Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Veertig procent van Nederlanders hergebruikt wachtwoord' - update

Uit onderzoek dat in opdracht van het ministerie van Justitie en Veiligheid is uitgevoerd, blijkt dat veertig procent van de Nederlanders zijn wachtwoord hergebruikt voor verschillende diensten. Hetzelfde percentage zegt regelmatig gebruik te maken van gratis openbare hotspots.

Het ministerie maakt de cijfers via veiliginternetten.nl bekend in het kader van een campagne die erop gericht is om mensen te stimuleren 'zich online beter te beschermen'. Het schrijft dat het hergebruik van wachtwoorden bijvoorbeeld voorkomt met e-mailaccounts, internetbankieren en webwinkels. Een vijfde van de eerdergenoemde veertig procent geeft aan hetzelfde wachtwoord op meer dan tien verschillende accounts te gebruiken. Het ministerie deelt geen informatie over de sterkte van de gekozen wachtwoorden. Het risico van een identiek wachtwoord voor verschillende diensten is dat als het eenmaal bekend is bij kwaadwillenden, die in principe toegang kunnen krijgen tot accounts bij al die diensten.

Andere bevindingen uit het onderzoek zijn dat bijna de helft van de Nederlanders denkt dat zijn of haar gegevens interessant zijn voor internetcriminelen en dat veertig procent regelmatig gebruikmaakt van een gratis openbaar wifinetwerk. Het risico daarbij is bijvoorbeeld dat onversleutelde gegevens onderschept worden. Verder blijkt dat de helft van de Nederlanders 'weleens software-updates uitstelt' en dat ongeveer twee derde van de ondervraagden denkt dat de kans toeneemt dat ze in de toekomst te maken krijgen met internetcriminaliteit.

In het kader van de campagne worden verschillende tips gegeven, zoals het meteen uitvoeren van updates, het leren herkennen van 'foute links', het regelmatig uitvoeren van een back-up, en het gebruiken van sterke en unieke wachtwoorden. Daarbij wordt gewezen op het gebruik van een wachtwoordmanager, die wachtwoorden kan aanmaken en opslaan. Tweakers besteedde eind 2016 aandacht aan verschillende wachtwoordmanagers. Het huidige onderzoek werd door PanelWizard uitgevoerd onder 1033 Nederlanders gedurende de maand februari.

Update, 13:27: De titel is ter verduidelijking aangepast.

Door Sander van Voorst

Nieuwsredacteur

05-03-2018 • 10:17

391 Linkedin Google+

Reacties (391)

-13910389+1245+213+31Ongemodereerd117
Wijzig sortering
40% vind ik wel erg laag. Ik zou eerder 80~90% minimaal verwachten die wachtwoorden hergebruikt.
Een vijfde van de eerdergenoemde veertig procent geeft aan hetzelfde wachtwoord op meer dan tien verschillende accounts te gebruiken
Er staat "geeft aan" in die zin. M.a.w. een bevraging. Net zoals voor een vraag zoals 'hoe frequent mensen seks hebben', zijn zulke bevragingen geen goede manier om over een "ik voel mezelf beter als ik lieg"-onderwerp iets feitenlijk te weten te komen.

Mensen liegen namelijk tegen zichzelf. Louter om zichzelf beter te voelen.

Moest je dit zonder het hen te vragen onderzoeken, bv. hashes van passwoorden op verschillende sites vergelijken, dan zou het vermoedelijk inderdaad richting 80-90% gaan. Waarschijnlijk zelfs 95-98%.

Die 2% is dan enkel dat deel van de bevolking dat zich professioneel met IT-security bezig houdt, en zelfs over die groep twijfel ik dat meer dan 50% het goed doet.

Noot. Eenvoudig te onthouden passwoorden kan je vormen door volle zinnen te gebruiken, met hoofdletters en leestekens en misschien hier en daar een getal: Alle 4 de katten, van mijn zus, zijn gisteren door een auto tot moes gereden! Vroemmm.
Hoewel ik zelf in de IT werk, neem ik bewust het risisco met low-profile diensten om WW te hergebruiken. Dit zijn echter nooit de WWs van bijvoorbeeld het gekoppelde emailadres of de wachtwoorden van diensten van waarde die bij het geval van verlies van het account voor (grote) schade kunnen zorgen.

Het aantal accounts dat je tegenwoordig hebt, maakt het dat mensen wel gemotiveerd zijn om wachtwoorden te hergebruiken.

Password managers zijn niet aan iedereen besteed.
Voor 'publieke' accounts, waarbij ik heel goed weet dat er niets mee aan te vangen is, doe ik hetzelfde.

Banken hier hebben allemaal zo'n doosje waarmee je moet inloggen, plus, als je alles juist hebt gedaan, nemen banken hun verantwoordelijkheid bij digitale inbraken. Niettemin zal ik niet snel met een al te populair besturingssysteem Internet-bankieren gaan doen.

Verder heb ik eigenlijk letterlijk alles wat ik nodig heb op mijn eigen server in Zwitserland staan. Passwoord authenticatie staat er gewoon uit in de sshd_config. Zonder private SSH key, wat op een MicroSDtje staat die enkel in een bepaalde laptop (die zelden online gaat) gebruikt wordt, kan er niet op ingelogged worden. Iedere service die zonder zo'n authenticatie werkt (IMAP, SMTP, etc), heeft z'n eigen vrij lange passwoord.

Maar goed. De meeste mensen gaan dat allemaal niet zelf doen. En voor hen raad ik dan meestal ook aan: schrijf lange zinnen als passwoord. Eventueel een passwoord manager. Maar als je lange zinnen schrijft, onthoudt je die ook wel. Zeker als je er iets leuk en grappig van maakt.
En voor hen raad ik dan meestal ook aan: schrijf lange zinnen als passwoord. Eventueel een passwoord manager. Maar als je lange zinnen schrijft, onthoudt je die ook wel. Zeker als je er iets leuk en grappig van maakt.
Dat kan niet bij veel diensten omdat je met een maximum van 20-25 tekens zit. Je word van allerlei kanten beperkt. Los daarvan is dat te doen bij een aantal diensten, maar indien je zoals ik op het moment van schrijven 105 diensten met accounts + password hebt, dan raak je alsnog het overzicht kwijt. Lang leve mijn LastPass :)

Ik raad mensen altijd aan om bij key diensten (zoals dat veelgebruikte e-mail adres voor al je accounts) een uniek wachtwoord te gebruiken, en voor de rest een wachtwoord manager.
bij xbox live kon ik maar 16 tekens gebruiken. staan toch veel prive gegevens van mensen op.
Dat is op zich een prima benadering. 3 verschillende niveau's van beveiliging is in de meeste gevallen voldoende:

- een simpel wachtwoord voor allerlei verplichte registraties (bijvoorbeeld voor kranten, fora zoals deze, etc) die in geval van diefstal geen schade aanrichten.

- een unieker wachtwoord voor bijvoorbeeld webwinkelaccounts.

- een echt secure wachtwoord voor dingen die er toe toen (clouddiensten, bank, digid, etc).

Veruit de meeste vallen in de eerste categorie, dus je hebt in de praktijk slechts een handjevol wachtwoorden nodig.
Het enige probleem daarmee is dat je vijf jaar geleden een account op GOG maakt om eens rond te kijken en dat je je vorig jaar opeens beseft dat je sinds 2015 meer dan honderd games hebt gekocht achter een zwak wachtwoord. Tuurlijk, 't is niet de bank maar toch. Zelfde verhaal voor GitHub. Tien jaar geleden een testaccountje, een jaar of drie vier geleden OH @#$#@$ DIRECT WW WIJZIGEN. Ik ben er in de praktijk enkel bewust mee bezig tijdens het aanmaken en daarna gaat het al snel op de automatische piloot.

Daarnaast staat het natuurlijk ook niet goed als je ook ergens dezelfde nick/e-mail gebruikt en die opeens voor spam wordt misbruikt, want dan kun je in een database van spammers belanden o.i.d. Je hebt altijd vertrouwen te verliezen, zelfs van zomaar iets (als Tweakers). Speaking of which… * Frenziefrenz glares at self 'k heb hier ook niet direct het beste wachtwoord. Want bewust risico genomen bij het aanmaken, 't is maar voor de lol. Maar ik heb ondertussen wat dingen op vraag & aanbod overgenomen, wil misschien nog wel eens iets aanbieden… wederom reputatie.

Tegenwoordig gebruik ik ook voor dat soort zaken direct een random gegenereerd wachtwoord van 32 uiteenlopende karakters. ('k Zou liever 64 doen maar dat levert significant meer gezeur op. Met 32 is 't meer sporadisch.)

Maar goed, dat is enkel mijn verhaal. ;)

[Reactie gewijzigd door Frenziefrenz op 5 maart 2018 11:20]

Daarnaast staat het natuurlijk ook niet goed als je ook ergens dezelfde nick/e-mail gebruikt en die opeens voor spam wordt misbruikt, [...]
Simpel truukje dat volgens de RFC standaard (weet uit m'n hoofd niet welke) correct is, deze standaard beschrijft het vormen van een email adres, is om "+vendor" toe te voegen aan je adres. De plus en alles erachter, tot de @, wordt genegeerd voor de ontvangen. Zo heb ik bijvoorbeeld:
- voornaam+tweakers@website.com
- voornaam+geenstijl@website.com
- voornaam+et.cetera@website.com

Emails verstuurd naar bovenstaande komen allemaal aan op: voornaam@website.com.

Mocht je dus ineens spam ontvangen, kijk naar welk adres het is verstuurd. Gemakkelijke manier om de boosdoener te herkennen.

(werkt niet altijd, bijv wanneer de site/applicatie dit uit een email adres filtert)
(je hoeft hiervoor niet een alias per site aan te maken, dit gebruiken is onderdeel van de standaard en alle (grote) email providers ondersteunen dit per default)

[Reactie gewijzigd door rkeet op 6 maart 2018 10:02]

Dat doe ik ook, soms minder specifiek (naam+tweakers@whatever.com), soms specifieker (naam+tweakers.net@whatever.com). Maar omdat het zoals je ook aangeeft compleet transparant is, beschouw ik dat bijna uitsluitend als relevant voor mezelf. Bv. voor gebruik met een to filter i.p.v. een from filter. Een echt alias als tweakers@eigendomein.com is in dat opzicht wat mij betreft interessanter, al doe ik dat dan weer niet. :) (Wel soms van die open wegwerp-nospam-accounts.)
Waarom zijn password managers niet aan iedereen besteed? Het lijkt me een must tegenwoordig. Ik heb bijvoorbeeld bij zeker meer dan 50 forums, webshops, overheidsinstellingen etc. een actieve account, voor priv en zakelijke doeleinden, maar ik gebruik een wachtwoord, dat ik door een password manager laat genereren, nooit 2x of vaker. Zonder password manager zou ik dan ook hopeloos verloren zijn. Dat moet toch voor iedereen zo zijn?
Wat, hopeloos zijn zonder password manager?
Ik pas
Waarom pas? Ik sluit me bij hem aan. Ik weet geen enkel password van welke site dan ook. Enige password welke in mijn hoofd zit is de Masterkey.
Zonder Password manager zou ik ook een echt probleem hebben...moet ik dan passwords zelf gaan bedenken en ze ergens op een papiertje opschrijven.
Dus dat hopeloze kan ik me voorstellen.
Leg mij dan eens uit. Want ik weet het oprecht niet.
Waarom vertrouw je een password manager al je passwords toe? Kan die niet gekraakt, gehacked of doorverkocht worden?

Ik vind dat net zoiets als een kluis met sleutels naast je kluis zetten
Waarom vertrouw je een password manager al je passwords toe? Kan die niet gekraakt, gehacked of doorverkocht worden?
Hangt van de plek van de kluis af. Om de kluis te kraken moet men ten eerste mijn huis zien binnen te komen. Of, bij dit onderwerp, mijn computer zien binnen te komen.
Vervolgens moet men ook de logica van mijn password/alias doorgronden.
Dus ja, ik vertrouw de passwordmanager.
Als je dat natuurlijk door wil trekken dan kun je ook de private key van je passwordmanager opslaan op een USB-stick en die key alleen ontgrendelen met een password. Stick gaat aan je sleutelhanger, als ze je dan niet overvallen n je master-password weten te ontfutselen gaan ze nooit bij je wachtwoorden komen.
Precies dt heb ik gedaan. :) Waarbij de passwordmanager behalve een wachtwoord ook nog een key file nodig heeft die niet op de computer staat maar op een stick.
Hoewel, het wachtwoord staat nergens dat ken ik uit mijn hoofd.

Vroeger (vr keepass) gebruikte ik nog wel eens de md5 of de sha van een plaatje. Die viel altijd wel te genereren en hoefde ik alleen te onthouden welk plaatje bij welk wachtwoord hoorde. Ook handig voor het versleutelen van bestanden, mappen, schijven en sticks.

Ach je bedenkt eens wat...
De vraag ging mij dus meer over "standaard" wachtwoord managers. Niet jou artillerie geschut.
Ik vind het oprecht knap dat je dat zo voor elkaar hebt.
Maar lijkt mij niet echt werkbaar dat als je steeds als je een wachtwoord nodig hebt alles uit de kast moet halen voordat je erbij bent.

Wat betreft de kluis vergelijking. Als iemand aan je kluis zit te frunniken dan valt dat vaak op. Maar bij de gemiddelde NIET tweaker kan men dagen in een computer rondneuzen voordat de eigenaar uberhaupt dat doorheeft.

En je computer binnenkomen tsja, wederom knap dat de jouwe waterdicht is. Maar als iedereen zijn pc zo goed afgeschermd zou zijn kun je ook je wachtwoorden in een excel of kladblok bestandje knallen.

Erg lang verhaal om duidelijk te maken dat ik alleen maar nieuwschierig ben naar waarom mensen vertrouwen hebben om alles op een plek te bewaren. Ik heb her en der op mijn computer verwijzingen of herinneringen staan die voor een ander nergens op slaan maar voor mij genoeg zijn om een wachtwoord te kunnen herinneren.
Maar lijkt mij niet echt werkbaar dat als je steeds als je een wachtwoord nodig hebt alles uit de kast moet halen voordat je erbij bent.
Het hoeft niet per se ingewikkeld te worden. Keepass staat na de eerste start gewoon open als ik er bij ben. Het enige wat ik moet doen als de pc aan gaat, is de usb-stick plaatsen voor de gewenste key-file.
Het wachtwoord weet ik zelf wel. ctrl-alt-K opent Kepass en kan het gewenste wachtwoord opzoeken.
In de keepass-database staan de gegevens en ik weet hoe ze te gebruiken.

Een kladblokdocument vult het niet voor me in en dat kan Keepass (-net als het genereren van rare codes-) veel beter, sneller en secuurder.
Ik vertrouw een password manager (mits goed ingericht) niet 100% maar beduidend meer dan mijn eigen vaardigheid om unieke en sterke wachtwoorden te gebruiken. Ik heb er bijna 500 accounts in staan (als systeembeheerder loopt dat snel uit de hand) dus dat zou anders niet te doen zijn. Daardoor geeft het ook veel rust in mijn kop.

Natuurlijk kies ik dan een password manager die goed aangeschreven staat, betaal ik ervoor (want als het gratis is is je privacy het product), gebruik ik een sterk master password plus hardware key als tweede factor en maak ik periodiek een offsite backup van de vault.

