Minder beperkingen aan wachtwoorden


Ik heb zojuist een wachtwoord aangemaakt voor MijnSNS. Na een poging of 10 vond ik eindelijk een wachtwoord dat voldeed aan de eisen. Niet de bedoeling natuurlijk, dat hoort gewoon in 1x te lukken! Als het zoveel moeite kost, ben ik als gebruiker geneigd om dan maar een makkelijk wachtwoord te kiezen.

Ik gebruik een wachtwoordmanager (KeePass) om automatisch lange en moeilijke wachtwoorden te genereren. Ik heb hem ingesteld op 20 tekens met letters, cijfers en speciale tekens. MijnSNS vindt 20 tekens blijkbaar te lang. En ook niet alle speciale tekens worden ondersteund maar slechts een beperkte set.

Moet SNS niet bijblijven op dit gebied? Wachtwoordmanagers zijn op dit moment een van de veiligste manieren om met wachtwoorden om te gaan. Mijn tip: onderzoek het eens en sta veel langere wachtwoorden toe met alle tekens die technisch mogelijk zijn.

46 Reacties

Hoi Emphyrio,

Welkom op de community. Het is niet de bedoeling je een makkelijk wachtwoord te laten kiezen. Dit vinden we ook niet veilig. We kiezen voor een combinatie van veiligheid én gebruikersgemak. We hebben hierbij de standaarden gehanteerd die het gros van de bedrijven hanteren. Hiervoor is onderzoek geweest. In de regel kunnen mensen geen wachtwoorden van 64 tekens onthouden. Hieronder zet ik de eisen voor het wachtwoord op een rijtje en ik vond een topic uit 2015 over hetzelfde onderwerp.

Aantal tekens
Het wachtwoord moet uit minimaal 8 tekens en maximaal 16 tekens bestaan.

Soorten tekens
Het wachtwoord moet voldoen aan 3 van de volgende 4 eisen:
  • Minimaal 1 cijfer
  • Minimaal 1 hoofdletter
  • Minimaal 1 kleine letter
  • Minimaal 1 speciaal teken: !@#$%^&*=~_?:"{}

Niet toegestaan
Tekens als ö, á, ', ê, -, ( en ) of tekens die gemaakt worden via een ALT-Nummer combinatie. Je krijgt dan de foutmelding dat er ongeldige tekens in het wachtwoord zitten.

Om wegwijs te worden lees je het topic Welkom op de community door. In de Koffiekamer kom je meer te weten over andere leden en stel je jezelf voor.
Reputatie 2
Ik begrijp niet zo goed waar die eisen toe dienen. Potentiele hackers gaan echt niet met de hand zitten tikken. En geautomatiseerd is de enige toegevoegde waarde van die speciale tekens en cijfers dat er 2 x zoveel mogelijkheden zijn. Dan kun je net zo goed een langer "gewoon" wachtwoord kiezen, dat veel makkelijker te onthouden kan zijn.
Reputatie 2
Koos schreef:

Dan kun je net zo goed een langer "gewoon" wachtwoord kiezen, dat veel makkelijker te onthouden kan zijn.


Komt vanzelf, de ontwikkeling is "steeds langer en steeds minder simpel".
De SNS is nogal traag met nieuwe(re) zaken / normen (hebben natuurlijk de veiligheid ook hoog te houden).
Bijzondere tekens maken het "raden" toch moeilijker, dus voor minder mensen "bereikbaar" (op te lossen). 1 (enkele) Teken in iets makkelijks te onthouden, blijft (bijna) makkelijk te onthouden.
Groet,
Ben :cool:
Reputatie 2
Bijzondere tekens maken het raden niet moeilijker. Het is (bij geautomatiseerde pogingen) helemaal niet relevant of het makkelijk is of niet. Het is gewoon één van de mogelijke tekens. Vandaar de compensatie door een langere reeks te gebruiken.
Onthouden is alleen van belang voor de rechtmatige eigenaar. Een hacker hoeft doorgaans niet te onthouden.
Ik vond het topic uit 2015 waar je aan refereert. De tendens die ik er uit haal: al in 2015 werden er door diverse klanten opmerkingen gemaakt over mogelijkheden om de veiligheid van het inloggen te verbeteren. Uit je reactie maak ik op dat er sinds 2015 geen verbeteringen zijn gedaan aan de inlogfunctionaliteit. Ik vind dat vreemd, verwacht dat een bank voorop loopt als het gaat om beveiligingsontwikkelingen.

