Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 158 reacties

Remote-access-aanbieder LogMeIn heeft wachtwoordbeheerder LastPass overgenomen. Het bedrijf gaat eigenschappen van LastPass onder andere combineren met de wachtwoordmanager voor teams van Meldium

LogMeInLogMeIn legt in totaal 125 miljoen dollar neer voor LastPass. Het team van LastPass geeft aan dat diensten voor klanten ontwikkeld en verbeterd blijven worden, voor zowel het gratis aanbod als het Premium- en Enterprise-aanbod.

Volgens LogMeIn is het plan onder andere om eigenschappen van Meldium te integreren in LastPass. Meldium is een wachtwoordbeheerder voor teams, die in september 2014 door het bedrijf is overgenomen. De beide producten zouden op lange termijn onder de LastPass-merknaam verdergaan.

LogMeIn is een aanbieder van remote-access-diensten. De softwareontwikkelaar werd in 2003 opgericht en was lange tijd vooral populair met zijn gratis remote-access-pakket, maar begin vorig jaar stopte het bedrijf hiermee. Online-wachtwoordbeheerdienst LastPass kampte in de zomer met een omvangrijke inbraak in zijn servers. De schade daarvan viel uiteindelijk mee, maar het vertrouwen in de dienst liep een deuk op.

Moderatie-faq Wijzig weergave

Reacties (158)

Ik ben niet zo'n fan van LastPass. Nog nooit gebruikt. Maar het is totaal onveilig om al je wachtwoorden in de cloud op te slaan. Helemaal nu bijna iedereen weet dat het laatst was gehackt.

Bron: nieuws: Hackers bemachtigen persoonsgegevens van servers LastPass

[Reactie gewijzigd door AnonymousWP op 9 oktober 2015 15:20]

Je wachtwoorden staan in de cloud, maar zij hebben geen mogelijkheid om je masterpassword te herstellen. Kort gezegd: Vergeet je je wachtwoord van je wachtwoord kluis, dan ben je de sjaak. Daardoor is er nagenoeg geen mogelijkheid dat bij eventueel verlies van data bij lastpass aan derden deze jouw wachtwoorden achterhalen, want al je data staat volledig encrypted opgeslagen op de servers bij Lastpass.

Daarnaast moet je je ook afvragen of de huidige methode van de meeste internetgebruikers zoveel veiliger is. Het merendeel van de internetgebruikers heeft nagenoeg bij elke login hetzelfde wachtwoord. Dat gecombineerd met het feit dat tegenwoordig bijna overal je e-mail adres als gebruikersnaam wordt gebruikt de gevolgen bij verlies van een wachtwoord bij één van de gebruikte logins gigantisch kan zijn.

Ik gebruik daarom wel Lastpass, zodat ik bij elke website een ander wachtwoord heb. Mijn hoofdwachtwoord bij Lastpass is uniek en lang. Het risico dat Lastpass wordt gekraakt en mijn wachtwoordkluis op straat komt te liggen is naar mijn idee lager dan het risico op wachtwoordverlies als ik zelf mijn wachtwoord beheer doe bij de vele websites (209 volgens Lastpass) waar ik geregistreerd ben.

[Reactie gewijzigd door frennek op 9 oktober 2015 15:35]

Gebruik zelf op moment van spreken ook Lastpass, maar ben toch stevig aan het nadenken om over te stappen op Keepass. Hoewel ik na veel research ook kan concluderen dat het aan de cloud kant absoluut goed geregeld is, vind ik dat aan de client kant wel ruimte is voor verbetering.

Punt 1: Lastpass bied veel multi-factor authenticatie; het probleem is echter dat alleen je email adres+WW=WW voor jouw databasis; multi-factor authenticatie geld alleen voor beveiliging voor de client.
Ik zou zelf graag willen hebben dat Lastpass een methode uitdenkt, dat multi-factor authenticatie wordt meegenomen in de versleuteling van je databasis.

Punt 2: Lastpass vereist email als gebruikersnaam. Persoonlijk vind ik het aan te raden om dan een adres aan te maken die je alleen voor je Lastpass account gebruikt. Het is dom om datzelfde adres elders te gebruiken, want email=gebruikersnaam=de helft van je databasis gegevens.
Wat Lastpass dus zou moeten doen is dat het product gekoppeld is aan een email adres, maar dat de gebruikersnaam als je WW hier van losstaan.

Punt 3: Lastpass bied de mogelijkheid om je multi-factor authenticatie op jouw apparaat uit te schakelen, en ook de mogelijkheid je huidige WW resetten naar je vorige. Kan je niet uitzetten. Handig in geval van nood zou je denken, maar wacht maar totdat iemand je apparaat steelt/remote toegang tot toe heeft waar je het adres op gebruikt.
Het enige wat Lastpass hier zou moeten doen is gebruikers de optie geven om deze recovery functionaliteit uit te zetten.

Al deze nadelige punten heeft KeePass niet. Je kiest simpelweg een willekeurig gebruikersnaam, een goed WW, en (is aan te raden) een keyfile dat je op een USB stick zit o.i.d. Raak je ook maar iets kwijt (of verandert ook maar iets aan je keyfile); je kan simpelweg nooit meer bij je databasis. Goede security heeft geen ingebouwde redudancy. Tenminste geen redudancy in de zin van restore opties. Restore opties zijn in voor kwaadwillende security holes.

Probleem met KeePass is wel weer dat het voor een blackhat makkelijker is om je databasis te jatten (omdat je jouw eigen synchronisatie methode moet regelen). Al aan de andere kant heeft die persoon dan nog steeds je gegevens nodig voor toegang. Als die persoon je gegevens heeft om te ontsleutelen, heeft of had die persoon toch al toegang tot je systeem. Dus met Lastpass zat je in dezelfde situatie.
Het correct gebruik van Keepass is gewoonweg veiliger dan een site als LastPass. Gewoonweg omdat LastPass een groot centraal doelwit is en als het gekraakt wordt men een groot aantal wachtwoorden heeft.

Daarin tegen is een oplossing zoals KeePass waar de meeste gebruiker anders gebruik maken van de applicatie veiliger tegen aanvallen gericht op de massa's. Doordat de aanval veel meer gericht uitgevoerd moet worden. Natuurlijk moet dit niet de hoofd beveiliging zijn maar het helpt wel. En laten we eerlijk wezen als iemand het specifiek op jou gericht heeft dan is er weinig wat je kan ondernemen zonder extreem paranoïde te worden. Het is eigenlijk net als de beveiliging van een huis, de gelegenheidsdieven wil je buiten houden. Maar tegen de professional die echt binnen wil komen doe je weinig.

Daarin tegen heeft het gebruik van een groot platform ook voordelen. Beveiliging is namelijk niet iets wat je één maal goed doet maar wat je constant bij moet houden. Een groot doelwit heeft hier hopelijk een goed proces voor ingericht en de mensen die hier dagelijks mee bezig zijn.
KeePass is voor een aanval op de individu weer eenvoudiger. Een brute-force attack op de DB is eenvoudiger, dan via online bij LastPass (door o.a. SIEM oplossingen aan de kant van LP).

Veiliger is hierin een kwaliteitsattribuut dat niet eenvoudig vast te stellen is. Het is vooral een kwestie van afwegen van risico's en functionaliteit.
Je kunt ook Lastpass gebruiken voor alle sites behalve de meeste gevoelige. Voor b.v. Paypal gebruik ik Lastpass niet, en ook niet voor Amazon; maar wel voor Tweakers, Facebook, en Google (omdat ik toch tweetrapsbeveiliging daarvoor aan heb staan). Dan kun je eventueel een ander programma gebruiken voor de meeste gevoelige websites, of die gewoon uit je hoofd doen (dat laatste doe ik).
Kleine opmerking; er is geen username bij keepass. Ook is een check file niet verplicht.

Ik gooi mijn keepass overigens in dropbox (het liefst binnenkort mycloud), dus dan is het alsnog makkelijk benaderbaar.
Ik gebruik al jaren KeePass en dat werkt erg fijn naar mijn mening.

