'Meerderheid werknemers gebruikt geen wachtwoordbeheerder'

Van de Nederlandse werknemers gebruikt 65 procent geen wachtwoordbeheerder, zoals LastPass of Keepass. Kantoorpersoneel schrijft daarnaast nog vaak wachtwoorden op of mailt ze naar zichzelf. Internetserviceprovider BIT leidt dit af uit onderzoek.

De vraag 'Gebruikt u een passwordmanager?' wordt door 65 procent van de werknemers ontkennend beantwoord. Van de respondenten gebruikt 17 procent wel een wachtwoordbeheerder en 18 procent weet niet eens wat het is. Onder jongeren ligt het gebruik iets hoger; een kwart van hen gebruikt een beheerprogramma. Dat blijkt uit het rapport Internet Eigenwijs 2017 dat BIT heeft opgesteld na onderzoek onder 1012 Nederlanders met een kantoorbaan.

Een aanzienlijk deel van de werknemers blijkt moeite te hebben met het onthouden van wachtwoorden. Van hen schrijft 38 procent daarom wachtwoorden op papier, terwijl 18 procent zijn inloggegevens naar zichzelf mailt om ze niet te vergeten. Het gebruik van wachtwoordgenerators is nog geen gemeengoed; slechts 14 procent zet deze weleens in, terwijl 21 procent van de respondenten geen wachtwoord met diverse leestekens inzet.

Verder gebruikt 53 procent zijn of haar gebruikelijke wachtwoord voor meer dan drie logins en bij jongeren is dit zelfs 64 procent. Dit kan kwalijke gevolgen hebben als het om belangrijke accounts gaat. In het verleden kwamen regelmatig databases met wachtwoorden van grote diensten op straat te liggen, waarna kwaadwillenden op de accounts van andere diensten konden inloggen.

Het onderzoek valt samen met de nationale Check-je-wachtwoordendag, die in 2014 mede door het Openbaar Ministerie in het leven is geroepen om internetters bewuster te maken van het belang van goed wachtwoordbeheer.

Lees meer

IT-banen

Reacties (322)

SteveWoz
24 november 2017 09:39

Tsja, vaak mogen medewerkers niets installeren. Een werkende wachtwoordmanager is dan lastig te realiseren.

cavey
@SteveWoz • 24 november 2017 09:43

Het bedrijf kan natuurlijk ook nog een werkgroep oplossing aanbieden zoals bijvoorbeeld passwordstate (https://www.clickstudios.com.au/) en met een 2FA werken.

Dit heeft weinig van doen met eventuele onwil van medewerkers, maar meer onkunde van de IT manager.

Sowieso zijn de meeste wachtwoord regels van de zotte:
minimaal 8 karakters, maximaal 16 (grrrrrrrrrrr, kom ik dan aan met m'n 32 karakters gegenereerde wachtwoord. Truncated en waarom kom ik er nou niet in? Invul veld gelimiteerd tot 16 karakters, maar niet bij registratie, en wel een checksum over 32 karakters doen zodat je nooit correct kan matchen/hashen).
Hoofdletter, kleineletter, cijfers, random leestekens. Voor een computer zijn dit soort beperkingen echt nutteloos.

Wachtwoord zinnen, for the win \o/ Als nu nog eens een hoop webdiensten dit ook gaan accepteren als zijnde een goed wachtwoord, dan komen we nog eens ergens

winos
@cavey • 24 november 2017 10:03

Passwordstate, Wat een heerlijk programma. Ik heb het gevoel dat zij weten waar ze mee bezig zijn.

Wel eens een support ticket ingeschoten, ongelovelijk hoe goed zij hebben nagedacht over dit programma.

Werkelijk waar alles is goed gedocumenteerd en UI keuzes zijn logisch.

Een verademing voor het bedrijf. En voor mij als beheerder.

Nee ik heb geen contact met clickstudio's, we hebben het gewoon aangeschaft. Was de beste koop sinds een lange tijd.

Willem_54
@winos • 24 november 2017 22:01

Keepass is ook heel goed en door een externe audit gecontroleerd. Wordt ook zeer actief beheerd en uitgebreid. Volledig gratis.

Jerie

@winos • 24 november 2017 13:26

Ik vind het geestig hoe ze het hebben over "affordable". Voor 1 user is het 54 USD en dan 9 USD per jaar. Dat is duur. Blijkbaar moet je eenmalig 45 USD betalen.

LastPass kost 24 USD per jaar. Dat is dan na 3 jaar even duur, en pas na het vierde jaar is Passwordstate goedkoper.

Bitwarden kost maar 10 USD per jaar. Het is volledig open source, en je kunt zelf een authenticatie server opzetten. Recent is er zelfs een third party Ruby authenticatie server geprogrameerd door een OpenBSD developer.

winos
@Jerie • 24 november 2017 13:32

Ik weet niet zo goed of lastpass ook volledig in het domein geinteregeerd kan worden, of dat domein gebruikersnamen gebruikt kunnen worden om in te loggen op de eigen omgeving van lastpass.

Dit is gewoon erg goed gedaan bij passwordstate. Ik vind het meer dan een wachtwoordbeheer app.

Het is een service. Back-ups, controle van instellingen. Enorm goede support. Volledig compatible met windows, Apple en linux vanwege een Web based interface. Makkelijk
beheerbaar en toch 1000den instellingen. Maar alles logisch en in de filosofie van Microsoft gebouwd. Geen vage instellingen om het draaiend te krijgen. Petje af hoor.

Ze hebben zelfs een edge applicatie gebouwd. Helaas heeft Microsoft dit nog niet toegestaan maar hij is er wel.

Daarom vind ik het een zeer fijn programma om te gebruiken!

Laten we nou eerlijk zijn, voor de zakelijke markt loopt Microsoft ver voor op de concurrentie. En passwordstate haakt daar perfect op aan.

[Reactie gewijzigd door winos op 24 november 2017 13:35]

Jerie

@winos • 24 november 2017 13:53

Geen idee, ik gebruik geen LastPass meer. Ze hebben de prijs namelijk sinds de overname door Logmein Inc. verhoogd van 12 USD/jaar naar 24 USD/jaar. Zonder noemenswaardige extra features.

1Password heeft ook hun prijs verhoogd, van een buy once applicatie naar een subscription model (36 USD/jaar). Daarom is die OpenBSD ontwikkelaar ook die Ruby Sinatra app gaan schrijven

want hij wilde switchen naar Bitwarden.

Bitwarden kan dat in ieder geval wel en maakt gebruik van MS SQL of Ruby + SQLite.

Over het in de hemel prijzen van Microsoft zal ik verder maar niet op in gaan. Laten we het er maar op houden dat niet iedereen fan is van de producten van dat bedrijf.

[Reactie gewijzigd door Jerie op 24 november 2017 13:54]

MaxTheKing
@Jerie • 24 november 2017 20:57

LastPass kost geld..? Gebruik het al meer dan een jaar gratis

Jerie

@MaxTheKing • 24 november 2017 20:58

Voor 1 device en zonder 2FA is het gratis. Ik noem dat "demo"

[Reactie gewijzigd door Jerie op 24 november 2017 20:58]

MaxTheKing
@Jerie • 24 november 2017 22:04

Gebruik het momenteel op 3 devices, mijn telefoon, laptop en PC, met de gratis versie.

Jerie

@MaxTheKing • 24 november 2017 23:06

Yup ik zie het inderdaad: https://www.lastpass.com/pricing

Hebben ze dat recent aangepast. Voorheen werkte het maar met 1 device. Want ik heb LastPass een hele tijd gebruikt met meerdere devices, betaalde ik toen voor. En toen gebruikte ik geen 2FA.

Maar als je 2FA wilt gebruiken, kost het wel geld.

Bitwarden is ook gratis als je geen 2FA gebruikt.

Hoewel idealiter je 2FA wilt, heeft nu niemand meer een excuus om geen password manager te gebruiken

jimzz
@Jerie • 25 november 2017 03:47

2FA is wel degelijk mogelijk met een gratis account. Ik gebruik het zelf ook al een flinke tijd en lastpass is echt geweldig. Maar goed ieder het zijne.

Jerie

@jimzz • 25 november 2017 10:26

Met hardware keys?

jimzz
@Jerie • 25 november 2017 14:52

Ah nee dat geloof ik niet

bilgy_no1
@cavey • 24 november 2017 10:03

Precies, die regels zijn nogal irritant. Plus ook het feit dat ze overal weer anders zijn. Bij de een moet je een leesteken gebruiken, bij de ander mag het niet. Dat maakt het lastig om een goed werkend systeem te hebben.

Ook het aantal logins is rete irritant, ook voor zaken die gewoon niet nodig zijn. Bijvoorbeeld webshops die je dwingen om een account aan te maken, terwijl je alleen incidenteel iets wilt bestellen. Diensten die je heel incidenteel gebruikt. Op een gegeven moment ben je gewoon het overzicht kwijt.

crazyx
@bilgy_no1 • 24 november 2017 10:13

Het beste is ook om gewoon geen systeem te hebben... Anders ben je nog steeds kwetsbaar

mashell
@crazyx • 24 november 2017 10:39

Maar omdat ik geheid al die verschillende wachtwoorden ga vergeten voel ik me zonder systeem helemaal kwetsbaar.

yeroon17
@mashell • 24 november 2017 11:26

Daarom gebruik ik ook een wachtwoordmanager.
Ik hoef maar één wachtwoord te onthouden en ik heb bij alle sites een uniek en sterk wachtwoord.

GeroldM
@yeroon17 • 24 november 2017 14:51

En al je "eieren" zitten in een mandje...en gebruik je de sync/cloud optie van de password manager, dan bied je je "mandje" ook nog eens 24 uur per dag/7 dagen per week aan om gehackt te kunnen worden.

Dat is dan wel weer de harde realiteit, wanneer iedereen een wachtwoord manager gaat gebruiken. Zoveel verschillende zijn er namelijk niet (die alle huidige OSsen ondersteunen).

2FA is dan de (veel) betere beveiligingsmethode en ook dat is relatief makkelijk te omzeilen door een of twee succesvolle "spear fish" acties via social engineering.

Wachtwoord managers helpen voor geen meter met de werkelijk zwakste schakel in de hele beveiligingsketen.

joostlaan
@GeroldM • 24 november 2017 15:06

Dan denk ik dat jullie Master Password nog niet kennen, daarbij wordt geen enkel wachtwoord opgeslagen in de cloud, geen sync nodig en tóch slechts 1 wachtwoord onthouden. Werkt ook op bijna alle OS'en, al is er helaas nog wel wat verschil in gebruiksvriendelijkheid.
Ook aangeraden door Privacytools.io

jeroen7s
@joostlaan • 24 november 2017 17:22

gebruik masterpassword zelf, maar er zijn toch genoeg usability issues aan om het niet aan te raden
- kan geen bestaande wachtwoorden opslaan (obvious, but still worth mentioning)
- 1 password per domein (geen appart ww per username)
- geen makkelijke manier om te weten wat uw generation nummer is bij weizigingen aan ww
- geen sync (van de niet pw-data dan, zoals login username en generation nummer, password type)
- geen opslag voor gegevens op desktopversie
- geen autofill van data (niet op extentie en android app)
- uiteenlopende UI, de desktopversie is ronduit lelijk
- uiteenlopende codebase
- multi-domein logins (messenger.com en fb.com, sonyentertainment.com en planetside2.com, ea.com en origin.com etc...)
zowat al die issues kunnen opgelost worden met meer development, behalve die eerste dan.

Tarax
@jeroen7s • 24 november 2017 20:26

De meesten van deze "issues" zijn of voor mij niet belangrijk of te overkomen.

-opslaan van ww: wil ik pertinent niet.
-1 pwd per domein: nee, zet je username gewoon voor de domeinnaam (bv. tarax@bla.com, pietje@bla.com)
-generation nummer: nog niet nodig gehad.
-geen sync: wil ik pertinent niet.
-geen opslag van gegevens op desktopversie: houden zo.
-geen autofill van data: houden zo.
-lelijke UI: ja, maar vind ik niet belangrijk. Het werkt.
-uiteenlopende codebase: is dat erg?
-multidomein logins: heb ik niet nodig.

Volgens mij kun je met genoemde wensen beter een online passwordmanager gebruiken.

Willem_54
@jeroen7s • 24 november 2017 21:34

Daarnaast is onlangs een onderzoek gedaan waaruit is gebleken dat Pwdhash en daarmee ook Pasword-manager kwetsbaar zijn.
http://www.flypig.co.uk/p.../dlj-gr-passwords2016.pdf

Tarax
@Willem_54 • 26 november 2017 10:52

Ik heb niet zo veel verstand van hashen en zo maar als ik me niet vergis wordt in dit stuk geen salt gebruikt.

MasterPasword maakt wel gebruik van een salt (je eigen "full name", hoewel ik een gefingeerde naam gebruik, voor obvious reasons).

bwerg
@joostlaan • 24 november 2017 15:23

Dat lijkt op een hippe versie van [url="file:///C:/Users/Ramon/Desktop/pwdhash/PwdHash.htm"]pwdhash[/url]. Dat werkt inderdaad al 12 jaar lang prima.

@Yupiler dit is iets héél anders dan KeePass. Er wordt niks opgeslagen, het idee is niets meer dan een hash-algoritme waar je je master-wachtwoord ingooit, samen met een URL voor de service waarvoor je het wachtwoord gebruikt. De uitkomst wordt dan je wachtwoord voor die URL.

[Reactie gewijzigd door bwerg op 24 november 2017 15:25]

Yupiler
@bwerg • 24 november 2017 15:28

joost zegt dat er niks wordt opgeslagen in de cloud, dat is bij KeePass ook niet het geval.
"niks opgeslagen" dat geloof ik niet zo.

bwerg
@Yupiler • 24 november 2017 15:32

"niks opgeslagen" dat geloof ik niet zo.

Dan snap je het concept van pwdhash, en voor zover ik kan zien Master Password, dus niet helemaal. Om een hash van je masterwachtwoord en URL uit te rekenen heb je simpelweg niks anders nodig, dus je hoeft niks op te slaan: dat masterwachtwoord kun je bij inloggen gewoon altijd invoeren (één wachtwoord onthouden is prima) en de URL is geen geheim. Daarmee kun je met één masterwachtwoord dus unieke wachtwoorden genereren voor alle URLs waarvoor je wachtwoorden nodig hebt.

joostlaan
@bwerg • 24 november 2017 16:48

@Yupiler precies zoals @bwerg zegt. En privacytools is volgens mij ook een aardig betrouwbare bron als je veilig het internet op wil gaan / je privacy op internet waardeert

Wailing_Banshee

@bwerg • 27 november 2017 07:48

En dan komt dat ene wachtwoord op straat te liggen (ik typ het wachtwoord nog wel eens in in het username veld...) En heb je een probleem.

bwerg
@Wailing_Banshee • 27 november 2017 09:18

Dat is inderdaad een probleem, maar dat is het van wachtwoorden in het algemeen. Als we gewoon over gaan op public key pairs is dat soort problemen opgelost, maar ik moet de eerste webwinkel nog tegenkomen waarbij ik daarmee kan inloggen...

Yupiler
@joostlaan • 24 november 2017 15:10

Klinkt als KeePass.