Wat me opviel was dat bij jullie ICT-afdeling een zeker wantrouwen lijkt te zijn tegenover wachtwoordmanagers. De algemene opinie lijkt toch te zijn dat een gebruiker beter af is mét dan zonder een wachtwoordmanager. Ondanks het nadeel dat ook zo'n wachtwoordmanager potentieel gehackt kan worden.

Ik wilde slechts de tip meegeven dat jullie je inlogfunctionaliteit blijven verbeteren en niet stil blijven staan zoals nu het geval lijkt.
Ik gebruik een password manager, bij goed gebruik is dit zeker aan te raden, vooral omdat je daardoor niet geneigd bent om overal dezelfde credentials te kiezen.
Persoonlijk vind ik een random password met 16 karakters voldoende. Als je je password manager zo instelt dat je altijd een of meerdere karakters uit de groepen kleine letter,hoofdletter, een cijfer, en speciale tekens kiest, dan gaat het naar mijn ervaring voor 9 van de 10 sites gewoon goed.

Een van de zaken die SNS wél toestaat, (en verder maar weinig andere webdiensten volgens mij), is dat je bij SNS ook je inlognaam zelf kan kiezen en wijzigen. Als je toch een wachtwoordmanager gebruikt, kan je dus voor zowel username als password een random waarde kiezen.

https://www.snsbank.nl/mijnsns/secure/digicode/wijzigGebruikersnaam.html

Dát is wel een stukje toegevoerde waarde, want elders zit je gebonden aan je naam/mailadres/klantnummer oid.
Op die manier heb je feitelijk 48 karakters tot je beschikking, en is je login volledig vrij van personalia. Ik weet echter niet uit mijn hoofd welke karakters we in de loginnaam toestaan, het zijn er max 32, en spaties mogen in elk geval niet.

Doordat je bij een aantal pogingen geblokkeerd wordt, heeft een zeer moeilijk password naar mijn idee geen enorme meerwaarde, bruteforce is immers niet mogelijk. Het hedendaagse gevaar op dit gebied ligt veel meer in de hoek van social engineering.
Bedankt voor je reactie. Ik kan me goed vinden in je opmerkingen. Aanleiding om hier iets over te plaatsen op het forum was mijn ervaring bij het aanmaken van het account: het kostte me veel pogingen om een wachtwoord te laten genereren dat MijnSNS acceptabel vond. En ik zie niet in waarom je zou willen vasthouden aan de beperkingen. Met minder beperkingen, meer lengte en meer speciale karakters, was ik geen kwartier bezig geweest om een account aan te maken. En was er geen zure smaak achter gebleven bij deze eerste ervaring met MijnSNS.

Het ontwerp van het webformulier helpt ook niet mee, omdat je na elke pogingen alle velden weer opnieuw moet invullen (gebruikersnaam, oude wachtwoord, nieuwe wachtwoord 2x).

Maar ik heb gezegd wat ik wilde, zal er nu over ophouden. Ik maak uit de topics en reacties op dat vooral aan klanten wordt uitgelegd waarom de huidige manier goed is, en wat de klant zelf anders kan doen. Ik vind het jammer dat ik niet bespeur dat SNS in beweging zou willen komen om het voor de klant beter te maken.
Reputatie 2
Koos schreef:

Bijzondere tekens maken het raden niet moeilijker. Het is (bij geautomatiseerde pogingen) helemaal niet relevant of het makkelijk is of niet. Het is gewoon één van de mogelijke tekens. Vandaar de compensatie door een langere reeks te gebruiken.
Onthouden is alleen van belang voor de rechtmatige eigenaar. Een hacker hoeft doorgaans niet te onthouden.


Volgens mij maakt het het wel degelijk moeilijker, er zijn immers variabelen.
36 of 72 of 154 verschillende tekens is echt meer zoekwerk.
BigBen blijft makkelijker dan Big&Ben :)
Groet,
Ben :cool:
PS Met "raden" bedoelde ik dus "brute force" oftewel het met een computer scannen van de verschillende mogelijkheden / combinaties.
PS2 Door de beperkte keren inlog mogelijkheid, maak je het (bijna) onmogelijk te scannen, je moet immers elke nieuwe combinatie steeds weer testen of het de goede is!
Reputatie 2
BigBen schreef:


PS Met "raden" bedoelde ik dus "brute force" oftewel het met een computer scannen van de verschillende mogelijkheden / combinaties.


