image

2048-bit encryptie en 2,50 beschermt wachtwoorden

donderdag 1 september 2005, 12:41 door Redactie, 22 reacties

Internetgebruikers moeten tegenwoordig voor bijna elke website een wachtwoord en gebruikersnaam hebben. Sommige mensen gebruiken overal hetzelfde wachtwoord, andere kiezen weer voor makkelijk te onthouden wachtwoorden. Vanuit veiligheidsoverwegingen is het verstandig om meerdere en vaak moeilijk te raden wachtwoorden te gebruiken. Om deze wachtwoorden niet te vergeten kun je ze op een papiertje schrijven, maar dat kun je kwijtraken. Cliff Crimson, bekend van web-mail aanbieder Hushmail, en tegenwoordig CEO van Just1Key, denkt dat zijn bedrijf dit probleem kan oplossen.

De dienst stelt gebruikers in staat om wachtwoorden op een centrale server te plaatsen, om via een pass phrase hier toegang tot te krijgen. "Het internet is gebouwd rondom gemak, en om aan een computer gebonden te zijn is een beperking" zegt Crimson. Voor 2,50 dollar per maand zijn je wachtwoorden veiliger dan op een stuk papier, althans, dat beweert de oprichter van Just1Key.

De informatie op de server wordt, net als bij Hushmail, met een 2048-bits sleutel versleuteld. Encryptie expert en bedenker van PGP Philip Zimmerman ziet echter graag eerst de broncode van de site voordat hij zou overstappen. (Wired)

Reacties (22)
01-09-2005, 13:17 door Anoniem
01-09-2005, 13:19 door Anoniem
ja, en als ze inbreken of een rechter bevel geeft tot het leveren van al die
info ... (ik denk dat er een subsidie van de u.s bij zit ;-)
01-09-2005, 13:21 door Anoniem
Ach, er is altijd nog tinfoil hat linux :-)
01-09-2005, 13:21 door Anoniem
Doet me denken aan het passport van MS... ;)
Ben dr absoluut geen voorstander van om al m'n wachtwoorden
door een ander te laten beheren. Bovendien blijft het een
publiekelijk toegankelijke server. 1 hack op die server en
iemand kan daar het verkeer vrolijk gaan zitten monitoren.
Die dikke encryptie vind pas op de server zelf plaats, als
iemand tussen het encrypten en de binnenkomende data een
prog plaatst hoeft ie alleen maar te vangen en te wachten...
mij niet gezien, voorlopig vertrouw ik gewoon op m'n
hersentjes :)
01-09-2005, 14:08 door awesselius
Encryptie expert en bedenker van PGP Philip Zimmerman
ziet echter graag eerst de broncode van de site voordat hij
zou overstappen.

Tja, en dan is het nog maar de vraag of de getoonde broncode
inderdaad van toepassing is op de site. Je kunt makkelijk
een andere code tonen dan je in werkelijkheid gebruikt.

Ik ben het niet zo'n voorstander van centraal opslaan op een
server van een 3e partij.

Zo moeilijk is het niet om wachtwoorden te onthouden, mits
je regelmaat er in houd en niet bijv. 3 maanden tussen het
aanmelden laat. Want kennelijk doen die accounts er niet
zodanig toe dat je ze moet onthouden als je na 3 maanden pas
weer inlogt.

Wachtwoorden van 8+ characters zijn nog steeds best te doen
als je ze repeteerd. Maar dat is met alles wat je moet
onthouden.

- Unomi -
01-09-2005, 14:14 door Anoniem
Ook wij hebben last van het feit dat wachtwoorden, licentie
codes, serienummers slecht beveiligd of slecht toegankelijk
zijn.

Wat voor oplossingen zijn hiervoor in de aanbieding?
Ik ben bekend met digitale kluizen maar heb er nog geen een
gevonden die multiuser is.

Op dit moment willen we alles in een ge-encrypte database
stoppen zodat er query's op de data kunnen worden
uitgevoerd. Maar een kant en klaar product zou beter zijn.

De internet kluizen zijn geen oplossing het moet namelijk
ook toegankelijk zijn zonder internet. En met de
bovenstaande reacties ben ik het ook eens.

Dus als iemand een goede oplossing heeft hoor ik het graag.

Alwin
01-09-2005, 14:17 door Anoniem
"After typing their pass phrase into a browser-based Java
application that decrypts the data, they can then cut and
paste the proper user name and password from a list of
accounts."

Hmm... niet echt optimaal om meteen de hele lijst op je
scherm te hebben...

Dit is eigenlijk alleen handig om backup-redenen. Anders kan
je het net zo goed op je eigen PC bewaren, want je
passphrase invullen op een PC in het internetcafe is ook
niet echt een goed idee.
01-09-2005, 14:23 door Anoniem
waarom betalen als je zoiets ook zelf kan doen? (met bijv
PAM), ipv een wachtwoord op je eigen computer inloggen met
een passphrase (meer entropie dan normaal wachtwoord) en die
vervolgens je verschillende keystores laten beheren.
01-09-2005, 15:00 door Anoniem
"...bedenker van PGP Philip Zimmerman ziet echter graag eerst de
broncode van de site.."

