SNS

Beantwoord

Maximale wachtwoordsterkte MijnSNS teleurstellend

  • 13 december 2014
  • 25 Reacties
  • 2334 Keer bekeken

Ik moet zeggen dat ik toch een beetje teleurgesteld ben in de beperkingen van het wachtwoord op Mijn SNS (bij ander banken ook trouwens, ik weet dat het bij ING niet veel beter is). Het werd namelijk niet geaccepteerd dat ik een 32 tekens tellend wachtwoord met spaties, brackets, uitroeptekens, procenten, en noem het maar op voor andere speciale karakters wilde gebruiken.

Waarom zijn er dit soort beperkingen op Mijn SNS? Wat maakt het jullie nou uit dat mijn wachtwoord spaties bevat, of 64 tekens lang is, of High ANSI karakters heeft. Het komt als het goed is toch in een database te staan met SHA-512, en hopelijk ook een salt, eroverheen.

Dat er een minimum zit aan je wachtwoord ben ik het helemaal mee eens, maar ik ben wel van mening dat er toch iets gedaan moet worden aan de beveiligings factor als ik niet minstens 64 tekens kan invoeren en daar tussendoor nog chinese, japanse, of arabische karakters kan invoeren als ik daar vrolijk van word.

Mogelijk kan dit naar de devs doorgesluist worden zodat die er wat aan kunnen doen?
icon

Beste antwoord door JoyceH 19 december 2014, 16:22

Hallo WhiteNightFury,

We hebben inmiddels een reactie ontvangen op jouw vraag over de maximale lengte van een wachtwoord.

Vanuit veiligheidsoptiek stellen we eisen aan het wachtwoord, zodat wachtwoorden in ieder geval niet te gemakkelijk te raden/hacken zijn. Daarnaast maken we ook technische keuzes t.b.v. de performance & stabiliteit van ons internetbankieren. Eén van die keuzes is een maximaal aantal karakters dat we toestaan in een wachtwoord. Ook staan we bepaalde karakter(-set)s niet toe.

De impact van deze keuzes op de veiligheid is nihil. Binnen deze mogelijkheden en eisen zijn ruim voldoende mogelijkheden om iedere klant een veilig wachtwoord te laten kiezen.
Bekijk origineel

25 reacties

Reputatie 4
Badge +1
Lengte is idd een belangrijke factor, speciale tekens not so much maar zou inderdaad moeten kunnen
Lengte is idd een belangrijke factor, speciale tekens not so much maar zou inderdaad moeten kunnen


Speciale tekens voegen extra toe aan Brute Force aanvallen. En ik ken de strip van de bijlage: http://xkcd.com/936/.
Helaas gaat dit verhaal niet op met Dictionary Attacks en komt het er uiteindelijk toch op neer dat lengte + karaktermogelijkheden er het beste voor zorgen dat het lang lang duurt voordat een gehasht/versleuteld wachtwoord gekraakt is

Edit:

Ik heb even een voorbeeld rekensommetje gemaakt:
Correct me if I'm wrong, maar als ik me niet vergis was de berekening voor aantal mogelijkheden "karaktersoorten^lengte"

Wanneer je voor een wachtwoord alleen 0-9 a-z A-Z gebruikt (62 verschillende karakters), en je maakt dat wachtwoord 20 tekens lang krijg je:
62^20 = 7,044e35 mogelijkheden

Wanneer je alle zichtbare karakters + spatie van extended ascii toe laat heb je 220 verschillende karakters. Dan zit je met 16 tekens lengte al ruim over je 20 tekens tellende wachtwoord met 62 karakters aan mogelijkheden heen:
220^16 = 3,011e37 mogelijkheden

