SNS

Minder beperkingen aan wachtwoorden

  • 16 augustus 2017
  • 46 Reacties
  • 3568 Keer bekeken

Ik heb zojuist een wachtwoord aangemaakt voor MijnSNS. Na een poging of 10 vond ik eindelijk een wachtwoord dat voldeed aan de eisen. Niet de bedoeling natuurlijk, dat hoort gewoon in 1x te lukken! Als het zoveel moeite kost, ben ik als gebruiker geneigd om dan maar een makkelijk wachtwoord te kiezen.

Ik gebruik een wachtwoordmanager (KeePass) om automatisch lange en moeilijke wachtwoorden te genereren. Ik heb hem ingesteld op 20 tekens met letters, cijfers en speciale tekens. MijnSNS vindt 20 tekens blijkbaar te lang. En ook niet alle speciale tekens worden ondersteund maar slechts een beperkte set.

Moet SNS niet bijblijven op dit gebied? Wachtwoordmanagers zijn op dit moment een van de veiligste manieren om met wachtwoorden om te gaan. Mijn tip: onderzoek het eens en sta veel langere wachtwoorden toe met alle tekens die technisch mogelijk zijn.

46 reacties

Ik zoek de mogelijkheid, om op de PC of Laptop even snel een betaling te doen. Of even snel te checken of een betaling binnengekomen is. Op dezelfde manier als in de app. Dus app starten, pincode intypen en klaar is kees. (Met dezelfde beperkingen als in de app). Is zoiets beschikbaar of komt zoiets beschikbaar? In het verleden werd zoiets gesuggereerd.
Badge +1
Ik zoek de mogelijkheid, om op de PC of Laptop even snel een betaling te doen. Of even snel te checken of een betaling binnengekomen is. Op dezelfde manier als in de app. Dus app starten, pincode intypen en klaar is kees. (Met dezelfde beperkingen als in de app). Is zoiets beschikbaar of komt zoiets beschikbaar? In het verleden werd zoiets gesuggereerd.
Hoi Simon,

Fijn dat je meedenkt 🙂 Ik heb je vraag verplaatst naar het topic waar meer over dit onderwerp is gesproken. Hier vind je het antwoord op je vraag. Via de app is het mogelijk om met je vingerafdruk je saldo te bekijken. Maak je hier gebruik van?
Ik wilde mijn wachtwoord instellen. Moest eerst terug van 64 karakters naar 15 (had ook nog 32 en 20 geprobeerd), daarna had ik een wachtwoord dat niet veilig genoeg zou zijn, ondanks het feit dat het een compleet random gekozen string was. (Extra naar omdat ik mijn lange wachtwoord niet mocht gebruiken) Toen ik er speciale karakters inzette kreeg ik de melding dat de gekozen karakters niet mochten. Eindeloos gedoe omdat er geen duidelijk eisen waren, maar uiteindelijk een onveiliger wachtwoord dat ik zou willen.

Kan het karakterlimiet worden afgeschaft?

Security technisch beter en de enige reden om een maximum aan het aantal karakters te stellen is dat het niet in de database past anders. En als dat het geval is hoor ik het graag, want dan betekent dat met enige zekerheid ook dat jullie de wachtwoorden niet als hash opslaan en dat is een nog veel groter beveiligingsprobleem.

Dit is iets dat in Nederland al eerder in het nieuws is geweest
https://www.rtlnieuws.nl/technieuws/artikel/81911/bedrijven-stop-met-de-maximumlengte-voor-wachtwoorden

Ik raad aan het volgende artikel van Troy Hunt te lezen. Hij is de eigenaar van haveibeenpownd.com en een van de meest vooraanstaande experts op dit gebied in de wereld. https://www.troyhunt.com/passwords-evolved-authentication-guidance-for-the-modern-era/
Badge +2
Goedemorgen EJ386,

Goed om te lezen dat je zorgt voor een veilig wachtwoord en je gegevens op deze manier beveiligt. Je bericht heb ik verplaatst naar een bestaand topic over dit onderwerp. Hierboven in het antwoord van Dennis lees je dat we geen veranderingen aanbrengen in het inlogproces. Natuurlijk houden we wet- en regelgeving in de gaten en zorgen we dat we hieraan voldoen.
Reputatie 3
Badge
En als dat het geval is hoor ik het graag, want dan betekent dat met enige zekerheid ook dat jullie de wachtwoorden niet als hash opslaan en dat is een nog veel groter beveiligingsprobleem.
De focus in dit topic heeft vooral gelegen op het kraken van een account+password aan de voorkant, via een interface naar de SNS omgeving toe. Slaat SNS zijn account en passwords encrypted op (via een hashing algorithme)?

