Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 351 reacties

Van de Nederlanders heeft een ruime meerderheid nog nooit gehoord van wachtwoordmanagers of andere hulpsoftware hiervoor. Veel mensen hebben wel moeite met het onthouden van wachtwoorden en gebruiken dezelfde woorden vaak voor meerdere diensten, volgens onderzoek.

Programma's of diensten voor het beheren van wachtwoorden zoals KeePass, LastPass en 1Password zijn nog onbekend, blijkt uit onderzoek dat Tweakers onder 1034 Nederlanders van 18 jaar en ouder liet uitvoeren door onderzoeksbureau DirectResearch. Er lijkt wel behoefte aan hulp op wachtwoordgebied. Nederlanders schatten dat ze gemiddeld 22 wachtwoorden hebben voor internetdiensten en dat aantal zal toenemen, verwachten ze. Een ruime meerderheid heeft moeite om al die wachtwoorden te onthouden.

Van de ondervraagden acht 70 procent het 'bijna onmogelijk' om voor elke dienst een apart wachtwoord te bedenken. Nederlanders gebruiken daarom massaal hetzelfde wachtwoord voor meerdere diensten: twee op de drie ondervraagden deed dit. Van de jongeren heeft zelfs 80 procent slechts één wachtwoord, van de 65-plussers is dat de helft.

Overigens betekent dit niet automatisch dat het gebruik onveilig is: internetters kunnen heel bewust hetzelfde wachtwoord gebruiken voor diensten waarvan het uit oogpunt van privacy of beveiliging niet uitmaakt als het wachtwoord op straat komt te liggen. Sommige gebruikers combineren bijvoorbeeld een spamadres met een simpel wachtwoord voor het aanmelden bij onbelangrijke diensten.

Hoewel dit geen onderdeel van het onderzoek was, lijkt het er echter niet op dat veel gebruikers bewust zo'n standaardwachtwoord gebruiken. Bijna twee op de vijf Nederlanders gebruikt namelijk maximaal vier wachtwoorden op internet.

Meer dan 40 procent denkt dat 'een veilig wachtwoord' ook helemaal niet te onthouden is. Wat als een veilig wachtwoord te beschouwen is weet bovendien lang niet iedereen: slechts 5 procent is zich bewust van de mogelijkheid een lange zin te gebruiken.

56 procent weet niet dat ze hulpsoftware kunnen gebruiken voor het beheer en genereren van wachtwoorden, terwijl slechts 7 procent dat daadwerkelijk doet. Wachtwoordbeheerders blijken zelfs voor een groot deel van de kleine groep gebruikers een relatief nieuw fenomeen: een derde van hen gebruikt de software minder dan een jaar.

Tweakers hield het onderzoek in het kader van Nationale Verander je Wachtwoorden Dag, die samen met het Openbaar Ministerie en de stichting Veilig Internetten op 24 november gehouden wordt.

Wachtwoord Bewust 2015

Moderatie-faq Wijzig weergave

Reacties (351)

1 2 3 ... 7
Ik zelf ben ook niet echt te vinden voor een wachtwoord manager.
Ten slotte is de regel nog altijd hoe meer een doelwit oplevert tijdens een hack hoe interessanter dit doelwit is. En als je dan te horen krijgt dat sommige security firma's af en toe zelf eens de mist in gaan dan kan je toch niet garanderen dat een wachtwoordmanager site 100% secure is.

Daarbij vandaag is de ene encryptie super sterk, 5 jaar later is die brol.
En als de wachtwoordmanagers dan niet meegaan met hun tijd dan ben je wel het slachtoffer.
Alsook als er dan een hack is moet je AL je sites overlopen terwijl je in een enkele site hack maar je pass moet wijzigen voor 1 site.
Allé wel denkende dat je op de meeste sites een unieke pass gebruikt.

Neenee, Geen managers voor mij.
Ze zouden beter de mensen opleiden hoe je beter paswoorden samenstelt die makkelijk te onthouden zijn en doeltreffend zijn.

In mijn geval gebruik ik categorieën:
  • Banken: Elke kaart andere code en bij banken met login een doeltreffende pass
  • Sociaal: Privé info dus steeds andere pass
  • Werk gerelateerd: Strikte paswoorden
  • Hobby: Aparte wachtwoorden niet strikt
  • Email accounts: Splitsing tussen belangrijke accounts en spam mailboxen
  • Blogs: Afhankelijk als er privé info is gemoeid
  • Brol: Same pass
Afhankelijk van welke categorie maak ik mijn paswoorden.
Iedereen kan wel een trucje hebben maar bij deze is dit 1 van mijn trucjes waar ik de meeste sites een 100/100 op krijg qua sterkte en voldoe aan alles


vb Facebook = |Charlie@28#SociaF|

De logica achter het paswoord is dan
| Naam@ dageerstejob (staat nergens op mijn facebook btw :))#SociaF of SOCIAlemediaFacebook |

Pas ik dit toe op twitter krijg ik
|Sleeperzzz@28#SociaT|

Ga ik dan naar bvb mijn werk mix ik mijn opzoekbare BadgeNR erin vb
|12125HospAZ@2008#TheBoss|

terug wat uitleg
| mijn Badgenr dat ik enkel weet omdat dit uniek is per personeel en random gegenereerd is + HospAZ van HospitalAZ@jaar dat ik begon#random words|

Dan heb ik speciale karakters,Hoofdletters,Cijfers,genoeg tekens en nog hard te kraken valt.

Nu dit is mijn truc en weet dit goed zelf maar mensen kunnen dit ook vlug maken en eenvoudig maar toch doeltreffend.

|Nickname@geboortestad+jaartak#verwijzing naarde site met 1hoofdletter|
bvb
|Sleeperzzz@Brugge86#Tweakers|
|Charlie@Brugge86#NeoGaf|
etc...


Kan je meermaals gebruiken waarbij het begin en einde zal wijzigen volgens de site en lang genoeg om meeste krakers af te schrikken. Je kan ook spelen met speciale begin,tussen of eind karakters om de moeilijkheid graad nog wat te verhogen


Nu elke paswoord staat en valt volgens de site en de gebruiker.
Heb je een trojan of andere keylogger ben je eraan voor de moeite.
Heb je een site zonder pass hashing dan ben je er ook aan als die gehackt wordt.

Maar als je een unieke combinatie dan hebt voor elke site die je makkelijk weet dan heb je maar 1 site met issues en geen heleboel zoals met een keymanager

Ter info:
Ik geef maar enkele voorbeelden mee van paswoorden die moeilijk zijn en toch menselijk te herinneren zijn. Dit is niet het beste middel alsook zeg ik niet dat het 100% doeltreffend is.
Niemand kan 100% garanderen.Vandaag misschien wel maar binnen x jaar kan de PC wel meer en vlugger de paswoorden kraken. De bedoeling van het spel is dit zo lastig mogelijk te maken zodat het de moeite niet waard is.

Ik nam nu enkele voorbeelden waarbij mensen al iets beter beveiligd zijn dan paswoorden zoals:
pollepel,rover,bentoo,geel,kinderen,....

Ja ik kom bij veel mensen met dergelijke paswoorden (vallen niet in categorie paswoorden voor mij :P maarja)


Ik heb dit al aan mijn volledige familie geleerd.
En ze hebben de smaak te pakken. Zelfs mijn oma van 87 maakt er goed gebruik van.
Bij de ene is het natuurlijk wel strikter toegepast per site dan de andere maarja een goed paswoord is al een eerste start :)

[Reactie gewijzigd door sleeperzzz op 24 november 2015 00:25]

(...) dan kan je toch niet garanderen dat een wachtwoordmanager site 100% secure is.
Een wachtwoordmanager hoeft niet in de cloud te werken. Neem KeePass. Open de manager, kopieer en plak. Niks in de cloud, en het bestand op je eigen schijf ligt vast met AES of Twofish.

Overigens is jouw methode ook niet 100% secure veilig om verschillende redenen. Zeker degenen die hun social media volplempen met allerlei persoonlijke details vragen er met jouw methode om dat hun wachtwoord achterhaald wordt.
Hoe weet je dat keypass te vertrouwen is? De hoofdreden dat ik geen wwmanager heb is dat ik de makers niet vertrouw.
Met het programma 'keypass' ben ik niet bekend. Ik gebruik KeePassX. Deze kun je vertrouwen doordat het vrije software is.
Er is zoveel vrije software dat niet te vertrouwen is.
Ik vertrouw mijn geheugen ook niet maar toch gebruik ik het voor mijn wachtwoorden voor mijn mobiel. op mijn pc en laptop heb ik mijn pw manager omdat ik daar voor elke dienst die ik gebruik een verschillende wachtwoord gebruik.

verder kun je zelf kijken of de pw manager je gegevens stiekem doorspeelt... ik zelf gebruik Keepass 2, geen internet niks, creert een database encrypted met of AES of TwoFish.
Ik gebruik nu al enkele jaren KeePass maar ik moet zeggen dat dit programma nog best ingewikkeld kan zijn voor beginnende gebruikers of mensen met weinig computer ervaring. Je hoeft je oma er niet mee op te zadelen ben ik bang.

Om overal gebruik te kunnen maken van mijn wachtwoorden haal ik het bestand van mijn eigen FTP server af. Je kunt vanuit KeePass opgeven dat je het bestand op een FTP locatie wilt gebruiken. Ik weet het, FTP is onveilig, maar het bestand wat er overheen gaat is wel veilig. Dus gebruik een specifieke FTP account die alleen toegang heeft tot je wachtwoorden database en er is eigenlijk niets onveilig aan.

Om het geheel nog iets bruikbaarder te maken gebruik ik een Firefox plugin (PassiFox) die de wachtwoordmanager van Firefox vervangt door KeePass. Aangezien je de meeste wachtwoorden in je browser gebruikt scheelt dit heel veel tikwerk. Dit maakt het gebruik van KeePass een stuk gebruiksvriendelijker.

Aanvulling:
KeePass heeft ook een mooie wachtwoord generator welke ik heel veel gebruik bij het aanmaken van nieuwe wachtwoorden. Je hoeft zelf niets te onthouden dus het gebruik van wachtwoorden met 32 willekeurige karakters is geen probleem en zeer veilig. Ik zou KeePass sowieso aan alle tweakers aanraden. Het is volgens mij de meest veilige wachtwoord manager die er is.

[Reactie gewijzigd door 3raser op 24 november 2015 11:44]

Thx voor de info met de FTP.
Wist niet dat dit mogelijk was met Keepass had gezien dat de applicatie al portable was wat het al meer bruikbaar maakt op meerdere PCs.

Moet je continu in connectie staan met je FTP met de KeePass of is dit een eenmalige connectie zodat de applicatie up-to-date is met de laatste paswoorden?

Ik ben echter niet te vinden voor wachtwoordgenerators.
Alles wat deze generators maken is onmogelijk te onthouden.
Wat als je dan een pass gebruikt voor iets anders dan een website en je op dat moment dus geen network zou hebben. Alsook de mogelijkheid dat je KeePass corrupt gaat of niet meer werkt.
Neen, ik vind nog steeds dat een paswoord iets menselijk moet zijn.
De FTP verbinding is alleen nodig bij het openen en opslaan van de database. De verbinding is dus niet continu.
Wat betreft het kwijtraken, daar heb je backups voor. Je kunt bijvoorbeeld ook de dropbox plugin gebruiken die bij het opslaan een kopie maakt in je dropbox account.

Het kan in het slechtste geval inderdaad zijn dat je niet bij je database kan en daardoor geen wachtwoorden tot je beschikking hebt. Maar het gebruik van "leesbare" wachtwoorden is helaas niet aan te raden.
Thanks voor de extra info.
Dit weekend bekijk ik even wat ik in elkaar kan boxen en kan zijn dat ik toch nog overschakel naar een manager. We shall see.!
Merci voor de tips
Als een wachtwoord manager niet in de cloud werkt, dan betekent dat je wachtwoord dus alleen vanaf die éne computer te gebruiken is, en niet vanaf een andere. Dat is voor veel toepassingen totaal niet acceptabel. Ik log in op Tweakers vanuit minimaal 5 verschillende computers... hoe zou ik dat moeten gaan doen? 5 verschillende accounts op Tweakers aanmaken, omdat mijn password computer specifiek is? Dat is niet van deze tijd...
Je kunt Keepass gebruiken met cloudservices dmv de plugin keecloud. En dan rechtstreeks het bestand laden: dropbox://
Ah ja, de lokale keymanager...eventjes uit het hoofd verloren.
Hebben de meeste echter geen backup ergens in een cloud indien je bvb naar andere PC gaat of zoiets? Gewoon even vragen omdat ik nog maar had gekeken op puur luiheid en dus altijd ervan uitga dat je de keymanager op meerdere toestellen kon raadplegen. Laptops,Desktops,Smartphones,etc...

Nice net even KeePass bekeken en is portable dus multi PC usage is ook opgelost. Is er geen risico dan als je de USB stick kwijtspeelt?

Enige ervaring @Wodanford ?


En inderdaad de meeste passes die ik gebruik bestaan uit 50% gegevens die niemand behalve ik kan weten. Vandaar bvb het paswoord van op het werk. Niemand kent mijn badgenr staat nergens gedrukt of vrij opzoekbaar. Ik weet het echter wel omdat dit nummer verschijnt op 1 badgelezer op het werk alle andere zijn zonder display.

Nuja het waren inderdaad enkel tips om tot een doeltreffend paswoord te komen.
Wat je in het paswoord gebruikt kan zo uniek zijn dat enkel de persoon in kwestie het weet.

Iemand op mijn bureau maakte zijn eigen keymanager offline :)
Hij beschikt over passcards gedrukt op papier die geplastificeerd is.
Op de cards staat gewoon een combinatie van enkele codes met een specificatieletter. Meestal max 3 codes.
bvb Passcard Hobby beschikt dan over volgende codes S(port), C(ommunity),O(ther):
Sa48Z#41wE4&
C!5qA489s#sq&
OSc1658s@&"

Daarmee maakt hij dan paswoorden op en indien hij even het paswoord niet weet kan hij spieken op zijn passcard. EN indien hij er een kwijt is weet men niet wat men ziet alsook staan er geen site referenties op of andere details en zijn deze ook niet gebonden aan privé info.

Nuja iedereen gebruikt zijn methode volgens mij.
In mij geval staat en valt het inderdaad afhankelijk van hoeveel privé info je online zet.
Wat in mijn geval weinig is. Maarja
Ik heb dit ook best lang gedaan, maar ben sinds een paar jaar helemaal over op keepass. Ideaal!
Omdat het wachtwoord bestand goed versleuteld is en je mag zelf weten hoe je dit bestand syncroniseerd (eigen server/google drive/dropbox/whatever cloud ooit) ben ik er ook niet bang voor dat dit nu een groter doel voor hackers is. Er is geen wachtwoord server voor iedereen die keepass gebruikt.

Buiten dat ik dit een stuk veiliger vindt dan "geheime wachtwoord formule met sitenaam", is de software ook erg fijn: cross platform en bij elke site / tool / app die een wachtwoord vraagd kan ik keepass de gebruikersnaam en wachtwoord in laten vullen.
Yes, ik doe precies dit al jaren lang..