Sterker nog, wanneer je daar ook 20 tekens lengte gebruikt duurt het ( 220^20 / 62^20 = ) 100.142.822.215 keer langer voordat je alle mogelijkheden ben langsgegaan.
De zwakte van een lang en ingewikkeld paswoord zit er in dat niemand dat uit zijn hoofd intypt, maar daarvoor een paswoord manager of ander systeempje gebruikt. En die systeempjes zijn een zwakkere schakel dan een uit het hoofd getypt eenvoudiger wachtwoord.....
De zwakte van een lang en ingewikkeld paswoord zit er in dat niemand dat uit zijn hoofd intypt, maar daarvoor een paswoord manager of ander systeempje gebruikt. En die systeempjes zijn een zwakkere schakel dan een uit het hoofd getypt eenvoudiger wachtwoord.....


Heeft alleen weinig zin als je tegenwoordig zo ontiegelijk veel accounts hebt op zo ontiegelijk veel websites dat de hele bende toch al in een passwordmanager terecht komt omdat je het allemaal niet kan onthouden.

Ook als je op sommige websites bijna nooit inlogt (ik kom vrij zeldzaam op MijnSNS omdat ik alles via de mobiele app doe) en de boel dan toch wel vergeet is zo'n wachtwoord manager heerlijk.

Lijkt mij dat het je eigen keuze is om die wachtwoorden ergens op te slaan en dat je dat niet op een website kan verhalen. Daarnaast is en blijft 16 tekens vrij weinig, zelfs als ik wachtwoorden zelf verzin en niet laat genereren zit ik al vrij snel over de 16 tekens heen
Ik moet zeggen dat ik toch een beetje teleurgesteld ben in de beperkingen van het wachtwoord op Mijn SNS (bij ander banken ook trouwens, ik weet dat het bij ING niet veel beter is). Het werd namelijk niet geaccepteerd dat ik een 32 tekens tellend wachtwoord met spaties, brackets, uitroeptekens, procenten, en noem het maar op voor andere speciale karakters wilde gebruiken.

Waarom zijn er dit soort beperkingen op Mijn SNS? Wat maakt het jullie nou uit dat mijn wachtwoord spaties bevat, of 64 tekens lang is, of High ANSI karakters heeft. Het komt als het goed is toch in een database te staan met SHA-512, en hopelijk ook een salt, eroverheen.

Dat er een minimum zit aan je wachtwoord ben ik het helemaal mee eens, maar ik ben wel van mening dat er toch iets gedaan moet worden aan de beveiligings factor als ik niet minstens 64 tekens kan invoeren en daar tussendoor nog chinese, japanse, of arabische karakters kan invoeren als ik daar vrolijk van word.

Mogelijk kan dit naar de devs doorgesluist worden zodat die er wat aan kunnen doen?


Hallo WhiteNightFury,

Ik begrijp van je dat je graag een 'lang' wachtwoord wilt gebruiken, welke momenteel niet door Mijn SNS wordt geaccepteerd. Bij de IT-afdeling ga ik voor je navragen waarom deze beperkingen er zijn en of zij er wat aan kunnen veranderen. Je hoort snel van ons.
Wat maakt dit uit wat voor wachtwoord ik gebruik,hou er rekening mee met de mensen die niet zo goed geschoold zijn en oudere ,dus maak het niet zo ingewikkeld.
Hallo Gzinken,

Welkom op SNS Community. Ik begrijp je reactie. Echter is het voor mensen die niet zo goed geschoold zijn en oudere mensen ook belangrijk om een veilig wachtwoord te hebben. Binnenkort kom ik terug met een reactie van de IT-afdeling.

Hopelijk zien we je vaker op de community. Misschien is het leuk om het topic 'Welkom op de community' eens door te lezen. Hier stelt het SNS Team zich voor, kun je jezelf voorstellen en vind je de huisregels.
Hallo WhiteNightFury,

We hebben inmiddels een reactie ontvangen op jouw vraag over de maximale lengte van een wachtwoord.

