Onderzoek: master password van wachtwoordmanagers is te achterhalen via geheugen

Beveiligingsonderzoekers tonen aan dat het master password van wachtwoordmanagers zoals 1Password en LastPass is te achterhalen. Dat kan met een gerichte aanval op het geheugen van Windows 10-computers.

Het onderzoek van het onafhankelijke Amerikaanse adviesbureau Independent Security Evaluators richt zich op 1Password, KeePass, LastPass en Dashlane voor Windows 10. De onderzoekers keken of de wachtwoordmanagers sporen achterlaten in het geheugen en probeerden zo wachtwoorden te ontcijferen.

Dashlane en KeePass slagen er het beste in om het master password te beschermen. LastPass en twee versies van 1Password doorstonden die test niet. De onderzoekers wisten bij die wachtwoordmanagers het master password te achterhalen via het geheugen. Daarvoor is wel toegang nodig tot de computer en moet de wachtwoordmanager actief zijn; het kan dus enkel met een gerichte aanval.

Tegenover The Washington Post reageren de bedrijven achter de software verschillend. LastPass zegt deze week met een update te komen, Dashlane zegt dat het al een tijdje aan een oplossing werkt, maar dat er beveiligingszorgen zijn met hogere prioriteit. KeePass en 1Password stellen dat het gaat om een aanvaardbaar risico en dat het een bekende beperking is van Windows 10.

Volgens de onderzoekers is het onbekend hoe wijdverspreid deze kennis is bij kwaadwillenden. Er is geen bewijs dat er dergelijke aanvallen zijn uitgevoerd op gebruikers van wachtwoordmanagers.

De onderzoekers concluderen dat wachtwoordmanagers in unlocked state wachtwoorden niet achter zouden moeten laten in het geheugen. Alleen het wachtwoord waar actief naar gekeken wordt tijdens het gebruik moet in het geheugen worden geladen. Ook vinden ze dat het master password niet aanwezig mag zijn in een versleutelde vorm.

Het aantreffen van het master password in het geheugen terwijl de software in locked state verkeert vinden de onderzoekers de meest kwalijke zaak. Ze stellen dan ook dat de beheerders van de wachtwoordmanagers hier werk van moeten maken. Ook wijzen de onderzoekers op de gevaren van keyloggers en stellen ze dat wachtwoordmanagers meer zouden moeten doen om dergelijke kwaadaardige software te ontdekken en te dwarsbomen.

Update: 1Password reageert op zijn eigen forum op het onderzoek. De maker van de software benadrukt in de reactie dat de gevonden kwetsbaarheden niet nieuw zijn en inherent zijn aan de werking van 'veel besturingssystemen'. Daarbij benadrukt 1Password dat aanvallers al toegang moeten hebben tot een systeem om de kwetsbaarheid te kunnen gebruiken. Het aanpassen van de manier waarop 1Password met het geheugen omgaat, zou andere beveiligingsrisico's met zich meebrengen.

Animatie waarin een onderzoeker het achterhalen van het master password in 1Password aantoont

Lees meer

Reacties (248)

JustHoLLy
20 februari 2019 09:51

Ik weet niet echt hoe dit nieuws is. Als een slechte actor code kan uitvoeren op je machine, ben je gewoon de pineut. Op Windows kan een proces aan het geheugen van elk ander proces aan, om data te lezen, schrijven, en zelfs uit te voeren. Dat is altijd al zo geweest en gaat niet snel meer veranderen.

Ik heb zelf eens een proof-of-concept geschreven om de master password van een KeePass database te halen uit het ramgeheugen (zie hier op github), maar ik ben echt niet de eerste. In 2015 maakte iemand al KeeFarce, die al je wachtwoorden dumpt naar een textbestand (zie hier). De maker van KeePass is hiervan op de hoogte, en zegt zelf dat het onmogelijk is hier tegen te beschermen (zie sectie over Specialized Spyware). Je kan op Windows je applicatie niet beschermen tegen dit soort aanvallen, en elke password manager is hier kwetsbaar tegen (zelfs die in browsers).

Ik denk niet dat ik dit op Tweakers hoef te zeggen, maar zolang je je gezond bestand gebruikt zal dit geen invloed op jou hebben.

grasmanek94
@JustHoLLy • 20 februari 2019 15:54

Hangt natuurlijk van de integriteit af van het proces, een proces met een admin token kan bij het geheugen van processen met of zonder admin token. Een proces zonder admin token kan geen geheugen uitlezen bij applicaties die een admin token hebben. Het is dus aan te raden om je password manager te starten "als administrator".

De meeste virussen/spyware die men binnen haalt via de browsers zullen wel om admin toegang vragen bij opstarten, maar iemand die een password manager gebruikt lijkt mij ook snugger genoeg om te begrijpen dat als admin runnen van gedownloade bestanden ook niet zo slim is.

[Reactie gewijzigd door grasmanek94 op 20 februari 2019 15:58]

JustHoLLy
@mutley69 • 21 februari 2019 08:03

Het probleem ligt eerder in dat Windows dit toelaat. Een user process zou niet zomaar een het geheugen van een ander user process mogen lezen, laat dat maar over aan admin processes (en privilege escalation, van user process naar admin process gaan, is niet al te moeilijk op Windows). De eerste wet van de 10 Immutable Laws of Security gaat dan ook "If a bad guy can persuade you to run his program on your computer, it's not your computer anymore.". Zou de bad actor niet de wachtwoorden uit je password database kunnen dumpen, kan hij wel een keylogger gebruiken of het clipboard monitoren.

Je mag ook niet vergeten dat het gebruik van een password manager nog steeds veel beter is dan een enkel wachtwoord te gebruiken, wat het grootste deel van de internet gebruikers nog steeds doen. Als we dit soort sensatie-nieuws als dit wat minder zouden verspreiden en meer focussen op echte security issues, zou de online wereld er een stuk beter uit zien.

AnonymousWP
@JustHoLLy • 21 februari 2019 08:06

Werkt dat nog wel? Een vriend van mij kwam er laatst ook mee, maar hoe kan het dan dat deze onderzoekers het niet is gelukt maar de maker van KeeFarce wel? Misschien is KeeFarce nog gebaseerd op een oude(re) versie van KeePass.

JustHoLLy
@AnonymousWP • 21 februari 2019 08:16

KeePass 2.x is gemaakt in C# en dus gebouwd op het .NET platform. Vanwege de natuur van .NET, is het mogelijk om veel meer informatie over het programma op te vragen terwijl dit draait. KeeFarce injecteert zijn eigen code in het KeePass process en gebruikt ClrMD, een debugging tool, om de export-code te vinden in het ram geheugen en deze uit te voeren. Dit is praktisch hetzelfde als zelf via File->Export je password database te exporteren. Mijn proof-of-concept injecteert ook code in in het KeePass process, maar gebruikt standaard .NET features om de locatie van je master password te vinden en deze uit te lezen zoals KeePass het zelf zou doen.

Het probleem is dat dit niet echt te fixen is, omdat beide programmas doen alsof ze een deel van KeePass zijn, en dat is moeilijk te voorkomen. Het probleem ligt in dat Windows geen sandboxing heeft tussen processen, en elk process kan elk ander process met gelijke of lagere permissies bekijken en bewerken.

AnonymousWP
@JustHoLLy • 21 februari 2019 08:18

Interessant, maar m'n hamvraag blijft nog steeds: hoe komen deze onderzoekers dan tot de conclusie dat het ze niet is gelukt?

JustHoLLy
@AnonymousWP • 21 februari 2019 08:23

Tja, misschien wouden ze zich beperken tot enkel memory lezen en geen code injecteren? Zo kunnen ze een scenario simuleren waar ze enkel een RAM dump hebben en geen code execution, wat heel soms voorkomt in heel specifieke gevallen (vrijwel exclusief wanneer overheden een computer bemachtigen).

The-Priest-NL
20 februari 2019 08:07

Hier de reactie vanuit 1password

Ik zal de reacties van de anderen er ook nog bij proberen te vinden en deze reactie updaten.

4Lph4Num3r1c
@The-Priest-NL • 20 februari 2019 09:37

Ik ben toch behoorlijk teleurgesteld in de reactie van 1Password.

Hun core business is beveiliging, maar vinden het nu opeens een aanvaardbaar risico.

Maar in theorie gaat dit betekenen, dat men slechts een lek in een 3e applicatie hoeft te vinden (waarbij men controle over het systeem weet te krijgen) en men kan in het bezit komen van al je wachtwoorden.

Dat klinkt niet onmogelijk. Reden te meer om het weldegelijk als een groot risico te zien.

2FA moet, waar dit niet al gebruikt wordt, meer en meer de standaard worden.

[Reactie gewijzigd door 4Lph4Num3r1c op 20 februari 2019 09:39]

DCK
@4Lph4Num3r1c • 20 februari 2019 13:47

Hun core business is beveiliging, maar vinden het nu opeens een aanvaardbaar risico.

Als je core business beveiliging is, betekent dat niet dat je geen risico's moet accepteren. Als je core business beveiliging is, betekent dat dat je heel goed weet welke risico's je hebt, welke je moet voorkomen, en welke je moet aanvaarden.

blorf

@4Lph4Num3r1c • 20 februari 2019 10:50

Hun argument klinkt meer als "als je al binnen bent kan alles". En dat klopt. We hebben het over een computer.

densoN
@4Lph4Num3r1c • 20 februari 2019 10:24

Mijn setup:
1. KeePass in OneDrive (multi-device + sync)
2. Hardware MFA enabled (yubi-key) op KeePass DB.

Flexibel en veilig.

CEx
@densoN • 20 februari 2019 11:08

Er is altijd een manier, ik weet niet hoe het voor KeePass gaat, maar check dit scenario bij LastPass:
aangeven dat je YubiKey verloren bent, deze wordt disabled aan de Lastpass kant en naar je bekende emailadres wordt een link gestuurd. Daarmee is de grootste hindernis al genomen.

densoN
@CEx • 20 februari 2019 11:25

Er is altijd een manier, ik weet niet hoe het voor KeePass gaat, maar check dit scenario bij LastPass:
aangeven dat je YubiKey verloren bent, deze wordt disabled aan de Lastpass kant en naar je bekende emailadres wordt een link gestuurd. Daarmee is de grootste hindernis al genomen.

Er zit geen 'forgot password' functionaliteit in. Wel heb je een masterkey waarmee een nieuwe (software of hardware) yubikey kan worden geconfigureerd in het geval van verlies of defect. Ben je deze kwijt heb je pech...

[Reactie gewijzigd door densoN op 20 februari 2019 11:25]

Auteur

Xtuv
@The-Priest-NL • 20 februari 2019 08:51

Ik zag de reactie inderdaad. Toegevoegd met een update

plankhorst
19 februari 2019 21:56

Dergelijke producten zijn mijn inziens een behoorlijke schijnveiligheid.

Waar je normaal gesproken slechts een enkel wachtwoord hebt om toegang te krijgen tot een bepaald account zorg je er bij dergelijke software voor dat er tenminste twee wachtwoorden zijn waarmee toegang te verkrijgen is tot een bepaald account.

Daarbij komt ook nog dat met slechts een enkel wachtwoord al je andere wachtwoorden in te zien zijn. De gevaarlijkste manier van het verliezen van wachtwoorden is mijn inziens met doelgerichte keyloggers welke bij het gebruik van wachtwoordmanagers natuurlijk enkel gevaarlijker zijn. Een secret code heeft hierbij verder ook geen meerwaarde, aangezien de mallware via een "vertrouwde" pc de wachtwoorden kan inzien.

Het opslaan van wachtwoorden in een passwordmanager is mijn inziens even veilig als het noteren van je pincode op een briefje in je portemonnee. Het simpelweg onthouden van een relatief goed te onthouden wachtwoord met bijvoorbeeld een variabele afhankelijk van de naam van de website lijkt mij nog steeds een van de betere oplossingen.

Note: Ik ben absoluut geen expert in beveiliging, mocht het tegenovergestelde waar zijn dan excuses.

[Reactie gewijzigd door plankhorst op 19 februari 2019 22:51]

WhatsappHack

Wachtwoord
Beveiliging en antivirus

@plankhorst • 19 februari 2019 22:07

Waar je normaal gesproken slechts een enkel wachtwoord hebt om toegang te krijgen tot een bepaald account zorg je er bij dergelijke software voor dat er tenminste twee wachtwoorden zijn waarmee toegang te verkrijgen is tot een bepaald accounts.

Het is nog steeds één wachtwoord, je slaat deze louter op in een container die beveiligd is met een ander wachtwoord. Het maakt eigenlijk geen verschil qua sterkte, behalve dan dat het wachtwoord dat je werkelijk gebruikt op de site vele malen sterker kan zijn dan wat jij anders zelf zou kunnen onthouden. Het wachtwoord van de keymanager is dus wellicht nog steeds wat "zwak" (afhankelijk van hoe een sterk wachtwoord je zelf hebt verzonnen en onthoudt), doch even zwak als wat je anders zou gebruiken... Als voordeel is het wachtwoord dat bij de dienst zelf staat uniek én veel sterker, terwijl je je "zwakke" wachtwoord enkel lokaal op je device gebruikt.

Daarbij komt ook nog dat met slechts een enkel wachtwoord al je andere wachtwoorden in te zien zijn. De gevaarlijkste manier van het verliezen van wachtwoorden is mijn inziens met doelgerichte keyloggers welke bij het gebruik van wachtwoordmanagers natuurlijk enkel gevaarlijker zijn.

Die zijn sowieso gevaarlijk. En keyloggers kunnen ook het wachtwoord achterhalen als je ze zelf intikt op een website.

Ik ben het wel met je eens dat de database met meerdere wachtwoorden erin een risico vormt als deze 1.) gestolen wordt én 2.) men je master-wachtwoord weet te jatten (of weet te kraken).
Op het moment dat het dan gekraakt wordt is dat ongeveer eenzelfde risico als wanneer je aan wachtwoord recycling zou doen. Voordat het gejat en gekraakt wordt is het echter een heel stuk veiliger. Ik zie dus alsnog een voordeel. Overigens kan je er ook voor kiezen om geen duidelijke namen te geven (enkel jij snapt ze in één oogopslag) en de usernames er niet bij in op te slaan (+ evt. gebruik uniek emailadres). Dat helpt ook al om het nog veiliger te maken.

Wel omslachtiger.

Je kan natuurlijk ook in verschillende databases wachtwoord dumpen en verschillende wachtwoorden daarvoor onthouden.