Voor tweakers.net en twitter doe ik dit aan het einde:
* wachtwoord + t1

Voor facebook:
* wachtwoord + f1

Voor gmail:
* wachtwoord + g1

Niet perfect, maar je kunt het zo moelijk maken als je zelf wilt.
Dergelijke permutaties maken de boel maar nauwelijks veiliger, omdat hackers met slimmere aanvallen dan alleen bruteforce dit soort dingen toevoegen aan de zaken die ze proberen. Dat is bijna hetzelfde als een a met een @ vervangen - dat wordt gewoon meegenomen in de dictionaries of te proberen zaken.

Nog even los van dat je nu publiekelijk hebt uitgelegd hoe jij dingen permuteert. Zelfs als je dat net anders neergezet hebt dan je het doet is het een handvat van jewelste voor kwaadwillenden :P
Exact: Elke keer er een grote database gehacked wordt, gaan allerlei organisaties met verschillende machinelearning tools over alle paswoorden om patronen te herkennen. Op basis daarvan worden er steeds nieuwe dictionairies gemaakt. Zeker als je je werkwijze online zet, wordt het aantal mogelijkheden erg fel verminderd. Een zin blijft nog steeds het beste, het is lang en makkelijker onthoudbaar.
Een erg goed principe om paswoorden te genereren is een zin maken via dobbelstenen (Zie http://world.std.com/~reinhold/diceware.html)

Het enige waar ik me zorgen in maak is als men weet dat je een zin maakt of men geen bruteforce kan doen met dictionairie lijsten door alle combinaties van woorden afgaan te gaan en aan elkaar te plakken met spaties [kan iemand hierop ingaan?]. Ik verhinder dit meestal door een onbestaand of speciaal woord en jaartal toe te voegen.
Het enige waar ik me zorgen in maak is als men weet dat je een zin maakt of men geen bruteforce kan doen met dictionairie lijsten door alle combinaties van woorden afgaan te gaan en aan elkaar te plakken met spaties ~[kan iemand hierop ingaan?]. Ik verhinder dit meestal door een onbestaand of speciaal woord en jaartal toe te voegen.
https://xkcd.com/936/

Zelfs vier woorden die elk uit een lijst van de tweeduizend meest gebruikte woorden die verder *niks* met elkaar te maken hebben, zorgen voor een entropie van 44bit (één woord uit die lijst is 1 uit 2000 mogelijkheden, en 2000~= 2^11 dus 11bit entropie), wat al vaak beter is dan een wachtwoord van kleinere lengte met allerlei rare substituties die het extra moeilijk maken om te onthouden.

Je kan het combineren van woorden tot zinnen zien als volgt:
  • Een wachtwoord met enkel [a-z] heeft 26 verschillende mogelijkheden per 'karakter', iets minder dan 32bit of 2^5 -> een combinatie van 5 zulke karakters geeft een entropie van (2^5)^5 = 2^25 = 25bit entropie als overdreven hoogtegrens; niet zo veilig dus.
  • Een wachtwoord van enkel [a-Z] heeft 52 verschillende mogelijkheden per 'karakter', iets minder dan 64bit of 2^6 -> een combinatie van 5 zulke karakters geeft een entropie van (2^6)^5 = 2^30 = 30bit entropie; iets veiliger maar kan heus beter.
  • Een wachtwoord van enkel [a-Z0-9] heeft er 62, nog steeds iets minder dan 64bit; zelfde verhaal als hierboven.
  • Een wachtwoord waar àlle chars uit ASCII worden toegestaan bezitten 256 verschillende mogelijkheden per 'karakter', dus 256bit of 2^8, maar hoe makkelijk is zoiets om te onthouden? Niet erg makkelijk. -> een combinatie van 5 zulke karakters geeft een entropie van (2^8)^5 = 40bit entropie; dat is al behoorlijk.
  • Een wachtwoord dat een combinatie is uit woorden uit een lijst van de 2000 meest gebruikte woorden heeft dus 2000 mogelijkheden per 'karakter', als je elk woord als een karakter beschouwt, dus ~11bit of ~2^11 -> een combinatie van 5 zulke karakters geeft een entropie van (2^11)^5 = 2^55 = 55bit entropie; dat is al direct een pak sterker.
Natuurlijk kan je ook gaan voor een wachtwoord van karakters uit klasse [a-Z0-9] met een lengte van minstens 15 karakters, dat geeft direct (2^6)^15 = 2^90 = 90bit entropie

Echter moet een kraker wel beseffen dat het bij zinnen gaat om een combinatie van woorden die ALLEMAAL uit de lijst van de 2000 meest gebruikte woorden komt. Zoniet zal hij dat wachtwoord beschouwen als een string van [a-z] met behoorlijke lengte (bijvoorbeeld: 20 karakters indien elk woord gemiddeld vier karakters lang is), wat een entropie van (2^5)^20 = 2^100 = 100bit entropie geeft.

Beide benaderingen op puur karakterniveau kloppen echter niet, want mensen gaan geen willekeurige (=random) karakters combineren, maar gebruiken daarvoor patronen die ondertussen al goed gekend zijn bij krakers; bv: hoofdletter als eerste karakter, cijfer als laatste karakter, tussenin kleine letters; substituties van letters naar cijfers (leetspeak); vaakst gebruikte cijfers zijn 0, dan 1, dan 9, ...; etc.

Dit pleit dus in het voordeel van het gebruik van 'gewone' zinnen met woorden, die NIETS meer met elkaar mogen te maken hebben dan puur het feit dat ze voorkomen in dezelfde lijst van vaakgebruikte woorden.

[Reactie gewijzigd door IveGotARuddyGun op 24 november 2015 13:09]

Mooie uitleg :) !

Ik ben een stuk geruster nu. Een zin van goede lengte met leestekens (om de scheiding van woorden niet eenduidig te maken) met niet alledaagse woorden / cijfers maken dus een goed sterk wachtwoord.
Had hier inderdaad ook al van gehoord.
Toen ze van MS ons kwamen opleiden over onze AD sprak men inderdaad ook al van paswoorden bestaande uit woorden zonder enige connectie met minimum 14 karakters in lengte.
Bedankt voor de uitleg
De praktijk is echter dat "Welkom-1" als sterk wachtwoord wordt gezien en "paard koffie vork buik" niet geaccepteerd wordt door de idiote regelgeving van allerlei instanties.
Moet je nog wel onthouden welke websites zulke lange wachtwoorden accepteren. Ik al een paar keer gehad dat lange (keepass gegenereerde) wachtwoorden keurig geplakt/ingetypt konden worden in het aanmaakveld, maar bij verwerking op 12 of 18 karacters werden afgeknipt - en probeer maanden later dan maar te raden waarom je wachtwoord niet werkt.

Of nog erger, multi-platform apps die op elk platform een maximale passwordlengte hebben. (Samsung universeel password op website, tablet en TV)
Maar je weet mijn wachtwoord niet?
Daarmee zou je dus zeggen dat mijn wachtwoord ansich al niet goed is.
En dan kom je op een website als Eneco waar je wachtwoord opeens verplicht tussen de 6 en 10 characters moet zijn :/
En dat soort bedrijven krijgen dan direct een mailtje van mij dat ze hun beveiliging eens op orde moeten stellen. Vaak met een standaard excuus mailtje van 'wij werken constant aan onze beveiliging en stellen uw bijdrage op prijs blabla', maar goed.... als niemand er iets van zegt doen ze zeker te weten niets.
Dit! Gisteren ook ervaren inderdaad, zeer slecht!
Er zitten inderdaad wel altijd sites bij die het niet te nauw nemen met de regels van de security kunst. Persoonlijk vallen die dan onder categorie Brol. Maarja die privé info zo gevaarlijk.

Helaas valt en staat alles inderdaad door beide partijen en aan deze sites geef ik categorie Brol :p
Als je wilt voorkomen dat een keylogger je wachtwoorden achterhaald dan is Oxynger KeyShield een optie:
http://www.oxynger.com/
Oxynger KeyShield, een virtueel toetsenbord met screenshot bescherming en key layout randomisation.
Daarbij heb ik dan gelijk weer het vermoeden dat de software die dit keyboard mogelijk maakt de site + inlog doorstuurt naar een centrale database.
Hoe meer ik mij met beveiliging bezig hou des te paranoïde ik word, des te meer ik mij met beveiliging bezig ga houden... ad infinitum .
|Sleeperzzz@Brugge86#Tweakers|
Sorry hoor, maar ik kan je geen +3 geven want dat wachtwoord werkt niet :)
Hahaha :)

Niemand zegt ook dat ik in 86 geboren ben en in Brugge :)
Dat is een heel mooi systeem, en is behoorlijk veilig, maar toch denk ik dat een manager (niet online...) minstens zo veilig en makkelijker is.

Veilig master wachtwoord die de database encrypt.
Alle wachtwoorden veilig (dus lang etc).
Als de encryptie niet veilig genoeg meer (over 5 jaar bijv.) is kun je de database opnieuw encrypten met sterkere encryptie.
Het masterwachtwoord is echt uniek, en de manier waarop het opgebouwd is wordt niet gebruikt voor andere logins. Op deze manier is het makkelijker (want maar 1 master te onthouden) en veiliger (want alle wachtwoorden zijn sterk en echt random en alles is encrypted opgeslagen).
Ik gebruik een offsite pwm. Juist ook dat als ik het loodje leg, mijn partner wel zaken kan afhandelen omdat ik er niet meer ben.

Achja mensen zullen dit ook niet als handig kenmerken.
Het is moeilijk door de beveiliging van je password manager te komen. Welke kan bestaan uit een authenticator, of moeilijk bereikbaar is doordat het lokaal is opgeslagen, dergelijke zaken. Nu is bij jou de beveiliging je "systeem". Zodra 1 van je wachtwoorden gekraakt is hoef ik alleen nog maar jou systeem uit te vogelen om langs al je beveiliging te komen. Welke een stuk minder intimiderend dan die van een password manager naar mijn mening.
En dan na een burn-out alles vergeten zijn..
Goede doordachte methode, mits je wel capabel bent het toe te passen. En dat bedoel ik niet absoluut niet denigrerend.
Ik mis de categorie webshops, die houd ik echt wel apart.
Mijn allerbelangrijkste wachtwoorden zit ik niet in mijn wachtwoordhulp, zoals voor Paypal, Ebay, dat soort dingen. Maar de rest wel. Het resultaat is dat ik voor 95% van de sites geen wachtwoord meer hoef in te tikken, laat staan onthouden, omdat ze in mijn Lastpass staan. De crux is dat je niet in één keer al je wachtwoorden in je wachtwoordhulp hoeft te gooien. Je kunt beginnen met je alleronbelangrijkste sites, zoals wat Internetfora, en dat een tijdje proberen.

[Reactie gewijzigd door Cerberus_tm op 25 november 2015 01:01]

Password managers = droom van NSA en vrienden.
Online, mogelijk wel. Offline niet.
Ik plaats nooit belangrijke zaken in de cloud/online. Ook geen passwords.
Meer dan veertig procent denkt dat 'een veilig wachtwoord' ook helemaal niet te onthouden is. Wat als een veilig wachtwoord te beschouwen is weet bovendien lang niet iedereen: slechts 5 procent is zich bewust van de mogelijkheid een lange zin te gebruiken.
Zonder in te gaan op de voor en nadelen van een dergelijke methode, is het helaas lang niet altijd mogelijk. Teveel websites hanteren een maximum lengte voor het wachtwoord van 16 of zelfs nog minder karakters.

Als het kan genereer is met mijn password manager een wachtwoord van 64 willekeurige letters, cijfers en leestekens. Dat wordt echter te vaak afgewezen omdat er "niet toegestane tekens", zoals aanhalingstekens, dollartekens, spaties en wat al niet meer, in voorkomen, het wachtwoord te lang is, of er, bijvoorbeeld, een reeks opeenvolgende karakters in staat. Met random wachtwoorden van 64 karakters is het niet geheel onwaarschijnlijk dat er zo nu en dan 1234 oid in voorkomt.

Websites en wachtwoord-controle-algoritmen zijn in veel gevallen niet voorbereid op daadwerkelijk veilige wachtwoorden.

[Reactie gewijzigd door MadEgg op 23 november 2015 21:34]

Een maximumlengte voor een wachtwoord is vaak een teken dat websites jouw wachtwoord ongehashed (dus in plain text) opslaan. Foute boel dus.
Helaas gaat dat lang niet altijd op. Er word gewoon gecontroleerd op de lengte. Alsnog wordt het daarna gehasht opgeslagen. Zeker geen garantie. Maar het is voor veel programmeurs een soort reflex: user form? Oh, daar moet dan wat validatie overheen. Wat kunnen we eens verzinnen voor eisen? Op zich logische en over algemeen goed. Maar in het geval van wachtwoorden kun je beter de input laten as-is, en er direct de hash-functie overheen gooien. Weet je exact wat voor output en lengte je krijgt.

Maar goed, met een password manager maakt het geen zak uit als een (onbelangrijke) website mijn wachtwoord niet gehasht opslaat. Mocht het uitlekken dan kan niemand er iets mee, het is immers uniek voor die website, en er zit geen patroon is waaruit mijn wachtwoord voor andere websites af te leiden zou zijn.

Nog een leuk voorbeeld. De website van de Volkskrant. Deze was qua validatie niet zo vervelend, maar nadat ik mijn wachtwoord had ingesteld op een random wachtwoord, kon ik vervolgens met dat wachtwoord niet inloggen en moest ik het wachtwoord resetten. Na diverse pogingen heb ik uiteindelijk maar een wachtwoord van 16 tekens zonder leestekens gegenereerd en daarmee lukt het wel. Blijkbaar verslikt de code zich ergens op de gegenereerde wachtwoorden, zegt hij dat het wachtwoord aangepast is maar is het vervolgens toch niet gelukt. 8)7
Maar goed, met een password manager maakt het geen zak uit als een (onbelangrijke) website mijn wachtwoord niet gehasht opslaat. Mocht het uitlekken dan kan niemand er iets mee, het is immers uniek voor die website, en er zit geen patroon is waaruit mijn wachtwoord voor andere websites af te leiden zou zijn.
Uiteraard, maar even los daarvan is het ongehashed opslaan van wachtwoorden toch wel een erg duidelijk teken dat de webdeveloper geen idee heeft waar hij mee bezig is.
Nog een leuk voorbeeld. De website van de Volkskrant. Deze was qua validatie niet zo vervelend, maar nadat ik mijn wachtwoord had ingesteld op een random wachtwoord, kon ik vervolgens met dat wachtwoord niet inloggen en moest ik het wachtwoord resetten. Na diverse pogingen heb ik uiteindelijk maar een wachtwoord van 16 tekens zonder leestekens gegenereerd en daarmee lukt het wel. Blijkbaar verslikt de code zich ergens op de gegenereerde wachtwoorden, zegt hij dat het wachtwoord aangepast is maar is het vervolgens toch niet gelukt. 8)7
Ja, dat heb ik wel eens eerder gehoord. Waarschijnlijk komt dit doordat de website het wachtwoord ongehashed in een query drukt. In de database heeft het wachtwoord-veld natuurlijk een maximaal aantal characters, dus een te lang wachtwoord wordt truncated.

Als de wachtwoorden zouden worden gehashed zou zoiets nooit gebeuren, omdat een hash een vaste lengte heeft. Het zou natuurlijk kunnen dat een wachtwoord wordt getruncated vóórdat die naar de hashfunctie gepassed wordt, maar ik zie niet in waarom je dat zou doen. Dat moet je bijna met opzet doen zeg maar...

