Back to frontpage
Hét vraag- en antwoordplatform van Nederland

Waarom verplichten bedrijven je om bij online inloggen wachtwoorden op een bepaalde manier te maken?

Ik word daar zo schijt ziek van.
Wachtwoord moet bestaan uit, minimaal 1 hoofdletter, 1 cijfer, 1 kleine letter, 1 leesteken, minimaal 7 tekens maximaal 9.

Hierdoor vergeet ik steeds mijn wachtwoorden.
Ik heb een joekel van een wachtwoord waar alles in zit, maar die mag meestal niet, want die is te lang.

Dan heb ik wat kortere die mogen dan ook weer niet want er zit geen hoofdletter in.

Volgens mij heeft het totaal geen zin om dit te verplichten al heb je een wachtwoord van 1000 verschillende tekens, zo lang mensen slecht met hun wachtwoorden om gaan en hun computers niet fatsoenlijk beschermen zijn ze sowieso kwetsbaar.

Ik heb heel lang het wachtwoord Fleuren34? gehad. Wie moet dat raden?
Ik was toen de tijd verliefd op een vent en dat was zijn achternaam. Iemand die mij niet kent zou dat nooit geweten hebben. Iemand die mij wel kent, moet dan nog bedenken "Goh zou het een hoofdletter hebben, welke cijfers zitten er mogelijk bij, zit er een leesteken bij?" de 34 refereert naar niets en mensen verwachten een ! dus kies ik een ?

Maar die heeft 10 tekens dus mag ik hem regelmatig niet gebruiken.

Dus wat is het doel en waarom verplicht niet iedereen hetzelfde? En gewoon zonder maximaal aantal tekens, een minimaal kan ik begrijpen.

HeerVoldemort
10 jaar geleden
in: Internet
1.3K

Heb je meer informatie nodig om de vraag te beantwoorden? Reageer dan hier.

Het beste antwoord

Het waarom is heel simpel: moeilijke wachtwoorden zijn ook moeilijk te kraken.

Door te eisen dat er meer verschillende soorten karakters in je wachtwoord zitten wordt het aantal mogelijke combinaties van karakters enorm uitgebreid. Dus meer karakters is minderkans op goed gokken.

En "goed gokken" dat kunnen hackers ! Dat doen ze niet zelf, maar dat laten ze een computer doen die simpelweg alle lettercombinaties probeert.

Vanuit het verleden is een gewoonte ontstaan om een wachtwoord van minimaal 8 karakters te hebben. Hoe kleiner je wachtwoord, hoe makkelijker het te onthouden is. Dus de meeste mensen maakten ook wachtwoorden van 8 karakters. Uitgaande van alleen maar letters is een computer met de tegenwoordige techniek in rap tempo door alle mogelijke combinaties heen. Daarom zijn websites af gaan dwingen om ook "vreemde tekens" te gebruiken. Inmiddels is ook dat achterhaald want het blijkt dat een wachtwoord dat simpelweg lang is, veel moeilijker is te kraken dan een korte met veel vreemde tekens.

Daarnaast hebben de beheerders van websites nog technieken die na 3 pogingen het wachtwoord blokkeren, of een pauze inlassen. Dat haalt ook de snelheid uit het willekeurig gokken van wachtwoorden (een techniek die "brute force attack" wordt genoemd)

Tot zover het "waarom"

Nu wat oplossingen:

Mensen vergeten vaak hun wachtwoorden. Als oplossing verzinnen ze dan 1 goed wachtwoord en gebruiken dat overal. Niemand die klaagt en iedereen is tevreden. Vooral ook de hacker, want wanneer die er in slaagt 1x het wachtwoord te achterhalen, dan kan hij met dat wachtwoord overal bij.

De truc is om een klein, maar sterk wachtwoord te verzinnen. Vervang een aantal letters door cijfers of leestekens die er erg op lijken. B.v. een 'A' door een '4' of een 'i' door een '!' of een 'E' door een '3'

Zo wordt 'Bier' b.v. 'B!3r'

Dit wordt je standaard wachtwoord, maar je bent nog niet klaar !

Zet nu voor, of achter je standaard wachtwoord een aantal tekens uit het www-adres van de site b.v. het 1e, het 3e en het 5e en 6e

Je inlognaam op goeievraag.nl wordt dan 'B!3r' + g + e + e + v = 'B!3rgeev'
Je inlognaam op facebook.com wordt dan 'B!3r' + f + c + b + o = 'B!3rfcbo'

Je wachtwoord is overal verschillend, komt in geen enkel woordenboek voor, is sterk én is makkelijk te onthouden/reconstrueren !