Niet alles hoeft in één enkele database met één master-sleutel he.

Het is maar hoe makkelijk/moeilijk je het je zelf wilt maken.

Maar by default is een password manager voor de meeste mensen denk ik een stuk veiliger dan het alternatief van zelf wachtwoorden verzinnen en voor *alle* diensten te onthouden. Password recycling is wat dat betreft gewoon een heel groot risico; dan is een password manager wel beter, zeker als je deze veilig houdt. (Ik zou zelf nooit van een clouddienst gebruik maken, de lokale managers zijn echter prima.) Zo'n password manager hoeft ook niet perse je meest belangrijke dingen op te slaan, je kan ze ook gebruiken om simpelweg voor onbenullige zaken iig nog unieke wachtwoorden te maken zodat je niet als je wachtwoord ergens gejat wordt bij iedereen de boel moet gaan resetten.

... Komt nog bij dat steeds meer diensten ook tegen dit probleem alsnog bescherming bieden... Door middel van 2FA.

Als je database en wachtwoord dan gejat worden (wat normaliter al een stretch is als je er zinnig mee omgaat.), kan men er wel mee inloggen: maar kom je nog geen stap verder zonder de (tijdelijke) code. Dat is de ideale combinatie. Een uniek zeer sterk wachtwoord + 2FA sleutels. (En je backup sleutels dan natuurlijk niet opslaan in je password manager, ik zie wel eens mensen die dat in dezelfde database zetten.

) Als je dan een mailtje krijgt dat iemand heeft inlogt, weet je in ieder geval dat er iets niet in de haak is en kan je mooi gaan kijken en actie ondernemen.

Het simpelweg onthouden van een relatief goed te onthouden wachtwoord met bijvoorbeeld een variabele afhankelijk van de naam van de website lijkt mij nog steeds een van de betere oplossingen.

Nee, die zijn veelal juist verrekte makkelijk te kraken als er ook maar één uitlekt. Het brengt het aantal benodigde brute-force pogingen vaak in ieder geval heeeeeeel sterk omlaag. Dit is absoluut niet zo krachtig als overal *daadwerkelijk* unieke wachtwoorden te gebruiken.

Nee, password managers zijn niet de heilige graal en bieden geen 100% veiligheid of wat dan ook, dat zal ook niemand beweren.

Maar ik denk dat ze in de meeste situaties, zeker vergeleken met de doorsnee internetgebruiker, meer veiligheid bieden dan dat mensen het zelf proberen.

Ik snap je zorgen wel hoor, daar niet van. Bepaalde zeer gevoelige data zaken ontwerp ik ook wachtwoorden voor waar ik soms een tijdje op moet studeren, maar die zet ik dan niet in een container. Maar voor 95% van de zaken: absoluut een password manager.

[Reactie gewijzigd door WhatsappHack op 20 februari 2019 01:28]

vitrix
@WhatsappHack • 20 februari 2019 08:40

De password managers zelf kunnen misschien ook kijken om 2FA toe te voegen aan hun software.
Dan heb je je master password en 2FA nodig om bij je wachtwoorden te komen, wat de beveiliging ook al sterker maak.

Van Keepass weet ik dat je ook naast het master password een key file kan opgeven.
Dan moet je dus zowel het wachtwoord weten als bij dat bestand kunnen komen.

vide
@vitrix • 20 februari 2019 10:04

klassieke 2FA heeft geen zin bij een password manager: 2FA werkt per definitie met een shared secret waarbij je dan aan de hand van een teller of timer (TOTP) een wachtwoord voor eenmalig gebruik genereert en dat dan door het systeem wordt geverifieerd.

Het kan dus niet gebruikt worden als deel van een encryptiesleutel (wat uiteindelijk hetgeen is wat je password manager nodig heeft, die wordt unlocked door je ingegeven wachtwoord door een password veelmalig door een hashing functie te jagen).

Roani52
@vide • 21 februari 2019 10:32

Klinkt heel logisch. Het is me wel eens opgevallen dat bij het inloggen bij de Lastpass browserextensie na het correct invullen van mijn masterpassword de gegevens voor een website al ge-'autofill'ed worden vòòrdat ik mijn 2FA heb ingevuld. Dit was wel op een computer waar ik eerder op ingelogd heb en voor 30 dagen vertrouwd heb, ik heb dit niet kunnen reproduceren bij een 'schone' installatie.
Desalniettemin levert een dergelijke 2FA wel een drempel op wanneer iemand mijn masterpassword heeft weten te bemachtigen, keylogger op een publieke computer oid, aangezien je dan nog steeds niet in kunt loggen. Je hebt alleen niks aan de 2FA wanneer de encrypted database op straat komt te liggen, maar in dat geval heb je een groter probleem. Wanneer je geen gebruik maakt van een online/cloud-based password manager heeft 2FA sowieso weinig zin.

alexiooo
@vitrix • 20 februari 2019 09:01

Iig LastPass heeft al 2FA. Kan me niet voorstellen dat anderen dat niet hebben.

kvdveer
@vitrix • 20 februari 2019 09:57

> Dan heb je je master password en 2FA nodig om bij je wachtwoorden te komen, wat de beveiliging ook al sterker maak.

2FA en offline gaan niet lekker samen. 2FA vereist een extern stuk vertrouwd hardware die het token controleert. (een smartcart zou zo'n extern stuk hardware kunnen zijn). Als je online bent, zouden de servers van de password manager de externe hardware kunnen zijn, maar als je offline bent, lukt dat natuurlijk niet.

Vingerafdrukken, RFC4226 tokens, irrisscans, zijn allemaal niet bruikbaar als hash (want identieke 2e factoren zijn alsnog steeds anders), en kunnen dus niet gebruikt worden om geheime data mee te versleutelen. Als de 2e factor door een extern systeem gecontroleerd wordt, dan is dat niet perse een probleem (zoals bij inloggen op een website), maar voor een lokale password manager helpt dat niet om de wachtwoorden veilig te houden.

Durandal
@WhatsappHack • 19 februari 2019 23:27

... Komt nog bij dat steeds meer diensten ook tegen dit probleem alsnog bescherming bieden... Door middel van 2FA. Als je database en wachtwoord dan gejat worden (wat normaliter al een stretch is als je er zinnig mee omgaat.), kan men er wel mee inloggen: maar kom je nog geen stap verder zonder de (tijdelijke) code.

Als de database gejat kan worden, dan kunnen ze ook een ander telefoonnummer in het 2FA veld zetten.

WhatsappHack

Wachtwoord
Beveiliging en antivirus

@Durandal • 20 februari 2019 00:11

Dan hebben ze eerst je 2FA code nodig om in te loggen op het account om wijzigingen aan te brengen.

Als het op basis van SMS zou zijn en ze kunnen je nummer (voor 2FA) wijzigen zonder eerst de code in te tikken, dan is er echt enorme kortsluiting geweest bij de ontwikkelaars en is het effectief op volslagen nutteloze wijze geïmplementeerd.

Maar je kan sowieso beter werken met time based tokens (TOTP) via een app. Met recovery codes als backup (in aparte container) of eventueel als dat niet kan kiezen voor SMS als fallback.

Zyphlan
@WhatsappHack • 20 februari 2019 03:18

SMS is ook al niet meer veilig. Uiteraard voor de standaard gebruiker is de kans dat ze zover gaan niet bijster hoog ( toch iets teveel werk om toegang te krijgen).

Beste combinatie is nog steeds Fido2 ( multi factor authentication)

https://nakedsecurity.sop...shed-by-new-pentest-tool/

Ik ben werkzaam bij Feitian Technologies ( gespecialiseerd in hardware authenticatie) en krijg vaak van klanten te horen maar we hebben SMS dat is veilig genoeg terwijl echte MFA eigenlijk de beveiliging is die nodig is. Uiteraard ook dat kan niet alles tegenhouden ( wakker worden zonder vinger

) maar dan weet je wel zeker dat je account niet meer veilig is.

Nog kwestie van paar maanden hopelijk en dan geeft microsoft windows hello met MFA uit icm met Azure AD dat gaat een hele verandering teweeg brengen ( MFA met fingerprint opgeslagen op secure element met Fido2 en de hele kwestie van passwords is voor bedrijven verleden tijd).

Werk zelf samen met wat multinationals ( Fortune500) uit duitsland en kwestie van wachten en dan is proof of concept ook beschikbaar helemaal omdat de hardware pak hem beet 40-60 euro per FTE kost en dat voor multinationals een schijntje is ipv PR schade van phishing.

Rafe
@Zyphlan • 20 februari 2019 17:38

Ik denk dat je een lage score krijgt omdat mensen denken dat je reclame maakt voor je baas, maar je hebt gelijk dat WebAuthn icm Fido2-compatible security keys (hetzij van Feitian, Yubikey, SoloKey of een ander) de beste optie is vandaag de dag om je accounts te beveiligen:

- WebAuthn is een W3C Proposed Recommendation met brede browser support
- Phishing resistant omdat het domain gecontroleerd wordt als onderdeel van het protocol, in tegenstelling tot TOTP
- Per website wordt een uniek sleutelpaar gegenereerd, de server slaat alleen de publieke sleutel op dus bij een breach is die data nutteloos
- Aangezien dezelfde security key voor dezelfde website bij elke keer een uniek sleutelpaar genereert, is het ook privacyvriendelijk voor de gebruiker
- Hardware is best goedkoop (20-60 USD) maar moderne smartphones, laptops en tablets hebben alle hardware aan boord om zelf als een security key te dienen. Bijvoorbeeld Chrome op Android of op Macbooks met TouchID kunnen de vingerafdrukscanner gebruiken als authenticatiemethode.
- Bewezen in de praktijk: het is een ruime tijd verplicht voor Google-medewerkers en sinds de invoering hebben ze 0 account takeovers gehad. Uit een eerdere interne studie van Google blijkt ook dat het sneller en minder foutgevoelig is voor eindgebruikers dan andere 2FA-methodes.
- Als je een Fido2 compatible security key hebt met biometrische scanner combineer je iets dat je hebt met iets dat je bent en heb je in een klap multi-factor authenticatie; oftewel je kan veilig wachtwoordloos inloggen (mits de dienst dat ondersteund).

[Reactie gewijzigd door Rafe op 21 februari 2019 14:19]

plankhorst
@WhatsappHack • 19 februari 2019 22:50

Bedankt voor de zeer duidelijke (en praktische) toelichting.

Als ik dit zo lees kan ik niks anders dan je volledig gelijk geven, mijn argumentatie met betrekking tot de "schijnveiligheid" van password managers is onterecht / te kort door de bocht.

Misschien is een password manager voor mij dan toch een betere oplossing.

ppl
@WhatsappHack • 20 februari 2019 20:54

... Komt nog bij dat steeds meer diensten ook tegen dit probleem alsnog bescherming bieden... Door middel van 2FA. Als je database en wachtwoord dan gejat worden (wat normaliter al een stretch is als je er zinnig mee omgaat.), kan men er wel mee inloggen: maar kom je nog geen stap verder zonder de (tijdelijke) code.

Het probleem bij dingen als TOTP is dat de generatie geheel aan de serverzijde gebeurd en er dus geen challenge is die heen en weer gaat. Gevolg is dat je bij het hacken of jatten van de database dus gewoon bij de gegenereerde TOTP code kan. Dingen als U2F, FIDO2 en webauthn spelen hier op in en zorgen wel voor een challenge die tussen server en client heen en weer gaat. Dan heb je dus niet genoeg aan de database alleen, je zult ook de hardware (of software) token nodig hebben (en die zit op de client).

Bovendien is dit 2FA/MFA ook alleen maar een bescherming tegen het zomaar in kunnen loggen met username en password. Bij een password manager biedt het niet per definitie de bescherming die je nodig hebt omdat heel veel password managers juist alleen het password gebruiken om een encrypted database aan te maken. 1Password is daar een voorbeeld van en weigeren daarom ook om 2FA/MFA te implementeren. Dat is natuurlijk een vrij eenzijdig beeld, je kunt ook obv een hardware key een encryption key maken (deze key versleuteld dan de database) of doen zoals je dat met een Yubikey en GPG kunt doen (private key staat op de Yubikey, public key kun je vrijelijk uitgeven).

Inspired
@plankhorst • 19 februari 2019 22:07

Als je in staat bent 100+ veilige unieke wachtwoorden te onthouden is dat natuurlijk beter. Helaas lukt een doorsnee mens dit niet. Bij goed gebruik van een password manager is menig persoon beter af. Password manager met sterk lang wachtwoord en MFA. Zo gebruik ik het. Dan kan ik voor elke site/dienst die ik gebruik een sterk random uniek wachtwoord gebruiken van 20+ karakters afhankelijk van wat de site ondersteund. In mijn optiek toch echt een stuk veiliger dan een briefje in de portemonnee..

plankhorst
@Inspired • 19 februari 2019 22:10

Vandaar de variabele afhankelijk van bijvoorbeeld de naam van de website, deze kan je dan baseren op een simpele vergelijking bijv. positie alfabet eerste letter website +1 *2 (bij tweakers bijv. wachtwoord42) deze kan je dan zo complex maken als je zelf zou willen.

Inspired
@plankhorst • 19 februari 2019 22:13

Een gemiddelde gebruiker gaat dit niet doen/onthouden. Daarbij zie ik niet in hoe dat veiliger is. Als je het wachtwoord gaat/moet aanpassen ga je alle sites langs? Onhoudbaar voor 100+ logins.

WhatsappHack

Wachtwoord
Beveiliging en antivirus

@plankhorst • 19 februari 2019 22:14

Dat is waarschijnlijk nog simpeler te kraken dan moeten inbreken op je PC om je master-key en database te jatten... Zulke wachtwoorden zijn immers veelal op z'n minst in enige mate voorspelbaar, maar vaak zeer voorspelbaar. Een klein beetje vergelijken en je raadt het wachtwoord zo of hebt er in ieder geval veel en veel minder cycles voor nodig om succesvol te raden.

Als er enige logica inzit, dan kan een computer je altijd verslaan met zo'n simpele methode.

[Reactie gewijzigd door WhatsappHack op 19 februari 2019 22:16]

RobIII
@WhatsappHack • 20 februari 2019 09:42

Als er enige logica inzit, dan kan een computer je altijd verslaan met zo'n simpele methode.

Dat is nou precies waarom die databases voorzien zijn van ettelijke (honderd)duizenden rondes KDF; dat vertraagt brute force aanvallen aanzienlijk en maakt ze zelfs (bijna) nutteloos.