[Reactie gewijzigd door Compizfox op 24 november 2015 20:36]

Ja, dat heb ik wel eens eerder gehoord. Waarschijnlijk komt dit doordat de website het wachtwoord ongehashed in een query drukt. In de database heeft het wachtwoord-veld natuurlijk een maximaal aantal charachters, dus een te lang wachtwoord wordt truncated.
Wat weer getuigd van brakke database-software. Als ik in PostgreSQL een te lange string in een te kort veld probeer te duwen krijg ik netjes een foutmelding en weigert hij het door te voeren. Het zou wat worden als de database server op eigen houtje gaat bepalen dat er iets afgeknipt moet worden.

Helaas schijnt MySQL inderdaad wel het snoeihard af te knippen maar die laat ik dan ook niet voor niets al jaren links liggen. :'(
Ik weet het nog niet.
Net inderdaad even gekeken naar de Keepass die al meermaals is vernoemd hier.
Maar sta niet zo te springen met wachtwoordgenerators.
Meeste wachtwoorden zijn dan onmogelijk om te onthouden. En wat als je dan op het punt komt dat je niet naar je manager bij de hand hebt sta je daar dan zonder toegang tot je sites.
of erger stel dat voor bizarre reden bvb na update plots je database met wachtwoorden corrupt is.

Ik hou nog iets liever de wachtwoorden gebonden aan iets dat ik kan onthouden.
Want hoe minder je ze typt hoe minder je het zal onthouden.

Wat betreft de sites. Ik heb er eigenlijk nog niet zoveel tegengekomen waar ik max 16 karakters kon gebruiken. De meeste die ik heb gaan tot max 32 karakters wat ook jammer is maarja.

Op zich zouden alle sites eigenlijk moeten dubbele authenticatie hebben met SMS of authenticatie app. Maar kost vermoedelijk iets te veel voor alle sites vooral voor de kleintjes.
Nuja het zijn wel mijn gegevens die ze vragen dus dit zou moeten ergens in een reglement worden gegoten dat alle sites met Privé info verplicht worden.
In plaatst met hun wetten over Cookies :)
Ik weet het nog niet.
Net inderdaad even gekeken naar de Keepass die al meermaals is vernoemd hier.
Maar sta niet zo te springen met wachtwoordgenerators.
Meeste wachtwoorden zijn dan onmogelijk om te onthouden. En wat als je dan op het punt komt dat je niet naar je manager bij de hand hebt sta je daar dan zonder toegang tot je sites.
of erger stel dat voor bizarre reden bvb na update plots je database met wachtwoorden corrupt is
Als de spreekwoordelijke uitwerpselen de ventilator raken heb ik altijd nog mijn e-mail. Het enige waarvoor ik mijn wachtwoord zelf onthoudt. Wel flink complex natuurlijk. De meeste zaken zijn te resetten door een e-mail te sturen.

Verder heb ik nagenoeg altijd toegang tot mijn toegangscodes. Ik heb ze namelijk online staan (wel weer zwaar beveiligd natuurlijk, al is de password database zelf ook nog eens encrypted). KeepassX even downloaden is geen bezwaar, als ik mijn USB-stick waar die ook op staat toevallig niet bij me heb. En als een zeer lichte gebruiker van smartphone-functies, voel ik eigenlijk nooit de noodzaak om in te loggen op websites op mijn mobiel. Volgens mij is daar overigens ook wel een app voor, maar ik heb nooit de moeite genomen om die te installeren. Bovendien vertrouw ik app-bouwers en smartphone OS-bouwers niet, dus zou ook niet gauw zo'n app installeren op mijn telefoon.

Dergelijke patronen die ik hier voorbij hoor komen om een wachtwoord te genereren uit een webadres gebruik ik om een email-adres te genereren: ik gebruik voor elke vrijwel website een ander e-mailadres. Hiermee heb je een extra laagje beveiliging, al stelt het niet heel veel voor natuurlijk. Alle e-mails komen uiteindelijk wel bij mij binnen natuurlijk. Het leuke hiervan is dat het ook direct duidelijk maakt aan mij WIE er gelekt heeft als ik weer eens spam ontvang: aan het e-mailadres is direct te zien voor welke site ik het e-mailadres oorspronkelijk gebruikt heb.
Op zich zouden alle sites eigenlijk moeten dubbele authenticatie hebben met SMS of authenticatie app.
2FA voor alles, nee dank je. Er zijn te veel websites die ik niet belangrijk genoeg acht om mijn telefoonnummer te geven. En dat gehannes met OTP met een app heb ik ook geen behoefte aan.
Thanks voor de extra info.
Dit weekend eventjes allemaal mee bezig houden en eens zien.
Super idee met e-mail addressen.

Bij mij zijn ze ook wat gesplits maar nog niet zodanig dat ik voor alles een aparte mail heb :). Wil dit nu ook eens doen en zien wie wat doet met mijn mail adres :D
GOOD for Enterprise geeft (mogelijk is dit met de laatste versie aangepast) zelfs al problemen als een teken meer dan twee keer voorkomt in een wachtwoord.
Het verbaast me in mijn eigen omgeving ook altijd hoe weinig mensen zich bewust zijn van het bestaan van wachtwoordmanagers. Ik ben al jaren zeer tevreden met 1Password en mijn directe familie heb ik er ook aan gekregen, maar ik sta er versteld van hoeveel mensen van mijn leeftijd het gewoon écht niet kennen. Als iemand mij met één simpele toetsencombinatie in ziet loggen op een website krijg ik steevast de vraag "Hoe doe jij dat nou?".

Vroeger gebruikte ik ook altijd overal hetzelfde wachtwoord, of hooguit 3 verschillende wachtwoorden in gradaties van moeilijkheid (bijvoorbeeld: 9852738, 914519733484, fmq3E#64!). Hoewel die laatste nog in de categorie 'best oké' valt, gebruikte ik dezelfde wachtwoorden op zo ontzettend veel verschillende plekken, inclusief voor het e-mailadres waarmee ik me op die plekken registreerde, dat het vanzelf al niet meer veilig werd natuurlijk.

De methode van een vaste wachtwoordreeks, aangevuld met website-specifieke onderdelen heb ik ook overwogen, maar als ik weet dat iemands Facebook-wachwoord fmq3E#64!FB is en z'n Tweakers-wachtwoord fmq3E#64!TW, laten andere wachtwoorden zich natuurlijk ook wel makkelijk raden. Bovendien loop je met deze methode al snel tegen het probleem aan dat verschillende websites vaak verschillende eisen aan de wachtwoorden stellen. Hoe vaak ik wel niet heb meegemaakt dat bijvoorbeeld enkel @, #, $ of * als speciale tekens zijn toegestaan.... :X En dan hebben we het nog niet eens over websites waar je voor de 'veiligheid' geen langer wachtwoord dan 12 tekens mag hebben.

Kortom, ik genereer tegenwoordig voor alle logins een volstrekt random wachtwoord aan de hand van de eisen die op die website gesteld worden. Bijvoorbeeld iets als wD;zP>6*9e,eGY2zHEiWb6 wanneer er geen beperkingen aan het wachtwoord zitten, of Dv7Ej48#Yn9Z als een wachtwoord maar 12 tekens mag hebben en alleen de standaard speciale tekens. Gecombineerd met tweetrapsauthenticatie op de plekken waar dat mogelijk is, voel ik me veilig genoeg op deze manier.

Dat uiteindelijk alles te kraken valt en ook password-managers zwakke plekken kunnen(/zullen) hebben lijkt me evident, maar zolang er mensen blijven waarvan de wachtwoorden allemaal véél makkelijker te kraken vallen, zal ik niet zo snel een target worden. :) Wat dat betreft is het te vergelijken met een veiligheidscamera bij je huis of een extra slot op je voordeur: het houdt iemand die écht naar binnen wil niet tegen, maar de inbreker die voor een snelle kraak gaat, kiest dan toch eerder het huis van je buurman uit.
Heb op zich wel interesse in een wachtwoord manager. Maar hoe zit het met inloggen op je accounts op een computer waar je geen toegang hebt tot je wachtwoordmanager?
Weinig goede reacties toen ik het schreef :), laat wel zien hoe onbekend het nog is.

Ik zit zelf 3 jaar bij lastpass. Deze slaat je wachtwoorden veilig online op. Je kunt dus altijd inloggen via de website en je wachtwoord kopieeren. (uiteraard ondersteunen ze 2staps verificatie). Je hebt ook een mobile app, waarin je je wachtwoord kan opzoeken en overschrijven, maar dat werkt minder goed als je wachtwoorden 100 tekens lang zijn zoals bij mij.

Als je bang bent je master wachtwoord in te vullen op een publieke computer, kan je ook gebruik maken van one-time-logins, wachtwoord die maar 1 keer is te gebruiken en daarna vervalt (net zoals back-up wachtwoorden van 2staps verificatie)

Het fijne van een wachtwoord manager vind ik niet alleen het gemak van nog maar 1 wachtwoord kennen, maar ook een mooi overzicht van al de sites waar je een account hebt. En het is ook handig voor andere gevoelige informatie, bankgegevens, wifi wachtwoorden, etc.
Laspass kost wel 1 euro per maand. Je hebt extensies/apps voor alle browsers en besturing systemen.

-edit2-
Plus het is superhandig om wachtwoorden veilig te delen tussen jou en je vriendin/vriend/kinderen/familie/etc, nadeel is wel dat ze elk eigen betaald account nodig hebben, maargoed, 2 euro (ik en vriendin) per maand vind ik te doen voor zoiets belangrijks :)

[Reactie gewijzigd door bskibinski op 23 november 2015 21:32]

Klinkt misschien een beetje dom maar de worden veilig en online vind ik niet echt bij elkaar passen. Het idee dat ergens online een database met mijn wachtwoorden staat vind ik echt verschrikkelijk. Al wordt het niet gehackt, gaat het bedrijf over een jaar faliet wordt de database verkocht en be je de zak. Nee hoor ik heb daar echt 0 vertrouwen in.
Klinkt misschien een beetje dom maar de worden veilig en online vind ik niet echt bij elkaar passen. Het idee dat ergens online een database met mijn wachtwoorden staat vind ik echt verschrikkelijk. Al wordt het niet gehackt, gaat het bedrijf over een jaar faliet wordt de database verkocht en be je de zak. Nee hoor ik heb daar echt 0 vertrouwen in.
Je hebt helemaal gelijk! Alleen dat neemt niet weeg dat het gebruik van wachtwoordmanagers en meer en of langere wachtwoorden veiliger is dan maximaal 4 simpele wachtwoorden! Zelf gebruik ik Keepass, opensource programa en gebruikt ook 256 AES encrieptie. I.c.m.KeeFox is dit een veiligere oplossing maar net zo handig als Lastpass (vooral sinds de afgelopen grote update van Keefox).

Wil je het overal kunnen gebruiken? Syncroniseer het dan met via een online of eigen cloudserver! Dit gaat het beste als jetriggerss gebruikt.
Ter info bij het bericht van kingofnima: LastPass is in oktober overgenomen door LogMeIn: nieuws: LogMeIn neemt LastPass over.
Klopt, dat is een beetje de vloek van alle diensten die je privé-informatie opslaan. LogMeIn heeft niet zo'n goede naam omdat ze voor hun gratis producten plotseling veel geld vroegen. Wat ze met LastPass gaan doen moet nog blijken. Het lijkt erop dat vooralsnog het originele team aan het roer blijft.

Gelukkig reageert LastPass tot nu toe altijd zeer alert en capabel op security-problemen. Dat geeft me vertrouwen dat ze weten waar ze mee bezig zijn.

Voor mij LastPass het een goede balans tussen gebruiksgemak en veiligheid en ik zou niet meer zonder willen. Ik zou je wél aanraden om altijd 2-factor-authenticatie te gebruiken bij een dienst die dergelijk gevoelige data opslaat. Je kunt hiervoor bijv. een Yubikey en/of een Authenticator app gebruiken (naast diverse andere mogelijkheden). Het is ook verstandig om alleen login toe te staan vanuit de landen waar jij je wel eens bevindt. Blokkeer in de settings dus bijv. toegang via Tor, China, etc...
De technische details van encryptie ontgaan je dan, en is het een onderbuik gevoel. Dat snap ik ook wel, maar online != onveilig. Ik ga je garanderen dat ik veiliger zit met een Wachtwoordmanager en elke site zijn eigen wachtwoord, dan jij met 1 wachtwoord voor al je sites ;)

Je moet inderdaad niet geloven dat www.gratissmileys.nl een veilige dienst zal leveren, maar dat betekend niet dat per definitie alles onveilig is. (Alles is kraakbaar, maar dat betekend niet hetzelfde)
Alles gaat tegenwoordig "online" en veilig, dus het kan wel, van transacties tot klokkenluiders. Maar zoals altijd, wees waakzaam, let goed op waar je zit, en zeker als je met inloggen bezig bent.

-edit-
als bedrijf failliet gaat, je gegevens eruithalen, en je wachtwoorden aanpassen, je bent zeker niet de zak, kost wel wat tijd (of een andere gebruiken die je wachtwoorden automatisch kan updaten)

[Reactie gewijzigd door bskibinski op 23 november 2015 21:47]

Verschillen we enigszins van mening. Gezien lastpass 1-time passwords aanbied betekend dat, voor zover mijn kennis rijkt, per direct dat ze de decryptie sleutels van je wachtwoord database hebben. Hadden ze die niet, doen 1-time passwords het namelijk niet - die kunnen je database namelijk niet ontsleutelen dan. Kunnen ze het wel, zijn het geen 1-time passwords...

Nu wil dat niet zeggen dat online perse onveilig is. Wat het wel wil zeggen is dat ze gedwongen worden tot een vorm van klantenservice die het veelal onveiliger maakt.
Nee, helaas reikt je kennis niet ver genoeg ;)

Het 1-time password is gewoon een sleutel voor de versleutelde decryptie sleutel. Het enige dat OnePass weet is de versleutelde decryptiesleutel. Zij kennen de daadwerkelijke sleutel niet, en het 1-time password ook niet.

Zodra je een keer daadwerkelijk inlogt kun je de 1-time passwords genereren. Ze encrypten dan je werkelijke decryptiesleutels en de sleutel die ze daarvoor gebruiken is vervolgens het gegenereerde 1-time password. Het 1-time password kunnen ze vervolgens in je eigen vault zetten zodat zij deze ook niet weten.

Zodra je vervolgens zo'n 1-time password invoert om in te loggen wordt deze gebruikt om je werkelijke sleutel te decrypten en wordt de geencrypte sleutel weggegooid (waardoor het dus maar 1 keer te gebruiken is)
Als iemand die sleutel heeft weten te achterhalen kunnen ze mi nog steeds je database decrypten, of ze moeten het hele ding opnieuw versleutelen met een andere key daarna (en de aanvaller moet geen oude kopieën van de DB hebben).
Jij stelde dat ze per direct de decryptiesleutel tot hun beschikking zouden moeten hebben. Dat is dus niet waar.
Maar op welke manier ben jij dan verzekerd dat die wachtwoordmanager feitelijk encryptie toepast? Kan je dat op één of andere manier controleren?

