Minder beperkingen aan wachtwoorden


Toon eerste bericht

39 Reacties

Wellicht een idee om op een computer ook in te kunnen loggen op dezelfde manier als via de app..?
vergemakkelijkt het e.e.a. enorm
Reputatie 1
Makkelijk inloggen betekent doorgaans vermindering van veiligheid. Ik weet niet of je dat ook wilt ?
Hoi Jecep,

Welkom op de community. Goed dat je niet schroomt om je mening over inloggen op Mijn SNS te geven. Je vraag heb ik verplaatst naar een topic waarin verschillende ideeën over inloggen aan bod komen. Voorlopig brengen we geen veranderingen aan in het inloggen. Wel houden we de ontwikkelingen nauwlettend in de gaten. Daarbij kijken we naar de interbancaire afspraken omtrent inloggen op internetbankieren.
Ik zoek de mogelijkheid, om op de PC of Laptop even snel een betaling te doen. Of even snel te checken of een betaling binnengekomen is. Op dezelfde manier als in de app. Dus app starten, pincode intypen en klaar is kees. (Met dezelfde beperkingen als in de app). Is zoiets beschikbaar of komt zoiets beschikbaar? In het verleden werd zoiets gesuggereerd.
SimonT schreef:

Ik zoek de mogelijkheid, om op de PC of Laptop even snel een betaling te doen. Of even snel te checken of een betaling binnengekomen is. Op dezelfde manier als in de app. Dus app starten, pincode intypen en klaar is kees. (Met dezelfde beperkingen als in de app). Is zoiets beschikbaar of komt zoiets beschikbaar? In het verleden werd zoiets gesuggereerd.


Hoi Simon,

Fijn dat je meedenkt :) Ik heb je vraag verplaatst naar het topic waar meer over dit onderwerp is gesproken. Hier vind je het antwoord op je vraag. Via de app is het mogelijk om met je vingerafdruk je saldo te bekijken. Maak je hier gebruik van?
Ik wilde mijn wachtwoord instellen. Moest eerst terug van 64 karakters naar 15 (had ook nog 32 en 20 geprobeerd), daarna had ik een wachtwoord dat niet veilig genoeg zou zijn, ondanks het feit dat het een compleet random gekozen string was. (Extra naar omdat ik mijn lange wachtwoord niet mocht gebruiken) Toen ik er speciale karakters inzette kreeg ik de melding dat de gekozen karakters niet mochten. Eindeloos gedoe omdat er geen duidelijk eisen waren, maar uiteindelijk een onveiliger wachtwoord dat ik zou willen.

Kan het karakterlimiet worden afgeschaft?

Security technisch beter en de enige reden om een maximum aan het aantal karakters te stellen is dat het niet in de database past anders. En als dat het geval is hoor ik het graag, want dan betekent dat met enige zekerheid ook dat jullie de wachtwoorden niet als hash opslaan en dat is een nog veel groter beveiligingsprobleem.

Dit is iets dat in Nederland al eerder in het nieuws is geweest
https://www.rtlnieuws.nl/technieuws/artikel/81911/bedrijven-stop-met-de-maximumlengte-voor-wachtwoorden

Ik raad aan het volgende artikel van Troy Hunt te lezen. Hij is de eigenaar van haveibeenpownd.com en een van de meest vooraanstaande experts op dit gebied in de wereld. https://www.troyhunt.com/passwords-evolved-authentication-guidance-for-the-modern-era/
Goedemorgen EJ386,

Goed om te lezen dat je zorgt voor een veilig wachtwoord en je gegevens op deze manier beveiligt. Je bericht heb ik verplaatst naar een bestaand topic over dit onderwerp. Hierboven in het antwoord van Dennis lees je dat we geen veranderingen aanbrengen in het inlogproces. Natuurlijk houden we wet- en regelgeving in de gaten en zorgen we dat we hieraan voldoen.

En als dat het geval is hoor ik het graag, want dan betekent dat met enige zekerheid ook dat jullie de wachtwoorden niet als hash opslaan en dat is een nog veel groter beveiligingsprobleem.