WhatsappHack

Wachtwoord
Beveiliging en antivirus

@RobIII • 20 februari 2019 13:39

Het ging niet om de password manager database wachtwoorden he, maar om het overal gebruiken van wachtwoorden volgens dezelfde simpele methode van sitenaam+wat willekeurige substituties ipv een password manager zoals plankhorst voorstelde.

Scriptkid
@Inspired • 20 februari 2019 06:27

maar je hebt geen 100 unike wacht woorden nodig, 1 is meer dan voldoende.

Mits je natuurlijk gewoon MFA aan heb staan overall, Het paswoord heeft dan niet heel veel meerwaarde maar je logt eigenlijk in met MFA. (MFA in deze is dan multi factor en geen added factor. Dus unike device met zijn eigen access protection.)

Of we moeten toch maar eens gaan afdwingen dat site bijvorbeeld windows hello toestaan als authenticatie wat je steeds meer ziet in het Microsoft landschap. Je kunt inmiddels zelfs inloggen in een VM met windows hello.

eriki33
@Scriptkid • 20 februari 2019 08:15

Ebpass werkt met windows hello. Das niet helemaal hetzelfde, maar scheelt al wat.
https://www.windowscentra...-10-windows-hello-support

RJWvdH
@eriki33 • 20 februari 2019 09:46

Keepass ook (met plugin)
https://github.com/sirAndros/KeePassWinHello

Blokker_1999

Beveiliging en antivirus

@Scriptkid • 20 februari 2019 09:44

Alleen zijn er nog vele diensten die geen MFA ondersteunen of waarbij MFA niet altijd praktisch is. Wat ga je daar doen.

Ramon
@plankhorst • 19 februari 2019 22:24

Wachtwoordmanagers zijn geen schijnveiligheid. Eerder pure noodzaak. Vraag jezelf het volgende af:

- Hoe groot is de kans dat één van de sites waar jij een account hebt gehackt wordt?
- Hoe groot is de kans dat iemand een keylogger op jouw PC installeert?

Zet die twee tegen elkaar af en je installeert meteen een wachtwoordmanager.

nldls
@Ramon • 20 februari 2019 07:11

Ik vind het zeker geen noodzaak. Staat wel boven water dat je voor iedere site een uniek wachtwoord moet hebben.

Volgens mij is er inmiddels ook al aangetoond dat een goed onthoudbaar lang wachtwoord minstens net zo goed, of beter, is dan een kort wachtwoord met tekens.
Ik maak zelf gebruik van een algoritme waar ik mijn wachtwoorden op baseer en daardoor voor iedere login een uniek wachtwoord heb. Ik heb hier dan geen password manager voor nodig.

MadEgg

Wachtwoord

@nldls • 20 februari 2019 08:02

Een random wachtwoord van 12 tekens is praktisch onkraakbaar, vanaf iets van 16 tekens ook theoretisch onkraakbaar. Zo lang hoeft het niet te zijn.

Wachtzinnen werken alleen als de woorden geen onderling verband hebben. Als je het op een algoritme (=patroon) baseert is het dus niet meer willekeurig en gaat de entropie hard achteruit. Als je er echt in gelooft moet je je aan deze XKCD houden: https://www.xkcd.com/936/ Probleem daarmee is dat het weer heel lastig wordft om per website een uniek wachtwoord te gebruiken én onthouden, want het patroon ontbreekt.

Toegegeven, er is zoiets als voldoende veiligheid voor je persoonlijke accounts en een goed algoritme met lange wachtwoorden is dat waarschijnlijk ook wel. Persoonlijk vind ik het véél makkelijker om met een password manager te werken. Noodzakelijk voor veilige wachtwoorden is het dus niet, maar (voor mij dan) wel om het beheersbaar en werkbaar te houden.

Batiatus
@MadEgg • 20 februari 2019 08:30

Dat een 12 karakter wachtwoord praktisch onkraakbaar is, is wel sterk afhankelijk van de hashing methode die gebruikt wordt. Sha1, MD5, NTLM, allemaal erg makkelijk te kraken. Een fatsoenlijke hashing methode + salt (en een fatsoenlijk wachtwoord) is inderdaad praktisch onkraakbaar op het moment.

OT: Password managers hebben ook hun zwaktes, als je eenmaal het master password hebt (en de container is niet beveiligd met 2FA) dan geef je toegang tot veel informatie prijs.
Persoonlijk gebruik ik Keepass, enkel mijn wachtwoord van mijn laptops en van mijn email accounts zet ik er niet in, die zijn te gevoelig.

MadEgg

Wachtwoord

@Batiatus • 20 februari 2019 08:39

Ik bedoelde daarmee te zeggen: te kraken via brute forcing. Alle combinaties uitproberen is onhaalbaar. Als er een zwakte in het hashing-algoritme zit (of als het simpelweg plaintext is opgeslagen

) ben je een stuk verder van huis inderdaad.

Ik ging er even vanuit dat er PKBDF2 of brcypt of iets anders degelijks worft toegepast op het password. Maar als dat niet zo is, maakt de lengte van je wachtwoord ook weer niet heel erg uit - een wachtwoord van 64 karakters is net zo makkelijk te "kraken" als een van 8 karakters als het in plaintext is opgeslagen, om maar even een extreem voorbeeld te geven. Als er rainbow tables aan te pas komen gaat de lengte een belangrijkere factor spelen, maar ook dan is 12 willekeurige karakters doorgaans wel voldoende om die ineffectief te maken - er zijn te veel combinaties om in rainbow tables op te kunnen nemen.

RobIII
@MadEgg • 20 februari 2019 09:46

Ik ging er even vanuit dat er PKBDF2 of brcypt of iets anders degelijks worft toegepast op het password.

Zie de afbeelding. Ja, dat wordt gebruikt in alle zichzelf respecterende password managers.

MadEgg

Wachtwoord

@RobIII • 20 februari 2019 10:47

Ik heb het hier dus niet over de password managers maar over de websites waar je een account hebt. Die zullen je password ook op moeten slaan, en hopelijk gehashed. Het algoritme dat daarvoor gebruikt wordt is bepalend voor het risico wat je loopt als een dump van hun database uitlekt.

RobIII
@MadEgg • 20 februari 2019 11:14

Het hele idee is nou JUIST dat je database (fatsoenlijk!) encrypted is. Dat kan/mag de hele wereld 'm hebben maar kun je er niets mee. Je moet je database dus eigenlijk gewoon al 'standaard' als 'gelekt' beschouwen (hoewel 't natuurlijk net zo goed fijn is als degenen die je database 'beheren' 't niet "zomaar" op straat mikken

).
Laat maar. 't kwartje valt nu. Je bedoelt websites van derden.

[Reactie gewijzigd door RobIII op 20 februari 2019 11:17]

Blokker_1999

Beveiliging en antivirus

@MadEgg • 20 februari 2019 09:52

Waarom zouden wachtzinnen geen onderling verband mogen hebben? Het is niet alsof je ze woord per woord kunt gaan raden en zolang de aanvaller niet weet of je zin een volwaardige zin is of losse woorden die samengegooid zijn kan hij het ene of het andere niet uitsluiten en blijft de entropie dus gelijk. Voor die plaatsen waar ik dus nog wachtwoorden nodig heb die ik moet kunnen onthouden gebruik ik dan ook wachtzinnen die gewoon een betekenis hebben. Neem een wachtwoord als EenHoofdstukUitDeBijbel. Dat zijn 23 tekens maar als jij niet weet dat het een zin is, en als jij niet weet dat het enkel kleine en grote letters zijn zonder cijfers of speciale karakters zal je alsnog alles moeten proberen dat er voor komt als je gaat bruteforcen.

plankhorst
@nldls • 20 februari 2019 08:05

Dit is exact wat ik bedoel, echter geeft WhatsApphack in zijn bericht aan dat dergelijke wachtwoorden vrij makkelijk te bruteforcen zijn.

Malarky
@nldls • 20 februari 2019 09:22

Blijft onveilig iets. We weten allemaal dat jouw login gebasseerd is op de website naam of adress. Als 5x een wachwoord voor een website van jou uitlekt (ikzelf sta al 12x in HaveIPeenPowned) dan kunnen tools al gemakkelijk aan de hand van websites + wachtwoorden je allegoritme achterhalen.

Wat ga je dan doen? Nieuw allegortime en op alle websites waar je ooit was je wachtwoord veranderen?

RobIII
@Malarky • 20 februari 2019 09:47

Als 5x een wachwoord voor een website van jou uitlekt (ikzelf sta al 12x in HaveIPeenPowned) dan kunnen tools al gemakkelijk aan de hand van websites + wachtwoorden je allegoritme achterhalen.

Behalve in de écht achterljike gevallen waar een plaintext wachtwoord wordt gelekt valt dat wel mee. Aan 5 salted hashes is vrij moeilijk een 'algoritme' af te leiden en een hash -> plaintext omzetten is nog steeds schier onmogelijk. De hashes zijn handig voor rainbow tables (wanneer unsalted) en anders hooguit voor het vinden van (brute forced) collisions.

[Reactie gewijzigd door RobIII op 20 februari 2019 09:48]

nldls
@Malarky • 20 februari 2019 20:17

Inderdaad, nieuw algortime. En daarnaast ieder jaar ww veranderen voor nieuwe of ieder jaar nieuw algoritme bedenken.

ff gecheckt bij Ihavebeenpowned. MIjn hoofdadres staat er 3x in (2x LinkedIn en 1x spambot oid). 2e account nooit en 3e account 1x bij Last.fm. Valt me eigenlijk nog best mee. En ww van mail en/of site is alweer veranderd sinds laatste breach. Overigens wel goed om in de gaten te houden.

[Reactie gewijzigd door nldls op 20 februari 2019 20:21]

albatross
@Ramon • 20 februari 2019 09:00

Wachtwoordmanagers zijn geen schijnveiligheid. Eerder pure noodzaak. Vraag jezelf het volgende af:

- Hoe groot is de kans dat één van de sites waar jij een account hebt gehackt wordt?
- Hoe groot is de kans dat iemand een keylogger op jouw PC installeert?

Dat is niet een goede manier om de beide risicos te vergelijken. Want wanneer je wachtwoordmanager gehacked wordt, dan is daarmee ook meteen ALLES gehacked.

Malarky
@albatross • 20 februari 2019 09:28

Wanneer jij 3x in Ihavebeenpowned staat en je gebruikt geen wachtwoordmanager dan weten we ook vrijwel al je wachtwoorden. Zonder wachtwoord manager.

Een keylogger is niet eens het risico, want:
- uniek nooit gebruikt masterwachtwoord + MFA;
- altijd email notificatie bij nieuwe apparaat login + failed login;
- uitschakelen/aanpassen MFA alleen mogelijk door eerst huidige MFA te gebruiken + weer emailnotificatie.
- emailnotificaties aanpassen vereist ook weer MFA

Tel dat bij elkaar op en je ziet in redelijk ondringbare loop. Links of rechtsom heeft een hacker dus volledige (keylogger) toegang tot mijn computer nodig + fysieke toegang tot mijn telefoon. Waarbij zowel telefoon als MFA app weer mijn vingerafdruk nodig hebben voor elke sessie.

Al met al zit je dan toch al redelijk aan marteling oid situaties te denken.

[Reactie gewijzigd door Malarky op 20 februari 2019 09:30]

CEx
@Malarky • 20 februari 2019 11:21

Er zijn altijd gaten in je ondoordringbare loop. Vraag jezelf eens af wat je doet wanneer je je telefoon kwijt raakt en bedenk dan dat dit ook gebruikt kan worden.

Daarbij riep men ook altijd dat een pinpas met pincode veilig was en dat marteling echt nooit voor zou komen. Helaas zijn roofovervallen op (voornamelijk) inmiddels geen groot nieuws meer.

Blokker_1999

Beveiliging en antivirus

@albatross • 20 februari 2019 09:54

Wat stel je dan voor? Wachtwoorden plain text in een tekstbestandje op de harde schijf? Zelf zwakke wachtwoorden verzinnen die je gaat onthouden en waarbij je dezelfde wachtwoorden altijd opnieuw blijft gebruiken?

Wachtwoordmanagers zijn een stuk veiliger dan de alternatieven. Zijn ze perfect? Neen, absoluut niet. Maar daar draait veiligheid ook niet om. Absolute veiligheid is onwerkbaar. Absoluut gebruiksgemak is niet veilig. Je moet een werkbare balans vinden.

albatross
@Blokker_1999 • 20 februari 2019 10:08

Ik stel niks voor.

Ik wees @Ramon er alleen op, dat je de risicos niet op die manier kunt vergelijken.

Ramon
@albatross • 20 februari 2019 23:49

Bij het vak projectmanagement heb ik geleerd dat je risico-analyses alsvolgt doet:

kans x impact = risico

Je geeft zowel kans als impact een waarde, bijv. tussen 1 en 10. Dan krijg je er een score uit die bepaald welk risico iets heeft.

Voorbeeld:
Stel, je hebt een zwak wachtwoord op je email en geen 2FA aan. Wat is de kans dat je email wordt gehackt? 5 (bijv)
Wat is de impact? 10 want al je wachtwoorden van alles gaat via dat email account

risico? 50

Stel, je gebruikt online overal min-of-meer hetzelfde wachtwoord. Wat is de kans dat een van de sites waar jij een account hebt wordt gehackt? 10 omdat je niets weet over de beveiliging van die honderden sites waar je een account hebt.
Wat is de impact? 10, omdat hackers overal bij kunnen, je zal uren moeten spenderen om je wachtwoord overal aan te passen...

Risico: 100

Stel, je hebt een wachtwoordmanager op je lokale machine staan en een zwak wachtwoord op je windows PC thuis. Wat is de kans dat iemand een keylogger op je machine zet? 2, gerichte aanvallen op mensen thuis zijn schaars, misschien een 5 als je veel illegale zaken op je machine uitvoert met keygens ofzo
Wat is de impact? 10 want je doet werkelijk alles op die machine

Risico? 20 ~ 50

WhatsappHack

Wachtwoord
Beveiliging en antivirus

@Ramon • 19 februari 2019 22:30

Nou, ja, als jij tig werkelijk unieke wachtwoorden kan onthouden (en in kan tikken, is ook nog wel een ding met symbolen. Leuk als je opeens via een KVM/console moet werken bijvoorbeeld waar je key niet werkt en het wachtwoord zeer complex is

) is dat natuurlijk veiliger dan beide. Fact is: dat kan bijna niemand natuurlijk.