Sowieso lijkt het me teveel moeite voor de extra veiligheid die het me oplevert. Één combinatie voor de enkele privacygevoelige of financiële zaken en één combinatie voor de overige zaken is een systeem wat eenvoudig werkt en al een vrij goede veiligheid biedt.
Heb je daar een bron van, mbt het bel me niet register? Dat is immers een wettelijk vastgelegd iets, geen bedrijf? Je kunt ook nogbsteeds nummers op laten nemen in het register
bmnr is een wettelijk register dat bedrijven moeten raadplegen alvorens commerciele telefoontjes te plegen. Dit register is de opvolger van infofilter, een initiatief van de telemarketing branch zelf dat nooit echt is aangeslagen maar exact dezelfde functionaliteit bood als het bmn register nu biedt. Stichting Infofilter beheert het bmn register wel nog. Stichting Infofilter gaat niet failliet, die worden namelijk betaald door bedrijven die gebruik moeten maken van hun register voordat ze klanten benaderen.

ontzettend offtopic, maar jij vroeg erom :)
Het was niet het bel-me-niet-register, maar een voorloper ervan.

"Daarnaast onderhoudt de DMSA het Infofilter op internet waar consumenten hun email adres en mobiele nummer kunnen opgeven zodat zij geen spam meer krijgen van de DMSA leden."

Ze waren wel degelijk failliet gegaan en ze hebben de adressen destijds echt verkocht, dat deed de curator. Op internet stond het destijds vol in het nieuws, alleen nu kan ik er bijna niets meer van vinden.

Hier een resultaat: https://www.security.nl/p...ut+bestand+onder+de+hamer

[Reactie gewijzigd door Slingeraap2 op 24 november 2015 11:20]

Ik heb dus diezelfde argwaan. Het is iets te vaak voor gekomen dat websites gehacked worden, of dat er slordig met gebruikergegevens omgegaan wordt. Om dan alle wachtwoorden, inclusief dingen voor banken, email etc. op één locatie te bewaren, ik vind het tricky. Durf het niet aan.
En hoe doe jij je wachtwoorden nu? 2 wachtwoorden, 1 voor low-level, andere voor high-level? (daar los je idd al veel mee op). Oprecht benieuwd :) Ik probeer in mijn omgeving namelijk mensen hier echt bewust van te maken, omdat men amper doorheeft bij hoeveel sites je wel niet je wachtwoord hebt achtergelaten (en het niet meer weet).
Ik heb zo'n 20+ wachtwoorden die ik uit m'n hoofd heb geleerd.
Maar zelden dat ik er één vergeet, vaak is dat omdat een website of applicatie absurde eisen stelt aan hoe je wachtwoord eruit moet zien. (Vooral last van als je wachtwoorden niet lang mogen zijn)
ik heb een hoooop wachtwoorden; en ik heb die allemaal opgeslagen in een pwd protected libreoffice calc file (opensource excel)
verdeeld over meerdere tabbladen; oa multilogin (meerdere logins op 1 site), single login, andere diensten (dus niet op website maar bv logins van newsservers)

die file op zich is dan weer te vinden in een truecrypt container die op zich beveiligd is met een vrij lang en uniek wachtwoord en een aantal keyfiles (bestanden op m'n harddisk zoals foto's en liedjes waarvan de data mee als encryptiekey wordt ingezet)..

steelt iemand de truecrypt container... ok; so what ..
steelt iemand de truecrypt container en weet het wachtwoord... ok veel geluk met dezelfde files
steelt iemand de TC container, weet uit te dokteren welke keyfiles hij nodig heeft én kent het wachtwoord van de tc container... ow shit's about to hit the fan... er is nog maar 1 wachtwoord tussen de content en de dief... en zulke files zijn niet zo krachtig beveiligd ..
steelt iemand de TC container en houdt een pistool tegen m'n hoofd om deze te unlocken; geen probleem... die krijgt deel 1 v/d container voor z'n biezen met een nogal redelijk privé filmpje ( :9~ ) erin maar verder geen data

maar eer iemand zo ver is.... heeft die al heel lang moeten meekijken op mijn computeren had die net zo goed een aantal prt-scrn kunnen nemen de laatste keer dat ik de file open had...
ik deed dit vroeger niet; vroeger had ik maar een paar wachtwoorden; 1 voor email, 1 voor gewone sites (ala tweakes), 1 voor rommelsites die ik ni vertrouwde, en 1 voor sites ivm financiele zaken (bv paypal). Echter zag ik een paar jaar terug steeds vaker dat er complete databases op straat kwamen met alle users en pwd erin... en dat zinde me niet; vanaf dan begon ik quasi overal met aparte wachtwoorden. Eerst sloeg ik alles op in een lokale txt file, toen het wat veel werd (en ik een txt ook veel te riskant vond) begon ik met het gebruiken van pwd-protected spreadsheet
Toen ik met truecrypt externe harddisks begon te encrypten om die als veilige backup te gebruiken die ik niet thuis hoefde te bewaren en gewoon af en toe mee naar huis nam om de data te synchen tussen pc/laptop en de externe hdd kreeg ik ook het idee om ineens mijn usb stick (Forza Motorsport Limited Special Edition stick; 2gb zeer snel (voor die tijd toch) flash geheugen) die ik toch ook altijd en overal mee heb (=sleutelhanger) te voorzien van een tc van zo'n 100 MB.
Nu loop ik dus altijd met mijn pwd's rond; wil ik er eentje toevoegen open ik gewoon de TC container (heb truecrypt op stick staan, keyfiles doe ik via VPN vanaf m'n server) en daarna de .ods openen (kan in open/libreoffice maar ook in MSOffice....
al open ik hem liever niet op locatie kwestie dat ik niet wil dat hij ergens in een tempdir blijt staan..

soit, da's hoe ik omspring met de vele wachtwoorden die ik heb... voor sites die niet zo 'gevoelig' zijn laat ik de pwd's ook opslaan in firefox en die synct ze dan zodat ik er op m'n smartphone ook aan kan...
Gebruik gewoon Keepass ;) . Deze maakt ook gebruik van truecrypt. Deze kan via plugins communiceren met browsers, synchronisatie via eigen cloudservers worden ondersteund en is stukken overzichtelijker.
Niet alleen niet lang genoeg, vaak ook nog eens beperkingen op de te gebruiken speciale characters, minimum aantal cijfers en dergelijke meer.
En welke gebruikte je voor SOCOM O+
How.. How do you know of my SOCOM history :o
Ik zie meerdere keren dat je er van uit gaat dat wij maar 1 of 2 wachtwoorden hebt daar ga je de mist in.
Wie bedoel je met wij? Ik heb het over de grootste groep digibeten, en dan heb ik dit artikel zelfs om je met "statistieken" om de oren te slaan ;) Maar daar had ik dit onderzoek niet voor nodig.

De meeste niet technische mensen die ik ken hebben inderdaad nog steeds maar 1 wachtwoord, en dan heb ik het inderdaad vaak over 40/50 plussers, maar jonger zie ik ook veel.

Uiteraard wijs ik ze op de gevaren, maar sommige lijken het gewoon niet te kunnen snappen (een advocaat o.a.) En verteld zijn wachtwoorden zelfs tegen mij (dat wil ik helemaal niet weten).

Als je met "wij" Tweakers bedoelt die al een wachtwoordmanager draaien in een beveiligde omgeving, met 256bit encryptie losgekoppeld van het internet met een stevige dosis angst dat de NSA bij hun binnen gaat kijken: Dan ga ik idd de mist in :+

Hier het "om de oren slaan gedeelte":
"Van de ondervraagden acht 70 procent het 'bijna onmogelijk' om voor elke dienst een apart wachtwoord te bedenken. Nederlanders gebruiken daarom massaal hetzelfde wachtwoord voor meerdere diensten: twee op de drie ondervraagden deed dit. Van de jongeren heeft zelfs 80 procent slechts één wachtwoord, van de 65-plussers is dat de helft."
Ik doelde op je reacties op tweakers met argwaan bij wwmanagers.

Ik ga je garanderen dat ik veiliger zit met een Wachtwoordmanager en elke site zijn eigen wachtwoord, dan jij met 1 wachtwoord voor al je sites ;)

En hoe doe jij je wachtwoorden nu? 2 wachtwoorden, 1 voor low-level, andere voor high-level? (daar los je idd al veel mee op).

[Reactie gewijzigd door SBTweaker op 25 november 2015 19:25]

Ik had vroeger 5 tot 10 wachtwoorden en 3 tot 6 cijfercodes die ik gebruikte… Nu (met LastPass, nóg wel) heb ik 400+ wachtwoorden. :P Het is alleen lastig mensen over te halen om überhaupt een password manager te gebruiken.
Heb zelf een aantal verschillende wachtwoorden. Een super WW voor mijn master email account en allerlei verschillende makkelijkere voor de rest.
De wachtwoorden staan versleuteld opgeslagen op basis van je master wachtwoord (dat is de sleutel). Wanneer je je vault opent wordt het gedownload en daarna lokaal versleuteld en vice versa.

Bij wijziging master wachtwoord wordt je vault ook opnieuw versleuteld.

Veilig genoeg imo.
Mits open source, kun je natuurlijk een variant kiezen waarbij de passwords alleen encrypted worden opgeslagen, en uitsluitend lokaal (met je masterkey) worden gedecrypt. Dan maakt het verder niet uit hoe (on-)veilig die online opslag is. Al posten ze je password database publiekelijk op twitter en facebook.
Jep, dat besefte ik me ook laatst.

Ik heb jaren LastPass gebruikt maar ben pas geleden (om precies de reden die jij noemt) overgestapt op KeePass (wat offline is). Ik moet wel toegeven dat LastPass de beste browserextensie heeft, al komt KeePass met KeeFox dicht genoeg in de buurt.
Ja op zich heb je gelijk, maar als je er vanuit gaat dat je de login/pass in de regel toch voor iets online gaat gebruiken kan je je afvragen of je aan je eigen kant allerhande hoepels gaat opwerken om vervolgens op een website alsnog die gegevens te gebruiken.

En zolang je iig verschillende logins hebt (email adres, handle, username, etc, hoeft echt niet allemaal zelfde te zijn) en in ieder geval overal een ander wachtwoord gebruikt kan je met die gegevens na verkoop helemaal niks natuurlijk.
De wachtwoordmanager in Firefox kost niets en je kunt zelf kiezen waar je je gegevens opslaat. Als je hun cloud niet vertrouwt gebruik je je eigen server.
Veilig online op, in de cloud zeker... Succes ermee maar ik persoonlijk vertrouw niks wat in de cloud zit m.a.w. De NSA heeft al je wachtwoorden nu in beheer ;)
Het probleem is dan wel dat je lastpass moet vertrouwen dat ze 1 hun beveiliging op orde hebben en 2 dat ze geen backdoor hebben zodat overheidsinstanties gewoon aan al je wachtwoorden kunnen. Het is namelijk toch een Amerikaans bedrijf en het zou mij verbazen als de NSA hier geen interesse in zou hebben om mee te kijken. Het is gewoon een aantrekkelijk doelwit waar je je wachtwoorden opslaat, dit in tegenstelling tot bv een keypass database backup ergens online opslaan en bv je keyfile weer ergens anders.

In het laatste geval kan je ook overal bij je wachtwoorden mocht het echt nodig zijn maar je hebt zelf iets meer controle. Wel minder gebruikersgemak, zeker als je vaak op verschillende toestellen moet inloggen, maar dan zou je eventueel Keepass portable kunnen gebruiken.

Het ligt er natuurlijk allemaal maar aan hoe paranoïde je bent en hoeveel gebruiksgemak je wilt opofferen, het is uiteraard wel veiliger dan de gemiddelde persoon zijn wachtwoord gebruik. Mijn ouders bv zou ik ook eerder iets als lastpass aanraden ipv keypass, want ik weet als hun iets als keypass moeten gebruiken dat dit hoe eenvoudig het voor ons ook is gewoon gaat mislopen.
Als commentaartje:
lastpass hacked
http://lifehacker.com/las...tps%3A%2F%2Fwww.google.nl

[Reactie gewijzigd door DonnieBras op 24 november 2015 22:58]

Er zijn wachtwoordmanagers die je wachtwoorden in de cloud opslaan.
Yup. En die zijn allemaal relatief eenvoudig te hacken. Je bent beter af met een zwak wachtwoord dan met een cloud-based password manager.
http://www.darkreading.co...d-managers/d/d-id/1297250
https://grepular.com/Last...y_Exposes_Account_Details
http://thehackernews.com/...rability-and-privacy.html
(om maar eens een paar links te geven; het internet staat vol met vergelijkbare stukken)
ze zijn te hacken maar de codering op je wachtwoorden in de database is zo sterk dat het haast onmogelijk is om de wachtwoorden ook werkelijk te kunnen lezen tenzij je natuurlijk een supercomputer hebt dan moet het wel lukken
Ja en dan heb je pas toegang tot 1 van de account in zo'n online password manager. Dat zelfde mag je nog een doen voor de andere accounts ook.

Het is ook een kwestie van baten vs kosten.
Fals. De kans dat een low-level-site wordt gekraakt waar jij ooit een wachtwoord hebt ingevuld is tegenwoordig zelfs best aanzienelijk. Het gebeurt vaker dan je denkt en weet (omdat die zaken liever stil gehouden worden bij veel kleine sites).

Vervolgens ligt je zwak wachtwoord op straat en hebben ze toegang tot al je accounts.

Wachtwoordmanagers zijn zeker niet perfect, en vallen of staan bij hoe de gebruiker er mee omgaat. Maar voor al je zaken hetzelfde zwakke wachtwoord gebruiken, is een kwestie van tijd totdat ze overal binnen komen (dit risico wordt alleen maar groter)

De kans dat ze bruikbare wachtwoorden uit een wachtwoordmanager stelen is klein. Plus, dat als het gebeurt (Zoals bij Lastpass is gebeurt (die ik gebruik) maar geen wachtwoorden buitgemaakt) Dan krijg je wel gelijk een automatische optie om bij veel sites direct je wachtwoord te vernieuwen.

[Reactie gewijzigd door bskibinski op 23 november 2015 21:29]

Lekker veilig, heb je je ING log-in in je cloud staan. Komt er weer een cloud hack. Ze decripten het. Weg geld. Gooi ze wat bij betreft maar in een Excel file met wachtwoord, gezipt met een wachtwoord op een USB met een wachtwoord.
Dit is wel kort door de bocht. Je moet op de eerste plaats onderscheid maken tussen diensten die 'cloud-based' zijn en diensten die optioneel wachtwoorden in de cloud kunnen opslaan (e.g. bij Dropbox). Bij laatstgenoemde vertrouw je op de versleuteling en je hoofdwachtwoord. Als je dan je wachtwoorden regelmatig ververst, is er niets aan de hand. Bij eerstgenoemde worden dikwijls nog afzonderlijke beveiligingsmaatregelen genomen (e.g. tweestapsverificatie). LastPass werd bijvoorbeeld al eens gehackt en gebruikersgegevens werden gestolen, maar de gestolen wachtwoorden waren zelf ook al versleuteld. In dat geval hoef je alleen je hoofdwachtwoord te vervangen (wat sowieso regelmatig dient te gebeuren) en is er verder niets aan de hand.
En dan doet je USB stick het niet meer of wordt gejat. Ik hoop voor je dat je je wachtwoord nog herinnert.
Je maakt natuurlijk altijd een backup (dus dubbel) en niet een enkele copy.
Dan nog heb ik liever een defecte usb dan een gehackt cloud waarvan je niet weet wie met je gegevens aan de haal gaan.
KeePass is een betere oplossing. Eén database waar je al je wachtwoorden in opslaat en je kan 'm gewoon neerzetten waar je wil. De database zélf is beveiligd en er zitten uitgebreide synchronisatie-opties in.
Ik bewaar het gewoon op een usb en als ik het nodig heb dan mount ik die en heb ik het niet nodig dan unmount ik het of haal het er fysiek eruit.

