De gemiddelde woordenschat van een geboren Nederlander is ongeveer 10000 woorden en de receptieve woordenschat varieert van 45.000 tot 250.000 woorden dus die paar passwords onthoud ik wel.

echter ......

mocht je beroepsmatig veel passwords van bijv. klanten moeten onthouden dan is zo'n applicatie wel een uitkomst denk ik
(beter dan een spreadsheet met bedrijfsnamen, servers, login en passwords op je laptop die dan gestolen kan worden )

Ik heb verschillende van deze programma's gebruikt en was met KeePass redelijk tevreden. Toch gebruik ik dit niet meer omdat ik inderdaad ook zorgen heb over de punten die je opnoemt. Wachtwoorden voor redelijk onbelangrijke dingen zoals toegang tot verschillende fora enzo laat ik Firefox wel onthouden. Dit is wel de enige browser die ik hiermee vertrouw. In IE wachtwoorden laten onthouden lijkt me een slecht plan.

Voor de meest belangrijke zaken onthoud ik het meeste gewoon, alleen wachtwoorden die ik zelden gebruik staan in een simpel tekstbestandje die encrypted is met GPG (GNU Privacy Guard), dit bestand staat zelf ook op een encrypted virtuele schijf onder OpenBSD. De virtuele schijf is in dit verhaal hoogst waarschijnlijk overbodig. Maar zelfs dan staat hier bijvoorbeeld niet mijn wachtwoord voor telebankieren bij. Voordeel hiervan is ook dat je je favo texteditor kunt gebruiken. Dit is trouwens dus allemaal wel op een unix-achtig systeem.

Waarschijnlijk moet je met zo'n aanpak wel opletten dat er niet tijdelijk in een of ander buffer gegevens geschreven worden die dan voor iedereen te bekijken zijn. Ik moet bekennen dat ik geen expert ben, ik werk zelfs niet eens in de IT en ik ben ook benieuwd naar andere reacties die misschien (ook) voor Windows geschikt zijn.

Toch lijkt mij een paranoide aanpak het beste. Veiligheid en comfort zijn vaak tegenstrijdige belangen.

Houd er ook rekening mee dat op het moment dat je zo'n programma hebt geopend (dwz pasword ingegeven) alle informatie vrij beschikbaar is. Malware die een screenshot neemt bijv. weet alsnog al je gegevens te achterhalen. Al die programma's werken het beste als je ze niet gebruikt (uitgelogd bent).
Daarnaast zijn er programmaatjes die op een (beveiligde) USB-stick staan waar je wachtwoorden in op kunt slaan. Dat is vooral handig als je onderweg bent of op een andere PC dezelfde sites wilt bezoeken en inloggen. Echter hetzelfde afbreukrisico als hierboven geldt.

"Wachtwoorden voor redelijk onbelangrijke dingen zoals toegang tot verschillende fora enzo laat ik Firefox wel onthouden. Dit is wel de enige browser die ik hiermee vertrouw. In IE wachtwoorden laten onthouden lijkt me een slecht plan."

Kan je uitleggen wat het verschil is volgens jou ? Immers zijn deze wachtwoorden bij beide browsers (alsmede bij Chrome, Opera en dergelijke) zonder enig probleem met forensische tools te achterhalen (IEPassview, PasswordFox, ChromePass, OperaPassView). Ik zie niet in waarom je Firefox wel zou vertrouwen, en IE niet met je wachtwoorden.

"- Single point of failure "

Maak een backup

"- Oops ik ben mijn master password vergeten.. en nu? "

Als je zelfs dat niet kan onthouden, dan kan je dat toch opslaan op een veilige plek (i.e. een geldkistje of iets anders wat op slot zit).

- Password-opslag-applicatie word aangevreten door een virus, hardware defect en werkt ineens niet meer.. now what?

Indien je je passwords in een tekstbestand hebt, dan kan dit ook gebeuren. Het risico dat je passwords in handen van anderen vallen is bij een virus besmetting groter. Daarnaast - maak een backup.

- Buildin backdoor access (geeft vreemden in een klap toegang tot alle opgeslagen passwords in de database)

Je moet natuurlijk wel goed opletten dat je een tool gebruikt van een bedrijf wat te goeder trouw is, dan moet dit geen probleem zijn.