De opmerking van @EJ386 heeft dus meer te maken met de veiligheid van opslag dan met de veiligheid van gebruik. Kan SNS hierop reageren?
Badge +2
Goedemorgen Ferd,

Of we hier iets over kunnen vertellen, dat weet ik niet. Ik vraag bij de specialisten na of en wat we hierover kunnen delen. Als ik een reactie ontvang, dan laat ik dat hier weten.
Security technisch beter en de enige reden om een maximum aan het aantal karakters te stellen is dat het niet in de database past anders. En als dat het geval is hoor ik het graag, want dan betekent dat met enige zekerheid ook dat jullie de wachtwoorden niet als hash opslaan en dat is een nog veel groter beveiligingsprobleem.
Ik kan me ook andere redenen voorstellen: Het voorkomen van buffer-over-runs in de gehele software stack en daarom ook een beperkte tekenset. Ik ga er vanuit dat wachtwoorden gehashed worden opgeslagen. De lengte van een hash is beperkt en er zijn meerdere wachtwoorden die afgebeeld worden op de zelfde hash. Dit maakt een onbeperkte lengte van een wachtwoord ook zinloos.

Wat wel achterhaald is, het stellen aan eisen van een wachtwoord als minimaal één digit, één speciaal teken, één hoofdletter. Dit beperkt de keuze mogelijkheden. Een verbetering is controle op veel voorkomende wachtwoorden; lijsten beschikbaar op internet.

Ook een mooie manier zou zijn om toegang te regelen via IRMA, fijn zonder wachtwoorden.
Hoi allen,

Van de specialisten begrijp ik dat ons wachtwoordenbeleid is gevormd rond de NIST-standaard, waardoor de wachtwoorden met voldoende sterke encryptie worden opgeslagen. Hopelijk begrijpen jullie dat we informatie over dit onderwerp niet delen.
@Dennis,
Dat is goed om te weten. In 2016 is er nog een update geweest. Een paar quotes:
  • Better yet, NIST says you should allow a maximum length of at least 64, so no more “Sorry, your password can’t be longer than 16 characters.”
  • Check new passwords against a dictionary of known-bad choices
  • No composition rules. What this means is, no more rules that force you to use particular characters or combinations, like those daunting conditions on some password reset pages that say, “Your password must contain one lowercase letter, one uppercase letter, one number,...
  • No more expiration without reason.
  • All passwords must be hashed, salted and stretched,
Met een aantal zaken loopt de SNS nog achter, een aantal kunnen we niet controleren zonder inside info. Of dit vertrouwen geeft?
P.S.
Security through obscurity is een slecht idee. Uiteindelijk is er altijd een mol in de organisatie of wordt het op een andere manier bekend.
Het lastige van al die wachtwoord-beperkingen is nog, dat je soms een flink aantal keren de wachtwoordgenerator van de manager aan het werk moet zetten om hem geaccepteerd te krijgen.
Het bijstellen van de minimum-eisen in zo'n manager werkt niet vlekkeloos, omdat iedere wachtwoord-beveiligde website meent zijn eigen eisen te moeten stellen.
Voor de volledigheid; de discussie gaat hier dan wel over wachtwoorden, maar wist je dat je de inlognaam van MijnSNS ook mag aanpassen? Veel internet services gebruiken hiervoor je email adres, of andere naam die je naderhand niet meer kunt veranderen. Persoonlijk vind ik dat een groter manco dan de focus op het wachtwoord zelf.

Als je toch al een password manager gebruikt kan je dus zowel gebruikersnaam als wachtwoord gewoon met random karakters kiezen.
(Waarbij de gebruikersnaam overigens wel een eigen setje restricties kent)
Wat is nu de maximale lengte?
Ik probeer het wachtwoord van mijn digicode aan te passen maar krijg steeds opmerkingen over de lengte. Het zou handig zijn als de maximale lengte er dan ook bijstaat.
En de link met jullie info doet het niet.
Carel
Reputatie 3
Badge
Goedemorgen @el perro, slim dat je je wachtwoord wijzigt en het is logisch dat je wil weten hoe lang je wachtwoord maximaal mag zijn. Hopelijk kun je met onderstaande informatie verder.

