Geef Passwords Door

Quote du Jour“Verplicht medewerkers regelmatig om een nieuw wachtwoord te kiezen. (..) Als een huizenbezitter die een dik, goedgekeurd slot op zijn woning zet, drie keer controleert als hij afsluit, maar vervolgens de sleutel onder de deurmat legt. Omdat het zo handig is.”

Het Algemeen Dagblad onderzoeksjournalistiekt een rondje quotes van een bedrijfsrechercheur en een virusscanner naar aanleiding van de lowtechhack van het redactiesysteem van de GPD door medewerkers van het ministerie van Sociale Zaken. De ambtenaren, woordvoerders van SZW, hadden op de persdienst gewerkt en daar waarschijnlijk een wachtwoord van een collega meegenomen. Naast de kritische noten die te kraken zijn over het Ministerie van Stalinistisch Zoeken naar Wachtwoorden, dringt de vraag zich op: Hoe zorgt u ervoor dat uw groeiende wachtwoordenarsenaal (werklogin, meerdere mailaccounts, MSN, World of Warcraft-escapisme en Second Life-hoererij) een beetje onkraakbaar en vers gehouden wordt? [commenteren mag anoniem of aliasgewijs]

  1. 1

    1 wachtwoord voor alle belangrijke zaken (e-mail, skype) en 1 voor de minder belangrijke. Verversen?! Alleen als het verplicht is en dan vind ik het maar irritant!

    Ook lekker alle wachtwoorden bewaren in de internet-browser van m’n laptop die overal mee naartoe gaat.

    Een tijdje gewerkt met een ‘wachtwoord kluis’ – een programmatje met daarin (achter een ‘super password’) alle andere wachtwoorden, maar wat een geklooi!

  2. 3

    Zoveel mogelijk standaard of bij verplicht wijzigen een standaard plus een op(af)lopend nummer. En de belangrijkste op een papiertje.

    Wachtwoord wijzigen had overigens bij de GPD niet geholpen. Als je er een bezit kun je het ook wijzigen. Wel had een procedure bij vertrek wel geholpen, het account was dan geblokkeerd. Zet voor mij het gejammer van de GPD in een ander licht(je).

  3. 4

    Jaren op machines gewerkt waar het verplicht was elke 6 weken oid een nieuw password te kiezen dat NIET leek op het vorige. Het gevolg was dat je teveel passwords moest verzinnen en ze dus op ging schrijven om niet in de war te raken.

    Over beveiliging gesproken.

  4. 5

    Ik heb drie wachtwoorden. 1 voor onbelangrijke sites, 1 voor belangrijke sites en 1 voor banksites. Daarnaast combineer ik deze wachtwoorden voor servers en op plekken waar ik regelmatig van wachtwoord moet wisselen, waardoor soort-van onbreekbare codes ontstaan.

    Een aantal collega’s en vrienden kennen mijn onbelangrijke/belangrijke site wachtwoorden. De rest is alleen bij mij bekend.

    Verder wil ik maar één ding zeggen: OpenID!!!!

  5. 6

    Een digitale Skild en Vriendt, dàt zou nuttig zijn ;-)

    Om maar te zeggen : dag 150 van de regeringsvorming in België, nog 600 te gaan om te regeren, en dan zijn het weer verkiezingen (regionale, maar grote kans dat de federale daartegen valt, wat eigenlijk wil zeggen nog maar zo’n 450 dagen om ernstig te regeren, if at all).

  6. 10

    Vier a 5 verschillende kernwoorden, die ieder op verschillende manieren aangepast worden, bijvoorbeeld:

    utrecht, amsterdam, rotterdam, leiden, wordt:

    $utrecht, .utrecht, #utr3cht, $amsterdam, $4msterdam, $amsterdam%, etc etc etc

    moet soms wel een paar keer raden voor ik voor de goeie plek het goeie wachtwoord heb, maar veiliger wordt het bijna niet :)

  7. 11

    Een paar vaste complexe passwords. Een simpel password voor zaken die niet er toe doen. Een oplopende lijst toegewezen passwords die ik zelf niet kan wijzen, en een allegaartje van digitale keygens die als medailles om de nek gehangen worden.

    Ik hoorde trouwens iemand gisteren van GPD zeggen dat het een VPN verbinding betrof met een op een digitale keygen gebaseerde beveiliging. Dat is toch een andere situatie dan een gepikte gebruikersnaam/wachtwoord.

