.

Beantwoord

Achterlijke overdreven wachtwoordeisen

  • 24 August 2014
  • 21 reacties
  • 1093 Bekeken

Badge
Aanvankelijk had ik een heel makkelijk kort wachtwoord voor Mijn Symyo

Maar zodra je het wachtwoord wilt veranderen, moet het aan imo overdreven eisen voldoen (hoofdletter/cijfer/bijzonder teken)
Laat mij gewoon zelf bepalen dat ik voor een kort wachtwoord kies, dat alleen uit letters (of cijfers) bestaat.
Maak desnoods een expliciet keuzevakje of pop-up waarbij vermeld wordt dat Simyo niet verantwoordelijk is voor misbruik bij een kort wachtwoord.

Het is heel omslachtig om met een mobiele telefoon verschillende karakters te moeten invoeren (en opnieuw wanneer je een foutje gemaakt hebt). 

En laat het standaard verhaal over "voor uw eigen veiligheid" maar achterwege, dat riedeltje kennen we onderhand wel.
icon

Beste antwoord door Charlene 27 August 2014, 12:53

Bekijk originele reactie

21 reacties

Badge +8
Hoi simonlebon,

Het spijt me dat je het vervelend vindt dat er wachtwoordeisen zijn voor Mijn Simyo. Op Mijn Simyo kun je veel gevoelige informatie vinden, zoals je verbruik, en je bankgegevens. Daarnaast kun je er opties in- en uitschakelen die voor kosten kunnen zorgen.
Wij zijn als Simyo verplicht om die gegevens veilig op te slaan. Onze security mensen zijn daar constant mee bezig. Dat staat eigenlijk los van jouw toestemming. De gevolgen kunnen verstrekkend zijn als onze beveiliging niet op peil is.
De eisen voor die beveiliging veranderen met de ontwikkelingen die er zijn op dat gebied. Ook bij Simyo moet je dus nu wat vreemde tekens in je wachtwoord opnemen, zoals bij de meeste websites tegenwoordig gebruikelijk is.
Ik kan dat niet voor je veranderen.
Ik kan me voorstellen dat je het vervelend vindt om telkens opnieuw te moeten invoeren. Wanneer je de Simyo app gebruikt, hoeft dat niet zo vaak. Dan wordt je wachtwoord onthouden. Voor de website Mijn Simyo zal je het helaas toch steeds opnieuw moeten doen.

Groetjes,
Charlene
Reputatie 7
Badge +9
Voor de website Mijn Simyo zal je het helaas toch steeds opnieuw moeten doen.


Ik niet. 😉. Ligt eraan of je browser je wachtwoord onthoudt.

En als je niet steeds uitlogt uit de app, hoef je het wachtwoord ook niet steeds in te tokkelen inderdaad.

Kan me de irritatie van Simonlebon voorstellen maar hiermee kom je een heel eind.
Badge
Het laten onthouden van wachtwoorden door browser/apps is iets wat ik ook frequent toepas, maar dat is niet altijd mogelijk. Bij een herinstallatie/updates kan het wachtwoord opnieuw ingevoerd moeten worden.

Hoi simonlebon,

Het spijt me dat je het vervelend vindt dat er wachtwoordeisen zijn voor Mijn Simyo. Op Mijn Simyo kun je veel gevoelige informatie vinden, zoals je verbruik, en je bankgegevens. Daarnaast kun je er opties in- en uitschakelen die voor kosten kunnen zorgen.
Wij zijn als Simyo verplicht om die gegevens veilig op te slaan. Onze security mensen zijn daar constant mee bezig. Dat staat eigenlijk los van jouw toestemming. De gevolgen kunnen verstrekkend zijn als onze beveiliging niet op peil is.
De eisen voor die beveiliging veranderen met de ontwikkelingen die er zijn op dat gebied. Ook bij Simyo moet je dus nu wat vreemde tekens in je wachtwoord opnemen, zoals bij de meeste websites tegenwoordig gebruikelijk is.
Ik kan dat niet voor je veranderen.
Ik kan me voorstellen dat je het vervelend vindt om telkens opnieuw te moeten invoeren. Wanneer je de Simyo app gebruikt, hoeft dat niet zo vaak. Dan wordt je wachtwoord onthouden. Voor de website Mijn Simyo zal je het helaas toch steeds opnieuw moeten doen.