Dat het met een database werkt lijkt me meer dan logisch dat doen de meesten (meer aannemelijk allemaal).
Gebruik ik ook, ik vind het maar vreemd en onduidelijk wat LastPass allemaal doet
En daarom heb je er twee. :')
Hebben ze geen 2-factor authentication bij ING?

Edit:
Het decrypten gaat trouwens niet zomaar.. 256-bit AES duurt wel een tijdje.

[Reactie gewijzigd door xDiglett op 23 november 2015 21:50]

Jawel, hoogstens kunnen ze je saldo en betaalgeschiedenis zien en een lullige mail sturen naar support oid. Maar voor al t belangrijke gedoe heb je TAN codes nodig.
En als je normaal inlogt van IP X en dan opeens van IP Y bij een andere provider eisen ze nog wel eens een TAN om in te loggen.
weer een cloud hack.
Bedoel je iCloud? Die iCloud accounts waren gehackt via social engineering en niet omdat hackers de beveiliging hadden gedecrypt.
Dat is dus weer een veiligheidslek, dus dat moet je niet willen. Wachtwoorden zijn prive dus niet opslaan op de servers van een commercieel bedrijf.

Ik heb velen bekeken maar niet een gevonden die op Android, iOS, OSX, en Linux werkt waarbij het wachtwoordbestand 1:1 over te zetten is. 1Password bijv. gebuikt op OSX weer een ander formaat dan onder Android.

Ik vind het nog steeds te zot voor woorden dan je anno 2015 moeilijke codes moet onthouden en ze letter voor letter moet intikken terwijl je niet eens kunt zien wat je intikt.

[Reactie gewijzigd door skatebiker op 24 november 2015 08:24]

En dat is juist wat ik absoluut niet wil.
Ik maak gebruik van KeePass. Deze applicatie draait op mijn computer en op mijn iPhone. Dus kan altijd bij mijn wachtwoorden (en dat zijn er nog al wat voor o.a. mijn werk ;) )
Keepass op telefoon en laptop, beveiligd met wachtwoord en keyfile, database kan op nas of bij gebrek daaraan op dropbox aangezien ie toch goed versleuteld is (natuurlijk niet je keyfile erbij zetten).
Net even geteld, 272 wachtwoorden, allemaal puur random (minimaal 25 tekens tenzij limiet van dienst/website):
Uppercase + lowercase + numbers + minus + underline = 150 bits

Indien website het ondersteund ook special characters:
Uppercase + lowercase + numbers + minus + underline + special characters = 165 bits
Wat als je het master password of keyfile kwijt raakt. Die moet je toch ook ergens opslaan, en waar dan.

Overigens is een boekje met wachtwoorden in huis verstoppen een veelgebruikte methode. Een inbreker neemt je tv we mee maar een vies schriftje echt niet....
Je keyfile op OneDrive en de KeePass op dropbox? :)

Het klinkt eigenlijk heel dom, maar het principe erachter is vrij sterk?

Dan moet je wel nog het password van dropbox & OneDrive onthouden :)
Dit is dan ook een paswoord die gewoon op een blaadje in mijn portefeuille zit, indien iemand deze steelt, dan hebben ze een paswoord, maar geen enkel idee van welke gebruikersnaam / cloud-opslag-dienst.

Master paswoord ergens thuis veilig verstopt.

Het is zeker een rompslomp, en voor veel niet Tweakers, klinkt het als een heel gedoe (en dat is het ook wel een beetje), maar het voelt wel veilig aan.

Heb wel al eens meegemaakt dat ik ergens snel wilde inloggen, en ik niet aan mijn kluis kon. (portefeuille niet mee) --> hebben ze me allemaal eens goed uitgelachen met mijn beveiligingsprincipes. 8)7
Het is natuurlijk een kip/ei verhaal wanneer je je wachtwoord DB op een online storage hebt staan terwijl de inloggegevens van die dienst vervolgens in die DB staan, maar als je gewoon zorgt dat je de database op meerdere plekken hebt (Je dropbox map wordt vast wel op meer dan 1 device gesynced) en zelf af en toe nog een (offline) backup* maakt op (desnoods op een USB stick) dan is de kans behoorlijk klein dat je je DB kwijt raakt.


* ook al is je bakcup een jaar oud. Als je Dropbox en/of OneDrive wachtwoord daar instaan ben je zo weer up to date.
je zult altijd een wachtwoord moeten onthouden of het idd ergens moeten opschrijven. Voordeel van een wachtwoord is is dat je het veel simpeler kan verstoppen in bv een la, in een boek( encyclopedie is een handige optie, die jat NIEMAND :P ) of whatever plekje je kan bedenken waar het veilig is. Dan nog weten ze alleen een wachtwoord, niet waarvan het is, dus dan moeten ze al je pc of tel induiken om te zien wat je gebruikt als ze er al überhaupt aan denken dat te zoeken.
Dan krijg je heeeel veel mailtjes van nieuw aangevraagde passwords , dat zul je dan voor alle sites moeten doen.

Als een site bepaalde eisen stelt die niet voldoen aan mijn eigen eisen voor mn passwords gebruik ik daar een random password en vraag bij elk bezoek een nieuw password per mail aan :p
Je keyfile kun je overigens ook uitprinten. Wellicht handig als niet-digitaal alternatief.
+1
Mijn keepass staat op mijn synology NAS en is te decrypten met een ww van 40 tekens en een keyfile. Keyfile is niet online te vinden (alleen op mijn persoonlijke apparaten). Op die manier heb ik op mijn smartphone, tablet en pc altijd de meest recente database versie. Regelmatig synchroniseer ik nog met een offline bestand als backup. Mocht ik op de Unif of ergens anders erbij moeten kan ik altijd bij de database. Alleen ter plekke keepass downloaden. Via USB (of indien nodig via lokale ftp verbinding) de keyfile van mijn smartphone halen en gaan met de banaan.
Met Lastpass kan je online inloggen en op die manier je wachtwoorden opvragen.

Je moet dus alleen je hoofd wachtwoord onthouden.
Ja dus als iemand je hoofd wachtwoord weet dan weet hij al je wachtwoord...

Daar heb je dan ook vrij weinig aan -,-
Ik gebruik LastPass, ik gebruik een sterk hoofdwachtwoord die ik uit mijn hoofd ken en heb daar bovenop een tweetraps authenticatie van Google gezet voor apparaten die niet bekend zijn. Niemand komt er meer bij behalve ikzelf met m'n telefoon voor de tweetraps authenticatie.

Lastpass kent ook de mogelijkheid om vertrouwde landen toe te voegen waar vandaan je mag inloggen, als je alleen NL ingeeft sluit je 95% van de aanvallen op je account al uit.

Zo kent die tool nog veel meer handigheidjes, o.a. een tool die je veiligheid in een percentage uitdrukt en met tips komt waardoor je jezelf veiliger kunt maken door o.a. dubbele wachtwoorden eruit te halen en je wachtwoorden nog langer en complexer te maken.
Die mogelijkheid om alleen in te kunnen loggen vanuit bijvoorbeeld Nederland is niet te omzeilen dan? Vraag me gewoon af hoeveel zin die mogelijkheid heeft.

[Reactie gewijzigd door bartmatsko op 23 november 2015 23:30]

Is zeker te omzeilen met bijvoorbeeld een simpele VPN, maar denk dat veel hacks automatisch toegang proberen te krijgen, dan moeten ze maar net weten dat ze met een NL VPN dat moeten proberen.
Hoezo? Als het goed is gebruik je een master password die alleen jij weet, en die je dus nergens anders gebruikt.
Hoezo? Als het goed is gebruik je een master password die alleen jij weet, en die je dus nergens anders gebruikt.
Ja dat zeg je goed, vaak gebruiken mensen wachtwoorden dan toch meer dan 1 keer en zien ze de ernst hier niet van in ;)
Kijk.. Het ligt dus niet aan de tool zelf, maar aan de gebruiker.
Oké, dus de oplossing is om de menselijke factor te elimineren. Dat is uiteindelijk de zwakke schakel. ;) Tot die tijd moeten we het doen met een Master Password en 13j0rFE2efER@12e1Rgr30(j(*nK IJ#) achtige wachtwoorden.
vaak gebruiken mensen wachtwoorden dan toch meer dan 1 keer
Het wachtwoord van hun databasemanager.. ??
Meerdere keren ??

Die mensen zijn niet te helpen. Dat is een andere doelgroep.
ten eerste 2staps authenticatie aanzetten, inlog warnings aanzetten, en restrictie op land.

ten tweede als je 1 zwak wachtwoord gebruikt, is dat je hoofdwachtwoord (ik schets een situatie die het meeste voorkomt) en heb je precies hetzelfde. Alleen nog erger, omdat hetzelfde wachtwoord verspreid ligt over X-aantal websites waarvan jij niet weet hoe goed ze hun beveiliging in orde hebben.

Maar je hebt gelijk: Ga voorzichtig met je hoofdwachtwoord om, en verander hem ook om de zoveel tijd, en vooral: Gebruik hem nergens anders, en zorg dat hij nieuw is.
Precies, ik gebruik 2 staps authenticatie dmv de Google app voor mijn Microsoft account, voor mijn Google account, voor Lastpass en EA.

Zo maak je het een stuk veiliger, maar gebruik daarbij ook je verstand!

[Reactie gewijzigd door TFZ61 op 23 november 2015 22:34]

Hier is een algemene lijst met diensten die tweetrapsauthenticatie (min of meer) ondersteunen. Noot: de lijst is niet volledig compleet.
Ja dus als iemand je hoofd wachtwoord weet dan weet hij al je wachtwoord...
Afhankelijk hoeveel tijd je aan je beveiliging wilt besteden..
Als iemand in mijn database van Keepass kijkt ziet hij wachtwoorden maar niet waar ze bij horen en of ze actief zijn of compleet. Van iemand alhier las ik in een andere discussie dat hij zijn wachtwoordenbestand combineert met aantekeningen in een schriftje (..)
Knappe vent die deze gegevens kan combineren als hij al van de methode weet.

Ik gebruik mijn passwordmanager overigens alleen maar thuis en niet via een online cloud. De backup ervan wordt meegenomen in de reguliere disk-backup en via een scriptje ook nog naar een usb-stick geschreven, regelmatig.

Tevens is de manager gekoppeld aan een key-file.Dus pw en keyfile. Moet je wel weten dat ik dat gebruik. Knappe meid die weet welk bestand dat is in de bulk op mij computer of de aldanniet aangesloten sticks, schijven en cd's.
Ik gebruik Lastpass. Log gewoon in op de site en copy&paste gebruikersnaam (de mijne is niet altijd hetzelfde) en wachtwoord.
En een wachtwoord wil je natuurlijk niet altijd in de klembord hebben, dus het zal verstandig zijn om na te gaan of die ook daadwerkelijk na 1x plakken niet meer in de klembord staat.
Bij mijn Keepass heb ik ingesteld dat ik binnen een halve minuut het pw moet laten invullen. Zo niet dan moet ik het opnieuw opsnorren.

Correctie: dat geldt voor de wachtwoorden in de database.

[Reactie gewijzigd door stresstak op 23 november 2015 22:25]

Dat is het punt niet, het is meer het idee dat al je wachtwoorden erin staan. Als die database gestolen wordt dan heb je geen waarborging voor je wachtwoorden.

Het lijkt veilig en het is veilig tot het tegendeel bewezen wordt.
Uiteraard kan je de lat wat hoger leggen door de ACL strikt af te stellen voor je database locatie.
Als die database gestolen wordt dan heb je geen waarborging voor je wachtwoorden.
Wantrouwen is goed. Zet de verschillende gradaties dan in verschillende databases. Als ik eenmaal het vertrouwen in een PW-manager stel dan moet ik het er maar mee doen totdat het vertrouwen beschaamd wordt.
En velen met mij.

Zelf kun je de nodige capriolen uithalen en dan lees je op een slechte dag dat de betreffende site jouw gegevens gewoon plain opslaat en doorgeeft.
Tja...

Hebben mensen al getracht databases te kraken, met succes ?
Die van Keepass bijvoorbeeld ?
Ik meende het wel eens voorgekomen was.
Bij 1password hebben ze al eens een design fout gemaakt, gelukkig hebben ze dat meteen gefixt. Dat is wat minstens zo cruciaal kan zijn.
OK. Maar dan nog moeten 'ze' mijn databases hebben.
Nou, dan heb ik wel andere problemen en is het feit dat men mijn Tweakers-pw heeft een futiliteit.

Staat mijn computer aan en houd je een pistool tegen mijn hoofd dan wordt het vervelend. Maar dat is bij alles zelf onthouden ook.
Ze kunnen gewoon brute force proberen, duurt misschien een tijd maar uiteindelijk zal het wel werken.
Ze kunnen gewoon brute force proberen, duurt misschien een tijd maar uiteindelijk zal het wel werken.
Alleen als de beveiliging 'an sich' niet klopt. password (riant lang) en een keyfile waarvan je niet weet of ik het gebruik en wat het is en waar het staat..
En mijn databases bezitten niet te vergeten.
Dapper.
Goede vraag. Ik gebruik nu OSX's keychain en laat die passwords genereren. Als ik nu moet inloggen op een ander apparaat weet ik m'n wachtwoorden niet eens :P
Same, het zou wel leuk zijn als je er via icloud.com bij kon ofzo. Nu zoek ik hem dan meestal op op mijn telefoon (Settings -> Safari -> Passwords) en tik ik hem over.
Bij OnePass heb je een master ''Password'' als je die verliest kan je volgens mij geen gebruik er meer van maken, en is daarom belangrijk om die wel te bewaren.

Ik heb gebruikte het een tijdje, tegenwoordig zit alles achter encrypted keys bestanden enz, en doe alles vanuit 1 plek.
LastPass heeft een online interface voor de web browser.
Bij sommige wachtwoordmanagers zoals 1Password kun je de 'kluis' ook op een USB-stick of bij een cloudprovider opslaan en dan met een browser openen. Bij 1Password kun je meerdere kluizen met aparte hoofdwachtwoorden aanmaken en afzonderlijk instellen welke kluizen je waar wilt opslaan. Diensten die je bijvoorbeeld vaak onderweg nodig hebt, kun je dan in zo'n to-go-kluis zetten. Het idee is natuurlijk dat zelfs als iemand aan je kluis komt, de versleuteling een aanval tegenhoudt, vandaar dat het mogelijk is om dat risico te nemen, zelfs als je de USB-stick verliest of je account wordt gehackt. Verder is het natuurlijk ook gewoon mogelijk om je smartphone te gebruiken en het wachtwoord handmatig in te typen.
Ik heb keepass op mn mobiel gezet voor exact die reden. :Y)
Geen probleem hoor. Ik gebruik Keepass en sla het bestand met de wachtwoorden op in Dropbox. Niet alleen vanaf elke pc te benaderen maar ook vanaf je smart phone. Ideaal!
Kopiëren en plakken?
Niet, dan. Of je zult een aantal wachtwoorden moeten gaan onthouden, of je manager meenemen met een portable versie.
En ondertussen wordt er keer op keer aangetoond dat password managers zelf zo lek zijn als een mandje. Nog sterker; er wordt door specilisten sterk aangeraden ver weg te blijven van password managers; een slap wachtwoord is nogsteeds veiliger dan een password manager......

http://www.darkreading.co...d-managers/d/d-id/1297250
http://lwn.net/Articles/211875/
https://grepular.com/Last...y_Exposes_Account_Details
http://thehackernews.com/...rability-and-privacy.html
http://www.infosecisland....poses-Password-Lists.html

en zo kan ik er nog wel een paar honderd linken.......

