Security Professionals - ipfw add deny all from eindgebruikers to any

Password opslagprogramma - handig of toch niet?

10-12-2010, 08:09 door Dev_Null, 21 reacties
Door de toenemende complexiteit van computer omgevingen (of gewoon uit gemakzucht van de eindgebruiker) .. is er een markt ontstaan van paswoord-beheer programma's.
Deze programma's bieden de mogelijkheid alle (hopelijk) verschillende passworden van 1 computer gebruiker, CENTRAAL op te slaan in een bijbehorende database. Deze database word dan versleuted m.b.v. crytpografische algoritmes (zoals AES, Twofish). Hierdoor hoeft een gebruiker slechts 1 master password te onthouden om toegang te krijgen tot zijn/haar andere passworden die liggen opgeslagen in de gecryptografeerde database.

Voorbeeld van een password-opslag-programma is:
- KeePass................http://keepass.info/
- Password vault.... http://www.lavasoftware.com/PasswordVault_-_Password_and_Textclip_Manager_For_Windows,_MacOS_and_Linux.html

Voordelen:
- Lekker makkelijk, een password onthouden voor de rest

Nadelen:
- Single point of failure
- Oops ik ben mijn master password vergeten.. en nu?
- Password-opslag-applicatie word aangevreten door een virus, hardware defect en werkt ineens niet meer.. now what?
- Buildin backdoor access (geeft vreemden in een klap toegang tot alle opgeslagen passwords in de database)
- Password database word gejat van je computer en daarbuiten ge-reverse engineerd


Mijn vraag aan de security experts alhier:
- Hoe kijken jullie tegen Password opslag programma's aan?
- Is het toch beter om je passwords NIET op te slaan in zo'n applicatie
Reacties (21)
10-12-2010, 08:20 door Syzygy
De gemiddelde woordenschat van een geboren Nederlander is ongeveer 10000 woorden en de receptieve woordenschat varieert van 45.000 tot 250.000 woorden dus die paar passwords onthoud ik wel.

echter ......

mocht je beroepsmatig veel passwords van bijv. klanten moeten onthouden dan is zo'n applicatie wel een uitkomst denk ik
(beter dan een spreadsheet met bedrijfsnamen, servers, login en passwords op je laptop die dan gestolen kan worden )
10-12-2010, 08:42 door custoditus
Ik heb verschillende van deze programma's gebruikt en was met KeePass redelijk tevreden. Toch gebruik ik dit niet meer omdat ik inderdaad ook zorgen heb over de punten die je opnoemt. Wachtwoorden voor redelijk onbelangrijke dingen zoals toegang tot verschillende fora enzo laat ik Firefox wel onthouden. Dit is wel de enige browser die ik hiermee vertrouw. In IE wachtwoorden laten onthouden lijkt me een slecht plan.

Voor de meest belangrijke zaken onthoud ik het meeste gewoon, alleen wachtwoorden die ik zelden gebruik staan in een simpel tekstbestandje die encrypted is met GPG (GNU Privacy Guard), dit bestand staat zelf ook op een encrypted virtuele schijf onder OpenBSD. De virtuele schijf is in dit verhaal hoogst waarschijnlijk overbodig. Maar zelfs dan staat hier bijvoorbeeld niet mijn wachtwoord voor telebankieren bij. Voordeel hiervan is ook dat je je favo texteditor kunt gebruiken. Dit is trouwens dus allemaal wel op een unix-achtig systeem.

Waarschijnlijk moet je met zo'n aanpak wel opletten dat er niet tijdelijk in een of ander buffer gegevens geschreven worden die dan voor iedereen te bekijken zijn. Ik moet bekennen dat ik geen expert ben, ik werk zelfs niet eens in de IT en ik ben ook benieuwd naar andere reacties die misschien (ook) voor Windows geschikt zijn.

