Veilig wachtwoord gebruik

[Old Satterhand]

37 minuten geleden, Michel zei:

Dat hoeft dus niet eens. Cijfers, kleine, grote letters met een minimale lengte is voldoende.

 

Gisteren dus nog niet, vandaag wel.

Bedankt voor de medewerking.

[Michel]

Er is van gisteren op vandaag niets veranderd.

[Old Satterhand]

4 minuten geleden, Michel zei:

Er is van gisteren op vandaag niets veranderd.

 

Voor jou niet, voor mij wel.

Hetzelfde password werd nu wel als sterk beoordeeld.

[Henk Puister]

Als brute-force kraken het probleem is, dan is het heel simpel om na elke inlog poging minimaal een seconde te wachten. Je kunt het inloggen ook in delen doen, eerst het account, wacht halve seconde, dan pas het wachtwoord, wacht halve seconde, controleer, wacht halve seconde, en ga dan of verder of terug.

Om de veiligheid van je wachtwoord te testen: https://www.grc.com/haystack.htm .

[Michel]

Dat doen we allemaal al en het komt ook nauwelijks meer voor.

 

Waar me nu nog heel af en toe last van hebben zijn hele oude accounts met een idioot simpel wachtwoord en mensen die zijn gepowned en overal hetzelfde wachtwoord gebruiken. Met dat buitgemaakte wachtwoord wordt hier met één direct succesvolle poging ingelogd en direct spam geplaatst.

 

Daar is niets tegen te doen, behalve 2FA

[Henk Puister]

6 minutes ago, Michel said:

Waar me nu nog heel af en toe last van hebben zijn hele oude accounts met een idioot simpel wachtwoord en mensen die zijn gepowned en overal hetzelfde wachtwoord gebruiken. Met dat buitgemaakte wachtwoord wordt hier met één direct succesvolle poging ingelogd en direct spam geplaatst.

 

Daar is niets tegen te doen, behalve 2FA

 

Of accounts gewoon locken.

Trouwens, inloggen duurt nog geen halve seconde.

[Michel]

Probeer maar eens 5x achter elkaar in te loggen met een VERKEERD wachtwoord

 

We zouden alle accounts kunnen forceren een nieuw wachtwoord in te stellen. Lekker vriendelijk voor de leden die hun zaakjes wel voor elkaar hebben dan dan nog voorkom je niet dat mensen overal hetzelfde wachtwoord gebruiken.

 

Wat je bedoeld met 'of accounts gewoon locken'  is mij volstrekt onduidelijk.

 

Ik denk dat we al alles hebben gedaan dat mogelijk is zonder er leden onnodig mee te belasten of de goeden onder de kwaden te laten lijden.

[Mojo]

22 minuten geleden, Michel zei:

Wat je bedoeld met 'of accounts gewoon locken'  is mij volstrekt onduidelijk.

Ik denk dat hij blokkeren bedoeld. Dat is op zich niet vreemd om inactieve accounts te blokkeren na een bepaalde periode.

Een optie is om niet actieve leden een email te sturen met de vraag of ze deze nog willen behouden.

De vraag is waar je de grens legt en of je leden die ooit gepost hebben daarin meeneemt.

4 februari 2023 aangepast door Mojo

[Michel]

Dat heeft niet zo veel zin. Dan kan je een account net zo goed verwijderen, de vraag is alleen hoe klantvriendelijk dat is.

 

Je voorkomt er overigens de overlast die wij zo af en toe ondervinden niet mee. Daar is toch echt de gebruiker zelf de zwakste schakel want die gebruiken onveilige wachtwoorden (en vaak hetzelfde wachtwoord overal).

