Het is vooral ook die balans tussen veiligheid en gemak (en de zwaktste schekel: de mens) waardoor ik vind dat een inlogprocedure middels een password gammel is. Natuurlijk kun je het veilig(er) maken maar een ingewikkelder password kan zelfs ONveiliger zijn. Het briefje in de la, door bron genoemd, is hier een voorbeeld van. Ik heb een collega gehad die vond dat hij uiterst veilig bezig was. Voor elke site had hij een ander password dat bestond uit willekeurige tekens (inclusief de wat apartere tekens). Heel mooi dus. Dat viel natuurlijk niet meer te onthouden. Zijn oplossing was een excel-sheet met daarin voor elke site het username en bijbehorend password. En dit printte hij regelmatig uit en hing dat op de muur bij zijn bureau. "wie heeft daar nou interesse in?". Hij was er echt van overtuigd dat hij prima bezig was. In ben een beetje bang dat dit niet een uitzondering is. Ik heb best veel van dergelijke gedragingen gezien in mijn nabije omgeving (al was dit wel een wat extreme) dus ik denk dat dit best veel voor komt.
En ik begrijp dat je dit niet kunt voorkomen. Maar je moet mijns inziens desondanks proberen het zo veilig mogelijk te maken zonder het te gebruikersonvriendelijk te maken. Er is een trade-off. Hoe veiliger je soms denkt dat het is, hoe meer de gebruiker (mens) onveilige escape-mogelijheden (printje naast de computer) zal proberen te vinden. Zo ook de verplichting regelmatig je password te wijzigen. Mensen draaiden het gewoon om en weer terug als het weer gewisseld moest worden. Tot ook dit niet meer mocht. Ik ben zelf erg fel op beveiliging maar zelfs ik heb een briefje met een ezelsbruggetje om diverse versies te onthouden. Niet het password zelf maar wel een geheugensteuntje voor mezelf.
Als je het 100% dicht wilt timmeren, moet je geen site op internet zetten met interactie-mogelijkheden.
Eentje die ik grappig vind was het volgende voorbeeld wat ik op facebook aantrof. oke, niet reëel maar het was geliked door enorm veel mensen. Voor mij geeft dat aan dat het toch wel een beetje herkenbaar is
Vul een wachtwoord in:
wortel
Sorry, het wachtwoord moet uit minimaal 8 tekens bestaan
gekookte wortel
Sorry, het wachtwoord moet minstens 1 cijfer bevatten
1 gekookte wortel
Sorry, het wachtwoord mag geen spaties bevatten
50gekooktewortels
Sorry, het wachtwoord moet minimaal 1 hoofdletter bevatten
50****INGgekooktewordtels
Sorry, het wachtwoord mag geen achtereenvolgende hoofdletters bevatten
50****ingGekookteWortels
Sorry, het wachtwoord mag geen scheldwoorden bevatten
NuWordIkEchtKwaadAlsMijnWachtwoordNietGoedIsSchuifJeDie50GekookteWortelsMaarLekkerInJeReet
Sorry, dat wachtwoord is al in gebruik
(de **** zijn er door dit forum ingezet. hier stond dus daadwerkelijk een scheldwoord. Welk dat doet er niet toe. kun je zelf bedenken)
Ik vind het voorbeeld dat Bron hierboven geeft een mooie. Het laat de keus aan de gebruiker, wel of geen BSN.
PHP4U, wat vind ji hiervan?
groetjes, Anjo