Groetjes,
Charlene


Het spijt me dat je het vervelend vindt dat je het spijt dat ik het vervelend vind.
Het spijt me ook dat je ondanks dat ik al aangeef dat ik die veiligheidsmaatregelen sterk overdreven vind en ik zelf kan wil bepalen of ik het vervelend vind wat andere mensen zouden kunnen zien/uithalen wanneer ze mijn wachtwoord zouden achterhalen.

Ik bepaal toch zelf wel welke informatie gevoelig is, bankgegevens zijn via Mijn Simyo niet te achterhalen omdat het bankrekeningnummer op een paar cijfers na onherkenbaar gemaakt is, vziw zelf op de facturen. Ik vind de reactie in dit soort discussies die het bankrekeningnummer-bekend-worden-argument zo onzinnig. Meer mensen kennen mijn bankrekeningnummer, elke webwinkel waar ik iets koop bijvoorbeeld. Of mensen die wat bij mij kopen en van tevoren geld overmaken.

Er is geen wettelijke basis voor deze wachtwoordeisen en ik blijf bij het standpunt dat je als gebruiker de wachtwoordsterkte zelf moet kunnen bepalen.

Sailliant detail in deze discussie is dat de wachtwoorden op mijn andere Mijn Simyo accounts de wachtwoorden bestaan uit 5 letters. Door/in je antwoord geef je nu eigenlijk aan dat de beveiliging van Simyo niet op peil is.

IMO is de beveiliging prima in orde en wachtwoordsterkte heeft weinig te maken met veiligheid. Je kunt heel eenvoudig maatregelen treffen waarmee ook gebruik van zwakke wachtwoorden afdoende is. Denk hierbij bijvoorbeeld aan incrementerende tijdsduur en blokkade bij het meermaals ingeven van foutieve wachtwoorden. Zeker bij apparaten die al door het netwerk geverifieerd zijn (mobiele telefoon) zijn sterke wachtwoordeisen overkill.

Wanneer je als gebruiker duidelijk wordt gemaakt wat de eventuele gevolgen kunnen zijn, zoiets als wat jij hier nu uitlegt, dan ligt de verantwoordelijkheid gewoon bij de gebruiker, niet bij de provider. Als je dan ook een korte, duidelijke disclaimer met dubbele bevestiging (knop: Weet je het zeker dat...?) toepast is de verantwoordelijkheid afgedekt.

Dan nog iets om over na te denken: De betaalpas van een bankrekening is beveiligd met 4 cijfers (pin-code), dat geeft 10.000 mogelijkheden. Een wachtwoord van 5 letters geeft 26^5= 11.881.376 mogelijkheden of 52^5 = 280.204.032 mogelijkheden als er onderscheid tussen hoofdletters en kleine letters wordt gemaakt.
Badge
Oh ja, nog een argument;
Stel: ik gebruik Mijn Simyo op mijn telefoon en laat het wachtwoord onthouden. Dan verliest het wachtwoord zijn functie en is de enige beveiliging de viercijferige pincode van het toestel (als dat geactiveerd is.

Ik zal er nog even een analogie bij halen om op zijn Haags een argument aan te voeren:

Op een goedkope fiets ga je toch ook geen slot zetten van € 300,-?
Dat doe je misschien wel op een fiets van € 2.500,- maar niet op een fiets van € 199,-.
Reputatie 7
Badge +9
Niet dat ik een zinvolle bijdrage kan leveran aan bovenstaande interessante gedachtenwisseling, maar ik heb de indruk dat beheerders/eigenaren van websites waar klanten op een beveiligde manier inloggen doorgaans niet bereid zijn om de inlogprocedure te veranderen als 1 klant daarom vraagt. Ik ben dus bang dat deze discussie geen tastbare resultaten zal opleveren...
Badge
Die laksheid om zich niet flexibel op te stellen naar de klant is iets wat mij stoort. Het is lastig om niet met standaardprocedures te werken in een grotere organisatie en ik weet hoe systeembeheerders (bofh / IT crowd) kunnen zijn (ben er zelf een geweest).

Helaas wordt ik nu weer geconfronteerd met de overdreven wachtwoordeisen;
Ik zit nu in Denemarken waar ik geen 3G had. Van alles geprobeerd, uiteidelijk bleek het een verkeerde netwerkinstelling van Simyo (of de Deense provider) te zijn. Maar heb dus eerst nog mijn telefoon gereset naar de standaardinstellingen, waardoor ik alle apps opnieuw moet installeren.