ItsNotRudy
@plankhorst • 19 februari 2019 22:36

MFA. Dus een wachtwoord + een Yubikey/telefoon zijn erbij benodigd. En als je het goed doet, dan hebben wachtwoorden binnen de vault ook weer MFA waar mogelijk. Dit is dus enkel onveilig als iemand je telefoon unlocked heeft en je master password. Met een unlocked telefoon kan iemand waarschijnlijk toch direct al je apps en email in, want iedereen vertrouwt wel de 4 cijferige code als gatekeeper van alle wachtwoorden en accounts.

MadEgg

Wachtwoord

@ItsNotRudy • 19 februari 2019 23:17

Je hoeft je telefoon niet te beperken tot een pincode van 4 cijfers hoor - je kunt ook gewoon een fatsoenlijk wachtwoord instellen zoals ik gedaan heb. Wel een van de weinige random passwords die ik uit mijn hoofd ken.

ItsNotRudy
@MadEgg • 20 februari 2019 00:14

Goed, voor jou 99 anderen die het wel doen, het was meer als generiek commentaar bedoeld. Ik kom wekelijks in de IT wel mensen tegen die zich druk maken over password managers, encryptie, enge "afluisterspeakers" e.d. maar wanneer het erop aankomt doen ze er zelf actief aan mee of niks tegen. Dat afluisterapparaat hebben ze 2-4 uur per dag voor hun snufferd, die encryptie hebben ze op hun eigen devices niet eens altijd aan staan, en de data die ze zo graag encrypted willen hebben in hun database, sturen ze wel links en rechts unencrypted of in te grote aantallen via hun applicaties/de wereld in.

Peetz0r
@plankhorst • 19 februari 2019 22:10

In mijn password manager staan pakweg 250 wachtwoorden, die zijn (bijna) allemaal uniek en sterk en willekeurig. Er is geen praktische manier om zonder password manager deze sets account veilig en bruikbaar te houden.

Daarnaast is de analogie van de pincode omschrijven en in je portemonnee bewaren ver te zoeken. De meeste passwords zijn voor online diensten, maar mijn password manager is offline. Als je mijn master password zou hebben maar niet een kopie van mijn database, dan heb je nog niks. Wel verander ik zo snel mogelijk het master password en overschrijf al mijn backups ervan om alsnog de impact nog verder in te perken.

plankhorst
@Peetz0r • 19 februari 2019 22:13

Dat is dus het punt, middels een keylogger maakt het niet uit hoe sterk de wachtwoorden zijn.
250 wachtwoorden zou ik persoonlijk niet op een enkele plek willen opslaan.

Peetz0r
@plankhorst • 19 februari 2019 22:17

Als er een keylogger op mijn systeem zou draaien ben ik toch wel genaaid, ook als ik al die passwords uit mijn hoofd zou weten. De belangrijkste paar vul ik namelijk vaak genoeg in, na een weekje heb je genoeg data om mijn leven goed kapot te maken. Een password manager zou het misschien iets makkelijker maken maar de impact is hetzelfde.

Op het moment dat iemand arbitraire code op mijn laptop kan draaien en mij persoonlijk ten gronde wilt richten, dan ben ik fucked, ongeacht password manager.

Als het ze gaat om mijn geld is er echter probleem. Van een kale kip is het immers lastig plukken. De data op mijn laptop inclusief mijn passwords is (voor een vreemde) minder waard dan de laptop zelf op marktplaats.

Inspired
@plankhorst • 19 februari 2019 22:23

Ik vraag me even af of een keylogger zoveel kan met wachtwoorden in Lastpass. Weet niet hoe het invullen werkt technisch gezien, en of een keylogger de wachtwoorden kan oppakken. In ieder geval ben je zelf ook het haasje met een keylogger zoals hierboven al staat. Als de keylogger alleen het masterpass weet te pakken van mijn Lastpass kan men er nog niks mee.

Liegebeest

@Inspired • 20 februari 2019 05:57

Een keylogger grijpt letterlijk alles wat jij intypt of plakt, dus incl alle ww die je invult. Het zelfde proces dat op je computer draait zal ook met de passeord safe kunnen interacteren, middels het ww dat t heeft opgevangen.

mrdemc
@plankhorst • 19 februari 2019 22:11

Nooit gehoord van MFA/2FA? Is bij (volgens mij) alle wachtwoord managers in te stellen. In ieder geval bij LastPass

[Reactie gewijzigd door mrdemc op 19 februari 2019 22:12]

stresstak
@plankhorst • 20 februari 2019 00:43

Dergelijke producten zijn mijn inziens een behoorlijke schijnveiligheid.
Daarbij komt ook nog dat met slechts een enkel wachtwoord al je andere wachtwoorden in te zien zijn.

..Je andere wachtwoorden in dezelfde database. Maar je kunt wel meerdere databases hebben.

En een enkel masterpassword en een keyfile op een andere plek.

Maar goed, het gaat over toegang tot de computer en (ik heb geen) Windows 10.

I-King

@plankhorst • 19 februari 2019 22:04

Bij een keylogger kan men wel mijn hoofdwachtwoord achterhalen, maar dan is men er nog niet omdat er ook nog een unieke key nodig is bij het installeren/gebruik op een andere PC. Je hebt als het ware dus 2 wachtwoorden, waarvan de keylogger er 1 niet of nauwelijks zal achterhalen.

plankhorst
@I-King • 19 februari 2019 22:06

Een secret code heeft hierbij verder ook geen meerwaarde, aangezien de mallware via een "vertrouwde" pc de wachtwoorden kan inzien.

Anoniem: 11851
@plankhorst • 19 februari 2019 22:13

Nee, Password managers zijn een briefje in je linkervest met een code, waarmee je je portemonnee kan unlocken die in je rechtervest zit.

Blokker_1999

Beveiliging en antivirus

@Anoniem: 11851 • 20 februari 2019 09:57

En als ze dan mijn portemonnee stelen dan hebben ze nog altijd de code niet. Ze moeten al mijn vest stelen zodat ze alle twee hebben en dat is weer moeilijker.

mikesmit
@plankhorst • 20 februari 2019 06:51

Suggereer je dus dat het beter is om bij al jouw online accounts hetzelfde wachtwoord te gebruiken?

Een gemiddeld mens kan maar enkele goede wachtwoorden onthouden terwijl zo een beetje elke internet service een account vereist met een wachtwoord.

En laat het nou net die internet services zijn die die wachtwoorden nog wel eens verliezen.

Bij de hack van Adobe is toentertijd een van mijn wachtwoorden vrij gekomen waardoor 9 accounts toegankelijk waren (inclusief Steam en outlook)
Ik mocht in mijn handjes klappen dat daar 2fa aanstond anders had dit geintje mij ook nog eens veel geld gekost.

Na een tijdje rond gespeeld te hebben met lastpass heb ik besloten om al mijn wachtwoorden daar ook weer weg te halen en alles met de iCloud wachtwoordmanager te doen.
Alle wachtwoordmanagers hebben voor en nadelen maar zijn nog altijd beter dan hoe het vroeger was

plankhorst
@mikesmit • 20 februari 2019 08:39

Dit suggereer ik absoluut niet!

[Reactie gewijzigd door plankhorst op 21 februari 2019 21:06]

Blokker_1999

Beveiliging en antivirus

@plankhorst • 20 februari 2019 09:58

wachtwoorden icm een eenvoudig systeem om iets toe te voegen zijn niet veilig. Met voldoende voorbeelden is het systeem te kraken.

YopY
@plankhorst • 20 februari 2019 09:22

Ik zou wel 2FA of meerdere 'niveaus' in mijn password manager willen zien, dat bijv. m'n weggooi accounts makkelijk toegankelijk zijn maar mijn primaire e-mail weer achter drie niveaus zit - immers, je noemt een single point of failure, maar naast je password manager is ook je e-mailadres een zwakke schakel. Daar heb ik wel 2FA op iig.

mjz2cool
@plankhorst • 20 februari 2019 09:35

Waar je normaal gesproken een makkelijk wachtwoord gebruikt kun je met dit soort producten een heel moeilijk wachtwoord instellen, zodat anderen veel meer moeite moeten doen om erin te komen.
1Password zorgt ervoor dat je met een lokaal wachtwoord die wachtwoorden kunt invullen.

Keyloggers zijn bovendien altijd een probleem, daarvoor maakt het weinig uit wat voor wachtwoord het is.

Is het trouwens ook niet zo dat het wachtwoord van bijv. 1Password lokaal is en dus nutteloos is op een andere pc en dus ook nutteloos is voor keyloggers?

P_Tingen
@Segafreak83 • 19 februari 2019 22:06

Ik heb een paar honderd wachtwoorden in mijn LastPass staan en daarvan weet ik er vrijwel geeneen uit mijn hoofd. Alle wachtwoorden zijn random strings á la "KK%8cs4H@qrm3tt4", "7sdCq58xK7S^wdsc" of "X6Z3vVs58M%F*q#c" zonder een herkenbaar systeem erin.

Het hebben van een ww manager vind ik makkelijk omdat ik dan zelf niet een systeem hoeft te bedenken voor verschillende wachtwoorden. Ik lees hier op tweakers ook wel eens 'slimme' methodes met een deel van de sitenaam erin verwerkt en de rest volgens een algoritme dat te onthouden is. Veel te ingewikkeld voor mij.

LastPass + 2FA all the way here

jimzz
@P_Tingen • 19 februari 2019 22:48

Exact dit, dit heb ik ook. Nu weet ik t gros van mijn veelgebruikte “strings” gelukkig uit mijn hoofd maar toch. Wat ik zo gek vind aan dit soort nieuwsberichten is dat er vaak in staat hoe dat de wachtwoorden gestolen kunnen worden en dan de volgende zin:

“Volgens de onderzoeker is het onbekend hoe wijdverspreid deze kennis is bij kwaadwillenden. Er is geen bewijs dat er dergelijke aanvallen zijn uitgevoerd op gebruikers van wachtwoordmanagers.”

Nou nu weet in ieder geval iedereen het. En of het nou zo slim is om dit te publiceren voordat er uberhaupt oplossingen zijn begrijp ik eigenlijk nooit. De politie doet hetzelfde, vertellen in de krant precies waar ze naar op zoek zijn en wanneer en wat zoiemand te wachten staat. Goh zouden die criminelen dan geen krant lezen vraag ik me wel eens ooit af?

blinchik
@jimzz • 19 februari 2019 23:40

Tja, security through obscurity, ofwel dingen verzwijgen maakt de dingen niet veiliger. In tegendeel, het kweekt een vals gevoel van veiligheid.

Mensen die misbruik willen maken weten dit alles zeker voor jou. Als het in het nieuws komt, is dit voor de maker waarschijnlijk een extra push om de zaken op te lossen.

jmzeeman
@blinchik • 20 februari 2019 08:12

Tja, security through obscurity, ofwel dingen verzwijgen maakt de dingen niet veiliger. In tegendeel, het kweekt een vals gevoel van veiligheid.

Ik denk dat je interpetatie niet helemaal goed is. Obscurity als enige beveiliging is natuurlijk niet veilig. Maar obscurity wordt nog steeds als een waardevolle extra laag in de beveliging gezien en wordt in alle cyber security audits (in ieder geval die ik heb ondergaan) steeds ook weer benadrukt.

Als je aanvaller niet weet hoe je systeem werkt of als het net even anders werkt als al het andere, is dat in ieder geval tegen scriptkiddies en breed ingezette aanvallen een zeer goede eerste laag van beveiliging. Dit kan je bij een 0-day in een component dat je gebruikt, misschien de tijd geven om een lek te dichten, zodat het lek gepatched is voordat mensen door hebben dat ze die 0-day bij jou kunnen toepassen. Bij de systemen waar ik aan werk, waar letterlijk het leven van iemand afhangt van het goed werken van het systeem, is elke extra laag aan beveiliging een zeer gewenste en waardevolle toevoeging.

Over het algemeen houden security onderzoekers zich ook aan responsible disclosure richtlijnen om fabrikanten wat tijd te geven om de problemen te patchen.

Lees bijvoorbeeld is:
https://danielmiessler.com/study/security-by-obscurity/
https://www.csiac.org/journal-article/cyber-deception/

[Reactie gewijzigd door jmzeeman op 20 februari 2019 10:53]

jimzz
@blinchik • 20 februari 2019 01:19

Dat is zeker waar, maar dan zou dat in dit verhaal wel kunnen. Maar hoe zit t dan met die politie berichten en dan het AD die er de dag erop in detail verteld hoe dat je een molotov kunt maken bijv (tis maar een voorbeeld he).

Iblies
@jimzz • 20 februari 2019 10:00

Nou...

https://wnl.tv/2018/03/06...r-sleutel-en-kun-ertegen/
Toen pas heeft de Nederlandse media het opgepakt,
nieuws: Keuringsinstantie keurt vanaf volgend jaar auto met onveilige slimme ...
er wordt ‘actie’ ondernomen,

https://www.bbc.com/news/...ners-hit-by-hi-tech-theft

Watch the full report on BBC One's Watchdog on Wednesday, 12 September 2012 at 20:00 BST. Or watch afterwards on BBC iPlayer.

Alleen speelde het al veel langer.

Dus ja, ik ben er groot voorstander van om met enige terughoudendheid dergelijke leks te produceren. Eerst producent/ontwikkelaar inlichten na verloop van tijd publiek maken. Dat is eigenlijk de enigste manier om die scherp te houden.

yinx84
@P_Tingen • 20 februari 2019 00:10

Ik zweer er ook bij. Een voordeel van password managers die vaak over het hoofd gezien word is dat je een stuk minder vatbaar bent voor phishing; als de URL niet overeenkomt met wat jij hebt opgeslagen zal LastPass in ieder geval geen autofill doen.

Sterker nog, ik open vaak sites vanuit LastPass, als een bookmark, zodat je nooit op een dodgy URL uitkomt.

WhatsappHack

Wachtwoord
Beveiliging en antivirus

@Segafreak83 • 19 februari 2019 21:54

Tja. Als iemand zulke toegang heeft tot je PC is het misschien ook wel prima mogelijk om gewoon direct je wachtwoorden te jatten in plaats van moeilijk te gaan doen om je password manager wachtwoord te jatten.