O.T.
Ik heb veel gebruik gemaakt van LogMeIn en vind het een goede ontwikkeling dat ze LastPass hebben overgenomen om meer veiligheid in te bouwen!
Het probleem is alleen dat LastPass zelf natuurlijk wel gewoon bij jouw master password kan. Automatic updates staan gewoon standaard aan (en dat is ook het slimste), maar dat betekend wel dat ze op ieder willekeurig moment jouw master password kunnen 'opvragen' via een update. Niet dat per se een groot probleem is, maar je maakt het overheden er wel een stuk makkelijker mee. Blijft wel zo dat als je lui bent een systeem zoals Lastpass veel veiliger is dan overal hetzelfde wachtwoord, maar waan je niet in de illusie dat het een goed en veilig systeem is puur omdat je zelf het masterwachtwoord hebt en bij hun alleen de encrypted password file.
Je wachtwoorden van Amerikaanse sites en diensten proberen te verstoppen voor overheden is een nogal optimistisch plan ;)
Maakt niet uit of LastPass, een van de tientallen andere programma's die je hebt, Windows zelf of de Politie met een van hun hackpakketten het doet, als de overheid die info wilt krijgen ze die wel, daar helpt het verstoppen van je private key niet als een logger al bij houdt waar het dan vandaan komt :/
Het is een stuk moeilijker als overheid om bij duizenden sites aan te kloppen dan het is om the weakest point in the chain aan te vallen. Vooral als je bij sites binnen wilt komen die niet data zomaar willen overhandigen (Microsoft en Google hebben beide in verschillende situaties geweigerd data van Europese burgers zomaar te overhandigen als die in de EU stond). In dit geval is die weakest point je password manager, want als je daar binnen komt valt praktisch alles uit elkaar (nu goed, multi factor authenticatie begint heel langzaam aan een serieus iets te worden, maar nog steeds erg zeldzaam). Hoe dan ook, het is niet alsof ik denk dat overheden nu op dit moment zo slecht zijn (ondanks alles wat er via Snowden naar buiten gekomen is heb ik nog steeds het idee dat de intenties van de verschillende westerse overheden nog steeds 'goed' zijn), maar het gevaar zit hem er vooral in dat we het toestaan dat alles zo gecentraliseerd raakt.
Ik ben bang dat de intenties ooit goed waren, maar dat er nu ook economische spionage optreedt.

Dat gebeurde altijd al, maar als er via wetten een aftaplijntje is gelegd, is het ook lekker makkelijk om in militair landsbelang, of zoiets, technologie te gaan stelen.
Heb je er een bron voor dat ze bij LastPass nú aan je wachtwoord kunnen?
Het is inderdaad theoretisch mogelijk dat ze (nu of in de toekomst) je master wachtwoord aftappen en ergens opslaan voor hun eigen gebruik. Ik ga er echter vanuit dat LastPass dat niet doet en ook niet van plan is: op het moment dat zoiets uitlekt, verwacht ik immers dat iedereen wegloopt. Ze zijn al enkele keren slachtoffer geweest van hackers, maar daar zijn ze wél steeds goed mee omgegaan: ik zie dus geen reden om te verwachten dat het ergens anders niet zo is.
Het gaat ook niet om wat er tot nu toe gebeurd is, maar security gaat er om wat er kan gebeuren. In dit geval gaat het er om dat je wel al die wachtwoorden dus praktisch gezien toegankelijk maakt aan één partij en daar hoeft maar één keer misbruik van te worden gemaakt voor totale chaos. En natuurlijk is het ook een stuk makkelijker voor de overheid om een specifieke binary en hash te interjecten en replacen mochten ze dat ooit willen.
Vergeet niet de dubbele authenticatie die Lastpass ook biedt!
Gebruik LastPass nu al een paar maanden op alleen mijn desktop, werkt super, het Master Password wordt opgeslagen op je eigen PC, versleuteld wel te verstaan.

Ik werd gek van al die gebruikersnamen en wachtwoorden, kon het echt niet meer onthouden allemaal..

Edit: Wel veel negatieve reacties door de overname zie ik in de comments hier.. mmmm.. zal me eens verder verdiepen in de overname in de toekomst..

[Reactie gewijzigd door Alien8 op 9 oktober 2015 15:27]

Maak er gewoon een systeem van. Dan heb je één wachtwoord in je hoofd dat je aanvult met een eigenbedachte salt.

Ik had (vroeger, maak jullie geen zorgen): de laatste drie letters van het hoofddomein + wachtwoord.

Dus hier is het dan ErSwachtwoord. En bij reddit is het DiTwachtwoord. Et cetera...

Zo heb je overal een ander wachtwoord maar hoef je er toch maar één te onthouden.

Ik zou wel iets pakken dat lastiger is dan drie letters in het domein. Maarja.
Totdat een van die sites gehacked wordt en je een ander wachtwoord in moet stellen.
Dan moet je uitzonderingen gaan verzinnen op je bestaande regels en wordt het over tijd toch nog lastig om alles goed bij te houden.

Daarnaast is het geregeld veranderen van een wachtwoord zo wie zo geen slecht idee, en ook dan loop je tegen het zelfde probleem aan.
Datzelfde trucje heb ik ook een tijdje toegepast gehad, echter is het een schijnbeveiliging en geen goed advies. Zodra je een enkel wachtwoord weet, weet je de rest ook automatisch. Over het algemeen zijn de ezelbruggetjes die men verzint heel gemakkelijk te herkennen.
Dit biedt wel veel meer veiligheid dan overal hetzelfde wachtwoord.

Als een server wordt gehackt met heel veel wachtwoorden, dan gaan ze echt niet bij ieder wachtwoord nadenken "welk ezelsbruggetje zou hier gehanteerd zijn", ze gaan voor de easy wins.
Ja, de hacker verkoopt de gegevens aan een derde partij. En die gaan er mee aan de haal. Vooral wanneer je een target wordt ben je nat. Nee, ik pas er tegenwoordig voor.
Dit biedt wel veel meer veiligheid dan overal hetzelfde wachtwoord.

Ja,maar dan leg je de lat weer erg laag.

ErSwachtwoord vs DiTwachtwoord

is hetzelfde als

AbCd vs EfGd

=> 4 tokens
Over het algemeen zijn de ezelbruggetjes die men verzint heel gemakkelijk te herkennen.
Daarom moet je dus ook niet de drie letters pakken. Maar aantal letters in het hoofddomein min aantal letters van het tld. Of zo, weet ik veel.

Het is in ieder geval een stuk beter dan één wachtwoord overal of al je wachtwoorden op één pc opslaan of in de cloud.
Zolang je overal hetzelfde trucje toepast zit je met hetzelfde lek waardoor het hele concept niet werkt. Of je nu 3 of 4 letters pakt, de eerste en de laatste. Het maakt niet uit.

Helemaal wanneer een mens het wachtwoord ziet gezien de mens enorm goed patronen kan herkennen.
Dus:
1) Iemand krijgt mijn email + wachtwoord in plaintext in handen.
2) Komt erachter dat zijn scriptje met dat wachtwoord nergens anders kan inloggen.
3) Vist mijn wachtwoord eruit, uit die duizenden in de dump van wachtwoorden, en gaat specifiek bij die van mij op onderzoek waarom dit wachtwoord niet op andere websites werkt.
4) Herkent het patroon in mijn wachtwoord.
5) Gaat zelf een scriptje schrijven om mijn wachtwoord aan te passen per login en dan overal alsnog inloggen.

Even heel serieus. Hoe groot denk je dat deze kans is? Want ik denk namelijk dat het 100x zo makkelijk is om iemand zijn Masterwachtwoord te ontfutselen. En dan ben je helemaal de zak.
Tegenwoordig? Groot, heel groot. Identiteitfraude en online pesten groeit enorm de laatste jaren, en zoals het er nu uit ziet gaat dit de komende tijd niet afnemen.
De mensen die deze skillset hebben zijn niet de mensen die het gaat om het internetpesten. ID-fraude is een stuk logischer, maar 1000 targets makkelijker dan jij. Punt is, het gaat niet om jou in geen van de gevallen, het gaat om accounts, massa. Zolang je beter beveiligd bent dan je buurman zit je wel goed.

De partijen die het eventueel om jou kan gaan, overheden etc., die komen er toch wel. Ik probeer me redelijk te beveiligen, maar een CIA of AIVD die in mijn laptop willen gaan dat toch wel lukken daar kan ik weinig tegen doen en laten we onszelf ook niet voor de gek houden hoe interessant wij zijn. Ik ben voorstander van privacy, maar ik denk dat we onze interessantheid ook wel eens overschatten.
Het probleem zit hem niet in de criminelen die duizenden tegelijk willen pakken, maar in die ene crimineel die het op jou gemunt heeft. Klinkt alsnog onwaarschijnlijk, maar je weet maar nooit wanneer of waarom je een doelwit bent van een crimineel.
Naja, het hangt af van de complexiteit van je formule, met mijn oude systeem heb ik ooit eens zitten te kijken en rekenen en daar had je realistisch minimaal 3 verschillende sites nodig om de formule te achterhalen als je op iedere site 50 keer kon gokken voor je geblokkeerd werd. Die laatste assumptie is jammer genoeg niet realistisch, dus later wat (stuk) complexer gemaakt. Hoe dan ook, mocht je zin hebben er iets meer over te lezen, lees deze (best controversiële) post van me maar erover: http://security.stackexchange.com/a/72461/25355
Naja, het hangt af van de complexiteit van je formule

Precies, hoe complexer hoe veiliger.