Met een password manager leg je je eigen kwetsbaarheid op één plaats neer en die plaats is ook nog een default target voor iedereen die kwaad wil.
Er is weinig mis met managers die niks opslaan, maar simpelweg je wachtwoord berekenen als hash van je master-wachtwoord en het domein.
simpelweg je wachtwoord berekenen als hash van je master-wachtwoord en het domein.
Dat kan helemaal niet met een password-manager.

De definitie van een hash-functie, voor security-purposes, is dat een hash-functie niet terug de andere kant uit kan worden gerekend. Normaal werkt dat als volgt:

1) jij kiest password "aap" voor een website x.com.
2) jij vertelt x.com dat je password "aap" is.
3) x.com gooit "aap" door de hash-functie heen. De uitkomst is "gfhq2034h4h2912".
4) x.com slaat "gfhq2034h4h2912" op, in combinatie met je loginnaam.
5) als je later wilt inloggen, vraagt x.com om je password.
6) jij tikt in "aap". "aap" wordt naar x.com gestuurd.
7) x.com gooit "aap" door de hash-functie. Uitkomst: "gfhq2034h4h2912".
8 ) controleert of de uitkomst "gfhq2034h4h2912" hetzelfde is als de opgeslagen string.
9) yep, is gelijk. dan was het password "aap" dus goed.
10) je mag binnen

Dat werkt niet met een password manager.
1) Stel je kiest "noot" als password voor website y.com.
2) Je browser vertelt y.com dat "noot" het wachtwoord is.
3) Je password manager gooit "noot" door een hash-functie. Uitkomst: "fhtgytye".
4) Je password manager slaat "fhtgytye" op in een file. (Met nog eens encryptie of niet).
5) Nu wil je de volgende dag inloggen op y.com.
6) Je password-manager gaat het password sturen.
7) Maar je password-manager heeft alleen de string "fhtgytye". Hoe kan het daar het originele wachtwoord "noot" uit distilleren ? Onmogelijk, want de hash-functie is one-way.

Password managers moeten altijd het clear-text password opslaan. Misschien encrypted (met weer een ander password). Maar de clear-text moet te gebruiken zijn door de password-manager. Daar kom je niet omheen.
Zo werkt het niet. Je kiest geen wachtwoord voor website x.com, dat is juist wat er uit die password generator rolt.

Kleine toevoeging: als input gebruik ik zelf bij deze benadering niet alleen "domein" maar "domein/username".

Dus jij wilt een account op x.com, dan vul je in de password generator je masterkey en "x.com/gryz" in, en dan rolt er "n71ijR9d4Oc17YV0f4GHG0P0B" als (deterministisch) password uit, die gebruik je dan voor jouw account op die site.

Wat er aan de kant van die site verder gebeurt met het al dan niet hashen van je wachtwoord, doet niet ter zake. Mochten ze er onveilig mee omgaan, dan kan dat ene password misschien lekken, maar daar kan verder niemand iets mee.

En als jij ooit je wachtwoord voor x.com wilt veranderen, moet je als input even iets als "x.com/gryz/2" gebruiken. Mocht dat bij veel sites voorkomen en je vindt het lastig dat je dan toch weer moet onthouden voor welke sites je bij password /2, of /3, of /4 enzovoort bent, dan kun je die inputs prima in een tekstbestandje opslaan (dat is, anders dan het plaintext opslaan van je passwords zelf, volkomen veilig).

Je masterkey willen veranderen is iets vervelender. Maar ook nog wel te doen met de juiste aanpak.

[Reactie gewijzigd door Jace / TBL op 24 november 2015 00:54]

Zo werkt het niet. Je kiest geen wachtwoord voor website x.com, dat is juist wat er uit die password generator rolt.
.....
Dus jij wilt een account op x.com, dan vul je in de password generator je masterkey en "x.com/gryz" in, en dan rolt er "n71ijR9d4Oc17YV0f4GHG0P0B" als (deterministisch) password uit, die gebruik je dan voor jouw account op die site.
Nog steeds niet veilig.
Als je aan de hand van het master-password deterministisch alle wachtwoorden voor je andere sites kunt vinden, dan is dat precies hetzelfde als wanneer alle passwords clear-text worden opgeslagen, en dan geencrypt met je master-password. Semantisch geen enkel verschil.

Het mooie van hash-functies bij passwords (zoals in de Unix password-file) is dat de server het password zelf ook niet weet. Het kan alleen een gegeven password checken, om te zien of het correct is. Ik dacht dat je het woord "hash-functie" gebruikte om te suggereren dat dat ook bij een password-manager het geval is. En dat is het niet. Het kan niet eens. Een password-manager moet altijd alle wachtwoorden voor alle websites weten. En of het die nu opslaat of via een deterministische manier genereert, dat is precies hetzelfde.
Nog steeds niet veilig.
Als je aan de hand van het master-password deterministisch alle wachtwoorden voor je andere sites kunt vinden, dan is dat precies hetzelfde als wanneer alle passwords clear-text worden opgeslagen, en dan geencrypt met je master-password. Semantisch geen enkel verschil.
Al je wachtwoorden worden deterministisch gegenereerd als: hash(masterkey + domeinnaam + gebruikersnaam).
Het verschil is alleen dat je hiermee geen database met wachtwoorden hoeft op te slaan (met alle perikelen van encryptie en backups van dien).
Je onthoudt alleen je masterkey, die heeft dus niemand, dus ook niemand kan jouw wachtwoorden achterhalen of regenereren. Zelfs niet als iemand (bijvoorbeeld een malafide beheerder van x.com) weet dat je dit systeem gebruikt, en dat jouw input voor een bepaald acount "x.com/gryz" was en dat daar het password "n71ijR9d4Oc17YV0f4GHG0P0B" bij hoort.
Het mooie van hash-functies bij passwords (zoals in de Unix password-file) is dat de server het password zelf ook niet weet. Het kan alleen een gegeven password checken, om te zien of het correct is. Ik dacht dat je het woord "hash-functie" gebruikte om te suggereren dat dat ook bij een password-manager het geval is. En dat is het niet. Het kan niet eens. Een password-manager moet altijd alle wachtwoorden voor alle websites weten. En of het die nu opslaat of via een deterministische manier genereert, dat is precies hetzelfde.
Ik weet wat hash-functies zijn. Ik noem het als beter alternatief voor het opslaan van wachtwoorden, omdat met dat opslaan allerlei hindernissen en risico's zijn gemoeid (moet goed encrypted zijn, geen goede backup = risico op al je password in één klap kwijt, moet overal toegankelijk zijn dus dus iets met syncen en cloud, etc).

Overigens kan zo'n password-manager (password-generator eigenlijk) zeker niet zomaar al je passwords weten (c.q. achterhalen c.q. hergenereren) want welke inputs je allemaal gebruikt (domeinen en usernames) wordt ook nergens opgeslagen. Of hooguit in een losse eigen notitie (gewoon iets simpel plaintext) wat helemaal apart staat van die password generator. Terwijl bij een encrypted password database betekent je masterkey lekken ook direct al je passwords gelekt.

Veiliger dan dit wordt het niet.
Je onthoudt alleen je masterkey, die heeft dus niemand, dus ook niemand kan jouw wachtwoorden achterhalen of regenereren.
Voor de volledigheid: dat kan alleen, als je masterwachtwoord gesniffed wordt. Dat betekent dat je je wachtwoord in aan het voeren bent op gecompromiseerd (is dit Nederlands? :P) systeem en dan ben je sowieso wel de Sjaak, zelfs met unix-wachtwoorden die niemand zou moeten kunnen achterhalen.

@onder: ehrr.. Uiteraard.

[Reactie gewijzigd door bwerg op 24 november 2015 10:07]

gecompromiseerd (is dit Nederlands? :P)
gecompromitteerd
Dan moet je alle wachtwoorden veranderen als er een bekend wordt.
Neen, alleen als je master-wachtwoord bekend wordt (en dat geldt eigenlijk voor de meeste oplossingen)
Dan moet je eens uitleggen hoe je van één website het wachtwoord verandert zonder het masterwachtwoord en het domein te veranderen.
De input voor dat ene password een beetje veranderen. Met een oplopend versienummer ofzo.

Bijvoorbeeld als je voor gegenereerde wachtwoord van jouw tweakers account "tweakers.net/Alex3" had ingevuld, maak je daar "tweakers.net:2/Alex3" van (ofzoiets, iets wat je zelf makkelijk vindt) en krijg je een totaal ander wachtwoord. Moet dat wachtwoord later ook weer veranderen, maak je er "tweakers.net:3/Alex3" van, enzovoort.

Als je dat lastig vindt om te moeten onthouden kun je die "tweakers.net:3/Alex3" inputs eventueel nog op een makkelijke plaats bewaren, in een email draft ofzo. Dat doet niets af aan de veiligheid. Maar dit komt in de praktijk vrijwel nooit voor, omdat je hiermee voor alle sites ijzersterke unieke wachtwoorden hebt hoef je ze eigenlijk nooit te veranderen.
Dan is je methode anders dan die van bwerg, en daar had ik het over.
Nagenoeg hetzelfde, alleen in plaats van "domein" gebruik ik "domein+username".

Spreekt overigens ook wel een beetje voor zich, tenzij je altijd consistent overal "Alex3" als username zou gebruiken.
Exact dit. Zo doe ik het ook. Beste van beide werelden: hoef niemand te vertrouwen, het werkt 100% lokaal (javascriptje), je passwords staan nergens opgeslagen, ik hoef op 1 master password na niets te onthouden, en het levert volslagen onkraakbare ijzersterke unieke wachtwoorden op.
Dit betreft voornamelijk password managers die je wachtwoorden in de "cloud" opslaan.
Met een lokale password DB (of via Dropbox icm 2FA) ben je een stuk minder kwetsbaar.
Dan maak je een kopie dus van je wachtwoorden DB, en wat doe je als je cryptolocker op je dak krijgt?

Bij wachtwoorden onthouden worden alle onwaarschijnlijkheden aangeroepen maar als er wat met password managers is dan zijn het slechts bugs of doen de gebruikers zelf iets niet goed.

Dat vind ik net zo'n reële fout als dat ik mijn wachtwoord vergeet. Overigens is mijn mailaccount gewoon mijn password manager. Die ondersteund ook 2FA en kan ik alles ook mee terughalen als ik het kwijt ben.
Vorige versie terugzetten via Dropbox ;-)
Wat is je alternatief dan voor een password manager? 1 moeilijk wachtwoord voor al je websites? Dus dan heb je je wachtwoord over 100 sites verspreid. Als 1 van die sites gehacked wordt, ben je zuur, mag je overal je wachtwoord wijzigen. Bij Lastpass' laatste inbraak werden email adressen, password reminders, salts en authentication hashes gestolen, maar die waren dusdanig encrypted dat ze onbruikbaar waren. Iedereen werd wel aangeraden om het masterpassword te wijzigen. Daarnaast kan je bij Lastpass ook 2 factor authentication aan zetten, wat het allemaal nog moeilijker maakt. Is het allemaal perfect? Nee. Maar beter dan 1 of 2 passwords, en dan steeds maar hergebruiken.
Alternatief?
- 1 wachtwoord voor sites waar het niet uitmaakt als je gehacked wordt. Dit kan best een eenvoudig wachtwoord zijn. Het maakt tenslotte toch niet uit
- Voor iedere site waar het wél uit maakt (online bankieren, paypal, etc.) een appart, sterk, wachtwoord. In mijn geval gaat dit over 4 sites
In totaal hoef ik dus maar 5 wachtwoorden te onthouden. De kans dat er iemand onder mijn naam op Fok.nl gaat posten is dan aanwezig maar interesseert me niet zoveel. De kans dat iemand iets met mijn eigen website gaat doen is nihil omdat daar een wachtwoord aan zit wat niet te raden is en waar niet anders aan te komen is dan door de website zelf te hacken en zelfs dan heb je nog geen toegang tot andere belangrijke sites.
Ach, als de hele wereld je password weet heb je in ieder geval een goede backup 8)7
Allemaal bugs in online diensten. Netwerktoegang hoort ook niet in een password manager thuis, een verbinding beveiligen is nog weer een heel vak apart.

Ik gebruik zelf KeePassX, een variant op KeePass (uit je laatste linkje), maar zonder hier apps, plugins of wat voor dingen dan ook aan te koppelen. Procedure is simpel. Wachtwoord nodig? Bestand openen met wachtwoord en sleutelbestand, juiste entry selecteren, wachtwoord kopiëren en inplakken, password manager afsluiten. Geen interactie met andere software of devices.

100% veiligheid is niet te garanderen, maar m.i. is dit aanzienlijk veiliger dan een zwak wachtwoord of wachtwoorden hergebruiken. Bovendien is het een stuk eenvoudiger, aangezien ik ook op elke site een andere login gebruik is het nog wel eens lastig om de juiste combi te vinden als je het zelf moet onthouden.
En ondertussen wordt er keer op keer aangetoond dat password managers zelf zo lek zijn als een mandje. Nog sterker; er wordt door specilisten sterk aangeraden ver weg te blijven van password managers; een slap wachtwoord is nogsteeds veiliger dan een password manager......
Dat is natuurlijk niet waar. Je wachtwoorden opschrijven brengt zeker bepaalde risico's met zich mee, maar het gebruiken van het verkeerde wachtwoord is vele malen onveiliger.
En dat gaat bijna allemaal mis omdat het kan worden beheerd via een website. Eerlijk is eerlijk, het gebruiken van gecentraliseerde opslag is leuk als je op veel verschillende devices je wachtwoorden wilt hebben, maar is duidelijk een te groot risico als het gaat om belangrijke wachtwoorden.

Slechts in één geval gaat het om een aanval op een password manager. Als ik het goed begrijp gaat het daar om een vulnerability die optreedt als je het een onversleutelde lijst met al je wachtwoorden laat genereren 8)7. Dat het überhaupt kan zou ik bijna als een grotere kwaal zien dan dat het daarna misgaat.
Het probleem is dat als ik op computers op school moet werken dat je
1. Niets mag installeren (zelfs niet eens een icoon op het bureaublad ofzo)
2. De computers zo traag zijn dat ik meestal al tijd tekort kom en geen tijd heb om daar eerst zo'n dienst op te zoeken en dan pas naar bijvoorbeeld drive ofzo te gaan
Dat is niet het ergste. Ik kom wel eens oude systemen tegen met maximaal 8 alphabetische tekens. Niet numeriek dus. Daar heb je wat aan.
Dit is de reden dat ik me niet meer druk maak om passwords.