Maar ook mijn bejaarde ouders heb ik aan een password manager geholpen. Ze snappen hoe ze het moeten gebruiken en het heeft ze af geholpen van het hergebruiken van ontzettend zwakke wachtwoorden en van papiertjes met wachtwoorden in de portemonnee. Ik zie dat als een vooruitgang.
Heel simpel, als ik 300 wachtwoorden + usernames weet te onthouden, dan weet ik zeker dat er een zwakte inzit waardoor ik ze kan onthouden.

Ik vertrouw me password manager voor 100% omdat je bij een keuze van een bepaald product eerst verdiept in de security. Volgens mij hebben ze dat bij 1password zeer goed in het snotje.

Kluis met sleutels? zekers....maar je moet eerst in die kluis komen. success! kluis kopiren? gaat niet, want naast masterpassword en account ID worden lokaal de wachtwoorden versleutelt op het lokale apparaat, welke wordt aangemaakt bij de eerste keer aanmelden.
Gelukkig heb ik ook nog verschillende kluizen en gebruik ik overal waar ik kan 2FA. kortom je moet eerst door een paar lagen beveiliging voordat je in de kluis kan komen, en dan vervolgens nog bij de site de 2FA omzeilen. Backupcodes heb ik weer in een andere kluis met een totaal ander wachtwoord.

https://1password.com/fil...Teams%20White%20Paper.pdf
Waarom pas? Ik sluit me bij hem aan. Ik weet geen enkel password van welke site dan ook. Enige password welke in mijn hoofd zit is de Masterkey.
Zonder Password manager zou ik ook een echt probleem hebben...moet ik dan passwords zelf gaan bedenken en ze ergens op een papiertje opschrijven.
Dus dat hopeloze kan ik me voorstellen.
Ik heb voor iedere site een ander wachtwoord en ik weet ieder wachtwoord uit mijn hoofd. Dat is omdat ik wachtwoorden altijd op dezelfde manier genereer. Als ik je 10 wachtwoorden + de bijbehorende site geef, denk ik dat iemand er wel achter komt wat ik doe. Alleen zo werken de wachtwoord files van de hackers niet.
Het probleem met Password managers is, dat je zo wel al je wachtwoorden op een plek hebt staan. Iemand met toegang tot het master wachtwoord, kan ineens overal bij. En als je de wachtwoorden online hebt staan, dan kan het helemaal feest zijn.
Er zijn wachtwoord managers waarbij dit niet het geval is en heb je niet voldoende aan het master password. En online de wachtwoorden hebben staan is inderdaad een feest...maar dan als zijnde "Makkelijk", zolang de beveiliging maar in orde is.
Ik gebruik 1Password family, waar ik de password zowel offline als online heb staan.
Ik daag je uit om gewoon eens dit security document door te lezen: https://1password.com/fil...Teams%20White%20Paper.pdf

Ieder wachtwoord uit je hoofd? even kijken, ik heb 300 accounts in mijn password manager...die ga je niet allemaal onthouden en als je dat wel doet, dan zit er een logica in de wachtwoorden welke door iedereen te begrijpen is en dus zwak punt.
Natuurlijk zit er logica in en natuurlijk kun jij die wellicht raden als ik je tien wachtwoorden geef. Dat geef ik zelf al aan. Het probleem is echter, dat als jij tien van mijn wachtwoorden kunt achterhalen er een heel ander probleem is. Een probleem waar geen password manager tegen helpt. Dan ben je me namelijk actief aan het afluisteren en dan heb je ook de wachtwoorden die uit een password manager zouden komen. Wat ik wil is voorkomen, dat als website xyz wordt gehacked en mijn wachtwoord uitlekt, dat men daarmee kan proberen op andere sites in te loggen. Wat er namelijk bij een hack wordt gedaan is een dump van de database. Deze dump wordt vervolgens gebruikt om "brute force" bij andere sites binnen te komen. Men gaat echt niet analyseren wat de wachtwoorden van individuele accounts zijn. Daar komt overigens bij dat ik meerdere email adressen gebruik, waarbij ik bij belangrijke sites een ander account gebruik, dan de "standaard" sites waar ik alleen een inlogadres nodig heb.
skunkopaat is nog jong, slaat misschien (nu nog) meer op dan jij en ik

Maar ook hij, komt op een gegeven moment erachter...dat niet alles meer juist wordt vast gehouden daar boven in een kamertje

Dat denk ik eerder
In feite gebruik je een paswoord dat is dus NIET veilig! Paswoord managers zijn in principe allemaal te kraken net als alles wat dat betreft!
Yes, zelfde voor mij. De belangrijke zaken hebben elk een uniek wachtwoord. Maar willekeurige forums of iets dergelijks mogen best op 1 wachtwoord, jammer dan als iemand toegang tot dat alles krijgt, maar het is geen schade waar ik wakker om zal liggen.
Precies mijn idee. Voor belangrijke zaken heb ik een uniek wachtwoord, maar unieke wachtwoorden onthouden voor al die diensten tegenwoordig is niet te doen. Dus voor alles wat ik niet als belangrijk beschouw herbruik ik wel een wachtwoord.

Zelf probeer ik mijn aantal online accounts tot een minimum te beperken. Ik maak bijna nergens een account meer aan. Dan hoef ik ook geen gegevens te onthouden. Ik heb zelfs een aantal jaar geleden een rondje accounts verwijderen gedaan van alles wat ik niet echt nodig heb. Al die goedbedoelde accounts van nutsbedrijven tegenwoordig laat ik ook bewust links liggen. Stuur me maar gewoon m'n facturen per mail, die hoef ik niet op een website te kunnen downloaden.

En de opmerking van freaxje hierboven is leuk bedacht, maar zou nooit gaan werken in de praktijk. Wachtwoordvelden zijn altijd afgeschermd, dus je ziet niet wat je typt, en als je een typo maakt moet ie helemaal opnieuw. En hoe langer de zin is, hoe groter de kans op typo's. Dus nee dank je, niks voor mij. Net zoals wachtwoordmanagers niks voor mij zijn, om een aantal redenen.
Ik gebruik vooral variaties op wachtwoorden omdat ik ze het liefst onthoud, en niet ergens op wil slaan.

Voorbeeld:
Tweakers: 123456789q
Mail: 123456789q!
Iets anders 123456788qQ!

Maar je tip van een zin onthouden is erg waardevol en handig!

Ik ben geboren in 1988 en had toen 1 kat!
=
Ibgi88eht1k!

Edit: ik vatte het niet op als hele zin, jullie hebben gelijk, bedankt voor het wijzen hier op.

[Reactie gewijzigd door skunkopaat op 5 maart 2018 11:07]

En dan is je password te kort, minimaal 16 meen ik... waarom niet gewoon die hele zin gebruiken...
Omdat een zin niet per definitie veiliger is en alleen maar meer server power vraagt om die te encrypten, salten etc.

Ibgi88eht1k! Is 100% random, en makkelijk te onthouden. Mss iets te kort maar karakters bijmaken door er simpelweg woorden van te maken is zinloos want woorden zijn het tegenovergestelde van random.

Ik gebruik zelf one password. Maar niet voor alles, voor domme dingen herbruik ik men wachtwoord. Simpel. Maar gmail, dropbox, socialmedia zitten dichtgetimmerd met wachtwoord generators en 2-factor.
Echt waar? Kom, laten we jouw bewering verder onderzoeken. Er zitten 26 letters in het alfabet, tien unieke cijfers, hoofdletter, kleine letter en nog een aantal speciale tekens. Laten we zeggen 96 unieke mogelijkheden. Jouw wachtwoord is twaalf tekens lang. Het kost dan 96^12 = 6e23 pogingen om het wachtwoord te kraken.

De zin bevat 10 woorden. Het Nederlands kent 240.000 woorden. Het kost dan 240.000^10 = 6e53 pogingen om het wachtwoord te kraken.

Kleine kanttekening, Dictionary attacks zijn wel zo gesorteerd dat de meest voorkomende woorden als eerst geprobeerd worden maar dan nog is een zin veiliger dan een "random" zooi tekens.
Ik kom juist altijd sites tegen die mijn zinnen te lang vinden. Waarom is er een max van bijvoorbeeld 20 karakters op wachtwoorden?
Zo irritant dit. Ze willen dat je een 'goed' wachtwoord maakt en dan zeiken ze dat het 'te lang' is. Doe dan 55 karakters ofzo? Wist je zelfs dat je wachtwoord bij blizzard case insensitive is?
Facebook controleert niet eens alle karakters.
Systeembeheerderdluiheid ??

Mischien is men weer bang dat als het te lang is dat je een stuk code kunt gebruiken die dan door een slechte implementatie kunt laten uitvoeren ;)
Best grappig dat je 16 noemt. De wachtwoord van Microsoft Office 365 mag niet langer zijn dan 16... :+
Ja, maar op Office 365 heb je natuurlijk MFA aan staan en mogelijk nog andere CA gerelateerde zaken. Gecombineerd met een WW van 16 tekens is dat veilig genoeg.
Vanaf 9 tekens is er concensus dat je redelijk safe zit (misschien is het actueel 10 geworden)
Tenminste dat zegt deze video als ik het me goed herinner: https://www.youtube.com/watch?v=3NjQ9b3pgIg

Ik gebruik zelf gewoon Keepass, en genereer al mijn wachtwoorden...(ik wil met uitzondering van weinige wachtwoorden ze zelf niet kennen). Copy paste bespaart me ergernissen met typen, het enige wat soms lastig is zijn bepaalde tekens die niet toegelaten zijn (bv. spatie) of de lengte die te lang is...maar goed als je er eenmaal een goed gevonden hebt dan is er geen probleem.

Opslaan doe ik de DB in de cloud bij dropbox, zodat i het overal synchroon is.
Naast de DB en een goed wachtwoord dat ik moet onthouden, is er een offline keybestand dat nodig is voor het openen (daarom is de DB safe in de cloud)

[Reactie gewijzigd door Clemens123 op 5 maart 2018 11:53]

Bij een werkgever bij mij was 12 het minimum en zou het ong. 24u moeten houden tegenover een brute force. Keepas zijn de meningen over verdeeld dus doe ik geen uitspraak over..
Wat je hier fout doet is dat je niet gewoon de hele zin met of zonder spaties als wachtwoord neemt.
Maakt een bruteforce ook nog een stuk moeilijker.
Ik neem aan dat de mensen het hier wel weten maar een wachtwoord dat uit meerdere woorden (het liefst fictieve woorden) en spaties bestaat is letterlijk een miljoen keer moeilijker te bruteforcen dan een willekeurige letter/cijfer combinatie.

Voorbeeld wachtwoord dat (in principe) niet te bruteforcen is:
Mijn vingers zijn gestrakts1

Voorbeeld van wachtwoord dat heel snel te bruteforcen is (zeker op offline bestanden):
KL12xdz2@

[Reactie gewijzigd door TCIS op 5 maart 2018 11:29]

1EmmertjeWaterHalen2EmmertjesPompen :+
Ja het gaat niet helpen als je nu je eigen wachtwoord hier gaat plaatsen }>
Gebruik dan "Ik ben geboren in 1988 en had toen 1 kat! = Ibgi88eht1k!" als passwoord en niet "Ibgi88eht1k!", en dan keur ik je techniek goed :-)
Check. Andere interpretatie :) ik ga deze tip zeker meenemen!
Waarom zou je hem verkorten en daarmee direct minder veilig maken? Een langer wachtwoord is veiliger dan een wachtwoord met vreemde tekens er in. En bij diensten die een maximaal aantal karakters hebben voor een wachtwoord zou je mijns inziens vraagtekens moeten zetten
Mijn wachtwoorden zelf zijn idd volle zinnen waarvan de woorden in en door elkaar gehusselt word, hoofdletters nummers en tekens toegevoegd en verwijderd, meestal tussen de 25 en 50 tekens lang. Echter ga ik kapot om het feit dat dit bij zaken als bijv. De ING dit niet kan. (wachtwoord mag NIET te lang zijn, dat soort geintjes)

Het onthouden van zinnen is altijd makkelijker dan een cryptischcwachtwoord
Of website/bedrijfsnaam + standaard achtervoegsel. tweakersK0etje, INGK0etje, GOGK0etje, redditK0etje, etc.
Het probleem daarbij is weer dat je nooit helemaal 100% zeker weet dat er niet ergens je wachtwoorden in plain text opgeslagen worden (of terug te herleiden tot het werkelijke wachtwoord door een slechte implementatie)... Ja, dat is een enorme no no voor de betreffende dienst, maar je legt de verantwoordelijkheid zo bij hun. Als het een keer gebeurt en je wachtwoord lekt uit dan zou het dus mogelijk zijn dat mensen begrijpen hoe je het wachtwoord gemaakt hebt en je wachtwoord voor andere diensten kunnen reconstrueren.
cryptischcwachtwoord is wel een goede trouwens :-)
Maak er dan van: Crypt!*-1schc\/\/achtwo0rd en je hebt meer mijn style, also 2FA voor bonus
Het klopt dat mensen "liegen" (of beter gezegd: we geven graag het gewenste antwoord), maar een goed onderzoek bevat controlevragen en andere correctiemethoden om dit te compenseren.
Bij dit soort artikelen is denk ik inderdaad stap 1: wantrouw het onderzoek & vraagstelling.

Ik heb uit interesse het complete onderzoeksrapport eens opgevraagd (mailtje met verzoek naar 'info@veiliginternetten.nl' en binnen twee uur had ik 'm per mail ontvangen - heel netjes!).
  • Onderzoek is online via e-mail invite of 'PanelWizard-app', 1033 mensen van 16 jaar of ouder hebben meegewerkt door vragenlijsten te beantwoorden.
  • "De opties ‘weet niet’ en ‘neutraal’ zijn buiten beschouwing gelaten."
  • "Ik gebruik eenzelfde wachtwoord voor meerdere accounts": 40% "(helemaal) oneens en 41% "(helemaal) eens". Echter...
  • ...op "Het is onmogelijk om voor ieder account een ander wachtwoord aan te houden" antwoorde 55% "(helemaal) eens"
  • dus 55% vindt het onmogelijk om voor ieder account een ander wachtwoord aan te houden - dus MOET het percentage dat eenzelfde wachtwoord voor meerdere accounts gebruikt toch ook boven de 55% liggen?
Verder hebben ze ook nog verder gevraagd: hoeveel accounts hebben hetzelfde wachtwoord? Dat blijkt voor 53% te gaan om 2 tot 5 accounts. Wellicht dat men er wel degelijk goed over nadenkt en het wachtwoord herbruikt bij onbelangrijke accounts.
dan zijn er ook nog een hoop mensen die 12345678 als wachtwoordg gebruiken.
(1234 bij minimaal 4 tekens)

dit is het meest gebruikte WW ter wereld.
Gedownvote, maar zeker waar. Ik heb zelfs bij meerdere vrienden laten zien dat ik op hun Facebook kom door het wachtwoord te raden (zoals 1234, 123abc of gewoonweg robin1)
hackers gebruiken tevens ook brute force op woordenboek manier.
dat ze eerst alle mogelijke woorden gebruiken, cijfer reeksen.

daarom raad ik aan om al voorbeeld het volgende teken/tekens te gebruiken indien mogelijk ⌥⌘
er zijn nog veel meer maar dit waren de 1e 3 die ik tegenkwam toen ik zocht naar zo'n teken

dit zijn (ascii symbols) die je helaas niet kan gebruiken voor inlog van je pc, maar wel voor een account. (bij steam kon dit een hele tijd, helaas is het niet meer mogelijk)
ze zijn tevens ook veiliger omdat je alt codes dient te gebruiken om er 1 te typen

doe maar eens op
https://howsecureismypassword.net/
1234567890
en
123456789⌘

alleen al een ascii teken maakt flink wat verschil.
---------------
tevens zijn de WW's die ik noemde ook standaard voor routers
net als admin, Admin, Admin1

je wordt wel aangeraden om dit te wijzigen maar veel mensen negeren dit.
tevens is in notepad wat random typen en zo een WW maken ook een goede manier als je niets weet voor een WW.
gewoon een lengte van 50 tekens typen, en dan er 16 in het midden uit selecteren.
dan heb je een gerandomized WW, wat vrij uniek is.