  8. 13

    1 serieus password voor de paar dingen die ik echt voor mezelf wil houden. Dat verandert mischien 1 keer in de twee jaar. (mischien ook minder vaak trouwens)

    1 BS password voor alle fora, internet diensten &c. Dat verandert nooit want het zal me een worst zijn of mensen er in kunnen.

  9. 16

    Regel 1 van informatiebeveiliging is dat de mens de zwakste schakel is. Hier dus duidelijk ook weer, zeker als wat su in #11 zegt waar is. Wat mijn eigen wachtwoorden betreft: een bescheiden aantal ingewikkelde voor belangrijke dingen, een zelfde voor een beetje belangrijke dingen en een bescheiden aantal voor niet-belangrijke dingen. Probleem is dat ook hier de mens (ik, dus) de zwakste schakel is en ik soms gebruikersnamen kies, waarvan ik later geen idee meer heb welke… dan kan je nog zo slim zijn met je wachtwoorden, maar je hebt nog steeds geen toegang (zeker niet als je ook nog eens je hele e-mail gebeuren hebt vernieuwd).

  10. 17

    @10
    Hier hetzelfde; 1 ‘basiscode’ gevolgd door een altijd wisselende code per site.

    Basiscode kent mijn vriend, maar die moet ik dan maar vertrouwen…

  11. 18

    @su
    die iemand was Joop Daalmeijer van de Wereldomroep die vertelde hoe het bij zijn organisatie geregeld was en hoe het bij de GPD geregeld had moeten worden.

  12. 20

    Heb al jaren 1 gebruikersnaam + 1 wachtwoord voor bijna alle afgeschermde sites. Nooit een probleem gehad. Gewoon heel snel intikken en zorgen dat niemand over je schouder meekijkt… ;)

  13. 21

    Als u het maar van jongs af aan traint, zult u merken dat u tientallen, zoniet honderden, arbitraire en unieke combinaties van karakters zonder al te veel moeite jaren kunt onthouden.

  14. 23

    ALO: Je “ander licht” uit 3 moet je even veranderen. Bij NOVA legde de hoofdredacteur uit wat er was gebeurd. Ambtocrimineel 1 vertrok van GPD naar SZW en het account werd opgeheven. Ambtocrimineel1’s partner werkte nog wel bij GPD en gaf het wachtwoord aan Ambtocrimineel 1. Toen de partner in kwestie Ambtocrimineel 2 werd, werd ook dat account opgeheven en gingen A1 en A2 door met een onrechtmatig verkregen wachtwoord van een andere GPD’er. Zij zijn tenminste 366 (!) keer zo de GPD-computers binnengewandeld.

    Daarnaast probeerde de persoonlijk woordvoerder van Donner een niet-gepubliceerd profiel gewijzigd te krijgen.

    Tot slot: de eerste reactie van het ministerie ” Het zal niet meer gebeuren.” Geen spoor van verbijstering in de reactie, slechts een uitspraak over de toekomst.

    Ook al is de wachtwoordencarroussel van de GPD niet jofel, er is zoveel, zo bewust *en* zo hoog in de boom gebruik gemaakt van deze methode en er is zo lauwtjes gereageerd, dat dit muisje nog wel eens een staartje kan krijgen. Was Donner niet al van plan af te treden als z’n plannen met het ontslagrecht het niet zouden halen, dan wordt ‘ie nu elders geholpen. Gelukkig ligt het burgemeesterschap van Den Haag open. Fijn sociaal vangnet, die politiek.

  15. 25

    @Henriette
    Ah, eindelijk het probleem daar waar het hoort: als evolutionair beginsel en criterium der mensheid. Ik snap nu waarom ik een evolutionaire kruk ben: mijn password stack, queue, pool, memory is te klein. Ik dacht al waarom is deze wereld zo lastig te begrijpen. Het licht is nu aangegaan. Ik ga me beklagen daar waar het hoort: bij god. *schiet zich een kogel door de kop*

  16. 30

    En wat te denken van de paswoord generator ? Malafide ? Betrouwbaar ? (Site is niet https …)

    Aanvulling op #16 : en dan moet je je dus je paswoord laten mailen, en nog wel op je web based e-adres, want je echte e-adres wou je op die site niet achter laten bij het registreren, en zo is het pas echt onveilig ? Vandaar dat ik meer geloof in Sudoku à la #21. De Amsterdam-permutaties e.d. (8+10) lijken me ook een goed alternatief, maar verder probeer ik altijd een paswoord te maken dat past bij de site waar het over gaat … al is het niet evident je associaties te onthouden.