2048-bit encryptie en 2,50 beschermt wachtwoorden
Internetgebruikers moeten tegenwoordig voor bijna elke website een wachtwoord en gebruikersnaam hebben. Sommige mensen gebruiken overal hetzelfde wachtwoord, andere kiezen weer voor makkelijk te onthouden wachtwoorden. Vanuit veiligheidsoverwegingen is het verstandig om meerdere en vaak moeilijk te raden wachtwoorden te gebruiken. Om deze wachtwoorden niet te vergeten kun je ze op een papiertje schrijven, maar dat kun je kwijtraken. Cliff Crimson, bekend van web-mail aanbieder Hushmail, en tegenwoordig CEO van Just1Key, denkt dat zijn bedrijf dit probleem kan oplossen.
De dienst stelt gebruikers in staat om wachtwoorden op een centrale server te plaatsen, om via een pass phrase hier toegang tot te krijgen. "Het internet is gebouwd rondom gemak, en om aan een computer gebonden te zijn is een beperking" zegt Crimson. Voor 2,50 dollar per maand zijn je wachtwoorden veiliger dan op een stuk papier, althans, dat beweert de oprichter van Just1Key.
De informatie op de server wordt, net als bij Hushmail, met een 2048-bits sleutel versleuteld. Encryptie expert en bedenker van PGP Philip Zimmerman ziet echter graag eerst de broncode van de site voordat hij zou overstappen. (Wired)
info ... (ik denk dat er een subsidie van de u.s bij zit ;-)
Ben dr absoluut geen voorstander van om al m'n wachtwoorden
door een ander te laten beheren. Bovendien blijft het een
publiekelijk toegankelijke server. 1 hack op die server en
iemand kan daar het verkeer vrolijk gaan zitten monitoren.
Die dikke encryptie vind pas op de server zelf plaats, als
iemand tussen het encrypten en de binnenkomende data een
prog plaatst hoeft ie alleen maar te vangen en te wachten...
mij niet gezien, voorlopig vertrouw ik gewoon op m'n
hersentjes :)
ziet echter graag eerst de broncode van de site voordat hij
zou overstappen.
Tja, en dan is het nog maar de vraag of de getoonde broncode
inderdaad van toepassing is op de site. Je kunt makkelijk
een andere code tonen dan je in werkelijkheid gebruikt.
Ik ben het niet zo'n voorstander van centraal opslaan op een
server van een 3e partij.
Zo moeilijk is het niet om wachtwoorden te onthouden, mits
je regelmaat er in houd en niet bijv. 3 maanden tussen het
aanmelden laat. Want kennelijk doen die accounts er niet
zodanig toe dat je ze moet onthouden als je na 3 maanden pas
weer inlogt.
Wachtwoorden van 8+ characters zijn nog steeds best te doen
als je ze repeteerd. Maar dat is met alles wat je moet
onthouden.
- Unomi -
codes, serienummers slecht beveiligd of slecht toegankelijk
zijn.
Wat voor oplossingen zijn hiervoor in de aanbieding?
Ik ben bekend met digitale kluizen maar heb er nog geen een
gevonden die multiuser is.
Op dit moment willen we alles in een ge-encrypte database
stoppen zodat er query's op de data kunnen worden
uitgevoerd. Maar een kant en klaar product zou beter zijn.
De internet kluizen zijn geen oplossing het moet namelijk
ook toegankelijk zijn zonder internet. En met de
bovenstaande reacties ben ik het ook eens.
Dus als iemand een goede oplossing heeft hoor ik het graag.
Alwin
application that decrypts the data, they can then cut and
paste the proper user name and password from a list of
accounts."
Hmm... niet echt optimaal om meteen de hele lijst op je
scherm te hebben...
Dit is eigenlijk alleen handig om backup-redenen. Anders kan
je het net zo goed op je eigen PC bewaren, want je
passphrase invullen op een PC in het internetcafe is ook
niet echt een goed idee.
