beveiligingsvraag bij vergeten password

Status
Niet open voor verdere reacties.
Meerdere mogelijkheden bieden kan wel natuurlijk.
 
Het is vooral ook die balans tussen veiligheid en gemak (en de zwaktste schekel: de mens) waardoor ik vind dat een inlogprocedure middels een password gammel is. Natuurlijk kun je het veilig(er) maken maar een ingewikkelder password kan zelfs ONveiliger zijn. Het briefje in de la, door bron genoemd, is hier een voorbeeld van. Ik heb een collega gehad die vond dat hij uiterst veilig bezig was. Voor elke site had hij een ander password dat bestond uit willekeurige tekens (inclusief de wat apartere tekens). Heel mooi dus. Dat viel natuurlijk niet meer te onthouden. Zijn oplossing was een excel-sheet met daarin voor elke site het username en bijbehorend password. En dit printte hij regelmatig uit en hing dat op de muur bij zijn bureau. "wie heeft daar nou interesse in?". Hij was er echt van overtuigd dat hij prima bezig was. In ben een beetje bang dat dit niet een uitzondering is. Ik heb best veel van dergelijke gedragingen gezien in mijn nabije omgeving (al was dit wel een wat extreme) dus ik denk dat dit best veel voor komt.
En ik begrijp dat je dit niet kunt voorkomen. Maar je moet mijns inziens desondanks proberen het zo veilig mogelijk te maken zonder het te gebruikersonvriendelijk te maken. Er is een trade-off. Hoe veiliger je soms denkt dat het is, hoe meer de gebruiker (mens) onveilige escape-mogelijheden (printje naast de computer) zal proberen te vinden. Zo ook de verplichting regelmatig je password te wijzigen. Mensen draaiden het gewoon om en weer terug als het weer gewisseld moest worden. Tot ook dit niet meer mocht. Ik ben zelf erg fel op beveiliging maar zelfs ik heb een briefje met een ezelsbruggetje om diverse versies te onthouden. Niet het password zelf maar wel een geheugensteuntje voor mezelf.
Als je het 100% dicht wilt timmeren, moet je geen site op internet zetten met interactie-mogelijkheden.

Eentje die ik grappig vind was het volgende voorbeeld wat ik op facebook aantrof. oke, niet reëel maar het was geliked door enorm veel mensen. Voor mij geeft dat aan dat het toch wel een beetje herkenbaar is

Vul een wachtwoord in:
wortel
Sorry, het wachtwoord moet uit minimaal 8 tekens bestaan
gekookte wortel
Sorry, het wachtwoord moet minstens 1 cijfer bevatten
1 gekookte wortel
Sorry, het wachtwoord mag geen spaties bevatten
50gekooktewortels
Sorry, het wachtwoord moet minimaal 1 hoofdletter bevatten
50****INGgekooktewordtels
Sorry, het wachtwoord mag geen achtereenvolgende hoofdletters bevatten
50****ingGekookteWortels
Sorry, het wachtwoord mag geen scheldwoorden bevatten
NuWordIkEchtKwaadAlsMijnWachtwoordNietGoedIsSchuifJeDie50GekookteWortelsMaarLekkerInJeReet
Sorry, dat wachtwoord is al in gebruik

(de **** zijn er door dit forum ingezet. hier stond dus daadwerkelijk een scheldwoord. Welk dat doet er niet toe. kun je zelf bedenken)

Ik vind het voorbeeld dat Bron hierboven geeft een mooie. Het laat de keus aan de gebruiker, wel of geen BSN.
PHP4U, wat vind ji hiervan?

groetjes, Anjo
 
Ik vind dit een beter alternatief dan enkel alleen een (deel) van een BSN-nummer vragen.
Je geeft de gebruiker inderdaad meerdere mogelijkheden. :)
 
Ik vind dit een beter alternatief dan enkel alleen een (deel) van een BSN-nummer vragen.
Je geeft de gebruiker inderdaad meerdere mogelijkheden. :)

sorry PHP4U, ik had je eerdere reactie niet gezien. Ik vroeg om een mening die je al gegeven had...

groetjes, Anjo
 
Ik ben zelf erg fel op beveiliging maar zelfs ik heb een briefje met een ezelsbruggetje om diverse versies te onthouden. Niet het password zelf maar wel een geheugensteuntje voor mezelf.
Ik heb voor elke website een ander wachtwoord. Daarvoor gebruik ik een algoritme die ik snel (uit het hoofd) kan reproduceren. Dit algoritme gebruik ik niet bij belangrijke zaken zoals DigID, online bankieren, enzo want daarvoor heb ik wat sterkere wachtwoorden.

Je kan ook gebruik maken van bijvoorbeeld http://keepass.info/ of een andere password keeper.
 
Je kan ook gebruik maken van bijvoorbeeld http://keepass.info/ of een andere password keeper.

Ken ik. Maar ik heb ook een prima te onthouden algoritme voor de meeste passwords dus op zich niet nodig. Maar een enkele site heeft dan weer andere voorwaarden dan wat het password volgens mijn algoritme zou zijn of dan mag weer een bepaald teken niet of kreeg ik een bericht dat de boel op straat lag en moest ik mijn password wijzigen. Voor dat soort incidentele dingen die afwijken van het algoritme heb ik een hint opgeschreven. Zo vaag dat ik daar niet over in zit. Mijn partner kent me goed maar kon naar aanleiding van dat geheugensteuntje niks reconstrueren.
Ik heb overigens ook compleet andere wachtwoorden voor dingen zoals de bank en zo.

groetjes, Anjo
 
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan Onderaan