Toch lijkt mij een paranoide aanpak het beste. Veiligheid en comfort zijn vaak tegenstrijdige belangen.
10-12-2010, 13:00 door cryptomannetje
Houd er ook rekening mee dat op het moment dat je zo'n programma hebt geopend (dwz pasword ingegeven) alle informatie vrij beschikbaar is. Malware die een screenshot neemt bijv. weet alsnog al je gegevens te achterhalen. Al die programma's werken het beste als je ze niet gebruikt (uitgelogd bent).
Daarnaast zijn er programmaatjes die op een (beveiligde) USB-stick staan waar je wachtwoorden in op kunt slaan. Dat is vooral handig als je onderweg bent of op een andere PC dezelfde sites wilt bezoeken en inloggen. Echter hetzelfde afbreukrisico als hierboven geldt.
10-12-2010, 13:51 door Anoniem
"Wachtwoorden voor redelijk onbelangrijke dingen zoals toegang tot verschillende fora enzo laat ik Firefox wel onthouden. Dit is wel de enige browser die ik hiermee vertrouw. In IE wachtwoorden laten onthouden lijkt me een slecht plan."

Kan je uitleggen wat het verschil is volgens jou ? Immers zijn deze wachtwoorden bij beide browsers (alsmede bij Chrome, Opera en dergelijke) zonder enig probleem met forensische tools te achterhalen (IEPassview, PasswordFox, ChromePass, OperaPassView). Ik zie niet in waarom je Firefox wel zou vertrouwen, en IE niet met je wachtwoorden.
10-12-2010, 13:56 door Anoniem
"- Single point of failure "

Maak een backup

"- Oops ik ben mijn master password vergeten.. en nu? "

Als je zelfs dat niet kan onthouden, dan kan je dat toch opslaan op een veilige plek (i.e. een geldkistje of iets anders wat op slot zit).

- Password-opslag-applicatie word aangevreten door een virus, hardware defect en werkt ineens niet meer.. now what?

Indien je je passwords in een tekstbestand hebt, dan kan dit ook gebeuren. Het risico dat je passwords in handen van anderen vallen is bij een virus besmetting groter. Daarnaast - maak een backup.

- Buildin backdoor access (geeft vreemden in een klap toegang tot alle opgeslagen passwords in de database)

Je moet natuurlijk wel goed opletten dat je een tool gebruikt van een bedrijf wat te goeder trouw is, dan moet dit geen probleem zijn.

- Password database word gejat van je computer en daarbuiten ge-reverse engineerd

Indien je een goede tool gebruikt met bijv. AES-256, dan gaat dat niet zo gemakkelijk. Een tekstbestand met wachtwoorden is natuurlijk veel gevoeliger.

Je kunt je wachtwoorden offline opslaan, maar ook dan moet je uitkijken dat deze niet in verkeerde handen vallen (al is het risico natuurlijk kleiner wanneer mensen fysieke toegang moeten hebben om bij je info te komen).
10-12-2010, 14:04 door Anoniem
Buildin backdoor access bij keepass?
10-12-2010, 16:29 door ej__
Door Anoniem: Buildin backdoor access bij keepass?

Wijs aan! Waar staat die? Je hebt de source...
10-12-2010, 17:02 door custoditus
Door Anoniem: Kan je uitleggen wat het verschil is volgens jou ? Immers zijn deze wachtwoorden bij beide browsers (alsmede bij Chrome, Opera en dergelijke) zonder enig probleem met forensische tools te achterhalen (IEPassview, PasswordFox, ChromePass, OperaPassView). Ik zie niet in waarom je Firefox wel zou vertrouwen, en IE niet met je wachtwoorden.

Ik heb inderdaad (denk zo'n 2 jaar geleden) met een dergelijk algemeen 'cracker' programma gezien dat ik met één muisklik de wachtwoorden uit IE kon achterhalen. Vandaar dat ik die wantrouw. Dat er ook legio programma's zijn voor de andere browsers was mij niet bekend en dat had ik eerlijk gezegd ook niet verwacht. (niet zo slim) Dus bedankt voor deze info. Hier ga ik zeker naar kijken.
11-12-2010, 21:38 door Anoniem
KeepassX gaat in truecrypt: via linux zijn dus drie passwds nodig om de "container" met keepassX te openen.
redelijk safe imo.
11-12-2010, 22:57 door Didier Stevens
IE6 gebruikt de Protected Storage API
Vanaf IE7 wordt er de Data Protection API gebruikt https://secure.wikimedia.org/wikipedia/en/wiki/Data_Protection_API
Is (o.a.) beveiligd door het account password.

