"Wachtwoorden veiliger op papier dan op PC"
Het is veiliger om wachtwoorden op papier te bewaren dan op een computer, dat zegt beveiligingsexpert Gunter Ollmann. In het verleden werd vaak gewaarschuwd om wachtwoorden juist niet op te schrijven, maar steeds meer kenners komen daar op terug. In 2007 was het Bruce Schneier die liet weten dat het opschrijven juist verstandig is. Een advies dat vorig jaar nog door Roger Thompson van anti-virusbedrijf AVG werd herhaald.
Volgens Ollmann hebben gebruikers zowel op werk als thuis tientallen wachtwoorden die ze moeten onthouden. "Voordat je het weet zit je tot over je oren in de wachtwoorden." Nu zijn er wel allerlei tools om wachtwoorden te bewaren en bieden de meeste browsers dit standaard aan. "Het probleem is dat cybercriminelen betere tools hebben", merkt Ollmann op. Bijna alle malware beschikt over de mogelijkheid om opgeslagen en ingetypte wachtwoorden te kapen.
Papier
Daarom is het beter om een wachtwoord op te schrijven, aangezien alles wat op de computer staat door malware zal worden gestolen. "Na drie maanden heeft je browser al meer dan vijftig inloggegevens opgeslagen. Binnen een paar minuten na infectie zijn al die gegevens gekopieerd en gestolen", zegt de beveiliger. De malware hoeft verder niets te doen, aangezien de browser alles netjes bijhoudt. Een virusscanner die een dag later wordt bijgewerkt zou de malware mogelijk herkennen, maar dan is het al te laat. Malware is er dan ook op gebouwd om zo snel als mogelijk inloggegevens te stelen.
Recyclen
De kans op een geïnfecteerde computer is veel groter dan de kans op een gestolen auto, inbraak of blikseminslag. "Daarom wordt het tijd om het 'schrijf nooit een wachtwoord op' idioom aan te passen." Van de zeven punten die gebruikers niet moeten doen als het aankomt op wachtwoorden, staat het opschrijven op de zevende plek. "In bedrijfsomgevingen is er een grotere kans dat de schoonmakers de wachtwoorden zien, dus post-it notes zijn niet aan te bevelen, maar het risico van een insider is nog altijd kleiner dan dat je kantoorcomputer wordt gehackt."
Het meest onverstandige is het gebruik van dezelfde wachtwoorden op meerdere websites, gevolgd door het bewaren van wachtwoorden op de computer. Wat betreft het hergebruik van wachtwoorden, is het volgens Bruce Schneier verstandiger om voor onbelangrijke websites juist wel dezelfde te gebruiken.
Een slimme aanvaller zorgt dat hij je wachtwoord snel verandert, zodat je dat zelf niet meer kan doen. En als je wachtwoord dan op papier staat, dan weet je zeker dat je geen typefout hebt gemaakt bij het intikken ervan.
Tjeemig, die gast zou eens een reality check moeten ondergaan.
Het probleem bevindt zich tussen de stoel en het toetsenbord en zolang deze nauwelijks beseft wat deze aan het doen is kun je beveiligen wat je wilt als fabrikant.
Gebruikers zijn over het algemeen simpel en lui en het maakt geen zak uit of hun wachtwoorden op papier staan of in één of zwaar versleuteld databestand. Indien een webbrowser vraagt om het wachtwoord op te slaan klikt meer dan 90% toch echt op 'JA'. Dus malware heeft alsnog een makkie.
Misschien eens gaan inzetten op andere authenticatie methoden waarbij wachtwoorden niet meer nodig zijn?
Wel daarna even met GPG versleuteld. :)
Voor onbelangrijke dingen laat ik FF het wel onthouden, maar voor mijn belangrijkere dingen gebruik ik net als Anoniem KeePass alleen heb ik de KeePass ook nog in een beveiligt TrueCrypt bestand staan :)
Maar het beste is natuurlijk als je je wachtwoord onthoud :P
Lekker verhaal. Hoe kan je nou veilig met wachtwoorden werken als je systeem in de eerste plaats al helemaal lek gehackt of geïnfecteerd is.
