registreren | inloggen
Gebruikersnaam Wachtwoord

DSE wachtwoorden kiezen, help mee om van DSE de veiligste internetplek te maken

Op de servers van DSE hebben veel mensen een account. Bij elk van die accounts hoort een wachtwoord waarmee je toegang tot dat account kan krijgen, een veel gebruikte manier van toegangscontrole, ondanks de beperkingen ervan.

Zoals een aantal gebruikers al gemerkt heeft (bij het vergeten of kwijtraken van hun wachtwoord): de helpdesk en de beheerders van DSE hebben geen toegang tot wachtwoorden en ze worden ook niet als zodanig opgeslagen. Wat wordt opgeslagen is een zogenaamde 'one way hash', oftewel: het resultaat van het loslaten van een moeilijke functie op je wachtwoord. Het resultaat ervan is dat allerlei programma's wel kunnen controleren dat je het goede wachtwoord geeft, zonder dat het wachtwoord zelf opgeslagen wordt of te herleiden is.

De enige manier die overblijft om toch je wachtwoord te bepalen is via de zogenaamde "brute force" methode, oftewel probeer gewoon net zolang wachtwoorden tot je de goede hebt. Deze praktijken beginnen steeds populairder te worden op het boze Internet, omdat een gekaapt account betekent dat je een website hebt waar je spam mail kan versturen, een advertentie pagina kan neerzetten of zelfs criminele activiteiten als verspreiding van kinderporno kan uitvoeren.

Hoewel we allerlei maatregelen nemen om dit soort aanvallen moeilijk of onmogelijk te maken, is de beste verdediging nog altijd het kiezen van goede wachtwoorden. Bij tests die we af en toe uitvoeren, blijkt dat er bij de gebruikers van DSE hier en daar erg makkelijke wachtwoorden gekozen zijn, enerzijds begrijpelijk (niet iedereen kan 8!415lAxg)6-aaGA onthouden) anderzijds wel een probleem om de boven genoemde redenen.

Om aan te geven hoe brute force aanvallers werken, en om hopelijk enig bewustzijn te creeren, zal ik eens wat voorbeelden geven van bijv een gebruiker klaasvaak (die toevallig ook blijkt te bestaan bij DSE, maar goed, daar hebben de voorbeelden niets mee te maken hopelijk):

* klaasvaak (de slechtst mogelijke, gewoon je accountnaam)
* klaas / vaak / kvaak / klaasv / klaas_vaak (delen van je accountnaam, triviale aanpassingen)
* kaavslaak (combinaties met omdraaien van delen/woorden)
* kl44sv44k (a -> 4, e->3, i->1 etc)
* slapen / sleep / wekker (woorden uit standaard woordenboeken, Engels of Nederlands zijn voor een Nederlandse website het meest waarschijnlijk)
* meerdere accounts met hetzelfde (zwakke) wachtwoord

Wat zijn dan wel goede wachtwoorden? Tsja, wachtwoorden die je wel kan onthouden maar die niet (te makkelijk) afgeleid zijn van dingen. Een aantal tips of ideeen is wel te geven, maar ben vooral creatief.

* de beste methode is altijd: een volledig willekeurige combinatie van letters/cijfers/bijzondere tekens. Een wachtwoord als q8TDlXwb gaat niemand raden (gegenereerd met een Random Password Generator op Internet)

* gebruik een zin die je makkelijk kunt onthouden, en gebruik daarvan de eerste of de laatste letters. (voorbeeldje: Now I lay me down to sleep: NIlmdts, dat is al een stuk beter wachtwoord dan 'klaasvaak')

* als je een wachtwoord hebt dat je voor meerdere sites wilt gebruiken, zorg dan dat er iets afhankelijk is van wat je gebruikt. Stel dat je je wachtwoord hierboven wilt gebruiken zowel voor GMail als DSE als Hattrick, dan zou je kunnen zeggen "als eerste letter voeg ik de eerste letter van de dienst toe", en dan krijg je GNIlmdts, DNIlmdts en HNIlmdts, 3 wachtwoorden voor de prijs van 1)

En zo zijn er nog veel meer mogelijkheden te bedenken. Google is your friend!

wachtwoord regelmatig verversen?

Duidelijk verhaal. Nu lees ik op verschillende sites dat het ook raadzaam is je wachtwoord regelmatig te verversen. Hoe staat DSE daar tegenover?
Ik doe het eigenlijk liever niet, want mijn wachtwoorden zijn van het type q8TDlXwb, en ik vind het toch al zo'n crime om die te onthouden....

Dat brengt me op een tweede vraag: om veligheidsredenen sla ik mijn wachtwoorden dus ook niet op. Is dat nuttig, of een beetje overdreven?

Intussen heb ik een briefje onder mijn toetsenbord liggen met wachtwoorden erop... (en dat documentje heb ik uiteraard niet opgeslagen! :-))

Moeilijk wachtwoord

Als je echt zo'n lastig te raden wachtwoord hebt dan zou ik het persoonlijk niet verversen. Als er tenminte niet sociaal naar gehengeld wordt zodat je je verstopte documentje alsnog prijsgeeft :-) Bij de belasting en bankinstellingen wordt je meestal verplicht om je wachtwoord te wijzigen. Ik ben benieuwd of onze DSE-helpdesk deskundigen nog aanvullende opmerkingen hebben.