Dan is ook het enkel zelf onthouden niet meer veilig. Bij een password manager heb je dan in ieder geval geen keystrokes, wie weet scheelt dat toevallig nog. Anderzijds kunnen ze natuurlijk uit zo'n gekraakte database wel meer gegevens halen dan een enkel wachtwoord dat je misschien anders ingetikt zou hebben. Maar als ze lang genoeg toegang hebben boeit het sowieso niet meer.

Je bent dus hoe dan ook nooit 100% veilig.

Maar ik zou met een aanval als dit ook nou niet direct zeggen dat je met een password manager opeens niet meer veilig bent...

(Al vertrouw ik persoonlijk die cloudbased diensten voor geen meter.) Ik denk dat password recycling over het algemeen een groter risico is dan dat iemand op je PC komt en wat credentials uit het geheugen weet te jatten, zeker als je nog een beetje zinnig met je beveiliging omgaat. (Eg: niet zomaar alles downloaden/aanklikken, virusscannertje, firewall.)

[Reactie gewijzigd door WhatsappHack op 19 februari 2019 21:56]

Stoney3K
@WhatsappHack • 19 februari 2019 23:19

Want je kan niet bij het geheugen van een Windows-machine komen door bijvoorbeeld een Rowhammer-aanval op afstand?

WhatsappHack

Wachtwoord
Beveiliging en antivirus

@Stoney3K • 20 februari 2019 00:00

Redelijkerwijs niet echt nee, sprekend in het algemeen.

SinergyX

@WhatsappHack • 19 februari 2019 22:14

Maar hoe komen dan de wachtwoorden in de invulvelden? Magisch zal dat ook niet zijn, net als keystrokes uit te lezen zijn, zullen copy&paste geheugen net zo zijn, of anders wel een script die met het invulveld meeleest, lekke database, noem ze maar op

Ik heb een wachtwoordmanager, maar deze heeft enkel 'hints' naar mijn wachtwoorden, zelfs toegang tot dat ding kom je niet bijzonder veel verder mee (of je moet heel toevallig de duo spec van mijn 3rde character uit CoH weten

).

100% bestaat inderdaad niet, maar ik vind persoonlijk wel het 'te veel' leunen op zulke managers dan een stap erger dan de extreme vormen dat je geheugen van je PC kan worden uitgelezen.

Durandal
@SinergyX • 19 februari 2019 23:21

(of je moet heel toevallig de duo spec van mijn 3rde character uit CoH weten ).

ff een rainbow table met alle CoH dual specs maken..

SinergyX

@Durandal • 19 februari 2019 23:44

Slechts een derde van het wachtwoord, maar zou een leuke puzzel zijn eigenlijk

mjz2cool
@SinergyX • 20 februari 2019 09:38

Daarbij ben je afhankelijk van de site waar je het wachtwoord invult, dat is niet afhankelijk van de passwordmanager. Het gebruik van een passwordmanager kan het wel veiliger maken doordat je hele sterke wachtwoorden kunt genereren (er vanuit gaande dat een site dan wel hun beveiliging op orde heeft).

Justgivemeaname
@Segafreak83 • 19 februari 2019 21:57

Je gebruikt zeker de slimmere methode om voor iedere dienst simpelweg een ander, sterk wachtwoord te onthouden? Of anders dat truckje waarbij de naam van de dienst in het meesterwachtwoord verwerkt zit om de indruk te wekken dat het om verschillende wachtwoorden gaat, maar die allemaal kwetsbaar zijn zodra er één gelekt is?

Segafreak83
@Justgivemeaname • 19 februari 2019 23:32

Velen hier snappen blijkbaar niet dat een paswoord manager gewoon niet veilig is.. Het wil er gewoon niet in?!

Als je master paswoord gelekt is, dan kunnen ze óók overal in! (uiteraard met een paar mitsen en maren, maar ok).

En laten we eerlijk wezen, 9 vd 10 mensen weten niet eens wat 2FA is, laat staan dat ze ermee om weten te gaan..

Edit: -1 ook gewoon, onderbouwde kritische blik is ongewenst..

[Reactie gewijzigd door Segafreak83 op 20 februari 2019 00:13]

mvhorssen

@Segafreak83 • 20 februari 2019 08:55

Het punt dat jij niet lijkt te snappen is dat een password manager niet absoluut veilig is, maar voor velen wel veilig genoeg. Het is gewoon een afweging tussen gemak en veiligheid. Als ik van sommige hier in de comments lees hoe ze met wachtwoorden omgaan, (meerdere kluizen, systeem om 100+ wachtwoorden zelf te onthouden) daar heb ik helemaal geen zin in. Ook moet je niet uit het oog verliezen dat Henk en Ingrid helemaal geen password manager gebruiken, maar nog veel te vaak (bijna) overal hetzelfde wachtwoord. Als je het daarmee vergelijkt is een password manager zeker veiliger, waarbij er nauwelijks hoeft te worden ingeboet op gebruiksgemak.

Als je dan als tweaker een super veilige methode hebt bedacht die voor jou werkt, prima! Maar om dat de benchmark voor iedereen te maken is gewoon niet realistisch, dat gaat gewoon voor de meeste mensen niet werken.

Edit: Typo

[Reactie gewijzigd door mvhorssen op 20 februari 2019 08:58]

Caelestis
@Segafreak83 • 20 februari 2019 00:26

In een perfecte wereld waarbij je alle paswoorden zelf kan onthouden heb je gelijk terwijl elk bedrijf zo graag wil dat je een extra account aanmaakt. In de praktijk is het onmogelijk voor de meeste mensen om uit te voeren dus krijg je een miljard mensen die paswoorden hergebruiken.
Een paswoord manager is dan ook echt een uitkomst om het algemene veiligheid te verhogen. Iemand een truckje leren om 1 paswoord te onthouden en daarbij 2FA gebruiken is nog aardig goed te doen.

Het is net als met virus scanners. Er is er geen een die je volledig beschermt maar zonder is het einde gewoon zoek.
Als je een kritisch kijk wil geven moet je wat meer inhoudelijk ingaan op het probleem en het niet gewoon als "onveilig" bestempelen.

Mbt je -1 pfft trek het je niet aan man het is alleen een mening van 1 of twee personen en is niet gebaseerd op feiten. Als je -1 een keer of 30 krijgt is het misschien een ander verhaal.

MadEgg

Wachtwoord

@Segafreak83 • 20 februari 2019 06:37

Je moet ook meerdere passwordkluizen gebruiken elk met hun eigen wachtwoord en MFA. Ik heb er 4 waaronder één fysieke (Mooltipass). Het is niet perfect maar zo veel beter dan alle alternatieven.

En wat deze kwetsbaarheid betreft: zorgen dat je password manager altijd snel na gebruik vergrendeld, dan blijft het wachtwoord nergens achter. Heb je mijn wachtwoord van de password manager dan heb je MFA nog niet dus kun je nog nergens bij.

Segafreak83
@Justgivemeaname • 19 februari 2019 23:14

Veel Tweakers hier verklaren password managers heilig en o wat werkt het goed..

Ondertussen is de boel nu gekraakt, dus heel zwart wit gezien is zelfs een password manager een wassen neus, het is maar net wat voor een "schijnveiligheid", want dat is het.. Je zelf nodig denkt te hebben.

Uiteindelijk ben je nergens veilig met je wachtwoorden. 2FA is het enige wat je nog wat extra schijnveiligheid biedt, maar als het via SMS gaat, is zelfs dat niet veilig..

En je kan ook niet alles onthouden, dat snap ik ook wel. Dan gooi ik er wel een paswoord reset tegenaan.

BastiaanCM
@Segafreak83 • 19 februari 2019 23:47

Een wassen neus ? Wat een onzin. Ja er zijn verbeterpunten voor de software van password managers, hier betreffende tegen andere software die op dezelfde computer draait. Maar als je foute software hebt draaien op je PC ben je eigenlijk sowieso kansloos. (Niet als persoon, maar in die situatie).

laptopleon
@Segafreak83 • 20 februari 2019 01:08

Eh… "Daarvoor is wel toegang nodig tot de computer en moet de wachtwoordmanager actief zijn"

Oftewel de onderzoekers konden al fysiek bij de computer (dus dan zitten we al op het niveau dat een hardwarematige keylogger installeren mogelijk is en complete harde schijf kopiëren en dergelijke, dus wat zou je dan nog moeilijk doen?)

en de wachtwoord-manager moet al actief zijn. Oftewel je moet het hoofdwachtwoord ook nog hebben want anders wordt 'ie niet actief.

Kortom dit is zoiets als een auto met de deur open, contactsleutel er in en draaiende motor klaar laten zetten en dan claimen dat je de beveiliging kan omzeilen. Tja. Lekker belangrijk nog dan.

cavey
@laptopleon • 20 februari 2019 10:16

Je kan natuurlijk ook een remote sessie hebben met de betreffende computer, met een account die minimale rechten heeft. En dan kan je met behulp van wat tools dus je wachtwoord manager laten hacken.

Of, je denkt veilig te zijn met je manager, je laat iemand anders toe op je pc (teamviewer hulp op afstand), of een consultant, en die voert dit programma uit, verkrijgt daarmee toegang tot je wachtwoorden en dus de rest van je netwerk.

Genoeg mogelijkheden voor privilege escalation waar je meer bij nodig hebt dan alleen maar fysiek toegang tot de computer. Er is meer in het netwerk dan alleen jouw werkstation.

laptopleon
@cavey • 20 februari 2019 11:09

Het hele idee van gebruikers met minder rechten, is nou net om te voorkomen dat ze aan de haal kunnen gaan met meer dan ze mogen gebruiken

Niet voor niets kun je voor VNC-achtige toepassingen tot op detail niveau instellen wat er wel of niet mag (meekijken of zelf werken, alleen programma starten of ook iets installeren, systeem herstarten of niet, wel of geen gebruikers beheren, etc).

Een netwerk waar je over praat, met een x aantal gebruikers waarvan je niet weet of je ze kunt vertrouwen, dat heb je eerder bij bedrijven en instellingen. Daar blijkt keer op keer dat goedgelovigen met een babbeltruc de zwakste schakel blijven. Daar kan geen password-manager – of wat voor beveiliging dan ook – tegenop.

cavey
@laptopleon • 20 februari 2019 11:14

Jups, social engineering is de zwakste schakel.

ijdod

@Segafreak83 • 20 februari 2019 14:21

En dit soort ongenuanceerd geblaat is dus precies waar je minnetjes voor vangt.

-J00P-
@Segafreak83 • 19 februari 2019 22:15

Ik heb ook geen slot op m'n deur, als ze binnen willen komen lukt dat toch wel.

Durandal
@-J00P- • 19 februari 2019 23:23

Ik heb wel een slot op mijn deur, maar als ze binnen willen komen lukt dat toch wel.

stresstak
@-J00P- • 20 februari 2019 00:32

Ik heb ook geen slot op m'n deur,

Heb jij een deur.?!

Segafreak83
@-J00P- • 19 februari 2019 23:15

Heb je geen braakschade iig

mikesmit
@-J00P- • 20 februari 2019 06:57

In ieder huis kan ingebroken worden en daar kan je weinig aan veranderen.

Wat de bedoeling van je sloten, deuren, kozijnen en ramen is om er voor te zorgen dat het zo lang mogelijk duurt.

Hoe duurder je sloten, hoe langer het duurt.
Een inbreker zal zeker niet 1,5 uur bezig willen zijn om jou huis in te komen als pietje schuin tegenover je in 15 min te forceren is

ijdod

@mikesmit • 20 februari 2019 14:22

Daar komt het wel op neer, hoewel de genoemde tijden *erg* optimistisch zijn. Het verschil tussen goed en slecht is voor hang en sluitwerk minuten... maar inderdaad, zorg dat de buren interessanter zijn. Als ze per se bij jou naar binnen willen, gaat ze dat zeer waarschijnlijk lukken.

[Reactie gewijzigd door ijdod op 20 februari 2019 14:23]

mikesmit
@ijdod • 20 februari 2019 22:39

De genoemde tijden zijn ook uit mijn duim gezogen. Ik heb geen ervaring met inbreken

Aikon
@Segafreak83 • 19 februari 2019 22:15

Zolang de passwordmanager onveiliger is dan je eigen methode is dat een goed plan. Maar meestal is dat simpelweg niet zo.

ItsNotRudy
@Segafreak83 • 19 februari 2019 22:32

Met het master password kunnen ze nog geen donder, want als je het goed doet heb je mfa aanstaan. Overigens, wanneer iemand fysiek aan je unlocked Windows 10 systeem zit op een (admin-)account, is er al een grote kans dat ze gewoon je browser in kunnen gaan en je lopende sessies in kunnen gaan, tenzij je altijd Incognito werkt.

629110
@Segafreak83 • 19 februari 2019 22:59

Weet jij waar je wat hebt achtergelaten op welke dag ? Ik wel, ik heb 472 wachtwoorden opgeslagen. Mijn oudste wachtwoord is 4 jaar oud. Ik update bewust elke wachtwoord na een tijdje.Mijn zwakste wachtwoord zijn 4 cijfers...

Bench
@629110 • 19 februari 2019 23:26

Je update bewust je wachtwoord na een tijdje maar je oudste is 4 jaar oud.. Wat is een tijdje dan

mphilipp
@Segafreak83 • 19 februari 2019 23:04

Het alternatief is alles onthouden... Sorry, maar dát lukt mij niet.
Het risico dat iemand een gerichte aanval doet op mijn PC om mijn passwordmanager te kraken is nihil natuurlijk. Dan moeten ze eerst weten welke, en ervoor zorgen dat die malware bij mij komt. Beter proberen ze dan de accounts te kraken van mensen die makkelijke passwords gebruiken, da's veel eenvoudiger.

Waarom zoveel moeite doen als het makkelijker kan?

Wat mij betreft valt dit onder de categorie on-nieuws.

Marctraider
@Segafreak83 • 19 februari 2019 23:50

Windows 10 kan ook lekker een keylogger installeren met de eerste beste update die 99% van de tweakers klakkeloos installeerd.

Dan kan je alles kraken zonder lekken xD

Nja beetje slimme tweaker tweakt LTSB/C en haalt de resterende meuk er ook uit, en dan lekker kijken naar je netwerk verkeer. Noppes nada!

Dutch2007
@Marctraider • 19 februari 2019 23:56

en dan kan gen geen office365 gebruiken, want dat is un-supported on de daar dan ook niet voor bedoelde Win10 versie.