Maar ook hoe complexer, hoe moeilijker te onthouden. Waarom dan 'koppig' een systeem vasthouden ipv gewoon voor échte random te gaan?
Omdat echt random niet te onthouden is en je dus het ergens moet gaan opslaan, wat dus een single point of failure introduceert. Iets wat dus makkelijker massaal aan te vallen is en op te focussen. Niet dat ik tegen password managers ben, maar ik vind het nog best een interessant afweging wat nou realistisch veiliger is. Zeg maar, met welk van de twee dingen je realistisch sneller gehacked zult worden... En op het moment denk ik dat als er geen targeted attacks op je gedaan gaan worden waarschijnlijk dat in dat geval een formule veiliger is.
Omdat echt random niet te onthouden is en je dus het ergens moet gaan opslaan, wat dus een single point of failure introduceert

Dat is inderdaad de afweging. Punt is alleen een complexe formule kun je ook niet onthouden. Een simpele formule echter is veel minder veilig dat jij denkt.

Dat laatst is nu net mijn punt:

Formules zijn patronen, en patronen zijn zwakke passworden.

En op het moment denk ik dat als er geen targeted attacks op je gedaan gaan worden waarschijnlijk dat in dat geval een formule veiliger is.

Jiusta ls er geen targetted attackes zijn is een password manager veilig. Bedenk verder dat passowrd managers in feite gewoon of een boekje in je bureaula zijn, of een offline encrypted file.
Bij een hack als jouw wachtwoord en e-mailadres wordt buitgemaakt hebben aanvallers al veel informatie over jouw wachtwoordstructuur in handen. Het lijkt me dus uiteindelijk niet echt veilig. Zelfs als jij een lastigere variant bedenkt dan de eerste 3 of laatste 3 letters. Met je wachtwoord en het domein zal het uiteindelijk toch niet zo lastig zijn om te ontcijferen. Of je moet een substitutieversleuteling gaan gebruiken, maar hoe lastig is dat om te kraken? Het is vooral erg irritant om te onthouden.
Niemand gaat die tijd erin steken om jou wachtwoord te achterhalen. Het gevaar zit hem inderdaad in dat een kutwebsite jou wachtwoord in plain text opslaat en dan gehackt wordt.

Dan zullen de criminelen die combinatie van email + wachtwoord met een script op andere websites testen. Daar beschermt dit wel tegen. Daarnaast zul je nooit dezelfde hashes hebben als een website vergeet te salten.

Maarja wat raadt je dan aan? Als je wachtwoorden in de cloud opslaan? of op een briefje? Of op één pc?
Je noemt het zo makkelijk "al je wachtwoorden dan maar in de cloud opslaan". Maar dit is natuurlijk een beetje kort door de bocht gezegd.

Je wachtwoorden staan niet opgeslagen in de cloud, alleen een encrypted bestand, waarvan jij de sleutel alleen lokaal weet (als het heel goed is, zit die alleen in je hoofd).

Mits dus het cloudopslag goed gebeurt, met end-to-end encryptie, is een wachtwoordmanager absoluut beter, aangezien je dan echt random wachtwoorden kan maken voor al je sites.

Het systeem wat jij aanhaalt met letters en offset is echt niet veilig meer, een computer kan zo'n patroon zelfs heel snel en makkelijk herkennen.

Een wachtwoordmanager zoals keepas, of lastpass is eigenlijk hetzelfde als een papiertje met al je wachtwoorden die je in een hele sterke kluis legt.
Behalve dan dat de 'digitale' kluis sterker is, mits encryptie goed is, en je masterwachtwoord goed/veilig is. Een echte kluis kan je altijd "openzagen". Goede encryptie met een lang masterwachtwoord, kan in de praktijk onkraakbaar zijn (bruteforce duurt veel te lang).

Ik raad iedereen aan om een wachtwoordmanager te gebruiken. Nee het is niet perfect, maar in de praktijk is het wel het veiligste. Mensen zijn lui en gaan uiteindelijk overal hetzelfde wachtwoord voeren. Met een wachtwoordmanager hoef je maar goed op 1 wachtwoord te letten, wat voor 80% al te moeilijk is.

[Reactie gewijzigd door bskibinski op 9 oktober 2015 16:37]

Buiten de al genoemde argumenten tegen jouw systeem heb je ook nog het probleem dat er nooit één wachtwoord is dat overal geaccepteerd wordt. Soms mogen er geen speciale tekens in, soms moet het juist. Liefst maak je een lang wachtwoord, soms mag hij max 8 karakters lang zijn. Ik heb jouw systeem ook een tijd gebruikt maar zat toch vaak lang te denken of weer een password reset aan te vragen omdat ik net niet meer wist welke variatie ik ergens gebruikt heb.
Wat betreft dat Lastpass onveilig zou zijn, het enige dat in 'de cloud' (oftewel gewoon de servers van Lastpass... alles moet maar cloud heten tegenwoordig) staat is je versleutelde bestand. Lastpass zelf kan die niet eens ontsleutelen. Daarnaast kun je er altijd voor kiezen om je wachtwoorden níet naar de cloud te uploaden, alleen heb je dan dus ook niet dat je wachtwoorden je automatisch overal volgen waar je inlogt. Die afweging tussen gemak en nog meer veiligheid kun je zelf maken en is geen inherent probleem van Lastpass.
Of je maakt juist een combinatie van beiden (een in een password manager opgeslagen, willekeurig gekozen wachtwoord, aangevuld met een salt die je niet opschrijft, maar die eenvoudig genoeg is om te onthouden).

Daarmee zijn je wachtwoorden onvoorspelbaar en toch is zelfs je password manager database ontsleutelen niet genoeg om je logins te pakken te krijgen..
Dat is een waardeloze oplossing, ik kom nl heel veel sites tegen waar je een zgn complex wachtwoord of max aantal karakters mag gebruiken, werkt dus niet deze methode.
Ik zie de laatste tijd meer in een passphrase systeem waarbij de passphrase wordt omgezet naar een gegenereerd wachtwoord. Je moet dan enkel de passphrase onthouden en bent niet afhankelijk van een externe partij of server. Je hebt lokaal wel een app nodig die de passphrase omzet naar het wachtwoord.

[Reactie gewijzigd door ChicaneBT op 9 oktober 2015 15:26]

Ik zie de laatste tijd meer in een passphrase systeem waarbij de passphrase wordt omgezet naar een gegenereerd wachtwoord.
Wat voor systeem bedoel je dan om er een wachtwoord van te genereren? Welke data wordt hier bij gebruikt om dit voor elke dienst uniek te maken?
Zie bijvoorbeeld: https://github.com/mwgg/passera
Passera turns any entered text into a strong password up to 64 characters long and copies it to clipboard. Figure out a decent system for yourself that will allow unique passphrases for every website, such as combining website name/URL with a phrase that you would not forget. To login, fire up Passera and enter the passphrase you chose and your real password will be copied to clipboard.

Turn MyFancy#Github%password into @ZfKS*ePs1ll9yRG

This software is for privacy-aware people who understand the need to have strong unique passwords for each website, yet don't want to use any password managing software or services. Relying on password managing software means trusting your passwords to be kept safe by a third-party company, or trusting them to a single file on your disk.

To make it somewhat more conspicuous, when you start Passera it copies a random password to clipboard. The real password is then only stored in clipboard for 10 seconds, before being overwritten by another random string.
Nu wil het geval dat die passphrase EN sterker is EN makkelijker te onthouden #Horsebatterystaple

Dus waarom niet gewoon die passphrase als wachtwoord gebruiken.

Ik zie dat Sjnieboon het er ook over heeft.

[Reactie gewijzigd door Ozzy op 9 oktober 2015 15:54]

Omdat je niet 10.000 passphrases kan onthouden en dus al snel een systeem zal verzinnen, en dat systeem kan gekraakt worden zodra 1 van je passwords naar buiten komt. Door je passphrases om te zetten naar mumbo jumbo kan je op elke website een zelfde soort passphrase gebruiken zonder dat dat systeem realistisch gekraakt kan worden.
Voor elk woord dat je verandert komt er een macht van 80000 mogelijkheden bij. En dan moet je eerst al 1 passphrase gebruteforced hebben, het systeem achterhalen,als dat er al in, dat de gebruiker hanteert. Dat is minstens zo onrealistisch om te kraken.

[Reactie gewijzigd door Ozzy op 9 oktober 2015 18:26]

Er hoeft maar 1 site te zijn die jouw passphrase lekt door domme beveiliging (zoals plaintext opslaan wat ik vandaag tegenkwam bij een veilingsite), en die passphrase is bijvoorbeeld Ikbenozzyenditismijnwachtwoordvoortweakers.net

JE KAN NIET honderden hele passphrases onthouden als gemiddeld mens (er zijn uitzonderingen) en zal hoe dan ook uitkomen op het gebruiken van een 'systeem' om jezelf te helpen deze te onthouden, en die systemen kunnen gekraakt worden. Als je die passphrase nou door een betrouwbare scrambler heen haalt met je eigen masterpassword als key dan kan je dus wel passphrases gebruiken maar die worden allen een soort van gesalt waardoor je 'systeem' niet te kraken is.

Wat nog wel relatief veilig is is een passphrase gebruiken voor je password manager en unieke passphrases die je wel kunt onthouden zonder een systeem te gebruiken voor je belangrijke zaken zoals anything financieel en e-mail.