Dat bedoelde ik ook. Het kleiner aantal mogelijke tekens per positie kun je compenseren door het grotere aantal posities. Met brute force is Big&Ben makkelijker dan BigBeniseencommunitylidinDuitsland.
Koos schreef:

BigBen schreef:


PS Met "raden" bedoelde ik dus "brute force" oftewel het met een computer scannen van de verschillende mogelijkheden / combinaties.


Dat bedoelde ik ook. Het kleiner aantal mogelijke tekens per positie kun je compenseren door het grotere aantal posities. Met brute force is Big&Ben makkelijker dan BigBeniseencommunitylidinDuitsland.


Laatstgenoemde voorbeeld wachtwoord is vrij snel te hacken met een zogenaamde 'dictionary attack' waarbij de computer gebruik maakt van het feit dat mensen altijd woorden of combinaties daarvan gebruiken om een wachtwoord samen te stellen. Zeker als die woorden een relatie hebben met de betreffende persoon.

Alleen met een wachtwoord waarin ieder karakter random is gekozen, klopt de redenering van Koos dat bij ieder extra teken in het wachtwoord, het hacken ervan met een factor 78 moeilijker wordt (uitgaande van de 78 toegestane karakters in het SNS wachtwoord). Helaas zijn dergelijke random gegenereerde wachtwoorden voor normale mensen praktisch niet te onthouden... :$

PS: het v3rv@ngen v4n lett3rs !n een woord d00r cijfer5 en leesteken$, is voor een goed geprogrammeerde computer makkelijker te raden, dan voor een mens om te onthouden...
Reputatie 2
Ik denk dat het best mogelijk is om een zeer moeilijk wachtwoord te verzinnen dat makkelijk is te onthouden, maar dan kom je in de knoop met andere eisen, zoals banken die na een half jaar weer een nieuw wachtwoord eisen (ING), en natuurlijk dat je niet overal hetzelfde wachtwoord moet gebruiken.
Dan is KeePass toch een stuk makkelijker.
Brute force zou "verminderd" kunnen worden door na drie foutieve inlogpogingen de gebruiker standaard een e-mail te sturen, ip-adres te "onthouden" voor onderzoek en de gebruiker opnieuw te laten inloggen met digicode bijv. Al kan dat misschien problemen opleveren wanneer iemand op vamantie is en dat ding niet meeheeft.
Reputatie 2
Ik vraag mij daarbij wel af of dat ip-adres nog simpel is te achterhalen als er anoniem wordt gewerkt (VPN).
Koos schreef:

Ik vraag mij daarbij wel af of dat ip-adres nog simpel is te achterhalen als er anoniem wordt gewerkt (VPN).


Klopt..dan is dat bijna niet te doen.
Sjaakie93 schreef:

Brute force zou "verminderd" kunnen worden door na drie foutieve inlogpogingen de gebruiker standaard een e-mail te sturen, ip-adres te "onthouden" voor onderzoek en de gebruiker opnieuw te laten inloggen met digicode bijv. Al kan dat misschien problemen opleveren wanneer iemand op vamantie is en dat ding niet meeheeft.



Je zou bijvoorbeeld na 3 keer een timeout kunnen genereren van 10 minuten ofzo terwijl je de gebruiker een waarschuwingsemail stuurt.
Eva van Goor schreef:

Sjaakie93 schreef:

Brute force zou "verminderd" kunnen worden door na drie foutieve inlogpogingen de gebruiker standaard een e-mail te sturen, ip-adres te "onthouden" voor onderzoek en de gebruiker opnieuw te laten inloggen met digicode bijv. Al kan dat misschien problemen opleveren wanneer iemand op vamantie is en dat ding niet meeheeft.



Je zou bijvoorbeeld na 3 keer een timeout kunnen genereren van 10 minuten ofzo terwijl je de gebruiker een waarschuwingsemail stuurt.


Ook een erg goed idee!
Als je het aantal pogingen van een brute-force kunt beperken tot 3, dan is een wachtwoord van 4 cijfers kennelijk ook goed genoeg. Anders zouden we nu geen PIN pas hebben.

Toegegeven: bij een betaalpas is al sprake van 2-factor authenticatie (iets wat je weet en iets wat je hebt), want naast het wachtwoord, moet je natuurlijk ook de beschikking hebben over dat specifieke pasje.
Hoi allemaal,

Voorlopig brengen we geen veranderingen aan in het inloggen. Wel houden we de ontwikkelingen nauwlettend in de gaten. Daarbij kijken we naar de interbancaire afspraken omtrent inloggen op internetbankieren.
Stefan schreef:

Als je het aantal pogingen van een brute-force kunt beperken tot 3, dan is een wachtwoord van 4 cijfers kennelijk ook goed genoeg. Anders zouden we nu geen PIN pas hebben.