Tarax
@joostlaan • 24 november 2017 20:14

Ja, die gebruik ik ook.
Offline en op elk apparaat te gebruiken, dus verliezen van je smartphone of crashen van PC zijn niet van invloed.
Ideaal.

defixje
@GeroldM • 24 november 2017 18:38

dan bied je je "mandje" ook nog eens 24 uur per dag/7 dagen per week aan om gehackt te kunnen worden.

Waarom?

Je kan prima een password manager in een cloud oplossing hosten, zolang alles op de server ook encrypted is en alles alleen maar ontsleutelt kan worden met alleen jouw wachtwoord. Dan is er toch niks aan de hand ?

Ik ben het met je eens dat het niet onmogelijk is, maar hoe jij het schetst lijkt het net alsof alles in de cloud na een hack zo in te lezen is. Voor zo'n hack heb je ongezien volledige toegang nodig op een server.

Nogmaals ik zeg niet dat het onmogelijk is, maar wel erg onwaarschijnlijk.

lmartinl
@GeroldM • 25 november 2017 22:39

Ik ben het oneens met jouw stelling en vind hem zelfs gevaarlijk. Ik snap niet dat je hiervoor +3 krijgt.

Liever 1 goed slot op mijn voordeur dan een collectie van halfgare sloten verspreid over elke deur van mijn huis. Jat iemand mijn sleutel? Dan hoef ik ook maar 1 slot te vervangen (en ik weet ook welke dat is!)

Je kunt niet stellen "2FA is beter dan bladiebla"
Vooral in beveleiging heeft elke oplossing zijn voor- en nadelen. Je wil een goede mix van oplossingen hebben met de juiste afweging tussen wat veilig en praktisch. Ik hang om mijn moter ook een ander slot dan om mijn fiets.

Ik gebruik zelf gewoon een password manager en daarbovenop 2FA voor belangrijke accounts.
Over 2 jaar is de afweging en de beschikbare oplossingen weer anders en dan ga ik gewoon mee.

[Reactie gewijzigd door lmartinl op 25 november 2017 22:47]

Croga
@yeroon17 • 24 november 2017 14:49

Dan kun je dus óf alleen nog maar vanaf je PC op die website, óf je wachtwoorden zijn weer kwetsbaar door een cloud oplossing.

Je maakt het er daarmee dus niet veiliger op.....

Anoniem: 936443
@mashell • 24 november 2017 15:01

Kunt ook overdrijven he...

Oops wat zegt Zeno nou... Na alle hacknieuws moet je wel bang zijn en al je wachtwoorden samen brengen in een door een ander beheerd systeem.
Nope. De beste password manager zit in je bovenkamer en dat is geen probleem als je niet overdrijft en toch net zo veilig in de echte wereld.

Als er een database gehacked wordt gaat er niemand honderdduizenden hashes bruteforcen en als jij al een specifiek target bent dan is het vrijwel onmogelijk om een bepaalde regel te leren kennen en juist toe te passen als alleen jij die kent en ze dan nog aan een juiste dienst of website te linken terwijl dat arbitrair en onlogisch kan zijn.

De angst dat databases lekken is bovendien behoorlijk doorgeslagen met dank aan nieuws websites. Zeker als je kijkt naar de manieren waar op.
En ook als dat gebeurt hoeft dat helemaal geen probleem te zijn.

Door al je sleutels bij een sleutelaar neer te leggen zou ik juist een reden tot argwaan hebben.
Mijn zelfgemaakte sleutels waar er maar 1 versie van bestaat en uniek zijn voor iedere deur (maar toch niet overdreven moeilijk) is ruim voldoende.
Bovendien gebruikt een beetje website salted hashes zodat ondanks een database lekt, de hashes onbruikbaar zijn zonder te weten hoe het website script een hash genereerd en matched.

Dus houd me aub. op over wachtwoordmanagers want ze zijn een toegevoegde ziekte, een extra (potentieel zwakke schakel), die je dus maar moet vertrouwen, geen oplossing van het probleem.
Die zit en begint in je eigen hoofd en eindigt in/met veilige websites als ontwikkelaar en gebruiker.

[Reactie gewijzigd door Anoniem: 936443 op 24 november 2017 15:16]

mashell
@Anoniem: 936443 • 24 november 2017 15:04

Ik weet zelf al niet wat ik allemaal niet vergeet, hoe kun jij dan bepalen of ik overdrijf? 3 pincodes en 4 wachtwoorden is wel zo'n beetje het maximum. En als je ouder wordt dan wordt dat eerder minder dan meer.

Anoniem: 936443
@mashell • 24 november 2017 15:25

Kwestie van oefening en gezond verstand die begint bij een juiste hoeveelheid aandacht met waar je mee bezig bent. Overdreven gemakzucht en luiheid, de onlogica en chaos, onsamenhangendheid die het voortbrengt, het nodige doorslaan in onnavolgbare complexiteit en zogenaamde 'evolutie' als gevolg is des duivels. Dé manier om je bovenkamer en de wereld te verzieken. Het toevoegen van brakke schakels en gaten. Kijk naar ons wetstelsel en politiek

Leren is corelatie en/of herhaling en dat hoeft niet per sé een (hackbare) zwakte te zijn in werkelijkheid.

Zo moeilijk is het allemaal niet als je jezelf bij je hoorns pakt en niet overdrijft/doordrijft. Ook al werkt de rest van de mensheid zo. In werkelijkheid werkt de rest van de wereld niet, maar dat moeten ze nog leren.
Daarom onthouden en zien/leren ze helemaal niks begoochelt door de laatste verdeeldheid brengende hypes. Zo werkt het verstand niet maar vallen ze ten prooi aan de vleselijke, ondoordachte, sensaties van het (stervende) lichaam. Angst, sensatie, lust, gemak en uiteindelijk blindheid voor de samenbrenger(s) en simpele wet, logica, juistheid en het van het padje af gedrag.

Doe elkaar echt voordeel met echt begrip en inzicht in plaats van de hypes na te volgen en meng je er alleen zo nodig beperkt in. Dan kun je ook zaken overzien en herinneren wat nodig is en kun je al de overige verstandelijke capaciteiten gebruiken om echt intelligent een juist 'sleutelsysteem' bij te houden of de mysteries der wereld te overdenken

Want zoals de maan rond de aarde draaid en de aarde rond om de zon, zo graviteerd of vervalt je verstand en leven rond wat je bevestigd/coreleert, in de meest letterlijke neurologische zin, door wat je waardeerd, neutraliseert of afstoot.

Mij vind men altijd offtopic hier omdat ik de dingen aan de stam benader...
Logisch bijgevolg en toont exact waarom de samenleving steeds minder samen hangt en nog nauwelijks bungelt aan een hand vol schakels, zogenaamd grootse diensten. Hoe non-integer ze ook zijn en hoe non-integer de wereld er ook van wordt. Integer... Heel... Ten opzichte van fracties en verval.

Zo... Genoeg hints over gisteren tot vandaag en met grote waarschijnlijkheid morgen. Sommige digen zijn tot het einde der tijden van belang en andere zaken hadden nooit hoeven zijn maar kozen we toch voor. En als we dan al die rommel moeten aanzien, dan zie hoe nadelig ze zijn.
Terwijl voor de blitse vrije hypehunter alles wat ik schrijf rommel en veroordeling is.
We zullen zien wie en wat het langst blijft en het meest geluk brengt

[Reactie gewijzigd door Anoniem: 936443 op 24 november 2017 16:21]

jimzz
@Anoniem: 936443 • 25 november 2017 04:51

Beetje kortzichtig maar goed. Ik ga je een andere vraag stellen. Ik heb 281 verschillende wachtwoorden voor verschillende sites, van verschillende domeinen etc. Jij wil mij gaan vertellen dat jij 281 wachtwoorden (en juist email adres als je meerdere gebruikt) kunt onthouden? Of gebruik je overal hetzelfde wachtwoord? Ook al is je ene wachtwoord nog zo sterk, als je overal hetzelfde gebruikt dan ben je natuurlijk net zo lui als dat je zelf zojuist beschreven hebt.

Maar goed verstand of niet, niemand maakt 281 sterke wachtwoorden en onthoud wat dat is. En ik vind ieder wachtwoord waar “gewone” woorden in voorkomen al een zwak wachtwoord. De wachtwoorden die ik gebruik zijn complex en zouden zo uit de generator kunnen komen, maar niet iedereen onthoudt zulke complexe wachtwoorden. Ook ik kan niet ieder wachtwoord onthouden en het zou naïef zijn om te zeggen dat ik het wel zou kunnen. Dat heeft niets met lui zijn te maken, ook niet met chaos. Een wachtwoord manager gebruiken is juist orde creëren, net zoals dat je een agenda zou gebruiken om al je afspraken te beheren. Maar ik gok dat je dit uit je hoofd doet. Verjaardagen ken je zeker ook allemaal uit je hoofd van iedereen? (en niet alleen je naasten)

Ik kan je vast vertellen dat dat niet zo is, en je kunt dat niemand wijs maken dat dat wel zo is. Een wachtwoord hergebruiken door er een cijfer of leesteken achter te plaatsen is in essentie gewoon nog steeds hetzelfde wachtwoord+1. Maar ik zie het al voor me hoor, je bestelt na 5 jaar niks besteld te hebben wat bij de kruidvat online. En hoppa jij weet al dat je daar 5 jaar geleden je derde email adres voor gebruikt hebt, en dat dat wachtwoord “Xfg71&@6hsvw!!?” was? Want dit is een sterk wachtwoord.

Nah ik gok dat je vaak gebruik maakt van wachtwoord vergeten functies? Of hetzelfde wachtwoord+1 gebruikt, of wie weet gebruik je er een paar die heel sterk zijn. Maar gegarandeerd niet iedere website een ander wachtwoord die ook nog eens sterk is (en als de website zegt dat ie sterk is, dan wil dat nog niet zeggen dat ie sterk is, Ziggo vindt “Intelligentejongen1!” ook een sterk wachtwoord.

Mij vind men altijd offtopic hier omdat ik de dingen aan de stam benader...
Logisch bijgevolg en toont exact waarom de samenleving steeds minder samen hangt en nog nauwelijks bungelt aan een hand vol schakels, zogenaamd grootse diensten. Hoe non-integer ze ook zijn en hoe non-integer de wereld er ook van wordt. Integer... Heel... Ten opzichte van fracties en verval.

Dat de maatschappij in sommige zaken negatief is veranderd kan ik het met je eens zijn, maar daar gaat het hier niet om. Het gaat toevallig ook niet over of mensen intelligent of niet zijn. Iets waar jij je duidelijk aan stoort en dus ook het onderwerp van heel jouw verhaaltje. Daar kun je oprecht van zeggen dat het off-topic is, want het gaat niet over "het dingen benaderen aan de stam", zoals jij dat mooi noemt, maar het gaat over het wel of niet gebruiken van een passwordmanager.

Maar mag ik je dan een tip geven? Intelligente mensen zullen niet op random topics gaan verkondigen dat zij slimmer zijn dan de rest. Neen, een intelligent persoon weet wat nederigheid is.
Spelling en grammatica, man wat was dat moeilijk hè? Vast niet zo makkelijk als 281 wachtwoorden onthouden

. Het is flauw, maar daarom de tweede tip, en die is heel goed. Opletten dus!
Intelligentie uit zich ook in taal en taalgebruik. In dit geval geschreven taal, want je hebt het nu eenmaal hier geschreven. (Getypt voor de mierenne*kers onder ons)
Foutloos typen is daarom essentieel in jouw verhaal, wanneer je niet foutloos kunt typen valt heel je verhaaltje in het niet, want zou jij iemand serieus nemen die zegt dat hij intelligent is, maar het woord "school" als "shcool" opschrijft?. Een wiskundige zegt ook niet tegen een niet-wiskundige dat hij beter kan rekenen omdat hij intelligenter is en vervolgens de niet-wiskundige vertelt dat 4+4 negen is. Of een automonteur die vertelt dat je beter moet nadenken bij het vervangen van een ruitenwisser en hem er zelf verkeerd om opzet.

Dan nu de voorbeelden en uiteraard ook de juiste antwoorden:

Want zoals de maan rond de aarde draaid en de aarde rond om de zon, zo graviteerd of vervalt je verstand en leven rond wat je bevestigd/coreleert, in de meest letterlijke neurologische zin, door wat je waardeerd, neutraliseert of afstoot.

Het moet uiteraard zijn:
*rond de aarde draait.
*zo graviteert of vervalt je verstand.
*leven rond wat je bevestigt/correleert.
*door wat je waardeert.

Zoals je al kunt zien, vol met spelfouten. Ik begrijp het, sommige mensen zijn dyslectisch. Maar ik ga ervan uit dat die mensen niet roepen dat ze slimmer zijn terwijl ze dommer schrijven/typen. Een dyslect weet dat hij/zij moeite heeft met woorden. Ik zeg ook absoluut niet dat dyslectische mensen dommer zouden zijn, dat dat even duidelijk is. Maar ik ga hier even laten zien wat je zelf beschreven hebt:

Kwestie van oefening en gezond verstand die begint bij een juiste hoeveelheid aandacht met waar je mee bezig bent. Overdreven gemakzucht en luiheid, de onlogica en chaos, onsamenhangendheid die het voortbrengt, het nodige doorslaan in onnavolgbare complexiteit en zogenaamde 'evolutie' als gevolg is des duivels. Dé manier om je bovenkamer en de wereld te verzieken. Het toevoegen van brakke schakels en gaten. Kijk naar ons wetstelsel en politiek
Leren is corelatie en/of herhaling en dat hoeft niet per sé een (hackbare) zwakte te zijn in werkelijkheid.

Zo moeilijk is het allemaal niet als je jezelf bij je hoorns pakt en niet overdrijft/doordrijft.

Pas bovenstaand verhaaltje toe op je spelling en grammatica en wie weet besluit ik (en wellicht met mij nog vele anderen) om je de volgende keer wel serieus te nemen.

Om een lang verhaal kort te maken, ik vermoed dat frustratie een factor kan zijn in het door jouw getoonde gedrag. Ik adviseer dan ook om eens op deze site te kijken. Deze zullen je helpen om je frustraties niet in het openbaar te uiten en enkel het positieve in de mens naar boven te halen.
https://www.desteven.nl/t...ties/frustratie-gevoelens

Zo, genoeg lessen levensbeschouwing

. Fijne nacht nog!

[Reactie gewijzigd door jimzz op 25 november 2017 04:55]

Willem_54
@Anoniem: 936443 • 24 november 2017 21:41

Weinig empathie voor mensen met een minder goed stel hersenen en met een slechter geheugen dan Dr Zeno.

bilgy_no1
@mashell • 24 november 2017 20:24

Zo @mashell

Daar heb je je oplossing...

Al je wachtwoordproblemen zijn zo opgelost met cursusje bij Scientology...

I e

Maar ik geloof toch dat een betaalde wachtwoord manager goedkoper is...

aadv
@bilgy_no1 • 24 november 2017 11:02

Nu je het zegt bilgy_01...
Ik kocht laatst een epub bij eboektekoop.nl
Dit was de eerste webshop waar ik niet verplicht werd een account aan te maken.

