Tendentieus, ongefundeerd & nodeloos kwetsend

Onveilige wachtwoordsites aan de schandpaal

robocopftw.jpgGrote kans dat uw allerbelangrijkste persoonlijke gegevens slechts beschermd worden door een simpel te kraken wachtwoord. En dan bedoelen we uw bankrekening, uw Facebook/email-combo en uw accountje bij livejasmin. Dat ligt niet altijd aan u, in veel gevallen staat de website simpelweg geen veilig wachtwoord voor. Toch vreemd, dat zelfs banken niet de basisprincipes kennen van wachtwoorden die levenslang veilig zijn online. Bitkabouter Alexander Klǿpping wees ons er echter op dat dit soort bedrijven nu keihard aan de wachtwoordenschandpaal genageld kunnen worden. Topinitiatief. Waarom? Omdat als dit soort Tumblrs voor ophef zorgen, bedrijven wellicht beter gaan nadenken over welke wachtwoordopties zij hun klanten geven. Tip: hoe meer vrijheid, hoe beter. Aangezien wachtwoorden tegenwoordig onze 300 Spartanen zijn tegenover het miljoenenleger van doorgewinterde hackers, is het goed dat dit soort zaken keihard aangekaart worden. Kleine kanttekening: ww-schandpaal linkt naar DigiBewust voor tips over goede wachtwoorden, maar tip 1 is al zo incorrect als wat. Veiligheidsexpert Thomas Baekdal toonde al in 2011 aan dat een zin van drie veelvoorkomende woorden, gescheiden door spaties of leestekens, met de gebruikelijke methoden zeker 3000 jaar niet te kraken is. Hier een FAQ en hier een handige tabel van veilige wachtwoorden. Maar goed, hoe veilig je wachtwoord ook is, middels social hacken (phishing) geven veel Nederlanders alsnog vaak hun reteveilige wachtwoord weg. De zwakste schakel in elk verdedigingssysteem blijft immers de stupiditeit van de gebruiker ervan. Zo. En nu bedrijven met wachtwoordfails aan de schandpaal nagelen!

Reaguursels

Inloggen

@Bakito

Arabische cijfers zijn niet ontstaan in de Arabische wereld, maar in India. De Arabieren leerden de Indische cijfers die later als Arabische cijfers bekend zouden worden dankzij een Indische wiskundige die het paleis van de Abbasieden-kalief bezocht met zijn boek van de kosmologie en wiskunde.

ger123456 | 09-08-13 | 10:56

Idd salt + hash + https en graag een beveiliging tegen automated attacks.

Maar dat maakt allemaal eigenlijk toch geen ruk uit, want de NSA plant wel ff een zero day javascript attack op je favoriete porno site.

siorog | 07-08-13 | 08:49

Dictionary based wachtwoorden zijn altijd kut.

siorog | 07-08-13 | 08:48

@stropdas
\t

de opruier | 07-08-13 | 00:41

Ik wil een wachtwoord met een TAB teken, maar hij springt telkens uit het wachtwoordveld. Met passwd in een linux terminal gaat het prima, maar inloggen in de GUI wil maar niet lukken...

Stropdasje | 06-08-13 | 23:53

@sufkut | 06-08-13 | 16:35
Die link miste ik nu in het stukje zelf

frank87 | 06-08-13 | 20:25

Freddie Stobart | 06-08-13 | 16:56 |

Blijf vooral met uw voeten stampen en briesen als een peuter die niet op zijn duim mag zuigen, misschien dat ik u dan ooit serieus neem, wie weet.

Wc-kip | 06-08-13 | 20:19

Dus mijn GeenStijl wachtwoord kan in 1uur 22 minuten woren gekraakt?
Dus ook dat van Kaas en van Bakito?

Aaarrrghhhhh!

Kapitein Sjaak Mus | 06-08-13 | 19:44

@bezemkast 1919 | 06-08-13 | 19:29
Ja, ik heb er een stuk of 25 ook maar opgeschreven in een dubbelgevouwen dun stukje karton en dan op een onopvallende plaats ergens in het huis verstopt.
Ken ze meestal wel uit het hoofd, maar heeeel soms vergeet je er eentje.

de grote Anti | 06-08-13 | 19:39

Ik heb ondertussen al zoveel wachtwoorden nodig dat ik ze van arren moede maar ben gaan opschrijven. mijn lijst omvat alleen de niet-dagelijkse en is 50+ lang...

bezemkast 1919 | 06-08-13 | 19:29

Gebruik een wachtwoorddingetje zoals lastpass, 1password of iets dergelijks. Onthou een moeilijk wachtwoord samen met multifactor authenticatie. Volgens mij lost dat al een probleem op.