[Reactie gewijzigd door darknessblade op 5 maart 2018 15:47]

Inderdaad, gegeven dat mensen al snel 20+ diensten gebruiken geef ik het ze te doen om voor alles een nieuw en uniek wachtwoord te kiezen.
daarom zijn wachtwoord mangers zo fijn,

kan je gewoon je WW laten randomizen, en dan alles invoeren.
(ofline wachtwoord managers die geen internet nodig hebben zijn het beste.)
Maar dan gebruik je dus f maar 1 apparaat f je wachtwoorden staan in de cloud. Het eerste gaat voor mij niet werken en het tweede lijkt me echt een heel veel slechter idee dan gewoon wachtwoorden hergebruiken.
Wanneer je wachtwoorden in de cloud staan is er maar een aanbieder die mogelijk je wachtwoord database kan bruteforcen, terwijl bij hergebruiken tientallen websites jouw wachtwoord in principe in plaintext kunnen opslaan. Toch best een verschil in veiligheid?
Die beheerder heeft mogelijk de originele ww dan in handen he en je hebt daarvan zelf de security niet in de hand...

Wellicht een opensource manager met een eigen server zou een acceptabele oplossing kunnen zijn.

[Reactie gewijzigd door Jefrey Lijffijt op 5 maart 2018 22:05]

ik heb een ww manager genaamd pins.
http://www.mirekw.com/winfreeware/pins.html

voor elke site gebruik ik een ander wachtwoord gegenereerd in dit programma.
(genereer er meestal een stuk of 20 van 16 lang en dan copy paste)

als je de manager op een usb stick hebt staan is het zeker veilig tegen virussus.
gezien je deze altijd kan afkoppelen.
tevens is er een copy paste protection zodat het ww blijft dan niet in de cache staan.
als je het hebt afgesloten

als je een cloud storage hebt met webdav ondersteuning zet je de manger gewoon daarin, en zo kan je toch veilig je ww's aan.
transip stack is hiervan een voorbeeld (ik heb de gratis 1tb storage versie)

[Reactie gewijzigd door darknessblade op 5 maart 2018 22:12]

Ik denk dat er ook in veel gevallen zeer voorspelbare variaties in zitten. Iets waar brute force algoritmes gemakkelijk achter komen.
40% vind ik wel erg laag. Ik zou eerder 80~90% minimaal verwachten die wachtwoorden hergebruikt.
Dat ligt denk ik ook aan je use-cases van de wachtwoorden. Tegenwoordig vragen sites voor elke poep en scheet om registratie als je iets interessants wil lezen of downloaden en dan ga ik niet voor elke afzonderlijke registratie een nieuw wachtwoord aanmaken. Daarvoor heb ik een wachtwoord waarvan het geen kwaad kan als iemand het ontfutselt, want het enige waar je dan bij kan is informatie die niet persoonlijk is.
Het huidige onderzoek werd door PanelWizard uitgevoerd onder 1033 Nederlanders gedurende de maand februari.
Dit is de enige onderzoeksverantwoording die ik kan vinden. PanelWizard werkt blijkbaar met een vast panel en of dat een aselecte groep is weten we niet.
Het lijkt er het meeste op dat de kwaliteit van het onderzoek er helemaal niet toe doet. Er is een getal nodig voor de publiciteit, dus kopen we een onderzoekje.
Best wel schrikbarend maar ook wel weer te begrijpen.
De gemiddelde nederlander heeft zeker geen wachtwoordbeheerder en kent amper de gevaren van een openbaar wifi netwerk.
Dit zie ik in de toekomst wel veranderen, nu er ook steeds meer wachtwoordlekkages in gegevensbanken worden gezet zien de mensen denk ik ook wel in dat het onveilig is om wachtwoorden te hergebruiken.

[Reactie gewijzigd door Paralectic op 5 maart 2018 10:21]

Ik snap de hype niet van wachtwoordbeheer.

Heb je wachtwoorden bij elkaar.
Niet iedereen heeft een dermate goed geheugen dat ie voor elk van de tegenwoordig 50+ verschillende sites/apps waar een gemiddeld persoon een account heeft, een uniek complex wachtwoord van 16 tekens kan onthouden.
Zinnen maken. Eventueel gerelateerd aan de site. Bijvoorbeeld: Hier kocht ik ooit 2 handtassen en 3 paar schoenen voor Hans, mezelf en Tine.

Prima passwoord. Eenvoudig te onthouden.
Ik ben helemaal voor het maken van deze zinnen in wachtwoorden, zie de beroemde xkcd als voorbeeld.

Echter kom je er bij sommige instanties alsnog niet mee weg vanwege in mijn ogen gestoorde wachtwoordeisen. Zie de belastingdienst:
anders zijn dan uw eventuele vorige wachtwoorden
minstens 8 en niet meer dan 25 karakters hebben (een karakter is een letter, teken of spatie)
minstens 3 karakters hebben die niet in het oude wachtwoord voorkwamen
niet meer dan 3 dezelfde karakters hebben
minstens 1 hoofdletter hebben
minstens 4 kleine letters hebben
minstens 1 cijfer of teken (een teken is bijvoorbeeld @) hebben
niet meer dan 3 tekens hebben
alleen toegestane karakters hebben
Toegestane tekens zijn: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

Niet-toegestane karakters zijn:
tekens die niet hierboven staan, zoals: , , en ⅓
diakrieten (letters met accenten en speciale letters uit andere talen), zoals: , , , , en
Wie heeft deze eisen bedacht? Zulke eisen maken het wachtwoord alleen maar onveilig en voorspelbaar. Even invullen:
Minstens 1 hoofdletter; die komt vooraan.
Minstens 1 cijfer of teken; grote kans dat er een '!' achteraan komt.
Minstens 3 karakters die niet in het oude wachtwoord voorkwamen; om hieraan te voldoen, zoek ik oplossingen die toch makkelijk te onthouden zijn (dat het te onthouden is, is namelijk wel handig). Als mijn wachtwoord bijvoorbeeld 'Corr3ctHors3Batt3ryStapl3' was, kom ik erachter dat ik de q, w en de e niet heb gebruikt.
Max 25 karakters; WAAROM!?!? Hoe langer, hoe beter! Doe er hele zinnen in of ongerelateerde woorden (xkcd).

Eindresultaat: Qwerty!! (extra uitroepteken om aan 8 karakters te voldoen). Chapeau! Super veilig!

[Reactie gewijzigd door eddie010 op 5 maart 2018 13:11]

minstens 3 karakters hebben die niet in het oude wachtwoord voorkwamen
Hoe kunnen ze dat controleren? Ze zullen toch niet het oude wachtwoord in plain text hebben?
.edit: sorry las verkeerd.
@chielsen ik dacht dat je het had over de regel "anders zijn dan uw eventuele vorige wachtwoorden". Checken tegen het oude wachtwoord kan natuurlijk vrij makkelijk omdat je vaak het oude wachtwoord ook in moet voeren, dus daar beschikken ze dan tijdelijk over.

[Reactie gewijzigd door .oisyn op 5 maart 2018 13:40]

Alleen hoe weet je van een gesalte hash welke letters daar gebruikt waren? Dat is toch redelijk het doel van hashen en salten voorbijgaan. Ik kan zo 123 niet verzinnen hoe ze dat kunnen checken, zonder daarmee juist niet extra informatie over het wachtwoord op te slaan (waarmee waarschijnlijk dus het salten en hashen niet zo relevant meer is).
Als je inlogt krijg je ook met het ingevoerde wachtwoord de uiteindelijke hash.. Dat kunnen ze dus ook bij het wijzigen van het wachtwoord gebruiken.
Met een hash heb je toch niet de letters in beeld? Dat zou betekenen dat er ergens een omzetting is die dus de hash omzet naar tekst en ook dan controleert of het nieuwe wachtwoord aan de eis voldoet.
Bij het wijzigen van een wachtwoord dient men ook het huidige wachtwoord op te geven.
Dat moet haast wel dan. Misschien niet in plain text, maar wel in plain text te converteren met behulp van een wachtwoord die alleen de Belastingdienst heeft.

Ik weet dat sommige sites dit wel bijhouden, wat erg irritant is, omdat ze soms wel tot 5 wachtwoorden herinneren, en je dus elke keer verplicht weer iets anders moet bedenken.

[Reactie gewijzigd door Rex op 5 maart 2018 16:56]

Echter kom je er bij sommige instanties alsnog niet mee weg vanwege in mijn ogen gestoorde wachtwoordeisen.
Password expiration...nog zo'n domme techniek die al verschillende IT-leveranciers het bedrijfje waarbij ik werk wilden opdringen. Gewoon even googlen en je vindt tal van essays over de onzin van vervaldata op wachtwoorden.

Meteen ook de reden waarom ik geen al te hoge dunk heb van veel zogenoemde 'IT-specialisten': ze verdienen veel (te veel) geld maar nemen hun job blijkbaar niet altijd serieus genoeg om zich een beetje te verdiepen in dingen als veiligheid. Onlangs viel mijn mond nog open van verbazing toen zo'n IT'er het in Keulen hoorde donderen wanneer ik over OpenSSH begon |:( Blijkbaar ken ik er als iemand die noch actief is in de sector, noch een IT-diploma heeft, er soms meer van af.

Update: geen idee waarom men dit bericht -1 geeft. Password expiration is on topic met het bericht van @eddie010 en het nieuwsitem.

Net als @eddie010 probeer ik de vinger op de wonde te leggen: het is vaak de onwetendheid van mensen die zich IT-specialist noemen en die gebruikers bestoken met een ondoordacht password policy dat er mee voor zorgt dat er zoveel wachtwoorden worden hergebruikt.

Voor het geval de reden van de downmod is dat men overtuigd is dat password expiration wel degelijk zinvol is en dat men denkt dat ik onjuist informatie probeer te verspreiden, hierbij enkele links:

[Reactie gewijzigd door ejabberd op 6 maart 2018 16:24]

Want 50 unieke zinnen weet je over een jaar of twee nog wel op te lepelen? Ik ben de laatste die jouw geheugen zal onderschatten hoor, maar ik denk niet dat je heel representatief bent voor de gemiddelde Nederlander als je dat gegarandeerd foutloos kunt.
Inderdaad, laatst was voor wachtwoord herstel een verplichte vraag nodig zoals:
Favoriete serie...
Na een paar jaar bleek ik niet meer te weten welke serie (en welke spelling) ik daar had ingevoerd 8)7
Slechte vraag ook wel trouwens, grote kans dat je met Game of Thrones iemands account over kunt nemen :P.
Bij dat soort vragen vul ik dan juist het tegenovergestelde in, maar dat zorgt er ook voor dat ik niet meer weet wat het antwoord op de vraag is 8)7
Ik genereer gewoon wat random meuk en zet dat netjes in mijn keepass bestandje erbij.

Zulke vragen zijn (dankzij oa social engineering/media) juist een enorm veiligheidslek als je een enigszins realistisch antwoord invult.
Ik probeer het even te snappen. Ik ga ervan uit dat je die vragen alleen nodig hebt in een situatie waarin je niet via de normale weg (gebruikersnaam + wachtwoord) kan inloggen? Oftewel... als je geen toegang meer hebt tot Keepass... Dan heb je er toch weinig aan als je voor de alternatieve methode ook Keepass nodig hebt?
Of dat je de vraag krijgt maar in de eerste plaats nooit een antwoord op welke vraag dan ook gegeven hebt
Inderdaad, laatst was voor wachtwoord herstel een verplichte vraag nodig zoals:
Favoriete serie...
Na een paar jaar bleek ik niet meer te weten welke serie (en welke spelling) ik daar had ingevoerd 8)7
Laat ik een wilde gok doen dat dat om een Hotmail-account gaat.

Het leuke is ook dat wanneer je het e-mail adres waar je ooit dat account op gemaakt hebt niet meer weet, je nooit meer bij het account kan en je ook niet bij het beheer kan vragen om dat account te trashen zodat je een nieuwe kan maken.
Was inderdaad een Live account, maar ik kan me nog een omgeving herinneren waarin ze dat idiote constructies gebruiken.
Weet je ik ben een belg en heb al moeite bij dezelfde security questions omdat ik een wat troebel verleden heb en bijvoorbeeld:

Wat was vroeger op school je beste vriend(in) daar kan ik soms niet eenduidig op antwoorden waardoor die vraag mij soms voor de gek houd.

Ik herbruik veel wachtwoorden maar wel probeer ik er met 1 woord wat variatie in te stoppen(hoofdletter of speciale tekens) maar je hebt ook sites die geen speciale tekens aanvaarden en dan zit ik daar weer in de sh*it...

Ik denk vooral dat je je bankzaken moet afschermen en je E-mail aangezien deze potentieel het meest kwetsbaar zijn. Ik onthou niet veel en op papier schrijven is ook geen oplossing want ben niet ordelijk(qua papier dan toch)

[Reactie gewijzigd door boonpwnz op 5 maart 2018 11:33]

Precies. Zelf gebruik ik voor mijn email accounts unieke wachtwoorden. Voor WW als op tweakers, rtl, HWI oid gebruik ik allemaal een standaard wachtwoord. De accounts zijn gekoppeld aan mijn email (met ander ww), waardoor ik, als het goed is, het account altijd kan herstellen.

Accounts waar betaalinformatie aanhangt, hebben allemaal een uniek wachtwoord. Maar ik probeer mijn betaalinformatie beperkt te houden. Amazon weet deze niet, google niet, steam niet. Staat geen CC oid gekoppeld.
Ik doe hetzelfde. Voor sites als Tweakers en dergelijke maakt het mij nou niet echt uit of mensen daar toegang toe kunnen krijgen. Het is niet alsof ik hier gevoelige informatie heb staan. Als het gebeurt is het jammer, maar mijn leven verandert er niet door. Daardoor kan ik wel mooi al mijn wachtwoorden onthouden zonder zo'n manager te gebruiken (wat ik zelf nou ook niet bepaald veilig vind. Als iemand daar in kan komen heeft hij ook echt al je wachtwoorden gelijk, in plaats van maar op een plek...).
Komt het scenario bij dat als de password manager dienst / database niet langer bereikbaar is, je ook een leuke uitdaging hebt...of in ieder geval een flinke tijd onder de pannen bent met password resets.
Of je bewaart je belangrijkste wachtwoorden in een tekstbestand dat je met je publieke sleutel versleuteld en bewaard op een USB-stick als backup.
Ik heb ook een hekel aan de vragen, behalve dat ik soms geen antwoord er op heb zijn de juiste antwoorden weer door anderen eenvoudig te achterhalen. Wat ik dus vaak doe is gewoon onzin als antwoord invullen de de vragen en onzinantwoorden in mijn passwordmanager als secure note opslaan.
50+?

