Foutmelding "Teveel inlogpogingen": verander je wachtwoord
RE: Foutmelding "Teveel inlogpogingen": verander je wachtwoord
Ingediend door Eelke op di, 19-04-2011 10:47
Er zijn de laatste tijd mensen die last hebben van een melding bij het inloggen dat het aantal inlog-pogingen overschreden is (zie dit draadje in Site Algemeen). Dit is een melding in het rood die verschijnt nadat je hebt geprobeerd in te loggen.
Hoe los je het op?
De tekst van de foutmelding klopt niet helemaal, maar het komt erop neer dat er naast je gebruikersnaam en wachtwoord een extra controle gevraagd wordt, die erop is gericht om uit te sluiten dat degene die probeert in te loggen een geautomatiseerd script is (bovendien is het een extra drempel voor echte personen die zouden proberen om je wachtwoord te raden). Het is dezelfde controle die wordt gedaan bij het aanmaken van een nieuw account (dat is ook de reden dat het niet helemaal klopt als hij wordt getoond bij het inloggen). Inloggen als je de foutmelding te zien krijgt stelt niet meer voor dan naast je gebruikersnaam en wachtwoord ook nog het antwoord op de controlevraag ("seven") op te geven.
Waarom gebruikt het forum een controlevraag en geen meer traditionele CAPTCHA (een plaatje met daarin letters en cijfers die je moet overtypen)? De reden hiervoor is dat de standaard CAPTCHA van de forum-software onvoldoende beveiliging biedt. Aangezien de forum-software (phpBB) veel wordt toegepast, is het er kwaadwillenden alles aan gelegen om de beveiligingen te omzeilen. De ironie daarbij is dat het niet de moeite loont om voor een enkel middelgroot forum als het onze uit te zoeken wat het antwoord is op een eenvoudige vraag, maar wel om de relatief geavanceerde phpBB-CAPTCHA te kraken, omdat die eenvoudigweg veel vaker wordt toegepast; heb je die gekraakt, dan zijn er ineens duizenden forums vrij toegankelijk.
Hoe komt het?
Hoe het komt dat sommige mensen deze foutmelding te zien krijgen is niet met zekerheid te zeggen, maar aangezien het redelijk vaak lijkt voor te komen, is het meest waarschijnlijk dat precies gebeurt waar de voorziening tegen moet beschermen: een geautomatiseerd script probeert systematisch gebruikersnamen in combinatie met wachtwoorden uit (helaas was er uit de logs geen "verdachte" aan te merken). Zijn de drie pogingen op, dan gaat hij bij de volgende proberen of er misschien gebruik is gemaakt van een eenvoudig te raden wachtwoord. Als je dan zelf probeert in te loggen krijg je de melding dat het aantal pogingen is overschreden, zonder dat je je kunt herinneren dat je een aantal mislukte inlogpogingen hebt gedaan.
Is dat het hele verhaal?
Dat is moeilijk te zeggen. Maar zeker als je de melding, dat het aantal inlogpogingen is verstreken, vaker krijgt, of als je regelmatig hebt dat je om onverklaarbare reden bent uitgelogd, is het verstandig om zo nu en dan je wachtwoord te wijzigen. Kies daarbij een wachtwoord wat bestaat uit letters en cijfers. Kies niet een makkelijk voorspelbaar wachtwoord zoals je woonplaats of geboortedatum; dat zouden net dingen kunnen zijn die geraden kunnen worden. Gebruik ook niet hetzelfde wachtwoord voor meedere sites, want als je wachtwoord op 1 site wordt gekraakt, is het eerste wat er gedaan wordt, hetzelfde wachtwoord op andere sites proberen. Gebruik de mogelijkheden van je browser of speciale software als 1Password om de verschillende wachtwoorden beheersbaar te houden. Heb je geen inspiratie voor een goed wachtwoord, dan kun je op de website Strongpasswordgenerator.com/ een goed wachtwoord maken.
Waarom? Elke keer dat je zelf inlogt wordt het aantal inlogpogingen weer gereset. In theorie geeft dat iemand die op zoek was naar jouw wachtwoord weer drie extra pogingen om verder te zoeken. Als het dan vaker voorkomt dat je de melding krijgt, dan is dat een indicatie dat dat ook daadwerkelijk gebeurt.
In de toekomst zal ik wat aandacht besteden aan het scherm dat je te zien krijgt als het aantal inlog-pogingen is opgebruikt, zodat in elk geval de getoonde foutmelding niet meer zo verwarrend is. Tot dan hoop ik dat dit voldoende uitleg is.