Het wachtwoord moet veiligheidshalve aan een aantal eisen voldoen:

Aantal tekens
Je wachtwoord moet uit minimaal 8 tekens en maximaal 16 tekens bestaan.

Soorten tekens
Het nieuwe wachtwoord moet voldoen aan 3 van de volgende 4 eisen:

•Minimaal 1 cijfer
•Minimaal 1 hoofdletter
•Minimaal 1 kleine letter
•Minimaal 1 speciaal teken: !@#$%^&*=~_?:"{}
Niet toegestaan
Speciale tekens die niet hierboven worden genoemd en tekens als ö, á, ', ê, -, ( en ) of tekens die gemaakt worden via een ALT-Nummer combinatie.
Waarom een maximum van 16 tekens? Dat is wel erg ouderwets. Mijn wachtwoord manager kiest veel langere wachtwoorden, dat is heel wat veiliger dan deze regeltjes.
Ik geef toe: moet men wel zo'n manager gebruiken...
Reputatie 3
Badge
Waarom er voor maximaal 16 tekens is gekozen, dat weet ik (nog) niet. Ik heb het uitgezet en zodra ik meer weet, kom ik hier op terug.
Sanne dank voor de reactie het zou fijn zijn als dit ergens op de site te vinden of als boodschap naar voren komt als je het wachtwoord invult.
Daarnaast ben ik het met Koos eens dat internationaal de default 20 posities gebruikt wordt. Van alle leveranciers waar ik op internet zaken mee doe (en dat zijn er heel veel) zijn jullie samen met nog één andere degene die maximaal 16 gebruiken.
Nogmaals dank en ik zal je bericht in mijn admin zetten op de PC.
Groet Carel
Ook die 20 posities vind ik aan de korte kant. 32 zou ik tegenwoordig redelijk vinden, maar dan moet het minimum ook wel omhoog (16?). Voor veel websites zou ik dat niet zo belangrijk vinden, maar voor bankzaken...
Reputatie 3
Badge
@el perro, graag gedaan 🙂 Ook je vraag waarom het op onze site niet te vinden is, heb ik neergelegd bij mijn collega's. Zodra ik meer weet, lezen jullie het.
Hoi Emphyrio,

Welkom op de community. Het is niet de bedoeling je een makkelijk wachtwoord te laten kiezen. Dit vinden we ook niet veilig. We kiezen voor een combinatie van veiligheid én gebruikersgemak. We hebben hierbij de standaarden gehanteerd die het gros van de bedrijven hanteren. Hiervoor is onderzoek geweest. In de regel kunnen mensen geen wachtwoorden van 64 tekens onthouden. Hieronder zet ik de eisen voor het wachtwoord op een rijtje en ik vond een topic uit 2015 over hetzelfde onderwerp.

Aantal tekens
Het wachtwoord moet uit minimaal 8 tekens en maximaal 16 tekens bestaan.

Soorten tekens
Het wachtwoord moet voldoen aan 3 van de volgende 4 eisen:
  • Minimaal 1 cijfer
  • Minimaal 1 hoofdletter
  • Minimaal 1 kleine letter
  • Minimaal 1 speciaal teken: !@#$%^&*=~_?:"{}

Niet toegestaan
Tekens als ö, á, ', ê, -, ( en ) of tekens die gemaakt worden via een ALT-Nummer combinatie. Je krijgt dan de foutmelding dat er ongeldige tekens in het wachtwoord zitten.