Bij FF kan je een master password instellen (default is er geen master password).
12-12-2010, 12:23 door Anoniem
Ik gebruik al een tijdje lastpass, en dat in combinatie met een yubikey. Heb je in ieder geval twee factor authenticatie.
Zie www.lastpass.com en yubico.com.
En nee, lastpass heeft jouw wachtwoorden niet. Die staan encrypted bij hun opgeslagen.
12-12-2010, 20:10 door cowboysec
Ik gebruik al langere tijd Truecrypt: http://www.truecrypt.org/ ; is free open-source.
Creeert een 'encryped virtuele disk' in een file and mount dat als een echte disk (aparte drive letter).
TrueCrypt volumes kunnen met verschillende algoritmes versleutelen o.a. AES, Serpent, TwoFish en combinaties hiervan.
Ook 'geheime' onderdelen toevoegen in de container middels een 2e wachtwoord. Wachtwoorden kunnen ook hele zinnen zijn.

Gebruiksvriendelijk en zeer goed in mijn ogen; gebruik ik al jaren. Vroeger gebruikte ik ook PGP met een private en public key hiervoor, maar dat kom je nog maar weinig tegen tegenwoordig.

Succes ermee.
13-12-2010, 09:41 door Anoniem
Gewoon op papier. Wordt je account gehacked, laptop gestolen, keylogger of wat dan ook, een electronische inbreker heeft geen toegang tot je boekje met wachtwoorden, een echte inbreker heeft er geen belangstelling voor.....

Nogmaals mijn stokpaardje, waarom staan er in godsnaam standaard sterretjes bij PW invoer ????????
Niemand kijkt over mijn schouder mee, ik kan het zelf niet lezen en kus dus voor iets leesbaars, en keyloggers kunnen het wel gewoon zien....
13-12-2010, 09:48 door Anoniem
In een grotere zakelijke omgeving zou Evidian SSO een oplossing kunnen zijn.
Gebruikers kennen dan alleen hun eigen wachtwoord, en alle andere om toegang te hebben tot
andere systemen zijn aan de gebruiker onbekend. Zelfs eventueel voor de verschillende
systeembeheerders.
Evidian SSO is zelfs in staat om te herkennen dan een wachtwoord gewijzigd moet worden, en voert
die wijziging voor je uit.
Evidian SSO logt voor je in, of het nu een website betreft, een rdp sessie, telnet/ssh via putty etc. het
kan allemaal en alle gegevens zijn encrypted. Bij ons is het in gebruik, en het is een prima systeem,
zeker als er veel gebruikers zijn, en verschillende systemen of applicaties waarop ingelogd moet
worden. Groot voordeel, want iedereen hoeft alleen zijn eigen SSO wachtwoord te onthouden, en
SSO doet in alle gevallen de rest.
13-12-2010, 10:59 door fluffyb53
Door Anoniem: Ik gebruik al een tijdje lastpass, en dat in combinatie met een yubikey. Heb je in ieder geval twee factor authenticatie.
Zie www.lastpass.com en yubico.com.
En nee, lastpass heeft jouw wachtwoorden niet. Die staan encrypted bij hun opgeslagen.

Ik gebruik ook laspass maar zonder de yubikey Voorlopig lijkt me alles veilig zoals je in hun faq kunt lezen. Maar er is eigenlijk nergens een bewijs. Het is dus een kwestie van vertrouwen . Anderzijds baart lastpass mij de minste zorgen maar wat met de sites waar je op inlogt? Staan de wachtwoorden bv op Security.Nl sterk-encrypted?

(lees : http://gawker.com/5712615/commenting-accounts-compromised-++-change-your-passwords : die database is al langs torrent te downloaden)
13-12-2010, 14:43 door Anoniem
Ik gebruik gewoon een algoritme die gebaseerd op waar ik op wil in loggen een paswoord genereert dat redelijk uniek is voor elke bron. Natuurlijk is het algoritme redelijk simpel want ik moet hem in me hoofd uitvoeren. Voordeel, ik hoef nergens me wachtwoorden op te slaan, ze zijn verschillend per website/bron, het maakt geen gebruik van woorden in een woordenboek. Uiteindelijk hoef ik dus maar 1 "master" password/algoritme te onthouden werkt nu al jaren perfect.
13-12-2010, 17:14 door DarkViewOfTheWorld
Door Anoniem: Gewoon op papier. Wordt je account gehacked, laptop gestolen, keylogger of wat dan ook, een electronische inbreker heeft geen toegang tot je boekje met wachtwoorden, een echte inbreker heeft er geen belangstelling voor.....