RE: Foutmelding "Teveel inlogpogingen": verander je wachtwoord
Ingediend door Eelke op di, 19-04-2011 10:47
Er zijn de laatste tijd mensen die last hebben van een melding bij het inloggen dat het aantal inlog-pogingen overschreden is (zie dit draadje in Site Algemeen). Dit is een melding in het rood die verschijnt nadat je hebt geprobeerd in te loggen.
Hoe los je het op?
De tekst van de foutmelding klopt niet helemaal, maar het komt erop neer dat er naast je gebruikersnaam en wachtwoord een extra controle gevraagd wordt, die erop is gericht om uit te sluiten dat degene die probeert in te loggen een geautomatiseerd script is (bovendien is het een extra drempel voor echte personen die zouden proberen om je wachtwoord te raden). Het is dezelfde controle die wordt gedaan bij het aanmaken van een nieuw account (dat is ook de reden dat het niet helemaal klopt als hij wordt getoond bij het inloggen). Inloggen als je de foutmelding te zien krijgt stelt niet meer voor dan naast je gebruikersnaam en wachtwoord ook nog het antwoord op de controlevraag ("seven") op te geven.
Waarom gebruikt het forum een controlevraag en geen meer traditionele CAPTCHA (een plaatje met daarin letters en cijfers die je moet overtypen)? De reden hiervoor is dat de standaard CAPTCHA van de forum-software onvoldoende beveiliging biedt. Aangezien de forum-software (phpBB) veel wordt toegepast, is het er kwaadwillenden alles aan gelegen om de beveiligingen te omzeilen. De ironie daarbij is dat het niet de moeite loont om voor een enkel middelgroot forum als het onze uit te zoeken wat het antwoord is op een eenvoudige vraag, maar wel om de relatief geavanceerde phpBB-CAPTCHA te kraken, omdat die eenvoudigweg veel vaker wordt toegepast; heb je die gekraakt, dan zijn er ineens duizenden forums vrij toegankelijk.
Hoe komt het?
Hoe het komt dat sommige mensen deze foutmelding te zien krijgen is niet met zekerheid te zeggen, maar aangezien het redelijk vaak lijkt voor te komen, is het meest waarschijnlijk dat precies gebeurt waar de voorziening tegen moet beschermen: een geautomatiseerd script probeert systematisch gebruikersnamen in combinatie met wachtwoorden uit (helaas was er uit de logs geen "verdachte" aan te merken). Zijn de drie pogingen op, dan gaat hij bij de volgende proberen of er misschien gebruik is gemaakt van een eenvoudig te raden wachtwoord. Als je dan zelf probeert in te loggen krijg je de melding dat het aantal pogingen is overschreden, zonder dat je je kunt herinneren dat je een aantal mislukte inlogpogingen hebt gedaan.
Is dat het hele verhaal?
Dat is moeilijk te zeggen. Maar zeker als je de melding, dat het aantal inlogpogingen is verstreken, vaker krijgt, of als je regelmatig hebt dat je om onverklaarbare reden bent uitgelogd, is het verstandig om zo nu en dan je wachtwoord te wijzigen. Kies daarbij een wachtwoord wat bestaat uit letters en cijfers. Kies niet een makkelijk voorspelbaar wachtwoord zoals je woonplaats of geboortedatum; dat zouden net dingen kunnen zijn die geraden kunnen worden. Gebruik ook niet hetzelfde wachtwoord voor meedere sites, want als je wachtwoord op 1 site wordt gekraakt, is het eerste wat er gedaan wordt, hetzelfde wachtwoord op andere sites proberen. Gebruik de mogelijkheden van je browser of speciale software als 1Password om de verschillende wachtwoorden beheersbaar te houden. Heb je geen inspiratie voor een goed wachtwoord, dan kun je op de website Strongpasswordgenerator.com/ een goed wachtwoord maken.
Waarom? Elke keer dat je zelf inlogt wordt het aantal inlogpogingen weer gereset. In theorie geeft dat iemand die op zoek was naar jouw wachtwoord weer drie extra pogingen om verder te zoeken. Als het dan vaker voorkomt dat je de melding krijgt, dan is dat een indicatie dat dat ook daadwerkelijk gebeurt.
In de toekomst zal ik wat aandacht besteden aan het scherm dat je te zien krijgt als het aantal inlog-pogingen is opgebruikt, zodat in elk geval de getoonde foutmelding niet meer zo verwarrend is. Tot dan hoop ik dat dit voldoende uitleg is.