Ik administreer ze wel, uit arren moede. Ik ben zeeeeer terughoudend in accounts aanmaken, probeer dat te vermijden, en laat soms iets dan maar gaan, omdat ik geen account wil aanmaken of een e-mailadres achterlaten.

Desondanks zit ik over de 500 registraties. Ja, over de 500.

50+ accounts is al niet te onthouden, maar 500+ al helemaal niet meer (sic). Helaas, een noodzakelijk kwaad om dus administratie er van bij te houden.

PS: hier gaan natuurlijk opmerkingen over komen: ook het puur achterlaten van een e-mailadres registreer ik. Simpel omdat ik dmv een eigen domein daar ook variaties in aanbreng. En dus niet zomaar een nieuw wachtwoord aan kan vragen, omdat ik al die e-mailadressen niet kan onthouden ;-)
Ik schrijf die zinnen wel eens fout. Dan probeer ik opnieuw op een andere manier. Meestal klopt het dan. Indien niet: password recovery. Of ik sluit de account gewoon af. Als ik het zo weinig nodig heb dat ik zo'n zin vergeten ben, heb ik het account ook niet nodig.
Error: uw wachtwoord moet tussen de 8 en 16 karakters zijn met minimal 1 hoofdletter, 1 cijfer, 1 speciaal teken.
Hebben we op het werk ook en om de 30 dagen moet je een nieuwe wachtwoord instellen en mag je geen gebruikte wachtwoord gebruiken. En alleen op het werk is dat 16 wachtwoorden en hebben we geen wachtwoord beheerde zoals Dashlane. Thuis veel meer en wel Dashlane.
Om die reden is mijn werk wachtwoord simpel en verander ik alleen maandelijks het maandnumer aan het einde iets van hallo1 hallo 2 etc.

Gezien mijn baas mij verplicht om het maandelijks te wijzigen neem ik me niet de moeite meer om een sterk wachtwoord te gebruiken.
Heb ik ook veel gezien, en is op zich heel jammer maar wel begrijpelijk. Om het al *iets* veiliger te maken kan je een random getal pakken ipv maandnummer want dat is wel heel voorspelbaar.
Je kan natuurlijk ook een sterk wachtwoord in combinatie met een tellertje gebruiken. Dat is altijd nog een stuk beter dan een simpel wachtwoord met een maandnummer
Of gewoon elke keer opbellen naar IT "ben mn wachtwoord vergeten" --> wachtwoord gerest door IT --> ik kan weer het zelfde oude ww gebruiken :+
Ja, zoiets had ik bij een vorige werkgever ook. Daar gebruikte ik dus extreem simpele wachtwoorden met een volgnummer (maand van aanmaken), en heb ik dat gemeld bij de systeembeheerder. Ik had in eerste instantie een goed en complex wachtwoord, maar daar kan ik er niet elke maand een ander van onthouden... Het interesseerde ze geen bal.
Wij moeten ook overdreven vaak veranderen, maar bij ons doen ze veel simpeler; Hier zit op elk beeldscherm zo een gele post-it met het wachtwoord. :)
Lekker veilig. 8)7

Nou moet ik zeggen dat een beheerder bij ons ook een lekker idiote actie had uitgehaald. Hij had een lijst met alle (administrator) wachtwoorden op zijn bureau liggen. Toen we dit zagen hadden we het natuurlijk gelijk vernietigd en had hij een strenge preek gekregen, maar dat een beheerder zoiets een goed idee vind is toch wel absurd...
Helemaal mee eens dat post-its op je scherm of geprinte lijsten met wachtwoorden op je bureau geen goed idee zijn. Maar wel een kleine nuance: je beveiligingstechniek moet natuurlijk afgestemd zijn op het gevaar waar je jezelf tegen wilt beschermen. Als je bang bent voor een online hack (op afstand), kan het wat minder kwaad om een wachtwoord op je fysieke werkplek in een afgesloten kantoor te hebben.
je kan ze eens wijzen op de gewijzigde owasp voorschriften. 16 karakters is ook niet meer van deze tijd.
Ook super irritant, ook allemaal schijnveiligheid, behalve de lengte dan |:(
Niet eens schijnveiligheid, maar zulke vereisten maken het voor aanvallers alleen maar makkelijkers. Mooie instructie voor "welke aanvallen de hacker kan overslaan"
vorige week nog een site tegengekomen, uw wachtwoord moet tussen de 8 & 10 karakters lang zijn.
(in strikt Nederlands zou dat dus praktisch betekenen, dat enkel 9 karakters aanvaard worden 8)7 )
Moet een hoofdletter, kleine letter , leesteken & cijfer bevatten en niet beginnen met een cijfer noch leesteken.
Ja zo maak je de set ook aardig beperkt.
Wauw, echt? Dat is best wel idioot. Dan kan je nog beter geen restricties toepassen...
De enige fatsoenlijke restrictie die men zou moeten toepassen is dat je wachtwoord minimaal 8 karakters lang is. Eventueel een check op van die default shit zoals 12345678, qwerty, password etc. Die password strength warnings zijn eigenlijk ruim voldoende. De rest is echt dikke onzin. Plus het is super irritant voor mensen die wel weten hoe ze met hun wachtwoorden om moeten gaan. Wat maakt mij die random website uit, standaard wachtwoord, klaar. Alles wat me wel boeit, bankzaken, email, FB, telefoon, cloud drives en zelfs Tweakers krijgen gewoon hun eigen wachtwoorden of naja, bank + email is echt eigen ww's, de andere belangrijke meuk zijn ook vrij standaard WW's in andere uitvoeringen die gepurged worden zodra MS, FB of Google mij enge SMSjes beginnen te sturen, waardoor ik er eigenlijk maar 3-4 hoef te onthouden. En de rest is vrijwel allemaal hetzelfde wachtwoord hetzij in 1337 vorm oid dankzij idiote restricties (niemand kan toch nergens iets met die accounts wat mij meer hindert dan een password forget).

Door al die kansloze restricties is 1 van mijn huidige oplossingen steeds meer: "Random one time use kut wachtwoord om in te loggen en als ik over een jaar dit weer nodig heb > password forget".

Jeuj veiligheid, ze dwingen een single point of failure af. Of je email adres, of een password manager.


Maar hoe minder restricties, hoe beter, hoe meer verschillende wachtwoord aanvallen de aanvaller moet toepassen.
Helemaal mee eens. Er is niks irritanter dan een heel ingewikkeld wachtwoord moeten onthouden voor een site waar toch geen waardevolle informatie op staat....
Ook super irritant, ook allemaal schijnveiligheid, behalve de lengte dan |:(
Een wachtwoord van 16 karakters lang kun je maar amper 'veilig' noemen.
werkelijk? 16 tekens lang is niet meer voldoende? Heb je daar wat onderbouwing voor?
werkelijk? 16 tekens lang is niet meer voldoende? Heb je daar wat onderbouwing voor?
16 tekens is misschien 'voldoende', maar 17 tekens is altijd beter. En dan heb je zo'n idioot wachtwoordbeleid wat een maximumlengte van een password afdwingt.

Dan weet je dus dat er nooit veiliger passwords gaan circuleren dan die van 16 tekens.
16 tekens geeft je bijna 100 bits aan entropy. Dat is echt wel meer dan voldoende.
16 tekens geeft je bijna 100 bits aan entropy. Dat is echt wel voorlopig meer dan voldoende.
;)
erger nog, die een maximum lengte gebruikt, maar niet zegt.
en je ww afkapt na 8 char, en dan een fout geeft als jij je volledig password in typt om in te loggen :(
Het staat er een beetje knullig, maar ik bedoelde schijnveiligheid voor de karakters.
Een lengte beperking is gewoon hinderlijk en onnodig.
maar een jaar later stelt de vraag zicht was het bij die site nu Hands of Gert ?
Precies. En waren het twee of drie handtasjes? Of waren het schoudertasjes? En was het 2 of twee? Enz enz. Belabberde manier van wachtwoorden onthouden.
Plus ontzettend gevoelig voor dictionary attacks
Niet waar. Het is niet zo dat je gevoelig bent voor een dictionary attack als je woorden uit het woordenboek gebruikt. Hooguit als je alleen en zuiver n woord gebruikt als wachtwoord, maar hij gebruikt er 13 (waaronder namen) plus extra cijfers. Dat wachtwoord is echt niet gevoelig voor enige brute-force vermijdende optimalisatie.
Slim, maar dan nog niet te doen voor grote hoeveelheden websites.

(en ook niet heel veilig - bij een gerichte aanval hoef ik dus alleen maar te weten wat jij hebt gekocht. bij een webshop maakt dit niet uit, maar doe je dit ook bij Steam of bij je admin password voor je cloud backups?)

[Reactie gewijzigd door Gamebuster op 5 maart 2018 11:01]

Bij een gerichte aanval kan je dan beter bij mij thuis inbreken. Dat zal eenvoudiger zijn dan zo'n zin te raden.
.. en dan moet je ook nog weten dat slechts een deel in mijn passwordmanager staat en een deel in een boekje op de tweede plank van de meest linkse kast achter me.
:)
Zelfs dat is niet meer simpel te onthouden voor 50+ websites.
Dit doe ik al voor belangrijke dingen, maar dan heb je nog steeds 10 verschillende wachtwoorden. Komt erop neer dat ik bijna iedere keer dat ik ergens moet inloggen op 'restore password' druk.

We zouden eigenlijk gewoon van het hele wachtwoordsysteem af moeten stappen. Als je wilt inloggen krijg je een email met een link om te bevestigen. Dan hoef je alleen nog een wachtwoord (en 2FA) voor je email te hebben.

[Reactie gewijzigd door Wolfos op 5 maart 2018 11:15]

Alle tips zijn welkom, maar deze sla ik even over :+
Doe mij maar mooi een authenticator. Hoef je niet die onzin te onthouden. Je hebt OVERAL een account nodig tegenwoordig. Als elke anders moet zijn kun je dat nooit onthouden, laat staan 30 van die wachtwoorden die je dan ook om de zoveel tijd moet aanpassen.
Het is vaak erg irritant dat een website je dwingt om een ander wachtwoord te maken dan dat je normaal gesproken gebruikt.
Ik maak zelf de afweging voor welke site ik welk wachtwoordt gebruik. Bij webwinkels, online diensten, etc die ik niet vaak gebruik, en waarvan ik het minder erg vind als ze gehackt worden, gebruik ik het liefst dezelfde wachtwoorden.
Voor mijn prive mail, DigiD en andere gevoelige zaken gebruik ik andere (sterkere) wachtwoorden.

Mijn grootste frustratie is dat er site zijn (zoals hotmail) die het niet toestaan om een eerder gebruikt wachtwoord te hergebruiken. Op zich prima, maar mijn probleem is dat ik maar n keer per half jaar inlog en ik elke keer mijn wachtwoord ben vergeten omdat het niet in mijn systeem zit. En alleen maar omdat ik ooit n keer verplicht mijn wachtwoord moest veranderen. Ben zelf geen fan van een password manager.
Nog erger: websites die naast een eigen stramien ook nog eens afdwingen dat je om de haverklap je wachtwoord moet aanpassen (looking at you, HPE..) . Alsof dt helpt.
Ik heb duizenden wachtwoorden en ken er toch echt maar 3 uit het hoofd. Mijn computer login, mijn 1password master login en die van mijn icloud. En ook deze zijn uniek, lang, en sterk.
Niet iedereen heeft een dermate goed geheugen dat ie voor elk van de tegenwoordig 50+ verschillende sites/apps waar een gemiddeld persoon een account heeft, een uniek complex wachtwoord van 16 tekens kan onthouden.
Daar komt nog eens bij dat het best vaak voorkomt dat een dienst gehacked word en je een nieuw wachtwoord moet verzinnen. De eerste kostte al heel veel moeite en dan moet je daar wr een ander voor verzinnen... erg lastig allemaal, zeker omdat je voor werkelijk alles tegenwoordig zo ongeveer een account nodig hebt.

Ik heb ook een bloedhekel aan sites die restricties opleggen. Als ik een password wil wat 'aap' of 'boter' of weet ik veel is... dan moet ik dat toch zlf weten, of niet?
Mooi is dan ook nog (maar wel een uitzondering) dan leggen ze een complexiteit op van heb ik jou daar en dan mailen ze ww in plain text naar je toe... :O riiiight
Gewoon iets willekeurigs invoeren en de volgende keer "wachtwoord vergeten". Dat werkt voor mij prima. Ik snap ook niet waarom we tegenwoordig voor iedere site een wachtwoord moeten aanmaken. In de meeste gevallen kom je er pas over een jaar weer. Ik ben er zelf wel voorstander van om de gewoon af te schaffen en een eenmalige login code / link naar het emailadres te sturen.
Simpel: als je een wachtwoord op 40 websites hergebruikt en dit wachtwoord lekt uit, dan moet je zelf nog herinneren op welke websites je dit wachtwoord hebt gebruikt. Als je alles in een online wachtwoordbeheerder zet, en deze wordt gehackt, dan heb je een mooi overzicht van de 40 websites waar je langs moet gaan om je wachtwoord aan te passen.
Lastpass creert een uniek wachtwoord voor elke login/site. Hoezo alles nalopen?
Als je (...) wachtwoordbeheerder (...) wordt gehackt, dan heb (...) 40 websites waar je langs moet gaan om je wachtwoord aan te passen.
Lastpass creert een uniek wachtwoord voor elke login/site. Hoezo alles nalopen?
Omdat je je 40 unieke wachtwoorden in hetzelfde mandje hebt gestopt. Natuurlijk kunnen we er vanuit gaan dat Lastpass niet gehackt kan worden. Of we kunnen aannemen dat Lastpass zo weinig gebruikers heeft dat het niet echt interessant is om ze proberen te hacken. We kunnen ook hopen dat Lastpass goede intenties heeft en hun waardevolle database nooit zal verkopen. En erop rekenen dat de medewerkers van Lastpass geen toegang hebben tot jouw wachtwoorden. Dat zijn allemaal aannames die we kunnen doen, en de kans is groot dat de meeste aannames kloppen, misschien zelfs allemaal.
Welke database willen ze gaan verkopen? Je hoofdwachtwoord wat jij invult bij het inloggen word doormiddel van hash-encryptie versleuteld en naar LastPass verstuurd. Om het even simpel uit te leggen:
Met de Hashcode die Lastpass binnenkrijgt van jou valt het originele wachtwoord niet te achterhalen. Hoe verifiren ze dan dat jij dit bent? Simpel, de Hashcode heeft een bepaalde uitkomst, als die voldoet aan de uitkomst van jouw eerder opgegeven wachtwoord krijg je groen licht en sturen zij je database naar jouw systeem toe. Deze database is versleuteld aan de hand van een 256 Bit AES versleuteling. Om deze versleuteling te brute forcen moet je 2^254,3 handelingen uitvoeren. Daar ben je dus een paar duizend jaar mee bezig. Deze AES versleuteling van je wachtwoordenkluis bestaat onder andere uit je hoofdwachtwoord. Aangezien Lastpass enkel de hashcode van jouw wachtwoord kent en niet het orginele wachtwoord, kunnen zij dus bijna onmogelijk bij jouw wachtwoorden. Oh ja sommige Hashcodes zijn trouwens wel te achterhalen als je van een paar andere hashcodes de bijbehorende wachtwoorden weet. Daarom gebruikt Lastpass een Salt Hash. Dit houdt in dat ze je gebruikersnaam en andere zaken ook mee versleutelen waardoor iedereen een op maat gemaakte Hash code heeft. Nog moeilijker te kraken!