[Reactie gewijzigd door TWeaKLeGeND op 9 oktober 2015 18:44]

Ja, en daarom wordt ook gezegd dat je ongerelateerde woorden moet gebruiken, bijvoorbeeld dus " ik ben correct en dit is mijn horse voor battery.Staple"

Overigens kun je wel degelijk 100-en passphrases onthouden. Nog sterker, ik denk dat de meeste mensen zeker wel 100 liedjes van voor tot achter kunnen zingen. Of in ieder geval coupletten.

Doe maar eens mee:
Het is een nacht, die je...
De meeste dromen zijn...
Hey Joe, where you....
Like a Virgin, ooh,
What is this, that stands before me....
I'm just a poor boy, nobody...
Wilhelmus van....
Slaap,kindje....
Zie de maan...

Etc etc, etc. Mensen onthouden makkelijker woorden en zinnen dan je denkt.
Gegarandeerd dat als je het nummer kent je in ieder geval een aantal regels kunt oplepelen en misschien kom je wel helemaal tot het eind.

[Reactie gewijzigd door Ozzy op 9 oktober 2015 19:14]

En dan nog weten welke phrase bij welke site hoort ;) oeps, moet je toch een identifier in je passphrase plaatsen.. En dan weet ik dus dat jij lyrics+identifier als wachtwoorden gebruikt. En als ik het maar graag genoeg wil ben jij dan de sjaak

100 rare zinnen onthouden is wat anders dan een lied uit je hoofd kennen.

Dat jij het wellicht kan (ik ook, ik onthou ook gewoon mijn mumbo jumbo 10+ characters passwords voor de 20 tal belangrijke sites die ik niet opsla in managers) maar de meeste mensen zullen hoe dan ook een kraakbaar systeem moeten gebruiken. Wellicht een beetje veilig, maar een stuk minder veilig dan het hashen van die passphrases op een manier dat er een random aantal tekens uit komt rollen (10 tot 30 ofzo). Alleen zit je dan met sites die verschillende eisen stellen.

Kortom: passphrases voor alles gebruiken Is of niet te doen of niet helemaal veilig, het voor bijv enkel je email en reeks van 6 willekeurige woorden gebruiken Is wel gewoon aan te raden.

Als hij het tegendeel kan aantonen zonder veel te kraakgevoelige zaken als lyrics te gebruiken dan zou je velen van ons een grote dienst bewijzen. Dus ik zeg kom maar op ermee. (en remember deze discussie kwam op gang omdat jij aangaf dat je beter passphrases raw kan gebruiken dan scrambled met een masterkey, we hebben het dus niet over het nut van een passphrase maar over de veiligheid van een passphrase tegenover een salted/hashed/scrambled passphrase) een compromised passphrase levert toch altijd wel meer risico op dan eentje die lijkt op totaal random data? Tenzij je echt unieke random zinnen en inlognamen en websites erbij kan onthouden of je toevallig op een manier je. Identifier weet te verbergen (met ongetwijfeld veel moeite en denkwerk, iets wat menig medelander niet zal kunnen)

[Reactie gewijzigd door TWeaKLeGeND op 9 oktober 2015 20:40]

Ik bedoel ook niet om lyrics te gebruiken. Maar iedereen weet dat Guus om twee uur (en niet 3 of 4) snachts op bed lag met een lege fles wijn (en niet bier of wodka) in de hoek. Dat is zo random als maar zijn kan. Of Marco die adem voelt en een gezicht ziet. Of een prinse die vrij onverveerd is, waarvan de meeste mensen niet eens weten wat het betekent. Dat zijn ook random zinnen. Toch koppelt iedereen die rare zinnen aan een persoon. En daar hoeft iemand niet eens zijn best voor te doen, dat onthouden gaat vanzelf.

Als je 20 mumbos aan de goeie site kan koppelen, waarom zouden woorden of zinnen niet lukken dan?
Als je 20 mumbos aan de goeie site kan koppelen, waarom zouden woorden of zinnen niet lukken dan?

Als je dat kan zonder password manager, kun je ook 20 echte random wachtwoorden onthouden.

En als je dat niet kan (Wat 'Jan met de Pet' doorgaans inderdaad niet kan) zonder password manager ("stukje papier") kun je beter échte random wachtwoorden van 14 tekens of zo gebruiken. Dan ben je nog veiliger dan met jouw zinnen.
Are you kidding me? Dat ben ik, en jij wellicht ook, maar de gemiddelde nederlander heeft al moeite met het onthouden van zijn eigen IBAN, en weet het telefoonnummer van zijn moeder ook niet meer uit het hoofd. Het onthouden van een sterke passphrase is goed te doen voor een ieder, het onthouden van 100 van die passphrases voor al die sites zonder zware cross contamination (een voor een hacker te herkennen patroon) is niet te doen en daarom is het veiliger als ze die passphrases ook salten. (kost moeite en is minder gemakkelijk..) Uiteraard is het hoe dan ook beter dan overal het zelfde wachtwoord te gebruiken. Ik adviseer dan ook altijd op minstens e-mail en financien gewoon goed te beveiligen en als ze voor de rest niet al te moeilijk willen doen, tjah laat dat dan maar zijn beloop gaan. (of gebruik een manager). Want vanuit je passphrase van je tweakers account je ING wachtwoord ook kunnen beredeneren wil je niet hebben.

Wat ik probeer duidelijk te maken: Het werkt voor ons wel, maar voor heel veel mensen enkel voor at most het e-mail account en facebook en nog een bank of beleggingsaccount.

2FA for the win.. Nu nog iets makkelijker maken.
Eh… maar die site ziet toch nooit je passphrase, omdat passera er eerst een password van maakt? :?
Dat is het punt Ozzy stelt dus dat passera nutteloos is.
Volgens mij is de algemene mening momenteel dat die horse-etc oplossing helemaal niet klopt: https://diogomonica.com/p...ry-staple-is-not-correct/ en in de praktijk http://arstechnica.com/se...-out-of-your-passwords/3/

Het is overigens niet per definitie sterker, dit kun je namelijk zelf instellen, en het gebruik van een passphrase als wachtwoord zorgt er ook voor dat je wachtwoord slechts deels uniek is.
Dat maakt niet uit, een woord in een passphrase staat gelijk aan een teken in een password. Of hebben al jouw passwords geen overlap in tekens? Maw. gebruik je de letter a maar voor 1 wachtwoord? Zo niet dan zijn je wachtwoorden maar deels uniek.

Die waanzin van het verplichten van cijfers enzo helpt alleen de bruteforcers, omdat hele ranges al afvallen.

"kies een wachtwoord van minimaal 10 tekens, 2 cijfers en een leesteken". Gegarrandeer dat het overgrote deel van de wachtwoorden 10 lang zijn, 2 cijfers hebben en 1 leesteken.

[Reactie gewijzigd door Ozzy op 9 oktober 2015 18:17]

When it comes to cryptography, a password's security is multiplied by the complexity of the passphrase.
Dat is maar tot op zekere hoogte waar. Zolang het systeem de complexiteit ondersteund en de gebruiker niet weet of je wel of niet hier aan voldoet gaat de security al omhoog. Oftewel als het systeem enkel a-zA-Z0-9 toestaat is je security lager dan a-zA-Z0-9 + special character. Zolang de "hacker" niet weet of je wel of niet deze tekens in je wachtwoord hebt moet hij er van uit gaan dat het wel zo is om succesvol te kunnen zijn.

Extra lengte van het paswoord daarentegen geeft exponentieel betere bescherming tegen brute-forcen.
Users are strongly advised to use passphrases that would be to unique to them. This can be achieved by including "keywords", such as email addresses, pet names, city names, etc. This ensures that passphrases are personal to each individual user.
Dit is nou precies wat afgeraden wordt om voor een wachtwoord te gebruiken! In theorie ben je alleen maar een extra hashing service toe aan het voegen aan de client side. Oftewel óf het generated password van passera kan gebrute-forced worden om in te loggen bij site X óf je "main password" kan gebrute-forced worden doordat de aanvallers ook gebruik maken van passera.
Extra lengte van het paswoord daarentegen geeft exponentieel betere bescherming tegen brute-forcen.

Tot aan de bit-sterkte van het onderliggende algorithme ...
Ik deed dit al een jaartje of 10 geleden:
echo -n masterpassword:url/identifier | md5sum | cut -c 1-16

Probleem is/was dat er allerlei verschillende eisen gesteld worden aan wachtwoorden en dat je die moete gaan onthouden. Als er niet alfanum in moet zitten dan moet je iets anders gebruiken dan md5sum. Is er een maximale lengte voor het wachtwoord kleiner dan 16?

Het resultaat is dat ik toch maar (een gesynchroniseerde) keepassx database ben gaan gebruiken.
Is er een maximale lengte voor het wachtwoord kleiner dan 16?

