Gepubliceerd: Dinsdag 29 december 2009
Twitter hanteert een lijst van 370 wachtwoorden die verboden zijn bij het aanmaken van een account. Securitybedrijf Sophos vindt de lijst te kort.
Toon volledig artikel
Alsof het mij zal boeien als de e.o.a. knurft zijn twitter account laat hacken. Wat zou er kunnen gebeuren? Een hele zwik van die makke schapen op het verkeerde been gezet met valse tweets....
Dan vind ik de Facebook variant serieuzer: iemands FB-account hacken en vervolgens erotisch getinte berichten sturen naar diens vrienden van de andere sexe. Daar breng je iemand pas vet mee in de problemen...
Nou....ik denk als je het twitter account van een politicus hackt (bijvoorbeeld Femke Halsema) en dan allerlei dingen de lucht in slingert die schadelijk kunnen zijn voor de persoon en/of partij, dan zie ik dus wel mogelijkheden.
Gewoon een zin opschrijven/ selecteren uit een verhaal en daar dan op willekeurige plekken een letter uit kiezen, ergens een getal en speciaal teken toevoegen, een aantal letters als hoofdletter invoeren en je hebt snel een sterk password dat niet in de lijst zal komen te staan.
Voorbeeld uit mijn reactie:
wNicr2&Z
Zulke zaken kan je toch niet onthouden.
Dan moet je je wachtwoorden gaan opslaan in je browser en dat is ook niet echt veilig...
Deze vallen ook in de post-it categorie. Mensen gaan ze dan gewoon opschrijven en soms dan zelfs op hun monitor plakken.
Als u een goed systeem heeft waarop de vorming van het wachtwoord gebaseerd is en je het consequent gebruikt dan zou u enkel de hoofdzin neer hoeven te zetten op een post-it.
Wachtwoorden onthouden op een computer of in een programma als LastPass (suggestie fritsbolkys 17:59) vind ik een van de domste dingen die gedaan kan worden. Stel dat u het zeggenschap over de computer verliest (gehackt/ kapot/ gestolen/ et cetera) dan bent u alsnog een gemakkelijk doelwit.
Ik heb zelf een verhaal geschreven waaruit ik een wachtwoord per zin haal voor een applicatie die ik met een wachtwoord heb beveiligd. Omdat ik weet welke regel bij welke applicatie hoort weet ik dus ook het wachtwoord voor de betreffende applicatie.
Wachtwoorden onthouden op een computer of in een programma als LastPass (suggestie fritsbolkys 17:59) vind ik een van de domste dingen die gedaan kan worden.
Dit zijn programma's waarbij je bij een 3rd party of in een browser extentie je passworden beheert. Zelf gebruik ik al jaren KeePass Password Safe naar volle tevredenheid op diverse OS-en en portable. Ik heb een moeilijk masterpassword (20+ characters) dat maandelijks verandert. De rest is ook random en moeilijk, maar zo terug te vinden in de database. Wachtwoorden onthouden is best lastig als je het goed wilt doen. Daarnaast zijn er ook teveel websites. Registeren doe ik ook op 1 account waarvan ik het (zeer moeilijke) wachtwoord weet, mocht ik de database ooit verleizen. De database is vast te hacken, maar ik denk dat weinigen het zullen proberen. ;)
Ik heb zelf een verhaal geschreven waaruit ik een wachtwoord per zin haal voor een applicatie die ik met een wachtwoord heb beveiligd. Omdat ik weet welke regel bij welke applicatie hoort weet ik dus ook het wachtwoord voor de betreffende applicatie.
Jij wil ook per sé hier de clown uithangen, niet? ;-)
Sommigen van ons kunnen dat wel onthouden, ook zonder dat het uit een verhaal komt.
De "truc" met een verhaal of een liedje maakt het wel een stuk makkelijker. Maak b.v. wachtwoorden op basis van songteksten. Neem de eerste letter van de eerste 8 woorden en voeg getallen en/of capitalization toe: voila.
Zelf gebruik ik alleen volledig random wachtwoorden. De 20 meest gebruikte weet ik uit mijn hoofd. Andere (minder belangrijke) zijn opgeslagen in RoboForm. Als mijn RoboForm wachtwoord ooit gehackt wordt is er geen man over boord, de belangrijke wachtwoorden weet ik uit mijn hoofd en staan niet in RoboForm.
