In de nacht van dinsdag 28 januari op woensdag 29 januari start een nieuw wachtwoordbeleid voor de e-maildiensten en de MIJNFreedom omgeving. Dit kan gevolgen hebben dat je wachtwoord mogelijk gewijzigd moet worden.
Allereerst informatie over wat er verandert en wat de nieuwe vereisten worden.
Waar moet mijn wachtwoord aan voldoen?
Voor nieuwe wachtwoorden moet het aan de onderstaande voorwaarden voldoen:
Het wachtwoord moet sterk genoeg zijn. Op de achtergrond wordt het getoetst op verschillende criteria en een 'entropy score' gegeven. Deze wordt netjes weergegeven tijdens het aanmaken.
Het nieuwe wachtwoord mag niet dezelfde zijn als de huidige en vorige.
Bestaande wachtwoorden zullen gecontroleerd worden. Dit gebeurt tijdens het inloggen in de MIJN Freedom omgeving, het ophalen van e-mail of wanneer een e-mail verzonden wordt. Het wachtwoord wordt gecontroleerd of deze voor komt op HIBP. Indien het wachtwoord is gelekt, zal je hierover geïnformeerd worden bij de eerst volgende login op de MIJN Freedom omgeving.
Waarom wordt dit gewijzigd?
Het is de dag van de privacy! Naast dat het belangrijk is dat de toegang tot jouw accounts goed beveiligd is, worden er vaker accounts door derde partijen benaderd voor poging tot inloggen. Daarin worden vaak voorkomende- en gelekte wachtwoorden gebruikt. Al een tijd beschermen wij en onze leverancier jou al voor het kiezen van een gelekt wachtwoord. Hierover hebben wij een artikel geschreven en is terug te lezen op: https://freedom.nl/nieuwsartikel/automatische-datalek-check
Jammer dat die HIBP check er nog steeds in zit en niet optioneel gemaakt is. Het is naar mijn mening een onethische club die gesloten data gebruikt (heling dus) voor commercieel gewin, die moet je niet op een (beveiligings-)voetstuk plaatsen.
Jammer dat Freedom hier opnieuw geen inbreng in lijkt te (willen?) hebben om Soverin’s gedachten daarin te moeten volgen met een bizar restrictief beleid.
Beleid dat, buiten mogelijk maken, altijd keuze zou moeten zijn voor wie dat zo (desnoods standaard of anders) wil toepassen.
Dan aankomen met het gebabbel over privacy is vooral over de rug van een opgelegde dwang mooi weer proberen te spelen.
Los hiervan is uitsluiten van gekende wachtwoorden en zg sterke combinaties vooral een probaat middel dat bepaalde wachwoorden alvast kunnen worden uitgevinkt door partijen die snode(re) plannen zouden hebben.
“heling”… het gaat over data die om niet beschikbaar is gekomen op het “dark web”…
De wachtwoorden samen met usernames etc staan dus op een soort van, heel grote, advertentie panelen langs de openbare weg, ten minste als je de achterbuurten in wil.
In die zin kan HIBP wel helpen. De dienst is vrij, alleen van grote opvragers wordt een bijdrage in de kosten gevraagd.
Soverin/Freedom gebruikt dan “de” hashes om die naast die van HIBP te leggen. 2FA (via TOTP) staat er aan te komen bij Soverin en dus wat later ook voor Freedom. Wat mij alleen niet gaat bevallen, dat daarin een soort van mogelijke verplichting lijkt te kunnen gaan voortkomen.
We voelden ons enorm veilig.
Van die serie waren er maar 20 sleutels, waarvan er 6 het meest voor kwamen.
En het nummer van de sleutel, stond leesbaar op de zijkant van de deur.
Toch zijn er mensen zo eigenwijs die dit slot in 2025, nog steeds op hun buitendeur gebruiken.
Zoals ik het begrijp:
Er vindt dus controle plaats op het moment dat je het bestaande wachtwoord invoert of gebruikt.
Voldoet het niet aan de eisen of is het ooit gelekt, dan wordt je verzocht een nieuw wachtwoord te gaan gebruiken.
Het wachtwoord zelf is niet opgeslagen en kan dan ook niet plain text worden gecontroleerd.
Dat “we” is dan naast wie, aan jou. Niet iedereen woont ergens waar ingebroken wordt en dit verder een keuze moet zijn.
Best raar dat een ander voor een abbo gaat bepalen waaraan een wachtwoord moet voldoen.
Waarom is/mag/kan/gaat dat (desnoods als opt-out) geen keuze zijn ?
Ik vindt het niet raar.
Beveiliging is zo goed als de zwakste schakel.
Er is ook nog zoiets als reputatie.
Mijn collega Piet had vroeger het wachtwoord 2222
Dat vond hij heel sterk, omdat niemand dat verwacht.
Toen werd hij gedwongen letters en cijfers te gebruiken.
piet1970 werd het toen.
Toen moest hij een hoofdletter gebruiken, Piet1970
Later kwamen er weer nieuwe regels, Piet-1970
Toen was het te kort. Piet01-01-1970
Wees niet als Piet.
En wees geen Zeurpiet, door om een opt-out knopje te vragen.
Een opt-out in de kern van het systeem… Echt?
Ik gebruik voor ieder doel een ander random gegenereerd wachtwoord. Iedere match met HIBP data is een false positive en vind ik dus niet boeiend, nog naast dat ik het totaal niet boeiend vind wat HIBP van mijn wachtwoord vindt.
Een verhaal om iets ridicuul proberen af te schilderen.