Dream_ON
@aadv • 24 november 2017 13:07

er zijn er wel meer, meestal kun je kiezen tussen met of zonder registratie aankoop doen.

Floor
@aadv • 24 november 2017 14:20

En wat maakt het verschil?
Je kan beter en account aanmaken dan geen. Je gegevens worden toch opgeslagen maar zonder account kan je er niet meer bij.
Gewoon een goede wachtwoord manager gebruiken.

Ero-Sensei
@Floor • 24 november 2017 14:39

Het grote verschil is dat wanneer je diensten of digitale 'goederen' koopt, je woonadres niet relevant is. Met het aanmaken van een account moet je vaak al je adresgegevens delen, waar dat dus voor een e-book totaal niet nodig zou moeten zijn.

batjes
@Ero-Sensei • 25 november 2017 01:19

Je kunt natuurlijk ook een onzin adres invullen.

curkey
@bilgy_no1 • 24 november 2017 13:48

Voordeel van een Keypass is dan wel weer dat je een profiel kunt saven voor die betreffende entry met de criteria. Dat maakt het niet minder irritant, maar je hoeft het dan maar 1x uit te zoeken.

Becquerel
@cavey • 24 november 2017 10:25

Ik heb een tijdje een forum gehost, en hierbij alle restricties op wachtwoorden uitgeschakeld. Wat kon mij het schelen of iemand als wachtwoord "1" is of "ikzagtweeberenbroodjessmerenodatwaseenwonder". De hash is toch even lang. En aangezien het geen wereld forum was et cetera maakte het allemaal ook weer niet zo uit.

720538
@Becquerel • 24 november 2017 10:40

De input die een aanvaller geeft is voordat er een hash van getrokken wordt. Dus je theorie klopt niet. "1" is gewoon een uitermate zwak wachtwoord en zal bij iedere brute-force aanvaller in de tabellen voorkomen.

Becquerel
@720538 • 24 november 2017 10:42

Ja dat snap ik. Maar het zal mij een zorg zijn als iemand zo makkelijk zijn account weggeeft.

Ik doelde meer op het feit dat een lang password en een kort password even lange hashes hebben dus maakt het niet uit hoe lang of kort een password is voor je database.

laptopleon
@Becquerel • 24 november 2017 11:27

Ik vind dat je een punt hebt. Wat boeit het of iemand bij je account kan van de 87e webwinkel waar je ooit wat besteld hebt. Er moet toch vooraf worden betaald voordat orders concreet worden. Staat verder hooguit een naam en adres in… tja die van mij staan toch al online vanwege mn bedrijfje.

720538
@laptopleon • 24 november 2017 12:16

Dat is wel heel naïef. Als je iets van interessante waarde, zoals een nieuwe TV bij een webwinkel besteld hebt, en alle gegevens zoals aankoopdatum en adres staan er bij, dan kan daar misbruik van gemaakt worden.

bytemaster460
@720538 • 24 november 2017 13:20

Maar denk je echt dat een mogelijke inbreker accounts na gaat lopen om te kijken wie er mooie spullen hebben aangeschaft, met de mogelijkheid dat het tientallen of honderden kilometers van hem vandaan is, om daar vervolgens een inbraak te plegen?
Inbrekers lopen door de straten en inventariseren ter plekke wat er te halen valt.

GeroldM
@bytemaster460 • 24 november 2017 15:06

Nee, dat doen ze niet. De junkie dief misschien wel, maar over het algemeen genomen is dat niet zo. Er word wel lokaal "geinventariseerd", maar de daadwerkelijke uitvoering gebeurd door inbrekers die verder weg wonen. Want dan zijn de gejatte spullen makkelijker te helen.

Dat vergeet men al gauw, een dief wil geld (over de rug van hun slachtoffer) verdienen. "Zonder heler, geen steler."

Houden ze dat allemaal lokaal, dan zijn de spullen gemakkelijker terug te vinden door de politie, belanden lokale dieven veel sneller in de cel en heeft de heler meer moeite om de gestolen spullen door te verkopen aan de (niets vermoedende) koper vanwege het gevaar op herkenning.

bytemaster460
@GeroldM • 24 november 2017 17:53

wat ik bedoel is dat de inventarisatie waar iets te halen valt op straat gebeurt en niet via het misbruiken van accounts van webwinkels.

Becquerel
@laptopleon • 24 november 2017 11:34

Hmm, dat ben ik denk ik niet met je eens, sinds je tegenwoordig ook afterpay hebt etc. Maar voor een forum wat zo klein is dat het niet opvalt en alleen je screenname gehijacked kan worden, boeit het niet zo heel veel.

laptopleon
@Becquerel • 24 november 2017 11:59

Ik heb in al die jaren één keer meegemaakt dat ik niet vooruit hoefde te betalen.. Dat was bij een stripwinkel bij een verwaarloosbaar bedrag. Zelfs bij afterpay zou je verwachten dat je een 'akkoord' wachtwoord moet geven via je bank of zo, maar goed, ik ben het nog nooit tegengekomen dus misschien werkt dat niet zo?

Becquerel
@laptopleon • 24 november 2017 12:02

Ik heb geen idee hoe afterpay werkt. Ik doelde meer op het feit dat je adres gegevens leaken enzo. Niet dat dat erg is, maar meer dat dat een issue kan zijn. Gewoon geen creditcard gegevens opslaan op sites.

Jerie

@Becquerel • 24 november 2017 13:10

Bol.com heeft afterpay. Ik neem aan dat ze verifieren dat er eerder naar die persoon op dat en dat adres is verstuurd of dat het ze zodanig meer winst oplevert dat ze de fraude voor lief nemen.

Yupiler
@laptopleon • 24 november 2017 15:13

Zo'n password manager is ook vooral handig voor jezelf. Als je weer terug komt bij een website en je bent je inloggegevens vergeten, maakt niet uit. Gegevens (kunnen) worden automatisch ingevuld.

Ge Someone
@Becquerel • 24 november 2017 14:36

het zal mij een zorg zijn

dat is je enige argument, korte wachtwoorden zijn veel makkelijker (sneller) te bruteforcen. Een redelijke minimumlengte is een goede praktijk.

Becquerel
@Ge Someone • 24 november 2017 15:37

Het was een forum met minimaal aantal members en ik was er liberaal in wat je daar als wachtwoord vor neemt. Het bruteforcen was nutteloos, want je kan niet oneindig aantal wachtwoorden uitproberen op die site. Alleen een database dump zou een probleem vormen, maar dan kraak je wachtwoorden die nergens anders gebruikt mogen worden, dus totaal nutteloos?

Thedr
@cavey • 24 november 2017 11:02

Obligate XKCD: https://xkcd.com/936/

Jace / TBL
@Thedr • 24 november 2017 13:54

Doch incorrect, of in ieder geval ernstig achterhaald, een passphrase van 4 woorden heb je met een dictionary attack zo gesloopt. Een entropy van 44 bits is erg laag.

Bovendien heb je met dat soort passwords erg vaak last van de debiele restricties die veel sites nog steeds op hun password stellen, zoals maximaal 20 tekens of minstens 1 hoofdletter, minstens 1 kleine letter, en minstens 1 cijfer.

Beter gebruik je iets als mJ2eFZpDe57mr6g5Ka (dus random laten genereren en bewaren door een password manager).

PuzzleSolver
@Jace / TBL • 24 november 2017 15:07

een passphrase van 4 woorden heb je met een dictionary attack zo gesloopt. Een entropy van 44 bits is erg laag.

Er zijn meer dan 5000 algemene woorden in het Engels

https://www.wordfrequency.info/free.asp?s=y

5000 ^ 4 = 625.000.000.000.000

Dus je maakt even een dictionary met zoveel entries? Zelfs 44 bits is al 17.592.186.044.416 entries, niet echt aannemenlijk voor een dictionary attack.

Plus als het goed is worden de hashes gesalt opgeslagen (gebeurt helaas niet altijd) en dan werken dictionary attacks niet.

Bij veel sites werkt een passphrase gecombineerd met ! of _ <nr> prima. In de meeste gevallen kiezen mensen dan voor iets met hun geboortejaar en 1 van de genoemde karakters dus is die hele restrictie stom om mee te beginnen. Maximale password lengte is al helemaal een domme restrictie en die ben ik ook nog niet vaak tegengekomen. M'n andere irritatie is het verplicht veranderen van wachtwoorden, als je dat forceert dan ben je dus in de veronderstelling dat het oude wachtwoord gecompromitteerd is. Was dat het geval dan zal het nieuwe wachtwoord ook niet veilig zijn als je de oorzaak niet achterhaald. Daar komt ook nog bij dat mensen hun nieuwe wachtwoord vaak vergeten met nog meer security problemen als gevolg.

Bij password managers heb je dan ook altijd nog 1 password nodig om te beginnen, En je bent afhankelijk van de veiligheid van de manager en reken maar dat die een target vormen voor hackers.

https://thehackernews.com/2017/02/password-manager-apps.html

edit:
Link toegevoegd

[Reactie gewijzigd door PuzzleSolver op 24 november 2017 15:09]

HuHu
@PuzzleSolver • 24 november 2017 16:21

Kleine aanvulling, door een salt wordt een rainbow table onmogelijk gemaakt: https://en.wikipedia.org/wiki/Rainbow_table . Een dictionary attack staat daar los van.

Jace / TBL
@PuzzleSolver • 26 november 2017 12:19

Er zijn meer dan 5000 algemene woorden in het Engels

Ik ging uit van de 2000 meestgebruikte. De cartoon van xkcd zelf ook trouwens, dan kom je op 11 bits per woord. Maar 12 mag ook, dat maakt het iets veiliger maar niet wezenlijk.

Dus je maakt even een dictionary met zoveel entries? Zelfs 44 bits is al 17.592.186.044.416 entries, niet echt aannemenlijk voor een dictionary attack.

Zo werkt een dictionary attack niet.

Wat je opslaat is alle mogelijke losse woorden, dus een paar duizend stuks. Daar brute force je dan overheen, de mogelijkheden van meerdere woorden itereer je zonder dat al die mogelijkheden tegelijk ergens hoeven te staan.

Plus als het goed is worden de hashes gesalt opgeslagen (gebeurt helaas niet altijd) en dan werken dictionary attacks niet.

Natuurlijk wel. Waarom zou je per iteratie in je dictionary attack niet ook een hash er overheen kunnen halen?

In de meeste gevallen kiezen mensen dan voor iets met hun geboortejaar en 1 van de genoemde karakters dus is die hele restrictie stom om mee te beginnen. Maximale password lengte is al helemaal een domme restrictie en die ben ik ook nog niet vaak tegengekomen.

Mee eens, die restricties zijn volslagen debiel. Helaas kom ik ze maar al te vaak tegen. Ook bij "professionele" bedrijven die gezien de aard van hun business dat soort domme tekortkomingen niet zouden moeten hebben.

M'n andere irritatie is het verplicht veranderen van wachtwoorden, als je dat forceert dan ben je dus in de veronderstelling dat het oude wachtwoord gecompromitteerd is. Was dat het geval dan zal het nieuwe wachtwoord ook niet veilig zijn als je de oorzaak niet achterhaald. Daar komt ook nog bij dat mensen hun nieuwe wachtwoord vaak vergeten met nog meer security problemen als gevolg.

Ook mee eens, dat verplicht veranderen is me ook een doorn in het oog.

Bij password managers heb je dan ook altijd nog 1 password nodig om te beginnen, En je bent afhankelijk van de veiligheid van de manager en reken maar dat die een target vormen voor hackers.

Maar die password managers zijn er wel specifiek voor gebouwd, terwijl de meeste mensen zonder zo'n oplossing geen flauw idee hebben hoe ze hun passwords veilig moeten opslaan.

PuzzleSolver
@Jace / TBL • 26 november 2017 14:59

Sorry mijn fout, ik ging uit van een pre-calculated dictionary attack ook wel rainbow table genoemd. Maar anders moet je ongeveer 8.6 Terra Hashes bereken om 1 password met 44 bit entropy te brute-forcen. Dus zo gesloopt vind ik een beetje zacht uitgedrukt, zeker als er een moeilijk berekenbare hash en salt is gebruikt.

Helaas wordt er nog te vaak MD5 gebruikt en met een paar moderne videokaarten heb je dat inderdaad zo gesloopt.

https://gist.github.com/e...412b4737e99bbef804a270c40

200GHash voor MD5 met 8x1080 founders edition. Zou dus onder een minuut het password kunnen cracken als er een simple MD5 met salt gebruikt wordt.

Maar als mensen die passwords implementeren nu eerst eens het internet zouden raadplegen b.v.

https://crackstation.net/hashing-security.htm

Dan zouden ze een PBKDF2-HMAC-SHA512 kunnen gebruiken en dan duurt de dictionary attack al 59 dagen duren voor 1 password, met de 8x 1080. Een dedicated ASIC zoals die voor miners gemaakt worden zou weer een heel stuk sneller kunnen. Als iedereen PBKDF2-HMAC-SHA512 zou gaan gebruiken is er vast wel weer iemand die er 1 laat maken (de NSA b.v. voor zover ze die nog niet hebben).

Overigens gaan we er in al deze gevallen wel vanuit dat je toegang hebt tot de hash van die user. Daarvoor moet eerst een hack plaatsvinden, een password van 3 of 4 woorden is altijd nog een stuk beter dan 1 woord met geboortejaar.

Bedankt dat je me weer even verder hebt laten kijken in deze materie, altijd interessant.

Jerie

@cavey • 24 november 2017 13:21

Dat zijn regels die verzonnen zijn tegen dictionary attacks. Die regels zijn van de tijd voor wachtwoordzinnen gehyped waren. Je kunt wel tegen die regels ageren, maar "minimaal 8 karakters" is een prima regel welke ook prima werkt in samenwerking met een wachtwoordzin. Die had je dus niet hoeven te noemen.

Ik stel overigens voor om 1 wachtwoordzin te nemen plus een wachtwoordmanager plus 2FA. Het bedrijf waar je werkt kan ook de authenticatie middels hardware tokens regelen. Ja, een YubiKey kost 50 EUR per stuk dat is waar, maar een YubiKey met U2F kost maar 20 EUR, en er is vast ook volume korting te regelen.

ppl
@cavey • 24 november 2017 20:19

Dit heeft weinig van doen met eventuele onwil van medewerkers, maar meer onkunde van de IT manager.

Dan bespeur ik hier onkunde van hoe een bedrijf functioneert. Het is zodanig kort door de bocht dat het meer een rechtuit is geworden.

Een IT manager heeft doorgaans helemaal niet dit soort bevoegdheden, die is hoogstens adviserend. Hetgeen wat boven de IT manager staat is wat de beslissingen hieromtrent neemt. Het is aan de IT manager en diens afdeling om de top zo goed mogelijk te adviseren. Uiteindelijk is het echter de top die de beslissing neemt.

Althans, in grote organisaties. In de kleinere organisaties waar het hier in Nederland en België van uitpuilt is dit niet het geval. Dan heb je helemaal geen IT manager en vaak ook al geen IT afdeling. Dan heb je het over een gemiddelde werknemer die geen IT'er is en dus ook niet dit soort kennis in huis heeft. De verantwoordelijke in deze is nog altijd de grote baas, niet de partij waaraan ze de IT hebben uitbesteed (die moet net als de IT afdeling zorgen voor goed advies maar realiseer je wel dat dit een commerciële club is en geen liefdadigheidsinstelling die alleen voor die ene partij werkt).