Om een lang verhaal aardig in te korten: Lastpass kan niet zomaar bij jouw wachtwoorden.
Maar hoe kan het dan dat je delen van je kluis kunt delen met andere personen?
Lastpass zelf heeft niet geen ingave in de wachtwoorden die wij in de kluis zetten. Onze kluis wordt lokaal versleuteld en de secret key blijft op ons apparaat. De versleutelde kluis wordt opgeslagen op hun servers.
Lange tijd heeft Dropbox ook beweert dat medewerkers niet bij jouw bestanden kunnen omdat alles versleuteld opslaan, totdat ze aangaven aan data de-duplicatie te doen, toen werd die bewering subtiel veranderd in: onze medewerkers mogen niet bij uw bestanden.
De bottom line voor mij is: Als je al je wachtwoorden bij LastPass opslaat dan is LastPass duidelijk de zwakste schakel. Als je hetzelfde wachtwoord (met dezelfde inlognaam) gebruikt op 40 websites, dan is de zwakste van die 40 de zwakste schakel. Ik heb van een of andere webshop wel eens mijn wachtwoord als plain-text terug ontvangen in een aanmeldbevestiging, dat voelt niet zo fijn.
Als je hetzelfde wachtwoord (met dezelfde inlognaam) gebruikt op 40 websites, dan is de zwakste van die 40 de zwakste schakel.
Nee, dan heb je 40 mogelijke lek punten. Bij LastPass maar 1. Ja, als die lekt dan ben je het haasje, maar die kans acht ik veel kleiner dan dat 1 van die 40+ websites lekt. LastPass heeft beveiliging (hun core business) veel hoger in het vaandel staan dan zo maar een of andere webshop die je wachtwoord als plain-text terug stuurt.
In heel veel gevallen zal de eindgebruiker een zwakkere schakel zijn dan lastpass.
Gebruik liever een lokaal werkende password-manager.
Ik gebruik zelf Password Save. Die versleutelt het bestand gegarandeerd lokaal. Als je een kopie daarvan in de cloud zet kan je er ook bij als je computer het heeft begeven.
Ik verzin ook nooit meer zelf een wachtwoord, maar laat dat aan Password Safe over. 24 random tekens is voor mij niet te onthouden, maar voor een passwordmanager maakt dat geen verschil

Als algemeen wachtwoord gebruik ik een latijnse beesten naam, wat een paar keer per jaar veranderd wordt.
Ik ben het met je eens dat LastPass de zwakste schakel is. Echter, het is hun corebusiness om de wachtwoorden te beschermen. Mocht bekend raken, dat de wachtwoorden niet veilig zijn bij hen, hebben ze geen bestaansrecht in mijn ogen.

LastPass is, denk ik, een relatief sterke zwakste schakel. :)
Natuurlijk kunnen we er vanuit gaan dat Lastpass niet gehackt kan worden.
En dat is wat veel mensen met een pasword manager doen.,,ontzettend dom natuurlijk.
Om maar even quote van John Chambers (CEO Cisco) aan te halen "There are two types of companies: those that have been hacked, and those who don't know they have been hacked."

Daarbij moet ik wel een kanttekening plaatsen. Het is wellicht beter om een password manager te gebruiken dan zelf op alle websites hetzelfde wachtwoord. Immers is de exposure van een willekeurge hack bij een van de websites/services die je gebruikt er niet, behalve bij de manager zelf.
En daarbij verwacht ik ook dat de wachtwoord managers de nodige aanvullende procedures gebruiken om e.e.a veilig(er) te houden. (wat niets zegt over het al dan niet inlossen van die verwachting!).

Persoonlijk vind ik een mix van een standaard wachtwoord gemixt met een paar variabele tekens en unieke logins (lees emailadressen) nog altijd de meest veilige werkbare oplossing.
LastPass is al meerdere keren gehackt. Maar zonder de private key die elke gebruiker aanmaakt kunnen ze er helemaal niets mee. Er zijn dus ook geen wachtwoorden gejat.

De enige manier van hacken van lastpass is elke kluis gaan kraken. Dus het is vooral interessant dat wanneer er een hack is, om een specifieke gebruiker te targetten.
Er zijn dus ook geen wachtwoorden gejat.
Er zijn mogelijk weldegelijk wachtwoorden buitgemaakt maar dan in gecodeerde vorm en het is wachten tot de encryptie wordt gekraakt of een backdoor wordt gevonden. Dat kan nog jaren duren of is al gebeurd maar niet gepubliceerd, want meldingen komen doorgaans pas laat na de gebeurtenis. Dat is de keerzijde van responsible disclosure waarbij de publicatie weken of zelfs maanden moet wachten tot na een fix is doorgevoerd.

Alle informatie over je wachtwoord en de plek waar het staat is gevoelige data. Zodra je weet of denkt dat er iets is gelekt dan moet je gelijk het wachtwoord, encryption key en alle verwijzingen vernieuwen. Wellicht zelfs overstappen op een andere opslagmethode. Wat leaks betreft vind ik het niet verstandig om te vertrouwen op de gerustellende woorden van een ander/vendor.
LastPass helpt je zelfs daar bij: je kan bij een behoorlijk aantal diensten automatisch een nieuw wachtwoord laten genereren en instellen.
Ik heb ook accounts waar ik zo even bij wil op een random pc/laptop. Dan wil ik niet eerst daarop inloggen op mijn wachtwoordbeheerder, die wil ik gewoon uit het hoofd weten.
Niemand houdt je tegen om alsnog een paar wachtwoorden uit je hoofd te kennen?

Voor een aantal belangerijke dingen, zoals mijn email en online bankieren heb ik een wachtwoord gegeneerd en deze gewoon simpelweg uit je hoofd leren. (net zoals dat je nog steeds je wachtwoord van je password manager moet onthouden)
Daarnaast staan deze gewoon in mijn wachtwoordmanager en mocht ik het ooit toch onverhoopt vergeten dan kan ik hem daar uit halen.
Een fatsoenlijk gegenereerd wachtwoord onthouden? knap persoon ben je dan.. En wat doe je dan als je om 1 of andere reden het wachtwoord van je wachtwoordmanager vergeten bent?
tot aan 25 tekens is het voor die 2 wel te onthouden. Kwestie van vaak genoeg even herhalen om het niet te vergeten.

"En wat doe je dan als je om 1 of andere reden het wachtwoord van je wachtwoordmanager vergeten bent? "

Een goeie vriend van mij heeft het wachtwoord thuis op een papiertje staan. Dus als ik een klap van de molen heb gekregen kan ik daar naar terug vallen.
Sorry hoor maar een willekeur aan characters van 25 tekens kan ik echt niet onthouden, zelfs nog niet 1.
Dat jou het niet lukt wil niet zeggen dat andere mensen het niet kunnen.
Er zijn maar weinig HEEL WEINIG mensen die een random reeks van 25 tekens, en dan zeker meerdere, kunnen onthouden. Meeste mensen hebben al moeite genoeg om pincode/telefoonnummer en meerdere andere nummers te onthouden.
Een fatsoenlijk gegenereerd wachtwoord onthouden? knap persoon ben je dan.
Ik moet hier gewoon antwoorden met de verplichte xkcd cartoon over dat onderwerp.
Ja, prachtig. Alleen moet ik wel 100+ verschillende combinaties daarvan onthouden. Dat blijft een probleem.
.. En wat doe je dan als je om 1 of andere reden het wachtwoord van je wachtwoordmanager vergeten bent?
Verzin een list en maak het zo makkelijk of moeilijk als je zelf wilt. Zet het wachtwoord in een andere database en het wachtwoord daarvan op een papiertje in een klein zwart boekje.
Verzin een logica die je alleen zelf kent. Het kan dusdanig omslachtig dat je er zelf ook nooit meer bij kan.
De rescue key sla je op op een USB stick en/of print je uit en leg je daarna in je safe.
De rescue key sla je op ...
Uiteraard. Maar kennelijk behoren wij niet tot die 40%.
Ja uiteraard maar Lastpass is een wachtwoordbeheerder en daar snapt Iblies de Hype niet van.
Daar is de reactie van 84hannes op gebaseerd.
Daarom moet je daarop ook een zeer sterk wachtwoord hebben, daarnaast biedt in ieder geval LastPass de optie voor 2fa, waarmee de kans op een inbraak in je wachtwoordkluis kleiner wordt
Maar daarvoor moet je wel LastPass vertrouwen. Dat doe ik niet, simpelweg omdat zij (geautomatiseerd) wachtwoordherstel uit kunnen voeren voor het hoofdwachtwoord.
Geautomatiseerd wachtwoord herstel uit kunnen voeren betekend vervolgens dus dat een beheerder (van een server) zichzelf toegang kan verschaffen tot alle wachtwoorden.
Weet je dit zeker? (en heb je een bron?)
Lastpass zelf zegt:
due to our encryption technology, LastPass does not know your Master Password, so we cannot look it up, send it to you, or reset it for you.
Recovery gaat via een one-time-password die in de browser-extentie is opgeslagen, en niet bij hen bekend is.

[Reactie gewijzigd door svane op 5 maart 2018 14:16]

Dan zal ik het niet goed hebben, ik gebruikte het voor wachtwoorden die ik niet belangrijk vond en kon mijn wachtwoord herstellen zonder moeite of moeilijke vragen.
Ahh, dat kan.
Ik schrok even (en zocht het daarom op). Zou inderdaad kwalijk zijn als zij 't master-wachtwoord zelf zouden hebben. Gelukkig lijkt dit inderdaad niet 't geval
:)
tja, maar juist LastPass is 1 van die providers die in het verleden dus een breach had. Geeft wel weer aan dat je ook daar heel voorzichtig mee moet zijn.
Ja een breach, alleen kun je niks met de password files aangezien die clientside encrypted zijn.
Begrijpelijke vraag, als je genteresseerd bent in online beveiliging en bijv password managers lees: https://laatjeniethackmaken.nl/: een handleiding om je te beschermen tegen hackers.
(of specifiek het deel daarover: https://laatjeniethackmaken.nl/#password-managers)

[Reactie gewijzigd door RickSanchez op 5 maart 2018 11:06]

Sowieso erg leuke site, ik adviseer deze site ook altijd aan particulieren omdat alles begrijpelijk is uitgelegd (met een komische noot).
zeer goede website, zou verplichte lectuur moeten zijn voor iedere webgebruiker
+3. Een zeer goede aanvulling op dit topic
Bedankt! Dit is een mooie om door te sturen en om zelf door te nemen.
Ik snap de hype niet van wachtwoordbeheer.

Heb je wachtwoorden bij elkaar.
Omdat de mens niet echt geschikt is om 100'en verschillende wachtwoorden te onthouden, en al helemaal niet als overal een nt iets andere 'standaard' gevraagd wordt.
Dan is een wachtwoordbeheerder een uitkomst, persoonlijk heb ik Keepass op mijn telefoon en desktops in sync met een online opslag.
Maar er zijn ook andere aps die het voor anderen weer perfect doen.

Dan heb je alles op een overzichtelijke plek, en hoef je in principe maar n (veilig) wachtwoord / biometrie te geven.

Nu ook mijn werkgever het 'licht' gezien heeft, moeten we elke 3 maanden wijzigen, en het mag niet hetzelfde zijn als de voorgaande 6x :|
Zo creatief ben ik niet, en zeker niet omdat we al met 3 accounts moeten inloggen vr ik iets kan doen, lopen die ook nog eens niet gelijk met elkaar, dus ik ben ondertussen om de 14 / 21 dagen wachtwoorden aan het wijzigen.
( deels met opzet, om het tijdsverlies aan te tonen, en daarbij de onzin )

Met keepass maak ik een nieuw wachtwoord aan, en sla dat direct in mijn persoonlijke keyfile op.
Hiermee kan ik (gelukkig) online inloggen om de andere te wijzigen, maar ik heb collega's rondlopen die nog steeds het oude bekende post-it blaadje in hun agenda 'moeten' bijwerken / vervangen.
Mag jij van je werkgever je wachtwoord delen met derde partijen? Of wordt die keyfile lokaal opgeslagen zodat je nooit meer vanaf een andere computer kan inloggen? Dat zijn namelijk de twee belangrijkste overwegingen die mij nog altijd van een wachtwoordbeheerder afhouden.
Mag jij van je werkgever je wachtwoord delen met derde partijen? Of wordt die keyfile lokaal opgeslagen zodat je nooit meer vanaf een andere computer kan inloggen? Dat zijn namelijk de twee belangrijkste overwegingen die mij nog altijd van een wachtwoordbeheerder afhouden.
Het is een catch22 natuurlijk
Wachtwoorden mag je niet delen, dus de persoonlijke staan apart opgeslagen.
Wel hebben wij momenteel een 'collega' database, omdat we ook met externe applicaties werken, waar 25 accounts overdreven zouden zijn.
Achter onze lokale login krijg ik toegang tot de 'collega' database, omdat die op een toegankelijke locatie staat.
Maar het wachtwoord daarvan staat ( ook lokaal, eigen profile ) in mijn eigen personal ( zakelijke ) database.
Ik hou mijn prive en zakelijke database gescheiden, om duidelijke redenen, maar in mijn privDB staan dus wel weer de inlog van de zakelijke DB's.

De inlog van de zakelijke kan ik dus "vergeten" maar die van mijzelf is een probleem ;)
Keepass slaat de wachtwoorden in een encrypted file op die je kan open met een "master password" (of misschien tegenwoordig ook wel met een certificaat?). Deze file ben je dus zelf eigenaar van. Veel mensen die ik ken die gebruik maken van Keepass zetten deze file vervolgens in Google Drive of Dropbox zodat ze er overal bij kunnen. Er is dus geen sprake van een derde partij.

Op mijn werk is LastPass de standaard en vertrouwen we dus blijkbaar deze derde partij.
Mag jij van je werkgever je wachtwoord delen met derde partijen
Mijn werkgever heeft vrij weinig te eisen met een regel dat ik om de 3 maanden mijn wachtwoord wijzig. Dan zijn er 3 opties:
• Een WW manager
• Een serie-wachtwoord (geheim1, geheim2, geheim3, etc)
• Een post-it op mijn bureau.

Het lijkt me vrij evident dat de eerste optie veiliger is dan de andere twee.

Overigens heb ik een eigen ww manager, dus ik deel sowieso niets met derden, behalve een random seed in een database bij mijn hoster
Exact,
maar van wie heb je die garantie?

Die heb je dus niet. Je weet niet of die manager goed is en 100% veilig zal het nooit zijn.

Ondertussen heb je er wel -tig passwords op staan.


Klinkt misschien vreemd voor sommigen,
maar voor sommige is een ouderwets notitieboek/papiertje wellicht net zo veilig en makkelijk. Digid gebruik vb 2 of 3x pj, de kans dat dat op een onrechtmatige wijze wordt gebruikt vanuit mijn huis acht ik klein.
Heb je het artikel gelezen? Want daar staat een redelijk niet te missen voorbeeld van een papieren wachtwoordenlogboekje en een keurige uitleg waarom dat beter is dan het niet hebben van iets.
Heel simpel, password manager maakt voor mij de wachtwoord, 20 random karakters en geeft elke 90 dagen de melding dat het tijd word voor een nieuwe.
Password manager heeft 2factor authenticatie dus alles staat veilig opgeslagen.