De focus in dit topic heeft vooral gelegen op het kraken van een account+password aan de voorkant, via een interface naar de SNS omgeving toe. Slaat SNS zijn account en passwords encrypted op (via een hashing algorithme)?

De opmerking van @EJ386 heeft dus meer te maken met de veiligheid van opslag dan met de veiligheid van gebruik. Kan SNS hierop reageren?
Goedemorgen Ferd,

Of we hier iets over kunnen vertellen, dat weet ik niet. Ik vraag bij de specialisten na of en wat we hierover kunnen delen. Als ik een reactie ontvang, dan laat ik dat hier weten.
Reputatie 2
EJ386 schreef:

Security technisch beter en de enige reden om een maximum aan het aantal karakters te stellen is dat het niet in de database past anders. En als dat het geval is hoor ik het graag, want dan betekent dat met enige zekerheid ook dat jullie de wachtwoorden niet als hash opslaan en dat is een nog veel groter beveiligingsprobleem.


Ik kan me ook andere redenen voorstellen: Het voorkomen van buffer-over-runs in de gehele software stack en daarom ook een beperkte tekenset. Ik ga er vanuit dat wachtwoorden gehashed worden opgeslagen. De lengte van een hash is beperkt en er zijn meerdere wachtwoorden die afgebeeld worden op de zelfde hash. Dit maakt een onbeperkte lengte van een wachtwoord ook zinloos.

Wat wel achterhaald is, het stellen aan eisen van een wachtwoord als minimaal één digit, één speciaal teken, één hoofdletter. Dit beperkt de keuze mogelijkheden. Een verbetering is controle op veel voorkomende wachtwoorden; lijsten beschikbaar op internet.

Ook een mooie manier zou zijn om toegang te regelen via IRMA, fijn zonder wachtwoorden.
Hoi allen,

Van de specialisten begrijp ik dat ons wachtwoordenbeleid is gevormd rond de NIST-standaard, waardoor de wachtwoorden met voldoende sterke encryptie worden opgeslagen. Hopelijk begrijpen jullie dat we informatie over dit onderwerp niet delen.
Reputatie 2
@Dennis,
Dat is goed om te weten. In 2016 is er nog een update geweest. Een paar quotes:
  • Better yet, NIST says you should allow a maximum length of at least 64, so no more “Sorry, your password can’t be longer than 16 characters.”
  • Check new passwords against a dictionary of known-bad choices
  • No composition rules. What this means is, no more rules that force you to use particular characters or combinations, like those daunting conditions on some password reset pages that say, “Your password must contain one lowercase letter, one uppercase letter, one number,...
  • No more expiration without reason.
  • All passwords must be hashed, salted and stretched,
Met een aantal zaken loopt de SNS nog achter, een aantal kunnen we niet controleren zonder inside info. Of dit vertrouwen geeft?
P.S.
Security through obscurity is een slecht idee. Uiteindelijk is er altijd een mol in de organisatie of wordt het op een andere manier bekend.
Reputatie 1
Het lastige van al die wachtwoord-beperkingen is nog, dat je soms een flink aantal keren de wachtwoordgenerator van de manager aan het werk moet zetten om hem geaccepteerd te krijgen.
Het bijstellen van de minimum-eisen in zo'n manager werkt niet vlekkeloos, omdat iedere wachtwoord-beveiligde website meent zijn eigen eisen te moeten stellen.
Voor de volledigheid; de discussie gaat hier dan wel over wachtwoorden, maar wist je dat je de inlognaam van MijnSNS ook mag aanpassen? Veel internet services gebruiken hiervoor je email adres, of andere naam die je naderhand niet meer kunt veranderen. Persoonlijk vind ik dat een groter manco dan de focus op het wachtwoord zelf.

Als je toch al een password manager gebruikt kan je dus zowel gebruikersnaam als wachtwoord gewoon met random karakters kiezen.
(Waarbij de gebruikersnaam overigens wel een eigen setje restricties kent)

Reageer

    • :D
    • :?
    • :cool:
    • :S
    • :(
    • :@
    • :$
    • :8
    • :)
    • :P
    • ;)