Vanuit veiligheidsoptiek stellen we eisen aan het wachtwoord, zodat wachtwoorden in ieder geval niet te gemakkelijk te raden/hacken zijn. Daarnaast maken we ook technische keuzes t.b.v. de performance & stabiliteit van ons internetbankieren. Eén van die keuzes is een maximaal aantal karakters dat we toestaan in een wachtwoord. Ook staan we bepaalde karakter(-set)s niet toe.

De impact van deze keuzes op de veiligheid is nihil. Binnen deze mogelijkheden en eisen zijn ruim voldoende mogelijkheden om iedere klant een veilig wachtwoord te laten kiezen.
Badge

Dat er een minimum zit aan je wachtwoord ben ik het helemaal mee eens, maar ik ben wel van mening dat er toch iets gedaan moet worden aan de beveiligings factor als ik niet minstens 64 tekens kan invoeren en daar tussendoor nog chinese, japanse, of arabische karakters kan invoeren als ik daar vrolijk van word.

Theoretisch gezien heb je uiteraard gelijk dat hoe meer karakters hoe meer mogelijkheden er zijn en hoe langer het duurt om het ww te kraken.
Als je vroeg een code had van één positie en dat aren alleen maar cijfers dan waren er 10 mogelijkheden en die probeerde je alle 10 in enkele seconden uit.
Sinds de komst van hele snelle computers en de combinatie met heuristische modellen zijn complexe ww ook heel snel te kraken. De factor tijd is bijna niet meer aanwezig. Je ziet dat al aan de programma's die, soms zelfs gratis, beschikbaar zijn om beveiligde documenten te kraken.

De vraag is nu of je het moet zoeken in een heel sterk ww of in de combinatie met maximaal 3 mogelijkheden en dan wordt de toegang geblokkeerd. Dat laatste is volgens mij een betere oplossing.
Reputatie 3
Badge +1

Dat er een minimum zit aan je wachtwoord ben ik het helemaal mee eens, maar ik ben wel van mening dat er toch iets gedaan moet worden aan de beveiligings factor als ik niet minstens 64 tekens kan invoeren en daar tussendoor nog chinese, japanse, of arabische karakters kan invoeren als ik daar vrolijk van word.

Theoretisch gezien heb je uiteraard gelijk dat hoe meer karakters hoe meer mogelijkheden er zijn en hoe langer het duurt om het ww te kraken.
Als je vroeg een code had van één positie en dat aren alleen maar cijfers dan waren er 10 mogelijkheden en die probeerde je alle 10 in enkele seconden uit.
Sinds de komst van hele snelle computers en de combinatie met heuristische modellen zijn complexe ww ook heel snel te kraken. De factor tijd is bijna niet meer aanwezig. Je ziet dat al aan de programma's die, soms zelfs gratis, beschikbaar zijn om beveiligde documenten te kraken.

De vraag is nu of je het moet zoeken in een heel sterk ww of in de combinatie met maximaal 3 mogelijkheden en dan wordt de toegang geblokkeerd. Dat laatste is volgens mij een betere oplossing.

Via deze link (tabblad 'problemen') kun je zien dat laatstgenoemde opmerking al van toepassing is bij 'Mijn SNS' voor je wachtwoord (digicode). Na 3 mislukte pogingen wordt je wachtwoord tot het einde van de dag geblokkeerd. En de (rechtmatige) gebruiker zal een e-mail krijgen dat zijn wachtwoord is geblokkeerd. Daarmee is een zogenaamde 'brute force' praktisch onmogelijk geworden.
Voorbeeld: stel dat je een pincode van 5 (willekeurige) cijfers zou gebruiken. Het aantal mogelijke cijfercombinaties is dan 10x10x10x10x10=100.000; als een hacker die allemaal uit moet proberen, dan is hij ruim 137 jaar bezig! Gemiddeld genomen zal hij na 50.000 pogingen succes hebben. Dus als je er maximaal 3 per dag kunt proberen, dan duurt het gemiddeld ruim 45 jaar voordat de code is geraden. En dat ook nog eens valt onheroepelijk op (elke dag een e-mail!). 
Nu zijn de eisen aan een wachtwoord (digicode) veel sterker: 8 karakters, waarbij er cijfers, (hoofd)letters en speciale karakters mogelijk zijn. Ieder karakter kent dus niet 10, maar 80 mogelijkheden. Het totaal aantal uit te proberen mogelijkheden is dus theoretisch 80x80x80x80x80x80x80x80 (dus ruim 1.000.000.000.000.000). Met 3 pogingen per dag is het raden ervan zo goed als onmogelijk.
Badge