Toegegeven: bij een betaalpas is al sprake van 2-factor authenticatie (iets wat je weet en iets wat je hebt), want naast het wachtwoord, moet je natuurlijk ook de beschikking hebben over dat specifieke pasje.


Hoi Stefan..dit gebeurt nu min of meer al bij het pinnen..3x de verkeerde code en je pas wordt toch geblokkeerd of bedoelde je dit niet?

Hoe je de foutieve invoer afhandeld kan gebeuren op verschillende manieren..bij het inloggen in een creditcard omgeving zie je dit ook vaak.
Dennis schreef:

Hoi allemaal,

Voorlopig brengen we geen veranderingen aan in het inloggen. Wel houden we de ontwikkelingen nauwlettend in de gaten. Daarbij kijken we naar de interbancaire afspraken omtrent inloggen op internetbankieren.


Hoi Dennis heb je toevallig een linkje waar ik eens een keer kan kijken naar die interbancaire afspraken?
Deze informatie heb ik niet voorhanden, het is bovendien geen openbare informatie.
Sjaakie93 schreef:

Hoi Stefan..dit gebeurt nu min of meer al bij het pinnen..3x de verkeerde code en je pas wordt toch geblokkeerd of bedoelde je dit niet?

Dat bedoelde ik inderdaad...
Eva van Goor schreef:

Sjaakie93 schreef:

Brute force zou "verminderd" kunnen worden door na drie foutieve inlogpogingen de gebruiker standaard een e-mail te sturen, ip-adres te "onthouden" voor onderzoek en de gebruiker opnieuw te laten inloggen met digicode bijv. Al kan dat misschien problemen opleveren wanneer iemand op vamantie is en dat ding niet meeheeft.



Je zou bijvoorbeeld na 3 keer een timeout kunnen genereren van 10 minuten ofzo terwijl je de gebruiker een waarschuwingsemail stuurt.


Als je 3x een foute combinatie invoert, dan ontvang je een mail dat je digicode tot middernacht is geblokkeerd. Bedoelen jullie dit?

Uw SNS Digicode is geblokkeerd. Dat komt doordat inloggen 3 keer mislukte. Morgen kunt u weer inloggen.

Bent u uw gebruikersnaam en/of wachtwoord kwijt?
Op snsbank.nl/mijnsns vraagt u uw gebruikersnaam op of vraagt u een nieuw wachtwoord aan.
Dennis schreef:

Eva van Goor schreef:

Sjaakie93 schreef:

Brute force zou "verminderd" kunnen worden door na drie foutieve inlogpogingen de gebruiker standaard een e-mail te sturen, ip-adres te "onthouden" voor onderzoek en de gebruiker opnieuw te laten inloggen met digicode bijv. Al kan dat misschien problemen opleveren wanneer iemand op vamantie is en dat ding niet meeheeft.



Je zou bijvoorbeeld na 3 keer een timeout kunnen genereren van 10 minuten ofzo terwijl je de gebruiker een waarschuwingsemail stuurt.


Als je 3x een foute combinatie invoert, dan ontvang je een mail dat je digicode tot middernacht is geblokkeerd. Bedoelen jullie dit?

Uw SNS Digicode is geblokkeerd. Dat komt doordat inloggen 3 keer mislukte. Morgen kunt u weer inloggen.

Bent u uw gebruikersnaam en/of wachtwoord kwijt?
Op snsbank.nl/mijnsns vraagt u uw gebruikersnaam op of vraagt u een nieuw wachtwoord aan.


Ja..klopt..is dat er nu al dan? (Het komt iig aardig in de richting)
Ja, deze functionaliteit ben ik in het verleden al een paar keer tegengekomen. Op het moment zelf was dat vervelend (fout in toetsenbord indeling, waardoor een aantal speciale karakters onder een andere toets zaten dan ik verwachtte...). Vanuit veiligheidsoptiek natuurlijk mooi dat iemand niet zomaar onbeperkt mijn digicode kan "brute-forcen".

Overigens: om deze reden is het goed om een gebruikersnaam te kiezen die niet makkelijk te raden is i.v.m. het risico op een "Denial of Service"; bijvoorbeeld iemand die jou wil pesten door jouw digicode te blokkeren voor een dag.

Reageer

    • :D
    • :?
    • :cool:
    • :S
    • :(
    • :@
    • :$
    • :8
    • :)
    • :P
    • ;)