Tag: Wachtwoord

About Wachtwoord

Subscribe Feeds

Houd eens op met die bolletjes in wachtwoordvelden

Geplaatst op in Security, 47 reacties

Dat heb ik me ook al jaren afgevraagd: waarom worden wachtwoorden op websites altijd als bolletjes of sterretjes getoond? Jakob Nielsen heeft er nu onderzoek naar gedaan, en wat blijkt:

Usability suffers when users type in passwords and the only feedback they get is a row of bullets. Typically, masking passwords doesn’t even increase security, but it does cost you business due to login failures.

Het idee achter die sterretjes is dat iemand die op je scherm meekijkt, niet kan meelezen wat je wachtwoord is. Maar hoe vaak komt dat tegenwoordig nog voor? De meeste wachtwoorden worden vandaag de dag gestolen met Trojans en phishingsites, en die kijken gewoon naar wat je intypt en niet naar wat er op het scherm komt te staan. Dus aan de veiligheid draagt het niets bij.

Nielsen doelt met die “login failures” op mensen die niet kunnen zien wat ze intypen en dus vaker fouten maken met hun wachtwoord. Ik vraag me af of dat nog steeds een probleem is. Wie gebruikt er geen password-manager voor websitewachtwoorden?

Overigens: degenen die mijn blog er ouderwets uit vinden zien, kunnen maar beter niet Nielsen’s site bekijken.

Arnoud

Na ontslag wachtwoord blijven gebruiken strafbaar

Geplaatst op in Security, 5 reacties

De rechtbank in Den Haag heeft twee voormalige voorlichters van het ministerie van Sociale Zaken en Werkgelegenheid veroordeeld tot voorwaardelijke taakstraffen van 150 en 100 uur, meldde Nu.nl zaterdag. De twee bleven hun oude wachtwoord van de Geassocieerde Pers Diensten gebruiken om zo vroeg kennis te krijgen van nog ongepubliceerde nieuwsberichten.

Het bewijs was in deze zaak niet zo moeilijk rond te krijgen. De twee liepen tegen de lamp toen ze een verslaggever vroegen om in een artikel een wijziging aan te brengen: het artikel beweerde dat minister Donner gereformeerd was, maar hij is protestant. Dat verbaasde de journalist nogal, want het artikel was nog helemaal niet gepubliceerd op dat moment. Het systeem van GPD blijkt bij te houden wie welk artikel opvraagt, en zo waren de verantwoordelijken snel op te sporen. Er bleek meer dan 800 maal illegaal ingelogd te zijn vanaf een IP-adres van het ministerie van Sociale Zaken (195.109.215.181, zoek maar na).

De zaak doet sterk denken aan de computerinbraak door persbureau Novum, waarbij ook andermans wachtwoord werd gebruikt om in te loggen. Een verschil hier, dat de verdachten zwaar werd aangerekend, was dat zij als ambtenaren op het ministerie werkzaam waren en dus een voorbeeldfunctie hadden.

De verdachten gebruikten in eerste instantie nog hun eigen wachtwoorden, die na hun ontslag nog gewoon bleken te werken. Eigen schuld dus, en geen misdrijf, zo betoogde de advocate. Maar nee, “het behoort vanzelf te spreken, dat men na vertrek bij een werkgever geen kennis meer neemt van of gebruik maakt van vertrouwelijke informatie, ook al kan feitelijk nog toegang tot die gegevens worden verkregen; daar is geen verbod van die werkgever voor nodig.” Daarmee was dat computervredebreuk.

Opmerkelijk was nog dat de journalist die zijn wachtwoord aan zijn ex-collega’s gaf, ook veroordeeld werd: een voorwaardelijke taakstraf van 60 uur voor medeplichtigheid aan de computervredebreuk. Pas dus goed op je wachtwoord!

Arnoud

Het was geheim – mag dat?

Geplaatst op in Security, 23 reacties

Een lezer biecht op:

In een donker duister verleden heb ik mij de toegang verschaft tot een gedeelte van een forum dat met een wachtwoord was beveiligd. De makers hadden aangegeven dat er echt niks interessants stond. En alsof dit nog niet voldoende was om de nieuwsgierigheid bij mij op te wekken was het ook nog eens met een wachtwoord beveiligd. Ik heb daarop tervergeefs een aantal pogingen ondernomen om het wachtwoord te raden. Totdat ik op een gegeven moment bij mezelf dacht “Wat zou het wachtwoord toch zijn? Dat gaan ze natuurlijk niet aan mij vertellen, want dat is geheim”. Als gauw ondervond ik dat ik gelijk had: het wachtwoord was geheim, letterlijk wel te verstaan. Natuurlijk heb ik de beheerders direct op de hoogte gesteld, maar nu vraag ik me af: heb ik door mijn nieuwsgierigheid te bevredigen de wet overtreden?