- Password database word gejat van je computer en daarbuiten ge-reverse engineerd

Indien je een goede tool gebruikt met bijv. AES-256, dan gaat dat niet zo gemakkelijk. Een tekstbestand met wachtwoorden is natuurlijk veel gevoeliger.

Je kunt je wachtwoorden offline opslaan, maar ook dan moet je uitkijken dat deze niet in verkeerde handen vallen (al is het risico natuurlijk kleiner wanneer mensen fysieke toegang moeten hebben om bij je info te komen).

Buildin backdoor access bij keepass?

Wijs aan! Waar staat die? Je hebt de source...

Ik heb inderdaad (denk zo'n 2 jaar geleden) met een dergelijk algemeen 'cracker' programma gezien dat ik met één muisklik de wachtwoorden uit IE kon achterhalen. Vandaar dat ik die wantrouw. Dat er ook legio programma's zijn voor de andere browsers was mij niet bekend en dat had ik eerlijk gezegd ook niet verwacht. (niet zo slim) Dus bedankt voor deze info. Hier ga ik zeker naar kijken.

KeepassX gaat in truecrypt: via linux zijn dus drie passwds nodig om de "container" met keepassX te openen.
redelijk safe imo.

IE6 gebruikt de Protected Storage API
Vanaf IE7 wordt er de Data Protection API gebruikt https://secure.wikimedia.org/wikipedia/en/wiki/Data_Protection_API
Is (o.a.) beveiligd door het account password.

Bij FF kan je een master password instellen (default is er geen master password).

Ik gebruik al een tijdje lastpass, en dat in combinatie met een yubikey. Heb je in ieder geval twee factor authenticatie.
Zie www.lastpass.com en yubico.com.
En nee, lastpass heeft jouw wachtwoorden niet. Die staan encrypted bij hun opgeslagen.

Ik gebruik al langere tijd Truecrypt: http://www.truecrypt.org/ ; is free open-source.
Creeert een 'encryped virtuele disk' in een file and mount dat als een echte disk (aparte drive letter).
TrueCrypt volumes kunnen met verschillende algoritmes versleutelen o.a. AES, Serpent, TwoFish en combinaties hiervan.
Ook 'geheime' onderdelen toevoegen in de container middels een 2e wachtwoord. Wachtwoorden kunnen ook hele zinnen zijn.

Gebruiksvriendelijk en zeer goed in mijn ogen; gebruik ik al jaren. Vroeger gebruikte ik ook PGP met een private en public key hiervoor, maar dat kom je nog maar weinig tegen tegenwoordig.

Succes ermee.

Gewoon op papier. Wordt je account gehacked, laptop gestolen, keylogger of wat dan ook, een electronische inbreker heeft geen toegang tot je boekje met wachtwoorden, een echte inbreker heeft er geen belangstelling voor.....

Nogmaals mijn stokpaardje, waarom staan er in godsnaam standaard sterretjes bij PW invoer ????????
Niemand kijkt over mijn schouder mee, ik kan het zelf niet lezen en kus dus voor iets leesbaars, en keyloggers kunnen het wel gewoon zien....

In een grotere zakelijke omgeving zou Evidian SSO een oplossing kunnen zijn.
Gebruikers kennen dan alleen hun eigen wachtwoord, en alle andere om toegang te hebben tot
andere systemen zijn aan de gebruiker onbekend. Zelfs eventueel voor de verschillende
systeembeheerders.
Evidian SSO is zelfs in staat om te herkennen dan een wachtwoord gewijzigd moet worden, en voert
die wijziging voor je uit.
Evidian SSO logt voor je in, of het nu een website betreft, een rdp sessie, telnet/ssh via putty etc. het
kan allemaal en alle gegevens zijn encrypted. Bij ons is het in gebruik, en het is een prima systeem,
zeker als er veel gebruikers zijn, en verschillende systemen of applicaties waarop ingelogd moet
worden. Groot voordeel, want iedereen hoeft alleen zijn eigen SSO wachtwoord te onthouden, en
SSO doet in alle gevallen de rest.

Ik gebruik ook laspass maar zonder de yubikey Voorlopig lijkt me alles veilig zoals je in hun faq kunt lezen. Maar er is eigenlijk nergens een bewijs. Het is dus een kwestie van vertrouwen . Anderzijds baart lastpass mij de minste zorgen maar wat met de sites waar je op inlogt? Staan de wachtwoorden bv op Security.Nl sterk-encrypted?