Niets met hype te maken, het is gewoon handig
Ik ben sinds kort over.
Of het echt nodig is, dat is nog maar de vraag. Mijn concept voorheen was vrij simpel:
- Hetzelfde (simpel) wachtwoord voor webshops waar ik met ideal betaal. Wat gaan ze doen met die "hack"? M'n bestelhistories zien? Met mijn bank betalingen doen lukt ze toch niet. En dat zijn 90+% van de WW's van een normale gebruiker.
- Idem voor onbelangrijke nieuws sites e.d.
- Verschillende email adressen per doel, dus stores@, software@, social@ etc ...
- Een complex uniek wachtwoord verzinnen voor shops/accounts met paypal / CC betaalgegevens volgens een eigen algoritme. Dat zijn er maar een paar.
- Een aantal sites/accounts die meer privacy gevoelig zijn of belang hebben m.b.t. recovery van accounts/ww of anderszins belangrijk zijn (Apple ID e.d.), had ik ook een uniek extra sterk ww voor.

Ik kon dat nog best goed vol houden, want al met al zijn er maar max 10 echt belangrijk, maar ik begon me naarmate m'n WW steeds complexer (en langer) werden, wel te irriteren aan dat getik (zeker op mobiele devices).
Dat lost een PW manager nog niet helemaal op, denk aan mobiele apps waarvoor ik dan nog even m'n ww moet kopiren uit m'n PW manager (beter dan zelf tikken), maar verder hoef ik nu niet eens meer op een login button te klikken als ik op een site kom, ik wordt automatisch ingelogd met m'n unieke mega password.

Maar nog wel wat dingen:

- Alerts als bekend is dat een bepaalde website / bedrijf gehacked is en of dat consequenties voor jou heeft, en welke.
- Security alerts als je lang je ww niet geupdate heeft, of andere security risico's.
- Onafhankelijk van welke browser / client altijd je ww's bij de hand.
- De mogelijkheid om alles netjes te kunnen organiseren en ook andere info die nu vaak in browsers zat op 1, ongeacht welke client, bij elkaar te hebben en veel auto-filled.

Het nadeel is dat je vertrouwen moet hebben in het bedrijf die de dienst aanbiedt (heb ik nog wel wat moeite mee). Zo niet, dan vind ik de open source en meer privacy gerichte opties te spartaans om lekker te kunnen gebruiken.

Een ander nadeel is als ik even moet inloggen bij een collega of klant om wat voor reden dan ook, welke die pw manager natuurlijk niet heeft. Maar dat gebeurt bij mij zelden/nooit.

Maar verder, als je eenmaal over bent en de boel goed hebt ingericht is het eigenlijk behoorlijk ideaal. En qua ww alweer een heel stuk veiliger dan ervoor. De enige vraag is dan nog: hoe veilig zijn m'n gegevens bij dat bedrijf?

[Reactie gewijzigd door xs4me op 5 maart 2018 18:07]

Helemaal niet schrikbarend. Een hergebruikt wachtwoord kan vele male veiliger dan verschillende wachtwoorden.

Beter 1 goed veilig wachtwoord dan allerlei kleine wachtwoorden die je niet weet.

Zonder deze informatie kan je er zo weinig over zeggen dat zo'n onderzoek vooral werkverzetting is zonder nuttige data.

Daarnaast is 1Willekeurigwoord en 2Willekeurigwoord een ander wachtwoord of hetzelfde?
Nee, n wachtwoord voor verschillende sites is gewoon onveilig, hoe complex het wachtwoord ook is. Jij weet namelijk niet van al die sites hoe ze hun beveiliging op orde hebben. Er hoeft er maar n bij te zijn die het in plain text opgeslagen heeft en gehackt wordt, en jouw supercomplexe 'veilige' wachtwoord ligt op straat. Daarom dus voor elke site een uniek wachtwoord gebruiken.
zeg eens eerlijk, wat maakt het uit dat je credentials op tweakers en andere nieuws sites gehacked worden ? (tenzij je een abonnement hebt want dan is er persoonlijke data te halen)
buiten een gerichte actie om jou/mij in het kwaad daglicht te stellen op die sites. Daarom gebruik je nicknames en geen echte gegevens naar buiten toe.
voor al die sites kan je imvho best een shared paswoord gebruiken. of gebruik je de browsers login manager.
Hoe meer persoonlijke gegevens op een dienst staan en hoe groter de financile impact de site kan hebben, dan verhoog je de login veiligheid.
Dat maakt uit als je diezelfde credentials elders gebruikt. Site X slaat jouw gegevens onveilig op, wordt gehackt, en alles ligt op straat. Iemand probeert jouw credentials op Netflix, Steam, of iets anders waar je voor betaalt, en neemt de boel over. Dan ben je gewoon de sjaak, je bent gewoon geld kwijt. Snap niet waarom je vraagt of ik daar eerlijk over wil praten.

[Reactie gewijzigd door Bart op 5 maart 2018 11:35]

Wat hij bedoelt is: Je moet vaak al een account aanmaken als je een scheermesje wil bestellen, of een berichtje wil posten op Tweakers. Maar hoe erg is het als een hacker er achter komt dat hij met jan@jansen.nl / welkom123 kan inloggen op 10 sites a la drogisterij.net en tweakers?

Op tweakers kun je ook zonder wachtwoord van alles zien over wie / wat iemand gepost heeft en lekker interessant dat ik scheermesjes gebruik. Zolang betalingen goed dichtgetimmerd blijven zijn de 'meuk' accounts niet heel boeiend. Ik vind het wel een groot verschil, wachtwoorden van meuk versus online bank, Facebook, iCloud etc.
ik zeg toch ook dat je voor steam en dergelijke je meer secure cerdentials moet gebruiken.
Hoe meer je de sjaak kan zijn , hoe zwaarder je je moet beveiligen, maar voor fora en dergelijk zal het mij redelijk worst wezen dat ze die credentials te pakken krijgen.
Tweakers heeft bijvoorbeeld ook een Vraag&Aanbod gedeelte.

Als ik een mooie scam uitvoer onder jouw account is die veel succesvoller dan eentje met een account die ik gisteren heb aangemaakt. Dus misschien valt jouw schade uiteindelijk wel mee, maar dat betekent niet dat er geen schade is voor anderen.
Tja, no offense, maar ik gebruik een sterk wachtwoord om mijn gegevens te beschermen, niet om anderen te beschermen tegen diefstal van mijn identiteit. Als ik een onveilig wachtwoord wens te gebruiken is dat mijn goed recht.

[Reactie gewijzigd door .oisyn op 5 maart 2018 14:38]

Dat is (nog) je goed recht, maar dat betekent niet dat er geen schade is. Er werd gesuggereerd dat er niks aan de hand was.

Maar het is hetzelfde als een koeienvanger voor op je auto monteren. Er rijden/reden genoeg mensen rond die liever de ander 'kapot reden'. De wetgever was hier niet erg van gecharmeerd en heeft de regels aangepast zodat het niet meer 'je goed recht was' om zomaar wat buizen aan de voorkant van je auto te schroeven.

Als je bewust een zwak wachtwoord gebruikt of zelfs weet dat het is uitgelekt, dan kom je langzaam wel in het gebied waarbij je toch wel enige aansprakelijkheid kunt gaan krijgen/hebt.
Ben ik niet met je eens; als een forum oid met verouderde software gehackt wordt en daar komt je inlognaam / email met wachtwoord uit, is het gemakkelijk daarmee in te loggen op een lijst van andere websites of diensten.
En dan hopen dat de website/aanbieder ook daadwerkelijk een veilige hash gebruikt met goede salt. Hoeveel websites slaan je wachtwoord nog plain-text op?

Het hoort hiet meer, maar je weet het niet zeker. Je vertrouwt een bedrijf je wachtwoord toe, daar kunnen ze alles mee doen.
Probeer de laatste en dan de 1e letter van de site in je wachtwoord te verwerken en je hebt een uniek wachtwoord voor elke site die je onthoud. Tweakers gebruik je de T en s. Kpn: K n.
Als je dan voor je banken een iets ander wachtwoord gebruikt zit je goed.Bijvoorbeeld begin met a en daarna bovenstaande regel.
dat zijn andere wachtwoorden :)
Logica dicteert dat meerdere wachtwoorden beter zijn dan n wachtwoord. De zwakste schakel bepaalt de kracht van de keten. Qua goed/klein, ik ken mijn wachtwoorden niet eens, het zijn allemaal willekeurige strings van 16 karakters of meer. In het geval van nood kan er altijd een wachtwoordreset uitgevoerd worden via e-mail.

OT: Ik snap wel dat de meeste mensen hun wachtwoorden recyclen, tegenwoordig moet je tientallen pincodes en wachtwoorden onthouden. Redelijk irritant allemaal en een wachtwoordmanager is ook weer een extra handeling in gebruik.

[Reactie gewijzigd door oef! op 5 maart 2018 11:06]

Ik vind het een non-onderzoek. Elk jaar komt het langs, elk jaar hetzelfde resultaat. En elk jaar zijn de vragen totaal zinloos.

Wachtwoorden hergebruiken is niks mis mee! Als je maar bewust bent van de risico's. Dus voor webwinkels en dergelijke hergebruik ik gewoon hetzelfde wachtwoord. Lekker belangrijk als iemand dat wachtwoord mocht achterhalen en dan goed gokken welke winkels ik nog meer een account heb. Met die info kan diegene vervolgens helemaal niks! Ja, een bestelling plaatsen. Die ik dan weer annuleer... Indien het gaat om winkels waar mijn creditcard gegevens opgeslagen staan (en dat zijn er hl weinig!) dan heb ik wl een ander wachtwoord. Kritische systemen op het werk hebben uiteraard ook goede wachtwoorden die niet gelijk zijn aan mijn standaard rijtje....

En openbaar WiFi? Helemaal niks mis mee... als je het vervolgens maar niet gebruikt om bijvoorbeeld te gaan internetbankieren oid...(en dan nog - dergelijke data is uitermate goed versleuteld - dus zelfs via een openbaar en frauduleus WiFi kan men er bar weinig mee!).

Dus volgens dit onderzoek ben ik super onveilig bezig (want ik hergebruik wachtwoorden n ik zit soms ook nog eens op een openbaar WiFi). In de praktijk heb ik het qua veiligheid van mijn data best prima voor mekaar.

[Reactie gewijzigd door kazz1980 op 5 maart 2018 10:53]

Gebruik van openbaar wifi is erg riskant hoe dan ook. Alleen als je via VPN surft is het ok, en als je het wifi netwerk meteen weer verwijdert na gebruik. Anders...brrrr...

https://decorrespondent.n...netwerk/25988820-b2a600e1
Tja. het is maar waar je je druk om maakt...
Er is een kleine kans dat iemand daadwerkelijk je connectie onderschept en zo je device kan benaderen... En dan wat? Ik zal nooit via een openbaar Wifi ergens inloggen. Dus ze kunnen hooguit wat gegevens stelen. Vervelend? uiteraard! Maar gevaarlijk? Mwah, niet echt!

Ik gebruik ook niet veel openbare Wifi (waarom zou ik?? Heb iedere maand data over binnen m'n abo :P) enkel waar het cht nodig is. En inderdaad bewaar ik de netwerken niet om later automatisch in te loggen (muv de Albert Heijn... die gebruik ik vaak en is benodigd voor het zelfscannen ;)).

[Reactie gewijzigd door kazz1980 op 5 maart 2018 13:11]

Klein beetje paniekzaaierig dit artikel. Zo lang je sites met https bezoekt kunnen aanvallers enkel de hostname zien, rest van de data (wachtwoorden etc.) is niet te achterhalen. Als dat wel zo was, zou dit betekenen dat heel https gebroken is (iets wat veel groter nieuws zou zijn)

Ik zou bijna juist zeggen dat internetbankieren n van de meer veilige dingen is om op een publiek netwerk te doen (dat ik naar ing.nl ga is minder belastend dan als ze mij op secondlove.nl betrappen).

Tegenwoordig is 't dankzij HSTS voor de meeste browsers niet eens meer mogelijk om naar de http versie van je bank te gaan, al zou je willen.
Met "70 euro, een gemiddeld IQ en een beetje geduld" kom je zo echt niet aan iemands ING inloggegevens.
Je kunt je ook afvragen of je voor elke webshop of forum een (sterk) wachtwoord nodig moet hebben of uberhaupt een account ervoor aan moet maken.

Zolang het niet met automatische incasso e.d. gaat en het adres van mijn postkantoor kan gebruiken, zal het me een reet roesten.

En een wachtwoordbeheerder is ook geen heilige graal. Ik vind het eerder alsof je een kluis in je huiskamer hebt staan die iedere inbreker kan kopiren en in zijn zak kan stoppen.. En dan is het letterlijk een kwestie van tijd voor dat de kluis gekraakt kan worden. Want iedere encryptie kan vroeg of laat gekraakt worden.
Dat is natuurlijk niet zo, er zijn password managers die niet alleen maar met een masterkey beveiligd zijn maar daarnaast nog een andere secret key. Zie bijv 1Password.
Het niet gebruiken van een sterk WW voor een forum of webshop is de eerste stap naar de valkuil dat men te snel te makkelijk over beveiliging gaat denken. Gewoon. Een sterk WW waar dan ook.

Een wachtwoord beheerder is nog altijd een beter alternatief dan welk menselijk geheugen dan ook.
Is alles te kraken, tuurlijk. Maar dan moeten ze er eerst heel veel moeite voor doen.
Stel ze stelen je laptop... ik zou dan als eerste een maatregel nemen om de password manager en of wachtwoorden ondbruikbaar te maken.
Je kunt je ook afvragen of je voor elke webshop of forum een (sterk) wachtwoord nodig moet hebben of uberhaupt een account ervoor aan moet maken.
Dat is het hem dus: Veel blogs en websites hebben alleen maar een registratie zodat ze kunnen data-minen of je dood kunnen gooien met 'nieuwsbrieven'.

"Log in of registreer nu om dit artikel te lezen" moet gewoon dood.
Pure laks/luiheid bij mij. Ik bestel zo vaak bij verschillende webshops dat ik misschien wel op 100 sites hetzelfde wachtwoord heb. Soms met kleine wijzigingen en op belangrijke sites wijk ik af van de standaard maar toch.

Het zal wel een keer fout moeten gaan eer ik alles omzet. Ben me namelijk heel erg bewust van het risico en denk er elke keer aan als ik weer een account aan maak of inlog, maar op dat moment kies ik toch weer voor gemak.
Persoonlijk gebruik ik dan ook voor accounts met toegang tot gevoelige data wel altijd specifieke wachtwoorden. voor accounts zoals van games, sites die ik een paar keer gebruik of social media(staat in mijn geval niets bijzonder gevoeligs op) gebruik ik een standaard wachtwoord of een variatie er op.
Heb veel kennissen die vinden wachtwoorden een hinderlijk obstakel en als het dan moet, dan zo simpel mogelijk en voor elke pagina of app hetzelfde. Tegen deze mensen kun je praten als Brugman over de risico's, maar ze verklaren je gewoon voor gek. Dat zijn overigens ook de mensen die geen virussoftware installeren... want dat kost geld en geeft hinderlijke pop-ups.