Ingpe | 06-08-13 | 19:00

Kom op, iedereen weet toch:

xkcd.com/936/

Daar hoef je echt geen it-nerd voor te zijn hoor

Lefgozer | 06-08-13 | 18:32

@Canis Spurcus | 06-08-13 | 17:31
Same here, maarja het is niet alsof ik hier bankzaken doe. Bovendien is joris natuurlijk gewoon uberkewl, die gaat je vast niet fucken. Zolang je maar elke week een tray red bull en een krat heineken opstuurt naar GSHQ.

de grote Anti | 06-08-13 | 18:05

Ik raakte mijn ww van GS kwijt en moest een nieuwe aanvragen aan Joris. Dus heb ik nu een door Joris verzonnen (ranzig ww) dat ik bijna dagelijks samen met mijn mailadres zonder versleuteling over het internet slinger. Tnx Joris! 8D

Canis Spurcus | 06-08-13 | 17:31

Peter_K | 06-08-13 | 17:21
inderdaad, of Lastpass.com+Google authenticator op je telefoon.

sko | 06-08-13 | 17:25

Volgens de schandpaal: "PayPal. Maximaal 20 tekens. Tja, het is je geld maar."

Hebben die lui enig verstand van logaritme? Boven de 9 random tekens is het bijna niet te kraken, ook al gooi je er 1000 computers tegen aan, laat staan elke verdubbeling in rekentijd per extra karakter.

arstechnica.com/security/2012/08/passw...

een 20 karakter random password volgens password-checker.online-domain-tools.c...

Parallel GPUs About 56 sextillion years
Medium size botnet About 11 quintillion years

prutser, die Alexander..

sko | 06-08-13 | 17:14

G3h31m w8 w00rd al bijna 15 jaar voor diverse sites. Als er een speciaal teken in moet zet ik er "at" achter.

meneer der meneren | 06-08-13 | 17:14

Verzin zelf een 'code' die je toepast op de naam van de site waarvoor je een wachtwoord nodig hebt. Zo hoef je alleen je code te onthouden en heb je voor elke toepassing een ander lastig wachtwoord die je nergens behalve in je hoofd hoeft op te slaan.

daan3270 | 06-08-13 | 17:00

@ Nee het is een alias | 06-08-13 | 16:56
En waarom zou jij op dat Geenstijl een wachtwoord van 30 tekens willen hebben, zo ongeveer?

Pa Cartwright | 06-08-13 | 16:58

Sorry hoor, maar wat is de Alexander Klöpping toch een droplöl. Ik vind het veel belangrijker om te weten of ze een salt per user genereren en een hash opslaan m.b.v. bcrypt (die gebruikt maar van Blowfish cipher) [1].
.
Als je maximaal 20 karakters kan invoeren, maar ze genereren voor elke gebruiker een random unicode salt van 30 karakters, en ze gebruiken bcrypt, dan is er echt geen probleem hoor.
.
[1] codahale.com/how-to-safely-store-a-pas...

wout nellink | 06-08-13 | 16:57

Die wachtwoorden Tumblr gaat helemaal nergens over zeg... wat een gezeik 'ik mag geen wachtwoord van meer dan 20 tekens'.. Boehoe. Heb me overigens net geregistreerd hier op Geenstijl en een wachtwoord van 30 tekens kan hier dus ook niet. Alleen die feedback krijg je niet; er staat alleen dat het ongeldig is.

Nee het is een alias | 06-08-13 | 16:56

Wc-kip | 06-08-13 | 16:52 | + 0
Oh je bent 12. Dat verklaart veel.

Freddie Stobart | 06-08-13 | 16:56

@ Wc-kip | 06-08-13 | 16:52
Ik denk – wacht, maar daar 'vermoed' van – dat ik jou nóg stommerderder vind dan die Mark Rutte.

Pa Cartwright | 06-08-13 | 16:53

XKCD had dit al eens onder de aandacht gebracht, inclusief de ultieme tip! xkcd.com/936/

djernie | 06-08-13 | 16:53

Pa Cartwright | 06-08-13 | 16:50 |

Geniet nog maar van je denkvrijheid, straks wordt dat onder de junta van Kolonel Marx Rutte ook nog ten strengste VERBOTEN.

Wc-kip | 06-08-13 | 16:52

@ Wc-kip | 06-08-13 | 16:47
Ik denk dat ik jou stom vind.

Pa Cartwright | 06-08-13 | 16:50

Freddie Stobart | 06-08-13 | 16:43 |

Ach, het is toch ook wat hé, reaguursels die u niet aanstaan. Maar dat mag u gewoon vinden. Zodoende hoef ik mij ook niet te verantwoordenvoor mijn reaguursels. Behalve voor de heer von Loghausen en zijn hulpklazen.

