Sterk wachtwoord nog steeds niet mogelijk


Reputatie 7
Ik gebruik op mijn PC's, tablets en telefoon en bij alle sites altijd "sterke" wachtwoorden.

(Lang, met hoofd en kleine letters, cijfers en speciale tekens)

Er is echter één site waarbij dit niet mogelijk is en dat is mijnKPN.

Een organisatie die veiligheid hoog in het vaandel heeft staan, of in ieder geval hoog in het vaandel zou moeten hebben staan, zou toch eigenlijk "sterke" wachtwoorden moeten ondersteunen.

Beste KPN, staat er een activiteit gepland om speciale karakters zoals !@$ etc in wachtwoorden op te kunnen nemen.

Aangezien het wachtwoord in mijnKPN ook het wachtwoord van mijn privé mailaccount is hoop ik dat deze mogelijkheid op korte termijn beschikbaar zal komen.


15 reacties

Reputatie 7
Badge +27
Dag wjb,

Ik ben het met je eens dat dit voor verbetering vatbaar is, maximaal 16 tekens en geen speciale tekens zijn een onnodige belemmering. Later dit jaar staan er veranderingen op de agenda voor MijnKPN waar ik nog niet veel over kan vertellen. Of dit een langer wachtwoord mogelijk maakt is me niet bekend. Ik ga dit navragen en laat het hier weten.

Joran

Reputatie 7
,

Hoe staat het er voor?

Ik weet dat jullie security hoog in het vaandel hebben staan, maar dan vind ik het ook wel tijd worden dat hier nu eindelijk eens iets aan gaat veranderen.

Reputatie 7
Badge +27
: Ik heb een aardig lange mailconversatie gehad, maar ik mis nog een eindconclusie. Ik heb in ieder geval begrepen dat een verbetervoorstel is ingediend om het wachtwoordbeleid identiek te krijgen voor de verschillende MijnKPN omgevingen. De status hiervan is niet bekend en over de lengte/speciale tekens in wachtwoorden heb ik geen duidelijkheid gekregen.

Ik heb er opnieuw achteraan gemaild. Excuses dat de updates tot nu toe uitbleven. Ik hoop dat ik nu concrete informatie kan achterhalen.

Reputatie 7
Badge +27
: Het heeft een tijd geduurd, maar ik heb de volgende reactie ontvangen.

Zeer binnenkort zal dit issue worden opgelost binnen dit vernieuwingstraject : http://www.telecompaper.com/nieuws/kpn-vernieuwt-aanmeldprocedure-voor-portal-mijnkpn--1075647

Jammer genoeg is er niets specifieks vermeld over de lengte van het wachtwoord, maar dus wel dat het als een issue gezien wordt en opgelost wordt. Het huidige wachtwoordproces wordt niet meer aangepast terwijl de ontwikkelingen van KPN ID bezig zijn. Ik hoop dat dit snel live gaat :D

Reputatie 7
En ondertussen zijn we weer tien maanden verder en is het nog steeds niet mogelijk om een sterk wachtwoord vast te leggen voor je email.

Soms denk ik wel eens: Worden we als klant wel serieus genomen :(:(:( en dan hebben we het notabene over security, over basale functionaliteit om een sterk wachtwoord te gebruiken. Dat we het daar nog over moeten hebben anno 2016, ongelofelijk. :@

Reputatie 7
Badge +23
; ik ga er achteraan wat de status is hiervan! Je hoort van me. 

Reputatie 7
,

Hoe staat het er voor want we zijn ondertussen weer twee maanden verder en het onderstaande is nog steeds actueel:

https://

Die melding "Vul alstublieft een geldig wachtwoord in" komt dus omdat ik een speciaal karakter in mijn wachtwoord had opgenomen. Dat zou vandaag de dag toch echt wel een keer mogelijk mogen zijn. :(

Ik wacht nu dus al bijna anderhalf jaar op een oplossing. Vind je het erg dat ik het niet snap dat KPN zo slecht omgaat met de beveiliging van onze gegevens. :@ En dat voor een organisatie die prentendeert veiligheid hoog in het vaandel te hebben staan.

Reputatie 7
Badge +27
: Cindy is een paar dagen afwezig, daarom neem ik het over. Inmiddels is KPN ID al een tijd live, en is het daarvoor mogelijk een sterk wachtwoord in te stellen. Bij e-mailboxen bestaat deze limiet nog steeds. Teleurstellend. Ik mail nogmaals naar de contactpersonen waar ik het eerdere antwoord van heb ontvangen. Ik weet niet of er nog meer in de planning staat. Sorry dat dit zoveel tijd in beslag heeft genomen.

Reputatie 7
Ik wacht het weer rustig af, maar ik hoop wel dat er eindelijk eens wat gaat gebeuren zodat ik ook mijn mailbox kan voorzien van een sterk wachtwoord.