Overigens... als ze problemen krijgen, dankzij virussen, kan ik wel weer komen opdraven om het op te lossen.

[Reactie gewijzigd door sellh48 op 5 maart 2018 13:26]

Losse virussoftware is tegenwoordig met Microsoft Security Essentials toch niet heel erg meer nodig? Voor veel van de gebruikers zal dit voldoende kwaadaardige zaken buiten houden. Of heb ik het helemaal mis?
Elke virusscanner is te laat. Iets is beter als niets. Ja dus. security essentials os goed genoeg. Je kan beter investeren in voorlichting als licentiekosten.
Volgens de Consumentenbond (test van deze maand) valt er nog wel wat te winnen op dat vlak en scoort Security Essentials best wel beroerd, zelfs onder het gratis aanbod.
Gewoon weigeren te helpen. Geen advies willen aannemen maar wel je langs laten komen voor het vieze werk. Het heeft een reden er overal geroepen wordt doe het niet kies andere wachtwoorden etc....

Ik ben ook van mening als je bewust een zo'n makkelijk mogelijk wachtwoord gebruikt en je wordt gehackt er nul vergoeding vanuit de bank moet zijn.
Overigens... als ze problemen krijgen, dankzij virussen, kan ik wel weer komen opdraven om het op te lossen.
Ach, toch weer een paar tientjes verdienen aan de eigenwijsheid van een ander. Mooi toch.
Gratis.? Nooit. Bel maar een ander.
Ik heb vriendelijk 'nee' leren zeggen. Ik ben al blij als thuis de boel draait en ik ga niet meer bij mensen thuis de boel fixen als ze zelf weer klakkeloos bestandjes van internet hebben lopen downloaden en klikken.

De meesten begrijpen het prima.

Ik heb voldoende aan Security Essentials, maar dat komt ook omdat mijn PC fatsoenlijk ingericht is en er geen mensen aankomen die maar wat doen.
Ik vind je werkwijze als ondernemer wel discutabel want als je echt begaan bent met deze mensen die geen virussoftware willen installeren, dan is linux toch echt the way to go denk ik dan. Linuxmint/chromeos is voor huistuinkeuken prima om te doen als je vanaf windows komt, ze installeren immers toch geen programma's.
Heb veel kennissen die vinden wachtwoorden een hinderlijk obstakel en als het dan moet, dan zo simpel mogelijk en voor elke pagina of app hetzelfde.
Geef ze eens ongelijk. Wachtwoorden zijn gewoon ondingen. Zeker als er al meerdere moet gaan bijhouden ivm verschillende websitelogins, wifi netwerk logins etc. etc...
Een password manager lost al het een en ander op, maar neemt het daadwerkelijk probleem nog steeds niet weg. Wachtwoorden blijven ondingen.
"... kan ik wel weer komen opdraven om het op te lossen."

Ha, da's wel heel makkelijk. Hier is het een stuk rustiger sinds ik in 2002 invoerde dat het eerste uur hulp 60,- kost en daarna 15,- per kwartier. En dat is als ze hun PC of laptop zelf langs komen brengen. Live prutsen ga ik dan niet doen, ik neem wel contact met ze op (meestal de volgende dag) als de boel klaar is en ze hem weer kunnen komen ophalen. Als ik zelf moet komen opdraven komen er voorrijkosten bij en is het 75,- per uur. Dit werkt goed, als je het maar duidelijk van tevoren aangeeft als ze problemen melden en je hulp willen.
Dat Nederlanders gebruik maken van open wifi netwerken snap ik nog wel. Gebruik van open netwerken is immers 'gratis' terwijl je voor je databundel moet betalen. En natuurlijk kan je een VPN gebruiken om je verbinding te beveiligen, maar dat kost veelal ook weer geld (of je moet voor de 'gratis' VPN optie van facebook gaan).

Voor hergebruik wachtwoorden zie ik tegenwoordig echt geen excuus meer gezien de diverse gratis opties voor wachtwoordkluizen. En ik geef toe, ik maakte me tot een jaar geleden ook schuldig aan hergebruik van wachtwoorden. Inmiddels heb ik de wachtwoorden zoveel mogelijk aangepast naar unieke en sterke wachtwoorden)
Dat Nederlanders gebruik maken van open wifi netwerken snap ik juist niet. Databundels van meerdere gigabytes zijn tegenwoordig spotgoedkoop en open wifi netwerken zijn vaak retetraag, naast het feit dat ze een bekend veiligheidsrisico vormen. Ik zie geen enkele reden waarom je nog moeite zou doen voor wifi.
Ik heb geen databundel (prepaid, bel praktisch nooit) en gebruik dus regelmatig openbare hotspots, zoals in het openbaar vervoer. Waarom 15 per maand uitgeven voor een bundel die ik niet nodig heb? Ik denk dat er vele andere zijn met vergelijkbare mottos...
Alsjeblieft zeg, heb ik niet nodig als altijd zo'n dooddoener in discussies. Je hebt geen mobiel internet nodig, dus gebruik je wifi. Een auto heb je niet nodig, dus gebruik je de fiets en/of het OV. Een televisie abbo heb je niet nodig. Hell, zelfs die hele mobiele telefoon heb je niet nodig.

De Nederlanders in het algemeen whatsappen/facebooken/snapchatten zich een ongeluk, de Samsung Galaxies en Iphones zijn de populairste toestellen en het mobiele dataverbruik verdubbelt jaarlijks. Kom dan niet aan dat jij een mobiele databundel niet nodig vindt, want dat verklaart nog niet waarom van de overgrote meerderheid van de Nederlanders die wel zo'n ding hebben alsnog 40% voor de crappy openbare wifi gaat.
Als ik zo af en toe in Nederland kom ben ik over het algemeen best tevreden met de wifi op trein en bus. Ik vind het eigenlijk helemaal niet crappy. :P

Maar hoezo is het een dooddoener? Juist omdat je sowieso van encrypted wifi tot encrypted wifi gaat, terwijl je sporadisch een publiek wifi-tje meepakt op de langere tramrit, heb je slechts bij wijze van uitzondering mobiele data nodig. Ik gebruikte tien jaar terug voortdurend mobiele data om het weer, ov-tijden en ook Google Maps te checken met een bundel van een paar MB voor een paar Euro.
En toch kan ik genoeg mensen die niet die paar euro per maand willen uitgeven aan internet op hun mobiel 'omdat er toch overal wifi is'. Daarnaast (en dat had ik inderdaad niet genoemd) is je bundel niet wereldwijd geldig. Ik reis af en toe voor mijn werk, als ik bijvoorbeeld in noord Amerika ben mag ik ruim 7,5 per MB aftikken, dan ga ik toch liever voor de open wifi van het hotel (waarbij ik wel probeer een VPN op te zetten naar kantoor in Nederland).
Is het dan niet goedkoper om daar een simkaart te gaan halen?
Dan kan je met een tweede toestel zelf een hotspot maken.
Ontkom je inderdaad niet aan, maar ik voel me altijd wat veiliger met een mobile router er tussen. Alleen dat werkt helaas niet als je via een site moet inloggen.
Er is niks meer "onveilig" aan open wifi dan aan elke andere vorm van internet verbinding.

Je maakt een verbinding met het grote boze internet, en hebt totaal geen zicht op wat er gebeurt met je data pakketjes daar. En dan moet je je druk maken om die eerste paar meter van je mobiel of laptop of wat dan ook naar een of ander brak routertje? Als je daar echt op moet vertrouwen ben je al fout bezig. Een WPA2 beveiligde verbinding met een onbekende router is ook niet veilig. En je 2/3/4G ook niet.

Voor het beveiligen van een verbinding over een onbetrouwbaar netwerk, zoals het internet, is TLS uitgevonden (ofwel, HTTPS). Je kunt gerust internetbankieren over een open wifi. Zolang je maar je eigen apparatuur daarvoor gebruikt en niet een publieke PC ofzo...
Het internet via je provider is net zo lek als een openbare wifi, vrijwel alle sites ondersteunen tegenwoordig SSL, het risico van openbare wifi's wordt echt idioot overdreven.
Het probleem met een open WIFI-netwerk is dat iedereen die er gebruik van maakt vrij kan scannen op dat netwerk. Ik kan ook vrij gemakkelijk bijvoorbeeld jouw mac-adres spoofen en doen alsof ik jou ben. Dat gaat zelfs heel makkelijk op WIFI-netwerken die met een login portal werken (NS). Ook kan ik portscans doen op jouw IP en zelfs een MITM opzetten om je wachtwoorden te achterhalen.

Het 3G/4G netwerk van je provider is echt vele malen veiliger, zeker i.c.m. een VPN bijvoorbeeld. Maar als je graag gebruik maakt van open WIFI, blijf dat dan vooral doen. Het levert mij een hoop plezier als ik in de trein zit bijvoorbeeld.
Als jij jezelf in de waan wilt laten dat er op het interne netwerk van je provider niemand meekijkt of MITM attacks zou kunnen uitvoeren, be my guest. Laat staan tussen netwerken in.

Als je gewoon HTTPS sites bezoekt en je firewall normaal hebt ingesteld valt er niets te halen. Natuurlijk, veel mensen zullen geen enkele bescherming op hun laptop hebben, dat is gewoon heel dom, maar het probleem zit hem dan niet in de onveilige wifi.
Ik snap dat ook niet. Een vriend van me die vraagt echt altijd in restaurants e.d. om gratis wifi. Alsof ze het hele internet gaan downloaden. Je hebt toch gewoon een flinke bundel voor the job?

Ik hergebruik wachtwoorden ook. Er zit wel variatie in per website maar het algoritme is redelijk makkelijk te kraken. Ik ben nog op zoek naar een nieuwe. Ik gebruik iCloud Keychain. Alleen het nadeel is dus dat ik dan op andere PC's steeds het wachtwoord moet opzoeken. Dus enigszins te onthouden wachtwoorden vind ik we fijn.
Veel routers hebben tegenwoordig ook ondersteuning voor een VPN-Server. Dan kun je op open wifi netwerken gewoon een VPN-verbinding naar je eigen huis opzetten. Helemaal gratis.
Dom. stel je wachtwoord lekt uit dan kan iedereen wel bedenken dat je met je gelekte 12345678Pornhub wachtwoord op gmail 12345678Gmail zal hebben als wachtwoord. Je maakt het de 'hacker' iets moeilijker maar als jij een doelwit bent van een scriptkiddie die je gegevens op pastebin gevonden heeft dan hang je met deze methode.
Dom. stel je wachtwoord lekt uit dan kan iedereen wel bedenken dat je met je gelekte 12345678Pornhub wachtwoord op gmail 12345678Gmail zal hebben als wachtwoord. Je maakt het de 'hacker' iets moeilijker maar als jij een doelwit bent van een scriptkiddie die je gegevens op pastebin gevonden heeft dan hang je met deze methode.
Alleen als het dan om een gerichte aanval gaat waarvan het betreffende scriptkiddie weet dat er bij jou iets te halen valt. Maar als ze specifiek mij moeten hebben dan kunnen ze beter mijn huis open breken of me op straat in elkaar slaan.

Het beschermt je in ieder geval wel tegen grootschalige geautomatiseerde verzameling van data. En sowieso is het salten van je passwords per unieke site geen verkeerd idee, mits je het wat slimmer aanpakt dan dit voorbeeld ;)
"Scriptkiddies" durven je niet in elkaar te slaan, die blijven lekker op hun zolderkamer zitten. Maar als je bijvoorbeeld in hun ogen wat verkeerd gezegd hebt op een forum of hun lowball marktplaats bod wat lomp hebt afgepoeierd dan kan het zomaar zijn dat ze op wraak uit zijn. Die gelekte data is al openbaar, ze hoeven je alleen nog maar op te zoeken. En dan valt je wachtwoord wel op zeg maar...
Het blijft nog altijd zo dat dit alleen een risico is als een (redelijk) intelligent persoon naar je wachtwoord gaat kijken. Een bot zal er niks aan hebben, tenzij je het natuurlijk over een gevorderde AI hebt.

Dan heb je het dus over een aanval op je wachtwoorden met specifieke voorkennis. Er is geen enkele algemene beveiligings-strategie die je daartegen beveiligt.
Wake-up call: Alle intelligence diensten zijn redelijk intelligent ;) Ook zij hebben dit trucje snel door. En je hebt vast niets te verbergen en je doet ook nooit iets verkeerd op internet dus je zult vast nooit in hun onderzoek komen :X . Maar er hoeft maar iemand in je omgeving iets verkeerd te zeggen over Rusland of onbewust met een terrorist te maken hebben gehad (je verkoopt je auto ofzo) en je loopt het risico toch.
Er is geen enkele algemene beveiligings-strategie die je daartegen beveiligt.
Juist wel: dit soort constructies niet gebruiken. Dus gewoon echt random wachtwoorden genereren van 16 of meer tekens. En daar een goede passwordmanager voor gebruiken. Dan heb je geen "security by obscurity" meer en is er weinig aan de hand als je wachtwoord uitlekt.
Mochten jou gegevens in een grote mail list op pastebin beschikbaar komen dan hoef je je hier nergens voor te vrezen. Met brute force aanvallen werken ze enkel de hele lijst af. Ik schat de kans dermate klein dat ze specifiek jou ww gaan aanpassen om op andere diensten te gebruiken. Dan moeten ze bij voorbaat al weten wie je bent en dat daar iets te halen valt. Voor bekende personen etc een groter probleem als voor jou en mij.

Het voorstel van mugen4u is zo slecht nog niet. Wellicht dat zijn voorbeeld iets te simplistisch is, maar het principe is zo gek nog niet.
Enkel als je met een domme aanvaller bezig bent. Meestal zal de bruteforce aanvaller wel eerst enkele regexpress op toepassen om dat soort patronen te herkennen. Kost maar enkele minuten meer werk en verhoogt de kans op een aanval aanzienlijk.

En met de komst van ai zal dit soort aanvaller nog beter worden.

Hoe moeilijk is het om gewoon random passphrase the gebruiken in combinatie met passdb?
of als laptops een fingerprint scanner hebben een WW en fingerprint als wachtwoord

dit is bijna niet te kraken, zonder jouw vingerafdruk te hebben.
(de mythbuster methode is wel een risico, maar wel veiliger dan een standaard WW over alle sites)
Ik vind het net wel een goed idee, enkel de uitvoering is niet zo ideaal.
Als je het gewoon al vereenvoudigd naar 123456789T voor Tweakers, 123456798F voor facebook etc. is het al een stuk minder voor de hand liggend.

Of nog beter, gebruik de 2de letter/laatste/voorlaatste/... en plaats deze ergens in het midden van je wachtwoord. Dan moet je al meerdere wachtwoorden achterhaald hebben vooraleer je dit door hebt.
Want 26 mogelijkheden (letters) "bruteforcen" duurt te lang? Als men 2 wachtwoorden van je heeft met maar 1 letter verschil dan is de rest wel te raden. Kijk eens op https://haveibeenpwned.com, grote kans dat er al 2 of meer van je wachtwoorden gelekt zijn. Op deze manier moet je dan alsnog al je wachtwoorden wijzigen.
Ik vind dat nogal achterhaald. Bovendien, makkelijke gok.
Ik zie jou gmail wachtwoord, 12345678Gmail. Nu ga ik proberen in te loggen op Tweakers. Goh, zou hij daar “Tweakers” achter gezet hebben dan? Klik. En ingelogd.