Het kan ook helpen om gewoon niet zo'n langetenenhuilie te zijn. Just a thought...

Wc-kip | 06-08-13 | 16:47

@EllaRouvoet Die minnetjes heb je ook niet van mij :)

Arjan | 06-08-13 | 16:47

hysteria | 06-08-13 | 16:28 Tip: gebruik een boek als sleutel.

Kies een woord uit het boek als wachtwoord en schrijf op op welke bladzijde, op welke regel het het hoeveelste woord is.

Vertel niemand welk boek je gebruikte. Kun je voor elke website een andere getallenreeks gebruiken zonder je wachtwoorden kwijt te raken of te vergeten.

zeg maar jansen | 06-08-13 | 16:46

@ che cazzo en @ Arjan dat is vrijwel wat ik zei maar dan als plaatje...

EllaRouvoet | 06-08-13 | 16:45

@ Bakito | 06-08-13 | 16:14 | + -1 -
Eens apengast. Neuken?

OnTopic: "De zwakste schakel in elk verdedigingssysteem blijft immers de stupiditeit van de gebruiker ervan."

Een heel topic geschreven terwijl de essentie in één zin zit. Hoe veilig allerlei instanties het ook willen maken met wachtwoorden als Höckebôckwürstmitbloemkoolaars, als de gebruiker nog steeds ingaat op de phishingmails die, ik geef toe inmiddels in beter Nederlands, men zogenaamd namens de bank rondstuurt, dan heeft het geen nut meer. Mensen zijn nu eenmaal dom in essentie. Als ze bij willen leren doen ze dat. En sommige mensen weigeren wat bij te leren, zeker over het fenomeen "internet".

BeunDeHaas | 06-08-13 | 16:44

Bakito | 06-08-13 | 16:10 De cijfertjes die je minkudotal aangeven zijn Arabische cijfers.

zeg maar jansen | 06-08-13 | 16:43

Wc-kip | 06-08-13 | 16:33 | + -2
Hoe is het mogelijk dat sommigen hier ongeacht het onderwerp binnen één zin op marokkanen uit kunnen komen?
Rustig maar, er komt echt nog wel een mocro-onderwerp voor je straks.
Pisvlek.

Freddie Stobart | 06-08-13 | 16:43

Op www.ismijnwachtwoordwelveilig.nl vraag ik mensen hun wachtwoord achter te laten, met daarbij login URL en username.

Ja hoor zeg ik dan, heel veilig.

ZDEV | 06-08-13 | 16:42

Gewoon niet wachten. Hoef je er géén woorden aan vuil te maken.

pitsteen | 06-08-13 | 16:42

Hahaha. Die facebook template link is echt briljant.
Hier is die nog een keer voor de reaguurders onder ons die nooit de bronartikelen lezen.
www.someecards.com/2011/01/23/a-templa...

Freddie Stobart | 06-08-13 | 16:41

Ik heb geen wachtwoord

CoffeePatch | 06-08-13 | 16:40

Buiten mijn wachtwoord voor GS heb en gebruik ik er geen een op het interwebszzz. So care,....

miko | 06-08-13 | 16:37

EllaRouvoet | 06-08-13 | 16:17: jij hebt gelijk, dan heb je veel meer entropie dat met een woordje.
xkcd.com/936/

sufkut | 06-08-13 | 16:35

Wachtwoorden kraken is net als een cijferslot kraken, goed luisteren en de klikjes verraden dat je goed zit.

Watapatja | 06-08-13 | 16:34

Ik heb ooit voor mijn wachtwoord een greep gedaan uit de woordenschat van een gemiddelde mocro. Maar verder dan ''kankerhoer'' als wachtwoord kwam ik niet.

Wc-kip | 06-08-13 | 16:33

Ik gebruik sterretjes **** . Nog nooit gekraakt.

T-Bone13 | 06-08-13 | 16:33

@brutus68|06-08-13|16:26|+1
LOL. >+

pitsteen | 06-08-13 | 16:33

Een zin van drie veelvoorkomende woorden, gescheiden door spaties?

STEEDS MAAR WEER!

Geenstijlfiguur | 06-08-13 | 16:28

Dus als ik het goed begrijp heb ik voor elke site een ander wachtwoord nodig, bestaand uit niet-samenhangende karakters. En dit mag ik zeker niet opschrijven of online opslaan. En natuurlijk regelmatig alle wachtwoorden veranderen.
Get real!

hysteria | 06-08-13 | 16:28

Ik gebruik als wachtwoorden reaguursels van Bakito en Supermatthijs. Zulke onsamenhangende wartaal is niet te kraken.

brutus68 | 06-08-13 | 16:26

@smoelwerk | 06-08-13 | 16:18
"It would take a desktop PC about 0.0000000025 seconds to crack your password"
Mooi, heb toch niet meer dan mijn privacy te verbergen

TimoteoGrimbundecimo | 06-08-13 | 16:25

Lengte gaat voor (karakter)variatie. Doe minimaal 16, gekozen uit de (circa) 90 tekens die je rechtstreeks vanaf het toetsenbord kunt intypen. Zinnetje is een goed idee, liefst een beetje krom met wat niet-standaard woorden en hier en daar een cijfer in plaats van letter.