Via deze link (tabblad 'problemen') kun je zien dat laatstgenoemde opmerking al van toepassing is bij 'Mijn SNS' voor je wachtwoord (digicode).
Vergat ik te melden ik dacht dat dit al vanzelfsprekend was voor een ieder. Dank voor je aanvulling.
Ik moet zeggen dat ik toch een beetje teleurgesteld ben in de beperkingen van het wachtwoord op Mijn SNS (bij ander banken ook trouwens, ik weet dat het bij ING niet veel beter is). Het werd namelijk niet geaccepteerd dat ik een 32 tekens tellend wachtwoord met spaties, brackets, uitroeptekens, procenten, en noem het maar op voor andere speciale karakters wilde gebruiken.

Waarom zijn er dit soort beperkingen op Mijn SNS? Wat maakt het jullie nou uit dat mijn wachtwoord spaties bevat, of 64 tekens lang is, of High ANSI karakters heeft. Het komt als het goed is toch in een database te staan met SHA-512, en hopelijk ook een salt, eroverheen.

Dat er een minimum zit aan je wachtwoord ben ik het helemaal mee eens, maar ik ben wel van mening dat er toch iets gedaan moet worden aan de beveiligings factor als ik niet minstens 64 tekens kan invoeren en daar tussendoor nog chinese, japanse, of arabische karakters kan invoeren als ik daar vrolijk van word.

Mogelijk kan dit naar de devs doorgesluist worden zodat die er wat aan kunnen doen?


Terechte opmerking, ik snap de beperkingen ook niet. De argumentatie die door de SNS wordt aangedragen - "Daarnaast maken we ook technische keuzes t.b.v. de performance & stabiliteit van ons internetbankieren." en "De impact van deze keuzes op de veiligheid is nihil." zijn niet waterdicht. Ik heb zelf ooit gepleit voor de invoering van OTP's (https://forum.snsbank.nl/mijn-sns-snsbank-nl-69/inloggen-digicode-veiligheid-hiervan-8101/) mbv bijvoorbeeld Google Authenticator. Hiermee is de "lengte van mijn password"-discussie meteen obsolete.

Ik kreeg toen ook een wat op mij overkwam als in dikke mist gehuld antwoord. Beetje de modus operandi zoals we deze kennen uit Den Haag helaas, á la gaat u maar rustig slapen beste mensen. 

Niet in dit geval dus, ik bemerk veel expertise en oprechte bezorgdheid in dit forum die steevast weggewuifd c.q. niet serieus genomen wordt. Deze houding van de SNS impliceert wat mij betreft wel, dat SNS volledige verantwoordelijkheid neemt áls het een keer mis gaat ondanks al onze waarschuwingen. Uiteindelijk is dit natuurlijk niet alleen een security-vraagstuk, maar misschien wel meer een kwestie van (eind) verantwoordelijkheid. @SNS, kunnen jullie dat bevestigen?

Dank.

De vraag is nu of je het moet zoeken in een heel sterk ww of in de combinatie met maximaal 3 mogelijkheden en dan wordt de toegang geblokkeerd. Dat laatste is volgens mij een betere oplossing.