We worden helaas nog wel eens geconfronteerd met wachtwoorden die zo makkelijk te raden zijn dat accounts gekaapt kunnen worden met al de vervelende consequenties vandien en dan hebben we het nog niet over al het extra werk die onze helpdesk soms moet doen om de zaak weer recht te trekken bij instanties zoals Google en providers.

Als onze onwetende DSE gebruikers eens zouden zien hoe er op home ftp servertjes raad pogingen gedaan worden met woordenboeken en voor de hand liggende combinaties, dan zouden ze hun wachtwoord echt wel wat beter kiezen dan een herhaling van hun eigen account naam!

Een beetje creatieve moeite voor een goed wachtwoord is toch wel het minste wat je kunt doen om al onze gratis faciliteiten te belonen, nietwaar?

sociaal hengelen

"sociaal hengelen"???? Leuk en goed bedacht! Aan die mogelijkheid had ik niet gedacht toen ik mijn bericht plaatste.
Wat je laatste opmerking betreft: zeker mee eens, en bij deze alle hulde aan de vrijwilligers van DSE!!!

Veiligheid voor ons allemaal

Ik ben nog een heel belangrijk argument vergeten!

Het gaat bij een goed wachtwoord niet alleen om je eigen veiligheid maar ook voorkom je dat anderen op jouw gekaapte site terecht komen en vervolgens het risico lopen om allerlei malware als keyloggers trojaansepaarden enz. op hun computer te krijgen die vervolgens dan ook weer overgenomen kan worden.

Dus kies voor een goed wachtwoord en bescherm ons daarmee allemaal!
Help mee om van DSE de veiligste internetplek te maken.
We zijn echt medeverantwoordelijk voor de veiligheid op internet.

Ik vervang met enige regelmaa

Ik vervang met enige regelmaat mijn wachtwoorden en die zijn voornamelijjk van het niveau "ik rammel wat op een toetsenbord en dat is dan een van mijn nieuwe wachtwoorden". Onthouden doe ik ze door ze vaker in te kloppen. Maar ook ik kan ze niet alle tig onthouden.

In mijn geval heb ik een bestandje met al mijn wachtwoorden en dat is versleuteld met een passphrase die ik wel kan onthouden (en die in een kluisje zit voor als er wat met me gebeurt :-) )

Er zijn voor allerlei besturingssystemen oplossingen om wachtwoorden veilig op te slaan. Denk bijv aan PGP, allerlei password vault oplossingen etc.

Voor mijn browser (firefox) heb ik ook een master database met een hele lange passphrase die ik maar 1x per sessie hoef in te kloppen. Voor IE zou ik gebruik kunnen maken van iets dergelijks, beveiligd met fingerprint en een passphrase.

Er zijn best veel mogelijkheden om een gezonde balans te vinden tussen 'veilig' en 'makkelijk'

Suggestie voor DSE

Ik heb ooit op de TUE gewerkt, en daar hadden de systeembeheerders toen een achtergrond proces draaien dat continu probeerde wachtwoorden te raden, bv door woorden uit woordenboeken in vele talen te proberen, maar wellicht ook op andere manieren.

Enkele weken nadat ik mijn eerste wachtwoord daar had aangemaakt, kreeg ik een mailtje van het beheer dat mijn wachtwoord door hen was gekraakt, dat het dus te makkelijk was, en dat ik het moest veranderen. (Bij navraag bleek dat ze het inderdaad hadden.) Toen verzon ik een moeilijker wachtwoord, en ik heb nooit meer zo'n mailtje gehad.

Zo kunnen de onveiligste accounts worden opgespoord. Als het proces met een lage prioriteit draait, werkt het vooral als het systeem het rustig heeft en beinvloedt het de prestaties van de server niet.

Ik dit een idee voor DSE?

Bedankt voor de tip!

We zijn uiteraard al langer met maatregelen bezig. Helaas hebben de vrijwilligers vaak gebrek aan tijd die ze aan DSE kunnen besteden. Wat dat betreft kunnen we nog technische goed programmerende vrijwilligers gebruiken. Ook om bijvoorbeeld de overgang naar WordpressMU te fine tunen waar we al een tijdje mee bezig zijn.

Wat de capacitaire technische (on)mogelijkheden van jouw tip betreft en de resultaten van onze maatregelen, een antwoord daarop laat ik graag aan onze helpdesk en admin vrijwilligers over.

wachtwoord check

Het artikel over zwakke wachtwoorden staat niet helemaal toevallig op de homepage...
We hebben namelijk vandaag zo'n check gedaan en er rolden een aantal zwak beveiligde accounts uit. Deze mensen hebben allemaal een mail gehad met het zeer dringende verzoek een sterker wachtwoord te kiezen.
We zullen die checks vaker doen en zullen dan ook een beetje strenger worden :-)