Het achterhalen van een wachtwoord om daarmee binnen te dringen in een computersysteem dat niet van jou is, is een riskante onderneming. Opzettelijk en wederrechtelijk binnendringen in een computersysteem of netwerk is strafbaar als computervredebreuk.

De vraag is hier wel of er ook echt binnengedrongen is. Alleen maar een gevonden sleutel in het slot omdraaien is nog geen inbreken, en alleen maar een wachtwoord intypen dat werkt, lijkt me ook nog geen computerinbraak. En onze mysterieuze lezer is uit eigen wil gestopt met de poging. Dat heet “vrijwillige terugtred” in het strafrecht. Een poging die je uit jezelf afbreekt, is niet strafbaar (art. 46db Strafrecht).

Aan de andere kant, zodra je het wachtwoord goed intypt, krijg je meteen ook een resultaat te zien. Je wordt ingelogd, je krijgt de beheerspagina voor je neus of wat er dan ook maar moet gebeuren bij de gebruiker wiens wachtwoord je achterhaald hebt. Dus je kunt betogen dat de inbraak voltooid was op het moment dat het wachtwoord geaccepteerd was en de “U bent ingelogd” pagina op het scherm kwam te staan.

Wat denken jullie? Moet dit kunnen zolang je maar niets doet als je het wachtwoord geraden hebt, of hoort deze meneer een SWAT-team door het raam te krijgen?

Arnoud

Amerikaanse verdachte hoeft PGP-decryptiesleutel niet af te geven aan politie

Geplaatst op in Privacy, Regulering, Security, 2 reacties

Een verdachte mag niet worden bevolen zijn PGP-decryptiesleutel of wachtwoord af te geven, bepaalde een een Amerikaanse magistrate judge eind november. Zo’n bevel is in strijd met de Amerikaanse Grondwet. Dat meldt onder andere Planet. In Engeland moesten diezelfde maand een groep Britse dierenactivisten nog hun decryptiesleutels afgeven. En hoe zit dat in Nederland?

Je hoeft niet mee te werken aan je eigen veroordeling. Dat heet het nemo tenetur-beginsel. Dat staat niet expliciet in onze wet, maar wordt wel erkend op grond van artikel 6 EVRM. Op grond van het Saunders-arrest van het Europese Hof geldt dat de verdachte geen verklaringen hoeft af te leggen, maar wel materiaal moet uitleveren dat onafhankelijk van zijn wil bestaat, zoals documenten en bloedmonsters. Als de verdachte in zijn dagboek een bekentenis had geschreven, en de politie vindt deze bij een huiszoeking, dan mag die gewoon worden gebruikt. Ook als het op de PC staat. Maar als de politie het dagboek niet kan vinden, mag de verdachte niet worden bevolen te vertellen waar het ligt.

Een wachtwoord zit ook in je hoofd, en het moeten vertellen is dus een “verklaring afleggen”. Vandaar dat zo’n bevel bij ons niet gegeven mag worden. Dit is expliciet vastgelegd in artikel 125k Wetboek van Strafvordering. Voor getuigen, maar ook voor andere betrokkenen (zoals een systeembeheerder) geldt deze verplichting wel – uiteraard voorzover ze het wachtwoord ook weten.

Kortom, nee, bij ons mag dit niet. Of het in de VS nu echt niet mag, is nog een open vraag. Dit is een beslissing van een magistrate judge, zeg maar een rechter-commissaris. Nog lang geen Supreme Court-arrest dus.

Zeer uitgebreid over nemo tenetur versus afgeven van sleutels is Bert-Jaap Koops, de expert op dit gebied, in Verdachte en ontsleutelplicht: hoe ver reikt nemo tenetur? (PDF). Bij de behandeling in de Tweede Kamer van het wetsvoorstel Computercriminaliteit II verklaarde de minister trouwens expliciet (RTF) dat het nemo tenetur-beginsel verbood om verdachten te bevelen hun wachtwoord af te geven.

Verder nog een heleboel discussie op Bij Tweakers en Slashdot.