Het ene systeem staat er op dat passwords minimaal 8 chars zijn.
Weer een ander system wil er 10.
Weer een ander weigert passwords langer dan 8 chars.
Het ene systeem wil dat er perse een hoofdletter tussen zit.
Een ander systeem wil 2 hoofdletters.
Blizzard maakt gewoon van alle upper-case chars lower-case chars. Makkelijk. :(
Allerlei websites willen cijfers.
Soms mogen de cijfers niet op het einde.
Een hoop websites verbieden je om !@#$%^&*()_-+ of = te gebruiken.

Laat me alsjeblieft zelf wachtwoorden kiezen.
Als een site we niet toe doet, mag ik best een bestaand 6-letter woord gebruiken. Bij tweakers bv. Wat maakt mij het uit als mijn tweakers account wordt gehackt ?
De sterkte van het wachtwoord maakt alleen uit als hackers de password-file van een site in handen hebben. Zou niet vaak moeten gebeuren.
Als iets belangrijk is (zoals mijn main-email-account) kies ik zelf wel een moeilijker wachtwoord.

En als het echt belangrijk is, zoals mijn bankrekening, dan wil ik geeneens reusable passwords gebruiken. Fuck PayPal en zijn vaste passwords. Als het belangrijk is, dan wil ik een cryptographisch verantwoord challenge-reponse systeem (zoals onze banken gebruiken. RaboScanner, ING-reader, etc).
1 en 2 kun je ondervangen door een portable versie te gebruiken natuurlijk.
Je kan hem altijd op je telefoon/tablet zetten. Wat is het alternatief, toch overal dezelfde wachtwoorden? Of meenemen op een papiertje?
Opdonderen met je password manager. :D

Gewoon overal hetzelfde wachtwoord maar toch anders.

<vaste string>tweakers<pin>
<vaste string>ing<pin>

pin 3 gradaties
Boeit me niet, maar moet: 123
Boeit me wel, maar geen ramp als iemand het weet: 1234%
Boiet me zwaar: 12349876%@007

Voorbeeld:
MijnPasswordtweakers1234%
MijnPasswording1234%007007#
MijnPasswoordgmail123 (spambox)
Pak dan een wachtzin, onvoorspelbaar. Een wachtwoord met een patroon, tsja..

"ditismijnpasswordvoortweakerspuntnetwatiknooitgavergetenhoor" is veiliger dan "MijnPasswordTweakers1234%" en makkelijker te onthouden.
ditismijnpasswordvoortweakerspuntnetwatiknooitgavergetenhoor" is veiliger dan "MijnPasswordTweakers1234%" en makkelijker te onthouden.

Het eerste is ONveiliger dan het tweede. Namelijk, én patronen én enkel kleine letters.

Bovendien is je eerste wachtwoord onnodig lang. Er zit namelijk een limiet op het aantal bits dat een password heeft gerelateerd aan het onderliggende hash algorithme. Ga je langer verlies je die bits toch.

Langer dan zeg maar 14 tekens is overbodig as bescherming tegen brute force. Daarna beginnen patronen te gelden. En hoe makkelijker voor een mens, hoe makkelijker te kraken. Lengte in karakters is dan niet relevant, want password krakers gebruiken 'token's. Jouw makkelijke zin is effectief bijvoorbeeld maar 14 lower-case tekens.

Maar goed, niemand leest dit en bij elke discussie over passwords wordt wederom dat slechte advies gegeven betreft zinnetje smaken. Het is een slecht advies, omdat het beter is mensen te leren wat een wachtwoord zwak maakt: dat is te kort en te voorspelbaar. Lange zinnen als "truc" aanleren aan leken is contraproductief want geheid dat men patronen gebruikt die zo gekraakt worden. En men komt in de problemen als de input afgekapt wordt of erger stilzwijgend negeert boven karakter X.
Er zit geen limit op aantal bits met goede hashmethodes. De uitkomst is wel altijd even lang in bits, maar niet te herleiden tot bron. Voorbeeld:

eenkortwachtwoord
MD5: 2bda61bc404b0dcddeb2ec32c98a6339

eenkortwachtwoord2
MD5: 54573cab8027a9b50d984ae54a319fc5

eenkortwachtwoordmaardanveellangermaarwelmakkelijkteonthouden
MD5: 225dff4da7e86b7704903fe774bb1828

Verplicht plaatje bij deze discussie:
https://xkcd.com/936/

[Reactie gewijzigd door qless op 24 november 2015 09:22]

Dat is onwaar. Input bij hashing- of encryptiefuncties wordt niet getrimt bij een belachelijk lage lengte, zoals jij beweert.

Je stelling is trouwens heel boude en vereist goeie onderbouwing dat wat jij beweert effectief het geval is.

[Reactie gewijzigd door IveGotARuddyGun op 24 november 2015 10:16]

Dat is onwaar. Input bij hashing- of encryptiefuncties wordt niet getrimt bij een belachelijk lage lengte, zoals jij beweert.

Ik beweer niet dat het bij een belachelijk lage lengte is.

Wel beweer ik dat

1) sommige tools/input vensters afkappen bij lengtes aanzienlijk korter dan die extreem laneg zinnen
2) alle (!!!) password algorithmen een limiet hebben inherent aan het onderliggende algorithme. 160 bit is bijvorobeeld een veel voorkomende limiet en dus is een wachtwoord langer dan 20 tekens effectief niet zinnig als bescherming tegen bruyte force. Zowel 20 als 21+ tekens geven dan dezelfde brute force bescherming.
Je verhaal deed me hier aan denken. Het zal altijd aan het onderliggende policy liggen hoe secure het is.
Tja, dan heb je alsnog een wachtwoord met een vast patroon. Bv de naam van de website, een opeenvolgend nummer, en je eigen unieke wachtwoord. Zo maak je je wachtwoord alleen maar zwakker ;)
Bij 9/10 websites boeit het me echt niet. Daarom makkelijk te onthouden.
En toch overal anders. Ik ben nog nooit een password vergeten op deze manier. :)
Dan kan je denk ik beter zoiets hebben:

https://www.grc.com/passwords.htm

Nu nog onthouden... :+
Ik heb bijna 200 accounts opgeslagen in mijn password manager. het wordt toch een ramp om de methode van jou te hanteren. Daarbij helpt een password manager je ook nog een beetje met invullen van de wachtwoorden.

Handige van een password manager is natuurlijk ook nog dat je vaak additionele informatie voor de bewuste site kan opslaan. Je email van aanmelding bijvoorbeeld of andere gegevens.
Daarbij helpen sommige passwordmanagers je ook nog met regelmatig verversen door de leeftijd van een password aan te geven.
Een goede password manager heeft toch wat meer nut.
Ik gebruik een vergelijkbaar systeem. Ik gebruik bij veel wachtwoorden dezelfde basis, maar met duidelijke variaties. Nu gebruik ik ook op diverse plekken hetzelfde wachtwoord, maar geen vallen allen zijn kritisch. Zo gebruik ik op Tweakers een wachtwoord die ik ook voor een paar andere sites gebruik, maar mijn email accounts, ING enz hebben allemaal unieke wachtwoorden.

Op die manier kan ik het dan ook onthouden, samen met authenticators voor belangrijke accounts, zit ik zeker wel goed. Gebruik nu zeker 15 jaar het internet en heb nog geen problemen gehad.

Grappige is, is dat veel wachtwoorden ook helemaal niet gehacked worden, maar het is meer een kwestie van raden (of ze zorgeloos opschrijven, ken wel mensen die ze gewoon voorin in de agenda schreven), of dingen zoals keyloggers.
Hoe moeilijk denk je dat jij het hiermee maakt voor degene die tweakers, ing, of gmail beheert, om op basis van dat wachtwoord van jou te raden wat je wachtwoord bij andere sites zal zijn?

Nou zijn tweakers, ing en gmail hopelijk alledrie sites waar passwords altijd direct gehashed worden en dus nergens plaintext te zien zijn, ook niet aan de server kant, maar er hoeft maar één crappy (of zelfs malafide) website tussen te zitten en weg is je systeem.
Ik vind het "schokkend" dat zelfs mijn directe collega's (afdeling ICT beheer) niet allemaal gebruik maken van een password manager...
Ik vind het ook schokkend dat jij als ICTer blijkbaar vind dat iedereen het moet gebruiken terwijl haast alle passwordmanagers zo lek als een mandje zijn.
Hoe kom je daar bij? Bijna alle zo lek als een mandje? Ik betwijfel of je het kan onderbouwen.
Daarnaast kan je password managers zoals 1Password ook instellen om alleen lokaal de data op te slaan i.p.v. in de cloud. Maar de kans dat iemand eerst je cloud opslag hacked en daarna je password manager is wel heel klein. Er zijn genoeg password die gewoon veilig zijn. Maar uiteindelijk valt of staat de security met een veilig master password.

Geen password manager gebruiken is naar mijn idee eerder een groot risico
Geen password manager gebruiken is naar mijn idee eerder een groot risico
Los van het risico. Een manager is zoveel gemakkelijker voor erbij. Het ding genereert wat je wil met een druk op de knop en weer, en weer. Sla ze op, maak wat aantekeningen en doe er je voordeel mee.
Als men toch graag wachtwoorden zelf onthoudt, onthoudt dan de wachtwoorden en de plek en naam van de bijbehorende key-files. Ben je met een paar wachtwoorden klaar.
Hoe lek is dan een manager als Keepass? Omdat het een open source project is kun je de kennis die jij claimt te hebben verifieren met de source en de maker daarover inlichten ;)
KeePass is prima inderdaad vandaar dat ik ook zei 'haast alle'. Linkjes naar lekken/hacks van bepaalde diensten staan er al genoeg van in de comments
In de "echte" IT word er natuurlijk gebruik gemaakt van privileged access appliances. Waarmee je toegang vraagt tot een systeem, dat word door iemand approved (met access control: waarom wil je access hebben?) en dan genereert de appliance een password die x uur beschikbaar blijft en dan automagisch word veranderd op het systeem.
Dat betreft voornamelijk de "cloud" password managers. Met een lokale DB (eventueel sync via cloud) ben je al een heel stuk veiliger. Ik sync liever m'n password DB met Dropbox (icm 2FA) dan dat ik gebruik maak van bijv. LastPass.
Hoezo is dat een stuk veiliger? LastPass maakt gebruik van 256-bit AES encryptie; niemand kan jouw wachtwoorden uitlezen stel dat de servers gehackt worden. Ook kan je gebruik maken van 2FA. Of Lastpass je passes nou syncd of Dropbox..
Die wachtwoorden staan vaak voldoende veilig opgeslagen, dat ben ik met je eens, echter zie je vaak dat door exploits en/of XSS via de browser wachtwoorden onderschept kunnen worden.
LastPass is een publiekelijk toegankelijke dienst en dus veel makkelijker doelwit dan mijn DB is mijn Dropbox account.
Sinds wanneer is Dropbox geen publiekelijk toegankelijke dienst?
echter zie je vaak dat door exploits en/of XSS via de browser wachtwoorden onderschept kunnen worden.
Hetzelfde geldt ook voor Dropbox, bij allebei de services zou dit mogelijk kunnen.
Correct, dat heb ik niet helemaal correct verwoord.
Maar Dropbox is in ieder geval niet primair doelwit voor het benaderen van password DB's. Iets wat bij LastPass wel het geval is...

Dus nadat men toegang zou verkrijgen tot mijn Dropbox data, is het decrypten van mijn DB het tweede obstakel.

Uiteraard is niet in de cloud opslaan nog veiliger, maar dat gaat weer ten koste van het gebruiksgemak en risico op dataverlies.

[Reactie gewijzigd door J0HAN op 23 november 2015 22:00]

Ik ben het met je eens dat Lastpass eerder een doelwit kan zijn als ze uit zijn op wachtwoorden. Het decrypten geldt alleen ook voor Lastpass (alles wordt lokaal decrypt en encrypt), daar zit geen verschil in. ;)
Wat ik mij afvraag: is dat ooit door een onafhankelijk iemand geverifieëerd? Ik geef toe dat ik LastPass ook vertrouw met mijn wachtwoorden, en ik hoop echt dat mijn wachtwoorden daar met 256bit AES staan opgeslagen, maar hoe kunnen we daar zeker van zijn?
Werk al 15 jaar in de ICT en heb altijd nog alle wachtwoorden uit mijn hoofd kunnen onthouden. Kwestie van vaak doen, dan is het kinderspel. En een stuk veiliger :)

Je krijgt alleen wel rare gezichten als je 3 jaar later nog eens terug komt en alle admin passwords nog uit je hoofd weet. 8)7

(En ik zit doorgaans met open mond te kijken dat de wachtwoorden zoveel jaar later nog hetzelfde zijn, maar dat terzijde :+ )
Dat heb ik ook lang volgehouden, (sterk basiswachtwoord + variabele) maar op een gegeven moment weet je nog wel het wachtwoord maar niet meer welk e-mailadres of gebruikersnaam je had opgegeven...
Dat zeg ik toch nergens? 8)7

Ik bedoel, gewoon alle usernames en wachtwoorden onthouden. Zakelijk heb ik nergens dezelfde wachtwoorden, en vaak username ook niet. Ieder bedrijf heeft weer z'n eigen conventie. Als je jezelf er toe zet om consistent user/wachtwoord niet op te schrijven en gewoon te onthouden dan lukt dat echt wel.

Ook privé heb ik denk ik zeker 8 a 9 verschillende usernames, en de passwords zijn overal anders. Zo loop ik niet de kans dat als zeg, m'n tweakers account buit gemaakt zou worden, dat dan ineens m'n mail of bankzaken ook inzichtelijk zijn. :)

Noem het ouderwets, maar ik vind het de meest veilige methode om het op de SD-kaart in m'n hoofd op te slaan 8)7
Dan vraag ik me wel af hoe sterk je wachtwoorden zijn. Kan je eens hier een equivalent wachtwoord invullen?

https://howsecureismypassword.net/
hmm, slechte site. Mijn oud wachtwoord van hier op tweakers dat destijds gekraakt werd onder een uur zou volgens die site een jaar stand houden bij brute forcing. Gebruik ik een equivalent van mijn LastPass master password kom ik op "170 octillion years" maar wel met een "repeating pattern" en "just letters" wat niet mag verbazen aangezien het een zin is.
Leuke site, mooi dat er ook uitleg bij staat waarom bepaalde passwords veiliger zijn.

Heb zo goed mogelijk geprobeerd de wachtwoorden equivalent te houden, zonder daarbij letters door cijfers te vervangen of andersom, of bijvoorbeeld betekenisvolle woorddelen te vervangen door random letterreeksen.

Tweakers wachtwoord: 3 thousand years
Wachtwoord DigID: 157 billion years (nou nou...)
Wachtwoord een van m'n klanten: 58 years
Wachtwoord router: 275 days (oeps? :+ )

Qua prioriteit gaat er dus iets niet goed, aangezien m'n routerpassword eigenlijk toch lastiger zou moeten zijn dan tweakers, wat niet zo héél veel uit maakt natuurlijk :+

Qua berekening op die site valt me op dat:
  • Zodra er een extra groep letters, cijfers of speciale tekens wordt toegevoegd dan schiet de prognose omhoog. Alsof met alleen letters de pc ook echt alleen combinaties van letters zou brute-forcen.
  • Het niet uit lijkt te maken of je een bekende letterreeks (woord of woorddeel) gebruikt in het Engels of Nederlands. Dacht dat dergelijke zaken je password sterkte flink zou moeten beïnvloeden.
@J0HAN: Ik ben juist bang dat als ik mezelf toesta om wachtwoorden op te slaan in een password manager, dat de druk er af is waardoor het niet meer onthouden wordt :) Denk dat dat bij iedereen zo werkt... alleen belangrijke dingen blijven hangen, dus als je ze belangrijk maakt, geen issue.

