Navigatie overslaan.
Start

Password checkers

Wat ik altijd al zo grappig heb gevonden, zijn de zogenaamde "password checkers" op het internet, bijvoorbeeld "http://www.securitystats.com/tools/password.php"

De bedoeling daarvan is, dat als je niet zeker weet of je wachtwoord veilig genoeg is, je dat daar kan ingeven, en dan zal je geïnformeerd worden of het een sterk of zwak wachtwoord is.

Eigenlijk is het heel simpel:

  • Als je niet zeker weet of je wachtwoord OK is, dan is het waarschijnlijk niet OK.
  • Je wachtwoord doorgeven, hetgeen hetzelfde is als ingeven op een andere plaats dan waar het nodig, is slecht.
  • Je wachtwoord wordt meestal over een globaal publiek netwerk verstuurd op een niet geëncrypteerde manier.
  • Indien niet, zijn er nog steeds XSS, of andere Man-in-the-browser/middle attacks.
  • Waarom zou je een externe partij laten bepalen of jouw wachtwoord goed genoeg is, of niet?
  • Enz...

Eigenlijk is iets dergelijks ook helemaal niet nodig, want normaal gezien kan je op de server zelf een password policy definiëren om sterke wachtwoorden af te dwingen.
Indien je met software moet werken, die het niet mogelijk maakt om een password policy af te dwingen, dan moet je eerst uiteraard contact opnemen met de support afdeling om dit security issue te melden, en kan je als workaround "moeilijke" (vb: random) loginnamen gebruiken. Op die manier kan je brute force attacks zo goed als afweren, want gebruikers mag je natuurlijk nooit vertrouwen.

Als je toch een password policy opstelt, moet je natuurlijk wel je verstand blijven gebruiken, want een password policy zoals in de foto, maakt een brute-force attack wel heel erg makkelijk...

 

 

Maar eigenlijk zijn wachtwoorden al vele jaren achterhaald en is het nog steeds het beste om met certificaten te werken i.p.v. met wachtwoorden.
Remote management, Webapplicaties, enz... Het is allemaal simpel om hiervoor certificaten te gebruiken, je moet het alleen doen...
Zie ook http://blog.knudde.be/SSH+zonder+wachtwoord