Je vinger direct naar de IT manager wijzen is laat hier dan ook alleen jouw eigen onkunde zien. In de werkelijkheid zijn er veel meer nuances.

Sowieso zijn de meeste wachtwoord regels van de zotte:
minimaal 8 karakters, maximaal 16 (grrrrrrrrrrr, kom ik dan aan met m'n 32 karakters gegenereerde wachtwoord. Truncated en waarom kom ik er nou niet in? Invul veld gelimiteerd tot 16 karakters, maar niet bij registratie, en wel een checksum over 32 karakters doen zodat je nooit correct kan matchen/hashen).
Hoofdletter, kleineletter, cijfers, random leestekens. Voor een computer zijn dit soort beperkingen echt nutteloos.

Ik zie hier geen voorbeeld waarom wachtwoordregels van de zotte zijn. Het enige wat ik hier zie is een voorbeeld dat sommige implementaties van wachtwoordregels van de zotte zijn omdat ze bepaalde scenario's niet afvangen (zoals aangegeven: meer karakters opgeven dan het maximum). Dat soort dingen zie je op wel meer vlakken en zorgt voor wel meer security problemen.

Die wachtwoordregels hebben wel zo hun nut. Als je het niet doet krijg je echt hele simpele wachtwoorden. Het dwingt mensen ook om iets beter na te denken wat ze er neer zetten. Het controleren van het wachtwoord is lastig, heel veel systemen zijn simpele checks of het wachtwoord een hoofdletter, kleine letter, cijfer, diakritisch teken bevat. Bij dat soort systemen is Welkom01! dan ook een correct en "sterk" wachtwoord. Als je een goede controle wilt doen zul je veel meer moeten doen aan controle en dat is iets waar computers moeite mee hebben (taal is iets waar ze nog steeds slecht in zijn).
Hier geldt dan ook meer dat je beter "iets" kunt doen dan helemaal "niets". Zeker wanneer je afhankelijk bent van het behalen van bepaalde certificeringen die dit soort dingen vereisen.

Wat pas echt zinvol is, is een actief security beleid waarbij men security awareness creëert (maar doe het dan niet zoals ABN AMRO dat nu gedaan heeft). Zo'n policy zorgt er ook voor dat er meer is dan alleen maar een gebruikersnaam met een wachtwoord (U2F bijv; 2FA is namelijk ook een security issue omdat de private keys in een database aan de andere kant wordt opgeslagen en dus buitgemaakt kan worden bij een hack waardoor ze username, password en 2FA hebben). Een password manager zou ook deel uit moeten maken van dat beleid. Al is het maar om je werknemers een oplossing te bieden om ergens al die gebruikersnamen en wachtwoorden die we tegenwoordig nodig hebben ergens op te kunnen slaan zodat ze die niet kwijt zijn.

Wachtwoord zinnen, for the win \o/ Als nu nog eens een hoop webdiensten dit ook gaan accepteren als zijnde een goed wachtwoord, dan komen we nog eens ergens

Die hebben dezelfde mankementen als wachtwoorden. Ook hier geldt dat deze alleen veilig is wanneer je er echt iets willekeurigs van maakt dat voor jou logisch is en voor ieder ander niet. Dat een wachtzin langer is dan een wachtwoord betekent dan ook niet per definitie dat deze beter is. Een citaat uit een welbekend gedicht doet het toch echt slechter dan 16 willekeurige karakters. Het gaat er uiteindelijk om dat een wachtwoord raden heel erg moeilijk is. De lengte speelt daarin een rol maar de inhoud zelf ook.

Willem_54
@ppl • 24 november 2017 22:07

De security deskundigen denken er het tegenovergestelde van.

https://www.securitymanag...oordadvies-betuigt-spijt/

Het genereren van wachtwoorden door een wachtwoordmanager is een van de beste methoden voor veilige wachtwoorden. Uiteraard is een wachtwoordmanager dan een belangrijke tool.

BobV
@SteveWoz • 24 november 2017 09:42

Keepass kun je prima draaien zonder te installeren! Daar hebben ze speciaal de portable editie voor

Edit: Je hebt ook webversies zoals Keeweb: https://keeweb.info/

[Reactie gewijzigd door BobV op 24 november 2017 10:11]

Wailing_Banshee

@BobV • 24 november 2017 09:47

Bij ons wordt zelfs al geklaagd als je een executable in je documenten map hebt staan....

Ik gebruik wel een wachtwoord beheerder (keepass), maar heb die niet op m'n werk station staan. Ik heb hem wel op m'n telefoon staan... Dan moet ik maar overtypen ipv knippen/plakken, maar zonder keepass kom ik nergens meer in

Audiodude
@Wailing_Banshee • 24 november 2017 13:41

Beveilig excel file met aes256. Werkt op al mijn computers aangezien excel overal geïnstalleerd staat en is net zo veilig als password managers. Knippen en plakken noodzakelijk, maar geen issues met niet toegestane exe files of online garbage. Dump de excel op onedrive, google drive, SharePoint, dropbox of whatever toegestaan is en alles werkt zoals ik wil.

Ramon
@Audiodude • 24 november 2017 14:52

Alleen doet een tool als Keepass ook nog aan memory randomization om het veiliger te maken, iets wat Excel volgens mij niet doet.

Willem_54
@Ramon • 24 november 2017 22:16

Klopt, hoewel security deskundigen Excel niet onveilig vinden als database. Het kopieren en plakken is met Keepass nog veel verder beveiligd. Keepass is daarom ook zeer geschikt voor zakelijk gebruik.

BobV
@Wailing_Banshee • 24 november 2017 10:06

Kijk vooral eens naar Keeweb dan: https://keeweb.info/

Wailing_Banshee

@BobV • 24 november 2017 10:12

En hoe werkt dat dan? Want als ik die online web app (en daar gaan bij mij alle alarmbellen weer aan, dat wil ik niet) start, krijg ik alleen een zwart scherm. En ik kan nergens iets vinden over hoe het werkt en wie er achter die website zit.

BobV
@Wailing_Banshee • 24 november 2017 10:39

Je kan hem zelf hosten (doe ik zelf ook) en aangezien het opensource is, zou je de code kunnen checken (zie de Github https://github.com/keeweb/keeweb).

Ik weet niet waarom je alleen een zwart scherm krijgt, ik krijg netjes de mogelijkheid om het keepass bestand te selecteren van verschillende bronnen.

Willem_54
@BobV • 24 november 2017 22:12

Bedrijven filteren dergelijke sites omdat ze bang zijn dat inlog gegevens worden gestolen.
Bedrijven moeten zelf een wachtwoordmanager beschikbaar stellen. Keepass is dan zeer geschikt voor gebruik in een zakelijke omgeving. Inloggen op multiplatform systemen is goed te regelen met auto type regels.

DCK
@Wailing_Banshee • 24 november 2017 10:59

KeeWeb is een programmaatje geschreven in JavaScript. Het draait volledig in je browser en heeft geen server-component. Het draait volledig client side en slaat geen gegevens op op het internet.

Alternatief kun je KeeWeb ook draaien door een .html-bestand op je computer te downloaden en dat te openen in je webbrowser. https://keeweb.info maakt het voor leken nog iets makkelijker om dat html-bestand in te laden.

AOC
@Wailing_Banshee • 24 november 2017 09:57

Wat ik vaak doe is het wachtwoord naar mijn vriendin op WhatsApp sturen. Op het werk naar web.whatsapp.com gaan en vervolgens wachtwoord kopiëren plakken. Geen idee of dat veilig is

maar is 9/10 keer voor een persoonlijk dingetje

[Reactie gewijzigd door AOC op 24 november 2017 09:58]

fsfikke

@AOC • 24 november 2017 10:21

Je kan ook gewoon jezelf Whatsappen he

(edit: Naar je eigen nummer, als je whatsapp als clipboard wilt gebruiken)

Mbt. de poll: Is Keychain een online of een off-lien tool? Iig is het alles wat ik nodig heb voor mijn persoonlijke apparaten. Voor de rest een versleutelde notitie op icloud.

[Reactie gewijzigd door fsfikke op 24 november 2017 12:02]

Becquerel
@fsfikke • 24 november 2017 10:26

jezelf whatsappen?

Boonanzor
@Becquerel • 24 november 2017 10:36

Geen idee of het precies is wat fsfikke bedoelt, maar wat ik zelf doe als ik een url naar m'n telefoon wil sturen of andersom, is een linkje naar mezelf sturen via Whatsapp.
Ik heb een groep gemaakt met mijn vrouw, waarna ik haar er uit heb gegooid... Ik ben nu dus de enige member van die groep. Op die manier kun je in ieder geval linkjes (of wachtwoorden... oO) naar je zelf sturen.

Becquerel
@Boonanzor • 24 november 2017 10:40

Hmm, dat is wel handig ja. Thanks

PageFault
@Becquerel • 24 november 2017 10:48

voor als je geen vrienden hebt, of teveel telefoons. Ben ook wel benieuwd eigenlijk

AOC
@fsfikke • 24 november 2017 10:32

Lol, kan mij in het verleden herinneren dat je jezelf niet kon whatsappen, kan dat kloppen? Maar nu werkt het gewoon

ideaal, thanks

Kalin848
@Wailing_Banshee • 24 november 2017 13:11

En via USB connecten dan vanaf je PC draaien, werkt dat niet ??
Hoef je niets te installeren en niets op de PC te hebben staan.

Wailing_Banshee

@Kalin848 • 27 november 2017 07:44

Nope, alles is hier vreselijk dicht getimmerd. Maar op m'n telefoon werkt net zo goed (beter zelfs, want die heb ik ook tot m'n beschikking als ik nog moet inloggen op m'n pc en de eerste paar dagen na een wachtwoordwijziging haal ik altijd de oude en nieuwe wachtwoorden door elkaar

)

Masimo
@BobV • 24 november 2017 09:57

Of je werkgever, zoals in mijn geval, draait software op de achtergrond die het uitvoeren van niet-goedgekeurde executables blokkeert. Ben je zes weken verder eer er een goedkeuring is van IT security.

BobV
@Masimo • 24 november 2017 10:07

Daarvoor heb je de online tool dan weer: https://keeweb.info/

KoalaBear84
@Masimo • 24 november 2017 10:23

Zelf gebruik ik KeePass prive op desktop en Android (gratis nog ook..), en het bedrijf gebruikt dit ook om alle wachtwoorden te beheren. Zouden wel gaan overstappen naar een online dienst, al lijkt me dat ook buitengewoon niet makkelijk werken.

Zou serieus ander werk gaan zoeken dan, maar goed, hier in dit geval ontwikkelaar dan kun je gewoon niet werken

Zo ben ik op ooit wel een tijdje bezig geweest om te zorgen dat Chrome werkte, toen zaten we met heel bedrijf, 20 man, op 1 Terminal Server met 4GB RAM ofzo... (6 jaar geleden).

Willem_54
@Masimo • 24 november 2017 22:20

De IT manager zou je eens moeten vragen of Keepass geinstalleerd kan worden.

MarcoC
@BobV • 24 november 2017 09:44

Uiteindelijk zou een fatsoenlijke werkplek natuurlijk moeten voorzien in een tool voor wachtwoordbeeer.

bwerg
@MarcoC • 24 november 2017 10:06

En hoe gebruik ik die tool voordat ik ingelogd ben door middel van het invoeren van een wachtwoord?

Zo ook bij printers, waarop ik met een wachwoord moet inloggen op een touch-screen: ik kan geen tooltjes gebruiken om dat wachtwoord voor me in te voeren, maar het wachtwoord is niet te onthouden (wordt ook gebruikt voor andere diensten, dus ik heb een gegenereerd, sterk en lang wachtwoord). Het beste wat ik kan doen is het wachtwoord op een papiertje overschrijven en een minuut doen over het overtypen, en het papiertje daarna verscheuren. Uitprinten lukt, om voor de hand liggende redenen, niet.

[Reactie gewijzigd door bwerg op 24 november 2017 10:08]

PageFault
@bwerg • 24 november 2017 10:33

Paslezer aan de printer hangen

Het inloggen met AD credentials op een systeem waar ik niet van weet wat er onder water allemaal gebeurt en waar alle info heen gaat, ga ik m'n wachtwoord niet voor ingeven. Dan geven ze maar een pas of verzinnen ze iets met OAuth.

bwerg
@PageFault • 24 november 2017 12:15

Paslezer aan de printer hangen

Hebben ze, werkt niet. Lang leve de ICT-afdeling die het heeft ingevoerd.

Er zijn gelukkig work-arounds.

PageFault
@bwerg • 24 november 2017 12:25

Wat voor printermerk en welke software ligt eronder? En wat gebruik je als work-around? Is er geen PIN optie of zo? Fingerprint?

bwerg
@PageFault • 24 november 2017 13:00

Instellen van PIN en paslezer is gewoon brak geïmplementeerd: ik heb nog een oude account op mijn pas rondslingeren die niet meer werkt, en die account wordt gebruikt in plaats van de werkende. PIN werkt niet, en ik weet niet waarom.

Dit is de implementatie van de overkoepelende ICT-afdeling, maar de lokale afdeling heeft direct-print mogelijk gemaakt. Klaar.

Een universiteit. Onderzoekers, docenten, studenten, alles loopt door elkaar op dezelfde printer. Ik verwacht niet dat het voor iedereen ideaal werkt.

[Reactie gewijzigd door bwerg op 24 november 2017 13:01]

laptopleon
@bwerg • 24 november 2017 11:37

Klinkt alsof je ergens werkt waar ze een twee vliegen in één klap wilden slaan: Beveiliging van de printer, maar meteen op zo'n manier dat je voortaan alleen nog printjes maakt als je echt niet anders kan.. Iets met besparen op inkt, papier etc.

BobV
@MarcoC • 24 november 2017 10:04

Wordt hier wel geleverd, maar is een oude versie

crazyx
@BobV • 24 november 2017 10:10

Zelfs de oudste versie lijkt me nog altijd beter dan overal hetzelfde wachtwoord of alle wachtwoorden in een tekstbestandje op het bureaublad.

KeesAlderlieste
@BobV • 24 november 2017 09:54

Zelfs een portable versie is niet prima te draaien als er gebruik gemaakt wordt van een AppLocker. Elke niet vrijgegeven exe, bat,vbs etc start domweg niet

BobV
@KeesAlderlieste • 24 november 2017 10:06

Daar hebben we dan wel weer online tools voor: https://keeweb.info/

Finraziel

@BobV • 24 november 2017 10:18

Of je smartphone... hoewel het moeten overtypen dan weer tegenwerkt om lange random wachtwoorden te gebruiken.
maar voor je workrelated accounts zou ik als de werkgever je zo tegenwerkt en zelf niet met een goede oplossing komt ook snel denken 'zak dr maar in' en zelf ook niet meer mijn best doen om hun security op orde te houden.

makkie88
@BobV • 24 november 2017 12:42

Heb je soms aandelen in deze software, hoe vaak heb je dit antwoord gegeven?