Ongetwijfeld soms, maar 16 tekens komt meestal neer op MD5 (als onderdeel van het) onderliggend algorithme. Dus als er een lagere limiet is, vraag ik me af wat men dan gebruikt voor oude meuk ... :?
Is inderdaad een handige service. Ik verander mijn masterpaswoord wel weekelijks.
Maar de andere wachtwoorden zijn nu standaard allemaal automatisch gegenereerd door LastPass. Lijkt me véél veiliger dan korte combinaties te proberen onthouden.
Allemaal korte combinaties zijn sowieso niet veilig. Je kunt veel beter een makkelijk te onthouden zin gebruiken. Hoe meer karakters, hoe lastiger het wachtwoord te kraken is.

https://xkcd.com/936/
Die comic klopt niet echt, volzinnen zijn veel makkelijker met een library attack te kraken, voor random wachtwoorden moet men bruteforcen
Niet als jij een zin als 'correcthorsebatterystaple' gebruikt, want dat is een zeer onlogische en niet-voorkomende zin/woordencombinatie. Je moet niet "ikhoudvanpaarden" gebruiken, want die zal makkelijk gekraakt kunnen worden, maar een combinatie die je zelf bedenkt is voor jou makkelijk te onthouden, maar voor een computer onmogelijk om te raden.

Wel benieuwd hoeveel mensen nu 'correcthorsebatterystaple' als code hebben. Die zal wel opgenomen zijn in het wachtwoordenwoordenboek ondertussen!
Dat is niet helemaal waar. Qua character bruteforcen is ikhoudvanpaarden net zo moeilijk als elk ander 16 karakterig wachtwoord.

In nederland hebben we zo'n 80000 woorden en 60 miljoen als we werkwoordsvervoegingen meetellen. Met 4 willekeurige woorden uit de vandale, 80.000 dus) heb je al 40960000000000000000 permutaties (80000^4). Zelfs als je een algoritme gebruikt dat grammatica-aware is ben je toch nog even bezig.

NB. 4 woorden library attacken is dus veel kostbaarder dan 4 karakters bruteforcen.
Niet als jij een zin als 'correcthorsebatterystaple' gebruikt, want dat is een zeer onlogische en niet-voorkomende zin/woordencombinatie. Je moet niet "ikhoudvanpaarden" gebruiken, want die zal makkelijk gekraakt kunnen worden, maar een combinatie die je zelf bedenkt is voor jou makkelijk te onthouden, maar voor een computer onmogelijk om te raden.

Dit advies gaat echter volledig voorbij aan de realiteit. Hackers kraken niet brute force en niet met woordenboeken. OK, dat doen ze wel omdat er nog steeds mensen zijn die simpele en korte wachtwoorden gebruiken. maar dat doen ze enkelv oor de korte en simpele gevallen.

Daarna gaat men tokens gebruiken. Mensn ezijn namelijk ontzettend eigenwijs en willen perse koste wat kost (ik chargeer nu O-) ) patronen gebruiken net zoals jij voorstelt. Dus die patronen kun je gebruiken om sneller te kraken.

Zo is correcthorsebatterystaple even sterk als abcd, ofwel 4 tokens. Namelijk { correct, horse, battery, staple }. Er zijn namelijk tienduizenden andere mensen, zo niet meer die deze woorden gebruiken. Zeker omdat je geen hoofdletters gebruikt.

Langere wachtwoorden zijn verder uberhaupt niet veiliger, want er is een limiet. Als het onderliggende algorithme 160 bits is, is een wachtwoord langer dan 20 tekens dus onzinnig.

Lange zinnen onthouden is dus een verkeerd advies,w ant het legt niet correct uit waar het gevaar zit,. Het gevaar zit hem NIET in de lengte, maar in patronen. Een zin met patronen is onveiliger dan een veel korter wachtwoord dat écht random is.

Natuurlijk moet je niet té kort gaan, maar zodra je een basis sterkte hebt van laten we zeggen 12 tekens ben je normaal gesproken veilig tegen brute force. (De exacte waarde hangt van van het onderliggende algorithme.)

Dé Boodschap™ moet zijn, geen patronen gebruiken.

En ja, dat is lastig, maar voor écht belangrijke zaken gebruik toch maar een 14 teken random wachtwoord dat je na enig stampen onthouden hebt, ipv die makkelijke lange zin. Even doorbijten en paswoord managers (bijvoorbeeld "stukje papier") gebruiken.
Maar lib attack doet (volgens mij) meestal woord voor woord en combineert niet 4 onsamenhangende woorden als poging. Maar het klopt wel dat er rekening wordt gehouden in de comic met een brute force.
Je wordt omlaag gemod, maar je hebt gelijk. Iedereen komt altijd maar met xkcd aan en ja het is een leuke comic, maar hier heeft hij het gewoon domweg fout. Ja, je kunt weer letters aanpassen maar dan wordt het én lastiger voor jou om te onthouden én vaak doen mensen toch voor de hand liggende aanpassingen (l=1 o=0 a=@ dat soort dingen) die ook niet zo moeilijk zijn om af te gaan voor een computer. Daarnaast is het gewoon niet wat de comic predikt, puur een paar niet exotische woorden gebruiken in een wachtwoord is nou eenmaal veel makkelijker te kraken met een woordenboek aanval dan met een bruteforce op elke letter combinatie aanval.
Gebruik LastPass nu al een paar maanden op alleen mijn desktop, werkt super, het Master Password wordt opgeslagen op je eigen PC, versleuteld wel te verstaan.
Dat doet KeePass ook. Ook een master wachtwoord. Ook word dat kdb (Key DataBase) bestand versleuteld, ook lokaal.

Het is niet mijn intentie om LastPass af te kraken (al komt dat wel zo over).
Wat is hiermee dan het verschil (en dan bedoel ik dus waarom is LastPass hierin slecht)? LastPass heeft ook niet de unencrypted gegevens bij hun staan.
Het KDB bestandje van KeePass kan ik ook naar een cloud service uploaden (keuze staat vrij bij KeePass). Het gaat mij er meer om dat een beveiligingsbedrijf, dat daar in gespecialiseerd hoort te zijn, gehackt was.
Ik vind het inderdaad ontzettend handig. Werkt ook fijn met TouchID op mijn iPad Air 2 en Safari. Persoonlijk kan ik niet meer zonder zo'n manager! Wel heb ik een email account die niet is verbonden aan LastPass en dient als recovery voor de email. Op die manier heb ik altijd een achterdeurtje mocht het mis gaan met een hack o.i.d. :)
Ik durf -eerlijk gezegd- LastPass niet op een wifi verbinding te gebruiken, nu alleen een vaste fiber verbinding van mijn desktop..
Grappige blogpost trouwens. Er staan een paar Nederlandse woorden in de tekst volgens mij... "Sindsdien" "Opnieuw"

Maar inderdaad: met de inhoud ben ik alles behalve blij. Ik ben al een paar jaar betaalde klant van LastPass, maar in LogMeIn heb ik totaal geen vertrouwen.
Ik gebruik LastPass in combinatie met een wachtwoord en YubiKey. Grote jongen die mijn account kan openen ;)
Lastpass premium gebruiker hier; hoe doe je dit dan voor je smartphone? En in je pcs permanent een usb key steken?
Op m'n smartphone zit een code om in te loggen, dus daar heb ik gewoon mijn wachtwoorden in ingetypt. Die wachtwoorden kan je er niet uithalen (zover ik weet), dus dat zit wel snor.

Qua PCs heb ik niet zoveel (thuis en op het werk), dus daar ben ik gewoon ingelogd in m'n Lastpass. Ben ik ergens in het buitenland in een internetcafé, dan gebruik ik m'n Yubikey om in te loggen. M'n Yubikey zit aan m'n sleutelbos.
Gewoon een usb otg converter gebruiken of een telefoon met NFC :)
Check, zo doe ik het ook. Ik hou echter andere (open source) alternatieven wel in de gaten. Maar vooralsnog is lastpass+yubikey qua gebruiksgemak absoluut het eenvoudigst.
Raar dat je een zoveel 0 en -1 score krijgt, want je hebt helemaal gelijk, dit is een serieus probleem wat steeds vaker de kop op steekt naarmate meer mensen dit soort tools gebruiken.

Er zullen wel veel gebruikers van de genoemde programma's op Tweakers zitten, stemmen blijft een te emotioneel proces voor velen... :+ (en nu krijg ik ze natuurlijk ook, eerlijk is eerlijk)

Verder moet ik zeggen dat ik het een beetje rare gang van zaken vind, waarom slokken ze alle concurrentie op? zijn ze zoveel beter dan dat zij de rest opslokken en niet andersom? (net ff vergeleken en ik zie als ik eerlijk ben geen verschil?) en zoiets mag toch ook niet zomaar, je concurrenten overnemen en zo de grootste worden? hebben de verschillende werelddelen hier wel toestemming toe gegeven? of is het niet interessant voor ze omdat het 'maar' om een bedrijf van 125mil gaat??
Het is helemaal geen emotionele reactie, ik denk dat de meeste mensen hem zo modden omdat zijn reactie getuigt van het klaar hebben van een mening zonder gehinderd te worden door enige kennis. Je wachtwoorden staan technisch gezien inderdaad in de 'cloud' (wat een rotwoord blijf ik het vinden), maar dan wel in de vorm van een zwaar gecodeerd bestand waar Lastpass zelf de sleutel niet eens van heeft. Het is dus absoluut niet zo onveilig als hij suggereert.
Verder kun je Lastpass zo configureren als je zelf wil en het zo veilig maken als je wil. Ja je kunt het vrij open zetten en dan is het iets onveiliger (hoewel nog steeds een stuk veiliger dan het bv standaard in je browser opslaan, dan kan iedereen die even je PC gebruikt er bij), maar als je je druk maakt om veiligheid dan kun je het ook ver dicht timmeren en het niet eens uploaden naar de server als je dat niet wil.
Het is dus absoluut niet zo onveilig als hij suggereert.
Helaas, dat is het wel.

