http://www.onepassword.com/
Is daar een perfecte oplossing voor, via simpele methodes maak dat programma een uniek wachtwoord aan voor iedere site, gebaseerd op één wachtwoord.
Simpelweg genomen voor de technische uitleg, wordt de domeinnaam
de salt en wordt dat gecombineerd met jouw enkele wachtwoord om zodoende een uniek MD5 wachtwoord te maken.
md5('www.tweakers.net' + 'wachtwoord')
@JapyDooge, dat blijft altijd een probleem, maar daarom had ik ook de technische code erbij gedaan. Ik heb dus mijn eigen systeem gemaakt voor onze klanten met een paar regels code. En met wat simpele cryptography kan je het ook zelf doen.
Voorbeeld: je wachtwoord wordt eerste 4 letters van de website die je bezoekt met elk character 1 bij opgetelt + je normale wachtwoord. Dus zeg je enkelvoudige wachtwoord is "_Japy#Doodge(6192)" en je bezoekt "Tweakers.net", dan wordt je wachtwoord daar:
Twea = Uvfb (alle letters +1) »» Uvfb_Japy#Doodge(6192)
Nu is dit meest simpele vorm, maar resulteert in een zeer sterk wachtwoord. Echter is deze techniek erg simpel, dus moet je wel twee 'master' wachtwoorden gebruiken met dit systeem, want anders zou een corrupte website beheerder die toegang heeft tot 2 websites waar jij dit systeem op gebruikt zeer snel jouw wachtwoord systeem kunnen afleiden en dan meteen jouw Paypal.com wachtwoord weten bijvoorbeeld. Maar twee wachtwoorden onthouden waarbij je één voor SSL beveiligde financiële websites gebruikt en de andere voor een site zoals Tweakers is nog wel te doen voor de meeste mensen.
En er zijn natuurlijk veel complexere methodes te gebruiken die wel veilig zijn, zoals via PHP code: php -r "echo md5('Tweakers.net' . 'Japy#Doodge(6192)').\"\\n\"; =
25fe368a6a24b34e3270245e7f9521b1
@MagicPatrick, de MD5 is 32 hex-chars, dus je berekening klopt niet. Je kan ook SHA-512 gebruiken, of de 32-hex char MD5 te converteren naar een 16-char full-ASCII wachtwoord (dat laatste is de methode die wij gebruiken). Zolang je jezelf maar tot denken zet en een goede methode gebruikt die voor jouw het makkelijkst werkt.
@Proxy, en waar ben je bang voor? Je wachtwoord is in het ergste geval al bekend (een goede site gebruikt hash-verificatie en kan jouw wachtwoord zelf geneens). Als jij nu al gebruikt maakt van unieke wachtwoorden voor elke website die je gebruikt, dan petje af voor je. Echter het hergebruiken van wachtwoorden is een bekend fenomeen, en daar moet je dus zo voor oppassen. Je kan ook een TrueCrypt volume of een 7-zip bestand gebruiken met een wachtwoord bestand erin. Het voordeel van de url-salt+wachtwoord methode die ik beschreef is nu juist dat het "master wachtwoord" alleen in je hoofd zit.
Feit blijft dat het op een wachtwoord gebaseerde authenticatie berust. Net als biometrisch of een hardware matige sleutel zijn dit enkelvoudige methoden om je te authentiseren.
Een sterke authenticatie methode bestaat uit
twee of drievoudige authenticatie.
- Iets wat je weet: Wachtwoord / pincode
- Iets wat je hebt: Pinpas / autosleutel / USB authenticatie-token
- Iets wat je bent: Iris(scan) / vinger(print) / DNA / pasfoto
Vandaar dat een pinpas een pincode heeft en dat een vingerafdruk alleen, niet genoeg is.
<span style="color:#786562">* Bl@ckbird is het daarom niet eens met het DigiD, omdat het alleen gebaseerd is op een username / password.
</span>
Voor een belastingaangifte is dat nog geen probleem, maar straks wordt je hele medische dossier er achter gehangen. ( Bij wijze van...)
* Bl@ckbird is het daarom niet eens met het DigiD, omdat het alleen gebaseerd is op een username / password.
DigiD gebruikt toch ook SMS authenticatie (ongeveer iets wat je hebt: een telefoon)?
Alleen als je ook je 06 opgeeft.
Er zijn 3 gradaties in de diensten waarvoor digid kan worden gebruikt.
De simpelste diensten, misschien bijv rijbewijs aanvragen of zo, kan met alleen je gebruikersnaam + wachtwoord.
Verder zijn er al diensten waarbij sms authenticatie nodig is. Om hier gebruik van te kunnen maken is het dus noodzakelijk dat je een 06 nummer hebt geregistreerd. (Ik vraag me af hoe ze dat gaan doen als mensen in de loop der jaren van nummer gaan wisselen aangezien je elk nummer maar 1 keer kunt registreren en zo...)
Er komt nog een derde gradatie die op dit moment nog niet is geimplementeerd of zelfs maar uitgewerkt voor zover ik begreep.
* IntToStr heeft toevallig net zo'n digid account aangevraagd 
Oei, ik zit net die xpi door te spitten, maar er zit wel iets vreemds in die scramblepass.js
[code]
var regx1 = new RegExp("\/","g");
var regx3 = new RegExp("[=]","g");
var regx2 = new RegExp("[+]","g"); //used [+] because slashes were bothering
//mozilla
//this replaces all instances of
//specified character (would normally be
//a list of characters)
hash = hash.replace(regx1,"x");
hash = hash.replace(regx2,"x");
hash = hash.replace(regx3,"x");
hash = hash.replace(regx3,"x");
//alert(hash);
-knip-
passwd = "s1"+ hash.substring(0,length-2);
[/code]
Oftewel je wachtwoord begint altijd met "s1" als je dit onepassword gebruikt. (Ben verder niet bekend met regexp, maar dat lijkt ook een verzwakking te zijn met die g's en x'en.) Zie ook de afbeelding op de site.
Dus dat lijkt me dan weer een vector om met phising achter je masterwachtwoord te komen. Aangezien je de salt hebt (is je eigen domeinnaam) en de uiteindelijke hash kan vergelijken.
![[RSS]](http://tweakimg.net/g/if/v2/icons/rss_small.png){kind=icon}
19:26
18:12
![[show]](http://tweakimg.net/g/if/comments/button_down.gif "Reactie uitklappen")
Door 
Maar veel plezier met je Mac!
