Misbruik wachtwoorden

[willemj]

Ik las zojuist in de nieuwssectie dit artikel.

 

Korte samenvatting: veel mensen gebruiken de zelfde login en wachtwoord voor verschillende diensten. Een medewerker van bol.com heeft hier handig gebruik van gemaakt. Hij probeerde loginnamen van klanten op andere diensten en kreeg toegang tot interessante informatie.

 

Te bizar voor woorden dat de wachtwoorden toegangkelijk zijn voor personeel. Het is niet eens nodig ze op te slaan! Daarnaast hoor je voor iedere dienst een ander wachtwoord te gebruiken. Is te lastig en doe het zelf ook niet. Maar ik heb wel verschillende niveaus van veiligheid voor hergebruik van wachtwoorden. PC's hebben ieder een eigen wachtwoord en sites waar een wachtwoord 'moet' maar waar geen interessante informatie staat hebben een standaard wachtwoord. Met daar tussen in nog wat andere varianten. HL heeft na deze mededeling ook een eigen wachtwoord ;D (Kan als admin overigens geen wachtwoorden zien, zoals het hoort)

 

Ben wel benieuwd of jullie rekening houden met dit soort misbruik en hoe jullie omgaan met je wachtwoorden of de wachtwoorden van je klanten. Gebruiken de hosters onder ons bv. regels voor toegestane wachtwoorden (meer dan 7 karakters en minimaal 1 cijfer o.i.d)

[old account]

Als hoster:

Klanten kunnen alleen voor hun e-mail een wachtwoord 'aangeven', maar meestal laat ik dit door een generator doen. FTP en MySQL wachtwoorden zijn altijd voorzien van enkele cijfers (minimaal 2) en zijn minstens 8 karakters lang. Geen standaard wachtwoorden hier dus. Daarnaast: wachtwoorden sla ik niet op. Is een klant een wachtwoord kwijt dan moet er een nieuw wachtwoord aangemaakt worden.

 

Persoonlijk:

Heb 3 standaard wachtwoorden die ik overal gebruik en soms ook in comninatie (pass1pass2 etc). Wordt me gewoon teveel om overal een ander wachtwoord te hebben.

[R.I.P. - Benm]

Wat er bij bol gebeurd is lijkt me een voorbeeld van niet al te best programmeerwerk. Zeker bij een site van dat formaat zou ik toch denken dat je alleen hashes opslaat en niet de plain passwords.

 

Of regels voor wachtwoorden werken weet ik niet.. als je gaat vragen om hoofdletters en cijfers krijg je al gauw dat mensen de eerste letter een hoofdletter maken en een paar volg-nullen toevoegen om de criteria te halen. Dat zijn vaak wel dingen die goed te gokken zijn voor kwaadwillenden, dus veel nut zal het niet hebben.

 

Persoonlijk hanteer ik een paar wachtwoorden. Een hele simpele voor zaken waarvan het me niet uitmaakt als er iemand mee vandoor gaat, 2 verschillende voor zaken waarbij de gevolgen beperkt blijven, en 2 complexe voor zaken waarbij het serieus mis kan gaan... bijvoorbeeld domain registrars of online banking.

[anna82]

ik deed het in het begin ook zoals jullie (eenvoudige en ingewikkelde wachtwoorden) maar op 'n gegeven moment wist ik niet meer welke ik belangrijk vond en welke niet. ??? nu heb ik een hele rare, verzonnen woord met hoofdletters en cijfers en voeg ik vervolgens specifieke letters doe die met het onderwerp te maken hebben, bv vel (laatste 3 letters van higherlevel). op zo 'n manier kan ik mijn wachtwoorden onthouden en zijn ze niet altijd hetzelfde. :)

[TimPaymans]

ik probeer zoveel mogelijk verschillende en 'veilige' wachtwoorden te gebruiken. ik sla alle combinaties versleuteld op in ewallet. verder heb ik een deel van de hardschijf versleuteld met pgp disk, daar staat de ewallet file en al m'n email en data op. Ewallet is beveiligd met een veilig wachtwoord en pgp disk ook. Dit zijn dus in principe de enige 2 die ik moet onthouden.

 

ik heb geaccepteerd dat ik als ik m'n laptop niet bij me heb ik gewoon niet bij al m'n accounts kan, jammer: mentale hygiëne is ook wat waard.

 

cheers

tim