Reputatie 7
Badge +27
Mijn vorige contactpersonen blijken echt specifiek over de MijnKPN inlog te gaan. Nog geen antwoord dus. Ik heb gelukkig wel een andere naam gekregen, die ik nu aan de jas heb getrokken. To be continued :)

Reputatie 7
Hope to hear from you again soon. :D

Ik kan mij voorstellen dat de IT afdeling zegt dat 16 letters/cijfers voldoende is voor een sterk wachtwoord. Immers een wachtwoord van 16 letters/cijfers is tegen online aanvallen meer dan voldoende, mits inloggen geblokkeerd wordt na zo'n 10 pogingen (is dat bij KPN zo voor POP/IMAP?). Voor off-line aanvallen (na een inbraak) kost het ook eeuwen zo'n wachtwoord te kraken, zelfs voor zwakke hashes en met 25 GPU's in het kraak systeem.

Alles aannemende dat de cijfers/letters willekeurig gekozen worden. En dat is nu juist het zwakke. De meeste mensen laten geen willekeurig WW genereren. En dat zou KPN dat moeten meewegen omdat lengte (langer dan 16 tekens) dan de enige bescherming is.

Voor wachtzinnen van minimaal 5 willekeurige woorden (zie Time to add a word )  met een gemiddelde woordlengte van zo'n 5-6 tekens, is een limiet van 16 tekens gewoon 'ruim onvoldoende' tegen off-line aanvallen.

Maar waarom limiteren als je echt (vaste lengte) hashes gebruikt om wachtwoorden 'op te slaan'? En waarom de teken set (geen leestekens) limiteren? Laat de klant kiezen wat deze wil gebruiken!

Maar zolang KPN, notabene aan de  zakelijke kant, een droevige stelling inneemt "geen  Correct Horse Battery Staple of andere komische manieren als alternatief" te nemen (zie: Een veilig wachtwoord kun je niet onthouden), zal er weinig veranderen vrees ik.

Reputatie 7
Badge +27
Mede door dit topic is een balletje gaan rollen. Er zijn vaker plannen geweest om de mogelijkheid te bieden voor een sterker wachtwoord. Waar het vastliep is dat het beleid voor álle wachtwoorden gelijk getrokken moet worden. Dus niet alleen voor de e-mail, ook voor KPN Wifi, Hotspots, homepages, de e-mailinstellingen (cscmail.kpnmail.nl), KPN Veilig en nog een hoop aantal diensten. De wil is er zeker bij de ontwikkelaars. Dit wordt opnieuw op de agenda gezet, ik word op de hoogte gehouden als er een besluit wordt genomen en laat het dan hier ook weten :)

Reputatie 7
Joran schreef op 7 jun '16 om 12:49uMede door dit topic is een balletje gaan rollen. Er zijn vaker plannen geweest om de mogelijkheid te bieden voor een sterker wachtwoord. Waar het vastliep is dat het beleid voor álle wachtwoorden gelijk getrokken moet worden. Dus niet alleen voor de e-mail, ook voor KPN Wifi, Hotspots, homepages, de e-mailinstellingen (cscmail.kpnmail.nl), KPN Veilig en nog een hoop aantal diensten. De wil is er zeker bij de ontwikkelaars. Dit wordt opnieuw op de agenda gezet, ik word op de hoogte gehouden als er een besluit wordt genomen en laat het dan hier ook weten Smiley Vrolijk

Hope to hear from you again soon. :D

Joran schreef op 7 jun '16 om 12:49uMede door dit topic is een balletje gaan rollen. Er zijn vaker plannen geweest om de mogelijkheid te bieden voor een sterker wachtwoord. Waar het vastliep is dat het beleid voor álle wachtwoorden gelijk getrokken moet worden. Dus niet alleen voor de e-mail, ook voor KPN Wifi, Hotspots, homepages, de e-mailinstellingen (cscmail.kpnmail.nl), KPN Veilig en nog een hoop aantal diensten. De wil is er zeker bij de ontwikkelaars. Dit wordt opnieuw op de agenda gezet, ik word op de hoogte gehouden als er een besluit wordt genomen en laat het dan hier ook weten Smiley Vrolijk

 
Dat is inderdaad goed nieuws, maar het roept ook een vraag op voor mij. Het beleid kan toch simpel 'gemaakt' worden? Beleid zou moeten gaan over uitgangspunten als te bieden beschermingsniveau, aanvaardbare rest-risico's, erkennen van on-line en off-line aanvallen. Daarna moet dat beleid inderdaad per toepassing ingevuld/uitgewerkt worden.

Als het beleid op het niveau van lengte van wachtwoorden zou worden gelijk getrokken, is dat een foute benadering vanuit bescherming en rest-risico's bekeken. Maar ook vanuit de mogelijkheden is dat fout. WiFi heeft bijvoorbeeld een speciale mogelijkheid om een sleutel 64 tekens te gebruiken (hex). Daarmede kan je de WiFi sleutel geheel zelf bepalen en opgeven, zonder het 'versterken' dat 802.11 doet. Andere diensten en toepassingen kennen die mogelijkheid niet.

Vanuit risico bekeken staan backup en email  toch wel bovenaan, zie voor email o.a. https://www.security.nl/posting/472672#posting473193. Dus zodra het beleid er is, zouden die onmiddellijk aangepakt kunnen worden, zonder afstemming tussen al die andere diensten.

Online backup accepteert overigens al een voldoende lange sleutel, volgens mij. Maar de noodzakelijke minimale lengte zou wel meer benadrukt kunnen worden. Ook dat benadrukken (voorlichting) zou een beleidsuitgangspunt moeten zijn.

Reageer