Een voorbeeld: in de tijd van de gewone telefoon (en opkomst van gsm) kende je de telefoonnummers van mensen uit het hoofd. Doordat je tegenwoordig volledig vertrouwt op de opslag in je telefoon, lees je het nummer van een ander wel een keer, maar blijft het nooit hangen :)
Zakelijk heb ik nergens dezelfde wachtwoorden, en vaak username ook niet. Ieder bedrijf heeft weer z'n eigen conventie. Als je jezelf er toe zet om consistent user/wachtwoord niet op te schrijven en gewoon te onthouden dan lukt dat echt wel.

Ook privé heb ik denk ik zeker 8 a 9 verschillende usernames, en de passwords zijn overal anders.
Ik ben nu wel benieuwd naar hoeveel wachtwoorden je kent? Zijn dat echt random wachtwoorden of gebruik je een systeem?

Ik heb prive al een paar honderd wachtwoorden en zakelijke nog veel meer. Die kan ik echt onmogelijk onthouden.
Nou, geen random wachtwoorden als in dat ik ze laat verzinnen door een random generator. Ik denk dat ik er daar hooguit 4 van tussen heb zitten. Dat zijn ook de lastigste om te leren, blijvend te onthouden. Als je ze niet meer gebruikt dan ben je ze na een jaar of langer wel vergeten denk ik.

De eigen verzonnen wachtwoorden bestaan over het algemeen uit delen van woorden die niet bij elkaar horen, uit verschillende talen. Vaak ook anders geschreven (waardoor ik denk dat brute forcen met een woordlijst heel lastig wordt). Die worden altijd gecombineerd met een groep cijfers, en daarna weer een groep letters. De letters houden vaak verband met één van de cijfers uit de groep cijfers.
Voor passwords die sterk moeten zijn worden nog leestekens toegevoegd en vaak nog een letter of cijfer groep.

Bovenstaand is natuurlijk wel een systeem...maar door de willekeur van woorden, schrijfwijze, en wisselende lengte en aantal groepen letters en cijfers denk ik niet dat er algoritme zal bestaan wat specifiek mijn wachtwoorden sneller kan ontdekken? Tenminste, daar is het voor bedoeld :) Het is meer een systeem voor mezelf om makkelijk redelijk sterke wachtwoorden te bedenken, die vervolgens ook nog wel te onthouden zijn.

Meest makkelijk wachtwoorden om te onthouden zijn toch wel de wachtwoorden die een patroon volgen op het toetsenbord. Daar maak ik zelf nooit gebruik van, maar ben deze regelmatig tegengekomen als admin password in verschillende organisaties. Deze weet je moeiteloos 15 jaar later nog :)

En tjah, hoeveel wachtwoorden gebruik ik nu nog regelmatig? Ik kom privé niet aan een paar honderd wachtwoorden hoor! ...ik denk een stuk of 60 á 80? Ja 80 haal je wel met webshops erbij. Maar goed, ik schrijf ze ook nooit uit, das lastig tellen :)
Super! Dan moet je zeker geen password manager gaan gebruiken als je zo'n goed geheugen hebt....
Tjah in mijn geval (eigen hosting bedrijf + beheer voor klanten) praat je over rustig 80 login-credentials.
Die ga je echt niet meer onthouden. Dus dat laat ik aan Keepass over.

[Reactie gewijzigd door hackerhater op 24 november 2015 14:20]

Dat heb ik ook lang volgehouden, (sterk basiswachtwoord + variabele)
Ehm nee, dat dus niet gewoon normale wachtwoorden en die onthouden.

Sterk basiswachtwoord + variabele == extreem zwak wachtwoord.
Ik heb honderden wachtwoorden voor live websites en testwebsites (vaak meerdere want meerdere gebruikerstypes), FTP, MySQL, control panels, fora, social media, etcetera - no way dat dat te onthouden is.

Even geteld - minstens 800 over de afgelopen 3,5 jaar alleen al... :|

[Reactie gewijzigd door Zaph op 23 november 2015 21:37]

Ook even geteld: totaal 2100 wachtwoorden. :| Knappe ICT-er die dat weet te onthouden. Er zit geen enkele regelmaat in mijn wachtwoorden. Ik gebruik 1Password. Het wachtwoord om 1Password te openen zit in mijn hoofd, en in de 1Password van mijn vrouw. Omgekeerd heb ik ook haar 1Password wachtwoord. Mocht mij wat overkomen, dan kan ze dus altijd bij mijn informatie. We gebruiken 1Password dus ook voor meer dingen dan alleen wachtwoorden - feitelijk is het daardoor een soort electronische kluis geworden.
Gelukkig hoef ik alleen je email-account te hacken. Dan kan ik daarna al je passwords een-voor-een resetten via de gebruikelijke "recover" functie. Al je 2100 nieuwe passworden kan ik dan lezen via je gehackte email.

[Reactie gewijzigd door gryz op 24 november 2015 00:36]

Meerdere lagen van beveiliging natuurlijk! Op je e-mail 2FA en het gaat al moeilijk worden. Dat is natuurlijk ook de essentie: zo veel mogelijk defensie bij een zo acceptabel mogelijk dagelijks gebruikt. Dan is een password manager eigenlijk onmisbaar. Of die manager nu in je hoofd zit of een stukje software maakt wat mij betreft niet uit.
Email wachtwoord reset is inderdaad een zwakke schakel, met name wanneer als gebruikersnaam het email adres wordt gebruikt. Daar weet mijn zoon ondertussen alles van aangezien zijn gmail werd gehacked (lees: gmail open laten staan op een computer op school).
Belangrijker sites stellen dan ook additionele vragen bij een password reset. Of ze hebben two-factor-authentication.

Maarreh, knappe jongen die via een email reset een admin wachtwoord van bv. een Exchange server weet te achterhalen. Dus de vlieger "al je passwords" gaat echt niet op.
Ik heb honderden wachtwoorden voor live websites en testwebsites
Even geteld - minstens 800 over de afgelopen 3,5 jaar alleen al... :|
En dus gebruikt men in dat geval de computer om ze ergens te bewaren, toch.? :)
Groot gelijk.
Je krijgt alleen wel rare gezichten als je 3 jaar later nog eens terug komt en alle admin passwords nog uit je hoofd weet

Dat die admin wachtwoorden na 3 jaar nog geldig zijn |:( O-)
Ik ben ook ICTer en ik vindt het niet nodig om een dedicated wachtwoordmanager te gebruiken. Ik gebruik gewoon de wachtwoordmanager die standaard ingebouwd zit in de Chrome Browser. Goed genoeg. :)
Handig .. Iemand jat je laptop, en AL je wachtwoorden zijn vrij in te zien in Chrome, zonder enige vorm van authenticatie. (Mits je Windows o.i.d. op auto login hebt)
Een password manager kan het ook automatisch voor je invullen maar vraagt nog wel om hoofdwachtwoord om de database te unlocken.
Er is gewoon een accountbeheer voor Chrome die je op afstand uit en aan kan zetten voor apparaten met een master password. Dus inderdaad, behoorlijk handig :)

[Reactie gewijzigd door GoT.Typhoon op 23 november 2015 22:54]

haha, ik jat je laptop, en bij mij thuis heeft ie geen wifi, dus geen remote beheer... en bedankt voor al je wachtwoorden ;)
De wachtwoorden staan in de cloud, hoe ga je die benaderen zonder internet? x)
Zover ik weet, heeft Chrome een lokale kopie van de wachtwoordem staan. Ze worden met de cloud gesynchroniseerd.
Ah, ik dacht dat zw encyrpted lokaal werden oogeslagen en via de cloud de keys worden bemachtigd om deze te ontsleutelen.
Handig .. Iemand jat je laptop, en AL je wachtwoorden zijn vrij in te zien in Chrome, zonder enige vorm van authenticatie

Bitlocker ...

Ik neem aan dat tenminste niemand zonder full disk encryptie op een laptop werkt anno 2015 O-)
Dat zal je verbazen, ik ken vrijwel niemand die aan encryptie doet .. Heb zelf wel de boel encrypted, en firmware wachtwoord, dus laptop waardeloos afgezien van de onderdelen.
Genereert die ook een nieuw uniek moeilijk wachtwoord voor elke site?
Hij onthoud gewoon de wachtwoorden die ik zelf ingeef, de generatie laat ik aan mijn eigen grijze massa over ;)
Eén van de eerste vragen die bijvoorbeeld LastPass komt stellen na installatie is of deze de password manager van je browser mag uitschakelen. Dit is niet zonder reden daar die password manager 0,0 beveiliging heeft.
Het lijkt er op dat jij dus de veiligheid van files op je eigen PC (of laptop) niet vertrouwd. Zolang je eigen PC veilig is, zijn alle passwords in Chrome (of FF) ook veilig.

Als je er van uitgaat dat je je eigen PC niet kunt vertrouwen, dan ben jij in mijn ogen de amateur hier. Ik geef toe, je bent er niet alleen in. Er zijn allerlei programmas en games die er van uitgaan dat iedereen's PC al is gehackt. Mooie boel. Misschien moeten we eens beginnen er voor te zorgen dat iedereen's eigen device gewoon 100% betrouwbaar is.
Kom je net onder een steen vandaan ofzo?

Geen enkele OS maker is 100% betrouwbaar, google is zelfs minder betrouwbaar. Ga het nieuws wat vaker lezen joh... sta niet zo voor aap.
En wat is je punt ?

Het probleem is dat OSs (en browsers) niet te vertrouwen zijn. En niemand die zich daar druk over maakt. Allemaal moeilijk doen met password-managers, virus-scanners, software-firewalls, ad-blockers. Terwijl het ook anders kan. Jij kunt je dat misschien niet voorstellen.
Of ze hebben gewoon een veel beter geheugen. :>
Je stelt 1034 mensen een vraag en vervolgens kan je stellen: Meer dan helft Nederlanders weet niet van bestaan wachtwoordmanagers af?

Dat is wel een hele kleine groep ondervraagden. Wat is de samenstelling van deze ondervraagden, demografische factoren e.d.?

Artikel zou ook moeten spreken over: Meer dan helft ondervraagden weet niet van bestaan wachtwoordmanagers af.

Dun uitgevoerd onderzoek met veel grote woorden.
Je stelt 1034 mensen een vraag en vervolgens kan je stellen: Meer dan helft Nederlanders weet niet van bestaan wachtwoordmanagers af?
Dat is nou statistiek.
Ik wil niet neerbuigend klinken, maar dit is echt de basis van statistiek.
Dat is geen kleine groep ondervraagden, vooral niet als je werkt met statistiek. Het is makkelijk uit te vinden hoe betrouwbaar zo een conclusie is. Simpelweg als jij een representatief groepje hebt uit een hele bevolking, dan is er weinig reden om te geloven dat de getallen veranderen op een grote schaal.

Het grote probleem is uit te vinden of de sample size representatief van de gehele bevolking is, gezien deze is uitgevoerd door een onderzoekbureau mag ik hopen dat dit goed in elkaar steekt.

Je kan de "margin of error" met een hoop tooltjes online berekenen. Populatie van Nederland is ongeveer 17.000.000, huidige sample size is ongeveer 1000. Ik kom uit op ongeveer 3%. Waarbij je zou kunnen aan nemen dat elke percentage in dit artikel tussen 3% hoger en lager kan liggen.

Nu ben ik zelf ook niet ervaren met statistiek, dus mocht ik iets fout hebben (ik ben er bewust van dat ik een aantal aannames heb gemaakt), gelieve dit aan te geven.
Je stelt 1034 mensen een vraag en vervolgens kan je stellen: Meer dan helft Nederlanders weet niet van bestaan wachtwoordmanagers af?
Statistiek:
Je wilt een karakteristiek van een volledige populatie te weten komen.
Je kan echter enkel een steekproef testen, want de volledige populatie kan niet getest worden.
Als je kan besluiten dat die steekproef een voldoende correcte representatie is van die populatie, dan kan je ook besluiten dat de vaststellingen die je hebt gemaakt bij het testen van de steekproef ook gelden voor de populatie, met een zekere mate van zekerheid.
Misschien een idee voor Tweakers om hier een artikel over te schrijven? Ik zou zelf niet weten welke manager te gebruiken :)
Hier nog een, zie totaal niet het voordeel ervan in van een "wachtwoord manager". Krijg er al een naar gevoel van dat ze met 1 wachtwoord bij al mijn wachtwoorden kunnen. Heb liever een authenticator. Tijdelijke wachtwoorden lijken mij veel veiliger.
Daarom dat ik graag een artikel wil zien ;) Waarom wel gebruiken? Waarom niet? Hoe veilig is het? Hoe werkt het lokaal? Hoe werken de cloud oplossingen?
Als "ze" bij je wachtwoorden kunnen op je machine heb je en veel groter probleem: iemand met toegang tot je machine zonder je toestemming.

Een online password manager gebruiken is dan inderdaad lomp. Gelukkig zijn er standalone (offline) genoeg, bijvoorbeeld KeePass(x).
Ik gebruik 1Password met een lokale database, en een tricky ‘master’-password. Tevens is mijn laptop volledig encrypted, incl. firmware wachtwoord. Succes om dat te kraken. Ik sla ook geen wachtwoorden op in de browser, maar gebruik de 1Password extensie waar je ook je ‘master’-password in moet voeren alvorens het automatisch het inlog scherm vult.
Met een wachtwoord manager kan je voor elke website gemakkelijk een apart goed wachtwoord bijhouden.

Nu moet de beveiliging van de manager goed in elkaar steken. Authenticator, niks online bewaren, alles goed gehashed en gesalt, zorgen dat de database beschermd is tegen kwaadwilligen etc.

Dat is iets waar die bedrijven alles op focussen en daar heb ik bij de managers wel vertrouwen in. Er is nu 1 wachtwoord dat je moet onthouden en moet beschermen, gaat dat fout dan heb je nog hopelijk de extra bescherming van een authenticator oid.

Je kan niet van elk andere website uitgaan dat ze dezelfde beveiliging hebben. Soms kom je wachtwoorden tegen die niet gehashed worden opgeslagen, de meesten hebben geen authenticator, van die rot "wachtwoord vergeten?" vragen, dat soort dingen. Als je geen wachtwoord manager gebruikt is het onwaarschijnlijk dat jij een goed gevarieerd wachtwoord hebt voor elk van deze websites.

Als je hetzelfde wachtwoord of een systeem gebruikt voor het bedenken van wachtwoorden dan ben je eigenlijk kwetsbaar zodra je wachtwoord tevoorschijn komt bij 1 van de slecht beveiligde websites. Met een wachtwoord manager is het triviaal deze te veranderen en zijn je andere wachtwoorden niet in gevaar. Nu hoef je alleen te focussen op 1 goed beschermd wachtwoord.
1 2 3 ... 7

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True