Is PGP dan wel Open Source? Kan ik zomaar PGP vertrouwen?
01-09-2005, 15:11 door Mr T
Ik gebruik : http://passwordsafe.sourceforge.net/
Ik ken geen enkel van mijn wachtwoorden en ze zijn allemaal
van het formaat:
~MNBo6!>%>psf:o|
waar mogelijk natuurlijk.
01-09-2005, 15:14 door Anoniem
Je paswoorden in een .txt bestand met een vage naam eraan
zetten in een map met meerdere txt-bestanden samen met MRU
Blaster biedt ruim voldoende bescherming.

http://www.javacoolsoftware.com/mrublaster.html
01-09-2005, 16:00 door Anoniem
KeePass is ook wel een leuk alternatief:
http://keepass.sourceforge.net/

Je kan daar ook een key-disk gebruiken, dus bijvoorbeeld je
password database unlocken met een usb stick :-)
01-09-2005, 16:30 door Anoniem
Nee joh. Gewoon allemaal aan de RSA SecurID: http://www.rsasecurity.com/
01-09-2005, 17:57 door Anoniem
Leuk initiateif,

End to all Phising scams, they now hack the planet!

Ik verleen deze service geheel gratis! echter alleen voor: wachtwoorden,
pincode's, rekeningnummers, sofinummers etc.

-de BrulBaviaan-
01-09-2005, 19:10 door Anoniem
Door Anoniem
Je paswoorden in een .txt bestand met een vage naam eraan
zetten in een map met meerdere txt-bestanden samen met MRU
Blaster biedt ruim voldoende bescherming.

http://www.javacoolsoftware.com/mrublaster.html

Nog steeds niet bij mensen doorgedrongen; 'security by
obscurity' werkt niet, de praktijk heeft dit uitgewezen.

Op het campus netwerk waar ik nu op zit, vond ik laatst op
een share een file met paswoorden (zelfs met de host naam
erbij). Natuurlijk sysadmin ge-emaild, maar het is
natuurlijk van de gekke.

Trouwens wat doe jij eigenlijk op security.nl als je dit
soort tips geeft; lees je de artikelen wel?
01-09-2005, 20:26 door Anoniem
inderdaad zorg er dan op zijn minst voor dat je zo'n bestand
encrypt. Maar dan zit je eigenlijk handmatig een keystore
bij te houden, kun je het net zo goed meteen goed doen.
02-09-2005, 08:38 door Anoniem
Helaas is RSA SecureID niet compatible met cisco apperatuur
en wat exotische OSjes.
02-09-2005, 11:02 door Anoniem
Wat is jullie ervaring met het israelische product:
http://www.privateark.com/ ?
02-09-2005, 11:05 door Anoniem
kan zoiets niet met gpg ofzo?
02-09-2005, 20:37 door rob
Inderdaad je kunt net zogoed een lokale app hiervoor
gebruiken, even veilig. Maar dat werkt niet zo goed als je
ook op andere locaties bij je wachtwoorden wilt kunnen komen.

Ik denk dat de toepassing alleen voor een select aantal
mensen interessant in de oren zal klinken. Maarja dan komt
binnenkort een ander met een gratis aanbod en dan hou je
niet veel meer over.

Zelf gebruik ik Strip
(http://www.zetetic.net/solutions/strip/) op m'n PalmOS PDA.
Deze gebruikt 256-bit AES encryptie. Nee dat is niet minder
veilig dan de 2048 bit van zimmermann want die gebruikt
asymetrische encryptie, en dat type crypto heeft veel groter
keyspace nodig. Het security.nl artikel vermeld alleen dat
het 2048 bits encryptie is, maar niet wat voor encryptie,
zoals klakkeloos overgenomen van wired. Maar als je de PDF
erbij pakt van de hush engine zie je dat je keuze hebt uit
alle bekende algorithmen. De default voor public key
encryptie is Elgamal, 2048 bit.

Maargoed, ik denk dat het beter is dat iemand met een
goedkoop zak-appaatje komt die je wachtwoorden beheerd met
een goede encryptie.. kun je ook je pincodes enzo instoppen..
03-09-2005, 10:53 door Anoniem
als iemand het aantal bits als (enige) 'graad van goedheid'
gebruikt weet je toch meteen al dat ze zelf al geen kaas an
het onderwerp hebben gegeten
05-09-2005, 06:23 door Anoniem
Door Anoniem
Door Anoniem
Je paswoorden in een .txt bestand met een vage naam eraan
zetten in een map met meerdere txt-bestanden samen met MRU
Blaster biedt ruim voldoende bescherming.

http://www.javacoolsoftware.com/mrublaster.html

Nog steeds niet bij mensen doorgedrongen; 'security by
obscurity' werkt niet, de praktijk heeft dit uitgewezen.

Op het campus netwerk waar ik nu op zit, vond ik laatst op
een share een file met paswoorden (zelfs met de host naam
erbij). Natuurlijk sysadmin ge-emaild, maar het is
natuurlijk van de gekke.

Trouwens wat doe jij eigenlijk op security.nl als je dit
soort tips geeft; lees je de artikelen wel?

Alsof hier allemaal slimme security mensen reageren, doorsnee is
category pukkel jeugd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.