Dat laatste wat je noemt DeHond vind ik dus echt niet fijn. Daarna krijg je vaak hele ingewikkelde procedures om je wachtwoord weer erin te zetten. Daarbij komt ik vindt dat gewoon heel gebruikersonvriendelijk...ohw je dacht dat je het goede ww had..probeer het nog maar een x neeh werkt ook niet: 1 laatste kans BLOCK..lijkt mij dan ook dat iemand anders gewoon heel makkelijk je account kan blokeren. Wat "handiger" zou zijn is om misschien je gebruikersnaam én je ww allebei sterk te maken.
Reputatie 3
Badge +1

De vraag is nu of je het moet zoeken in een heel sterk ww of in de combinatie met maximaal 3 mogelijkheden en dan wordt de toegang geblokkeerd. Dat laatste is volgens mij een betere oplossing.

Dat laatste wat je noemt DeHond vind ik dus echt niet fijn. Daarna krijg je vaak hele ingewikkelde procedures om je wachtwoord weer erin te zetten. Daarbij komt ik vindt dat gewoon heel gebruikersonvriendelijk...ohw je dacht dat je het goede ww had..probeer het nog maar een x neeh werkt ook niet: 1 laatste kans BLOCK..lijkt mij dan ook dat iemand anders gewoon heel makkelijk je account kan blokeren. Wat "handiger" zou zijn is om misschien je gebruikersnaam én je ww allebei sterk te maken.

Zoals ik al schreef is de procedure heel eenvoudig: om 0:00 uur wordt de wachtwoordblokkade (na 3 foutieve pogingen) automatisch opgeheven. Simpeler kan bijna niet.

De vraag is nu of je het moet zoeken in een heel sterk ww of in de combinatie met maximaal 3 mogelijkheden en dan wordt de toegang geblokkeerd. Dat laatste is volgens mij een betere oplossing.

Dat laatste wat je noemt DeHond vind ik dus echt niet fijn. Daarna krijg je vaak hele ingewikkelde procedures om je wachtwoord weer erin te zetten. Daarbij komt ik vindt dat gewoon heel gebruikersonvriendelijk...ohw je dacht dat je het goede ww had..probeer het nog maar een x neeh werkt ook niet: 1 laatste kans BLOCK..lijkt mij dan ook dat iemand anders gewoon heel makkelijk je account kan blokeren. Wat "handiger" zou zijn is om misschien je gebruikersnaam én je ww allebei sterk te maken.

Zoals ik al schreef is de procedure heel eenvoudig: om 0:00 uur wordt de wachtwoordblokkade (na 3 foutieve pogingen) automatisch opgeheven. Simpeler kan bijna niet.

..en wat heb ik daar aan als ik er NU in wil?..
Reputatie 3
Badge +1

De vraag is nu of je het moet zoeken in een heel sterk ww of in de combinatie met maximaal 3 mogelijkheden en dan wordt de toegang geblokkeerd. Dat laatste is volgens mij een betere oplossing.

Dat laatste wat je noemt DeHond vind ik dus echt niet fijn. Daarna krijg je vaak hele ingewikkelde procedures om je wachtwoord weer erin te zetten. Daarbij komt ik vindt dat gewoon heel gebruikersonvriendelijk...ohw je dacht dat je het goede ww had..probeer het nog maar een x neeh werkt ook niet: 1 laatste kans BLOCK..lijkt mij dan ook dat iemand anders gewoon heel makkelijk je account kan blokeren. Wat "handiger" zou zijn is om misschien je gebruikersnaam én je ww allebei sterk te maken.

Zoals ik al schreef is de procedure heel eenvoudig: om 0:00 uur wordt de wachtwoordblokkade (na 3 foutieve pogingen) automatisch opgeheven. Simpeler kan bijna niet.

..en wat heb ik daar aan als ik er NU in wil?..

Dan gebruik je gewoon je digipas.

De vraag is nu of je het moet zoeken in een heel sterk ww of in de combinatie met maximaal 3 mogelijkheden en dan wordt de toegang geblokkeerd. Dat laatste is volgens mij een betere oplossing.