LTSB/C is bedoeld voor terminals, pin automated (het voormalige "Windows Embedded")

TheBoneJarmer
19 februari 2019 23:27

Wellicht een beetje offtopic, maar nu ik dit allemaal zo lees over die password managers vroeg ik mij eigenlijk af of iemand mij kon vertellen hoe zo'n password manager nu juist werkt en wat zijn voor- en nadelen zijn t.o.v. één sterk wachtwoord voor alles? Ik gebruik er namelijk geen en heb er ook eigenlijk geen behoefte aan omdat ik mijn wachtwoorden van buiten ken en toch niet al te veel accounts heb rondslingeren op het web.

WhatsappHack

Wachtwoord
Beveiliging en antivirus

@TheBoneJarmer • 20 februari 2019 01:46

en wat zijn voor- en nadelen zijn t.o.v. één sterk wachtwoord voor alles?

Dat noemen we password recycling.
Stel er wordt vandaag ingebroken door hackers op een website waar jij een account hebt. Daar jat men alle wachtwoorden van. Dan heeft men dus direct jouw wachtwoord voor alles omdat je dit wachtwoord overal gebruikt... (Er zijn nog altijd websites/diensten die wachtwoorden plain-text opslaat, hou dat goed in je achterhoofd. *huiver*) Zeker als je dan ook nog een generiek email-adres hebt is het natuurlijk kat in het bakkie om even overal rond te gaan neuzen. Dat het wachtwoord super sterk is maakt vrij weinig uit als deze plain-text wordt gejat. Uiteraard hoop je dus dat de dienst waar het vandaan gejat wordt de wachtwoorden veilig opslaat, maarja... Dat blijkt soms ijdele hoop. (En dat hashen is ook niet perse zalig, ook dat kent wat kwetsbaarheden.) Daarnaast als je bijvoorbeeld ook dit wachtwoord gebruikt om in te loggen via een onbeveiligde verbinding, dan vliegt dat wachtwoord dus doodleuk over het internet; zeker op publieke(re) netwerken (public, werk, bij vrienden, whatever) is het dan triviaal om die te stelen...

Et cetera, et cetera - je wachtwoord hoeft dus maar op één plek op internet gejat te worden en men heeft toegang tot alles van je dat ze kunnen vinden, totdat je het reset en fixt. Maar dan is er vaak al aardig wat leed geschied...

Daarom is het gebruik van unieke wachtwoorden (en het liefst ook wat verschillende gebruikersnamen en/of emailadressen her en der) erg belangrijk. Daarnaast zijn sterke wachtwoorden/wachtzinnen ook heel erg belangrijk. Combineer die twee dingen en het wordt voor de meeste mensen een onmogelijke situatie.

Je moet én unieke wachtwoorden gebruiken én die moeten stuk voor stuk ook nog eens complex zijn? Dat is waar de password managers in beeld komen! Hier sla je lokaal (bij de betere, imho) enorm complexe wachtwoorden in *per dienst/website* en die database vergrendel je dan weer met een eigen zelf verzonnen sterk wachtwoord en/of keyfile. Zet je het in één database dan kan nog altijd één wachtwoord toegang krijgen tot alle diensten/sites, maar de hurdle is hoger: immers moet men eerst die database jatten van je computer en je wachtwoord om die database te ontgrendelen stelen (of raden) en, indien hier gebruik van gemaakt wordt, moeten ze ook je keyfile nog stelen. Dit heeft als grote voordeel echter dat over het internet enkel unieke wachtwoorden worden verstuurd en dat ene enkele wachtwoord lokaal bij jou blijft waar dit veel lastiger te jatten is. Dit kan je uiteraard nog veiliger maken door een paar verschillende databases aan te maken met elk een eigen master-wachtwoord, zodat als één database gejat wordt nog steeds niet alle toegang verkregen kan worden.

Ik bedoel, om een voorbeeld te geven: er zwerven databases rond op internet die honderden miljoen (boven de miljard) wachtwoorden bevatten. Compleet doorzoekbaar op e-mailadres en soms zelfs op naam van de persoon. Als dat dus geen uniek wachtwoord is maar zo'n "recycled" wachtwoord, dan kan je met dat wachtwoord dus overal in. Vaak is dat, omdat het emailadres er bij zit, nog makkelijker. Immers kan je bij veel diensten inloggen met username OF e-mailadres. Scriptje draaien dat een paar grote sites afgaat, proberen in te loggen: hopsa...

Dat is het voordeel van een password manager. Het is niet waterdicht, maar het vergoot onder normale omstandigheden wel je veiligheid. Slechts in behoorlijk uitzonderlijke gevallen* maakt het het erger - maar daar heb je zelf ook aardig wat controle over.

Let op dat het zelf verzinnen van unieke wachtwoorden op basis van een bepaalde logica (bijvoorbeeld: sitenaam+trouwdatum+van de e'tjes standaard een 3 maken o.i.d. en de eerste letter een hoofdletter) ook behoorlijk makkelijk te doorgronden is.

Voor de meeste mensen is een wachtwoordmanager dus veiliger. Zit je nou echt maar bij 2 diensten in totaal dan is het een ander verhaal, maar gezien je tegenwoordig voor elke scheet een account nodig hebt loopt dat al snel in de tientallen tot honderden wachtwoorden. Het is ondoenlijk om die allemaal zelf uniek EN sterk te maken EN dat dan ook nog eens te onthouden, waardoor je dat ook niet doet - wat je veiligheid weinig goeds doet omdat elke site weer een kwetsbaar punt is waar je wachtwoord staat. Daarom is het fijn om die wachtwoorden dus juist weél werkelijk uniek en sterk te maken, met behulp van een password manager zodat je ze niet allemaal zelf hoeft te onthouden.

_{* = Even de mensen die er stompzinnig en achteloos mee omgaan buiten beschouwing gelaten, als je daar rekening mee gaat houden in statistieken valt er niets meer te vergelijken op veiligheidsgebied.}

[Reactie gewijzigd door WhatsappHack op 20 februari 2019 05:14]

TheBoneJarmer
@WhatsappHack • 20 februari 2019 06:37

Leave it to Tweakers to come up with a book size explanation, thanks! Dat klinkt inderdaad interessant wel. Snap ook niet dat sommige websites je wachtwoorden plain-text opsplaan, zou ne muilpeer krijgen van een senior dev als ik dat zou flikken op werk.

ijdod

@TheBoneJarmer • 20 februari 2019 14:40

Website in elkaar gehobbied door het handige neefje, heb je geen sr dev voor nodig. Of iets wel wel encrypted, en misschien zelfs goed ontworpen, maar door een fout in de logica slecht encrypted.

stresstak
@TheBoneJarmer • 20 februari 2019 00:53

Ik gebruik er namelijk geen omdat ik mijn wachtwoorden van buiten ken en toch niet al te veel accounts heb rondslingeren op het web.

Wachtwoorden en hun managers zijn er natuurlijk niet alleen om toegang te hebben tot webaccounts.
Je kunt uiteraard ook andere zaken beveiligen met software en passwords.
Zoals externe harde schijven, sticks, dvd's, partities, folders, losse bestanden en nog zo wat.

TheBoneJarmer
@stresstak • 20 februari 2019 06:30

Ok! Dat wist ik niet, thanks!

mcDavid
@TheBoneJarmer • 20 februari 2019 10:00

Lol, dit dacht ik ook altijd. Ik heb toch niet zoveel (belangrijke) accounts. Inmiddels gebruik ik zo'n 2 jaar een passwordmanager en staan daar bijna 200 wachtwoorden in! En nog steeds word ik wel eens geconfronteerd met sites waar ik jáááren geleden een keer een account gemaakt heb met gerecycled wachtwoord. Inmiddels weet ik ook dat het betreffende wachtwoord gecompromitteerd is, dus elk van die accounts die nog bestaan, vormt een risico.

Het lijkt misschien vaak onschuldig, maar als zo'n webshop ineens een mogelijkheid toegevoegd heeft om achteraf te betalen, kun je toch ineens onverwacht rekeningen krijgen. Om over risico's van identiteitsdiefstal maar te zwijgen.

Psychilles
19 februari 2019 21:38

Is dit op Mac os echt anders geregeld?

xvilo
@Psychilles • 19 februari 2019 21:43

Kan, maar er word in het artikel niet gezegd of de onderzoeker überhaupt op macos heeft getest. Uiteindelijk is het wel een andere kernel met andere memory management. Maar mocht het een programmeer fout zijn binnen de code van de password managers, dan is de kans er ook dat deze zich in MacOS bevind. We weten het dus niet.

Armin
@xvilo • 20 februari 2019 00:09

De kans dat het specifiek een Windows probleem is lijkt me sterk. Hoogstens kan het OS op een andere manier omgaan met teruggegeven 'pages' van een applicatie, maar zolang ze in beheer zijn van een applicatie is het de verantwoordelijkheid van die applicatie. En het teruggeven (free/delete/etc) van geheugen zonder eerst sensitieve data te wissen is ook een applicatie fout.

Als ik zo het onderzoek lees, is dit specifiek het probleem bij de password managers.

Het Windows OS garandeert overigens dat wanneer een andere applicatie uiteindelijk het geheugen weer krijgt het gewist is. Maar tussen dat jij het teruggeeft en het moment wanneer iemand het weer gebruikt, kan het daar blijven staan.

Ofwel, wat deze applicaties moeten doen is het wissen van de data alvorens het geheugen vrij te geven. Specifiek, heeft Windows de SecureZeroMemory API gemaakt voor expliciet doeleinden waar je zeker wilt zijn dat de data gewist is.

ppl
@Armin • 20 februari 2019 10:17

De kans dat het specifiek een Windows probleem is lijkt me sterk.

Dan moet je beter je huiswerk doen en bijv. de reactie van 1Password eens gaan lezen. 1Password for Mac is een totaal andere applicatie dan die op Windows. De Windows versie is namelijk gemaakt in .NET (waarbij ze ook WPF gebruiken) en dat is onmogelijk op macOS. Zoals in de reactie van Agilebits (de maker van 1Password) al staat vermeld maken ze voor hun Windows versie gebruik van specifieke geheugenmanagement van dat .NET. Dat betekent dat andere .NET apps er ook last van hebben. Wellicht is dat de gemene deler hier (de overige apps ook gemaakt met .NET).

Op macOS steekt de applicatie anders in elkaar en wordt er o.a. gebruik gemaakt van het Touch ID framework. Dit framework werkt met tokens welke o.a. aan de lokale user account van macOS zijn gekoppeld. Dit systeem wordt ook gebruikt voor zaken als Filevault. Op Macs met een security chip speelt deze chip ook nog eens mee in het verhaal. Je kunt de werking van hun applicatie op Windows derhalve niet vergelijken met die op macOS en vice versa. macOS en iOS kan nog wel omdat Apple op beide platforms van nagenoeg dezelfde frameworks e.d. gebruik maakt.

Waar de makers hier, terecht, op wijzen is dat ze afhankelijk zijn van wat het OS zelf biedt aan security mogelijkheden voor het geheugen. Dat is voor ieder OS weer anders en alleen al daarom is het wel degelijk plausibel dat zoiets een issue kan zijn met een specifiek OS. Agilebits geeft aan dat ze pas dingen uit het geheugen kunnen gooien bij afsluiten van de applicatie. De enig andere optie die je hier dan hebt is nooit bij je content kunnen (want bij openen wordt dat ww ergens neergezet).

Afgezien hiervan is, zoals door de makers van de password managers al uitgelegd, een password manager altijd een compromis en nooit 100% waterdicht. Waar deze managers vooral een oplossing voor zijn is het managen van losse passwords voor de vele accounts die men vandaag de dag heeft. Dit is een compromis tussen bruikbaarheid, security en gebruiksgemak. Ja, het kan zeker veiliger maar dat betekent wel dat je op zowel bruikbaarheid als gebruiksgemak fors moet inleveren. De vraag is of je daar wat aan hebt en dat antwoord is vrijwel unaniem "neen". Daarom drukken ze ook op het hart dat je je master password goed moet beschermen en je computer ook goed moet beveiligen. Bij security komt er nog altijd veel meer bij kijken dan een password manager alleen.

[Reactie gewijzigd door ppl op 20 februari 2019 10:28]

Armin
@ppl • 20 februari 2019 18:54

Zoals in de reactie van Agilebits (de maker van 1Password) al staat vermeld maken ze voor hun Windows versie gebruik van specifieke geheugenmanagement van dat .NET.

Ja, maar dat is geen limitatie van Windows maar een keuze van de applicatie-schrijver om een taal te gebruiken met garbage collection. Zou je bijvoorbeeld Java gebruiken heb je identiek hetzelfde probleem.

Overigens ook in .NET en Java kun je met extra werk zorgen dat wachtwoorden overschreven worden alvorens je het terug geeft aan het garbage collection process. Iets meer werk, en je hebt geen toegang tot wat in bibliotheken zelf gebeurd, maar je kunt al veel voorkomen. Zeker door de secure libraries van .NET en Java te gebruiken die onder de kap native zijn en inderdaad doen wat ik beschreef.

Het blijft dus een blunder van de eerste klas om wachtwoorden in geheugen te laten zitten. Het risico kan wellicht anders zijn per OS type (al heb ik nog geen bewijs daarvan gezien), maar dit is echt een applicatie probleem, en geen OS probleem.

Waar de makers hier, terecht, op wijzen is dat ze afhankelijk zijn van wat het OS zelf biedt aan security mogelijkheden voor het geheugen. Dat is voor ieder OS weer anders en alleen al daarom is het wel degelijk plausibel dat zoiets een issue kan zijn met een specifiek OS.

Alleen gebruiken ze dus niet de security mogelijkheden van Windows. Als je het in .NET wilt schrijven moet je diens crypto bibliotheken gebruiken, maar liefst voor de kern-taken wil je dit native doen.

ppl
@Armin • 20 februari 2019 20:38

Je leest nu dingen die er niet staan.

Ja, maar dat is geen limitatie van Windows...

Waar staat dat dan? Precies, nergens

Het ging hierbij om het programma 1Password en die komt in welgeteld 4 smaken: macOS, iOS, Android en Windows 10. Tegenwoordig is er ook een browser extension genaamd 1Password X maar daar zit, itt de apps, een beperking in dat deze alleen met hun cloud dienst te gebruiken is (a la Lastpass, Dashlane).
Al deze 4 apps zijn gemaakt in de programmeertalen die specifiek zijn voor het OS waarop ze komen te draaien. Voor Windows is dat dus .NET en WPF. De reden daarvoor is heel simpel: hiermee mogen ze in de Windows Store. Noem het een limitatie van Microsoft, noem het een limitatie van de Windows Store, noem het een limitatie van Windows 10, het is en blijft een limitatie. Dit is echter niet de enige limitatie: .NET en WPF zelf hebben ook een limitatie: ze zijn alleen beschikbaar op Windows, niet op macOS, iOS of Android.