BobV
@makkie88 • 24 november 2017 12:46

Sowieso

Was bedoeld om meldingen te geven aan de mensen (iedereen reageert ook ongeveer hetzelfde

)

Ex Nunc
@BobV • 24 november 2017 10:10

Leuk idee, maar hoe draai je die op een PC van je werk? Via USB-stick insteken en opstarten? Ken een aantal bedrijven waar dat een feest is, omdat die dan gelijk versleuteld is en niet meer te gebruiken buiten dat werk. Of USB-drive is niet mogelijk, want elke idioot kan daar dan wat insteken en het systeem infecteren.

Axewi
@BobV • 24 november 2017 11:21

Daarvoor (of daartegen moet ik zeggen) gebruiken we applocker

Het lijkt me ook beter om vanuit de organisatie één tool te gebruiken die beheerd kan worden centraal. Lijkt me niet gewenst als elke medewerker zelf gaat liggen "prutsen"

proatjeboksem
@Axewi • 24 november 2017 12:51

Je moet wat, als je IT-afdeling nog harder loopt te prutsen

FreshMaker
@BobV • 24 november 2017 13:22

Keepass kun je prima draaien zonder te installeren! Daar hebben ze speciaal de portable editie voor

Edit: Je hebt ook webversies zoals Keeweb: https://keeweb.info/

Hoe veilig is die ?

BobV
@FreshMaker • 24 november 2017 13:32

Het is open source en je zou hem zelf lokaal kunnen draaien, maar ik heb zelf de code niet gecheckt

FreshMaker
@BobV • 24 november 2017 14:31

Ik heb hem even getest, maar het zijn 3 files
een Cname ( die naar app.keeweb.info verwijst )
een index html =, en manifest.appcache

Op de synology start die onmidelijk, dat dan weer wel.
Maar onduidelijk waar die al zijn 'sturing' vandaan haalt ( waarschijnlijk app.keeweb.info
)

Leuk speelgoed iig, ga er wat mee testen met een dummy file

Anonymoussaurus
@SteveWoz • 24 november 2017 09:53

Geen geldige reden. Als beheerder kan je prima zeggen "we gaan gebruik maken van wachtwoordmanagers, dus wij zullen programma x gaan uitrollen". Zo kunnen gebruikers gewoon heel makkelijk, zonder dat ze local admin rechten hebben, een wachtwoordmanager downloaden via Software Center en gebruiken.

[Reactie gewijzigd door Anonymoussaurus op 24 november 2017 09:57]

FreezeXJ
@Anonymoussaurus • 24 november 2017 09:56

Helaas ben je dan afhankelijk van je beheerder, en die vindt het lang niet altijd een prioriteit... Zeker bij grotere instanties heb ik het idee dat als het niet standaard geleverd is, je gewoon pech hebt.

Anonymoussaurus
@FreezeXJ • 24 november 2017 09:57

Vind ik persoonlijk belachelijk. Helemaal als beheerder zou je moeten weten dat dit gewoon super belangrijk is. Vaak genoeg voor gekomen dat door slordigheid van de werknemer, er wat gehackt wordt binnen het bedrijf.

FreezeXJ
@Anonymoussaurus • 24 november 2017 10:01

Daar zijn we het wel over eens, maar helaas is dat geen universeel geaccepteerde waarheid. Daarom ben ik heel blij dat onze IT daar niet moeilijk over doet, en de devs (op eigen verantwoordelijkheid) mogen installeren wat ze nuttig lijkt, en bij de rest moet dat even geOK-ed worden door een beheerder (hooguit discussie over de 'download-nu-alle-kortingen'-apps en andere troep).

Anonymoussaurus
@FreezeXJ • 24 november 2017 10:03

Same here! Local admin rechten kunnen alleen aangevraagd worden en daarbij moet je een reden opgeven waarom je die nodig hebt. Meeste wordt wel gedaan via Software Center in combinatie met SCCM

Anoniem: 998261
@FreezeXJ • 24 november 2017 10:48

Dat is toch niet zo gek? Het zijn niet jouw spullen dus is het logisch dat het bedrijf bepaalt (in dit geval via de beheerder) wat er mee gedaan wordt.

thomasv
@SteveWoz • 24 november 2017 09:45

Keepass portable. Niks te installeren, doet het altijd.

Raverty
@thomasv • 24 november 2017 09:54

Tenzei je op een citrix omgeving of rdp omgeving werkt waar applocker ingesteld staat.

BobV
@Raverty • 24 november 2017 10:13

Keeweb heb je dan ook nog als optie: https://keeweb.info/

Anoniem: 890159
@Raverty • 24 november 2017 10:36

Gelukkig hebben de meeste mensen tegenwoordig een prive-computer bij zich op het werk: hun mobiele telefoon.

FreshMaker
@Anoniem: 890159 • 24 november 2017 14:37

Gelukkig hebben de meeste mensen tegenwoordig een prive-computer bij zich op het werk: hun mobiele telefoon.

In de meeste gevallen werkt de portable prima inderdaad.
Soms moet ik inderdaad mijn telefoon erbij pakken ... dan is het even vloeken, want 20/40 karakters overtikken is maar lastig

Rudie_V
@SteveWoz • 24 november 2017 09:59

Tsja, vaak mogen medewerkers niets installeren. Een werkende wachtwoordmanager is dan lastig te realiseren.

Wat heb je aan een wachtwoordmanager als je al niet in kan loggen? Ik bedoel, je windows wachtwoord kan je niet in een geinstalleerde wachtwoordmanager opslaan.

Voor windows lijkt mij een vorm van 2FA wenselijk, omdat je dan al twee dingen nodig hebt en een zwak wachtwoord niet het probleem kan zijn. Een token of misschien een biometrische authenticatie lijkt mij dan een optie worden, al zijn sommige biometrische vormen van authenticatie momenteel nog makkelijk te foppen.

Ik snap ook wel dat er natuurlijk ook nog wachtwoorden voor alle andere programma's zijn. Maar hoe onthouden ze dit wachtwoord dan weer van de passwordmanager? Dat is natuurlijk net zo'n probleem als het windowswachtwoord onthouden. Dan moet je haast een wachtwoordmanager hebben die je kan koppelen aan het windows account.
Je kan het gebruik van een wachtwoordmanager niet aan de gebruikers overlaten, je moet als bedrijf zelf actief een wachtwoord manager in je systeem integreren en mensen leren dit te gebruiken en dat ze maar even moeite moeten nemen dit te leren en aan te wennen. Pro-actief beleid.

laptopleon
@Rudie_V • 24 november 2017 11:44

Wachtwoord van je computer + van je wachteoordmanager = 2 wachtwoorden onthouden. Lijkt me nog te doen in verhouding tot de 700+ ww en aanvullende info die ik in 1Password heb staan.

Als die twee ww nog lastig blijken, zet je die in je telefoon. Uuteraard met beveiliging. Zelf heb ik altijd toegang tot de ww via de 1PW app.

Rudie_V
@laptopleon • 24 november 2017 12:05

Klopt, maar voor medewerkers is 1 wachtwoord al moeilijk, daarom ook de briefjes naast de computer voor hun windows wachtwoord.

Dus een wachtwoordmanager met wachtwoord loopt tegen dezelfde problemen aan, daarom zei ik dat het beter is om een wachtwoordmanager aan het windowsaccount te koppelen, al heeft dit ook weer zijn nadelen natuurlijk.
Een Betere oplossing is biometrische authenticatie, want bijvoorbeeld een oog of vinger vergeet men niet.

Al moeten deze technieken nog verbeterd worden om fouten of misleiding tegen te gaan.

En ik weet niet of je als bedrijf blij moet zijn als men wachtwoorden, ook al is het alleen maar het windows wachtwoord of het wachtwoord van de passwordmanager, op de prive telefoons op gaan slaan, omdat je daar geen zicht en beheer op hebt.

Ramon
@Rudie_V • 24 november 2017 14:54

Microsoft gebruikt al 2FA die je aan kan zetten op je Windows account.

Hoicks
@SteveWoz • 24 november 2017 10:30

Een van de vragen die bij het beschikbaar stellen van een wachtwoord manager bij een bedrijf aan haar medewerkers naar voren komt is;

Is de werkgever verantwoordelijk wanneer een dergelijke dienst gehackt zou worden en er logingegevens of andere vertrouwelijke gegevens die op dit soort beheerders zijn opgeslagen, op straat komen te liggen?

SPee
@Hoicks • 24 november 2017 11:24

Moet het altijd een online dienst zijn?
Je kunt prima een offline programma beschikbaar stellen die zijn gegevens in het profiel van de gebruiker bewaard.

AOC
@SteveWoz • 24 november 2017 09:55

KeePass op een losse ubs-stick? Dat is in ieder geval hetgeen wat ik gebruik. Alleen weet ik niet of het bedrijf waar ik werk het fijn vindt dat ik een eigen USB stick in de werkcomputers gooi maar ik heb in ieder geval wachtwoorden van 64 karakters langs en volgens mij beter dan mijn collega's met hun blue1234! of bedrijfsnaam1234

Munters
@AOC • 24 november 2017 13:34

Hier doen de usb poorten het niet. Uitsluitend tb/muis, geen mass storage.

mrlammers
@SteveWoz • 25 november 2017 08:07

Keepass is open source, beschikbaar op verschillende OS', en portable. Je kunt het gebruiken vanaf een USB stick, of willekeurige folder op de dichtgetimmerde corporatie machine.

trisje
@SteveWoz • 25 november 2017 21:30

voor somige password managers hoef je niets te installeren zoals keepass.dus dat is geen excuus.

Anoniem: 956915
@SteveWoz • 26 november 2017 22:39

Zitten er geen eenvoudige encrypted password manager in je browser ingebakken?

ovm
24 november 2017 10:51

Ik durf geen passwordmanagers te gebruiken. Wat als hun database wordt gehackt? Dan zijn al mijn wachtwoorden zichtbaar voor de hele wereld.

Anonymoussaurus
@ovm • 24 november 2017 11:04

Dan heb je gemist wat het verschil is tussen een offline-passwordmanager en een online-passwordmanager. Je kan prima gebruik maken van een offline-passwordmanager als KeePass. Doe ik ook, ook vanwege die reden. Zo'n KDB-bestand (het database bestand waar alle wachtwoorden in staan) is versleuteld met sterke encryptie (zie hier voor meer details: https://keepass.info/help/base/security.html).

LowTone

@Anonymoussaurus • 24 november 2017 11:45

Same here. Als je dan je database file synct met een clouddienst (Stack in mijn geval), kun je er overal bij.

Als die clouddienst dan gekraakt wordt hebben ze je database natuurlijk, maar als je zorgt dat er een goed wachtwoord (20+ tekens) op zit, is kraken praktisch gezien onmogelijk.

Keepass is open source en deze is ook ge-audit door EU-FOSSA. Ook wel een fijn idee wat mij betreft.

Anonymoussaurus
@LowTone • 24 november 2017 11:47

Precies

. Ik doe hetzelfde met Google Drive. Alles handmatig.

maratropa
@Anonymoussaurus • 24 november 2017 11:50

stel iemand krijgt je keepass KDB te pakken, hoe hard is zo iets eigenlijk te bruteforcen? (ligt natuurlijk ook aan de PW lengte / complexiteit én delay die je in de instellingen kan instellen)

Anonymoussaurus
@maratropa • 24 november 2017 11:58

Zo goed als onmogelijk, mits je natuurlijk een goed, sterk masterpassword pakt (zoals je al zei). Bruteforcen gaat sowieso niet eenvoudig, want er wordt gebruik gemaakt van AES 256. Met de huidige technologieën zou het honderdduizenden jaren duren voordat je zo'n database kan kraken. Uiteraard bevat elke encryptiemethode wel een lek, maar die worden natuurlijk ook gepatcht.

useruser
@maratropa • 24 november 2017 12:01

stel iemand krijgt je keepass KDB te pakken, hoe hard is zo iets eigenlijk te bruteforcen? (ligt natuurlijk ook aan de PW lengte / complexiteit én delay die je in de instellingen kan instellen)

Ervanuitgaande dat je alle soorten karakters probeert, alles boven de 15 karakters is vrij safe.

Jerie

@Anonymoussaurus • 24 november 2017 13:32

Offline bewaren is zinnig vanwege enkele goede redenen: dark patterns in JavaScript, elke kist waar je je online password manager op draait zal veilig moeten zijn en zo niet ben je het zakje. Onafhankelijke van welk OS je draait als diegene user toegang heeft tot je account (remote of local) is het hoe dan ook uit met de pret. Mijn wachtwoord op mijn wachtwoordmanager heeft genoeg entropie dat ik niet bang ben dat dit gekraakt wordt door een willekeurig figuur. Tenslotte kun je een offline password manager airgappen. Maar dat doet niemand...

Juzzz_NL
@ovm • 24 november 2017 14:08

1Password legt hier uit hoe zij dit oplossen. De database wordt door middel van een extra Secret Key geencrypt. Hierdoor heb je een extra beveiligingslaag.

Willem_54
@ovm • 24 november 2017 22:44

Ik snap je angst maar dat is niet nodig. Keepass is door een externe audit gecontroleerd en veilig bevonden op dat gebied. Zelf bedachte wachtwoorden zijn vaak veel zwakker dan gegenereerde.

Haan
24 november 2017 09:40

Het verbaast me eerlijk gezegd dat 1 op de 3 werknemers blijkbaar wél een wachtwoord manager gebruikt, ik had dat zelf een stuk lager ingeschat. Bij mij op kantoor zijn we nu bezig met awareness te creeëren omtrent security en onderdeel daarvan is ook het gebruik van een wachtwoord manager (wij raden KeePass aan), maar het zou me verbazen als we nu al op dat percentage zitten.

@Sjoerdje131 O ja ik zie het nu ook, dankjewel. Dat komt inderdaad een stuk meer in de buurt van wat ik zou verwachten

[Reactie gewijzigd door Haan op 24 november 2017 09:44]

NLflyer
@Haan • 24 november 2017 09:44

Gezien 't feit dat d'r nog steeds gevallen zijn waar de wachtwoord managers gekraakt worden, blijf ik zo ver mogelijk weg van dergelijke dingen.

Als ik zou willen dat men in 1 keer al mijn wachtwoorden te pakken kreeg, dan schreef ik ze wel op in een boekje en liet ik 't boekje wel thuis liggen, liggen ze mijns inziens veiliger dan in een database binnen wachtwoord manager (lokaal, danwel in de cloud).

Meningen zijn er natuurlijk over verdeeld, maar ik kan ze zelf voor de werknemers bij ons op 't bedrijf, noch voor m'n vrienden/kennissen en dergelijke niet met een goed hart aanraden..

CAPSLOCK2000

Netwerk en systeembeheer

@NLflyer • 24 november 2017 10:45

Gezien 't feit dat d'r nog steeds gevallen zijn waar de wachtwoord managers gekraakt worden, blijf ik zo ver mogelijk weg van dergelijke dingen.

Het is een afweging met voor- en nadelen. Een manager brengt zeker een risico met zich mee, maar voor de meeste mensen is het toch een vooruitgang.