Moet voor het wachtwoord van de Mijn Simyo app nu weer 10 minuten wachten, omdat ik een verkeerd wachtwoord zou hebben ingevuld (dat is ook niet zo gek wanneer je wat dikkere vingers hebt op zo'n klein kl*te-toetsenbordje).

Oh bofh, geef mij alsjeblieft een kort wachtwoord.
Reputatie 6
Badge +10

Op een goedkope fiets ga je toch ook geen slot zetten van € 300,-?
Dat doe je misschien wel op een fiets van € 2.500,- maar niet op een fiets van € 199,-.


Hoi simonlebon,

Je zet inderdaad geen onwijs duur slot op een goedkope fiets, maar een goedkope fiets verzeker je niet. Zodra jij een verzekering afsluit voor je fiets, moet je een slot op je fiets hebben dat goedgekeurd is door je verzekering. Op deze manier is Simyo verplicht t.o.v verschillende partijen om te voldoen aan de strengere wachtwoord eisen.

Het is vervelend dat je door je verkeerd ingestelde telefoon besloten hebt om je telefoon te resetten, maar gelukkig zijn er meerdere mensen die gebruik maken van de Simyo App, die wél gewoon een wachtwoord kunnen instellen in hun telefoon en ben je helaas de eerste die hierover valt.

Is er niemand die dit even voor je kan doen? 🙂
Badge

Op een goedkope fiets ga je toch ook geen slot zetten van € 300,-?
Dat doe je misschien wel op een fiets van € 2.500,- maar niet op een fiets van € 199,-.


Hoi simonlebon,

Je zet inderdaad geen onwijs duur slot op een goedkope fiets, maar een goedkope fiets verzeker je niet. Zodra jij een verzekering afsluit voor je fiets, moet je een slot op je fiets hebben dat goedgekeurd is door je verzekering. Op deze manier is Simyo verplicht t.o.v verschillende partijen om te voldoen aan de strengere wachtwoord eisen.

Het is vervelend dat je door je verkeerd ingestelde telefoon besloten hebt om je telefoon te resetten, maar gelukkig zijn er meerdere mensen die gebruik maken van de Simyo App, die wél gewoon een wachtwoord kunnen instellen in hun telefoon en ben je helaas de eerste die hierover valt.

Is er niemand die dit even voor je kan doen? :)

Beste Tiury,

Het blijkt dat je toch niet goed gelezen hebt.

[rant]
Het belachelijke van het verhaal is dat ik meerdere Simyo-accounts/nummers heb. De andere accounst bestaan uit wachtwoorden van 5 letters.
Ook was mijn telefoon niet verkeerd ingesteld, maar was het een netwerkinstelling van/door Simyo die niet correct was. Maar omdat organisaties -logischerwijs- de oorzaak van problemen vaak in eerste instantie bij de users zoeken, zal pas in een later stadium gezocht worden in de eigen periferie.

Voor jouw info; een dure fiets verzeker ik niet, dus hoef ik geen duur slot erop te zetten, maar zou ik dit doen, dan is dit uit vrije keuze (danwel om te voorkomen dat de fiets niet al te snel ontvreemd wordt).

Door welke partijen wordt Simyo verplicht om de strengere wachtwoordeisen toe te passen, en waarom gebeurt dat dan niet voor de bestaande accounts, waarvan de wachtwoorden niet aan deze eisen voldoen en meer dan 1 jaar niet gewijzigd zijn? Dan voldoet Simyo niet aan de eisen van deze -voor mij nog onbekende- partijen.

Hoe je het ook wendt of keert; de wachtwoordeisen zijn voor deze toepassing gewoon belachelijk, zeker omdat juist bij lange wachtwoorden mensen ervoor kiezen deze op te slaan en dus hun doel missen.

Korte wachtwoorden/codes worden daarentegen vaker ingetoetst en zijn dus eigenlijk veiliger. Je kunt ook zaken die eventueel gevoelig zijn voor misbruik beter niet tonen. Dat is ook mijn hele punt wat maar niet tot de volgzame klakkeloos-de-nieuwe-standaard-procedure-uitvoeren-dan-hoef-ik-niet-na-te-denken-mensch doordringt.

Verder zou ik Simyo aanraden het op een andere manier aan te pakken. IPV de persoonlijke gegevens (zoals adres, geboortedatum, bankrekeningnummer) zo uitgebreid te publiceren op Mijn Simyo/Mijn Gegevens, zouden deze persoonlijke gegevens (of delen ervan) gemaskeerd weergegeven kunnen worden dmv **** of XXXXX-jes. Dan voorkom je meer dan met een 'veilig' wachtwoord dat opgeslagen wordt op een telefoon/browser.
Wat heb ik eraan om mijn eigen naam adres geboortedatum bankrekeningnummer etc op een webpagina te zien?