Verder is het ook logisch dat een kluis/bak die niet met internet verbonden is een risico minder kent dan een die dat wel is.
Tot slot. Wie gaat er nou vertellen dat het geen probleem is om het zelfde wachtwoord te gebruiken voor "onbelangrijke" zaken als het grootste deel van de wereld niet eens wat wel of niet belangrijk is. Is dit een soort anti awareness actie?
Ik heb de bronnen nog niet gelezen, maar dit verhaal op security.nl is zo lek als een mandje. Ik hoop niet dat mensen dit serieus gaan zien als een "good practice".
a. het passwoord van het document is 'ingewikkeld'
b. zelfs als het met een progje gekraakt wordt, zien ze nog mijn eigenlijke wachtwoorden niet want in dat document zijn ze allemaal nog eens cryptisch omschreven
Kan niks anders zeggen.
Je kan in Fx toch ook een "master password" instellen? Ik verkeerde in de waan dat dit voldoende was om al die andere wachtwoorden te beschermen. Heb ik dit dan verkeerd begrepen? :-?
Kan niks anders zeggen.
Je kan in Fx toch ook een "master password" instellen? Ik verkeerde in de waan dat dit voldoende was om al die andere wachtwoorden te beschermen. Heb ik dit dan verkeerd begrepen? :-?
Je zou het kunnen brute-forcen...
Ik heb een paar virussen gezien die firefox wachtwoorden probeerden te stelen, maar die werkten alleen als er geen master password ingesteld was.
Als je een Master password instel, wordt je sqlite bestand geëncrypt met 3DES (tripple des)
Als je dit niet veilig genoeg vind, kan je naar bij tools -> options -> advanced -> security devices "Enable FIPS" aanzetten. Als een virus je master file dan probeert te brute forcen, doet hij dit waarschijnlijk alleen in 3DES (omdat FIPS standaard niet aanstaat) en zal het niet lukken ;)
Maar je moet natuurlijk wel een sterk master passwoord hebben...
edit: hier een handleiding van mozilla: http://support.mozilla.com/en-US/kb/Configuring+Firefox+for+FIPS+140-2
Stap 1 en 3 kan je overslaan denk ik
Als je een Master password instel, wordt je sqlite bestand geëncrypt met 3DES (tripple des)
Als je dit niet veilig genoeg vind, kan je naar bij tools -> options -> advanced -> security devices "Enable FIPS" aanzetten. Als een virus je master file dan probeert te brute forcen, doet hij dit waarschijnlijk alleen in 3DES (omdat FIPS standaard niet aanstaat) en zal het niet lukken ;)
Maar je moet natuurlijk wel een sterk master passwoord hebben...
edit: hier een handleiding van mozilla: http://support.mozilla.com/en-US/kb/Configuring+Firefox+for+FIPS+140-2
Stap 1 en 3 kan je overslaan denk ik
Bedankt voor de tips! Ik heb FIPS ingesteld. Wat mijn master password betreft: het zou sterker kunnen. Het gaat om 8 karakters, hoofdletters en kleine letters en ook cijfers. Geen punctuatie en dergelijke. Ik meen dat iemand me ooit gezegd heeft dat dit "redelijk sterk" is, maar misschien is dat intussen alweer achterhaald.
Prima tool en door een Keyfile apart op een usb stick te zetten is het bijna onmogelijk om de database te openen.
Voor deze mensen geldt dat een papiertje met wachtwoorden veiliger is.
3fT5#3gfGY644GhhgF68Hr4r6Gr4Hhre0oO
veel plezier.
Vreemde optie trouwens, kies FIPS of 3DES... Als je nu tussen AES of 3DES koos...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