 

Nu forceren we een wachtwoord dat minimaal als 'sterk' gekwalificeerd wordt en na wat zeuren bij de makers van de forum software kunnen we nu ook accounts die langer dan xx-dagen niet ingelogd hebben forceren hun wachtwoord te wijzigen. Dat alles helpt natuurlijk niet tegen het gebruik van hetzelfde (sterke) wachtwoord op meerdere sites, want als een ANDERE site dan gehackt wordt, ligt je wachtwoord mogelijk alsnog op straat en wordt daarmee hier gewoon ingelogd en spam geplaatst.

 

Het enige AVG/GDPR onvriendelijke van deze forum-software is dat de makers niet voorzien in een functie waarmee de gebruiker zelf zijn account kan verwijderen, dus dat doen we nu handmatig als leden er om vragen.

[Henk Puister]

Ik heb in eerste instantie alleen op het brute-force kraken gereageerd. Over het overal gebruiken van hetzelfde account en wachtwoord, daar is inderdaad niet veel tegen te doen, behalve wat je nu al doet. Ik gebruik zelfs over een andere account en wachtwoord (of zoveel mogelijk). Dus als op 1 site mijn account gekraakt is, heb je er verder niets aan bij andere sites.

En "Probeer maar eens 5x achter elkaar in te loggen met een VERKEERD wachtwoord" dat zou naar mijn mening minimaal 5x 3 seconden per poging moeten duren. Ook 1 poging, zoals je normaal als gebruiker doet, zou minimaal 3 seconden moeten duren. Nu is het een halve seconden. Dit alles uiteraard met brute-force kraken in het achterhoofd.

NB. en inderdaard locken = blokkeren zoals Mojo ook zegt.

[Michel]

Ik denk niet dat dat veel zin heeft. Het enige dat je daarmee bereikt is dat het voor leden tot 3 seconden langer duurt om in te loggen en het voegt qua veiligheid zo goed als niets toe.

 

Je inlogpoging duurt nu een halve seconde, je mag dat maximaal 5x proberen en daarna wordt je een kwartier geblokkeerd. Dat is meer dan voldoende om brute-force pogingen te voorkomen, tegen stommiteiten helpt het niet.

[Michel]

Ter info  Gisteren hebben we alle langer dan 365 dagen inactieve leden een verzoek gestuurd hun wachtwoord te wijzigen, zodat het daarna met zekerheid (geforceerd) een veilig wachtwoord wordt.

[D-box]

Hoi @Michel

Ik denk dat je mail bij veel members niet aankomt.

Toen ik nog kon inloggen via mijn nickname ging alles goed; later moest ik inloggen via mijn e-mail adres (wat ik ongeveer 30 jaar geleden gebruikt had en dus bij jullie bekend was), gelukkig vond ik nog een oude agenda waar ik mijn oude e-mail adres en wachtwoord had opgeschreven.

Dit e-mail adres gebruik ik al jaren niet meer (behalve voor jullie board om in te loggen).

 

Daarom denk ik dat je e-mail door weinig members gelezen zal worden.

 

Groetjes

D-box 

[Michel]

Geloof me, bij heel veel leden is de mail wel aangekomen, want voor iedere mail die niet afgeleverd kan worden krijgen we een notificatie.

 

Voor wat betreft de mail die niet aankomt door een ongeldig e-mailadres, daar kunnen we niets aan veranderen. Ze kunnen dan iig ook niet meer inloggen en is het wachtwoord vanaf nu in ieder geval veilig.

 

Over een jaar wissen we die accounts dan gewoon.

[D-box]

30 minuten geleden, Michel zei:

 

....

Voor wat betreft de mail die niet aankomt door een ongeldig e-mailadres, daar kunnen we niets aan veranderen.

....

Hoi @Michel

Ik bedoel geen ongeldig e-mail adres, maar een e-mail adres wat de member nooit meer gebruikt.

Kijk, ik sta in jullie systeem met een hotmail adres geregistreerd, ik kijk nooit meer naar dat hotmail adres; ik gebruik het alleen om bij jullie in te loggen.

Dit hotmail adres staat zelfs niet opgeslagen in mijn mobieltje.

 

In ieder geval, veel succes.

D-box