Waarom is iemand een zeurpiet als die wil kiezen wat wel en niet ?
De onderbouwing kan zijn om een reputatie te beschermen of tegemoet te komen aan iemands beveiligingsgevoel daarin. Geen idee wat dat te maken heeft met keuze van wachtwoorden.
Dat de wachtwoordcheck als recente aanvulling, de kern is van een systeem, verzin je ter plekke.
En ja ik zou ook graag weten waar, hoe en op welke wijze precies die HIBP check technisch is geimplementeerd en hoe dat is te controleren.
Los van keuze moeten we maar gokken hoe dat is gedaan.
Een opt-out keuze zou juist onderstrepen dat een privacy minnende organisatie dat biedt ipv (zich) dat eenzijdig op te (laten) leggen.
Prima als advies waarbij het aan de gebruiker is om daar tegen ingaande, van af te willen wijken.
Ik zou niet graag een provider waar ik (en waarschijnlijk velen hier) om principiële redenen gebruik van maken, standaard tegemoet treden met ‘maar gokken hoe dat is gedaan’.
Het punt is, dat de toenemende samenwerking met/afnemende autonomiteit ten opzichte van/verdergaande overname van essentiele bedrijfsprocessen door Soverin vragen oproept.
En dat blijven, in elke nieuwbrief of mededeling hier, onbeantwoorde vragen. Een duidelijk gemiste kans, die bij elke nieuwigheid waar Soverin een rol speelt, opnieuw en meer opspeelt.
Hoe checkt Freedom dit precies?
Een wachtwoord kan worden omgezet naar een hash. We sturen de eerste 5 karakters van die hash naar de service ‘Have I been pwnd?’. Vervolgens krijgen we van hen alle hashes terug die beginnen met die 5 karakters, gemiddeld zijn dat 478. Wij checken of de hele hash overeenkomt met één van die teruggestuurde hashes. Als dat het geval is kunnen we de gebruiker informeren dat dit wachtwoord voor is gekomen in een datalek. Belangrijk om te weten is dat we het wachtwoord niet combineren met het account of e-mailadres.
Je wachtwoord zelf gaat dus niet naar derden en de check wordt los van je account/email uitgevoerd.
Het zou wel mooier zijn als ze een eigen mirror zouden gebruiken ipv de externe API. Dan kan HIBP ook niet (mogelijk) bijhouden hoe kwetsbaar Freedom klanten in het algemeen zijn. Ik heb hem zojuist even zelf gedownload (40GB) en het werkt op dezelfde manier. De eerste 5 tekens van de hash is een plaintext file met daarin de volledige hashes. Als die file of hash ontbreekt dan staat het wachtwoord niet in HIBP.
Het staat beschreven in de uitleg van Soverin waarbij - voor mij - volstrekt onduidelijk is of dat ook op welke wijze ook zo is. Ik neem hierbij tenminste aan dat Freedom dat in broncode heeft gecheckt (of mogelijk toch niet ?).
Ik zou dat proces, ook willen kunnen nazien. Duw de gebruikte “MijnFreedom”-zooi op GitHub en dan klaar voor wie het daar wil doorgronden. Ook handig om dan daar te babbelen over ins/outs/bugs.
Idd zou ik liever zien dat Freedom haar eigen HIBP database bijhoudt.
Los daarvan heeft het checken van een wachtwoord zonder de contextuele toepassing daarvan, een verminderde waarde.
Eenmaal een ww in de HIBP database zou dit zijn aangemerkt met die vermeende kwaliteit.
Een "staatshacker " hoeft iig dan niet de in centrale HIBP voorkomende hashes te toetsen bij bedrijven die daar verplicht gebruik van maken. Scheelt haar weer wat aan haar bruteforce resources.
Mij boeit het als gebruiker geen zier dat een wachtwoord voor een ander zg. slecht zou zijn en al helemaal niet als ik bv aanvullende regels heb opgesteld omtrent toegang dat alleen ik vanuit mijn connectie, dan bij mijn mail kan komen.
Los daarvan gaat wmb alleen de gebruiker over de kwaliteit van een toegepast wachtwoord waarbij het resultaat van o.a. criteria als HIBP, op zijn best een advies kan zijn. Ook de beperking dat een “oud” wachtwoord niet mag worden gebruikt of iemand ineens een inlogwachtwoord zou moeten moet veranderen, schurkt aan tegen wij “bepalen wat goed voor u is”.
Ik lees dat als: je accountnaam/email wordt niet aan HIBP doorgegeven, waar het verhaal over gaat. Natuurlijk is het met de huidige authenticatievorm (user/pass) niet mogelijk om je wachtwoord en diens veiligheidsstatus aan de kant van Freedom/Soverin los te trekken. Ook is de notificatie dat je wachtwoord niet oké is niet mogelijk zonder je account te weten. Dat spreekt voor zich.
Dat geeft je nul garantie dat het ook zo op de servers draait.
Maar blijkbaar kun je hier wel je eigen schrijfsels verwijderen…
Waar zijn jouw berichten gebleven waar meerdere bezoekers van dit draadje op hadden gereageerd?
Dat is inderdaad jammer. @PeterB draagt wel bij aan de discussie. De toon is op dit forum wel snel negatief, wat ergens ook wel hoort bij de (gezonde) paranoia van freedom-fighters. Ik betrap mezelf er ook wel eens op en wil dan eigenlijk boos alles deleten of users blokkeren, maar ook minder populaire/fijne meningen en opvattingen geven perspectief in een discussie. Het is beter om met elkaar in gesprek te blijven.