Om wegwijs te worden lees je het topic Welkom op de community door. In de Koffiekamer kom je meer te weten over andere leden en stel je jezelf voor.
Ik begrijp niet zo goed waar die eisen toe dienen. Potentiele hackers gaan echt niet met de hand zitten tikken. En geautomatiseerd is de enige toegevoegde waarde van die speciale tekens en cijfers dat er 2 x zoveel mogelijkheden zijn. Dan kun je net zo goed een langer "gewoon" wachtwoord kiezen, dat veel makkelijker te onthouden kan zijn.
Dan kun je net zo goed een langer "gewoon" wachtwoord kiezen, dat veel makkelijker te onthouden kan zijn.
Komt vanzelf, de ontwikkeling is "steeds langer en steeds minder simpel".
De SNS is nogal traag met nieuwe(re) zaken / normen (hebben natuurlijk de veiligheid ook hoog te houden).
Bijzondere tekens maken het "raden" toch moeilijker, dus voor minder mensen "bereikbaar" (op te lossen). 1 (enkele) Teken in iets makkelijks te onthouden, blijft (bijna) makkelijk te onthouden.
Groet,
Ben 🆒
Bijzondere tekens maken het raden niet moeilijker. Het is (bij geautomatiseerde pogingen) helemaal niet relevant of het makkelijk is of niet. Het is gewoon één van de mogelijke tekens. Vandaar de compensatie door een langere reeks te gebruiken.
Onthouden is alleen van belang voor de rechtmatige eigenaar. Een hacker hoeft doorgaans niet te onthouden.
Ik vond het topic uit 2015 waar je aan refereert. De tendens die ik er uit haal: al in 2015 werden er door diverse klanten opmerkingen gemaakt over mogelijkheden om de veiligheid van het inloggen te verbeteren. Uit je reactie maak ik op dat er sinds 2015 geen verbeteringen zijn gedaan aan de inlogfunctionaliteit. Ik vind dat vreemd, verwacht dat een bank voorop loopt als het gaat om beveiligingsontwikkelingen.

Wat me opviel was dat bij jullie ICT-afdeling een zeker wantrouwen lijkt te zijn tegenover wachtwoordmanagers. De algemene opinie lijkt toch te zijn dat een gebruiker beter af is mét dan zonder een wachtwoordmanager. Ondanks het nadeel dat ook zo'n wachtwoordmanager potentieel gehackt kan worden.

Ik wilde slechts de tip meegeven dat jullie je inlogfunctionaliteit blijven verbeteren en niet stil blijven staan zoals nu het geval lijkt.
Ik gebruik een password manager, bij goed gebruik is dit zeker aan te raden, vooral omdat je daardoor niet geneigd bent om overal dezelfde credentials te kiezen.
Persoonlijk vind ik een random password met 16 karakters voldoende. Als je je password manager zo instelt dat je altijd een of meerdere karakters uit de groepen kleine letter,hoofdletter, een cijfer, en speciale tekens kiest, dan gaat het naar mijn ervaring voor 9 van de 10 sites gewoon goed.

Een van de zaken die SNS wél toestaat, (en verder maar weinig andere webdiensten volgens mij), is dat je bij SNS ook je inlognaam zelf kan kiezen en wijzigen. Als je toch een wachtwoordmanager gebruikt, kan je dus voor zowel username als password een random waarde kiezen.

https://www.snsbank.nl/mijnsns/secure/digicode/wijzigGebruikersnaam.html

Dát is wel een stukje toegevoerde waarde, want elders zit je gebonden aan je naam/mailadres/klantnummer oid.
Op die manier heb je feitelijk 48 karakters tot je beschikking, en is je login volledig vrij van personalia. Ik weet echter niet uit mijn hoofd welke karakters we in de loginnaam toestaan, het zijn er max 32, en spaties mogen in elk geval niet.

Doordat je bij een aantal pogingen geblokkeerd wordt, heeft een zeer moeilijk password naar mijn idee geen enorme meerwaarde, bruteforce is immers niet mogelijk. Het hedendaagse gevaar op dit gebied ligt veel meer in de hoek van social engineering.
Bedankt voor je reactie. Ik kan me goed vinden in je opmerkingen. Aanleiding om hier iets over te plaatsen op het forum was mijn ervaring bij het aanmaken van het account: het kostte me veel pogingen om een wachtwoord te laten genereren dat MijnSNS acceptabel vond. En ik zie niet in waarom je zou willen vasthouden aan de beperkingen. Met minder beperkingen, meer lengte en meer speciale karakters, was ik geen kwartier bezig geweest om een account aan te maken. En was er geen zure smaak achter gebleven bij deze eerste ervaring met MijnSNS.

Het ontwerp van het webformulier helpt ook niet mee, omdat je na elke pogingen alle velden weer opnieuw moet invullen (gebruikersnaam, oude wachtwoord, nieuwe wachtwoord 2x).

Maar ik heb gezegd wat ik wilde, zal er nu over ophouden. Ik maak uit de topics en reacties op dat vooral aan klanten wordt uitgelegd waarom de huidige manier goed is, en wat de klant zelf anders kan doen. Ik vind het jammer dat ik niet bespeur dat SNS in beweging zou willen komen om het voor de klant beter te maken.

Reageer