Simpel toch ? :-)
(Lees meer...)
Ozewiezewozewiezewallakristallix
10 jaar geleden
HeerVoldemort
10 jaar geleden
misschien is zo iets idd een optie. Ik heb gehoord dat een goed wachtwoord een wachtwoord is met willekeurige tekens, letters en cijfers die met niets in combinatie staan. Dus geen jaartal naam of iets degelijks. Daar heb ik er ook een paar van. Maar zoals net, op een site kon ik weer een nieuwe verzinnen omdat deze vroeg om: 2 hoofdletters 2 kleine letters 2 symbolen en 2 cijfers.
Cryofiel
10 jaar geleden
Je komt ook een eind als je de methode van Ozewiezewozewiezewallakristallix gebruikt, maar voor de laatste vier tekens niet de genoemde tekens gebruikt, maar de toetsen die daar linksboven van zitten, en dan met de Shift ingedrukt. (Met 'linksboven' bedoel ik zoals de Q linksboven de A zit, en de H linksboven de N. Zo zit de 6 linksboven de Y, en als je die 6 intypt terwijl je de Shift ingedrukt houdt krijg je ^.) Het wachtwoord voor goeievraag.nl wordt dan geen 'B!3rgeev', maar 'B!3rT##F'.
Het wachtwoord voor facebook.com wordt dan geen 'B!3rfcbo', maar 'B!3rRDG('. Als je geen toetsenbord gebruikt maar een smartphone, moet je deze methode natuurlijk aanpassen aan het soort toetsenbord dat jouw smartphone jou voorschotelt.
Ozewiezewozewiezewallakristallix
10 jaar geleden
Ja het is een ramp en menig sitebeheerder is doorgeslagen. Ze denken een goede beveiliging te hebben gevonden. En technisch is er wat voor te zeggen, maar in de praktijk zijn dit soort ultra complexe wachtwoorden waardeloos. De beheerder zal merken dat mensen niet meer terugkeren, gaan klagen of erg veer resets van wachtwoorden gaan vragen. Hopelijk komt 'ie dan tot inkeer.
Ozewiezewozewiezewallakristallix
10 jaar geleden
De reaktie hierboven is een reaktie op die van HeerVoldemort :-) @Cryofiel
Jouw suggestie is een mogelijkheid, maar trap je nu niet in dezelfde val door het veel te complex te maken ? Ik vond mijn methode al op het randje door niet gewoon de eerste 4 letters te nemen. Maar dat moest omdat van de suffix "goei" is wel te raden hoe je daar aan gekomen bent ;-)
Cryofiel
10 jaar geleden
Het probleem is dat het onmogelijk is een methode te bedenken die op alle sites werkt. Je mag niet altijd alle tekens gebruiken. Dus soms bijvoorbeeld wel '?' maar niet '#'. Soms zit er een maximum aan de wachtwoordlengte, of aan het aantal speciale tekens. Soms moet je speciale tekens gebruiken, maar mogen die niet aan het begin en/of niet aan het einde van het wachtwoord staan. Enzovoort. Een echte oplossing bestaat op dit moment niet, ben ik bang.
HeerVoldemort
10 jaar geleden
Het is en blijft waardeloos, maar jouw methode klinkt handig. Dus iedereen die nu op mijn GV account wil inloggen...

Andere antwoorden (3)

De gedacht er achter is dat je een wachtwoord dient te kiezen die voldoende sterk is dat het minimaal zo veel uur kost voor een computer om het te raden door alle mogelijkheden uit te testen.

Ook willen bedrijven dat je voor hun andere gebruikersnaam en wachtwoord kiest dan bij de andere bedrijven. Want niet alle bedrijven bewaren hun wachtwoorden even goed, dus via deze omweg dwingen ze je een ander wachtwoord te kiezen.

In het voorbeeld dat je kiest, als het script vertelt word dat mogelijk er een achternaam in het wachtwoord zit, dan gaat deze alle mogelijke combinatie met en van de achternamen en willekeurig tekens proberen.

Waarom maximaal aantal tekens, dit heeft waarschijnlijk te maken met de lengte van het invoerveld en de grote van de opslag capaciteit.
(Lees meer...)
Verwijderde gebruiker
10 jaar geleden
Wachtwoorden moeten uiteraard zo moeilijk mogelijk te raden zijn. Maar dat is maar 1 reden waarom wachtwoorden aan bepaalde eisen moeten voldoen. Hackers zijn in staat om patronen te herkennen. Ook als een wachtwoord versleuteld wordt opgeslagen - wat gek genoeg niet altijd het geval is, in ieder geval niet "versleuteld genoeg" - is een hacker in staat om door middel van het aanleggen van een databank patronen te herkennen, door meerdere wachtwoorden met elkaar te vergelijken.

Het beste wat je kunt doen, is een volstrekt willekeurige tekenreeks te gebruiken en dan eentje per dienst waarvoor je je moet registreren. Lange wachtwoorden hebben geen zin; zo tussen de 12 en 20 tekens is genoeg.

Ik kan je Keepass aanraden. Dit is een wachtwoorddatabank waarin je al je wachtwoorden kunt opslaan en die je tevens helpt om wachtwoorden te genereren. Gebruik voor dit soort zaken nooit wachtwoordmanagers of online diensten; die zijn een stuk onveiliger dan een wachtwoorddatabank.

