijvoorbeeld moeilijk te kraken.
"Het was uiteindelijk waarschijnlijk te ingewikkeld voor veel mensen om goed te begrijpen, en eerlijk gezegd had ik een verkeerde aanpak", zegt Burr nu over zijn advies. "Mensen worden er gek van en ze kiezen toch geen goede wachtwoorden, wat je ook doet."
En waarom men dan het idee heeft dat de meerderheid iets anders zou doen dan één cijfer of één letter veranderen.quote:Op dinsdag 8 augustus 2017 16:30 schreef MichaelScott het volgende:
Begreep sowieso al nooit waarom je elke maand je wachtwoord zou moeten veranderen.
Dat is wel goed voor mensen die overal dezelfde combinatie van e-mail adres en wachtwoord gebruiken.quote:Op dinsdag 8 augustus 2017 16:30 schreef MichaelScott het volgende:
Begreep sowieso al nooit waarom je elke maand je wachtwoord zou moeten veranderen.
Dat is bij ons uitgeschakeld, als je iets neemt wat er te veel op lijkt word het afgekeurt.quote:Op dinsdag 8 augustus 2017 16:36 schreef Janneke141 het volgende:
[..]
En waarom men dan het idee heeft dat de meerderheid iets anders zou doen dan één cijfer of één letter veranderen.
Net als alle anderen die tegelijkertijd met jou startten.quote:Op dinsdag 8 augustus 2017 17:00 schreef LXIV het volgende:
Bij het bedrijf waar ik werkt krijgt iedereen bij binnenkomst het wachtwoord Welcome01 en je moet dan iedere drie maanden een nieuw wachtwoord kiezen. Mijn wachtwoord is nu Welcome17
Haha. Ja. Als je weet hoe lang iemand bij de baas zit kun je zijn wachtwoord vaak wel raden. Gemakkelijk als iemand ziek tthuis is.quote:Op dinsdag 8 augustus 2017 17:01 schreef spijkerbroek het volgende:
[..]
Net als alle anderen die tegelijkertijd met jou startten.
Dat kan in principe niet. Of je moet de wachtwoorden als plain tekst (via 1 of andere encryptie eventueel) opslaan. Bij de echte systemen wordt alleen de hashcode opgeslagen. En die hashcode is heel erg anders, ook bij 1 teken verschil. Voor de systemen en en hackers maakt het allemaal niet zoveel uit. Het is het uitproberen van hashcodes. Dat moet op ieder systeem beperkt worden tot maximaal 4 keer fout en daarna een uur pauze. Zo ben je veilig tegen automaten.quote:Op dinsdag 8 augustus 2017 16:44 schreef raptorix het volgende:
[..]
Dat is bij ons uitgeschakeld, als je iets neemt wat er te veel op lijkt word het afgekeurt.
Bij ons is ook policy om zoveel mogelijk software en systemen via je windows credentials te laten lopen, als iemand uit dienst gaat is gelijk in 1 keer alles geregeld.
Idem. Alleen met iets anders ervoor Ik begon op 2008 en zit nu op 2029.quote:Op dinsdag 8 augustus 2017 17:00 schreef LXIV het volgende:
Bij het bedrijf waar ik werkt krijgt iedereen bij binnenkomst het wachtwoord Welcome01 en je moet dan iedere drie maanden een nieuw wachtwoord kiezen. Mijn wachtwoord is nu Welcome17
Dit is spot on inderdaad. Het is mooi dat de man die dit bedacht heeft nu spijt heeft. Voortschrijdend inzicht is altijd iets erg moois vind ik.quote:
Zoals gezegd: als het systeem die punten allemaal kan controleren dat is het inherent onveilig omdat de echte wachtwoorden ergens opgeslagen worden. Zeg dat maar tegen je school.quote:
Tot het wachtwoord van deze manager aan de beurt is. Dan heb je ze allemaal in 1 keer. Slecht idee.quote:Op dinsdag 8 augustus 2017 17:43 schreef __Saviour__ het volgende:
Ik laat altijd een ww genereren en onthouden door een wachtwoordmanager. Werkt ideaal, nooit omkijken naar.
Nu je het zegt; terechte klacht. Gelukkig zit ik er niet meer.quote:Op dinsdag 8 augustus 2017 17:43 schreef Bart2002 het volgende:
[..]
Zoals gezegd: als het systeem die punten allemaal kan controleren dat is het inherent onveilig omdat de echte wachtwoorden ergens opgeslagen worden. Zeg dat maar tegen je school.
Terwijl dat een stukje combinatoriek is dat een leerling uit 3-vwo ook voor je uit had kunnen rekenen.quote:Op dinsdag 8 augustus 2017 17:46 schreef Bart2002 het volgende:
Eigenlijk zegt het plaatje in post #2 alles. De rest van hoe wij erover denken is op misverstand gebaseerd.
Vooral punt 3 is heel kwalijk. Het mag niet langer zijn dan 13 tekens. Dat is werkelijk nergens op gebaseerd. Zij dachten daar duidelijk: als we maar heel veel regels verzinnen dan is het wachtwoord automagisch veilig. Dat idee klopt niet. Sterker nog: het is volkomen fout. Je moet niet denken als een mens als je de regels bedenkt.quote:Op dinsdag 8 augustus 2017 17:44 schreef Flitskikker het volgende:
[..]
Nu je het zegt; terechte klacht. Gelukkig zit ik er niet meer.
Zeer zeker. Toch wordt er op de afdelingen die het beleid voorschrijven gedacht zoals in het bovenste deel van de strip. Dat is juist zo kwalijk. Je krijgt dan dat soort regels als: max. 13 tekens. Niemand weet waarom...quote:Op dinsdag 8 augustus 2017 17:52 schreef Janneke141 het volgende:
[..]
Terwijl dat een stukje combinatoriek is dat een leerling uit 3-vwo ook voor je uit had kunnen rekenen.
|
Forum Opties | |
---|---|
Forumhop: | |
Hop naar: |