Maar goed, tweefactorauthenticatie is nog een beter plan, met een veilige wachtzin als een van de twee factoren.

smoelwerk | 06-08-13 | 16:23

Ik wil u weleens een wachtwoord van 20 tekens zien brute-forcen over een webservice. Zelfs die pincodes van KLM zijn gewoon veilig als ze het aantal pogingen maar beperken.

Blasfemie | 06-08-13 | 16:23

Zo'n Samsonite koffer met cijferslot.... Kreeg ik met geen mogelijkheid open in hotel, cijfercombinatie vergeten. Hotelbaas wist raad, iedereen doet 0000 en gelijk had hij.

Elisabeth2 | 06-08-13 | 16:23

Bedankt GS voor de tip. Zojuist alles omgezet in "this is fun". Sance quotes, natuurlijk.

watergeus | 06-08-13 | 16:22

1-2-3-4-5. That's amazing. I've got the same combination on my luggage.

ViagraFalls | 06-08-13 | 16:22

@che cazzo, uhm..

Arjan | 06-08-13 | 16:21

Ik gebruik altijd w8woord. Dat kraakt niemand.... oh w8

Sketcher | 06-08-13 | 16:19

1234

jankerd | 06-08-13 | 16:19

Mijn favoriet: howsecureismypassword.net/ En ja, uiteraard zijn wachtwoordcheckers *ook* geschikt als wachtwoordvangers.

smoelwerk | 06-08-13 | 16:18

Kaas de Vies | 06-08-13 | 16:16 | + 1 -
Wat heb jij toch met de koran?

Bakito | 06-08-13 | 16:18

This is fun FTW

Earl Hickey | 06-08-13 | 16:18

Bij ABN-AMRO heb je geen wachtwoord. Gewoon veilig systeem via je pincode. Maar, valt ook te hacken natuurlijk. Ik ga maar stil in een hoekje het einde van de wereld afwachten van hoe het eens was.

Elisabeth2 | 06-08-13 | 16:17

Het beste wachtwoord is een lange zin zonder spaties. Makkelijk te onthouden, moeilijk te kraken. Een wachtwoord met hoofdletters, kleine letters en speciale tekens van 8 karakters hebben de nerds net zo snel gekraakt als een wachtwoord van een standaard woord uit het woordenboek.

EllaRouvoet | 06-08-13 | 16:17

@Bakito | 06-08-13 | 16:14 | + -1 -
Ik stuur je wel een Nederlandse versie van de Koran op, kunnen we allebei als je het hebt gelezen lachen om jouw opmerking.

Kaas de Vies | 06-08-13 | 16:16

En waar precies kan je op GS secure inloggen, je account beheren, je wachtwoord wijzigen?

ZDEV | 06-08-13 | 16:14

Kaas de Vies | 06-08-13 | 16:12 | + -1 -
Make love, no war.

Bakito | 06-08-13 | 16:14

Ik gebruikt tegenwoordig Chinese tekens.

1teen | 06-08-13 | 16:13

@Bakito | 06-08-13 | 16:10 | + 0 -
Neen, je bent in de war met geduld, dat wij allemaal hebben met de arabieren.

Kaas de Vies | 06-08-13 | 16:12

@Bakito | 06-08-13 | 16:10
Zeg je nu dat Arabieren van nature niet te vertrouwen zijn?

Dömper | 06-08-13 | 16:11

@Kaas de Vies | 06-08-13 | 16:10
mijn wachtwoord is kaasdevies

ZDEV | 06-08-13 | 16:11

Dus... die aardige Nigeriaanse man die net belde was niet van de bank?

ZDEV | 06-08-13 | 16:11

Het wachtwoord is een Arabische uitvinding, even ter informatie.

Bakito | 06-08-13 | 16:10

Wanneer gaat geenstijl over op https? Het is namelijk de enige site waarover ik mijn ultrageheime wachtwoord "qwerty01" over doorzend en ik vertrouw die loghausen van jullie voor geen bit.

Kaas de Vies | 06-08-13 | 16:10

REAGEER OOK

bespaartips: Energie vergelijken | Autoverzekering vergelijken | Zorgverzekering vergelijken