Het fenomeen dumpster-diving is ontstaan omdat er net zoveel mensen zijn die hun passwoorden op papiertjes schrijven, deze verslijten, worden weggesmeten en hupla, passwoord en username zijn zo in iemand's handen gevallen. Natuurlijk is het in vele gevallen onwaarschijnlijk dat dit je zal overkomen, but better safe then sorry.

Een elektronische inbreker zoals jij het noemt geraakt in de meeste gevallen dan ook niet zomaar aan je passwoorden zelfs al heeft ie de hele boel mee, standaard praktijken zoals passwoord files beschermen met een extra passwoord, liefst dan nog met extra hashfile op een usb stick als 2e barriere en het 'versterren' van passwoorden om malware met screenshot mogelijkheden tegen te gaan.


Nogmaals mijn stokpaardje, waarom staan er in godsnaam standaard sterretjes bij PW invoer ????????
Niemand kijkt over mijn schouder mee, ik kan het zelf niet lezen en kus dus voor iets leesbaars, en keyloggers kunnen het wel gewoon zien....

Keyloggers kunnen idd gewoon zien wat je typt, maar de veel mensen werken in kantoor waar ook bezoekers rond kunnen lopen, een passwoord over iemand zijn schouder afkijken is snel gebeurd, en de meeste mensen hebben niet zo'n probleem met even 15 seconden opletten wat je typt wanneer je dan al eens een passwoord moet ingeven. Zoals hierboven aangegeven zijn er veel passwoord-storage oplossingen die de passwoorden niet eens tonen maar je de optie geven om het passwoord te kopieren. Dit gaat malware met screenshot opties tegen.


Overigens maakte ik voor mijn vorige baan gebruik van keypass op mijn usb stick voor als je (onbelangrijke) passwoorden nodig hebt bij clienten, passwoorden voor servers en root toegang stonden overigens alleen op een van onze servers om verlies/diefstal nog een stapje onwaarschijnlijker te maken, kan helaas op dit moment niet op de naam van de applicatie komen.
14-12-2010, 08:20 door Sokolum
Het bewaren van wachtwoorden, simpel, noteer het in een .txt bestand met WINRAR encrypt je dat met AES128.
Zorg alleen ervoor dat je password op het encrypted bestand lang genoeg is.

Voordeel, rar is op alle platvormen te gebruiken, Windows, Linux, Solaris, etc ,etc. Je zit niet vast een een programmaatje voor windowd/linux.

Wat wil je nog meer? Eenvoudiger en simpeler kan niet.
14-12-2010, 09:59 door Anoniem
De bedoeling van een wachtwoord is dat alleen *jij* toegang krijgt. Niet je computer maar jij zelf, in persoon. Het wachtwoord moet dus in je hoofd zitten en niet in je computer. Te lastig? Je grootste vijand is: gemakzucht.
14-12-2010, 12:43 door Anoniem
Het wachtwoord ? Ik heb geen 1 wachtwoord, maar overal een andere voor, die ook nog moeten wisselen. En ook nog in de vorm van leestekens , cijfers etc. Kan ik echt niet onthouden. Alleen 123456 kan ik ontwouden. Of was het 12345.
14-12-2010, 16:56 door DarkViewOfTheWorld
Door Anoniem: De bedoeling van een wachtwoord is dat alleen *jij* toegang krijgt. Niet je computer maar jij zelf, in persoon. Het wachtwoord moet dus in je hoofd zitten en niet in je computer. Te lastig? Je grootste vijand is: gemakzucht.

Er zijn ook mensen die honderden passwoorden moeten dagelijks/wekelijks moeten gebruiken of toch er zeer snel bij kunnen. Ik wil je wel eens zien proberen 100 15-character passwoorden zo uit het hoofd zien te leren zonder er tijd in te steken.

En als je denkt dat ik overdrijf met 100 passwoorden, 20+ servers van het bedrijf, god weet hoeveel servers bij clienten, waarvoor je telkens 2 passwoorden moet onthouden (persoonlijke user en root), een 20 tal leveranciers waar we vaak opzoekingen doen voor offertes e.d. te kunnen opmaken, mijn eigen 3 servers, mijn email, etc etc ...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.