Voorbeeldje:
Wanneer de telefoon in handen komt van een onbevoegd sujet om het maar netjes uit te drukken, heeft deze namelijk meteen de persoonsgegevens van de telefooneigenaar en kan hij/zij bijvoorbeeld met de sleutels, die vreemd genoeg in dezelfde tas zaten als waarin de telefoon zat, zich de toegang verschaffen tot de woning van de (voormalig) telefoonbezitter.

Ik heb nog wel een ander voorbeeld dat tot een ware nachtmerrie zou kunnen leiden, maar dat zou bepaalde individuen wijzer maken dan dat zij al zijn.

Conclusie: dat wachtwoord kan zelfs beter korter dan langer zijn, en Simyo zou wat beter na moeten denken over de gegevens die zij verstrekt op met name Mijn Simyo/Mijn Gegevens, dat niet beter beveiligd zal zijn door een zogenaamd sterk wachtwoord. Al zou je het wachtwoord 30 tekens lang maken met 7 verschillende speciale karakters en 8 cijfers zou dat de boel niet veiliger maken.

En wat betreft de Mijn Simyo app (voor het verbruik) is de mogelijkheid tot misbruik vrijwel nihil.

Beveiligen kan heel simpel zijn, als je je hersens maar gebruikt en nadenkt over wat je nu eigenlijk wil beveiligen en welk doel je wilt bereiken.
[/rant]
Reputatie 5
Badge +11
Hi simonlebon,

Ik zal proberen op jouw uitgebreide rant ([rant][/rant] goeie!) een zo eenvoudig mogelijk antwoord te geven teneinde het voor andere forumgebruikers ook begrijpelijk is.

Onze Moeder KPN eist in deze tijd van hacks en onbeveiligde websites en apps dat wij, Simyo, niet gewoon meegaan met de tijd, maar er zelfs een beetje op vooruit lopen en stelt daar weer bepaalde eisen aan.
Beveiligingscertificaten worden geüpgraded, servers worden beter beveiligd en jawel, aan wachtwoorden worden bepaalde eisen gesteld.
Bestaande wachtwoorden mogen we natuurlijk niet zomaar ongeldig verklaren, maar als je wijzigt gelden er strengere regels.
Badge
Schop! (omdat ik het nog steeds niet eens ben met het wachtwoord- en publiceren-van-gegevens-op-de-mijn-simyo-pagina's-beleid)
Misschien verschillen we van mening; ik heb niet altijd braaf naar mijn moeder geluisterd en ben toch wel aardig goed terecht gekomen.
Reputatie 5
Badge +11
Schop!

simonlebon, je geeft eigenlijk een heel aardige voorzet, maar ik zal niet gaan schoppen.
De eisen die er gesteld zijn, zijn er nu eenmaal. Daar kunnen we niets aan veranderen en ze zullen in de nabije toekomst ook niet minder streng worden.
Badge
"Hij die zich ergens lijdzaam bij neerlegt zal geen verandering te weeg brengen." (Simon le Bon)

Waar niet op ingegaan wordt, is dat de zgn sterke wachtwoorden schijnveiligheid creëren.
Op de 'Mijn Simyo' pagina wordt het vcolledige adres, geboortedatum én IBAN bankrekeningnummer van de gebruiker gepubliceerd.
Dit is niet nodig omdat de gebruiker zijn geboortedatum etc wel weet en de publicatie vormt een veiligheidsrisico (als je je een beetje in een crimineel kunt verplaatsen, zie je meteen waarom).

Als Simyo/KPN het werkelijk om veiligheid te doen is, zouden zij deze gegevens af moeten schermen. Door bijvoorbeeld de geboortedatum niet weer te geven en de bankrekening grotendeels afgeschermd.
Reputatie 5
Badge +11
Hi simonlebon,
Op de 'Mijn Simyo' pagina wordt het volledige adres, geboortedatum én IBAN bankrekeningnummer van de gebruiker gepubliceerd.

Denk je niet dat mede daarom de wachtwoord eisen zijn zoals ze zijn?

Feit is nu eenmaal dat we er niet onder uit komen. Op zich hou ik er wel van om zaken aan de kaak te stellen, maar dat is zinloos in dezen.
Badge
Hi simonlebon,
Op de 'Mijn Simyo' pagina wordt het volledige adres, geboortedatum én IBAN bankrekeningnummer van de gebruiker gepubliceerd.