Uiteindelijk is het inderdaad de keuze van de app maker maar dat doet hier helemaal niet terzake en is dan ook de reden waarom ik het niet heb benoemd. Het ging hier namelijk om het verschil tussen de macOS en Windows versie van 1Password

Overigens ook in .NET en Java kun je met extra werk zorgen dat wachtwoorden overschreven worden alvorens je het terug geeft aan het garbage collection process. Iets meer werk, en je hebt geen toegang tot wat in bibliotheken zelf gebeurd, maar je kunt al veel voorkomen. Zeker door de secure libraries van .NET en Java te gebruiken die onder de kap native zijn en inderdaad doen wat ik beschreef.

Zoals Agilebits ook al heeft beschreven hebben ze naar allerlei zaken gekeken (wat hebben ze er niet bij vertelt) en daaruit moeten concluderen dat het niet anders kon omdat ze anders weer tegen allerlei andere security issues aanlopen. Het was kiezen uit kwaden en dit bleek de minst slechtste optie.

Het blijft dus een blunder van de eerste klas om wachtwoorden in geheugen te laten zitten. Het risico kan wellicht anders zijn per OS type (al heb ik nog geen bewijs daarvan gezien), maar dit is echt een applicatie probleem, en geen OS probleem.

Iets concluderen zonder ook maar enige moeite te hebben gedaan om de materie te lezen (randvoorwaarden voor app stores, reactie van de makers van de password managers, dit security onderzoek zelf) is het enige wat hier als blunder geclassificeerd kan worden. Wat je hier nu neer tikt is niet meer dan geroeptoeter en slaat de plank behoorlijk mis.

Wat je hier vooral mist is een belangrijk stuk uit het onderzoek. De onderzoekers geven zeer duidelijk aan dat 1Password 6 Intel's SGX implementeert en met deze implementatie de beschreven security issues niet had. Daarbij beschrijven ze ook dat Agilebits dit uiteindelijk uit de definitieve 1Password 7 for Windows heeft gehaald omdat er wat issues waren. Uiteraard wordt er netjes naar deze stukken informatie gelinkt (het komt namelijk bij Agilebits zelf vandaan).
Dat Touch ID framework is iets waar je niet aan ontkomt wanneer je dat in je applicatie implementeert. Dat betekent dat je dus ook niet aan het hele token gebeuren en zo'n T2 chip (indien je Mac dat heeft) zal ontkomen. Deze implementatie moet je zien als Apple's variant op dat Intel SGX. De kans dat de macOS versie van dit security issue last heeft is dan ook zeer klein.

Dat laatste is, zeker ook met de randvoorwaarden voor o.a. de Windows Store, wel degelijk reden dat zeker geen applicatie issue is. Wil je een applicatie op een bepaald OS gebruiken dan moet je gebruik maken van wat daar beschikbaar is. Daarmee heeft het OS er dus zeker wel wat mee te maken en zit je met een probleem dat zowel op applicatie als OS-niveau speelt. Zeker wanneer je daar frameworks van het OS bij gaat gebruiken (zoals eerder genoemde Touch ID). Dat maakt de zaak een stuk complexer dan wat jij denkt. Dit is iets wat je bij vrijwel ieder stuk software dat op meer dan 1 platform draait ziet. Als je daar in de issues gaat zoeken kom je heel veel zaken tegen waarbij het OS het probleem veroorzaakt. Dat is ook waarom diverse partijen met OS makers samenwerken of zelf patches lopen te submitten.

Alleen gebruiken ze dus niet de security mogelijkheden van Windows. Als je het in .NET wilt schrijven moet je diens crypto bibliotheken gebruiken, maar liefst voor de kern-taken wil je dit native doen.

Gezien het feit jij over de broncode van 1Password for Windows beschikt is het wellicht handig om een volledige code analyse op dit vlak hier neer te zetten.

Zoals gewoonlijk op tweakers.net denken mensen wel eventjes de oplossing te weten en zoals gewoonlijk komen die van een zeer ijskoude kermis thuis. In de echte wereld zijn dingen namelijk een heel stuk complexer en moet je bepaalde keuzes maken waarbij het niet ongewoon is om tussen kwaden te kiezen. Dit is hetzelfde liedje als een developer die code van een andere developer ziet. Het eerste wat die roept is dat de code zuigt en dat ie het veel beter kan. Totdat ie er een tijdje mee geworsteld heeft en moet toegeven dat dit niet zo is en hij begrijpt waarom de code is zoals ie is. Zolang je zowel de code als de achterliggende keuzes die zijn gemaakt niet kent kun je je maar beter onthouden van het doen van boude conclusies.

[Reactie gewijzigd door ppl op 21 februari 2019 09:28]

Armin
@ppl • 21 februari 2019 03:10

Ik lees geen dingen die er niet staan. Citaat van het artikel:

"KeePass en 1Password stellen dat het gaat om een aanvaardbaar risico en dat het een bekende beperking is van Windows 10."

En toen ontstond een discusie omtrent het OS, waarbij ik zei dat "De kans dat het specifiek een Windows probleem is lijkt me sterk." En vervolgens suggereerde jij dat dat wél zo was.

Maar ik ben blij dat je nu ook erkent dat het een applicatie probleem is. Ipv mij ervante beschuldigen dat ik roeptoeter, leg dan eens uit waar ik het mis heb?

Dat gaat je niet lukken, aangezien ik professioneel security code geschreven heb voor Windows en dus uit eerste hand weet wat wel en niet kan - ook met de .Net en Java bibliotheken. Feit is dat gebruik je de standaard .Net blibliotheken (voor de Store of gewoon .Net/WPF - zijn twee aparte sets) blijven wachtwoorden en andere belangrijke zaken NIET in het geheugen staan kan ik je uit eerste hand verzekeren!

Bovendien kun je ook C++ code in de Store zetten en ook mengsels. Ofwel bepaalde componenten in C++ en andere in C#/WinRT/.Net. Het is dus geen limitatie anders dan een ontwerp keuze van de app makers.

Het niet in geheugen laten staan van wachtwoorden is bovendien 101 security. Het kan best zijn dat de app makers dit een aanvaard risico vonden, en dat is wellicht een valide mening, maar dat moet men/je niet stellen dat het niet anders kan. Zeker omdat andere apps op hetzelfde OS het wel konden ...

ppl
@Armin • 21 februari 2019 09:52

Ik lees geen dingen die er niet staan. Citaat van het artikel:

Zoals ik al zei lees je dingen die er niet staan want je loopt nu een artikel te citeren ipv de eerste reactie uit dit draadje. Die reactie betreft maar 1 zin, namelijk de volgende:

Is dit op Mac os echt anders geregeld?

Ieder ander OS is in dit draadje dan ook offtopic.

En toen ontstond een discusie omtrent het OS, waarbij ik zei dat "De kans dat het specifiek een Windows probleem is lijkt me sterk." En vervolgens suggereerde jij dat dat wél zo was.

De discussie betrof hier macOS en dan zit je al snel aan 1Password die, toevallig, dus ook voor andere OS's beschikbaar is.
Verder staat er nergens van mij de suggestie dat dit applicatie noch OS specifiek is, sterker nog, dat haal ik onderuit. Mensen vergeten nogal vaak dat applicaties specifieke frameworks van het OS gebruiken of dat een OS beperkingen oplegt bij wat de software ontwikkelaar kan gebruiken. Daarom kun je dus ook niet zomaar lukraak conclusies gaan trekken zoals jij nu doet. Het probleem ligt namelijk op zowel applicatie als OS vlak. Wil je daar iets uit concluderen dan zul je daar ook veel meer informatie dan wat hier nu staat nodig hebben.

Maar ik ben blij dat je nu ook erkent dat het een applicatie probleem is. Ipv mij ervante beschuldigen dat ik roeptoeter, leg dan eens uit waar ik het mis heb?

En nog steeds lees je dingen die er niet staan

In de reactie waar je op reageert staat de uitleg waar je het mis hebt, waarom je het mis hebt en dat er geen sprake is van louter een applicatie probleem.

Dat gaat je niet lukken, aangezien ik professioneel security code geschreven heb voor Windows en dus uit eerste hand weet wat wel en niet kan - ook met de .Net en Java bibliotheken.

Dat hoeft mij ook niet te lukken, dat doe je zelf wel met dit soort uitspraken. Voor dit soort zaken heb je niet veel aan jouw kennis, je zult kennis nodig hebben hoe applicatie ontwikkeling op multiplatforms gaat en welke frameworks de diverse operating systems hebben. Dat is wat er bij jou lijkt te ontbreken. Applicaties hebben nou eenmaal een bepaalde werking en die werking probeer je op een ander OS ook voor elkaar te krijgen (in dit geval gaat het om een applicatie die is begonnen als frontend voor Keychain in MacOS X). Dat betekent dat je bestaande architectuur moet lopen porten en wat al dies meer zij. Daarbij loop je onherroepelijk tegen beperkingen die een OS heeft (ieder OS heeft ze, er zijn GEEN uitzonderingen) om de doodeenvoudige reden dat een OS nou eenmaal op een bepaalde wijze werkt. Het kan dan zomaar zijn dat wat jij hier nu roept juist geen optie is omdat dit andere security problemen met zich meebrengt. Dan moet je als ontwikkelaar dus kiezen uit 2 kwaden.

Iedereen die code schrijft weet dit soort zaken omdat ze er regelmatig tegen aanlopen. Je moet keuzes maken omdat je soms om beperkingen van je framework, het OS, etc. heen moet werken. Dat iemand die naar zijn eigen zeggen professioneel security code schrijft (wat overigens an sich al een merkwaardige uitspraak is; er is niet iets als security code) dit niet doorheeft is uiterst zorgwekkend te noemen. Je vertoond wel heel erg stereotypisch programmeursgedrag waarbij er per definitie van de code dat niet van jou is helemaal niets deugd. Gelukkig denkt niet iedere programmeur er zo over; maakt code reviews ook aanzienlijk makkelijker en efficiënter.

Het niet in geheugen laten staan van wachtwoorden is bovendien 101 security. Het kan best zijn dat de app makers dit een aanvaard risico vonden, en dat is wellicht een valide mening, maar dat moet men/je niet stellen dat het niet anders kan. Zeker omdat andere apps op hetzelfde OS het wel konden ...

Lees nou eens een keer die paper! De conclusie is nou juist dat ze dit soort dingen wel doen maar niet wanneer ze draaien om wat voor reden dan ook. Die reden wordt niet gegeven want er is niet naar gezocht. Bovendien staat er ook in de conclusie vermeld dat dit voor ALLE applicaties geldt en er dus GEEN uitzondering is. Exact het tegenovergestelde van wat jij hier nu beweert. Bovendien krijg ik met dit soort uitspraken niet bepaald het idee dat je snapt om wat voor applicaties het hier gaat (en dan met name hoe ze door de gebruikers worden gebruikt).

Maar goed, met je vingertje wijzen is makkelijker dan naar de feiten kijken en concluderen dat je te weinig feiten hebt om iets te kunnen concluderen. Je bent niet de eerste programmeur die ik tegenkom met dit soort boude uitspraken. Ik ben er echter nog nooit eentje tegengekomen die met die uitspraken gelijk had, altijd hebben ze die weer terug moeten nemen omdat de werkelijkheid weerbarstiger was dan hun bubbeltje. En dat is een goede tip en wijze les: doe geen uitspraken obv halve feiten en waarheden.

[Reactie gewijzigd door ppl op 21 februari 2019 09:57]

Armin
@ppl • 21 februari 2019 18:23

Mensen vergeten nogal vaak dat applicaties specifieke frameworks van het OS gebruiken of dat een OS beperkingen oplegt bij wat de software ontwikkelaar kan gebruiken. Daarom kun je dus ook niet zomaar lukraak conclusies gaan trekken zoals jij nu doet. Het probleem ligt namelijk op zowel applicatie als OS vlak.

Dus om even concreet te zijn:

- jij stelt dat het onmogelijk is om op Windows wachtwoorden uit het geheugen te wissen?
- jij stelt dat dat onmogelijk is als je .Net gebruikt?
- jij stelt dat het onmogelijk is als je de Store-API's gebruikt?

Indien je dat zegt zit je fout op elke van deze drie gronden.

Lees nou eens een keer die paper! De conclusie is nou juist dat ze dit soort dingen wel doen maar niet wanneer ze draaien om wat voor reden dan ook. Die reden wordt niet gegeven want er is niet naar gezocht.

Ik heb de paper gelezen, maar ik reageer op een vraag en vervolgens jouw reactie op mijn stelling. Mijn stelling is dat het niet OS specifiek is. Jij bestrijd dat. Jij hebt daarin ongelijk!

Ipv hoog van toren te blazen zoals je blijft doen, leg eens uit waar ik ongelijk heb: welke beperking in Windows of .Net of de Store-API bestaat waardoor het niet zou kunnen?

Ik voorspel dat je wederom ontwijkend antwoord wat die beperking bestaat geheel niet!

Dit is 100% een applicatie keuze of fout afhankelijk hoe je het wilt uitleggen.

Wim-Bart
@ppl • 20 februari 2019 23:19

Voor high secure applicaties als dit moet je geen DOTNET of andere taal gebruiken die met zwak geheugen management werkt en bijvoorbeeld gebruik maakt van Garbage Collection.

Wanneer je native C++ gebruikt, in combinatie met de juiste compiler switches dan zal de aanvallende applicatie gewoon crashen met een access violation. Gewoon kwestie van de juiste taal kiezen.

Auteur

Xtuv
@xvilo • 19 februari 2019 21:49

Het onderzoek is gedaan met de betreffende wachtwoordmanagers op Windows 10.

DigitalExorcist
@Psychilles • 19 februari 2019 22:31

Mogelijk wel, compleet ander systeem. Mac heeft zelf natuurlijk ook Keychain/Sleutelhanger. Synct ook met alle iOS devices..

Inspired
@DigitalExorcist • 19 februari 2019 22:38

En is ook niet geheel veilig. (https://www.engadget.com/...exploit-apple-bug-bounty/) Het lijkt me aannemelijk dat het een issue met de code is van de password managers. Ook omdat sommige het issue wel hebben, en andere niet. De kans is groot dat het issue niet alleen op Windows 10 voorkomt.

desalniettemin
@Psychilles • 19 februari 2019 21:57

En op Linux. Peppermint wat gebaseerd is op Ubuntu. Ik gebruik Bitwarden als extensie in Firefox.

tom.cx
@Psychilles • 19 februari 2019 21:39

Dat zou ik inderdaad ook willen weten.