Dat laatste wat je noemt DeHond vind ik dus echt niet fijn. Daarna krijg je vaak hele ingewikkelde procedures om je wachtwoord weer erin te zetten. Daarbij komt ik vindt dat gewoon heel gebruikersonvriendelijk...ohw je dacht dat je het goede ww had..probeer het nog maar een x neeh werkt ook niet: 1 laatste kans BLOCK..lijkt mij dan ook dat iemand anders gewoon heel makkelijk je account kan blokeren. Wat "handiger" zou zijn is om misschien je gebruikersnaam én je ww allebei sterk te maken.

Zoals ik al schreef is de procedure heel eenvoudig: om 0:00 uur wordt de wachtwoordblokkade (na 3 foutieve pogingen) automatisch opgeheven. Simpeler kan bijna niet.

..en wat heb ik daar aan als ik er NU in wil?..

Dan gebruik je gewoon je digipas.

Ohwja klopt..stom van mij..inderdaad niks adh dan 🙂
Ik moet zeggen dat ik toch een beetje teleurgesteld ben in de beperkingen van het wachtwoord op Mijn SNS (bij ander banken ook trouwens, ik weet dat het bij ING niet veel beter is). Het werd namelijk niet geaccepteerd dat ik een 32 tekens tellend wachtwoord met spaties, brackets, uitroeptekens, procenten, en noem het maar op voor andere speciale karakters wilde gebruiken.

Waarom zijn er dit soort beperkingen op Mijn SNS? Wat maakt het jullie nou uit dat mijn wachtwoord spaties bevat, of 64 tekens lang is, of High ANSI karakters heeft. Het komt als het goed is toch in een database te staan met SHA-512, en hopelijk ook een salt, eroverheen.

Dat er een minimum zit aan je wachtwoord ben ik het helemaal mee eens, maar ik ben wel van mening dat er toch iets gedaan moet worden aan de beveiligings factor als ik niet minstens 64 tekens kan invoeren en daar tussendoor nog chinese, japanse, of arabische karakters kan invoeren als ik daar vrolijk van word.

Mogelijk kan dit naar de devs doorgesluist worden zodat die er wat aan kunnen doen?


Terechte opmerking, ik snap de beperkingen ook niet. De argumentatie die door de SNS wordt aangedragen - "Daarnaast maken we ook technische keuzes t.b.v. de performance & stabiliteit van ons internetbankieren." en "De impact van deze keuzes op de veiligheid is nihil." zijn niet waterdicht. Ik heb zelf ooit gepleit voor de invoering van OTP's (https://forum.snsbank.nl/mijn-sns-snsbank-nl-69/inloggen-digicode-veiligheid-hiervan-8101/) mbv bijvoorbeeld Google Authenticator. Hiermee is de "lengte van mijn password"-discussie meteen obsolete.

Ik kreeg toen ook een wat op mij overkwam als in dikke mist gehuld antwoord. Beetje de modus operandi zoals we deze kennen uit Den Haag helaas, á la gaat u maar rustig slapen beste mensen. 

Niet in dit geval dus, ik bemerk veel expertise en oprechte bezorgdheid in dit forum die steevast weggewuifd c.q. niet serieus genomen wordt. Deze houding van de SNS impliceert wat mij betreft wel, dat SNS volledige verantwoordelijkheid neemt áls het een keer mis gaat ondanks al onze waarschuwingen. Uiteindelijk is dit natuurlijk niet alleen een security-vraagstuk, maar misschien wel meer een kwestie van (eind) verantwoordelijkheid. @SNS, kunnen jullie dat bevestigen?

Dank.


Hallo Tms5d,

Het is zeker niet onze intentie om de expertise en bezorgdheid in dit forum niet serieus te nemen. Met ons eerdere uitleg proberen we een uitleg te geven over het beveiligingsstandpunt van SNS.
Als ik het nu goed begrijp, wil je van SNS een bevestiging dat SNS verantwoordelijk is, wanneer je wachtwoord 'gehackt' is?

