The Wiert Corner – irregular stream of stuff

Jeroen W. Pluimers on .NET, C#, Delphi, databases, and personal interests

  • My badges

  • Twitter Updates

  • My Flickr Stream

  • Pages

  • All categories

  • Enter your email address to subscribe to this blog and receive notifications of new posts by email.

    Join 2,810 other followers

Beveiligde gedeelte internetsite Belastingdienst: Makkelijker kan @BDzakelijk hiet niet maken…

Posted by jpluimers on 2014/01/25

Even lachen om de eisen van een nieuw zakelijk belastingdienst wachtwoord:

Uw wachtwoord moet:

  • anders zijn dan uw vorige wachtwoorden
  • minstens 3 karakters bevatten die niet in het wachtwoord voorkwamen dat u van ons hebt ontvangen
  • minstens 6 karakters lang zijn
  • niet meer dan 3 dezelfde karakters bevatten
  • minstens 3 letters bevatten
  • minstens 1 cijfer bevatten

Ofwel:

  1. het mag niet te complex (want dan krijg je herhalingen)
  2. het mag niet te makkelijk

Je komt daarmee uit richting een relatief kort en moeilijk te onthouden wachtwoord. Wat dan vast ergens genoteerd wordt en dus automatisch minder veilig is.

Iets als “WatWasDitEenGoedeUserExperience” kan dus niet (meer dan 3 keer een “e”)…

En dan komt daarna natuurlijk de password reset optie. Waar je “dus” niet je eigen controlevraag mag invullen, maar moet kiezen uit voor gedefinieerde vragen.

Controlevraag en antwoord opgegeven

Kies nu een controlevraag en antwoord. Bewaar uw controlevraag en antwoord goed. Hiermee kunt u zelf uw gebruikersnaam en/of wachtwoord achterhalen als u die later vergeten bent.


<select name="vraag"><option value="1" selected="selected">Initiële wachtwoord op de uitnodigingsbrief van de Belastingdienst</option>
<option value="2">Klantnummer van uw onderneming bij uw energiebedrijf</option>
<option value="3">Verloopdatum rijbewijs (dd-mm-jjjj) hoofdverantwoordelijke aangiften</option>
<option value="4">Pasnummer privé-bankpas van de hoofdverantwoordelijke aangiften</option></select>

De default is niet handig: stel je voor dat iemand de brief onder ogen krijgt. En de andere antwoorden zijn ofwel op te zoeken, ofwel met wat social engineering te achterhalen. Niet veilig.

De tekst boven de keuze suggereert dat je de informatie moet bewaren. Wat meestal een minder goede beveiliging oplevert, juist omdat bewaren (vaak op papier) vrijwel altijd impliceert dat ook anderen die informatie ooit te zien kunnen krijgen.

–jeroen

via: Beveiligde gedeelte internetsite Belastingdienst.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

 
%d bloggers like this: