Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Firefox gebruikt gebrekkige methode om gebruikerswachtwoorden te versleutelen'

Volgens ontwikkelaar Wladimir Palant gebruikt de Firefox-browser, samen met e-mailclient Thunderbird, een gebrekkige methode om wachtwoorden van gebruikers te beveiligen. Dit probleem zou al negen jaar aanwezig zijn.

Palant, ontwikkelaar bij Adblock Plus, schrijft dat Firefox-gebruikers hun accountwachtwoorden in Firefox kunnen opslaan met behulp van een ingebouwde wachtwoordmanager. Deze zijn te beveiligen met een hoofdwachtwoord, oftewel een master password. Palant schrijft in zijn blogpost: "Het is algemeen bekend dat het opslaan van wachtwoorden zonder hoofdwachtwoord in feite hetzelfde is als ze onversleuteld opslaan." Het hoofdwachtwoord wordt gebruikt om de opgeslagen wachtwoorden te versleutelen. Firefox doet dat volgens Palant op een onveilige manier.

Hij onderzocht de broncode en ontdekte dat het hoofdwachtwoord in een encryptiesleutel voor de overige wachtwoorden wordt omgezet door middel van een enkele iteratie met sha-1 en een salt. Het probleem is dat deze methode weinig bescherming biedt tegen een aanvaller die het hoofdwachtwoord wil bruteforcen en op die manier toegang wil verkrijgen tot de overige wachtwoorden. Dat gaat snel als de gebruiker een zwak hoofdwachtwoord heeft gekozen. RaiderSec heeft in het verleden een analyse gepubliceerd van de methode die Firefox gebruikt voor het beveiligen van lokale wachtwoorden.

De ontwikkelaar merkt op dat de tekortkoming negen jaar geleden al in de bugtracker van Mozilla is gemeld, maar dat er sindsdien geen actie is ondernomen. Naar aanleiding van zijn eigen opmerking is de discussie nieuw leven ingeblazen en zijn Mozilla-ontwikkelaars ermee bezig. Er wordt nu gesuggereerd dat er uiteindelijk een hoger iteratieaantal komt. Palant zelf noemt als oplossing het gebruik van een ander algoritme voor het genereren van de sleutel, zoals pbkdf2 of argon2. Bleeping Computer, dat de blogpost van Palant opmerkte, meldt dat gebruikers in de tussentijd een sterker hoofdwachtwoord kunnen kiezen of gebruik kunnen maken van een externe wachtwoordmanager.

Hoofdwachtwoord in Firefox

Door

Nieuwsredacteur

175 Linkedin Google+

Reacties (175)

Wijzig sortering
Nou, door deze post en de reacties heb ik besloten om de lastpass extensie te installeren en alles over te zetten.

Opgeslagen wachtwoorden uit firefox verwijderd en iedere account opnieuw opnieuw ingesteld met een uniek gegenereerd paswoord. Ben er een 3tal uurtjes zoet mee geweest maar nu is het toch iets veiliger als voorheen :)

[Reactie gewijzigd door Trolololo op 19 maart 2018 16:57]

ik gebruik maar 1 wachtwoordmanager: mijn eigen geheugen.
Uitermate goed beveiligd. Niet te hacken, en als ik m zelf vergeet weet niemand m meer :P
Supereenvoudig te hacken. Ik vraag me af waarom mensen hier zo stug en onverantwoordelijk mee om blijven gaan. Beetje hetzelfde als "Maar ik ken iemand en die had een neef en die had z'n gordel niet om en die kreeg een ongeluk en de politie zei dat als die hem omgehad had, dan zou hij het niet overleefd hebben en daarom doe ik er niet aan mee!".

Mensen; je weet niet alles beter dan de experts. Volg gewoon het advies, zorg voor een wachtwoordmanagementtool die niet analoog is maar digitaal, stel op álles wat je doet een apart gegenereerd, zo lang mogelijk wachtwoord in (en je time-out voor het invoeren van een wachtwoord op je Linux-consoles voor het geval je niet kan knippen en plakken naar meer dan 60 seconden) en configureer multi-factor authenticatie (Waarbij je géén gebruik moet maken van SMS want levensgevaarlijk!!!) indien mogelijk. Dat is de enige manier om het écht veilig t houden.
Beetje overdreven voor de meeste mensen (al kun je veiligheid niet serieus genoeg nemen natuurlijk).
99 vd 100 gebruikers hebben maar een aantal wachtwoorden nodig die ECHT belangrijk zijn. DigiD, Paypal, bank, facebook o.a. Als je daar een sterk uniek ww voor kunt onthouden is dat behoorlijk veilig.
Je wachtwoorden aan een 3e partij(en) overlaten, in de cloud of onder een (matig) master password, heeft in die zin ook kwetsbaarheden. Even los van het feit dat unieke lange sterke ww per website natuurlijk superveilig is.

Die 101 wachtwoorden voor websites zoals webshops (ideal, zonder CC/Paypal info natuurlijk) en fora e.d. die heel weinig waarde hebben om te hacken, lekker boeiend. Daar kun je best een (uniek) voor jezelf te onthouden algoritme voor gebruiken met wat meer simpele wachtwoorden.

Bovendien heeft een 2FA (ook een SMS) volgens mij een beperkte geldigheidsduur. Dus als je het vergeet dan verloopt die. Zaak is alleen om dat strict (in seconden) in te stellen en niet een paar uur.
Dus dat helpt zeker wel voor extra veiligheid.

Ik denk dat het ook zaak is dat PW managers er (nog) meer voor gaan zorgen dat het gebruik prettiger wordt. Open source oplossingen zijn zo spartaans dat ik er niet eens aan wil beginnen. 1password, Lastpass, Dashlane (welke ik nu gebruik), werken goed op desktops, maar laten nog veel te wensen over op mobiel - maar is alleszins in gebruik al veel beter dan een Keepass(X) e.d.

Ik heb helemaal geen zin om allerlei extra handelingen te doen om bijv. een bestelling te kunnen doen bij CoolBlue op m'n mobiel, omdat ik m'n WW moet opzoeken. Bovendien met een enorm onhandige (lange) masterpassword of met de eveneens niet superveilige vingerprint protection.
En waarvoor? Zodat ze mijn orderhistorie kunnen inzien? Lekker boeiend. Die gegevens liggen toch al ergens op de digitale straat.

Dus die zwakke punten heb je in de hele lijn nog zitten. Waarbij gemak vs veiligheid, zeker voor het grote publiek, ook nog een grote rol speelt. (naast de prijs voor zoiets die niet iedereen bereid is te betalen).

[Reactie gewijzigd door xs4me op 19 maart 2018 13:55]

Het is niet overdreven. Wat je zegt is "Hier heb ik één iets moeilijkere sleutel voor het kabinet waar ik al mijn andere sleutels bewaar".
Identiteitsdiefstal is aan de orde van de dag en er worden zelfs mensen failliet verklaard: https://www.tijd.be/onder...n-zijn-identiteit/9913171

Een kopie paspoort/ID/rijbewijs is een beproefde methode bij heling op marktplaats, waarbij de verkoper dus niet dezelfde persoon is als je te goeder trouw denkt. En aangezien steeds meer mensen gebruik maken van Single Sign-On, waarmee je met één wachtwoord dus álle deuren open kan maken, is MFA broodnodig. Een wachtwoord, alleen een masterwachtwoord, volstaat simpelweg niet.

Ik wil er nog wel anecdotaal iets van een buurtBBQ tegenaan gooien, maar ik kan dit echt niet genoeg stressen; Doe niet laconiek over dit soort dingen.
Volgens mij zeg ik al dat je hier niet serieus genoeg over kunt zijn?
Je zet iemand die wel bewust met z'n wachtwoorden omgaat en dus wel een uniek lastig ww, samen met 2FA, in 1 lijn met de gemiddelde pipo die wachtwoord 1234 gebruikt.
Als ik een uniek ww heb voor die belangrijke sites, analoog, zonder 3e partijen, zonder het ergens op te schrijven, dan kun je MFA'en wat je wilt, dat is nog steeds niet veiliger. In die zin is het sowieso veel beter dan 1 masterpassword met al m'n wachtwoorden daarin.
Al zou je ervan uit kunnen gaan dat iemand bereid is te martelen om het wachtwoord uit je te krijgen om zo je CoolBlue historie in te kunnen zien. Maar zo gezien krijgen ze die master password met je MFA ook.

En je trekt het nu alweer veel breder over paspoort/rijbewijzen op marktplaats. Dat heeft niks met wachtwoorden te maken, maar met het bewustzijn wat je met je persoonlijk gegevens doet. Iets wat hoe dan ook een probleem blijft, ongeacht hoeveel MFA's je toepast.
En op BBQ anekdotes zitten we al helemaal niet te wachten. Ik ben me prima bewust van het gedrag van de gemiddelde gebruiker. Dat is ook waarom ik reageer.

Je hebt natuurlijk gelijk, zoals ik al zei. Het probleem zit 'm echter in de punten die ik aanhaalde, waarom het voor veel mensen lastig is om die stappen te kunnen zetten. Jouw oplossing is waar, maar helemaal niet zo vanzelfsprekend of toegankelijk voor de gemiddelde gebruiker die compleet digibeet is. En ook niet per definitie beter dan een analoge methode. Dat ligt maar net aan de gebruiker.

Ik denk dat de oplossing ligt in toegankelijke oplossingen bieden die cross-platform gewoon gemakkelijk werken en dus bovendien ook veel veiliger zijn dan wat de gemiddelde gebruiker nu doet.

Dat vind ik veel realistischer als jouw verhaal. Zonder er laconiek over te doen.
Maar laten we eerlijk zijn. Waarom zou je voor elke webshop een uniek sterk ww moeten hebben waar je met ideal betaald? En dan hebben we 't al over 90% van de ww-en van de gemiddelde gebruiker.
En hoe staat dat in verhouding tussen al die MFA's moeten doorlopen om een simpele bestelling te kunnen doen?

Het is net als met een fietsslot. Als je wilt kraak je ze allemaal. Maar de dieven zullen zich richten op de fiets met de minste beveiliging. En hoe bereid ben je om er elke keer 3 of meer sloten omheen te doen. Ook om alleen even een brood bij de bakker te kopen.

[Reactie gewijzigd door xs4me op 19 maart 2018 15:25]

(waarom is 2FA met een smsje levensgevaarlijk?)
Omdat mensen lui zijn en vergeten uit te zetten dat er een voorbeeld van het bericht op het lockscherm getoond wordt, waardoor een via SMS gestuurde code dus eenvoudig af te lezen is zonder toegang tot het apparaat.
Wat een onzin... 2FA mét SMS is veel beter als géén 2FA.

Dat een SMS afgelezen kan worden van de telefoon is jammer, maar nog steeds veel minder een probleem als geen 2FA gebruiken.
Het is geen onzin. Google gaat het alvast uitfaseren en op het werk zijn we met dezelfde actie bezig: http://www.zdnet.com/arti...s-sms-two-factor-sign-in/

Levensgevaarlijk is misschien ietwat gechargeerd, maar SMS als extra trap is vrij nutteloos.

[Reactie gewijzigd door deadlock2k op 19 maart 2018 12:39]

Met de kanttekening dat SMS *geen* Google product is, maar het alternatief - 2SV wel...

In place of SMS, Google will be pushing Android and iOS users towards its prompts-based 2-Step Verification (2-SV) sign in. Google launched this in June 2016, with a key advantage over SMS being that the process occurs over an encrypted connection.
Ik vind dit wel gemakkelijk punten scoren. Je kan ook perfect een hardwarematige security key toevoegen. Dat is dan geen Google product.
Je kan ook ubikeys gebruiken voor je 2FA
Interessant! Maar dat gaat bepaald niet over het aflezen van je lockscreen maar over andere SMS beperkingen, dat lockscreen argument alleen vind ik geen argument om geen 2FA te gebruiken.
Het gevaar zit hem vooral in IMSI-Catchers (ookwel StingRay's genoemd), de apparatuur van mobiele providers en in het feit dat een mobiel nummer nogal gemakkelijk te porteren is naar een andere sim-kaart.

Gevolg: Iedereen met een budget van $1400 kan sms en telefoonverkeer aftappen en daarmee dus ook de SMS-2FA.
En dat werkt dus alleen bij een gerichte aanval, want je moet vantevoren weten wat iemand’s nummer is en waar ie (ongeveer) woont. Niet geschikt voor massaal hacken van accounts oftewel scriptkiddies. Wellicht dat je iets anders zou willen gebruiken als je een bekend persoon bent waar hackers zich mogelijk op zouden willen richten, maar voor henkie op de hoek geen argument.

Net als het argument van aflezen van het scherm trouwens. Dan moet je het apparaat in handen hebben, én het wachtwoord weten van het account. Dikke kans dat als je zoveel al hebt en weet, dat je de telefoon zelf ook wel kunt unlocken. Nog afgezien van het feit dat teveel mensen hun telefoon niet eens beveiligen en gewoon door iedereen te unlocken is. Ik weet ook de unlock code van sommigen waar ik vaak mee rond hang want zo’n plaatje tekenen op je android scherm is zo makkelijk af te lezen én te onthouden.
En dat werkt dus alleen bij een gerichte aanval, want je moet vantevoren weten wat iemand’s nummer is en waar ie (ongeveer) woont. Niet geschikt voor massaal hacken van accounts oftewel scriptkiddies. Wellicht dat je iets anders zou willen gebruiken als je een bekend persoon bent waar hackers zich mogelijk op zouden willen richten, maar voor henkie op de hoek geen argument.
Niet noodzakelijkerwijs.
Ten eerste: Men kan inbreken op het netwerk van grote telecomaanbieders en daar mogelijkerwijs de berichten van een hele regio of zelfs een heel land afluisteren.

Tweede optie:
Compromitteer de computer van de gebruiker en installeer via USB een bepaalde app die het scherm en/of de sms-berichten leest op de smartphone of doe het andersom: installeer een app die via USB iets op de computer installeert. Daarna is het een kwestie van het automatiseren van de aanval.

En Henkie op de hoek heeft dan absoluut wel iets te vrezen, want hij heeft vast wel 10 tot 100 euro op zijn rekening staan en houdt zijn rekening niet of nauwelijks in de gaten. Sluis iedere maand 10 tot 30 euro weg bij zo'n 100 "Henkies op de hoek". Infecteer een groep van 3000 Henkies (bijvoorbeeld via de gratis IKEA of Starbucks wifi) en kies uit die groep iedere maand 100 willekeurige Henkies uit waar u op deze manier een klein bedrag van steelt. Dan heeft u er toch een aardig zakcentje bij, terwijl er voor de politie geen touw aan vast te knopen is.

Men gaat tegenwoordig zijn garantie al niet eens meer halen voor een smartphone van 300 euro. "Ik koop wel een nieuwe" is het devies, dus voor een schade kleiner dan 30 euro belt men de bank niet eens meer, laat staan dat men aangifte doet.
Men kan inbreken op het netwerk van grote telecomaanbieders en daar mogelijkerwijs de berichten van een hele regio of zelfs een heel land afluisteren.
Dan nog moet je het nummer en het account van een groot aantal onbekende personen aan elkaar zien te knopen. Lijkt me niet 1 2 3 gedaan.
En Henkie op de hoek heeft dan absoluut wel iets te vrezen, want hij heeft vast wel 10 tot 100 euro op zijn rekening staan
Het ging hier om logins van websites, niet van de bank. Banken zijn over het algemeen een stuk beter beveiligd (alhoewel ik de trend van tegenwoordig om weer in te loggen met 5-cijferige codes heel zorgwekkend vind... gebruiksgemak uber alles?).
Ik zou niet weten waarom je geld op een account op een website zou hebben staan. Geen enkele website heeft geld van mij. Misschien dingen als steam of playstation waar je een saldo kunt hebben? Maar die worden niet automatisch aangevuld en zullen dus wel meteen opvallen als ze ineens leeg zijn.
Dan nog moet je het nummer en het account van een groot aantal onbekende personen aan elkaar zien te knopen. Lijkt me niet 1 2 3 gedaan.
De gemiddelde webwinkel heeft het mobiele nummer van een persoon wel in zijn database staan en ze zijn nagenoeg allemaal wel ergens lek. Daarna is het koppelen te doen met maar een paar (en hoogstwaarschijnlijk slechts 1) SQL-statement.
Aangezien alle berichten heel Twitter (dus niet de overhead van de website, alleen de berichten van 140 tekens) ook maar een datastroom van minder dan 100 Mbit/sec oplevert, is het sms-verkeer voor een heel land ook prima af te luisteren.
Het ging hier om logins van websites, niet van de bank. Banken zijn over het algemeen een stuk beter beveiligd (alhoewel ik de trend van tegenwoordig om weer in te loggen met 5-cijferige codes heel zorgwekkend vind... gebruiksgemak uber alles?).
Ik zou niet weten waarom je geld op een account op een website zou hebben staan. Geen enkele website heeft geld van mij. Misschien dingen als steam of playstation waar je een saldo kunt hebben? Maar die worden niet automatisch aangevuld en zullen dus wel meteen opvallen als ze ineens leeg zijn.
Het kan aan mij liggen, maar voor mij is de website van een bank, ook gewoon een website...
SMS-2FA of een SMS-tan-code. Ik vind het allemaal één pot nat. Persoonlijk denk ik dat Henkie op de hoek een groter probleem heeft als zijn sms-code van zijn Google Account wordt gejat, dan dat hij heeft als er een tan-code van zijn bank wordt onderschept, maar dat kan aan mij liggen.
Het is zeer nuttig. Een aanvaller moet fysieke toegang tot je telefoon hebben. Ook al weet iemand je wachtwoord, ze moeten bij je gaan zitten om in te kunnen loggen. Vergeleken met geen 2FA is dat een grote beperking voor de aanvaller.

Er zijn betere vormen van 2FA mogelijk, dat wel.

[Reactie gewijzigd door Origin64 op 19 maart 2018 13:14]

Okay, en betrek het nu eens op patiëntendossiers, of iemand met mutatierechten in het cijferoverzicht van een leerlingvolgsysteem?

Als ik in wil loggen als docent en ze hebben SMS-auth aanstaan dan heb ik maar twee dingen nodig, de telefoon van deze persoon en een ander iets wat ze ook aan de lopende band laten slingeren, want daar staat het wachtwoord wel in. Als ze een eigen lokaal hebben waar een computer staat dan kijk je onder het toetsenbord. We hebben dit in de praktijk getest vanwege een bewustwordingscampagne en je harkt er zo ongelofelijk veel wachtwoorden mee binnen. En bij iemand moeten zitten is echt niet nodig. Vorig jaar is er nog een school "gehackt" waarbij resultaten van leerlingen gewijzigd zijn, hierbij was geen MFA geïmplementeerd. Ik weet zeker dat het ontbreken van een extra geheim, zoals een pincode, touchid, patroon-tekenen, niet voor het stoppen van deze hack gezorgd zou hebben.

Nou zal je misschien zeggen; ja okay, maar als ik zoiets heb met Facebook is het toch niet zo'n ramp. Nee, opzich niet, dat gaat over je eigen gegevens. Maar waarom zou je twee sets met standaarden hanteren? Zorg ervoor dat je beveiliging altijd een dikke 8 of 9 krijgt in plaats van hakken-over-de-sloot 5,5.
Je hebt meer nodig dan alleen het pw. Dus is het 2FA. Er zijn betere vormen van 2FA mogelijk.

Bij mij op werk is je pw opschrijven en laten slingeren reden voor een je-wordt-bijna-ontslagen-functioneringsgesprek en ik doe echt niets dat top secret is ofzo op die helpdesk.

Een voorbeeld waarbij geen 2FA werd gebruikt is niet echt nuttig als we het hebben over hoe effectief een bepaalde vorm van 2FA is.

[Reactie gewijzigd door Origin64 op 19 maart 2018 13:34]

Als ik in wil loggen als docent en ze hebben SMS-auth aanstaan dan heb ik maar twee dingen nodig, de telefoon van deze persoon en een ander iets wat ze ook aan de lopende band laten slingeren, want daar staat het wachtwoord wel in.
1. dat is al meer dan één ding nodig hebben, dus zoals psy zegt: "2FA mét SMS is veel beter als géén 2FA", ook al staat het makkelijk in beeld.
2. als leraren iets laten slingeren waar hun wachtwoord wel in staat dan mogen zij daar ook wel eens beter in geïnformeerd worden.
2. als leraren iets laten slingeren waar hun wachtwoord wel in staat dan mogen zij daar ook wel eens beter in geïnformeerd worden.
Ja. Verschil tussen theorie en praktijk. Docenten zijn gewoon koppige varkens. Ze gebruiken ook massaal ongeautoriseerde apps voor bepaalde taken "omdat het handig is", waarbij de NAW-gegevens van je kinderen dus bij een of andere vage app-fabrikant door de data-analysemolen gaan. Als we ze pakken zeggen we er iets van maar onderwijs will be onderwijs en directies vinden het belangrijk dat al die docenten denken dat ze hun eigen tent aan het runnen zijn.
je hebt dan 'maar' twee dingen nodig: de telefoon van de persoon.
Klopt, maar die heb je dus niet.
Je doet te lacherig over 2FA... je hebt 'maar' twee dingen nodig.
En dat is dus al een goede beveiliging.
Een wachtwoordje kraken is minder moeilijk, klopt, maar je doet net alsof 2FA zo lek als een mandje is, maar dat is het dus niet.

Het simpele feit dat je de telefoon van de persoon nodig hebt zorgt ervoor dat een gemiddelde hacker er gewoon niet in komt, want de gemiddelde hacker zit op een ander continent.

Ik gaf zelf al aan dat ik geen passwordmanager heb, en ik schrijf het wachtwoord niet op op een toetsenbord. Daar gaat het rampscenario dus al op mank.
Mijn wachtwoord bestaat uit termen die zelfs mijn directe familie en vrienden niet weten. Dat blijft voor altijd in mijn hoofd.
Dat staat nergens fysiek opgeschreven, en mijn telefoon krijgen andere mensen ook niet.
Ja, die eigenwijsheid is dus ook de reden dat m'n broertje niet meer bij z'n Steam-library kan. Ook alles perfect. Maar echt superveilig en perfect.
ik heb een non-dictionary combinatiewachtwoord van 15+ tekens inclusief steam authenticator app.
daarnaast weten ze mijn loginnaam niet... die is namelijk anders dan mijn screenname, en in veel games en op veel websites gebruik ik andere nicknames.
Sorry maar het is geen argument voor een password-manager.
Elke extra trap kost meer tijd om erin te komen, natuurlijk zijn er beter manieren maar beter via sms dan helemaal niet.
Iemand die op mijn telefoon meeleest heeft waarschijnlijk ook fysiek toegang tot mijn computer en dat geeft ook extra risico's.
Een Russische hacker vindt misschien mijn zwakke wachtwoord, maar kan die sms niet meelezen (toch?)
Dat is dan (deels) een probleem van je telefoon OS, want op mijn telefoon wordt dat netjes afgekapt en is geen enkele code te lezen zonder een unlock te doen. Dus dat deel van je methode valt net zo goed onder het stukje verantwoordelijkheid: zorgen dat verstuurde SMS-jes niet zonder meer te lezen zijn. Dus SMS is niet levensgevaarlijk. Telefoons die teveel informatie tonen zonder een unlock-code zijn levensgevaarlijk.
Welke telefoon is dat, als ik vragen mag? Het is in mijn ervaring hoogst ongebruikelijk dat dat stock zo ingesteld wordt (alle iPhones bijvoorbeeld, we hebben een maand geleden ongeveer 30 Galaxy S8's uitgedeeld, daar werd het standaard ook op weergegeven), maar zeker een goede zaak!

En probleem telefoon, ach, als ik een privétoestel en een zakelijk toestel zou hebben dan zou ik het waarschijnlijk niet eens instellen op m'n privétoestel want ik ben een lamme tak. Ik vind het eerder pebkac dan een probleem van de telefoon eigenlijk ;)
Ik zal geen vrienden maken, maar het is een W10Mobile telefoon. Alle codes die mij ooit verstuurd zijn: Digid, TAN, verificatie, etc. waren niet te lezen in de notificatie. Eerlijk gezegd vermoedde ik dat dat ook de reden is dat bijna alle berichten beginnen met "Uw aangevraagde code voor ... " etc., om te zorgen dat de daadwerkelijke code niet in de notificatie staan. Als een notificatie alle tekst bevat dan help je dat om zeep. W10M doet dat overigens wel bij WA en Skype, maar daar krijg ik nooit codes op binnen.
Ik heb er nog een op kantoor in de la liggen want tot 1 januari ondersteunde ik onze MFA-oplossing er nog op! En je hebt gelijk, die lange tekst is er ook om die reden. En sommige telefoons laten dus rustig twee regels zien. Om te huilen.
De iPhone X doet dat wel handig vind ik. Hij toont dat je een bericht gekregen hebt maar toont de inhoud pas als hij je gezicht herkent.
En daarnaast óók nog een notificatie via pushbullet, en de sms die je moet beschermen, komt vrolijk omhoog in de hoek van je scherm.

Er zin zoveel valkuilen, onder het motto "veilig moet makkelijk" dat je de zwaarste trede's kan instellen, maar de gebruiker vind toch wel een "easy way"
ok, hoe dan? De hacker moet toegang hebben tot mijn toestel, althans op het scherm kunnen kijken.
Maar dat gebeurt dus niet, want de hacker zit niet fysiek in mijn broekzak of in dezelfde ruimte.
Zoals hierboven/hieronder al door iemand anders gezegd is; Met 1400,- aan spullen kan een kwaadwillende je SMS-verkeer onderscheppen. Behalve dat; een telefoon is zo gestolen. En mensen denken vaak "ah die zal wel op plek X liggen".

In 2016 ging het om 500 gevallen van identiteitsfraude per dag. Criminelen zoeken juist ook de gewone man op, die heeft wat spaargeld en toevallig ING met SMS TAN-codes. Het hoeft niet eens veel te zijn, maar een paar honderd euro is voor heel veel mensen heel erg veel geld. Als jij mij een lijst met willekeurige gebruikersnamen en wachtwoorden geeft, dan haal ik die van ING internetbankieren er zo uit want ze zijn vrij herkenbaar. Hoeft dus geen URL bij te staan. Username/wachtwoord heb ik een keer afgekeken en telefoon een keer stelen, geld overmaken naar een rekening in Bulgarije en zeg maar dag geld.
Username/wachtwoord heb ik een keer afgekeken en telefoon een keer stelen

hier ga je alweer de mist in.
De kans dat je al die schaakstenen in stelling hebt gebracht wordt snel kleiner naarmate je boven het getal 2 uit komt.

'toevallig'
'gewoon'

met 1400 euro aan spullen KAN iemand iets onderscheppen ja, maar dan moet je dus al de combinatie gebruikersnaam, wachtwoord EN 06-nummer weten.
En die weet jij niet.

Je doet te makkelijk over het vermeende 'lek' zijn van 2FA.
Natuurlijk is het niet waterdicht, maar met hetzelfde gemak haal ik passwordmanagers onderuit: je hoeft immers maar 1 wachtwoord te kraken en je hebt alles.
Je hoeft dan niet eens meer een telefoon te jatten of een nummer te porteren.
Username/wachtwoord 'heb ik een keer afgekeken'...

alles wat je nu al aandraagt is minder realistisch in de praktijk dat dat zomaar even gebeurt.
Het kraken van dat ene enkele wachtwoordje van de password manager is dan al veel minder werk en je hoeft al die moeite niet te doen van wachtwoord afkijken of telefoon jatten of 06-nummer achterhalen.
Ik doe helemaal niet makkelijk over 2FA, ik zeg dat goede MFA de enige manier is om op een juiste manier je spullen te beveiligen. En het is ook geen lek, het is een vervelend bijeffect van toenemend gemak voor de eindgebruikers.

En dit soort diefstallen zijn dus al de dagelijkse realiteit.

Maargoed, blijf vooral je wachtwoorden opschrijven en SMS gebruiken als een veilige extra factor, zolang je maar niet mijn data (die wettelijk gezien van mij is en slechts in tijdelijk specifiek gebruik bij een ander) ermee beveiligd en me niet lastig valt als het wel mis gaat.
Vooral dat laatste is het ergerlijke. "Help ik kan niet meer bij m'n hotmail/steam/facebook-account, wil je me helpen?" is wat er letterlijk minstens twee keer per week aan me gevraagd wordt.
ik schrijf mijn wachtwoord nooit op. Die onthoud ik.

Als ik niet bij mijn hotmail/steam etc. account kan gebruik ik dat handige linkje met 'wachtwoord vergeten?'
Dan krijg ik een mailtje met een linkje waarmee ik m'n wachtwoord kan wijzigen.
En het wachtwoord van mijn mailaccount is niet hetzelfde als de wachtwoorden op andere sites. Scheelt alweer.
Plus inloggen op m'n mailbox heeft weer 2FA :P (soms SMS, soms een app).
Dus dat zit wel snor.

Ik heb ook geen facebook account, scheelt al heel wat want dat zijn makkelijke hack-doelwitten qua aanleggen van lijsten met usernames en passwords.
Mijn account staat dus niet op dergelijke lijsten.
Mijn linkedin staat wel op haveIbeenp0wned maar daarvan heb ik inmiddels m'n mailadres al gewijzigd.
etc.

periodiek wijzigen van namen en wachtwoord helpt ook.

'maar goed, blijf vooral je wachtwoorden opschrijven'...
het is even een rare gedachtenkronkel maar is een password manager niet gewoon een variant van 'opschrijven'? Dat is dus het laatste wat je moet doen :)
Dat is totaal niet de reden dat sms 2FA onveilig is. de reden daarvoor is dat het (relatief) extreem goedkoop en eenvouding is om SMS'jes te onderscheppen. voor 2000 euro kan ik mn eigen telefoonmast bouwen. om nog niet te spreken over hoe slecht SS7 beveiligd is. steam 2fa heeft het zelfs zelf afgesteld dat hun 2fa code gewoon te zien is vanaf de lockscreen, terwijl mijn whatsapp berichten bijvoorbeeld wel afgeschermt zijn.

[Reactie gewijzigd door t link op 19 maart 2018 15:34]

Het is voor mij wel de belangrijkste reden. De kans dat een leerling het afkijkt bij een docent is namelijk enkele ordes van groottes groter dan dat een handige leerling de resources heeft om zoiets te bouwen.
Uiteraard zijn er situaties waarbij het een rede is, maar het is niet "levensgevaarlijk" om die reden. er is geen end all solve all beveiligings opzet. maar voor hoeveel mensen denk je dat dit relevant is? de veel grotere rede is dat het ongericht onderscheppen makkelijk is, iets wat criminele organizaties juist zoeken. grote buit, kleine kosten, en geen fysiek contact nodig.
Klopt, maar de attack vector is zeer breed en eenvoudig. Het ingeschatte risico dat het daadwerkelijk gebeurt is bij aftappen authenticatie zéér klein en bij meelezen/stelen toestel heb ik al 2 interne voorbeelden. Dus wat mij betreft; levensgevaarlijk.
ja in jou situatie levensgevaarlijk. dat is wat ik zeg, voor hoeveel mensen is dit nou extreem relevant? het is een beveiligingsrisico, maar niet HET beveiligingsrisico waarom het voor iedereen levensgevaarlijk is. de reden waarom het voor het overgrote gedeelte van de bevolking gevaarlijk is is omdat bijvoorbeeld de ING nogsteeds via sms hun TAN codes stuurt, of dat de DigID nogsteeds SMS codes gebruikt als enige vorm van 2FA. masaal ongericht onderschepbaar door criminelen voor minder dan 2000 euro aan hardware, tel uit je winst. de kans dat je gericht doelwit bent is gering voor de gemiddelde nederlander, de kans dat je in een sleepnet van criminelen beland is veel grooter. de bedreiging op het internet is al jaren niet meer scriptkiddies maar criminelen organizaties die maar op 1 ding uit zijn: geld verdienen.
DigiD stopt er niet voor niets dit jaar nog mee en ik geloof dat TAN-codes ook dit jaar einde verhaal worden. Allemaal omdat het zo makkelijk te omzeilen is.
Leuk dat DigiD ermee stopt, maar wat wordt het alternatief? ik was oprecht blij toen ze met een app op de proppen kwamen als inlog methoden. ik dacht "Yes! nu hoef ik niet meer op sms te leunen voor 2FA". dus ik die app installeren en isntellen, blijkt dat je met die app helemaal geen wachtwoord meer nodig hebt om in te loggen alleen een gebruikersnaam en die app. ja die app heeft een 5 cijfer code maar 3 keer raden wat 95% van de gebruikers als code gaat hebben. de code van hun telefoon maar dan het laatste cijfer dubbel. hetzelfde geld overigens voor de ING, betalen met hun QR code heb je alleen het 5 cijferige wachtwoord van de app voor nodig.

[Reactie gewijzigd door t link op 19 maart 2018 16:02]

DigiD stopt niet dit jaar (denk niet dat het project voor vervanging vlotgetrokken wordt) voor zover ik weet, maar de SMS-mogelijkheid verdwijnt wel dit jaar. De app blijft.
Dat bedoel ik dus, het is een compleet afgezwakte vorm van 2FA. een 5 cijfercode is nu je wachtwoord met die app. ik snap niet waarom ze niet gewoon een TOTP generator in de app hebben gebouwt en het standaard wachtwoord gehouden zoals met SMS 2FA. ik betwijfel sterk of via die app veiliger is dan de SMS methode.
Oh, dan is het even gevaarlijk als 2FA met een token. Immers als die gejat is kan iemand ook het tweede geheim zien. levensgevaarlijk is dan inderdaad nogal gechargeerd :). Maar het is zeker veiliger als je de code niet kunt zien zonder je telefoon te unlocken.
Hier ben ik het niet mee eens, het beste blijft gewoon een fysieke map in een kast/kluis die op slot kan met daarin je wachtwoorden zonder dat je erbij zet dat het wachtwoorden zijn noch voor welke site ze zijn, nummer ze gewoon en schrijf die nummers dan weer in je telefoon met de bijbehorende website. Als je het echt goed wil doen kan je ook nog een patroon aan tekens negeren (bijvoorbeeld de eerste 5 tekens) en uiteraard 2FA via FreeOTP of yubikey oid. een password generator is inderdaad wel echt een must. Het is alleen niet altijd praktisch als je die map alleen thuis hebt, in dat geval is het wel beter een password manager te gebruiken. ik weet gewoon de belangrijkste wachtwoorden uit mijn hoofd (bank, DigID, etc) dus ik heb dat niet echt nodig omdat ik voor de andere dingen nergens anders hoef in te loggen, dat kan thuis wel.

[Reactie gewijzigd door t link op 19 maart 2018 13:37]

Hier ben ik het niet mee eens, het beste blijft gewoon een fysieke map in een kast/kluis die op slot kan met daarin je wachtwoorden zonder dat je erbij zet dat het wachtwoorden zijn noch voor welke site ze zijn
Dit is dus echt totaal incorrect. Fysieke beveiliging is vele malen makkelijker te kraken dan digitale beveiliging. Tenzij je je gegevens bij de bank in de kluis legt (en dan niet bij Rabobank in Oudenbosch), heb je gewoon het soort beveiliging niet tot je beschikking. Terwijl je wél (op grote lijnen) dezelfde digitale beveiliging in huis kan halen als de grote banken. De goedgekeurde kluizen tot ongeveer ¤5000,- zijn open binnen no-time.

Echt, het is een fabeltje dat analoog spul beter beveiligd kan worden dan digitale dingen.
Ik denk dat je hier de kans op narigheid niet meerekent: het risico op malware dat je digitale wachtwoorden steelt lijkt me groter dan een dief in je huis die op zoek gaat naar een map met wachtwoorden om vervolgens alles te kraken. Het is wat anders als je een Bekende Nederlander of -Belg bent maar als doorsnee individu lijkt me een aparte map afdoende (er vanuit gaande dat je familie ter goeder trouw is :)).
Beveiliging is een totaalplaatje. MFA beschermt je maar ten dele. En wat malware allemaal wel en niet doet is niet zo relevant, ik wil best even met je doornemen hoe KeePass wachtwoorden opslaat (of dat juist eigenlijk niet doet op een bepaalde manier zodat malware er niet mee aan de haal kan gaan), maar dat is buiten de scope van de discussie en gaat volledig om het punt heen.
Wat je zegt, het is een totaalplaatje! Gebruiksvriendelijkheid heeft daarmee ook een belang in deze. Vooral mijn wat oudere familieleden komt een map met wachtwoorden erg goed uit. Ze ontkomen er niet aan om accounts te hebben en dit is een 'digibete' manier voor hen om toch verschillende wachtwoorden te hebben en ze nog te kunnen onthouden ook :)
En mijn 70-jarige pa gebruikt met veel plezier KeePass, omdat ik gewoon de moeite heb genomen om op een zondagmiddag een uurtje naast hem achter de computer te gaan zitten en hem uit te leggen hoe het werkt en waarom het zo belangrijk is. Hij heeft z'n map met papieren wachtwoorden niet meer bijgewerkt sindsdien.
Kudo's voor je pa! Echter is niet iedereen zo goed met digitaal. Ik kan mijn opa en oma blijven uitleggen hoe 't werkt maar ze zijn niet opgegroeid met een digitale wereld en het blijft ze toch wat vreemd, WhatsApp lukt ze nog net maar dat is het wel.

Maar wat je zegt, we glijden een beetje weg van de discussie. Wilde alleen even het punt maken dat een map zo gek nog niet is :)
Het hangt er vanaf tegen wie je je wachtwoorden wilt beschermen. Al je ze in een laatje op je kamer legt, zijn ze niet veilig voor je vrienden, maar wel voor hackers in het buitenland.
ik zeg ook niet dat fysieke beveiliging moeilijker te kraken is. ik zeg dat het een betere beveiliging is. er is zo veel dat mis kan gaan met een password manager, zeker omdat er zo veel troep bij komt kijken zoals automatisch invuldingen en weet ik veel wat. anoloog is het heel makkelijk en goed te volgen wat er gebeurt en wie je toegang geeft. neem bijvoorbeeld die reclame scam die laatst rondging, vulde de password managers doodleuk al je wachtwoorden op in. dan kan je digitale beveiliging nog zo goed zijn, je prikt het zo lek als de gebruiker geen goede digitale gewoontes heeft. bij anoloog heb je dat gewoon veel minder snel omdat het gewoon heel makkelijk redelijk goed te beveiligen is. de reden waarom de digitale beveiliging van banken zo goed is is omdat het experts zijn die de boel instellen en in de gaten houden, die edge verlies je als de gebruiker de boel zelf beheert. en die kluis is veel moeilijker masaal te kraken dan een password manager masaal te kraken is. dat is het o zo grote voordeel van anoloog bewaren. je hebt fysieke toegang nodig tenzij je het zelf voor een camera staat te zwaaien. de meeste mensen zijn nou eenmaal geen grote doelwitten om gericht te zoeken naar wachtwoorden, al helemaal niet als er nieteens duidelijk op staat dat het wachtwoorden zijn en ze ergens in het midden van je financieen gestoken zitten.
Beveiliging gaat niet alleen over kraken,zoals je het zelf hieronder zegt, het gaat over het totaalplaatje. moeilijk te kraken betekend totaal niet dat het een betere/veiligere oplossing is voor de eindgebruiker. Dat zijn twee compleet andere dingen.

En leuk dat je zegt "dat kan je ook niet gebruiken" maar dat soort dingen moet je maar net weten. dat is het geniale van anoloog bewaren, het is voor praktisch iedereen te begrijpen en te zien wat er moet gebeuren voordat iemand je wachtwoorden kan zien. iemand moet er optisch bij kunnen. bij een password manager is dat allemaal extreem abstract voor leken. heel belangrijk bij goede beveiliging is weten waar de zwaktes zitten als eindgebruiker, omdat je dan weet waarop je moet letten. dat is waarom ik met dat verhaal over reclames kom. als eindgebruiker had 99% van de mensen er nooit aan gedacht dat dit kon. Hoevaak hoor je dat iemands fysieke map met wachtwoorden is gestolen? en hoe vaak hoor je dat er op een of andere manier wachtwoorden zijn ontfutselt uit een password manager? ik had misschien niet moeten zeggen dat het een betere oplossing is, want dat is het absoluut niet in alle situaties. maar voor veel mensen is het wel de betere oplossing. voor andere mensen (die veel wachtwoorden op verschillende plekken toegang tot moeten krijgen bijvoorbeeld) is het beter als ze een digitale passwordmanager hebben. het is ongeloofelijk moeilijk massaal mappen met wachtwoorden te stelen. het geniale van die hobby oplossingen is dat het niet universeel toegepast gaat worden, waardoor dat ook niet masaal te "kraken" is.

[Reactie gewijzigd door t link op 19 maart 2018 15:15]

Ben ik niet met je eens. Offline opgeslagen gegevens (bijv. uitgeprint in een kluis) zijn onmogelijk te bemachtigen zonder fysieke toegang. Dat is een héél groot voordeel, want fysieke toegang tot een kluis blijft eigenlijk nooit onopgemerkt.

Los daarvan ontslaat dit je niet van het óók gebruiken van een password manager, want voor iedere keer dat je moet inloggen je kluis openen, het wachtwoord opzoeken, overtypen en weer terugstoppen is geen werkbare situatie. Voor een backup echter werkt het prima.
lol, waarom pretendeer je een discussie te voeren als je met dit soort dooddoeners komt...
Het is geen dooddoener. Je kan het niet oneens zijn met feiten. Simpel. Ik voer geen discussie over feiten, ik gebruik feiten ter ondersteuning van de discussie. Hieronder heeft iemand het ook over "ja maar leken weten dat ook allemaal niet". Ja, sorry, daarom hebben we experts. Luister naar de experts. Fysieke beveiliging is leuk en aardig, maar digitale beveiliging van gegevens is vele malen betrouwbaarder, heeft een veel groter en makkelijker audit-trail, et cetera. Je opmerking klopt gewoon niet, wat voor zin heeft het om te discussiëren als waar je je op baseert gewoon feitelijk onjuist is?
en het masterpassword moet je ook bewaren, en hackers hoeven dan maar 1 wachtwoord te hacken om toegang te krijgen tot AL die andere wachtwoorden... ook niet veilig.

Een password-manager wordt een doelwit zodra iedereen het gaat gebruiken, en vereist maar 1 wachtwoord. En wat is een 'sterk' wachtwoord?
Geen dictionary-passwords... maar wat is echt veilig? Een paar hoofdletters, kleine letters en cijfers zijn ook zo gekraakt door een tooltje, het wordt moeilijker met speciale tekens maar dan nog...

het periodiek wijzigen van wachtwoorden en het niet hergebruiken van dezelfde wachtwoorden op meerdere websites is stukken veiliger volgens mij dan een kluisje maken met 1 sterke sleutel.
Hackers hoeven dan maar 1 wachtwoord te kraken in plaats van meerdere.

Ik gebruik dus geen passwordmanagers nee, want ik vertrouw ze niet.
Daarnaast maak ik gebruik van 2FA, met SMS of authenticators. Ik zie niet in waarom een SMS perse zo makkelijk te kraken is. Nummers porteren etc. etc. waarom zouden hackers zoveel moeite doen? Die willen het liefst zo goedkoop mogelijk en zo snel mogelijk buit verzamelen en ze gaan echt geen telefonie-centrale inrichten voor 1000+ dollar en daar serieus werk van maken.
Daarnaast heb je diverse websites/games die extra opletten op geografische locatie, extra opties zoals pinpointen op device dus er komt altijd een extra melding als er op een nieuw apparaat ingelogd wordt.
Een extra mailtje naar een mailadres die wel een ander wachtwoord heeft dan alle andere websites.

MFA lijkt me dan weer stukken beter dan een password-manager.
Passwordmanager = 1x het wachtwoord kraken en je hebt alles in handen
2/MFA = niet alleen het wachtwoord moeten kraken maar ook nog eens de beschikking moeten hebben over de smartphone van de gebruiker en dat wordt al moeilijker.

'ja maar je kan het nummer spoofen/porteren'. Oh ja? Welk 06-nummer hoort er bij mijn loginnaam en wachtwoord dan? Moet je ook eerst maar eens zien te achterhalen.
'ja maar je kan de site hacken en zo de authenticatielogs zien en achterhalen naar welk 06-nummer iets wordt verstuurd'.... ja maar als je al zo ver denkt, is een password manager stukken onveiliger want daar hoef je minder voor te doen dan een heel spoofing/portering feestje op te tuigen en de hele achterliggende website te hacken.

Je kan heel krampachtig zijn en roepen dat het allemaal niet veilig is, maar waarom zou een password manager wel veiliger zijn dan 2FA en hoe realistisch is het dat je account gehacked wordt?
Staatshackers komen er vast wel doorheen, ongeacht wat je doet, maar gemiddelde hackers zijn lui en pakken gewoon de volgende naam op de lijst om te proberen als ze het de eerste minuut niet lukt om in te loggen op je account.
Mja, de vraag is waar je tegen wilt beschermen.

Tegen de NSA, dan is er eigenlijk geen kruit gewassen, doe geen specifieke moeite.

Tegen cybercriminelen op je computer thuis. Klein opschrijfboekje onderin de la kan echt geen kwaad.
Niemand die MI-stijl gaat inbreken om jouw passwords te jatten.

Tegen sneaky familieleden (denk aan kinderen). Zit niks anders op dan regelmatig de wachtwoorden te wijzigen (met name kinderen hebben supergoede geheugens en zee-en van tijd om je wachtwoorden te hacken), dus kies voor een passwd-manager. Wijzig ook het wachtwoord van de password-manager.
Je wil je juist beschermen tegen huis-, tuin- en keukencriminelen. Criminelen die slim babbeltrucs toepassen (waar niemand in zal trappen natuurlijk, behalve dan dat bijna iedereen er daadwerkelijk intrapt), die hebben hier oog voor. We hebben het over "high-tech crime" maar zoveel high-tech-kennis heb je er niet meer voor nodig. Alleen training.

Het is trouwens bad practice om wachtwoorden te wisselen. Gebruik binnen de manager willekeurig gegenereerde wachtwoorden en voor dat hoofdwachtwoord zelf gebruik je een wachtwoordzin die moeilijk te brute forcen is én niet in dictionaries voorkomt zoals: Ditiseenvandesterkstewachtw00rdendiemakkelijkteonthoudenis:^

[Reactie gewijzigd door deadlock2k op 19 maart 2018 16:30]

Het nadeel daarvan is dat ik geen zin heb om iedere keer een enorm wachtwoord te gebruiken om mijn password manager te unlocken. (Ik heb nou eenmaal dikke vingers, dus het wordt dan helemaal irritant).

Security vs. usability blijft een issue.

Helemaal als je nagaat wie je doelgroep is. Opa en oma (ja, juist diegene die slachtoffer worden van de babbeltruc), hebben geen zin om iedere keer weer in de telefoon te hangen om uitleg te krijgen over de password manager. Liever dat ze een zwart boekje hebben dat ze snappen, dan dat ze allemaal post-its rond het scherm hangen.

Het betere is vijand van het goede.
"Your brain is a very bad password manager. It's incapable of storing more than a couple of genuinely random strings of reasonable length (apologies if you're a savant and I've unfairly characterised you in with the rest of our weak human brains). That leads to compromises. If you're one of these people who says "I've got a formula that always gives me unique passwords that are strong", no you don't, they probably aren't and no they're not. You're making concessions on what we empirically know is best practice and you're kidding yourself into thinking you aren't."

- Troy Hunt, https://www.troyhunt.com/...tter-than-not-having-one/
ben ik het echt niet mee eens. Bepaalde dingen kan je trainen...
Nee, generiek gezien is het menselijk brein inderdaad niet toereikend, maar zoals gezegd kan je je geheugen trainen.
Denk aan die zogenaamde 'mind palace'. Met ezelsbruggetjes en andere methoden kan je enorm veel onthouden als je zou willen.
Dit zou je ook toe kunnen passen op wachtwoorden, en dan kan je uiterst complete wachtwoorden creeëren... als je zou willen.
Het probleem ontstaat als je je wachtwoord regelmatig wijzigt, dat maakt het onthouden weer wat moeilijker.

maar voor zover ik weet is het grootste gevaar de lange lijst met eerder gehackte gebruikersnamen en wachtwoorden. Men gaat echt geen brute-force/decryptie toepassen. Men copy paste de bekende informatie gewoon bij verschillende websites, evt. met een kleine wijziging in het wachtwoord als probeersel maar als men er daarmee niet doorheen komt gaat men gewoon verder met de volgende naam op de lijst.
Als je dan hetzelfde wachtwoord gebruikt overal voor dan kan men overal inloggen ja.

Maar zodra je verschillende mailadressen gebruikt als loginnaam, met minimaal twee sets wachtwoorden, hoef je veel minder te onthouden en kan men niet zoveel met de gehackte usernames/passwords.

[Reactie gewijzigd door tyrunar op 19 maart 2018 12:51]

feit blijft dat je zelfverzonnen wachtwoorden hebt die eenvoudiger te kraken zijn dan een randomly generated variant. Voor het geval je gebruik maakt van een een of andere website die een database dumb had die zn wachtwoorden als md5 hash opslaat ofso (ja die bestaan nog steeds).

5*pGww-TYU7Zxu}dpZ)}~E3G7M`7*HtL is gewoon moeilijker te achterhalen dan "<naam van huisdier><huisnummer>!" oid. Tenzij je wil beweren dat al je wachtwoorden die je in gebruik hebt allemaal van die random variant bent. Dan ben je of een supermens of je heb er heel weinig en dan ben je weer terug bij het oorspronkelijke probleem.

Gebruik gewoon een wachtwoord manager, onthoudt 1 ingewikkeld random ding, en laat de rest aan dat programma over die daar goed in is.

just my 2cents, doe ermee wat je wil o/
Vandaar dat wachtzinnen een veel beter idee zijn.
"IkHebEenGeweldigHuisdierDatxxxxxHeet_16473"
is een heel sterk paswoord. Het heeft absoluut geen zin om te trachten een volledig willekeurige reeks aan karakters te proberen te onthouden. Ze zijn uit noodzaak vaak te kort om een brute force attack mee te stoppen en je gaat vaak paswoorden hergebruiken en langer aanhouden dan nodig.

Edit: spelfoutje

[Reactie gewijzigd door Mamoulian op 19 maart 2018 13:16]

uitstekend idee zo'n wachtwoordzin! Helemaal mee eens. Gebruik er 1 als je master password voor je password manager en laat de rest lekker aan dat programma over :D Scheelt een hoop dingen onthouden
uitstekend idee zo'n wachtwoordzin!
Ik heb nooit iets gezien in wachtwoordzinnen als masterpassword. Veel te lang om regelmatig in te typen, en als 't eenmaal in handen is gevallen van een crimineel, ligt de toegang tot alle systemen waar je een wachtwoord voor gebruikt, op straat.
Volgens mij niet zo sterk omdat het bestaande woorden zijn.
IkHebEenGeweldigHuisdierDatxxxxxHeet_16473 :
Als xxx Fido is, dan zijn het 8 woorden met wat extra's.

Het is volgens mij veel beter spelfouten te maken of woorden af te breken:
IkHbEenGewldigHusdirDtxxxxxHeet_16473

Of:
kHbEnGwldgHsdrDtxxxxxHt_16473 :
Heeft geen zin omdat:
- het opnieuw het paswoord moeilijk maakt om te onthouden
- Nederlands niet zo bekend is en niet zo vaak in rainbow tables en zo voorkomt
- je met 5-7 woorden al zo een grote mogelijkheid aan combinaties hebt dat je brute force bijna kan uitsluiten.
Nu, indien je het nog complexer wilt maken kan je bijvoorbeeld woorden uit het dialect gebruiken of je "salt" (niet echt een salt natuurlijk) complexer maken. Indien dit nog niet volstaat zou ik je doorverwijzen naar een password manager.
huisdier+nummer is niet iets wat ik gebruik ja.

Ik gebruik combinaties van speciale tekens zoals hashtags, random woorden uit mijn hobby uit een niet-gangbare taal (oud noors, keltisch) gemixed met leetspeak, en dan een nummer erachter.
Alle nummers en woorden zijn niet herleidbaar naar mijn persoonsinformatie zoals huisnummers, geboortedatum oid. Iemand die mij niet persoonlijk kent, zal nooit weten wat die nummers en woorden zijn.
Koppel dat met 2FA (SMS of authenticator-app) inclusief hardware-detectie en geografische locatie en je bent veilig genoeg voor 99% van de hackers.

Als ik vanochtend ben ingelogd in Nederland, en rond de middag komt er een inlogpoging vanuit Tokyo dan is dat verdacht en gaat er eerst een mailtje naar mijn adres met de melding dat het is gebeurd en dan kan ik zelf aangeven of het legitiem is of niet.
Of een nieuwe machine of herinstallatie? Dan detecteert ie dat ook: nieuw device, klopt dat?
Nee.

Genoeg mogelijkheden naast een passwordmanager om de boel te beveiligen.

Ik houd gewoon niet van password-managers. Ik leg mijn beveiliging daarmee sterk bij een 3rd party tool neer en daar houd ik niet van.
Password-managers worden gehacked, of het masterpassword wordt gehacked.
En daar houd ik niet van.
1x een keylogger en het masterpassword is bekend, en dan heb je in een klap toegang tot ALLE andere wachtwoorden.
Maar stel, ik log maar 1x per jaar in op digid met een ander wachtwoord tussen 1 maart en 1 april voor de belastingaangifte, en mijn masterpassword wordt gehacked op het moment dat ik op facebook wil inloggen op 1 september, dan hebben hackers ook direct mijn digid wachtwoord te pakken ook al heb ik dat wachtwoord al maandenlang niet gebruikt. Nee, daar houd ik niet van.

Een kluis met een goede sleutel en daarbinnen ligt alles kant en klaar inzichtelijk... voor geen goud.
ik ga je toch niet kunnen overtuigen, iedereen zijn eigen mening, maar ik raad je toch sterk aan de blogpost van troy hunt, en als je dan toch bezig bent een paar andere van hem over hetzelfde onderwerp, eens te lezen. Ik ben van mening dat het gebruik van een password manager een heel stuk veiliger is dan proberen alles zelf te onthouden met wat voor een systeem dan ook.

2fa, een mail-alert als er een rare login plaats vind, etc, ben je allemaal afhankelijk van het ding waar je een account hebt om dat te ondersteunen. Het beheren van wachtwoorden heb je 100% zelf in eigen hand.
ik vertrouw de lui van keepass/1password/whoever toch een stuk meer dan mezelf om een good geschreven passwordmanager te maken met encryptie die in orde is
en keepass en 1password zijn toch ook al wel in het nieuws geweest vanwege lekken etc.
De hele 'hetze' tegen 2FA alhier ten gunste van password managers wordt daarmee wel uitgebalanceerd.

Geen van beide is waterdicht.
In geval van 2/MFA heb je tenminste nog meerdere factoren (duh, what's in name).
Met die password managers heb je 1 bron waar je je als hacker op kan richten.
Lijkt me een stuk makkelijker voor luie hackers, dus die nemen gewoon niet eens de moeite om aan de slag te gaan met SMS/auth app hacking.
Alles zelf schrijven is echt niet veiliger. Zo kan je als 1 ontwikkelaar echt niet op de hoogte zijn van alle security features, zal je nooit net zo veel kennis hebben als een geheel ontwikkelteam (welke vaak fulltime met een applicatie bezig is) en zal je zeker niet zoveel tijd in je applicatie kunnen stoppen als een heel ontwikkelteam (dus ook niet als het mis gaat).

Buiten dat je zelf niet alles kan weten speelt natuurlijk ook nog budget. Bedrijven doen vaak periodiek een security audit en worden diverse tools ingezet om te monitoren of alles nog goed loopt.Tevens wordt alles redundant uitgevoerd en gebeuren en nog veel meer dingen die je als gebruiker niet ziet.
Dit is iets wat je als enkele ontwikkelaar vaak niet bekostigd krijgt.

Ik snap best dat (closed source) 3th party software i.c.m jou wachtwoorden een enge gedachten is, maar ik zie persoonlijk liever een goed ontwikkelde/onderhouden/gemonitorde 3th party tool dan een tool met 1 ontwikkelaar.
Koppel dat met 2FA (SMS of authenticator-app) inclusief hardware-detectie en geografische locatie en je bent veilig genoeg voor 99% van de hackers.
Ik mag hopen dat het méér dan 99% van de hackers is. Stel, er zijn 50.000 hackers op aarde. Dan zijn er dus al 500 hackers die er toch in kunnen slagen om er doorheen te breken. En, bijv. in 't geval van een passwordmanager, hoef je maar één (niet 500) hacker te hebben, om wereldwijd onnoemelijk veel schade aan te richten.
en zeker als het zo'n passwordmanager is die z'n spul in de cloud neerzet... een keer goed inbreken en je hebt ineens duizenden wachtwoorden in bezit, zo niet miljoenen.
Nee lekker dan :P
Als één van de bekendere passwordmanagers compleet gehackt zou worden, gaat het om miljarden wachtwoorden.
Praktisch toepasbaar en "het kan" zijn toch twee hele verschillende dingen.

Een wachtwoordmanager is vele malen beter dan geen wachtwoord manager. Een ouderwets A4 tje in een kluis met code/slot dient hetzelfde doel en is ook beter dan niks.

Security kost moeite en verpest de eenvoudige workflow die iedereen gewend is. Dat gaat nog jaren duren eer we dat ingeburgerd krijgen, als het ooit gebeurt. Met de tinfoil-hat werkt de overheid dit bewust tegen, omdat het 't spioneren eenvoudiger maakt. Er zijn genoeg goede tools en techniek, maar tot het ingeburgerd is maakt het weinig uit.
Je kunt best een flink aantal random strings onthouden, het kost alleen tijd en moeite om ze uit je hoofd te leren.
gaat je niet lukken als je zo'n 100+ accounts heb van van alles en nog wat waar je tegenwoordig een account voor nodig hebt. En waarom zou je die moeite erin steken als je het heel simpel kan oplossen door het gebruik maken van een programma die het 100 keer beter kan dan jij?
Ik geloof dat de meeste mensen dat best kunnen. Het moet ze alleen wel wat opleveren. En het is heel veel werk. Een pw manager oid is nu eenmaal makkelijker.

Als je kijkt wat voor idiote codes sommige mensen voor hun werk uit hun hoofd kunnen leren dan ben je nog wel eens verbaasd.

[Reactie gewijzigd door Origin64 op 19 maart 2018 22:21]

I changed all my passwords to 'incorrect'.
So whenever I forget, it will tell me 'your password is incorrect'.
http://s2.quickmeme.com/img/3b/3b6199912965e3e396ab0b8caa88cfc38ee558dbfe3188fe0496cbdf6bab5b30.jpg
Knap met al die tientallen verschillende websites waar je een wachtwoord nodig hebt tegenwoordig ;) Leve het fotografisch geheugen :)
Tenzij hij voor alles hetzelfde wachtwoord gebruikt natuurlijk, of van alles een zeer eenvoudige kopie heeft als wachtwoord.
niet voor alles hetzelfde wachtwoord.
Minimaal een opsplitsing tussen belangrijke zaken en minder belangrijke zaken dus als de een gehacked wordt kunnen mensen er niet mee inloggen op erg belangrijke dingen met betalingen etc.
Verschillende mailadressen en verschillende wachtwoorden.

Maar niet voor elke website een ander wachtwoord nee.
heel gemakkelijk te hacken, gewoon een phishing mailtje sturen en je krijgt een heleboel wachtwoorden voorgeschoteld.
ik reageer niet op phishing mailtjes dus mijn wachtwoord krijgen ze daarmee niet.
Inmiddels heb ik meer dan 150 wachtwoorden, ben benieuwd hoe je dat zonder manager of simpel te kraken ezelsbruggetje gaat onthouden. Nu geen enkel dubbel, kort of op elkaar lijkend wachtwoord .
dubbel mag best, op elkaar lijkend ook.
150 is een leuk aantal. Een van de trucs is dan ook het terugdringen van het aantal accounts dat je hebt :P
Misschien niet te hacken, maar wel eenvoudig te voorspellen en uitermate beperkt in het opslaan van willekeurige wachtwoorden van meer dan enkele karakters. Tenzij jij wilt zeggen dat je meer dan 50 wachtwoorden van ~64 willekeurige karakters allemaal uit je hoofd kent?
wat is willekeurig?
Stel dat je gedichten of verhalen uit je hoofd kent en de eerste letters van elk woord gebruikt als wachtwoord? Afwisseling van hoofdletters en speciale tekens is natuurlijk de valkuil, maar lange wachtwoorden van 'random' karakters zijn mogelijk tot op zekere hoogte.
Dan kan ik al je wachtwoorden achterhalen door een gedichtenboek te kopen.

Het probleem is dat je met zelfbedachte wachtwoorden altijd een bepaalde 'seed' gebruikt, zoals dat ook bij een pseudorandom generator wordt gebruikt (wachtwoordmanagers, werkelijke willekeur bestaat niet in dieze situatie). Het verschil met een 'echte' pseudorandom generator is dat je er geen cryptografisch proces overheen legt, en het vaak gemakkelijk is om de seed te achterhalen. Daarnaast is de seed vaak ook een geheugensteuntje, waardoor dit met social engineering te achterhalen is.

Mijn seed in Keepass is 30 seconden rondjes draaien met mijn muis. Dat is niet redelijkerwijs te voorspellen.
en toen deed Keepass het niet meer.
En dan?
Dan gebruik ik een andere client die het open-source bestandsformaat kan lezen :+ Of ik downgrade gewoon een versie.
Toevallig zag ik de gebreken van Firefox' wachtwoordmanager afgelopen week nog onder ogen. Ik heb deze nooit vertrouwd, maar heb toch toegegeven om een aantal dagelijkse logins op te slaan. Toen ik een van deze wilde wijzigen, zag ik dat met een druk op de knop alle opgeslagen wachtwoorden in plain-text zichtbaar worden. Iemand die 5 seconden toegang heeft tot je pc kan deze dus achterhalen.

Geen idee of een hoofdwachtwoord hier nog verandering in brengt, maar als ik deze telkens moet invoeren, kan ik net zo goed de (veel betere) Enpass add-on blijven gebruiken.
Google Chrome heeft ongeveer hetzelfde probleem, al moet je daar eerst je computer login paswoord ingeven vooraleer je een paswoord zichtbaar kan maken. Dat maakt het toch al iets moeilijker voor iemand die snel even een paswoord wil achterhalen als je vergeten bent je computer te locken, maar lijkt me nog altijd niet veilig genoeg.
Ik moet toch ook echt eerst mijn 'hoofdwachtwoord' invoeren voordat ik mij wachtwoorden kan inzien in Firefox.
Het gaat hier niet eens over de use-case vanuit het gebruikers-perspectief.
Het gaat erom dat de password-database, zelfs met een master password, niet afdoende beveiligd is.

De use-cases waar de aanvaller zich zorgen om maakt zijn vooral de use-cases waarin een derde partij, bijvoorbeeld door middel van malware, een gehackte server, of rondslingerende backups, gewoon een kopie kan maken van de database met wachtwoorden, zonder dat zij het hoofdwachtwoord weet.

Als de bescherming slechts een salt (die is te achterhalen) en een enkele sha-1 iteratie is, dan is een brute-force aanval in veel gevallen niet complexer 94lengte van wachtwoord. Het getal 94 komt van het aantal karakters dat er doorgaans op een toetsenbord zit en de lengte is het aantal karakters in een wachtwoord. Doorgaans zijn wachtwoorden niet langer dan 12 karakters. Effectief is er hiermee de entropie van het probleem kleiner dan 2^55 (vergelijkbaar met een sleutellengte van 55 bits). De EFF bewees in 1998 al dat een brute-force aanval van een dergelijke complexiteit toen al haalbaar was. Het kostte hen de eerste keer 56 uur en bij een latere aanval zelfs minder dan 23 uur. Met de rekenkracht en compute clouds van nu (20 jaar later) zal het waarschijnlijk nog wel een fors eind sneller gaan.

In mijn ogen is het dan ook niet meer dan terecht dat iemand Mozilla nu eindelijk eens een schop onder de kont geeft en daarmee het probleem weer hoog op de agenda zet.
Welke browser doet het dan wel goed? Persoonlijk gebruik ik al jaren Opera op de PC, maar die zou nu op dezelfde engine als Chrome draaien...
de engine heeft er weinig mee te maken volgens mij, die zorgt voor het renderen van de broncode
Welke browser doet het dan wel goed?
Als ik helemaal goudeerlijk tegen u ben is het antwoord:
Ik heb werkelijk geen idee welke browser het wel goed doet, maar Firefox op dit moment in ieder geval niet.

Ik verwacht van de andere webbrowsers niet dat zij veel beter zijn, omdat de browsers voor hun eigen interface vaak ook overal javascript, xml en/of html voor gebruiken. Dit zijn precies dezelfde talen waar praktisch elke website mee werkt en er worden regelmatig lekken in browsers gevonden die men met deze talen kan misbruiken. Hierdoor is het simpelweg bezoeken van de verkeerde webpagina al een aanzienlijk risico.

Om het allemaal nog een slagje erger te maken: Er is een universeel mechanisme dat gebruikt kan worden om alle wachtwoorden, favorieten, cookies enzovoorts te exporteren naar een andere webbrowser. Als ik een malwareschrijver zou zijn, zou dat mechanisme natuurlijk één van de eerste methoden zijn die ik zou gebruiken in een poging om alle informatie van een gebruiker te stelen. Het gaat namelijk sneller dan u met uw ogen kunt knipperen en zonder dat u er zelf iets van ziet.

En daar komt dan nog eens bovenop dat webbrowsers zo verdomd snel worden ontwikkeld dat het bijna onmogelijk is om alle wijzigingen bij te houden en alles op beveiligingsproblemen te onderzoeken. Het is dus niet de vraag "of" het een keer fout gaat, maar "wanneer". Het overkomt zelfs de grootste en meest capabele technologie-giganten zoals Google, Facebook, Microsoft en Apple dat zij, of één van hun engineers (en die moeten toch echt weten wat ze aan het doen zijn) wordt gehackt en/of dat zijn of haar gegevens worden gestolen. Het is dus naïef om te denken dat u als privépersoon, hoe technisch u ook bent, hier nooit een slachtoffer van zal worden. U zult dus zelf een aantal barrières op moeten werpen.

Als u zekerheid wilt, voor zover dat mogelijk is, dan moet u dus voor iedere website en ieder apparaat een lang en willekeurig gegenereerd wachtwoord gebruiken. U gebruikt dus nooit op twee plaatsen hetzelfde wachtwoord en u moet zich goed realiseren dat de wachtwoorden die u als mens zelf verzint, vrijwel altijd ontzettend slecht zijn.
Daarnaast moet u geen interne password-managers gebruiken die in een webbrowser zijn ingebouwd (Firefox, Chrome, Safari, Opera, Edge, enz), of externe passwordmanagers die via een extensie in de browser worden "ingeprikt" (Lastpass valt dus ook af).

U bent het beste af met een password-manager zoals bijvoorbeeld KeePass. Dat programma kan voor u een uniek willekeurig wachtwoord maken en onthouden voor iedere apparaat en iedere website die u bezoekt. Het programma "typt" het wachtwoord gewoon voor u in en daarmee bent u af van alle mogelijke lekken in de webbrowsers en websites.

Het enige nadeel is dat u er verstandig aan doet om ook die database met wachtwoorden van KeePass zelf, niet rond te laten slingeren. Dus koop twee USB-sticks, waar u deze database op bewaart. De eerste gebruikt u hoofdzakelijk en de tweede stick is uw backup voor het geval dat de database op de eerste stick kapot gaat, of voor het geval u de eerste stick verliest.

Het is een hoop gedoe, maar de barre realiteit is dat er momenteel maar een handje vol methoden zijn die net zo goed of "beter" en "veiliger" zijn dan de ouderwetse wachtwoorden en praktisch al deze methoden zijn niet universeel toepasbaar èn ze vereisen dat u een extra apparaat (random-readers, digipassen, of smartphones met Authenticator-achtige apps), smartcards (ziet er meestal uit als een bankpas), sleutelhangers, usb-sticks of iets anders met u mee moet slepen.

Het is dus helaas niet anders en KeePass op een usb-stick is dan waarschijnlijk nog de meest werkbare, eenvoudige en low-budget oplossing van allemaal. Ik vrees dat het met minder maatregelen toch echt gokken blijft of u uw wachtwoorden veilig en geheim kunt houden.

[Reactie gewijzigd door vliegendekat op 20 maart 2018 12:09]

Het gebruiken van soms dezelfde paswoorden heb ik jaren geleden al afgeleerd door een hack/bug via mijn toenmalige dlink router. Ik had er toen al meedere , maar toevallig wel een mail account met hetzelfde paswoord. Sindsdien gebruik ik password safe, iedere website ander paswoord ... iets idem aan Keepass dus. Verder is het gewoon op disk bewaard hier. USB stick zou idd de next step kunnen worden, al moet ik die dan wellicht labelen om hier niet per ongeluk gewist te worden naast alle andere sticks die hier rondslingeren soms :)
Dus om het in lekentaal te zeggen: Niet zozeer het feit dat je in moet stellen dat je kluis op slot valt als je hem dicht doet maar dat de kluis van slecht, zwak, materiaal is?
Ik schop met je mee ;) Ik gebruik Bitwarden in Nightly alsmede in Chrome.
Mits je dit hebt ingesteld. Standaard zit er geen hoofdwachtwoord op dat de opgeslagen wachtwoorden versleuteld.
helemaal waar, is ook al een tijdje geleden dat ik het heb ingesteld. eigenlijk behoorlijk vreemd dat niet standaard is.
Dat is omdat je dat zelf ingesteld hebt. Standaard kan het zonder masterpassword.
Toevallig zag ik de gebreken van Firefox' wachtwoordmanager afgelopen week nog onder ogen. Ik heb deze nooit vertrouwd, maar heb toch toegegeven om een aantal dagelijkse logins op te slaan. Toen ik een van deze wilde wijzigen, zag ik dat met een druk op de knop alle opgeslagen wachtwoorden in plain-text zichtbaar worden. Iemand die 5 seconden toegang heeft tot je pc kan deze dus achterhalen.

Geen idee of een hoofdwachtwoord hier nog verandering in brengt, maar als ik deze telkens moet invoeren, kan ik net zo goed de (veel betere) Enpass add-on blijven gebruiken.
Zoals het artikel al vermeld: "Het is algemeen bekend dat het opslaan van wachtwoorden zonder hoofdwachtwoord in feite hetzelfde is als ze onversleuteld opslaan".
Zodra jij een hoofdwachtwoord instelt zal Firefox hier om vragen wanneer je de plaintext versie van de wachtwoorden wilt uitlezen, ook als je database al unlocked is.

Overigens hoor je gewoon je werkplek te locken als je deze verlaat, dan heeft iemand die 5 seconden toegang ook niet. :)
Absoluut, in diezelfde tijd kan er ook gewoon een keylogger geinstalleerd worden of andere zaken waardoor de computer helemaal niet meer trusted is.
Overigens hoor je gewoon je werkplek te locken als je deze verlaat, dan heeft iemand die 5 seconden toegang ook niet. :)
Agree. 5 seconden lijkt me genoeg om een keylogger te installeren. Anderzijds, een hardwarematige keylogger installeren kan ook als de computer uit staat, dus de zwakste schakel in beveiliging zit in mijn ogen tussen je toetsenbord en je USB-controller.
Alle browsers laten je wachtwoorden in één druk op de knop zien.
In Chrome kan dit ook: zie documentatie (en je kunt ze daarnaast ook op het web zien)
Dat je je wachtwoorden in plain text kunt zien is geen probleem, het is zelf nodig hoe moet FF anders het wachtwoord ingeven, dat is bij andere managers ook niet anders...maar dat ik gok miljoenen gebruikers wachtwoorden zonder master wachtwoord opslaan (en niet eens gewaarschuwd worden, in tegendeel ze worden zelf aangemoedigd bij elke login) (of een slecht masterwachtwoord gebruiken) is wel een probleem, naast het feit dat de encyptie met master wachtwoord mager is.

[Reactie gewijzigd door Clemens123 op 19 maart 2018 12:15]

Je moet natuurlijk wel een hoofdwachtwoord instellen, anders zijn de paswoorden inderdaad in plain text opvraagbaar.

Als je een hoofdwachtwoord instelt dan moet je dit 1x ingeven bij het starten van Firefox. Je moet het hoofdpaswoord nogmaals invoeren als je in de paswoord manager van Firefox de wachtwoord wilt tonen.

Als je gaat syncen met een andere computer, moet je ook op die andere computer weer een hoofdpaswoord instellen, die instelling wordt niet mee gesynct.
Oh, dat syncen gaat plain-text?
De database met wachtwoorden is lokaal geëncrypteerd met een master password, het syncen van die wachtwoord database start pas wanneer je die ontgrendelt met het master password na het starten van Firefox.
Het sync proces gebruikt dan de niet geëncrypteerde paswoorden maar encrypteert die dan weer met de sleutel van je Firefox sync account. Bij jouw anders toestel waar je synct worden die dan gedecrypteerd en opgeslagen in de wachtwoord database, die je dus ook op dat toestel moet beschermen met een master paswoord.

De encryptie van de wachtwoorddatabase lokaal en de encryptie in de Firefox sync account zijn dus losstaand van mekaar.
Wat een veel groter probleem is, is dat software van 3e partijen (een virus bijvoorbeeld) ook die database kan inzien en kan doorsturen.
Een hoofdwachtwoord zal je wel beschermen tegen iemand die "even snel" probeert je passwords te bekijken als je vergeten bent je computer te locken, maar als de gegenereerde key zo makkelijk te bruteforcen is als bij firefox blijkbaar het geval is, kan een 3e partij die deze bemachtigd heeft er alsnog vrij makkelijk bij.
Ik vind deze "bug" in thunderbird wel handig eigenlijk.
Onlangs op een nieuwe pc overgestapt en bij god het wachtwoord van een ouder mailaccount niet meer weten...
Even spieken in de ouwe settings, presto! ;)
In plaats van te mekkeren over hoe slecht het allemaal wel niet is hadden ze ook een bugreport + patch kunnen indienen. Was sneller en netter geweest dan nieuws proberen te scoren.
Het bugreport is dus al 9 jaar geleden ingediend. Er is alleen niets mee gedaan.
bron. Recentelijk is er dus een nieuw bug report ingediend.

[Reactie gewijzigd door walteij op 19 maart 2018 11:53]

En daarom dus de suggestie dat ze gewoon een patch bakken.
Ik heb in de loop der jaren drie bugs gemeld bij Mozilla, maar nog nooit een patch gebakken. Had geen idee dat dat nodig was om je bug report serieus genomen te zien. :/
Dit soort crypto-patches "bak" je niet zomaar. Het kost zo een volledige maand aan manuren om dit "te bakken", testen en door de audits te krijgen. Reken maar dat dit soort delen van de browser zeer goed bekeken moeten worden en dat je daarnaast ook nog eens moet vechten tegen de interne politiek van Mozilla. Als buitenstaander is het dus onbegonnen werk.
Een probleem vinden en een probleem oplossen zijn twee verschillende disciplines. Niet elk persoon die code kan lezen weet ook hoe je een probleem oplost. Bij het vinden van een bug hoef je niet de code base te kennen, je hoeft niet na te denken over backwards compatibility, het selecteren en implementeren van crypto library (waar hopelijk nog wat discussie aan vooraf gaat in plaats van dat de vinder van een bug dat bepaalt) en het schrijven van automated tests.

Desalniettemin neem ik het Firefox kwalijk dat ze zo laks hebben gereageerd op een steeds ernstiger wordend beveiligingsprobleem, want steeds snellere computers.
Het gaat over iets wat 9 jaar geleden ook al gemeld was. Dan denk ik dat alle stappen die jij beschrijft al gedaan zijn, wat het artikel ook al aangeeft, en dat de publiciteit opzoeken misschien dan toch wel een goede optie is, zeker gezien het feit dat ze nu bezig zijn hier verandering in te gaan aanbrengen, getuige het artikel...
Daarom, zoveel mogelijk 2FA gebruiken (wat ik trouwens wel mis bij Tweakers). Dan heb je in elk geval een fall-back mochten je wachtwoorden toch ergens buitgemaakt worden.
Op welke wijze geeft 2FA een fallback? 2FA is in de praktijk niet veel meer dan een workaround omdat websites vaak slecht beveiligd zijn. Als een website goed beveiligd is en jij een veilig wachtwoord gebruik dan is 2FA eigenlijk vooral een vermindering in gebruiksgemak. We moeten er dus ook naar streven daar weer vanaf te raken (net als met captcha's).
Ik denk dat de grootste zwakste niet eens bij de webshops zitten maar bij de zorgverzekeraars, financiele instellingen (pensioenverzekeraars, hypotheekverstrekkers) die allemaal een "portaal" willen hebben zodat ze je berichten kunnen sturen waarvoor email niet veilig genoeg is. Hoofddoel van die bedrijven is besparen op portokosten en webbeveiliging is niet hun expertise, je kunt dus op je klompen aanvoelen dat ze te weinig budget inruimen om dit goed te implementeren.
Dat lijkt me duidelijk toch? 2FA biedt een fallback in het geval dat jouw super lang en sterk wachtwoord, dat je om de dag verandert en nooit hergebruikt, tóch in handen valt van een kwaadwillende. Dan kunnen ze als nog niet inloggen namens jou zonder die extra stap.
Als een website goed beveiligd is en jij een veilig wachtwoord gebruik dan is 2FA eigenlijk vooral een vermindering in gebruiksgemak.
Maar wie ben jij, als gebruiker van een website, om te bepalen of die site veilig is? Dat kun je simpelweg niet weten. Je moet zelf de overweging maken of je die extra beveiliging nodig hebt afhankelijk van de gevoeligheid van dat account.

Gebruikersgemak vs beveiliging is bijna altijd de afweging binnen de informatiebeveiliging. Lever in op gebied van gebruikersgemak, maar win een stukje beveiliging, en visa versa.
We moeten er dus ook naar streven daar weer vanaf te raken (net als met captcha's)
Dat is wel heel erg stellig. Gebruikers moeten zelf die keuze kunnen maken. Dat jij niet wilt inleveren op gebruikersgemak moet je zelf weten, maar ik heb het er wel voor over om net dat beetje veiliger te zijn. Met zijn allen daarvan af willen stappen is onzinnig en onnodig.

[Reactie gewijzigd door deacs op 19 maart 2018 13:40]

Ohh deze site is mogelijk onveilig, ik als gebruiker schakel 2FA in want dan ben ik veilig. Maar als die site dat optioneel biedt kan het dus voor elke gebruiker aan en uit, ook zonder jouw medeweten uit gezet worden. Dus biedt het eigenlijk niets meer dan schijnveiligheid en is alleen tegen de simpele hackers die passwoorden uitproberen (of toevallig jouw passwoord weten) bestand.
De oplossing is daarom niet de gebruiker met een verplichte 2FA lastig te vallen maar om een website echt goed te beveiligen, of beter nog, geen onnodige gebruiksdata op te slaan. Leuk dat tweakers om mij een beker te sturen mijn adres wil weten maar eigenlijk is dat voor de dienstverenling van de site een onnodig persoonsgegeven. Weg er mee dus.
Ohh deze site is mogelijk onveilig, ik als gebruiker schakel 2FA in want dan ben ik veilig.
Nogmaals, jij als gebruiker kunt moeilijk bepalen of de site die jij gebruikt veilig is of niet zonder toegang tot alle broncode en databases. En nee, met 2FA ben je nog steeds niet veilig, maar je bent wel veel veiliger.
Maar als die site dat optioneel biedt kan het dus voor elke gebruiker aan en uit, ook zonder jouw medeweten uit gezet worden.
Huh? Uitgezet worden door wie? Ik denk dat we vanuit kunnen gaan dat dat niet gebeurt, zeker niet door de beheerders van de website die de beveiliging alleen willen bevorderen.
De oplossing is daarom niet de gebruiker met een verplichte 2FA lastig te vallen maar om een website echt goed te beveiligen, of beter nog, geen onnodige gebruiksdata op te slaan.
Nu ben ik wel benieuwd: vind jij het dus ook onzin dat je die extra 2FA stap moet uitvoeren bij bijvoorbeeld een bankoverschrijving of het inloggen bij jou bank? Want ja, als die banken hun sites eens goed zouden beveiligen, dan zouden we die extra irritante stap niet nodig hebben toch?

Je voelt zelf wel aan dat dat onzin is. Een goede beveiliging is een gelaagde beveiliging. Als het toch mis gaat bij 1 laag, grote kans dat de andere lagen dat opvangen.

Bovendien pleit ik niet voor verplichte 2FA, maar ik pleit voor de mogelijkheid om die keuze kunnen maken. Dan kunnen jij en ik tevreden worden gesteld.
Huh? Uitgezet worden door wie? Ik denk dat we vanuit kunnen gaan dat dat niet gebeurt, zeker niet door de beheerders van de website die de beveiliging alleen willen bevorderen.
Het ene moment kun je de veiligheid van de website niet beoordelen maar het andere moment vertrouw je erop dat de beheerders blauwe ogen en uitsluitend goede intenties hebben. Dat hebben ze natuurlijk niet. Zij willen met zo min mogelijk kosten een website laten draaien. 2FA kan daarom alleen werken als het niet uitschakelbaar is en we kunnen verifieren dat de website het juist geimplementeerd heeft, kunnen we dat niet, is het niet meer dan schijnveiligheid.
Een goede beveiliging is een gelaagde beveiliging. Als het toch mis gaat bij 1 laag, grote kans dat de andere lagen dat opvangen.
In technische zin. Maar een goede beveiliging is een beveiliging waar de gebruiker geen hinder van ondervindt. Want alleen dat is de gebruiker bereid mee te werken.
vind jij het dus ook onzin dat je die extra 2FA stap moet uitvoeren bij bijvoorbeeld een bankoverschrijving of het inloggen bij jou bank?
Als we zien dat contactloos betalen steeds meer toeneemt ben ik niet de enige die vindt dat de 2FA beveiliging (invoeren van PIN) soms gewoon in de weg zit. En natuurlijk is contactloosbetalen veiliger tegen pincode afkijkers. Ik blijf er bij 2FA is een onhandige workaround, vaak niet veel meer dan schijnveiligheid en zeker geen duurzame oplossing die overal geimplementeerd zou moeten worden.

[Reactie gewijzigd door mashell op 19 maart 2018 14:44]

2FA kan daarom alleen werken als het niet uitschakelbaar is en we kunnen verifieren dat de website het juist geimplementeerd heeft, kunnen we dat niet, is het niet meer dan schijnveiligheid.
Er zijn grote gebreken in deze logica: 2FA is door een ontwikkelaar van een website altijd uitschakelbaar, desnoods door die hele stap uit de broncode te halen. Maar waarom zouden bedrijven zoals banken/Google/Facebook dat doen? Sterker zelfs, dat zou ze gebruikers en inkomsten kunnen kosten.

Overigens kun je 2FA prima zelf testen: voer je wachtwoord in en check of je kan inloggen zonder de 2e stap.
Als we zien dat contactloos betalen steeds meer toeneemt ben ik niet de enige die vindt dat de 2FA beveiliging (invoeren van PIN) soms gewoon in de weg zit.
Nou, ik denk dat je wel één van de weinigen bent die de pincode wilt afschaffen.
En natuurlijk is contactloosbetalen veiliger tegen pincode afkijkers.
Dat wel, maar aan de andere kant kan iemand die jouw pasje weet te bemachtigen wel 250 euro/dag buitmaken tot je het pasje hebt geblokkeerd. Doe mij maar die pincode graag, al is het ten koste van een paar seconden om het in te voeren.

The bottom line is: 2FA zet je aan om je account extra te beschermen. Doe je dat niet? Dan heb je dezelfde situatie als wat jij wilt: geen 2FA. Ik wil echter wel die extra laag beveiliging. Wie ben jij om te bepalen dat mijn gebruikersvriendelijkheid niet benadeeld mag worden ten behoeve van extra beveiliging.
Wie ben jij om te bepalen dat mijn gebruikersvriendelijkheid niet benadeeld mag worden ten behoeve van extra beveiliging
Tja, en wie ben jij om mij gebruiksgemak te willen afnemen voor iets wat meestal niet veel meer geeft dan schijnveiligheid. Beveiliging is 75% psychologie en 25% techniek, je moet de gebruikers laten meewerken, anders is het zinloos. 2FA mag niet optioneel zijn en het mag de gebruiker niet hinderen, dus geen 2e code. Ik snap dat de stand van de techniek op dit moment niet beter is. Maar mijn punt is, dit is geen oplossing. Het is een tijdelijke workaround, al teveel waarde moeten we er niet aan hechten.
Voor één of andere reden zit jij met het idee dat 2FA niet optioneel mag zijn – daar klopt geen hout van. 2FA mag best optioneel zijn, net als dat het optioneel is bij Google, Facebook, Github etc.

Voor de rest ben ik met je eens dat beveiliging zo min mogelijk de gebruiker moet hinderen, maar vaak is dat geen optie. Over het algemeen is het altijd een afweging tussen gebruiksvriendelijkheid en beveiliging. Daarom is een keuze voor de gebruikers de beste optie, imho. Dan zijn wij allebei tevreden, ik met mijn beveiliging, jij met je gebruiksgemak.
2fa bestaat uit iets wat je weet en iets wat je hebt, en als je dan de keuze krijgt om in te loggen zonder 2fa dan heeft het totaal geen nut. tot nu toe ben ik dit maar 1 keer tegengekomen: de inlogpagina van digid bij bepaalde instanties. verder kan ik het wel uitschakelen bij andere sites, maar dan moet je ingelogd zijn.
Als je 2fa gebruikt kan iemand anders niet inloggen als die alleen je wachtwoord weet.

en de oplossing is om een website echt goed te beveiligen? hoe doe je dat dan zonder bijvoorbeeld 2fa? als je alleen een wachtwoord gebruikt is het gebruikersvriendelijk, maar zo onveilig als het maar kan als je gevoelig bent voor phishing. met 2fa werkt phishing nog steeds, maar het wordt wel weer een stukje lastiger.
Twee problemen.
MFA is geen "fallback". Na het inschakelen van MFA (en dan het liefst iets met een push-notificatie) behoor je op geen enkele andere wijze meer in te kunnen loggen. Ik ken (nog) geen websites waar ik MFA an enrollen, en het vervolgens zonder MFA-inlog weer uit kan zetten.

Tevens is het geen workaround. Je gaat volledig voorbij aan het feit dat extreem goed beveiligde websites nog steeds niet volstaan met "wie je bent en wat je weet" maar dat een "wat je hebt" er bij moet. Dit is niet omdat de website onveilig zou zijn, maar heeft álles te maken met de gevoeligheid van de gegevens. Een username/wachtwoord kunnen onvrijwillig maar ook vrijwillig doorgespeeld worden aan kwaadwillenden. Kan je me uitleggen wat dat precies te maken heeft met het falen van de beveiliging van een website?

MFA is here to stay. Er gaan wel echt hele leuke en makkelijke vormen aankomen, waarvan gezichtsherkenning een goed voorbeeld is, maar ook andere biometrische oplossingen. Hierbij mag echter ook weer privacy niet uit het oog verloren worden.
Echt álles wat je opschrijft wordt juist niet door de experts gezegd. Hoe kom je daarbij?

Wat de experts zeggen is; Gebruik een wachtwoordmanager (dat lost in één klap het onthouden van allerlei moeilijke wachtwoorden op....), áls je een wachtwoord moet gebruiken, gebruik dan het welbekende stripje: https://thecleartech.com/...ssword_strength-part2.png

Bij een "onhandig token" hoort er nog een pincode te zijn wat je voorafgaand aan de cijferreeks intikt. Alleen een token is niet genoeg. En trouwens, wat is "onhandig"? Is de beveiliging van de data van andere mensen en die dus niet van jou is allemaal maar lastig en vervelend? Als je dat echt vindt dan heb je echt geen enkele plek in het verwerken van die gegevens. Beveiliging voegt soms een paar stappen toe, ja.

Jij stelt dat "betere optie" gelijk is aan meer gebruikersgemak. Ik durf te stellen dat het op dit vlak absoluut niet het geval is. We zijn gewoon lui, laks en verwend en kiezen daarom voor de simpele uitweg, maar dat neemt niet weg dat de "betere optie" in dit geval toch echt de optie is met het minste productieverlies c.q. economische schade en dat is een beter niveau van beveiliging met een paar extra simpele stappen voor de eindgebruiker.
Als je "wachtwoord onhouden" aanvinkt als de browser hierom vraagt kun je dit gewoon uitlezen, zonder extra programmatje.
Dus als je je laptop niet gelocked hebt kan iemand snel ff op je laptop kijken wat je wachtwoorden zijn.

https://prod-cdn.sumo.moz...10-03-12-38-22-f54710.png
en klik op "Show Passwords".

[Reactie gewijzigd door Mastermind op 19 maart 2018 11:49]

Als voorbeeld vraagt Keychain van Apple wel eerst om een wachtwoord alvorens het kunnen bemachtigen van het wachtwoord. De "wachtwoord opslaan" functionaliteit laat verder geen wachtwoorden zien, maar vult deze alleen in. Precies zoals het hoort dus.

Ik kan me niet voorstellen dat andere wachtwoord-managers dit wel open hebben staan, dus tenzij je het wachtwoord hebt van de desbetreffende wachtwoord-manager, of dat er geen wachtwoord op zit (is volgens mij niet eens mogelijk), heb je buiten het brute-forcen geen andere mogelijkheid om deze te bemachtigen. (eventuele andere beveiligingslekken daar gelaten.)
In chrome is dit beter beveiligd, daar moet je eerst je windows wachtwoord opgeven alvorens dat je deze wachtwoorden kunt inzien. Nadeel wat hier wel aanwezig is, is dat je de lengte van de wachtwoorden vooraf wel kunt zien. Aan de ene kant handig als je wachtwoorden vergeten bent, aan de andere kant wordt er wel aangegeven hoeveel karakters het wachtwoord bevat.
Zelfs als je LastPass gebruikt kan je alle passwords in plain text zien als je het master password opgeslagen laat... Dat is gewoon een probleem als je het master password opgeslagen laat. Immers zijn dan passwords te ontsleutelen. Ze kunnen het wat vermommen door ze niet plain text te tonen maar alleen in te vullen maar dat is een schijnvertoning.

Op me desktop thuis staat master password onthouden aan maar op me telefoon en laptop moet ik gewoon elke keer me master wachtwoord invullen. Maar aangezien dit altijd hetzelfde is doe je dit wel snel :) En als je een telefoon met vingerafdrukscanner hebt (ik niet :D) kan je het daar mee doen maar lever je wel in op de veiligheid.
LastPass meldt je wel erg duidelijk dat je master password opslaan, absoluut geen goed idee is. Standaard zal dit vinkje ook niet aanstaan. Voor zover ik weet, worden de passwords lokaal niet in plaintext opgeslaan. Of je je master password laat onthouden, staat hier los van.

Dit krijg je te zien als je het LastPass master password wil laten onthouden.
Using 'remember password' makes it easier to forget your password and decreases your security if your device is infected or stolen.
Dat lastPass je dat duidelijker laat weten ben ik met je eens. Maar het gaat er niet om dat lastPass wel/niet je passwords in plain text op slaat (gelukkig niet :D en zelfs Firefox (met master password) niet) maar het feit dat je ze kunt tonen.

Wil je niet steeds je password in moeten vullen (en dat was het probleem wat @geekeep schetste) dan zal je het master password op moeten slaan met als gevolg dat ze in plain text uit te lezen zijn (is niet hetzelfde als in plain text opgeslagen zijn). Dus ja, zoals LastPass je dus netjes meldt, is het onthouden van het master password een veiligheidsrisico. Zoals ik al aan gaf, voor mijn desktop thuis vind ik dat geen probleem maar voor mijn portables voer ik dan ook telkens mijn master password weer in.

Enige jammere vind ik alleen dat, ondanks dat LastPass je laat weten dat het onveiliger is, iedere keer dat het om je master password vraagt je altijd de mogelijkheid hebt om "remember password" aan te vinden. Zelfs bij items waar ik "require password reprompt" heb aangevinkt :/
Ze gebruiken nu een iteratie van 1, terwijl dit idealiter op 10.000 moet staan. Lastpass gebruikt 100.000.
Dit is wel een heel amateuristische fout. Als je zoiets wilt doen dan gebruik je toch een standaard KDF. Er zijn er zat om uit te kiezen.
Het was toch allang duidelijk dat het master password gebruteforced kan worden. Waarom is daar een onderzoek voor nodig. Wel goed dat die enkele iteratie aan het licht is gekomen. Als de gebruiker een moeilijk wachtwoord kiest word de kans dat het lukt al aanzienlijk kleiner. Daarnaast is geen enkele browser echt veilig.. Met een extern tooltjes kun je gewoon alle wachtwoorden van Chrome inzien zonder een wachtwoord te hoeven invullen. Oftewel allemaal schijn beveiliging in de browser..

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*