Uitgaande van een 'woordenboekwoord' of een naam kun je ook al vrij aardige resultaten bereiken.
Stel, mijn wachtwoord is 'OlieBol'. Ik begin met een paar cijfers 'O1i3Bo1'. Dan wil ik mijn wachtwoord voor verschillende sites gebruiken, zeg hyves en webwereld. Dan kun je de naam van de site inkorten, 'hvs' en 'wwd'. Eventueel hussel je de letters nog wat, zeg 'wwd' wordt 'vvc' (1 letter 'eraf'), of iets ingewikkelder, 1 eraf 1 dezelfde 1 erbij: 'vwe'.
Bij elkaar heb ik dan nu 'vweO1i3Bo1'.
Als laatste kun je nog een leuke cijfercombinatie of tekentje toevoegen, zoals '^10', of de lengte van de domeinnaam van de site etc. 'vweO1i3Bo1^10'
Kortom, je maakt een paar simpele regeltjes waarmee je je wachtwoord kunt herleiden, en toch steeds voor elke site verschillend is. Een wachtwoordzin is dan al veel minder relevant (maar kan, als je het leuk vindt).
Groot praktisch probleem zijn vaak de idiote eisen die aan wachtwoorden worden gesteld: maximaal 8 of 10 karakters (... ja, ze bestaan nog steeds), geen 'rare' tekens zoals '+ * &', minimaal 1 maar maximaal 2 nummers etc. hoewel dat probleem wel langzaamaan kleiner wordt. Of ze sturen je wachtwoord gewoon in plain text over de email ter bevestiging ://
Je kunt ook een vreemd woord uit zeg maar Japanse nemen, en deze in Romeins schrijven, en dan bijvoorbeeld combineren met cijfers ervoor en het woord niet in alleen kleine letters schrijven, maar voeg een hoofdletter toen en een speciaal symbool.
Dat wat die kerel zegt voor iedere site andere paswoord gebruiken is stom, dadelijk gaat je computer kapot, je harde schijf is helemaal kapot en je weet je belangrijkste paswoorden niet meer.
Geweldig kun je e-mail niet lezen omdat je paswoorden niet zelf onthoudt maar overliet aan een programma. Zo heb ik eens ingelogd op een andere computer en toen andere gebruiker wilde terug inloggen wist ze haar paswoord niet, omdat ze die door browser liet onthouden.
Dat wat die kerel zegt voor iedere site andere paswoord gebruiken is stom, dadelijk gaat je computer kapot, je harde schijf is helemaal kapot en je weet je belangrijkste paswoorden niet meer.
Dus als ik uw webwereld wachtwoord weet dan weet ik ook uw wachtwoord voor uw internetbankieren? Dat klinkt heel slim.
Geweldig kun je e-mail niet lezen omdat je paswoorden niet zelf onthoudt maar overliet aan een programma. Zo heb ik eens ingelogd op een andere computer en toen andere gebruiker wilde terug inloggen wist ze haar paswoord niet, omdat ze die door browser liet onthouden.
Deze is echt briljant en zal ik onthouden om te vertellen op de eerste nieuwjaarsborrel.
Nee toevallig gebruik ik voor financieel zaken andere wachtwoorden, webwereld is niet zo belangrijk als financieel zaken. Maar vele mensen registeren ze op vele sites, ik kan me niet voorstellen dat een persoon zoveel paswoorden kan onthouden.
Nee sorry ik vindt niet ideaal 10 verschillende wachtwoorden hebben, ik heb er nu al genoeg, dus voor minder belangrijke sites een wachtwoord of 2 en voor finaciele sites een sterk wachtwoord en je gebruikers naam geheim houden.
Want de gebruikers naam op mijn ing kan niet een naam zijn zoals Pietje, nee das zoiets: 8tyb4hut
Want de gebruikers naam op mijn ing kan niet een naam zijn zoals Pietje, nee das zoiets: 8tyb4hut
Dat kan ik me herinneren van een klant. Na 2 weken vakantie was ik mijn gebruikersnaam vergeten. En dat terwijl ik mijn wachtwoord nog wel wist. :)
Ik zelf gebruik voor elke site een gegenereerd wachtwoord wat ik bijhoudt in een wachtwoordsafe met sterke encryptie. Van die safe maak ik regelmatig backups.