Als je een goed geheugen hebt en 500 unieke en willekeurige wachtwoorden kan onthouden dan ben je beter af zonder passwordmanager. Ik niemand met zo'n goed geheugen. Misschien ben jij de uitzondering.

Iedereen die ik ken (en waarmee ik het over wachtwoorden heb gehad

) gebruikt dan trucjes. Ze genereren het wachtwoord op een of andere manier uit de site. Typisch iets van "gekWoord123Website". Dat gaat vast een tijdje goed, maar als het een keer fout gaat dan kun je al je wachtwoorden gaan vervangen. Met accounts op >100 websites kun je er vergif op innemen dat één van die sites z'n beveiliging niet op orde heeft of dat de webmaster kwaadaardig is. Als die één wachtwoord ziet kan de rest snel geraden worden.

Wachtwoorden in een papieren boekje schrijven is geen heel slecht idee, het is een stuk beter dan veel van de alternatieven, maar de meeste mensen kunnen dat boekje niet thuis laten liggen want ze hebben die wachtwoorden regelmatig nodig. Dan moet je dus altijd je boekje meenemen en als je het een keer vergeet of laat vallen dan liggen je wachtwoorden (letterlijk en figuurlijk) op straat. Als het wachtwoord van je bank in dat boekje staat moet je ook niet beroofd worden.

Backups zijn ook erg lastig met zo'n boekje. Je wil niet al je wachtwoorden verliezen bij een brand, en met de hand wachtwoorden overschrijven is vragen om vergissingen.

Als iedereen zorgvuldig en verantwoordelijk met z'n boekje omgaat dan kan het een goede oplossing zijn. In praktijk zijn de meeste mensen zo niet, en al helemaal niet met de spullen van de baas. Ga er dus maar van uit dat die boekjes altijd open op tafel liggen en dan nog simpele wachtwoorden bevatten omdat niemand lange wachtwoorden over wil tikken. Gedeelde wachtwoorden worden nooit bijgewerkt omdat dan alle boekjes moeten worden aangepast.

Voordeel is wel dat de beveiliging simpel is. Je hoeft niks van techniek te weten om te snappen om zo'n boekje in je binnenzak te houden. Wie op z'n huissleutel kan passen die kan ook wel op een boekje passen. Meestal gaat dat goed.

Ik ben dus van mening dat de meeste mensen beter af zijn met een password manager dan zonder, ook al zijn password managers ook niet perfect.

PS. Overigens ben ik van mening dat we af moeten van beveiliging die (alleen) gebaseerd is op ingewikkelde wachtwoorden, maar dat is een andere discussie.

Jerie

@CAPSLOCK2000 • 24 november 2017 13:49

Ze genereren het wachtwoord op een of andere manier uit de site. Typisch iets van "gekWoord123Website".

Hoi Casper, ik gebruik die trucjes niet. Ik gebruik een password manager.

M'n partner gebruikt deze trucjes overigens wel

PS. Overigens ben ik van mening dat we af moeten van beveiliging die (alleen) gebaseerd is op ingewikkelde wachtwoorden, maar dat is een andere discussie.

Als master password voor een password manager volstaat het.

https://xkpasswd.net/s/ is een goede password generator omdat hij je precies vertelt hoeveel entropy je statische en dynamische content van je password heeft. Veel password generators vertellen je dat niet.

Ander goede website die je entropy checkt is http://rumkin.com/tools/password/passchk.php

En verder heb je online en offline diceware https://www.dmuth.org/diceware/

CAPSLOCK2000

Netwerk en systeembeheer

@Jerie • 24 november 2017 14:07

Hoi Casper, ik gebruik die trucjes niet. Ik gebruik een password manager.
M'n partner gebruikt deze trucjes overigens wel
Als master password voor een password manager volstaat het.

Een master password is inderdaad wat anders, daar heb je er maar eentje van. Er is dus geen patroon dat je kan herkennen dat werkt voor meerdere wachtwoorden.

https://xkpasswd.net/s/ is een goede password generator omdat hij je precies vertelt hoeveel entropy je statische en dynamische content van je password heeft. Veel password generators vertellen je dat niet.

Ik zou nooit een online password generator gebruiken. Als ik een geheime dienst was dan zou ik zelf zo'n site hosten en alle gegenereerde wachtwoorden bewaren voor later.

Ander goede website die je entropy checkt is http://rumkin.com/tools/password/passchk.php

STOP! GEVAAR! NIET DOEN!

Die site is gevaarlijk! Echt gevaarlijk. Er zit geen HTTPS op! Ieder wachtwoord dat je post op die site wordt dus afgetapt en opgeslagen door de NSA. Dat is geen paranoia maar echt hoe het werkt. Als je nog denkt dat het belachelijk is, lees dan wat van Snowden.

Zelfs als er wel HTTPS op zat dan zou het nog een stom idee zijn om je wachtwoorden te posten op een site die gerund wordt door een vreemde.

En verder heb je online en offline diceware https://www.dmuth.org/diceware/

Offline dobbelstenen rollen is helemaal prima

Jerie

@CAPSLOCK2000 • 24 november 2017 14:38

https://xkpasswd.net/s/ maakt gebruik van HTML input en HTTPS

http://rumkin.com/tools/password/passchk.php maakt gebruikt van JavaScript en HTTP. Deze werkt dus nadat je de website hebt geladen ook offline. Maar je weet uiteraard niet wat of die JavaScript code gebackdoored of geMITMed is.

Ik ben een keer een andere website tegengekomen die the best of both words was. Die gebruikte JavaScript over HTTPS en gaf ook de entropy weer.

Ken jij open source software die offline je entropy weergeeft?

CAPSLOCK2000

Netwerk en systeembeheer

@Jerie • 25 november 2017 11:29

http://rumkin.com/tools/password/passchk.php maakt gebruikt van JavaScript en HTTP. Deze werkt dus nadat je de website hebt geladen ook offline. Maar je weet uiteraard niet wat of die JavaScript code
gebackdoored of geMITMed is.

Het maakt het iets beter, maar inderdaad niet perfect.

Ken jij open source software die offline je entropy weergeeft?

Ja en nee, ik kan zo snel niks vinden, maar eerlijk gezegd denk ik dat je entropie overschat en de verkeerde vraag stelt. Entropie is een bovengrens aan veiligheid, geen ondergrens. Je kan een wachtwoord hebben met een hoge entropie dat toch makkelijk te raden is, zoals 'aaaaaaaaaaaaaaaaaa'.
Er is wel een sterke relatie tussen entropie en wachtwoordsterkte, maar het is niet helemaal hetzelfde.

DIe site probeert er rekening mee te houden dat bepaalde lettercombinaties veel gebruikt worden, maar dat klopt alleen/vooral voor het Engels. Bij andere talen (of zelfs culturen) veranderen die verhoudingen al snel en dan klopt er niks meer van.

Je vroeg om software om entropie te bereken en hopelijk snap je nu waarom die er niet is. Software om de sterkte van een wachtwoord te testen is er wel. Een snelle zoekopdracht levert het volgende op:

libpasswdqc0 - password strength checking and policy enforcement library
passwdqc - password strength checking and policy enforcement toolset
ruby-password - Ruby library for handling passwords
krb5-strength - Password strength checking for Kerberos KDCs
libcrypt-pbkdf2-perl - Perl implementation of PBKDF2 password hash
libpam-pwquality - PAM module to check password strength
libpam-passwdqc - PAM module for password strength policy enforcement
libpasswdqc-dev - password checking and policy enforcement library (devel)
libghc-zxcvbn-c-dev - Haskell bindings to password strength estimation library
liblaf-widget-java - Java widget toolbox for other look-and-feel libraries
python-passlib - comprehensive password hashing framework
python-zxcvbn - Realistic password strength estimator. Python module
libzxcvbn-dev - password strength estimation library - development files
libzxcvbn0 - password strength estimation library

Jerie

@CAPSLOCK2000 • 25 november 2017 12:59

Je kan een wachtwoord hebben met een hoge entropie dat toch makkelijk te raden is, zoals 'aaaaaaaaaaaaaaaaaa'.

Toen ik jong was had je daar cracklib voor. Kon zelfs via PAM.

Voor mezelf zal de entropie aardig werken gezien ik hoofdzakelijk in het Engels denk om het maar zo even te stellen

ook gebruik ik een qwerty layout. YMMV.

Wat ik mooi vind aan die site is dat hij statisch en dynamisch aantal bits vertelt. Dus als jij bijvoorbeeld dobbelsteen-zakdoekje-FACEBOOK-barbiepop-pinochet doet dan is FACEBOOK en - statisch. Iemand die een van je wachtwoorden kent, weet dat deel ook. Maar de andere 4 woorden zijn dynamisch en uniek aan dit wachtwoord.

RGAT
@NLflyer • 24 november 2017 09:53

De kans dat iemand jouw computer aanvalt, precies dat bestand kopieert en dan toevallig een zero-day heeft op de encryptie zelf...
Zolang je die tool niet 24/7 open hebt staan maakt een lek daarin niet uit, tenzij die de encryptie zelf in de weg zit.
Het is een afweging zou ik zeggen; wat gebeurt er vaker: dat je hele pc gehackt wordt of dat een van de vele sites waar iets van je staat gehackt wordt?
Antwoord daarop zal altijd de tweede zijn, mocht het de eerste zijn dan is wachtwoordbeheer een zorg voor later

Als middenweg vind ik cloud-based wachtwoordbeheer dan weer helemaal niks...

Ramon
@NLflyer • 24 november 2017 14:58

Gezien 't feit dat d'r nog steeds gevallen zijn waar de wachtwoord managers gekraakt worden, blijf ik zo ver mogelijk weg van dergelijke dingen.

Alles kan gekraakt worden, maar als je gewoon een offline passwordmanager gebruikt, wat denk je dat dan de kans is of een van de 100 accounts op websites wordt gekraakt of iemand breekt gericht in op jouw computer en weet je database te kraken. Ik durf er wel een wedje om te leggen dat de kans dat een van die websites wordt gekraakt hoger is dan je ww database.

Als ik zou willen dat men in 1 keer al mijn wachtwoorden te pakken kreeg, dan schreef ik ze wel op in een boekje en liet ik 't boekje wel thuis liggen, liggen ze mijns inziens veiliger dan in een database binnen wachtwoord manager (lokaal, danwel in de cloud).

Ik zou niet weten waarom.

Meningen zijn er natuurlijk over verdeeld, maar ik kan ze zelf voor de werknemers bij ons op 't bedrijf, noch voor m'n vrienden/kennissen en dergelijke niet met een goed hart aanraden..

Dat is het hem juist, als je twee tellen logisch nadenkt dan zie je waar de hoogste risico's liggen. Daar komt geen mening bij aan te pas

Willem_54
@NLflyer • 24 november 2017 22:53

Noem eens één voorbeeld waarbij de database van een aanbevolen en geaudit wachtwoord manager zodanig gekraakt is dat alle gegevens in klare taal leesbaar zijn gemaakt? Die is er niet volgens mijn bevindingen. Keepass is dan een van de beste. Je argwaan begrijp ik best maar is niet realistisch.

Sjoerdje131
@Haan • 24 november 2017 09:42

Zoals ik het lees gebruikt 17% een wachtwoord manager. 65% niet, 18% weet niet eens wat het is, dus lijkt me dat die het ook niet gebruiken.

svenk91
@Sjoerdje131 • 24 november 2017 10:18

Gezien het niet weten wat een password manager is een valide antwoord is, neem ik aan dat het niet uitgelegd is. Van die 17% kunnen er genoeg bij zitten die hun wachtwoorden in notepad managen en het op de desktop opslaan natuurlijk op basis van de informatie die in dit artikel is beschreven. Dan gebruiken ze wel degelijk een wachtwoord manager, maar veilig kan je het niet noemen.

Je kan met dit artikel enkel zeggen dat er te weinig gedaan wordt aan goede opslag van wachtwoorden, maar niet echt goed hoeveel mensen nou echt hun wachtwoorden secure beheren.

Sergelwd
@svenk91 • 24 november 2017 11:02

Ik zie een papieren wachtwoordmanager toch nog als een stuk veiliger, niet vanaf het internet te benaderen dus zo stukken minder schadelijk.

laptopleon
@svenk91 • 24 november 2017 11:55

Het lijkt me juist logischer om aan te nemen dat het uitgangspunt van de onderzoekers is, dat (bijvoorbeeld) een simpel tekstbestand gebruiken, niet onder het begrip wachtwoordmanager valt.

Beveiliging en een meer praktische toepassing (plugin voor browser, vaak een app die gesynchroniseerd kan worden oid) is juist wat een password manager onderscheidt van TextEdit of NotePad. Anders is opschrijven in een notitieboekje toch ook een password manager gebruiken?

svenk91
@laptopleon • 24 november 2017 12:47

De werkwijze is niet uit het 'raport' op te maken (het is meer een informatie folder dan onderzoeksraport waar tweakers naar linkt). Maar het lijkt erop dat het gewoon een survey is waar werknemers wat multiple choice opties kregen voorgeschoteld zonder verdere uitleg. Er lijkt geen controle te zijn over wat wordt verstaan onder wachtwoordmanager (als het werd uitgelegt had je ook niet de groep respondenten die niet weet wat het is, het is imers net uitgelegd en ze kunnen ja of nee zeggen).

Naast dat je niet weet wat de mensen die de survey beantwoorden verstaan onder password manager (wat prima een onbeveiligd tekst of excel bestandje zou kunnen zijn dus), gaat de vraag ook niet over of men dit voor alle wachtwoorden gebruikt of enkel voor een deel. Het enige dat je weet is dat de mensen die nee zeggen het waarschijnlijk echt niet gebruiken, en ik zou aannemen dat een groot deel van de mensen die aangeeft het niet te kennen het ook niet gebruikt. Maar met het interpreteren van de ja stemmers zou ik voorzichtig zijn (met zulke aannames als jij doet, ondanks dat ze Logisch &natuurlijk zijn en vaak wel in grote maat kloppen, wordt toch met enige regelmaat fakenews geboren op die manier).

laptopleon
@svenk91 • 24 november 2017 20:45

Zat nog wat te kijken naar password managers, forums hierover en zo, maar ik kon geen enkel voorbeeld vinden van mensen die notepad of zo gebruiken en dat een password manager noemen. Integendeel, dit wordt regelmatig als schoolvoorbeeld gebruikt van hoe het niet moet / mis kan gaan / etc als je géén password manager gebruikt.

Password managers gebruiken zover ik na kon gaan altijd een database en hebben altijd zelf een wachtwoord-beveiliging. Dus als een paar mensen een 'alternatieve' manier aanzien voor een password manager – wat nooit helemaal te voorkomen is – dan hebben die mensen een eigen invulling gegeven aan een bestaande definitie, maar dat verandert niets aan de definitie.

ronkerz
24 november 2017 09:41

Ik probeer het zoveel mogelijk in mijn bolletje te stoppen met hier en daar op papier geschreven wachtwoord die ik zeer goed opberg. Dit doe ik meer omdat ik wachtwoordbeheer software niet vertrouw. In elke software kunnen bugs of exploits zitten dus lijkt mij dat ook snel een doelwit voor kwaadwillende.