Dat die gegevens op straat liggen zegt inderdaad niet zoveel, want zonder de sleutel kom je inderdaad niet veel verder, maar juist omdat er nu zoveel data 'te graaien' valt, zullen andere mensen zich nu gaan verdiepen in het verkrijgen van de sleutels/salts.

Geef het een paar maanden.
zijn reactie getuigt van het klaar hebben van een mening zonder gehinderd te worden door enige kennis
Dit vind ik altijd zo'n dooddoener, leuke zin maar je zegt feitelijk dus dat meneer helemaal niets weet, wat me erg kort door de bocht/ongenuanceerd lijkt.

Daarbij kennen we hem niet persoonlijk, voor hetzelfde geld is ie CEO cybercrime unit of hoofd van Anonymus ofzo, wat ie dan natuurlijk niet van de daken schreeuwt, maar dan weet hij het echt wel beter dan wij.

En uiteindelijk zijn de modding opties dingen als ontopic/offtopic/informatief, niet 'ben-ik-het-niet-mee-eens' / 'volgens-mij-lul-je-uit-je-nek/etc'

Dus nee, sorry, ik blijf erbij dat 80% van de bezoekers stemt met gevoel/emotie, en niet feitelijk of iets ontopic is of niet.

(dit 2e stuk natuurlijk in zn geheel offtopic!)
Punt 1 zijn het niet de password files die gestolen zijn, dus we zitten nog wel een paar stapjes verder verwijderd van dat er van alles 'te graaien' valt zoals jij stelt, punt 2 zelfs als dat wel zo was dan is het nog altijd niet zo onveilig als hij nu suggereert. Zoals hij het brengt klinkt het alsof, als je op de servers van Lastpass weet te geraken, dat je dan meteen iedereen zijn wachtwoord hebt. Dat is gewoon niet waar, je zult dan nog altijd een voor een de password files moeten kraken (nadat je al door de server wide encryptie heen bent). Voor de meeste mensen is dit geen reëel gevaar, ik beheer niet zulke belangrijke zaken dat het interessant is om specifiek voor mij een supercomputer hele tijden te laten bruteforcen. Als je wel een high risk target bent dan wordt het belangrijker om alles zo goed mogelijk te beveiligen en dan zou ik inderdaad geen mainstream service als Lastpass gebruiken.
Punt blijft echter nog steeds dat het dan wellicht niet veilig genoeg is voor zo iemand, maar nog altijd een stuk veiliger dan er gesuggereerd werd.

Wat betreft dat hij niks zou weten, dat zeg ik niet. Ik zeg zijn reactie getuigt van, oftewel, is een indicatie, van dat hij reageert zonder het fijne er van te weten. Zou hij stiekem juist superveel er van weten en ons hier met een obscuur berichtje willen waarschuwen? Theoretisch is het mogelijk ja, maar het lijkt mij erg ver gezocht en onwaarschijnlijk. De meeste mensen die werkelijk weten waar ze het over hebben onderbouwen hun mening namelijk ook wel.

edit: Overigens zeg ik niet dat modereren altijd even goed gebeurt hier hoor, daar niet van... Maar het is soms ook wel erg makkelijk om het maar er op te gooien dat mensen aan het meningmodden zijn. Soms is het gewoon onzin wat je zegt en daar mag je best op afgerekend worden, dan is het erg flauw om je maar achter "wat wordt er slecht gemodereerd" te verstoppen.

[Reactie gewijzigd door Finraziel op 9 oktober 2015 16:37]

De moderatie heeft regels. Zoals hierboven gesteld wordt, is er geen "jij lult uit je nek" of "ik ben het niet met je eens" optie. Afrekenen doe je met een gepaste, onderbouwde reactie, of gewoon niet... Jij vindt dat de moderatie mag dienen voor A, iemand anders vindt B, nog een andere C, je ziet vast zelf wel in dat er wat schort aan zo'n redenatie, niet dan?

Edit: typo

[Reactie gewijzigd door Deralte op 9 oktober 2015 21:52]

De moderatie heeft zeker regels, ik stel voor dat jij ze nog eens gaat lezen:
reviews: Tweakers moderatie faq
onvoldoende onderbouwing wordt letterlijk genoemd als reden voor een 0. Een -1 is discutabel maar zeker niet onverdedigbaar bij een reactie die niet onderbouwd is en blijk geeft weinig moeite gestoken te hebben in het begrijpen van het onderwerp. Maar goed, dit is eigenlijk niet de plaats om dit soort dingen te bespreken.
Ze hebben encrypted data te pakken gekregen ja. Dit is hetzelfde als een encrypte connectie af te tappen. Veel plezier met het decrypten ervan.
Dat weet ik ook wel, maar een bedrijf dat zich specialiseert in beveiliging, moet toch wel bestand zijn tegen een hack vind ik.
Ik vraag me af of het mogelijk is om "bestand te zijn tegen een hack" als je aan het internet hangt. Volgens mij komen ze uiteindelijk door elke beveiliging heen. Als ze dan enkel encrypted data te pakken krijgen, valt het volgens mij wel mee en valt het bedrijf in kwestie weinig te verwijten.
Volgens mij komen ze uiteindelijk door elke beveiliging heen.
Tuurlijk. Maar sommige beveiligingen zijn zo goed dat het jaren kan duren..
Check even waar het over gaat, vooraleer je conclusies trekt. De inbraak ging over 'e-mailadressen en wachtwoord-reminders'. Niet over wachtwoordarchieven.
Het blijft slecht dat een bedrijf dat zich specialiseert in beveiliging op een niet al te ingewikkelde manier wordt gehackt.
Dat neemt niet weg dat ze gehackt zijn.
Zoals hier boven al gezegd: veel geluk met het kraken van mijn LastPass bestand wanneer mijn master wachtwoord bestaat uit 20+ characters. Mijn LastPass wachtwoord kan zelfs deze zin/post zijn. Zo lang je een goed master paswoord kiest krijgt niemand dat met de huidige technologie gekraakt.

Dat LastPass zomaar je master wachtwoord zou gaan opvragen via een automatische update zoals hier boven gesuggereerd wordt, is ook maar een alu-hoedje verhaal imo.
hacken is één ding; een 'ordinaire' keylogger is een tweede lijkt mij?

Even onderbouwend: hoe goed jullie wachtwoordconstructies allemaal zijn, zonder een fatsoenlijke 2 factor authentication leg je het af. De logger haalt vroeg of laat de gegevens er echt uit.

Ik kende de ubikey niet maar ga daar zeker eens wat meer over lezen. Dank je wel voor de tip!

ps: off topic maar vergeet mij, iemand een goede zakelijk oplossing voor het efficient managen van passworden van 450 windows servers?
Gewoon gebruik maken van u2f en dan heb je niets te vrezen zolang je er veilig mee omgaat.

Gebruik het nu een jaar en ben zeer tevreden. Voornamelijk i.c.m. de yubikey.
In principe heb je gelijk, maar al je wachtwoorden in een (competente) cloud is veiliger dan identieke wachtwoorden op tig sites of hele makkelijke omdat je brein het niet kan bijhouden.
Ikzelf heb het opgelost met een keepass vault die op mijn owncloud server staat.
Vanuit security oogpunt kan je er best vraagtekens bij zetten, zo'n bestandje die alle wachtwoorden van je hebben en houwen bevat, maar ik weet 100% zeker dat het de beste oplossing is totdat er eens wat anders bedacht wordt dan wachtwoorden om meuk mee te beveiligen.

Ik heb nu iets van 80 accounts in dat databaseje staan. Het is gewoon niet haalbaar om daar individuele sterke wachtwoorden voor te bedenken EN te onthouden en die ook nog eens periodiek te verversen.

[Reactie gewijzigd door Alpha Bootis op 9 oktober 2015 16:06]

En dat wachtwoord, waar gebruik je dat precies?