PAM), ipv een wachtwoord op je eigen computer inloggen met
een passphrase (meer entropie dan normaal wachtwoord) en die
vervolgens je verschillende keystores laten beheren.
broncode van de site.."
Is PGP dan wel Open Source? Kan ik zomaar PGP vertrouwen?
Ik ken geen enkel van mijn wachtwoorden en ze zijn allemaal
van het formaat:
~MNBo6!>%>psf:o|
waar mogelijk natuurlijk.
zetten in een map met meerdere txt-bestanden samen met MRU
Blaster biedt ruim voldoende bescherming.
http://www.javacoolsoftware.com/mrublaster.html
http://keepass.sourceforge.net/
Je kan daar ook een key-disk gebruiken, dus bijvoorbeeld je
password database unlocken met een usb stick :-)
End to all Phising scams, they now hack the planet!
Ik verleen deze service geheel gratis! echter alleen voor: wachtwoorden,
pincode's, rekeningnummers, sofinummers etc.
-de BrulBaviaan-
Je paswoorden in een .txt bestand met een vage naam eraan
zetten in een map met meerdere txt-bestanden samen met MRU
Blaster biedt ruim voldoende bescherming.
http://www.javacoolsoftware.com/mrublaster.html
Nog steeds niet bij mensen doorgedrongen; 'security by
obscurity' werkt niet, de praktijk heeft dit uitgewezen.
Op het campus netwerk waar ik nu op zit, vond ik laatst op
een share een file met paswoorden (zelfs met de host naam
erbij). Natuurlijk sysadmin ge-emaild, maar het is
natuurlijk van de gekke.
Trouwens wat doe jij eigenlijk op security.nl als je dit
soort tips geeft; lees je de artikelen wel?
encrypt. Maar dan zit je eigenlijk handmatig een keystore
bij te houden, kun je het net zo goed meteen goed doen.
en wat exotische OSjes.
http://www.privateark.com/ ?
gebruiken, even veilig. Maar dat werkt niet zo goed als je
ook op andere locaties bij je wachtwoorden wilt kunnen komen.
Ik denk dat de toepassing alleen voor een select aantal
mensen interessant in de oren zal klinken. Maarja dan komt
binnenkort een ander met een gratis aanbod en dan hou je
niet veel meer over.
Zelf gebruik ik Strip
(http://www.zetetic.net/solutions/strip/) op m'n PalmOS PDA.
Deze gebruikt 256-bit AES encryptie. Nee dat is niet minder
veilig dan de 2048 bit van zimmermann want die gebruikt
asymetrische encryptie, en dat type crypto heeft veel groter
keyspace nodig. Het security.nl artikel vermeld alleen dat
het 2048 bits encryptie is, maar niet wat voor encryptie,
zoals klakkeloos overgenomen van wired. Maar als je de PDF
erbij pakt van de hush engine zie je dat je keuze hebt uit
alle bekende algorithmen. De default voor public key
encryptie is Elgamal, 2048 bit.
Maargoed, ik denk dat het beter is dat iemand met een
goedkoop zak-appaatje komt die je wachtwoorden beheerd met
een goede encryptie.. kun je ook je pincodes enzo instoppen..
gebruikt weet je toch meteen al dat ze zelf al geen kaas an
het onderwerp hebben gegeten
Je paswoorden in een .txt bestand met een vage naam eraan
zetten in een map met meerdere txt-bestanden samen met MRU
Blaster biedt ruim voldoende bescherming.
http://www.javacoolsoftware.com/mrublaster.html
Nog steeds niet bij mensen doorgedrongen; 'security by
obscurity' werkt niet, de praktijk heeft dit uitgewezen.
Op het campus netwerk waar ik nu op zit, vond ik laatst op
een share een file met paswoorden (zelfs met de host naam
erbij). Natuurlijk sysadmin ge-emaild, maar het is
natuurlijk van de gekke.
Trouwens wat doe jij eigenlijk op security.nl als je dit
soort tips geeft; lees je de artikelen wel?
Alsof hier allemaal slimme security mensen reageren, doorsnee is
category pukkel jeugd.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