MarcoC
@ronkerz • 24 november 2017 09:46

Dat lijkt me geen rationele afweging. Het risico dat de veiligheid van een wachtwoord dat op papier is opgeschreven in gevaar komt is vele malen groter dan dat er een lek in KeePass ontdekt wordt en jij daarbij als doelwit gebruikt wordt.

dehardstyler
@MarcoC • 24 november 2017 09:50

Mwa, daar ben ik het niet helemaal mee eens. Als er een exploit in de software zit, is er een mogelijkheid dat mensen wereldwijd iets met jou data kunnen. ( Uiteraard alleen als er al een lek in je PC zit. )
Hoe groot acht jij de kans dat iemand die je wachtwoord niet mag weten ook in je laatjes thuis kan komen?

Ik verwacht persoonlijk eerder gehackt te worden, dan dat er in mijn laatjes gerotzooid wordt!

MarcoC
@dehardstyler • 24 november 2017 10:41

Daarbij doe je wel de aanname dat er een exploit in de software en dat mensen de mogelijkheid hebben om in jouw computer in te loggen. Als iemand het persoonlijk op jou gemunt heeft is het nog altijd vele malen makkelijker om een breekijzer tussen de deur te zetten (dat kan echt iedereen) dan om jouw computer te hacken.

[Reactie gewijzigd door MarcoC op 24 november 2017 10:41]

dehardstyler
@MarcoC • 24 november 2017 11:01

Als er een exploit in de software zit, is er een mogelijkheid dat mensen wereldwijd iets met jou data kunnen.

Welk deel van "Als" begrijp je niet?

Welke kans acht jij groter? In mijn geval hebben mensen het niet echt op mij gemunt. (waarom zouden ze?)
Dat kan in jou omgeving natuurlijk anders zijn, maar dat mensen echt persoonlijk op je uit zijn, zie je niet vaak. Wat je wel vaak ziet is dat mensen zoveel mogelijk slachtoffers in een keer willen maken met een hack / exploit. En dat is precies het probleem: Hoe meer mensen een WW manager gebruiken, ( online of offline ) hoe interessanter het wordt om exploits te gaan zoeken!

Verwacht je eerder dat iemand alle voordeuren gaat open breken van huizen of verwacht je eerder dat iemand exploits gaat zoeken in veel gebruikte software? Bij het openbreken van huizen is het niet eens gegarandeerd dat je wachtwoorden gaat vinden. Als jij een exploit in Keepass / Lastpass vind, ga je met 101% kans wachtwoorden vinden!

edit: typo

[Reactie gewijzigd door dehardstyler op 24 november 2017 11:02]

Sergelwd
@MarcoC • 24 november 2017 11:06

Is jouw voordeur ook vanaf de hele wereld bereikbaar

* vind het echt lachwekkend dat tweakers zo begaan zijn met wachtwoordmanagers.

Moi_in_actie

@dehardstyler • 24 november 2017 10:06

Precies. Gezien de hack van zelfs gerenommeerde bedrijven over de laatste jaren, waaronder heel wat waarvan je echt wel verwachtte dat ze goed om zouden gaan met security, is het soms nog veiliger om iets op een papiertje te zetten dan online op te slaan.

Wanneer je thuis ergens in een lade of kast een blaadje hebt liggen met een aantal wachtwoorden, eventueel met een cryptische omschrijving erbij waarvoor het wachtwoord is (dus niet direct de website naam) dan kan hier weinig fout mee gaan. Of er moet al ingebroken worden in je huis, men moet het blaadje vinden en het eveneens waardevol vinden (in plaats van jouw tv, sieraden etc.) en dan nog ontcijferen (weten te achterhalen welke website en welk emailadres erbij gebruikt is), wil men zo een hack doen. Een andere mogelijkheid is een kennis/familielid die zo jouw wachtwoord achterhaalt, maar dan is de dader meestal snel bekend en de schade te overzien.

100% veilig is het op een blaadje schrijven niet, maar datzelfde geldt voor een online service vertrouwen met jouw gegevens.

MarcoC
@Moi_in_actie • 24 november 2017 10:42

KeePass is geen online service, dus vreemd dat je daar over begint.

Moi_in_actie

@MarcoC • 24 november 2017 10:49

Goed, maar ook in een desktop applicatie kan een keylogger worden ingebouwd of een backdoor zitten. Het zal niet snel gebeuren, maar het is mogelijk. En ja, ook dit kan je weer tegengaan door KeePass op een pc/VM te zetten zonder internet verbinding.

Onder de streep is het niet veel veiliger of onveiliger dan iets cryptisch op een blaadje te schrijven en dit goed weg te stoppen. Het is een kwestie van smaak en gebruiksgemak; de een prefereert een stukje software op de pc, de ander liever een oud en vertrouwt stukje papier.

borft
@Moi_in_actie • 24 november 2017 11:47

Hoe kom je daar bij? Het is wel veiliger

Er wordt een sterke encryptie (proven technology) gebruikt, dat is veel veiliger dan iets wat je zelf bedacht hebt. Als je het perse op cold storage wilt zetten (= papier in een kluis), dan kan dat met een usb stick natuurlijk ook.

vali
@dehardstyler • 24 november 2017 13:08

Met zo'n redenatie kan je net zo goed terug naar de typmachine gaan en geen gebruik maken van een computer.

Ik maak gebruik van keeppass en sync die naar mijn smartphone/laptop/tablet/pc via mijn sync oplossing. Zo staat mijn key nooit op een public cloud en heb ik het zelf in de hand.

[Reactie gewijzigd door vali op 24 november 2017 13:54]

dehardstyler
@vali • 24 november 2017 13:50

Wie zei dat ik geen typemachine gebruik dan?

Maar zonder gein, ik snap het gebruik van een wachtwoordmanager maar al te goed. ( Ik moet er nog steeds een keer aan beginnen, maar ja al die wachtwoorden aanpassen..

)

Alleen werd er aangegeven dat een wachtwoordenmanager beter zou moeten zijn:

"Dat lijkt me geen rationele afweging. Het risico dat de veiligheid van een wachtwoord dat op papier is opgeschreven in gevaar komt is vele malen groter dan dat er een lek in KeePass ontdekt wordt en jij daarbij als doelwit gebruikt wordt."

En daar ben ik het niet echt mee eens, om eerder genoemde redenen.

Ramon
@dehardstyler • 24 november 2017 15:00

Mwa, daar ben ik het niet helemaal mee eens. Als er een exploit in de software zit, is er een mogelijkheid dat mensen wereldwijd iets met jou data kunnen. ( Uiteraard alleen als er al een lek in je PC zit. )
Hoe groot acht jij de kans dat iemand die je wachtwoord niet mag weten ook in je laatjes thuis kan komen?

Ik verwacht persoonlijk eerder gehackt te worden, dan dat er in mijn laatjes gerotzooid wordt!

Je denkt echt dat mensen gericht op zoek gaan naar jouw lokale wachtwoorddatabase? Dan heb je vast iets op je kerfstok of bent een BN'er

dehardstyler
@Ramon • 24 november 2017 15:08

Nee, dan snap je dus niet wat ik zeg. Ze gaan bij wachtwoordmanagers juist niet gericht opzoek...
Als jij een exploit vind in Keypass / Lastpass, heb je in een keer iedereen te pakken. Bij Lastpass heeft dat natuurlijk meer impact , omdat het online is. In plaats van dat je bij iedereen de voordeur moet intrappen en alle laatjes moet nakijken.

downcom
@MarcoC • 24 november 2017 10:02

De kans dat ze moeite gaan doen om het handgeschreven papiertje te zoeken is kleiner dan een dienst waar van een paar miljoen gebruikers alle wachtwoorden op een hoop geveegd worden.

En laten we wel wezen als er nu wat uitlekt (gencrypt) dan is dat misschien geen direct gevaar maar mocht de encryptie later te kraken zijn (zoals met oudere hashes nu ook het geval is) dan staat er direct wel een heleboel open op het internet.

Ik zeg niet dat gebeurd maar ik vind de keuze password manager gewoon een luie gewaarwording neem verantwoordelijkheid en onthoud het gewoon en maak wachtwoorden die een bepaalde logica hebben waardoor je ze niet hoeft op te slaan denk aan; Youtube; [iban]Bankrekeningnummmer@yt òf [kenteken]!bouwjaar@yt dan heb je toch geen password manager nodig? En ja een automatisch gegenereerd wachtwoord zal best moeilijker te vinden zijn maar als je het op een grote hoop veegt maak je het voor kwaadwillende wel heel interessant.

[Reactie gewijzigd door downcom op 24 november 2017 10:04]

MarcoC
@downcom • 24 november 2017 10:47

KeePass is geen dienst met een paar miljoen gebruikers, maar een offline open-source password manager. Misschien reageer je op de verkeerde persoon?

CAPSLOCK2000

Netwerk en systeembeheer

@downcom • 24 november 2017 10:54

Ik zeg niet dat gebeurd maar ik vind de keuze password manager gewoon een luie gewaarwording neem verantwoordelijkheid en onthoud het gewoon en maak

Hoeveel unieke wachtwoorden ken jij uit je hoofd? Mijn geheugen is daar niet goed genoeg voor.

wachtwoorden die een bepaalde logica hebben waardoor je ze niet hoeft op te slaan denk aan; Youtube; ~[iban]Bankrekeningnummmer@yt òf ~[kenteken]!bouwjaar@yt dan heb je toch geen password manager nodig?

En dat zet je gewoon op internet? Dapper.
Je beseft toch wel dat er nu vast een paar mensen aan het proberen zijn om je wachtwoord op deze site te raden.

Zo'n schema werkt een tijdje maar vroeg of laat lekt het uit. Mensen (en in toenemende mate ook computers) zien onmiddellijk hoe zo'n schema werkt en dan raden ze zo al je andere wachtwoorden. Je directe familie, vrienden en collega's kunnen de meeste van die feitjes wel invullen of achterhalen, al dan niet met hulp van Facebook. Als je ooit ruzie krijgt dan lopen ook je wachtwoorden gevaar.

Frenziefrenz
@CAPSLOCK2000 • 24 november 2017 12:52

En dat zet je gewoon op internet? Dapper.

Ach, als de echte logica eerder in de richting gaat van yt!*!*!*{serienummermuis}^aankoopdatumprinter dan denk ik niet dat je bepaald onveiliger bent door een globaal principe te opperen. Eerder als er een wachtwoord ergens uitlekt o.i.d., want dan ligt je geheime principe op straat.

Ik heb afgezien daarvan vooral een probleem met de aanname dat je met een zeker algoritme geen wachtwoordbeheer meer nodig hebt. Je moet immers je wachtwoorden soms veranderen. Wat dan?

downcom
@CAPSLOCK2000 • 24 november 2017 13:46

Ik noem een heel simpel voorbeeld. Dit kun je zo moeilijk maken als je zelf wilt.

Er zijn zoveel persoonlijke variabelen die je icm een gegeven die gekoppeld zit aan de dienst makkelijk kan onthouden en toch zeer complex zijn;

Rekeningnummer+Kentekentplaat+ytnaam (lijkt me toch aardig veilig)

Pasnummers, verloopdatums pasjes, kengetal geboorteplaats, postcode + huisnummer geboorte locatie mix dit eens lekker door elkaar heen

[Reactie gewijzigd door downcom op 24 november 2017 14:04]

borft
@downcom • 24 november 2017 11:54

wachtwoorden met een patroon er in zijn een stuk minder veilig dan je denkt. Als een van de diensten die je gebruikt je wachtwoord uitlekt, is het niet heel erg moeilijk de andere af te leiden. Offline password managers zijn geen dienst die door veel mensen gebruikt worden, dus die vlieger gaat niet op.

Eigenlijk vind ik wachtwoorden die kort en niet random zijn een luie gewaarwording (in jouw woorden). Het betekent namelijk dat je wachtwoorden een veel lagere entropie hebben dan je denkt.

Ik denk dat de meeste mensen zo aan de 100 wachtwoorden komen, dat wordt toch lastig onthouden. Een offline password manager, met 2-factor authentication lijkt me prima veilig. (in ieder geval veiliger dan te raden wachtwoorden, of nog erger, wachtwoorden op een post-it

downcom
@borft • 24 november 2017 15:12

een lang wachtwoord (veel variabelen die zou kunnen onthouden) is veiliger dan een wachtwoord 8 random tekens. Dat je er iets aan toe moet voegen waardoor je weet wat het wachtwoord moet zijn voor een betreffende website lijkt me dan logisch.

of nog erger, wachtwoorden op een post-it

Kijk eens bij een gemiddelde 45plus-er onder zijn bureau/muis mat

borft
@downcom • 24 november 2017 15:27

een lang wachtwoord kan inderdaad veiliger zijn, maar dan moet je meer denken aan iets als correct.battery.horse.stapler min of meer random woorden. Zodra het betekenisvol wordt, dan schep je het risico dat iemand (of een computer) de context raadt, en dan is het ineens een stuk minder veilig dan 8 of 16 random tekens.

Sidiox
@MarcoC • 24 november 2017 09:52

Waarom is de veiligheid van dat stukje papier zo slecht? Als ik dat stuk papier in mijn huis heb, moet een kwaadwillende dus in mijn huis komen en doorzoeken. Als iemand al in mijn huis staat zonder dat ik het wil heb ik toch al verloren.
En iemand die in KeePass of LastPass een bug of wat dan ook wil ontdekken en gebruiken kan dat vanuit z'n luie anonieme stoel doen.
Iemand hoeft niet jou als doelwit te hebben, maar als iemand heel LastPass heeft, hebben ze ook jou.

MarcoC
@Sidiox • 24 november 2017 10:43

Het is niet slecht, alleen het is vrij eenvoudig om een papiertje kwijt te raken of om een foto ervan te maken zonder dat iemand het doorheeft. Denken dat je veiliger bent door iets op te schrijven en in huis te bewaren dan een offline tool te gebruiken als KeePass is m.i. jezelf voor de gek houden.

ronkerz
@MarcoC • 25 november 2017 16:00

Mijn huis is zo'n grote tering zooi is dat ik de inbrekers heel veel succes wens om mijn wachtwoorden te vinden. Maar een ding kun je van een papiertje wel zeker zijn is, dat het niet op je computer staat. Je computer hoeft maar (zonder dat je het door hebt) besmet te zijn met malware om je wachtwoorden te kunnen achterhalen. Uiteraard zijn er goeie anti virussen die de meeste ongewenste troep er wel uit filterd maar toch stel he.

borft
@Sidiox • 24 november 2017 11:51

Hoe gaat iemand remote een bug gebruiken in een offline password store? Ik denk overigens, dat je als je al je wachtwoorden (ik neem aan random gegenereerd) op een papiertje schrijft, je een behoorlijk pak papier krijgt, ik heb al >150 entries, allemaal verschillende wachtwoorden!

ralphm
@MarcoC • 24 november 2017 09:55

Als jij je papiertje net zo goed beschermt als je credit card, bijv. door hem in je portemonnee te stoppen, is dat beslist een valide, veilige oplossing.