Ik weet niet welk besturingssysteem je gebruikt, maar Keepass is opensource en - al dan niet via van Keepass afgeleide programma's - beschikbaar voor elk systeem.
(Lees meer...)
Bronnen:
Verwijderde gebruiker
10 jaar geleden
Verwijderde gebruiker
10 jaar geleden
Hoezo lange wachtwoorden hebben geen zin? Hoe langer het wachtwoord hoe langer (en zelfs onmogelijker) een brute-force aanval duurt. De meeste beveiligingsexperts zijn het er over eens dat het veel zinvoller is een zo lang mogelijk wachtwoord te nemen ipv er minstens x aantal vreemde tekens en hoofdletters in te gaan stoppen.
Verwijderde gebruiker
10 jaar geleden
Als jij een wachtwoord hebt bestaande uit 128 tekens met hier en daar een vreemd teken en een hoofdletter, dan kan dat wachtwoord prima achterhaald worden door het te vergelijken met andere wachtwoorden die dezelfde tekenreeksen bevatten. Neem je een volstrekt willekeurige tekenreeks, dan is de kans op het vinden van een match nagenoeg 0. Als men al een methode kiest waarbij werkelijk alle letters, cijfers en leestekens af gaat om wachtwoorden te kraken dan duurt het niet per se langer om langere wachtwoorden te kraken. Leesvoer: https://tinyurl.com/l3gztvk
https://tinyurl.com/ndgmgyy "De meeste beveiligingsexperts zijn het er over eens dat..." Heb je daar een bron voor?
Verwijderde gebruiker
10 jaar geleden
Ik las het ooit in een computertijdschrift. Ik weet niet meer uit het hoofd welke.
Omdat er verschillende manieren zijn om wachtwoorden te kraken.

1 daarvan is een dictionnary attack. Dus wil je wachtwoord op die manier niet te kraken zijn mag het niet in het woordenboek voorkomen. Waarschijnlijk is het daarom verplicht om er ook vreemde tekens in te vermengen. Zoveel woorden uit het woordenboek hebben die niet. Maar eigenlijk is dat principe van die leestekens al achterhaald.

Een andere is een brute force attack en dat is nu diegene waar je je wel tegen wilt beschermen. Dat doe je door je wachtwoord zo lang mogelijk te maken (dan moet daar te lang op gerekend worden, en als het jarenlang gaat duren eer je wachtwoord gekraakt zou kunnen worden zit je in feite safe).

En dan heb je nog eens rainbowtables... tja, dat alles maakt het niet makkelijk voor een webbeheerder om wachtwoorden veilig te houden!

Mijn wachtwoorden bestaan altijd uit minstens negen tekens. En ik gebruik nooit hetzelfde wachtwoord meer dan 1 keer.

Je hebt dan 2 keuzes:

1. ze onthouden (een vast systeem helpt weliswaar)

2. ze opslaan in een (liefst dubbel) versleutelde wachtwoordkluis.

Persoonlijk kies ik zelf voor dat eerste. Je hebt bij dat 2de namelijk het nadeel dat veel van zulke software niet platformonafhankelijk is en als ze wel platformonafhankelijk is werkt ze meestal via de cloud en dat vertrouw ik nu ook niet bepaald. Dus de enige plek die overblijft om wachtwoorden op te slaan is in dat persoonlijk computertje van 12 Watt.

Dus je eigen wachtwoord Fleuren34? had waarschijnlijk nooit gekraakt geweest met een dictionnary attack (aangezien ik veronderstel dat het in geen enkel woordenboek voorkomt) en waarschijnlijk ook niet met een brute force attack. Maar bij een korter wachtwoord had die kans veel groter geweest.

Een belangrijke niet te onderschatten 3de methode om wachtwoorden te achterhalen haal je gedeeltelijk zelf al aan: "Iemand die mij niet kent zou dat nooit geweten hebben."

Maar als iemand die je wel kent kwade bedoelingen heeft kan ie dit soort wachtwoorden wel gaan proberen. En kennen is dan nog een groot woord, mensen zijn een zwakke schakel en daar maken wachtwoordkrakers gebruik van! Dit heet social engineering (tegenwoordig met de hulp van facebook en netlog poepsimpel). Goed, die 34? die achter die naam komt kan men niet achterhalen via social engineering maar het geheel zou wel achterhaald kunnen worden door een combinatie van social engineering en brute force. In feite is het dus niet onmogelijk dat dat wachtwoord te kraken is.
(Lees meer...)
Verwijderde gebruiker
10 jaar geleden

Weet jij het beter..?

Het is niet mogelijk om je eigen vraag te beantwoorden Je mag slechts 1 keer antwoord geven op een vraag Je hebt vandaag al antwoorden gegeven. Morgen mag je opnieuw maximaal antwoorden geven.

0 / 5000
Gekozen afbeelding