Dus nee, geen perfecte tip maar juist een slecht plan. Niet lui zijn, gewoon daadwerkelijk unieke wachtwoorden gebruiken.

[Reactie gewijzigd door WhatsappHack op 5 maart 2018 10:37]

Ik vind dat nogal achterhaald. Bovendien, makkelijke gok.
Ik zie jou gmail wachtwoord, 12345678Gmail. Nu ga ik proberen in te loggen op Tweakers. Goh, zou hij daar “Tweakers” achter gezet hebben dan? Klik. En ingelogd.

Dus nee, geen perfecte tip maar juist een slecht plan. Niet lui zijn, gewoon daadwerkelijk unieke wachtwoorden gebruiken.
mijn wachtwoord zelf bestaat uit hoofdletters, cijfers en speciale tekens dus die kraken ze echt niet zomaar(voorbeeldje die ik gaf met 12345678 was dus echt een voorbeeld). maar heb dus per site het wachtwoord iets anders (zoals beschreven).
En vervolgens blijkt dat een van de sites die je gebruikt het niet (adequaat) heeft gehasht of wordt je wachtwoord onderschept (eg: login formulier is door aanvallers aangepast, om maar iets te noemen) en hoeft er niet eens iets gekraakt te worden; het wachtwoord komt zo binnen. ;)

Ik snap je wel hoor, je wilt het simpel houden - en voor niet kritische sites is dat op zich ook niet zo'n grote ramp om het op die manier te doen. Maar je methode gaat op alle fronten keihard onderuit op het moment dat het wl om belangrijke zaken gaat. Dus het is ergens wel acceptabel of op z'n minst ergens te begrijpen als je zo'n methode gebruikt voor wat random sites waarvan het helemaal niets boeit mocht er toch toegang verkregen worden, maar gebruik het alsjeblieft niet voor belangrijke zaken waarbij toegang wordt verkregen tot privacygevoelige en/of financile gegevens want daar werkt je methode gewoon echt niet en is het onveilig - gebruik daarvoor cht sterke en unieke wachtwoorden.

[Reactie gewijzigd door WhatsappHack op 5 maart 2018 13:44]

Ik zie jou gmail wachtwoord, 12345678Gmail.
Waar zie je dat ? De aanstaande crimineel weet dat toch niet ?
Of het werkelijk 12345678Gmail is of 35tuj543uGmail verschilt nog al.
Het werkelijke voorvoegsel houdt hij vast wel voor zichzelf.
Hij gaf als voorbeeld dat ie overal dezelfde prefix (12345678) gebruikt en dan eindigt met de websitenaam aan het einde. :) Of dat dan 12345678Gmail of 35tuj543uGmail is is om het even :P
Maar het werkelijk gebruikte voorvoegsel zie jij nergens. Of mag je meekijken ?
Dat was het punt ja. ;) Als hij overal 12345678 + sitenaam (eg 12345678Gmail, 12345678Facebook) gebruikt dan hoeft op slechts n plek het wachtwoord gejat te worden en je hebt een probleem.
Dat is ook waar.
Bij 12345678Facebook zakte het eventuele respect in mijn schoenen.
Dan hecht je niet echt aan privacy en veiligheid.
:)
Veel te eenvoudig naar mijn mening. Dat 123 etc is veel te voorspelbaar en eenvoudig te raden.
Niet echt slim
maar das mijn persoonlijke mening

Dictionary aanpassen en crunchen
En er zijn zat scripjes die het leven een stuk eenvoudiger maken

Tevens ...

Dat is wel enorm dom...
Je format hier gewoon uitleggen
Ik doe dit met de oude postbankrekeningen van mijn neef en mij in combo met de afkorting van de site plus letters in leestekens veranderen
Net zo slecht als n wachtwoord voor alles. Want als je je gmail password weet, weet ik die ook van je facebook, tweakers, etc.

[Reactie gewijzigd door Deem op 5 maart 2018 10:36]

Het zal ongetwijfeld onderzocht zijn, maar ik kan me bijna niet voorstellen dat dit maar 40% is. Ik had eerder iets van 80% verwacht.
Probleem is: als je bij zo'n onderzoek met 80% (of, wat een ander hier noemde, 95%) komt, dan denken mensen die het lezen "oh, het is normaal, iedereen doet het, dus zal wel OK zijn".

Nu met 40% zal een flink deel van de mensen denken "oh, groot aantal maar blijkbaar doet een meerderheid het niet, laat ik maar verstandig gaan doen".

Ofwel, ik denk dat die 40% geen echt meetresultaat was, maar de gewenste uitkomst voor een bepaald gewenst effect. :)
Volgens mij is het ministerie zwaar in overtreding als ze nepnieuws zouden verspreiden of cijfers naar eigen hand zetten. Kan ik me bijna niet voorstellen.

Gratis WiFi gebruik ik overigens zelf niet. Heb genoeg GB's van de zaak op mijn telefoon om de nodige dingen te doen. Wachtwoorden hergebruiken betrap ik mezelf toch wel eens op. Alle sites die echt speciale wachtwoorden vereisen zoals DigiD, vergeet ik namelijk ook zo weer. Hoe vaak heb je die login nu nodig?
Niet iedereen krijgt een uitnodiging om mee te doen, en ook van de genodigden vult niet iedereen dat ( naar waarheid ) in.

Ook van belang is de vraagstelling, gebruik je gratis wifi ?
Zijn dat dan ECHT de hotspots van McDonalds en Ziggo, of kan je daar ook de wifi van je werkgever bij betrekken.
Die is immers ook gratis.

McD e/d gebruik ik niet, Ziggo is niet gratis, en staat achter een inlog en gekoppeld aan je eigen account
Ik hergebruik ook wachtwoorden. Is anders niet te doen. Ja, met een password manager, maar is dat nu zoveel veiliger?

Ik heb een aantal wachtwoorden, een gebruik ik voor werk-gerelateerde zaken, die verandert regelmatig. Een is alleen voor internetbankieren. En ik heb er 2 of 3 ofzo voor email, website-logins, etc.
Password manager is per definitie veiliger. Mits je dit 100% lokaal doet. Dus bv een keepass database die je niet in een Dropbox map gooit.

Anders kan je natuurlijk een "makkelijk" sterk wachtwoord maken.

<<basiswachtwoord>><<volgummer>><<afkorting_site>>

Dus:
PW#1%0A001TWE (tweakers)
PW#1%0A002GSL (geenstijl)
PW#1%0A003FCB (facebook)
Het is onzin dat het alleen veilig zou zijn als de database lokaal staat. Het hele punt van de database is dat deze versleuteld is. Je kan instellen dat je toegang kunt krijgen met een wachtwoord, maar ook kun je nog een keyfile instellen.
Maar dan kan ik dus alleen thuis op mn gmail inloggen, of op tweakers. Das flink verlies van functionaliteit.

Dat tweede advies past beter bij mij.
Password manager is per definitie veiliger. Mits je dit 100% lokaal doet. Dus bv een keepass database die je niet in een Dropbox map gooit.
Dat is alleen een oplossing als je ook echt alleen op een computer wil inloggen. Maar als je dan op een smartphone of een andere computer of laptop wil inloggen, dan heb je daar geen toegang toe. Dus ja, het is veilig, maar je hebt er niet zoveel aan als je op veel verschillende plekken inlogt.
Dat zou ik niet zeggen. Een password manager is altijd wel veiliger. Lokaal is wel veiliger dan op afstand, maar dan zit je nog steeds met synchronisatie waardoor je eigenlijk alles wel via een clouddienst online wilt hebben. Hoewel je dan wel een tweede laag beveiliging opwerpt, wat toch nog veiliger is dan bvb Lastpass.
Ja, met een password manager, maar is dat nu zoveel veiliger?
Ja.
Openbaar wifi ok. Maar wachtwoord loze. Die zie ik nog amper. Als je vroeger door de wijk reed had je er wel 10 tallen. Die tijd is wel voorbij.
In een thuissituatie zie je tegenwoordig inderdaad niet veel netwerken zonder wachtwoord meer. Maar in het openbaar vervoer en de horeca kom ik nog erg veel wachtwoordloze netwerken tegen (soms nog wel met een wachtwoord wat je op een landingpage moet invoeren, maar dat heeft voor zover ik weet geen nut voor de veiligheid, enkel om te voorkomen dat iedereen op het netwerk gaat zitten).
Dat is denk ik vooral te danken aan dat vrijwel alle routers standaard een wachtwoord hebben en veel mensen niet weten hoe ze deze kunnen veranderen. Ik heb al vaak genoeg meegemaakt dat als je mensen vraagt wat hun netwerk en wachtwoord is dat ze dan snel op zoek moeten gaan naar een papiertje van hun ISP.
Het zijn allemaal KPN fon verbindingen en AH.nl en starbucks... dat soort zooi. Naast tmobile public hotspots, etc wellicht? Ik gebruik het allemaal echt nooit. Je hebt toch gewoon beetje data op je 4g tenminste?
40% maar? ik had minimaal 100% verwacht :)
slechtste uitvinding ooit wachtwoorden, je wordt er helemaal koekoek van!
thuis heb ik een boekje van 3 pagina's vol met wachtwoorden van alle sites etc je kan het gewoon niet meer bijhouden bij welk wachtwoord44 bent en bij andere site heb je nog bv Wachtwoord44 omdat je perse een hoofdletter moet gebruiken.....en weer bij een andere is het bv weer wachtwoord44! omdat je ook een speciale teken moet toevoegen......

[Reactie gewijzigd door Mooyal op 5 maart 2018 10:29]

Had iemand nou maar een programma uitgevonden waar je die wachtwoorden veilig in kan bewaren en makkelijk kan oproepen.
"oh kut ik zit op mobiel"
Had iemand nou maar een programma uitgevonden waar ook dat geen probleem is. :+
Volgens mij was het zijn wachtwoordzin.. Wel even een leesteken en cijfer toevoegen.!
Je vergeet nog te vermelden dat je de wachtwoorden ook nog met enige regelmaat moet veranderen. ;)
Je vergeet nog te vermelden dat je de wachtwoorden ook nog met enige regelmaat moet veranderen. ;)
Handig h, een wachtwoordmanager. Genereer een bladzij vol met wachtwoorden en zet bij ingebruikname de site en de gebruikersnaam erbij.

Genereer dus stapels wachtwoorden van grote lengte en knip alles er af wat niet mag als je het in gebruik neemt. Heb ik een ongebruikt wachtwoord van 32 tekens en mogen er maar 16 ? Knip het op maat, zet de naam er bij en gebruik het voor de betreffende site.

Als je vantevoren weet dat je maandelijks moet veranderen genereer je er alvast twaalf of meer.
Er is ruimte voor notities dus je kun alle geheugensteunen ook noteren.
Ja, 100% natuurlijk.
De belangrijke dingen als de site van de bank heeft natuurlijk een eigen wachtwoord.
Onbelangrijke sites hebben dezelfde bij mij dezelfde of indien mogelijk deel ik zelfs inlognamen en wachtwoorden met onbekenden (bugmenot.com)!
Je kunt ook de websitenaam in het wachtwoord verwerken. Dan hoef je maar een paar wachtwoorden te onthouden, de websitenaam krijg je kado.
Bijvoorbeeld:

M00yalTWeaKeRs!!11
M00yalaLieXPReSS!!11
M00yalGeaRBeST!!11
Het concept van wachtwoorden is nog steeds idioot. Zonder wachtwoordmanager (digitaal of op papier) is het onmogelijk unieke wachtwoorden te kiezen voor dingen. Aangezien 60% geen wachtwoord manager gebruikt, wordt er waarschijnlijk gewoon gelogen over het hergebruiken van wachtwoorden.

Zelfs bij developers is wachtwoord hergebruik echt idioot geregeld. Wachtwoorden als "123456" en "password" bij admin accounts en dat soort dingen... brrrr
Websites zouden over moeten gaan op externe autorisatie systemen als bijvoorbeeld Google heeft wanneer je op een dienst in wilt loggen en je moet autoriseren op je telefoon.

Bij google moet je dan verplicht worden gesteld dat er een nood herstel USB stick gemaakt moet worden wanneer je je account niet meer in komt om wat voor een reden dan ook.

Probleem opgelost.
Tja alleen dan heeft Google alle macht. Maarja, een "inloggen met" feature lost het probleem grotendeels op.

[Reactie gewijzigd door Gamebuster op 5 maart 2018 11:47]

Het is een voorbeeld natuurlijk, het kan net zo goed Microsoft of een password manager zijn. Google is alleen aanzienlijk groter en ik ben nog geen database dumps van Google tegen gekomen. Dat zegt wel iets over hun veiligheid.

Daarnaast hebben heel erg veel mensen al een google account, dus dan is het makkelijk koppelen.
Zonder wachtwoordmanager (digitaal of op papier) is het onmogelijk unieke wachtwoorden te kiezen voor dingen.
Als er uiteindelijk slechts een hash gebruikt wordt bij de verwerking, is een wachtwoord al snel uniek en bruikbaar genoeg. Toch.?
Verander n teken.
ja, maar echt ideaal is het niet. als je wachtwoord lekt in plain-text vanaf 2 verschillende sites (dus 2x zelfde wachtwoord met 1 teken afwijking) is het triviaal om te beseffen dat de rest ook wel in dat patroon zou zijn. Werkt echter alleen bij gerichte aanvallen, niet geautomatiseerde aanvallen
Tuurlijk. Maar het ging om niek' en dat is al snel. En lekken, ja, daar is de gebruiker niet tegen beschermd. Daar zou flinke (lijf)straf op moeten staan.!
Ik bedoel, als je wachtwoord lekt op site A en C, en iemand ziet dat jouw wachtwoord "mijn-wachtwoord-A" en "mijn-wachtwoord-C" zijn, dan kan diegene makkelijk raden dat jouw wachtwoord "mijn-wachtwoord-B" is op site B. Maar dit is natuurlijk alleen relevant wanneer iemand jou specifiek probeert te "hacken" en op internet zoekt of er wachtwoorden zijn gelekt van jou. Of wanneer automatische hack-tools slimmer worden met patroon-herkenning, wat ook onvermijdelijk is natuurlijk.

Als jouw wachtwoorden bijv. zijn:

- gras44
- boom97
- bloem11

Dan kan een computer proberen alle plant-woorden af te gaan, samen met 00-99. Zelfs als 1 zo'n wachtwoord lekt ("gras44") laat je al zien dat er een aannemelijke kans is dat jij vergelijkbare wachtwoorden gebruikt. Waarom? Dat doen mensen. Jij misschien niet, maar vele anderen wel. Het is aannemelijker dat jouw andere wachtwoord dan "karel67" is dan "3Fx-D44-d#x-4DD" en daar kan een stukje software op inhaken.

Misschien is dit voor jou niet relevant, maar in een wereld waar computers tegelijkertijd steeds slimmer EN sneller worden, wordt het steeds meer relevant.

Zolang mensen zelf wachtwoorden verzinnen en/of onthouden, is er een ezelsbruggetje of patroon in te vinden. Alleen bij het gebruik van echte random gegenereerde wachtwoorden die je niet zelf onthoud ben je "veilig" tegen dit soort aanvallen.

[Reactie gewijzigd door Gamebuster op 5 maart 2018 15:37]

1 2 3 ... 6

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True