MarcoC
@ralphm • 24 november 2017 10:45

Dat betwist ik ook niet. Het is alleen niet zo dat een lokale KeePass minder veilig is. Een wachtwoord op een papiertje in je portemonnee bewaren is eenvoudig, maar niet veilig. Een portemonnee gebruik je meestal meerdere keren per dag, elke keer dat je je portemonnee gebruikt is de kans dat je het wachtwoord verliest doordat het papiertje uit je portemonnee valt aanwezig.

Willem_54
@ronkerz • 24 november 2017 23:01

Gezonde argwaan is ok maar bedenk dat een keylogger nog gevaarlijker is. Het intypen van een wachtwoord is daarom risicovoller dan het gebruik van een wachtwoordmanager die het kopieer en plakken beveiligd heeft en daarbij ook het geheugengebruik beveiligd is. Ik adviseer je om de werking van Keepass op dit gebied eens te bestuderen, dat geeft een goed beeld van geavanceerde processen om kwetsbaarheden in wachtwoord gebruik te doorgronden.

Notlupus
24 november 2017 09:37

Ik gebruik ook geen wachtwoordbeheersoftware. Voor de applicaties die ik nodig heb op mijn werk heb ik geen moeite mijn wachtwoorden te onthouden, voor websites en dergelijke gebruik ik eigenlijk altijd de mogelijkheid om een nieuw wachtwoord aan te maken.

Junketsu
@Notlupus • 24 november 2017 09:38

voor websites en dergelijke gebruik ik eigenlijk altijd de mogelijkheid om een nieuw wachtwoord aan te maken.

Dit doe je elke keer bij een website als je in wilt loggen? Wat een gedoe

disjfa
@Junketsu • 24 november 2017 09:45

Dat valt dus extreem mee. Samen met een bookmark op zoiets als dit erbij. Mailtje verder en gaan, en zeker nergens opgeslagen.

https://www.random.org/pa...en=13&format=html&rnd=new

Junketsu
@disjfa • 24 november 2017 09:57

Je laat het mooi klinken, maar elke website heeft weer andere eisen aan wachtwoorden. Wel met een hoofdletter, zonder hoofdletters, maximaal 12 karakters etc. Dat is dus niet 1-2-3 gepiept en echt wel gedoe.

Een password manager vult het voor je in, en klaar.

[Reactie gewijzigd door Junketsu op 24 november 2017 09:57]

My-life
@Junketsu • 24 november 2017 09:41

Waarschijnlijk onthoudt de browser een aantal wachtwoorden wel. Dat is dan ook een vorm van wachtwoord manager toch?

Met Single-Sign-On kan ook voorkomen worden dat een werknemer meerdere wachtwoorden moet onthouden. (En TFA kan ervoor zorgen dat je alleen met dat wachtwoord niet overal toegang hebt)

[Reactie gewijzigd door My-life op 24 november 2017 09:42]

Vlugge Japie
@Notlupus • 24 november 2017 10:30

Dit doe ik ook regelmatig. Maar ik moet er niet aan denken wat er gebeurd als, om wat voor reden dan ook, ik niet meer in kan loggen bij gmail...

Willem_54
@Notlupus • 24 november 2017 23:03

Het aanvragen van nieuwe wachtwoorden gebeurt vaak via emailverkeer, dat is zeer kwetsbaar omdat dit verkeer kan worden onderschept door iedereen die daar zin in heeft.

robvanwijk

Netwerk en systeembeheer

@Willem_54 • 25 november 2017 06:17

Het aanvragen van nieuwe wachtwoorden gebeurt vaak via emailverkeer, dat is zeer kwetsbaar omdat dit verkeer kan worden onderschept door iedereen die daar zin in heeft.

In het geval waar het hier om gaat:
- Communicatie van het proces dat de password reset aanvraagt naar de mailserver is intern; als iemand daar bij kan dan heb je grotere problemen.
- Daadwerkelijke verzending van de mailserver naar (laten we zeggen) GMail gaat steeds vaker over een versleutelde verbinding. Het is nog niet vereist, maar het gaat wel de goede kant op.
- Communicatie van GMail naar de pc van de gebruiker is bijna altijd een versleutelde verbinding.

Je hebt gelijk dat het niet ideaal is, maar de compleet hopeloze situatie van "vroeger" is het allang niet meer.

HansvDr
24 november 2017 10:12

Ik heb geen wachtwoordmanager. Ik gebruik bijna overal hetzelfde of ik ram op wat willekeurige toetsen om een wachtwoord te maken en mocht ik ooit terugkomen: wachtwoord vergeten.

Er zijn maar een paar sites waar ik het wel de moeite waard vind en dat kan ik wel onthouden.

Anonymoussaurus
@HansvDr • 24 november 2017 10:16

Dat verbaast mij enorm. Bij bijna elk privacy-gerelateerd artikel zie ik je reageren over dat bedrijf x inbreuk maakt op je privacy en dat je geen Google 'rotzooi' wilt. Vervolgens verkondig je hier hoe je slordig met je wachtwoorden en accounts omgaat.

HansvDr
@Anonymoussaurus • 24 november 2017 11:09

Ik vind maar een paar websites belangrijk genoeg om een goed wachtwoord te kiezen. Dat wil ik onthouden. Bij al die nietszeggende websites is mijn wachtwoord gewoon 3x mijn naam of een willekeurige serie letters en cijfers die ik niet onthou. Dat heeft echt niks met reclamebureau Google te maken.

Anonymoussaurus
@HansvDr • 24 november 2017 11:15

Security = privacy. Als jouw account gehackt wordt, liggen ook jouw gegevens op straat. Als je daar zo makkelijk over doet, en uiteindelijk een veel grotere privacyschender is, heb je geen goede reden om zo moeilijk te doen over Google.

HansvDr
@Anonymoussaurus • 24 november 2017 11:31

Vind jij. Ik wil bij heel veel sites helemaal geen account maar wordt verplicht met ook nog eens allemaal onnodige regels.

jeffhuys
@HansvDr • 24 november 2017 14:24

mailinator....?

cdwave
@HansvDr • 24 november 2017 11:18

Ik doe hetzelfde. Toetsen rammen levert superveilige wachtwoorden op, hoewel sommige regeltjes 't wel lastig maken.

Eigenlijk maakt dat van je e-mail je wachtwoordmanager. Of de browser, want die onthoudt ook nogal veel van die dingen. Voor de meeste sites heb ik geen flauw idee wat mijn wachtwoord is. Geldt ook voor T.net dus.

Geldt ook voor DigiD trouwens, die vraag ik ook elk jaar opnieuw aan (twee brieven in de post, lekker kostenefficient en goed voor het milieu, dank je wel overheid dat jullie die digid wachtwoord zo'n miskleun gemaakt hebben). Een keer geprobeerd die op het formulier van vorig jaar te schrijven, maar toen zei de site doodleuk dat die te oud was en ik een nieuwe moest aanvragen.

Gopher
24 november 2017 11:53

Waarom zou je een password manager gebruiken als je ook gewoon deze data in een excelsheet op sharepoint kunt hosten?

Anonymoussaurus
@Gopher • 24 november 2017 12:06

Omdat password managers de database encrypten, en een Excelsheet gewoonweg plain-text is..

Gopher
@Anonymoussaurus • 24 november 2017 12:09

Ik overwoog om een duidelijkere hint van sarcasme toe te voegen.
Overigens, is misschien data op Sharepoint ook beveiligd?

[Reactie gewijzigd door Gopher op 24 november 2017 12:10]

Anonymoussaurus
@Gopher • 24 november 2017 12:10

Deze keer kon ik dat niet ruiken, helaas.

Ramon
@Gopher • 24 november 2017 14:36

Omdat passwordmanagers veelal integratie hebben met browsers en het dus makkelijk maken om wachtwoorden te genereren en voor-in-te-vullen. Naast dat ze veiliger zijn.

n8n
@Ramon • 25 november 2017 09:49

Naast dat ze ook nog eens beter zijn in het bedenken van random wachtwoorden dan mensen.

Anoniem: 896479
24 november 2017 10:04

Op de zaak bieden ze Keepass aan, maar ik gebruik een kladblok bestandje.

't is gewoon sneller.

System
@Anoniem: 896479 • 24 november 2017 10:16

Er zijn vast velen die dit doen.
Maar pak het dan iets slimmer aan en zet ze in word of excel of zo en beveilig dat bestand met een simpele pincode.
Al was het maar om de toevallige ontdekker af te blokken.

[Reactie gewijzigd door System op 24 november 2017 11:38]

Anoniem: 896479
@System • 24 november 2017 11:02

Die toevallige ontdekker heeft dan mijn AD wachtwoord nodig, want altijd als ik mijn werkstation verlaat, gaat die machine op slot d.m.v. Win+L

cdwave
@Anoniem: 896479 • 24 november 2017 11:13

Encrypted filesysteem?

System
@cdwave • 24 november 2017 11:37

Dan hebben we het niet meer over een toevallige ontdekker denk ik?

cdwave
@System • 24 november 2017 15:07

Iemand die de machine aan kan raken kan ook ongemerkt de inhoud van de disk lezen. Incluis jouw wachtwoordbestandje. Encryptie voorkomt dat. En nog veel meer. Eigenlijk wil je je documenten folder standaard encrypten, om de eenvoudige reden dat je daar niet gauw spijt van zult krijgen, maar als je bestandje een keer gekaapt wordt is 't te laat...

System
@cdwave • 24 november 2017 17:13

Encryptie vertraagt ook uw systeem. Op een vaste pc niet zo erg, maar op een laptop kan het een aanzienlijk verschil maken in batterij duur.
Encryptie geeft een vals veiligheidsgevoel. Want eens je ingelogd bent ben je vanaf het net even kwetsbaar als niet geëncrypteerd.

cdwave
@System • 25 november 2017 14:01

Dat is dan ook de reden dat men niet de hele schijf moet encrypten, maar alleen de persoonlijke documenten. Dat heft beide bezwaren op.

Wie serieus een veilig systeem wil zal denk ik geen Windows gebruiken.

Daartegenover staat dat de Windows 98 en later Windows XP machine van m'n ouders die direct aan het net hing (geen NAT router ertussen) nooit enig probleem via het netwerk opgelopen heeft. Kwestie van netwerk config goed instellen.

System
@Anoniem: 896479 • 24 november 2017 11:37

Als uw schijf niet gedeeld wordt over een netwerk zal dat idd wel volstaan.

jeffhuys
@Anoniem: 896479 • 24 november 2017 14:25

Win+L. Ah, heerlijk veilig gevoel, weinig echte veiligheid.

System
@jeffhuys • 24 november 2017 17:14

Voor de toevallige passant terwijl jij naar het toilet bent ben je doorgaans veilig.
Zelfs encryptie is te kraken, vraag het maar aan de FBI. Dus wat is dan een vals gevoel van veiligheid?

alt-92
@jeffhuys • 26 november 2017 13:15

Wel zo fijn dat tegenwoordig DMA ook op 'slot' gaat als je je win10 (1703+) werkplek locked.
Los van dat, workstation lock is meer een misbruik/information disclosure maatregel.

[Reactie gewijzigd door alt-92 op 26 november 2017 13:17]

Willem_54
@Anoniem: 896479 • 24 november 2017 23:07

Heb je Auto Type vast nog nooit gebruikt. Dat kladblokje is echt heel onveilig.

Spooksel
24 november 2017 09:40

Ik gebruik LastPass en vind het echt heerlijk

Nieuwe websites waar ik me registreer daar weet ik uberhaupt mijn wachtwoorden niet van, dat is gewoon 'Generate and fill' en aanmelden maar. Werkt top!

2-factor aan, overal sterke wachtwoorden, nooit gedoe. Zouden meer mensen moeten doen

laminaatplaat
@Spooksel • 24 november 2017 09:48

Ik heb hier de betaalde versie van LastPass en vind het heerlijk en inderdaad allemaal gegenereerde wachtwoorden en 2factor. Maar toch blijft het wel gek dat je wachtwoorden bij een of andere toko liggen.

Hier op kantoor sporen ze je ook aan om wachtwoordbeheer (niet via de browser) te gebruiken.

[Reactie gewijzigd door laminaatplaat op 24 november 2017 09:48]

dakka
@laminaatplaat • 24 november 2017 11:42

ditto, LastPass met abbo dikke 10/10

Pim0377
24 november 2017 09:42

ik gebruik wel een pw manager, maar dat is alleen voor mijn privileged accounts, die hebben zo'n achterlijk lang wachtwoord, auto generated, dat kan ik niet uit mijn kop leren

voor de gewone accounts, die gebruik ik zoo vaak, meerdere keren per dag, dat ik ze niet vergeet. Er zit een logica in die paswoorden, maar voor mij, niet voor de buitenwereld.

krijg op werk vaak te horen, als ik mensen hoor klagen over dat ze zoveel ww moeten onthouden, en ik ze wijs op een pw manager, de eerste reactie is....ja maar dan moet ik NOG een ww onthouden.

Als ik ze dan vervolgens uitleg dat als ze die gebruiken, ze de rest niet meer hoeven te onthouden omdat het dan copy-paste werk is, of autotype, dan zijn ze vaak erg verrast, en soms ook blij verrast en gaan ze het daadwerkelijk gebruiken.

90710
@Pim0377 • 24 november 2017 09:46

voor de gewone accounts, die gebruik ik zoo vaak, meerdere keren per dag, dat ik ze niet vergeet. Er zit een logica in die paswoorden, maar voor mij, niet voor de buitenwereld.

Jouw logica is van dat speciale soort logica, wat door niemand te achterhalen is?

Zelf gebruik ik een offline password manager (KeePass) voor bijna alles. Alleen Windows log ik nog met een gewoon wachtwoord in. (En KeePass zelf natuurlijk)

Pim0377
@90710 • 24 november 2017 10:06

het zal vast wel te achterhalen zijn, maar het is zeker niet iets wat je zo raadt, omdat de logica die er achter zit, gebaseerd is op een rare kronkel in mijn hoofd

en daar dan een rare variatie van, ezelsbruggetje naar ezelsbruggetje, dit doet me denken aan dat, en een variatie aan tekens die daar in voorkomen vormen samen dat wachtwoord.

Willem_54
@Pim0377 • 24 november 2017 23:13

Logica in wachtwoorden zijn door een universiteit wetenschappelijk onderzocht en als kwetsbaar bevonden. De logica die je erin stopt leiden meestal tot patronen en beperken de mogelijkheden.
Door decryption methoden kunnen deze wachtwoorden ontcijferd worden.

Pim0377
@Willem_54 • 25 november 2017 01:19

dat wil ik ze wel eens zien bewijzen als ik willekeurig iets uit mijn leven gebruik als basis, wat me dan aan iets uit een ver verleden doet denken en ik willekeurig daarvan bepaalde karakters gebruik en verander tot een wachtwoord........

zal vast wel kunnen, maar de mogelijkheden daarin zijn bijna eindeloos, en daarmee bijna niet de moeite voor iemand om te proberen te kraken lijkt me

1 2 3 ... 7 Volgende

Op dit item kan niet meer gereageerd worden.

'Meerderheid werknemers gebruikt geen wachtwoordbeheerder'

Wachtwoordchaos

Lees meer

IT-banen

Reacties (322)

Sorteer op:

Weergave:

Tweakers maakt gebruik van cookies

Toestemming beheren

Functioneel en analytisch

Relevantere advertenties

Ingesloten content van derden