[...]
Als ik het nu goed begrijp, wil je van SNS een bevestiging dat SNS verantwoordelijk is, wanneer je wachtwoord 'gehackt' is?


Dag Othman. Ik bedoel het volgende. SNS kiest in dezen voor een username/password-beleid dat aantoonbaar zwak is. Door bijvoorbeeld te kiezen voor een user/pass in combinatie met een one-time-password (bv Google Autenticator) is de hele discussie over sterke/zwakke wachtwoorden passé.

Echter: SNS kiest er bewust voor om dat niet te doen. Jullie geven aan wegens 'klantvriendelijkheid', maar mijn gevoel zegt me dat dat gewoon een financiële afweging is. Meer veiligheid kost immers óók meer geld qua infrastructuur en programmatuur en SNS maakt een tactisch/strategische afweging in dezen waarbij het zwaartepunt niet bij maximale veiligheid ligt lijkt het.

Daarmee stelt SNS mij voor een voldongen feit, waar ík als klant geen invloed op uit kan oefenen, ondanks mijn (en van anderen) pleidooi om het tóch veiliger te doen. Mijn redenatie is dan als volgt: SNS neemt deze beslissing vóór mij, en is daarmee ook verantwoordelijk voor de mogelijk negatieve gevolgen omdat deze logischerwijs te verwachten zijn bij deze (onverstandige) keuze.

Laatste pleidooi: áls jullie al definitief niet kiezen voor een OTP, geef jullie gebruikers dan wél de optie om een écht lang password te kiezen, en activeer brute-force hack bescherming op jullie inlogpagina mocht dat nog niet gebeurd zijn.

Groet!
Badge

[...]
Als ik het nu goed begrijp, wil je van SNS een bevestiging dat SNS verantwoordelijk is, wanneer je wachtwoord 'gehackt' is?

SNS stelt mij voor een voldongen feit, waar ík als klant geen invloed op uit kan oefenen.
Groet!


Ik mis in deze redenering dat je zelf besloten hebt klant te worden bij deze leverancier waarvan het beleid van de leverancier je bekend is.
Dus je bent zelf verantwoordelijk voor de keuze die je gemaakt hebt.
Zo gaat het nu eenmaal in het leven.

[...]
Als ik het nu goed begrijp, wil je van SNS een bevestiging dat SNS verantwoordelijk is, wanneer je wachtwoord 'gehackt' is?

SNS stelt mij voor een voldongen feit, waar ík als klant geen invloed op uit kan oefenen.
Groet!


Ik mis in deze redenering dat je zelf besloten hebt klant te worden bij deze leverancier waarvan het beleid van de leverancier je bekend is.
Dus je bent zelf verantwoordelijk voor de keuze die je gemaakt hebt.
Zo gaat het nu eenmaal in het leven.


Jouw redenatie loopt spaak, omdat ik al "eeuwen" klant ben, in ieder geval vér voordat deze security-problematiek opportuun was. Daarom verwacht ik van mijn bank, dat deze mij ontzorgt als de omstandigheden wat betreft beveiliging veranderen. Net zoals banken anti-skimming dingetjes zijn gaan plaatsen op de PIN-automaten, ook al was er nog geen risico toen ik besloot klant te worden (even in lijn met jouw redenatie).
Badge

[...]
Als ik het nu goed begrijp, wil je van SNS een bevestiging dat SNS verantwoordelijk is, wanneer je wachtwoord 'gehackt' is?

SNS stelt mij voor een voldongen feit, waar ík als klant geen invloed op uit kan oefenen.
Groet!


Ik mis in deze redenering dat je zelf besloten hebt klant te worden bij deze leverancier waarvan het beleid van de leverancier je bekend is.
Dus je bent zelf verantwoordelijk voor de keuze die je gemaakt hebt.
Zo gaat het nu eenmaal in het leven.