Toevallig op een website, ergens online..in de 'cloud'?
Is keepass niet een veel mooiere oplossing?
Dan staat alles lokaal opgeslagen en het is opensource.

http://keepass.info
Voor mij als LastPass gebruiker klinkt dat niet handig, LastPass werkt ook op mijn telefoon!
KeePass heeft een hele uitgebreide community ondersteuning voor de volgende platformen:
  • KeePassPPC & KeePassSD (for PocketPC & Smart Devices; 1.x & 2.x)
  • Phone 7Pass (for Windows Phone 7 / 8.1)
  • Phone WinPass (for Windows Phone 7 / 8.1)
  • Phone WinKee (for Windows Phone 8.1)
  • KeePassDroid KeePassDroid (for Android)
  • KeePass2Android KeePass2Android (for Android; compat. with KeePass 2.x)
  • KeePassMob KeePassMob (for Android)
  • KeepShare KeepShare (for Android)
  • MiniKeePass (for iPhone / iPad)
  • iKeePass (for iPhone / iPad)
  • Passwordix (for iPhone / iPad)
  • MyKeePass (for iPhone / iPad)
  • SyncPass (for iPhone / iPad)
  • PassDrop (for iPhone / iPad; compat. with KeePass 1.x)
  • KyPass (for iPhone / iPad)
  • KyPass Companion (for Mac OS X)
  • CKP (for Chrome, especially Chromebook)
  • KPD (for BlackBerry 10 and PlayBook)
  • KeePassB (for BlackBerry 10)
  • KeePassBB (for BlackBerry)
  • KeePassMobile (for J2ME / mobile phones)
  • KeePassJ2ME (for J2ME / mobile phones)
  • BrowsePass (for browsers / JavaScript; compat. with KeePass 2.x)
  • Export to Keyring (for Palm OS)
  • KPCLI (command line interface; also see KPScript)
  • KeePassX (for Linux / Mac OS X; compat. with KeePass 1.x)
Het enige waarvoor je zelf verantwoordelijk bent is het synchroniseren. Je kunt dus kiezen welk platform je daarvoor wilt gebruiken, dropbox/owncloud/mega/etc. Het is inderdaad minder gemakkelijk dan LastPass, maar je hebt meer controle en bent minder afhankelijk. Daarnaast is keepass een losstaand programma dat niet in je browser benadert kan worden, waardoor het dus ook niet kwetsbaar is. LastPass is dat wel, [2014] zo is in het verleden ook gebleken. Daarnaast is het wellicht niet verstandig je wachtwoorden centraal ergens op te slaan: [2015] Hackers bemachtigen persoonsgegevens van servers LastPass & [2011] LastPass forceert nieuwe wachtwoordaanmaak na mogelijke hack. Maar gemakkelijk is LastPass wel.

[Reactie gewijzigd door drdelta op 9 oktober 2015 16:34]

Kan een browser wel gegevens uit KeePass halen (na inlog natuurlijk)? Of moet je knippen&plakken?
Jazeker, maar ik zou uit veiligheids-overwegen juist afraden dat te doen. Een directe koppeling tussen browser en wachtwoorden kluis vergroot namelijk het risico dat er door bugs (zoals bij LastPass, RoboForm, My1login, etc is gebleken) onrechtmatige toegang tot wachtwoorden wordt verschaft. Waarom zou je je wachtwoorden willen exposen aan het internet via je browser? Riskante zaak als je het mij vraagt.

Ik weet dat het minder gemakkelijk is. Maar de keuze tussen een klein beetje gemak meer, en mogelijk al je wachtwoorden gestolen, is voor mij in ieder geval een makkelijke afweging. ;)
Ik bedoel, als je gehackt bent, ben je toch al gehackt ;-)
Ik snap je punt, maar dat leegzuigen gebeurd niet door een infectie. Dat gebeurd(e) door een website die een commando verstuurde alsof het een andere website was.

Ik ben A, LastPass kent A, A zegt "stuur mij B", LastPass ziet de aanvraag en denkt "request van bekende, stuur info". Zonder controle of de data ( B ) wel naar A gestuurd hoort te worden. A & B zijn hier websites.
Inmiddels is dat probleem opgelost, maar door browsers/addons direct met websites te laten communiceren is het wachten tot de volgende bug/hack/whatever. Het is dus gewoon riskant.

[Reactie gewijzigd door drdelta op 10 oktober 2015 15:38]

Toch vraag ik me af, is dit niet iets te paranoide? Een website die gehackt zou zijn, kijkt naar invoer. Een keylogger op je PC neemt sowieso alles mee (dus ook als je het overtypt/plakt).

Dan blijft over iets van een sniffer die vanuit server-side naar de client toe met v een javascript de koppeling van KeePass gaat afluisteren of kraken en vervolgens de hele database leegzuigt..
Dat is volgens mij de enige manier waar een scheiding van KeePass en de browser nuttig zou zijn. Of mis ik iets?
Wat een lijst. Daar wordt het niet meteen overzichtelijker van...
Keepass gebruikt een database file. Er zijn voor verschillende platforms verschillende clients, zo ook voor bijvoorbeeld android.
Mijn file synct naar o.a. mijn computers en mijn telefoon via owncloud, functioneel heb ik exact hetzelfde als wat ik had toen ik lastpass klant was, alleen ligt het niet op een grote hoop met miljoenen andere gebruikers maar staat het op mijn persoonlijke server.

[Reactie gewijzigd door Alpha Bootis op 9 oktober 2015 16:10]

Dat is alleen lang niet voor iedereen een oplossing. Los van het hebben van de server moet je er nog voor zorgen dat je server beschikt over een SSL certificaat, regelmatig wordt geupdate en een goed afgestelde firewall heeft. Doe je dit allemaal niet dan ben je een minder groot target dan de servers van lastpass maar wel een stuk makkelijker target (en o.a. brute force aanvallen op je SSH gaan volledig automatisch elke server van hele internet langs, ook die van jou).

[Reactie gewijzigd door sdk1985 op 9 oktober 2015 19:36]

Je kan je password file ook gewoon met [insert random clouddienst] syncen?
Ik heb toevallig een server, maar dat is natuurlijk absoluut geen vereiste.

Die brute force aanvallen op SSH zijn overigens kansloos als je 10 seconden stilstaat bij je login data. 99% van de scripts probeert het alleen met root. En je hebt ook nog applicaties als Fail2Ban die je kan toepassen.

[Reactie gewijzigd door Alpha Bootis op 9 oktober 2015 20:29]

Het gaat er niet om hoe je het kan oplossen (je kan ook gewoon je SSH poort veranderen en überhaupt gebruik maken van een private key). Het punt is dat 95% van de gebruikers er geen verstand van hebben en dus beter af zijn met een dienst als LastPass.
Daarom zeg ik, dat kan ook gewoon met dropbox. Je hoeft niet technisch onderlegd te zijn om keepass te gebruiken.
Zoals Alpha Bootis al zei, fail2ban is hier een oplossing op.
Persoonlijk heb ik het opgelost door de ssh port dicht te gooien, en alleen ik kan erbij komen via de VPN server.
Ik draai Owncloud op mijn Raspberry Pi 2, en omdat ik toevallig nog een terabyte schijf had liggen was ik al voor 35 euro klaar.
Dit maakt een eigen cloud oplossing heel toegankelijk voor een tweaker als je het mij vraagt.
Nou, kom er maar in. Een bedrijf neemt een ander bedrijf over met een shitload aan wachtwoorden en persoonlijke gegevens. Gaan we het vertrouwen of niet?
Mwah, die wachtwoorden zijn wel versleuteld. Niet alsof ze even een database plaintext wachtwoordjes overnemen.
Waar ben je bang voor? Dat Logmein de gegevens van Lastpass gaat misbruiken, en vervolgens die 125 miljoen, en de waarde van hun eigen bedrijf af kan schrijven? Want dat gebeurt er al dergelijk misbruik naar buiten komt.
Niet meer of minder dan het oorspronkelijke bedrijf. Van beide kun je niets zeggen over de betrouwbaarheid.
Een bedrijf neemt een ander bedrijf over met een shitload aan wachtwoorden
De opslag die LastPass doet is vergelijkbaar met MEGA.nz. Het bestand wordt client-side versleuteld en daarna pas opgestuurd.

Uiteraard kan LastPass een bestand (de 'vault') proberen te brute-forcen. Naast dat dit ontzettend lang duurt, heeft LastPass dit lastiger gemaakt door de versleuteling meevoudig toe te passen. Het aantal iteraties is instelbaar en 5000 is nu de standaard en aanbevolen waarde.

Meer info:
- https://helpdesk.lastpass...ssword-iterations-pbkdf2/
- http://webapps.stackexcha...asswords-on-their-website

[Reactie gewijzigd door Junketsu op 9 oktober 2015 16:14]

"LastPass supports a diverse set of platforms which vary greatly in speed. In order to utilize all of them, we recommend you do not exceed 10,000 rounds. A change from 5000 rounds to 10,000 rounds may not be perceptible to you on most platforms. However, while we permit users to increase their rounds all the way to 200,000 rounds, you may start to notice problems when logging in via certain browsers or platforms when you go above 5,000 rounds."

Dat is ook relatief natuurlijk. Ondertussen zit ik met mijn KeePass database op 15,000,000 (=één seconde op mijn desktop systeem). Factor van een paar duizend.