Ik besef dat ik een probleem kan hebben als die backup op straat komt te liggen en het masterpassword wordt gekraakt, maar ik hoop dat ik niet belangrijk genoeg ben om een 16 tekens lang willekeurig wachtwoord te gaan kraken.
Want de gebruikers naam op mijn ing kan niet een naam zijn zoals Pietje, nee das zoiets: 8tyb4hut
Hoe wijzig ik mijn wachtwoord en/of gebruikersnaam (inlogcodes) voor Mijn ING?
U kunt op een makkelijke manier uw gebruikersnaam en/of wachtwoord wijzigen:
Log in op Mijn ING
Ga naar 'Service en instellingen'
Onder ‘Mijn instellingen wijzigen’ kunt u uw wachtwoord en/of uw gebruikersnaam wijzigen.
Er zijn hele boeken te schrijven over hoe je een goed wachtwoord maakt dat óók nog een beetje te onthouden is (in ieder geval op Internet). Verder zijn er sites waar je je wachtwoord op sterkte kunt laten controleren zoals bij Microsoft (ook in het Nederlands) of hier.
Er wordt ook al jaren geroepen dat het wachtwoord passé is. Een goede beveiliging is b.v. gebaseerd op iets wat je hebt en iets wat je weet. Dat is echter lastig voor al die Hyves/twitter/facebook's e.d. zodat het goede oude wachtwoord nog wel ff zal blijven.
Ik vraag me overigens af waarom er in de lijst met wachtwoorden twee dubbele staan. Ik kon er tenminste geen verschil in ontdekken.
Het zou al een verbetering zijn als een wachtwoord uit minimaal een X aantal tekens moet bestaan waarbij er minstens één letter en één cijfer in moet staan. Een hoofletter maakt het nog completer.
Ik gebruik zelf het programma LastPass. Die genereert zelf wachtwoorden en je hoeft ze zelf niet te onthouden. Alleen eentje, om in het programma zelf te komen. En het slaat de gegevens versleuteld op het web op als je dat wilt. Dus je kan overal ter wereld inloggen en surfen.
Lol, ja ik heb eens keer op de hotmail van mijn ex vriendin in gelogd, en raad eens hoe ik dat deed ( gaat je in Linux niet lukken ), ik downloade een programma dat wachtwoorden van instant messengers laat zien.
En hup ik wist het wachtwoord van hotmail, uiteraard verder niks mee gedaan, haar ook niks vertelt, dus zie maar hoe makkelijk je wachtwoord krijg als je toegang heb tot een Windows computer.
Mijn avatar is "toevallig" een hint als het om de wachtwoorden gaat die ik voor bankzaken en overheid sites gebruik.
Bijvoorbeeld. Alleen stond dan ook de naam van het schip er nog eens voor en uiteraard verander ik het wachtwoord geregeld. Wat dat betreft kun je kiezen uit honderden namen en dus honderden ncc nummers. (De meeste wachtwoorden moeten immers ook getallen bevatten) Aangezien ik een fan ben is dit voor mij dus makkelijk te onthouden.
Het is allemaal goed bedoeld, en ik moet toegeven dat ik ook geen alternatieve oplossing heb, maar het 'wachtwoord beleid' van de laatste jaren begint volgens mij een averechtse werking te krijgen. Dat is tenminste wel wat ik zie als ik op ons bedrijf eens om me heen kijk.
Wachtwoorden moeten minstens zoveel karakters hebben, een letter een cijfer en een speciaal teken bevatten en verplicht om de zoveel tijd gewijzigd worden. En zo heeft elke toepassing weer een andere policy. (In ons geval een tiental) Weinigen die hun wachtwoorden nog kunnen onthouden. Ik zie steeds vaker briefjes met wachtwoorden rondslingeren of mensen die hun eigen account niet meer gebruiken maar de hele afdeling die het doet met het account van één werknemer.
Om te kunnen reageren, dient u ingelogd te zijn.
1 jaar geleden: 14 februari 2011
4 jaar geleden: 14 februari 2008
5 jaar geleden: 14 februari 2007
6 jaar geleden: 14 februari 2006
12 jaar geleden: 14 februari 2000
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