(lees : http://gawker.com/5712615/commenting-accounts-compromised-++-change-your-passwords : die database is al langs torrent te downloaden)

Ik gebruik gewoon een algoritme die gebaseerd op waar ik op wil in loggen een paswoord genereert dat redelijk uniek is voor elke bron. Natuurlijk is het algoritme redelijk simpel want ik moet hem in me hoofd uitvoeren. Voordeel, ik hoef nergens me wachtwoorden op te slaan, ze zijn verschillend per website/bron, het maakt geen gebruik van woorden in een woordenboek. Uiteindelijk hoef ik dus maar 1 "master" password/algoritme te onthouden werkt nu al jaren perfect.

Het fenomeen dumpster-diving is ontstaan omdat er net zoveel mensen zijn die hun passwoorden op papiertjes schrijven, deze verslijten, worden weggesmeten en hupla, passwoord en username zijn zo in iemand's handen gevallen. Natuurlijk is het in vele gevallen onwaarschijnlijk dat dit je zal overkomen, but better safe then sorry.

Een elektronische inbreker zoals jij het noemt geraakt in de meeste gevallen dan ook niet zomaar aan je passwoorden zelfs al heeft ie de hele boel mee, standaard praktijken zoals passwoord files beschermen met een extra passwoord, liefst dan nog met extra hashfile op een usb stick als 2e barriere en het 'versterren' van passwoorden om malware met screenshot mogelijkheden tegen te gaan.


Keyloggers kunnen idd gewoon zien wat je typt, maar de veel mensen werken in kantoor waar ook bezoekers rond kunnen lopen, een passwoord over iemand zijn schouder afkijken is snel gebeurd, en de meeste mensen hebben niet zo'n probleem met even 15 seconden opletten wat je typt wanneer je dan al eens een passwoord moet ingeven. Zoals hierboven aangegeven zijn er veel passwoord-storage oplossingen die de passwoorden niet eens tonen maar je de optie geven om het passwoord te kopieren. Dit gaat malware met screenshot opties tegen.


Overigens maakte ik voor mijn vorige baan gebruik van keypass op mijn usb stick voor als je (onbelangrijke) passwoorden nodig hebt bij clienten, passwoorden voor servers en root toegang stonden overigens alleen op een van onze servers om verlies/diefstal nog een stapje onwaarschijnlijker te maken, kan helaas op dit moment niet op de naam van de applicatie komen.

Het bewaren van wachtwoorden, simpel, noteer het in een .txt bestand met WINRAR encrypt je dat met AES128.
Zorg alleen ervoor dat je password op het encrypted bestand lang genoeg is.

Voordeel, rar is op alle platvormen te gebruiken, Windows, Linux, Solaris, etc ,etc. Je zit niet vast een een programmaatje voor windowd/linux.

Wat wil je nog meer? Eenvoudiger en simpeler kan niet.

De bedoeling van een wachtwoord is dat alleen *jij* toegang krijgt. Niet je computer maar jij zelf, in persoon. Het wachtwoord moet dus in je hoofd zitten en niet in je computer. Te lastig? Je grootste vijand is: gemakzucht.

Het wachtwoord ? Ik heb geen 1 wachtwoord, maar overal een andere voor, die ook nog moeten wisselen. En ook nog in de vorm van leestekens , cijfers etc. Kan ik echt niet onthouden. Alleen 123456 kan ik ontwouden. Of was het 12345.

Er zijn ook mensen die honderden passwoorden moeten dagelijks/wekelijks moeten gebruiken of toch er zeer snel bij kunnen. Ik wil je wel eens zien proberen 100 15-character passwoorden zo uit het hoofd zien te leren zonder er tijd in te steken.

En als je denkt dat ik overdrijf met 100 passwoorden, 20+ servers van het bedrijf, god weet hoeveel servers bij clienten, waarvoor je telkens 2 passwoorden moet onthouden (persoonlijke user en root), een 20 tal leveranciers waar we vaak opzoekingen doen voor offertes e.d. te kunnen opmaken, mijn eigen 3 servers, mijn email, etc etc ...