[Reactie gewijzigd door Feanathiel op 9 oktober 2015 19:33]

Ik heb een tijdje KeePass gebruikt maar ik vind 1Password toch een gebruiksvriendelijkere oplossing.
Aan de aan de andere kant, het is geen abonnement. En: "Licenses can be shared by up to six family members living in the same household."

In een gemiddeld gezin heb je het verschil er dus in 2-3 jaar uit, t.o.v. Lastpass $12/jaar.

Edit: ja.. per jaar..

[Reactie gewijzigd door Henk Poley op 9 oktober 2015 17:56]

12$ per jaar, is een groot verschil ;)
1PW is desondanks behoorlijk populair. Dat is wel te verklaren. Het is gebruiksvriendelijker dan de concurrentie. Hoewel dat deels een kwestie van smaak is, is dat vaak wel doorslaggevend. Met name de plugin voor browsers maakt het inloggen, maar ook het opslaan van nieuwe inloggegevens, bijwerken ervan of toevoegen van een nieuwe (andere) inlog voor dezelfde site eenvoudig, overzichtelijk en is te bedienen met een minimum aan toetsenbordcombinaties.

Klein plusje is daarnaast, dat het geen Amerikaans bedrijf is, maar Canadees.

Voor een aantal klanten, zoals voor mij, zal de doortimmerde iOS versie van 1Password deels de meerwaarde geven.

Het verdienmodel van 1Password is, zoals gezegd op basis van updates en geen abonnement. Dus als je je OS niet update, hoef je 1PW ook niet te updaten, dus ook niet bij te betalen. Je mag je licentie op meerdere machines en met meerdere mensen gebruiken. Je kan ook meerdere kluizen aanmaken voor verschillende gebruikers.

Nu bijvoorbeeld OS X een steeds uitgebreidere keychain-functie heeft, weet ik niet of een wachtwoordmanager voor thuis per se nodig is, maar voor een bedrijf, zelfs al is het maar een eenmanszaak, is het een zorg minder. Niet alleen inloggegevens van sites maar ook andere meuk zoals FTP gegevens, mailaccounts etc zet je per klant bij elkaar en je kan er nog wat aantekeningen bij zetten ook. Labels toevoegen is een optie. De aanschafprijs is voor bedrijven uiteraard aftrekbaar en sowieso verdient het zichzelf terug, want het bespaart tijd. Bij mij in ieder geval wel.

Enige wat ik nog mis bij 1PW is de optie om opmaak ('rich text') te gebruiken in het opmerkingen-veld.
Ik heb inderdaad 1pw ook overwogen alleen het ontbreken van een Linux client hield mij tegen. Dit is een platform waar ik vaak mee werk en uiteraard moet de password safe hiervoor beschikbaar zijn.
Aangezien Lastpass een simpele extensie is in je browser werkt deze op vrijwel elk platform (dus ook ChromeOS bijvoorbeeld) en hang je niet aan die client vast.

Daarom ben ik voor lastpass gegaan, maar de prijs voor 1PW is zeker niet het probleem hoor, zeker niet met een studenten licentie.
Relatief duur, en geen Linux-integratie?
Ik ben benieuwd of dit ook gaat inhouden dat de prijzen verhoogd gaan worden. Logmein staat niet echt bekend om zijn klantvriendelijkheid.
Ik heb echt jaren een logmein free account gehad. Het werkte best goed!
Totdat ze opeens dit type account schrapte (ondertussen had ik wel al eerder 30 euro voor een App betaald) toen heb ik het eigenlijk niet meer gebruikt.

Volgens mij heeft logmein, Hamachi ook in een ver verleden over genomen.

Opzich ben ik best een fan van Sleutelhangers, mits ze goed/veilig zijn uitgevoerd.
Zo zou ik echt niet meer zonder Apple's keychain kunnen.

[Reactie gewijzigd door nexhil op 9 oktober 2015 15:30]

Nou bij het opzeggen en deleten van een gratis account was men wel vriendelijk en behulpzaam, terwijl ik dus geen betalende klant was. Zeer correcte mails van LogMeIn en snel+persoonlijk contact. In die zin best klantvriendelijk te noemen. :)
Geen idee waar jij specifiek op doelt?

overigens of het account dan ook echt 100% weg is, is de vraag... maar ik hoop dat je daar op mag vertrouwen
Waarschijnlijk doelt hij vooral op dat ze zelf hun gratis service opgedoekt hebben, zoals ook in het artikel staat. Dat is ook het eerste waar ik aan dacht, ik gebruik Lastpass graag, maar ik hoop niet dat ze het volgend jaar stiekem toch ineens paid only maken... Die 125 miljoen zullen ze toch terug willen verdienen (al kunnen we natuurlijk hopen dat het vooral te doen is om de techniek die ze in hun eigen diensten willen verwerken en dat de gratis variant behouden blijft)
reken er maar op dat het geld gaat kosten

als ze nou redelijke tarieven vragen dan 89 per jaar voor 2 pc's ......
dat kan echt wel beter ...........
Nou bij het opzeggen en deleten van een gratis account was men wel vriendelijk en behulpzaam, terwijl ik dus geen betalende klant was.Zeer correcte mails van LogMeIn en snel+persoonlijk contact. In die zin best klantvriendelijk te noemen. :))
Geen idee waar jij specifiek op doelt?

overigens of het account dan ook echt 100% weg is, is de vraag... maar ik hoop dat je daar op mag vertrouwen
Verwijderen is één ding, maar de sudden move van free naar payed was niet echt 'lief' te noemen.

En mbt het verwijderen, er waren recent wat berichten over mensen die daar OOK zo over dachten :)
Ken het bedrijf eigenlijk alleen van hamachi om via het internet LAN netwerken op te zetten, maar geen idee wat voor het bedrijf het is. Hopelijk word de service en software van lastpass alleen maar beter.
Hamachi de goede oude tijd, rainbow six coop over lan via hamachi. Ik gebruik lastpass premium al een aantal jaar, zeer tevreden over. Maar als ik de reacties zo lees kan ik beter nadenken over een alternatief.
Xmarks is een tijd terug opgegaan in (of overgenomen door) Lastpass. Het is een fijne dienst die favorieten/bookmarks cross-browser synchroniseert en in de cloud opslaat. Een idee wat inmiddels veel gekopieerd is, en ook in browsers zelf ingebouwd is. Hopelijk blijft Xmarks ook na overname door LogMeIn gewoon bestaan.

[Reactie gewijzigd door thomas_24_7 op 9 oktober 2015 16:32]

Xmarks is handig voor syncen tussen diverse browser types. Heb wel de nodige sync issues gehad en daarom maar geheel op chrome overgestapt voor de bookmarks. Zakelijk gebruik ik nog steeds xmarks. Er zijn helaas nog interne apps waar ik IE voor nodig heb en dankzij xmarks zijn all mijn zakelijke bookmarks in sync. Helaas nog steeds wat sync issues zodat ik soms verdwenen of dubbele bookmarks heb. Kost weer wat moeite met een restore om het goed te krijgen.

Ik ben idd benieuwd wat er mee gaat gebeuren want in tegenstelling tot lastpass zelf heeft xmarks volgens mij nog nooit wat geld opgeleverd voor de eigenar(en).
Over de duurtijd van het 'brute-forcen' overdrijft men m.i. ook. Een paswoord wat 'pas na een eeuw' gevonden kan worden, kan evengoed binnen de 20 minuten gevonden zijn. Die 'eeuw' is op voorwaarde dat dat het laatst mogelijk gevonden paswoord is, en dan kan je evengoed gaan beginnen brute-forcen van boven naar beneden. Als het paswoord ergens vooraan van de mogelijke combinaties voorkomt, heb je het zo gevonden.
Dus de beste mogelijke theoretische combinatie gaat zijn: zo lang mogelijk met alle karakters, ergens in het midden van de mogelijke combinaties, ... maar dan kan je de computer de opdracht geven om ergens in het midden te gaan beginnen met brute-forcen, dus in dit geval zal die duurtijd van een eeuw ook niet echt een eeuw gaan duren.
Ik noem een 'eeuw' om maar een voorbeeld te geven.
Zo werkt het niet. Ze beginnen met de simpelste en meest gebruikte wachtwoorden en woorden uit woordenboeken. Hoe moeilijker je wachtwoord is, hoe langer het duurt voor het aan de beurt komt.
Wat schattig, LogMeIn probeert relevant te blijven door maar her en der bedrijfjes te shoppen. Ook met hamachi was dat al een ding. Probleem is dat er te veel betere alternatieven zijn die gratis of goedkoper blijken en op meer platformen werken en stabieler en sneller zijn. Totdat ze zelf daadwerkelijk zinnige upgrades ontwikkelen voor hun software in plaats van random opkopen aan elkaar proberen te plakken gaat hun aanbod niet bepaald concurrerend zijn.
TeamViewer, PCAnywhere, RDP Gateway of Guacamole voor je eigen systemen, CrossLoop, of zelfs iMessage Screen Sharing, Skype Screen Sharing en Apple Remote Desktop.
dus de gratis versie zal dan wel verdwijnen logmein kennende.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True