Vraagje voor de toekomst: als ik nou geen wachtwoord gebruik maar een biometrische beveiliging op mijn gegevens heb, kan ik dan verplicht worden mijn vinger op de sensor te leggen? Het nemen van een vingerafdruk is namelijk geen inbreuk op nemo tenetur, maar het effect is wel hetzelfde als bevolen worden een wachtwoord af te geven. Aan de andere kant mag de politie ook de sleutelbos uit mijn broekzak halen en daarmee mijn brandkast openmaken.

Arnoud

Uw nieuwe wachtwoord: “gemutileerde zeehond”

Geplaatst op in Iusmentis, Security, 2 reacties

Is dit slim of zie ik iets over het hoofd?

Al die sites die eisen dat je een naam en wachtwoord kiest, zijn eigenlijk heel onveilig. Vrijwel iedereen gebruikt tegenwoordig zijn e-mailadres als gebruikersnaam, en vaak heb je niet eens meer een aparte gebruikersnaam. De veiligheid komt dan volledig te liggen op het wachtwoord. Zo hoort het ook, alleen als mensen zelf wachtwoorden mogen kiezen, kiezen ze vaak hele onveilige.

Nu kwam ik van het weekend dit voorstel tegen: schaf gebruikersnamen af, en verzin voor iedereen die zich registreert, een lange, makkelijk te onthouden maar moeilijk te raden zin (een passphrase):

  • A user should enter only his password. Login is not needed for this scheme. Certainly, a password should be unique for each user.

    • <li>The password is not chosen by user, but generated by the program. There is nothing new here: passwords are often generated by software using secure random number generators.</li>

  • The password is a random sentence. Raskin proposes to put together two random adjectives and one noun from a large dictionary (e.g., about 10 000 words):
    old free papaya
    exclusive malformed seal
    savoury manlike oracle 

    • <li>User can choose to use another type of password. As Raskin says, you can give user a choice from five methods of generating easy-to-remember passwords. I would also add that you can use Koremutake algorithm (passwords like “habakysomagri” or “gafevipromystu”), a random sentence generator (”old free papaya” or “exclusive malformed seal”) and several other generators.</li>

Wel een beetje opletten natuurlijk wat je genereert, want “gemutileerde zeehond” is dan misschien makkelijk te onthouden maar niet voor iedereen een even fijn wachtwoord.

Arnoud

Gamer ontvoerd om wachtwoord

Geplaatst op in Security, nog geen reacties

Een Braziliaanse gamer en topscorer in het spel GunBound is ontvoerd en met een pistool bedreigd om zo zijn wachtwoord te krijgen, meldt Security.NL:

De bende wilde zijn wachtwoord van het online spel GunBound voor 8000 dollar verkopen. De gamer werd door een vriendin van één van de criminelen via Orkut verleid. Tijdens de afspraak met het meisje in een winkelcentrum werd de jongen ontvoerd. Ondanks het feit dat hij vijf uur lang bedreigd werd en al die tijd een pistool tegen zijn hoofd kreeg, weigerde hij zijn wachtwoord af te staan.

BRIGHT meldt nog dat het plan was om het wachtwoord voor 8000 dollar te verkopen.

Arnoud

Utah wil porno via draadloze netwerken verbieden

Geplaatst op in Security, 1 reacties

Meeliften op andermans netwerk is strafbaar als computervredebreuk. Sinds 1 september 2006 ook als daarbij geen beveiliging wordt doorbroken. Computercriminelen zijn zo dus makkelijker aan te pakken.

Maar wat moeten we met de omgekeerde situatie: iemand zet zijn netwerk open, en allerlei onfrisse derden plegen misdrijven via dat netwerk? Moet je strafbaar zijn als je geen wachtwoord instelt? Dan houden nuttige diensten als FON snel op natuurlijk.

In de Amerikaanse staat Utah wordt gepleit voor het volledig verantwoordelijk houden van netwerkbeheerders voor wat er via hun draadloos netwerk gebeurt, zo meldt Security.NL:

“Als je voor een draadloos netwerk kiest, en iedereen maar toestaat om het te gebruiken, dan ben je daar verantwoordelijk voor, en moet je maatregelen nemen om te voorkomen dat minderjarigen van je dienst gebruik maken”, aldus Preston.

Het idee is dat netwerkbeheerders niet zomaar ongecontroleerd iedereen toegang mogen verschaffen, maar of een wachtwoord, of een filter moeten installeren op wat er gedaan kan worden met het netwerk. Ik heb het altijd raar gevonden dat de eis van een beveiliging werd afgeschaft in de Wet Computercriminaliteit, maar ja dat moest van Europa heet het dan. Mij lijkt een wachtwoord dan wel het minste.

Arnoud