Jouw redenatie loopt spaak, omdat ik al "eeuwen" klant ben, in ieder geval vér voordat deze security-problematiek opportuun was. Daarom verwacht ik van mijn bank, dat deze mij ontzorgt als de omstandigheden wat betreft beveiliging veranderen. Net zoals banken anti-skimming dingetjes zijn gaan plaatsen op de PIN-automaten, ook al was er nog geen risico toen ik besloot klant te worden (even in lijn met jouw redenatie).

Volgens mij hoort het laten ontzorgen bij een andere instelling thuis met een jaarlijks eigen risico van € 375.
HAHA
Maar goed ik ben blij met de huidige situatie.
Over naar een leuker onderwerp. Wat mij betreft over en sluiten.
Hoi Tms5d,

Bedankt voor je uitleg. Ik heb je punten ter beoordeling voorgelegd aan onze specialisten. Zodra ik een antwoord heb, hoor je van me.
Dag Othman. Ik bedoel het volgende. SNS kiest in dezen voor een username/password-beleid dat aantoonbaar zwak is. Door bijvoorbeeld te kiezen voor een user/pass in combinatie met een one-time-password (bv Google Autenticator) is de hele discussie over sterke/zwakke wachtwoorden passé.

Echter: SNS kiest er bewust voor om dat niet te doen. Jullie geven aan wegens 'klantvriendelijkheid', maar mijn gevoel zegt me dat dat gewoon een financiële afweging is. Meer veiligheid kost immers óók meer geld qua infrastructuur en programmatuur en SNS maakt een tactisch/strategische afweging in dezen waarbij het zwaartepunt niet bij maximale veiligheid ligt lijkt het.

Daarmee stelt SNS mij voor een voldongen feit, waar ík als klant geen invloed op uit kan oefenen, ondanks mijn (en van anderen) pleidooi om het tóch veiliger te doen. Mijn redenatie is dan als volgt: SNS neemt deze beslissing vóór mij, en is daarmee ook verantwoordelijk voor de mogelijk negatieve gevolgen omdat deze logischerwijs te verwachten zijn bij deze (onverstandige) keuze.

Laatste pleidooi: áls jullie al definitief niet kiezen voor een OTP, geef jullie gebruikers dan wél de optie om een écht lang password te kiezen, en activeer brute-force hack bescherming op jullie inlogpagina mocht dat nog niet gebeurd zijn.

Groet!


Hallo Tms5d,

We hebben gekozen voor een combinatie van veiligheid én gebruikersgemak. We hebben hierbij de standaarden gehanteerd die het gros van de bedrijven hanteren. Hiervoor is onderzoek geweest. In de regel kunnen mensen geen wachtwoorden van 64 tekens onthouden. Of ze hebben versleutelprogramma’s en dergelijke, die meer risico vormen voor de veiligheid.

Ik kan me voorstellen dat dit niet het gewenste antwoord voor je is. Maar we gaan het maximaal aantal tekens voor wachtwoorden niet verhogen.
Hiervoor is onderzoek geweest. In de regel kunnen mensen geen wachtwoorden van 64 tekens onthouden. Of ze hebben versleutelprogramma’s en dergelijke, die meer risico vormen voor de veiligheid.


Beetje een rare redenatie, mensen (zoals ik) die graag een wachtwoord manager willen gebruiken doen dat toch wel. Mijn MijnSNS wachtwoord heb ik toch lekker in zo'n wachtwoord manager staan, onthouden doe ik het toch niet want ik kom zeer zeldzaam op de website (mobiele app gaat veel makkelijker, hoewel dat ding ook nog vrij stom is af en toe).

Danmaar een willekeurig wachtwoord laten genereren binnen het beperkte aantal tekens dat word opgelegd ipv een goed lange van minstens 32 lang en een dozijn aan leesteken combinaties.

Reageer