Denk je niet dat mede daarom de wachtwoord eisen zijn zoals zijn?


Denk je niet dat dat argument niet geldt wanneer er voor oude wachtwoorden niets verandert?
Denk je niet dat de wachtwoordeisen een vorm van schijnveiligheid is waarbij het risico op identiteitsfraude zeer zeker aanwezig is?

Wachtwoorden die opgeslagen zijn, zijn vrij eenvoudig (als je de kennis in huis hebt) uit de windows user data te halen. Dat kan oa via een code-injectie via een browser met java enabled (wat het grosso modo van de gebruikers aan hebben staan). Ook is het mogelijk het beheer over de gehele pc te krijgen.

Dus blijf ik erbij dat de beste beveiliging tegen o.a. identiteitsfraude is om de genoemde gegevens (deels) af te schermen. Als er dan iemand toegang mocht krijgen, heeft hij eigenlijk niets.

Ik begrijp dat jij het niet voor elkaar kunt krijgen de wachtwoordeisen aan te passen, maar misschien kan je wel voor elkaar krijgen dat de gegevens beter afgeschermd worden.

Ik heb vroeger veel toegangsbeveiligingen (server-externe client) opgezet en deze waren redelijk foolproof zonder het gebruikersgemak aan te tasten. Goede authenticatie was slechts een onderdeel daarvan. Het is het hele pakket (dus ook infrastructuur) dat goed moet zijn en rekening houdt met de nukken van users. *mompelt iets van zwakste schakel*
Reputatie 7
Badge +9
Het lijkt me dat deze discussie tot in eeuwigheid kan doorgaan, want hoe overtuigend de argumenten van simonlebon ook zijn (wat ik niet helemaal kan beoordelen), het is inmiddels overduidelijk dat ze niet door Simyo ter harte zullen worden genomen. Verdere discussie over dit onderwerp lijkt me dan ook verspilling van tijd en moeite.
Reputatie 5
Badge +11
Het simonlebon,

Hoe iemand zijn of haar eigen PC beveiligd is niet aan ons of aan KPN. Er zal ook een tijd aankomen wanneer reeds bestaande eenvoudige wachtwoorden aangescherpt zullen moeten worden.

Simyo zelf voldoet aan alle eisen die er gesteld worden.
Badge
Ernst, bedankt voor de uitleg (niet sarcastisch bedoeld!)
Wij zullen helaas niet verder komen dan dit.

....het is inmiddels overduidelijk dat ze niet door Simyo ter harte zullen worden genomen. Verdere discussie over dit onderwerp lijkt me dan ook verspilling van tijd en moeite.
I couldn't agree more, Scotsman.

Maar ik heb in ieder geval mijn best gedaan, net als Ernst. Ook ben ik tot wat meer inzicht gekomen.
Reputatie 7
Badge +9
Ernst, bedankt voor de uitleg (niet sarcastisch bedoeld!)
Wij zullen helaas niet verder komen dan dit.


I couldn't agree more, Scotsman.

Maar ik heb in ieder geval mijn best gedaan, net als Ernst. Ook ben ik tot wat meer inzicht gekomen.


Ik vind dat een mooie uitkomst van dit debat. Daar is dit forum tenslotte voor. You can agree to disagree, en daar is niets mis mee!
Reputatie 6
Badge +10
Ik vind dat een mooie uitkomst van dit debat. Daar is dit forum tenslotte voor. You can agree to disagree, en daar is niets mis mee!

Daar ben ik het ook helemaal mee eens 🙂

Bedankt voor deze toevoeging aan het forum!
Op aanraden van Simyo de Simyo app geinstalleerd. Daar heb Ik dus spijt van gekregen. Moët elke keer een code invoeren als Ik mijn telefoon wil gebruiken. Uit de discussie hier over, begrijp ik dat daar niets aan te doen is.
Valt me tegen van simyo!
Reputatie 7
Badge +10
Hoi PdeK,

Het topic waarin jij je vraag hebt gesteld sluit niet helemaal aan bij jouw probleem. Deze discussie gaat ergens anders over en zal jou inderdaad geen oplossing bieden. Je hebt jouw vraag ook hier gesteld. In dat topic wordt het juiste onderwerp aangesneden en heb ik ondertussen ook jouw vraag beantwoord.

Groetjes,
Angela

Reageer