Jazco2nd
19 februari 2019 21:43

Jammer dat Enpass en Bitwarden niet zijn meegenomen. Dat zijn de enige volwaardige password managers die niet afhankelijk zijn van de cloud (je kan gewoon je eigen NAS gebruiken als backup of sync).

[Reactie gewijzigd door Jazco2nd op 19 februari 2019 21:43]

WhatsappHack

Wachtwoord
Beveiliging en antivirus

@Jazco2nd • 19 februari 2019 21:47

Want dat kan met KeePass niet wil je zeggen?

Jazco2nd
@WhatsappHack • 19 februari 2019 21:59

In mijn ervaring werkt Keepass helemaal niet zo prettig als bijvoorbeeld Enpass icm Windows, Android en Debian.
Keepass2Android heb je dan nodig. Dan is Enpass wel een stuk prettiger. Naar mijn idee is Keepass dan een beetje houwtje touwtje..

MadEgg

Wachtwoord

@Jazco2nd • 19 februari 2019 22:09

Ik gebruik KeepassX op Windows en Linux en MiniKeepass op iOS. Synchronisatie via NextCloud. Werkt perfect!

BikkelZ
@MadEgg • 19 februari 2019 22:13

Ik heb er ook weinig problemen mee. Wel steeds op CMD+S rammen in macOS.

[Reactie gewijzigd door BikkelZ op 19 februari 2019 22:13]

aaahaaap
@Jazco2nd • 19 februari 2019 22:13

Wat bedoel je precies? Keepass werkt zonder problemen.
Wat betreft Android: Probeer KeePass DX eens.

Jazco2nd
@aaahaaap • 19 februari 2019 22:19

Nou misschien is dat het probleem al. Enpass is gewoon helder en duidelijk. Keepass moet ik door allerlei apps spitten om te achterhalen wat überhaupt nog supported is en vervolgens wat net zo lekker werkt als ik gewend ben.

Maar bedankt voor de info. Ik dacht namelijk dat het niet bruikbaar was in mijn situatie. Dat is het dus wel mits je weet welke app je moet gebruiken.

Annihilism
@WhatsappHack • 19 februari 2019 21:50

Odd. Sla het bestandje op google drive of je NAS op en t werkt perfect. Doe ik ook al heel lang (op m'n nas).

Rembert
@Jazco2nd • 19 februari 2019 23:01

1Password kan ook gewoon met een local vault werken. Ik heb nooit de cloud van 1Password gebruikt. Ik ben ondertussen overgestapt naar Bitwarden. Helaas is Bitwarden niet meegenomen in dit onderzoek en dit kwam ook niet aan de orde bij een recente audit van Bitwarden.

Jazco2nd
@Rembert • 19 februari 2019 23:07

Een local vault Kunnen ze toch allemaal mee werken? Ik bedoel dat je een sync hebt tussen 2 of meer devices zonder tussenkomst van den cloud dienst. Zoals je bij Bitwarden dus de server software kan installeren.

ppl
@Jazco2nd • 20 februari 2019 10:20

Dat kan dus ook met 1Password. Dan gebruik je gewoon de ingebouwde wifi sync mogelijkheid of je doet het zelf middels rsync. In de settings staat dat bekend als resp. WLAN Server en Sync. Sterker nog, dat cloud sync is iets wat ze later aan 1Password hebben toegevoegd.

Enpass is een ander stukje software die sterk op 1Password lijkt en hetzelfde kan wat sync betreft.

Zoals anderen hier al aangeven kan KeePass het ook. De drie hier genoemde stukken software zijn daarin absoluut niet de enigen!

[Reactie gewijzigd door ppl op 20 februari 2019 10:22]

_eXistenZ_
@Jazco2nd • 19 februari 2019 21:47

KeePass ook...

smiba

@Jazco2nd • 19 februari 2019 21:48

Dat zijn de enige volwaardige password managers die niet afhankelijk zijn van de cloud (je kan gewoon je eigen NAS gebruiken als backup of sync).

Ik kan het ook mis hebben, maar valt KeePass hier niet gewoon onder? Dit is gewoon een bestand op je computer, evt. kan je die op een NAS zetten of bijvoorbeeld via OwnCloud/NextCloud syncen

jozuf
@Jazco2nd • 19 februari 2019 21:49

Kan ook met keepass icm nextcloud en in mijn geval keepass2android voor mobiel.

rolandverh
19 februari 2019 22:28

Wachwoorden zijn (in algemene zin) al jaren een lastige zaak.
Eigenlijk zouden we ze niet meer moeten gebruiken.
Zelfs het gebruik van One Time Password en Multi Factor Authentication staat ter discussie.
Op de een of andere manier is zo ongeveer de hele wereld verslaafd geraakt aan wachtwoorden en we willen er maar niet vanaf. Databases met wachtwoorden, rainbowtables, lijsten met miljarden email-adressen/inlognamen en wachtwoorden zijn beschikbaar en we leren het niet! Kort geleden nog een artikel op nu.nl gezien, waarin data van bedrijven beschikbaar was via het testaccount van een software ontwikkelaar.
Nieuwe producten als Google Titan Security Key moeten MFA en OTP problemen dan weer opvangen.

De vragen die meespelen; Wat wil ik beveiligen? Tegen wie? Voor hoelang? Wat is de waarde?
Allereerst, laat duidelijk zijn; Ik wil NIET dat WIE DAN OOK mijn data kan inzien of misbruiken, zelfs als het volkomen waardeloos is.
Maar om het een beetje beheersbaar te houden, hebben we inmiddels tooltjes nodig om alle wachtwoorden bij te houden. Ik zou het beslist niet uit mijn hoofd kunnen. Dus heb ik meteen een zwakheid waar het gaat over het gebruik van die wachtwoorden.
En dan krijg ik het beeld van een enorm slot op een deur, waarvan de scharnieren het zwakke punt zijn.

Een tijd lang zijn passwordmanagers in de cloud als veilig aangemerkt, totdat een hack bij lastpass liet zien dat het allemaal schijnveiligheid is.
Daarna kwamen allerlei andere oplossingen, de ene nog mooier dan de andere, inclusief hardware devices (zoals Mooltiepass).

Voor mij lijkt het dat er geen silver bullet is.
Bij een bank is de waarde van de data groter dan de waarde van de data bij de buurtsuper. Hoe ernstig ik iedere lek ook vind.
Bekijk dan ook goed wat je wilt beschermen, wat de waarde voor iemand anders zou kunnen zijn en stel nog een paar van dat soort vragen. Dan kun je een afgewogen beslissing nemen om geld uit te geven.
Vervolgens moeten we accepteren dat we continue ingehaald worden door de techniek en de mogelijkheden.

Ik kan me dus voorstellen dat KeePass en 1Password gewoon zeggen "Ja, we snappen het, maar zien het niet als een enorm probleem", per slot van rekening; als fysieke nabijheid noodzakelijk is om een zwakte te misbruiken, kun je er zowiezo niet zoveel meer tegen doen.

MadEgg

Wachtwoord

@rolandverh • 19 februari 2019 23:14

Verslaafd aan wachtwoorden? Ik zie je geen fatsoenlijk alternatief noemen. Voor zover ik weet omdat dat totop heden niet ondekt is.

2FA met een U2F key is een leuke aanvulling voor 2FA maar voor de rest zijn vrijwel alle alternatieven gebaseerd op ofwel persoonsgegevens (emailadres, telefoonnummer) ofwel biometrie (gezichten, vingerafdrukken, irisscans). Allen welke niet veilig of niet (wenselijk) aanpasbaar. Dus blijft het wachtwoord, want er is niets beters. Even voor de duidelijkheid: dan heb ik het dus over een volledig random wachtwoord, niet over iets in de trant van test1234 of MadEgg03051982!

Ik heb KeePassX ingesteld op binnen 1 minuut zichzelf te vergrendelen en daarmee het wachtwoord uit het geheugen te verwijderen. Het risico blijft aanwezig maar je beperkt het zo veel mogelijk.

BastiaanCM
@MadEgg • 19 februari 2019 23:52

SQRL misschien ? Een vorm van out-of-band authenticatie (via een ander apparaat inloggen). De websites hoeven niet een geheim password op te slaan (gehashed natuurlijk) maar in de plaats daarvan een public key. Daar van is het niet erg als die uit zou lekken. Inloggen gaat via een challenge-response systeem.
https://www.grc.com/sqrl/sqrl.htm
Is nog in ontwikkeling.

[Reactie gewijzigd door BastiaanCM op 19 februari 2019 23:58]

MadEgg

Wachtwoord

@BastiaanCM • 20 februari 2019 00:13

Klinkt als U2F in software?

Public key authentication is op zich mooi, maar leent zich ook voor veel sites niet (in ieder geval niet in mijn gebruik) aangezien je het "wachtwoord" niet kunt delen. Mijn vrouw heeft het wachtwoord van een aantal van mijn accounts - dat is lastig te realiseren met wat voor vorm van MFA dan ook. Zo te zien lijdt SQRL onder hetzelfde probleem.

Public keys geven ook nog weer een ander probleem - als je de private key hebt heb je toegang. Net als bijvoorbeeld met SSH public key authentication. Ook een briljante oplossing - echter heb ik daar wél een wachtwoord op mijn private key zodat zelfs als mijn private key uitlekt, nog niemand er iets mee kan zonder het wachtwoord.

Desalsalniettemin een leuke toevoeging aan het arsenaal. Ik zie het nog niet als volledige vervanging - daarvoor zijn wachtwoorden te flexibel.

BastiaanCM
@MadEgg • 20 februari 2019 12:10

Klinkt als U2F maar is bedoeld om het hele systeem van wachtwoorden te vervangen.

Volgens mij zijn er mogelijkheden om een ander toegang te geven in te loggen met jouw creds, (semi) permanent delen dat weet ik even niet.

Zijn public keys een probleem ? Het idee is dat die private key - in tegenstelling tot wachtwoorden - het apparaat niet hoeft te verlaten. Ja, die private key word nog wel beveiligd met een enkel wachtwoord dus dat is niet anders. Er is ook nog een recovery optie ingebouwd mocht jij die private key toch een keer verliezen.

GekkePrutser

Wachtwoord
Beveiliging en antivirus

@rolandverh • 19 februari 2019 23:41

Klopt, paswoorden moeten gewoon weg. MFA is alleen maar een zeer irritante workaround om nog steeds paswoorden te kunnen gebruiken. Maar het probleem blijft: Een paswoord is iets dat je afgeeft waarna de andere partij zich als jou kan voordoen. Dit is gewoon fout.

Veel beter zou zijn het gebruik van security tokens zoals smartcards (secure element) met public/private keypairs. Hiermee kan je bewijzen wie je bent zonder het bewijs zelf af te geven. Helaas zijn smartcards jarenlang ontzettend moeilijk geweest in het gebruik, met ingewikkelde software. Nu wordt hier gelukkig eindelijk werk van gemaakt met Fido2 en Webauthn (CTAP2 mode). Helaas valt de browser ondersteuning nog tegen, vooralsnog werkt in Firefox en Chrome alleen de MFA mode.

Klaus F.
@rolandverh • 20 februari 2019 08:32

1Password verschuilt zich nogal eens achter hun Mac voorkeur. Zo ook nu: 'het is een bekend probleem met Windows'
Ik gebruik overigens 1Password voor W10, met gehaste bestanden op Dropbox om te syncen.
Kan overigens geen 2FA vinden bij de instellingen.
Wat zou een goed alternatief zijn voor mij?

BikkelZ
19 februari 2019 23:08

Altijd blij dat KeePass altijd goed uit dit soort tests komt. Maar er komt een dag dat ook hier een fout in ontdekt wordt

CAPSLOCK2000

Beveiliging en antivirus

@BikkelZ • 19 februari 2019 23:37

Overal worden fouten in ontdekt, de vraag is hoe daar mee om wordt gegaan.
KeePass heeft daarbij het extra voordeel dat het open source is en dat je dus niet volledig afhankelijk bent van de oorspronkelijke auteur. Als het moet kan de community ingrijpen en zelf een patch uitbrengen voor een kritiek probleem.

RoestVrijStaal
@BikkelZ • 20 februari 2019 00:55

Als je het bron artikel leest, is het alles behalve "Niets aan de hand. Gaat u maar lekker slapen."

KeePass claimt dat als je een memory dump van het KeePass process naar disk doet, dat er dan geen logins of leesbare wachtwoorden te vinden zal zijn.

Maar wat gebeurd er als er een string dump wordt gedaan? Juist, logins en wachtwoorden wel zichtbaar en naar elkaar te herleiden

Keypunchie
19 februari 2019 21:58

KeePass heeft een wachtwoord en een keyfile, in principe zou dit deze aanval toch moeten tegengaan? Kan de gecombineerde key wel aanwezig zijn, maar good luck met de individuele componenten. Of is dat te simpel gedacht?

Ramon
@Keypunchie • 19 februari 2019 22:21

Als iemand toegang heeft tot je PC dan staat daar ook je keyfile wel ergens toch? Tenzij je die op een USB-stick hebt en altijd bij je hebt.

WhatsappHack

Wachtwoord
Beveiliging en antivirus

@Ramon • 19 februari 2019 22:33

Een USB stick met encrypted filesystem is zelfs nog mooier, immers moet je die dan eerst unlocken voor je bij de keyfile kan. Maar ook als die verbonden is met je geïnfecteerde apparaat en je unlockt hem is het einde verhaal uiteraard.

Qalo
@WhatsappHack • 20 februari 2019 17:08

Zoiets doe ik zelf al. Mijn Keepass-bestand zit standaard in een VeraCrypt-container. Oké, ik moet dan wel twee wachtwoorden onthouden in plaats van één, maar dat voelt toch als een extra barrière, mocht iemand mijn wachtwoordbestand weten te ontfrutselen.

1 2 3 4 5 Volgende

Op dit item kan niet meer gereageerd worden.

Onderzoek: master password van wachtwoordmanagers is te achterhalen via geheugen

Lees meer

Reacties (248)

Sorteer op:

Weergave:

Tweakers maakt gebruik van cookies

Toestemming beheren

Functioneel en analytisch

Relevantere advertenties

Ingesloten content van derden