Computerbeveiliging - Hoe je bad guys buiten de deur houdt

[Verwijderd]

02-12-2012, 17:56 door [Account Verwijderd], 12 reacties
[Verwijderd]
Reacties (12)
02-12-2012, 20:48 door Anoniem
Online brengt altijd meer risico met zich mee als offline.
Daarom krijgt mijn voorkeur "KeePass" (opensource)

Wellicht zal je nog veel meer van dit soort tools hebben maar wat de 1 beter maakt als
de andere durf ik zo niet te zeggen.

Groet.
03-12-2012, 10:54 door choi
Door zandubar: dag,

sinds kort gebruik ik LastPass. Ik ben over het gebruik tevreden. Maar ik vroeg me af wat de opvattingen hier zijn over deze kluis. Hoe veilig is het om al je passwords online te hebben staan? Is LastPass bijvoorbeeld een gerenommeerd bedrijf, of staat het bekend om zijn veiligheidsmaatregelen?

Groeten, zandubar

Ook hier zal je een afweging moeten maken tussen gebruiksgemak en veiligheid. Online opslag brengt inderdaad extra risico's met zich mee maar daar staat tegenover dat Lastpass de gegevens lokaal versleuteld (waardoor je ook offline toegang hebt tot je data als de internetverbinding weg valt) en dus alleen versleutelde data verzend en op hun servers heeft staan: https://lastpass.com/whylastpass_technology.php

In principe kan je dus alleen met je wachtwoord toegang tot je data krijgen. Het is dus zaak om deze toegang maximaal te beveiligen door twee factor authenticatie: https://lastpass.com/features_premium.php

De puristen zullen zeggen dat je noooooit data online moet opslaan (van die types die zelf hun mail server draaien) maar in de echte wereld zullen de meeste mensen uiteindelijk de keuze tussen gebruiksgemak en veiligheid moeten maken.

Zelf gebruik ik Lastpass ook (zonder twee factor authenticatie maar dat zal snel veranderen) maar ik hanteer wel enkele regels voor mezelf: wachtwoorden van sites waarmee ik financiële zaken regel en mijn primaire e-mail adres staan niet onder Lastpass. Wachtwoorden die wel onder Lastpass staan zijn uniek en minimaal 16 tekens lang. Backups maak ik regelmatig door de data van Lastpass te importeren in Keepass portable op een USB stick (je kan Lastpass ok op een stick zetten).

Hoe goed de beveiliging van lastpas is zal moeten blijken. Steve Gibson (van grc.com) was er in ieder geval wel van onder de indruk:http://www.youtube.com/watch?v=z4-h5gWpvAc (het verhaal over de crypto is nogal langdradig, je kan gelijk naar deel drie springen voor de conclusie).
03-12-2012, 11:04 door AdVratPatat
Pen en papier (agenda bijvoorbeeld) werkt hier al jaren uitstekend hoor.
Beter dan al je wachtwoorden delen met derden in ieder geval...
03-12-2012, 11:12 door zatlander

Hoe goed de beveiliging van lastpas is zal moeten blijken. Steve Gibson (van grc.com) was er in ieder geval wel van onder de indruk:http://www.youtube.com/watch?v=z4-h5gWpvAc (het verhaal over de crypto is nogal langdradig, je kan gelijk naar deel drie springen voor de conclusie).

Jaja en als Steve Gibson zegt dat het ok is kan je daar blind op vertrouwen hoor... http://attrition.org/errata/charlatan/steve_gibson/
03-12-2012, 13:25 door Fwiffo
Ik heb even vluchtig op hun site gekeken, en zolang je de plugin gebruikt en niet (NOOIT!) de javascript op hun website (zo was Hushmail in 2007 gekraakt door de overheid), is er niet veel mis mee denk ik.

Wel zijn er een aantal manieren om een verloren master passphrase te herstellen. Een daarvan is een 'hint' via e-mail. Lijkt mij niet zo handig omdat de TLA via de Patriot Act waarschijnlijk al toegang hebben tot je geencrypte wachtwoordkluis. Ze hoeven dus alleen nog het wachtwoord te achterhalen om al je wachtwoorden in je kluis te weten ('hint' staat op de server van lastpass). Maar ja, ze kunnen waarschijnlijk toch al bij de afzonderlijke accounts van de betreffende sites dus hoe paranoïde wil je het hebben?

Toch verbaas ik mij dat je inlogt bij ze via je e-mail adres. Omdat die uniek is? Zodat ze de hint kunnen sturen naar je (open en bloot via SMTP naar aanleiding van een verzoek door eenieder die je e-mail adres weet)? E-mail adressen zijn niet voor eeuwig en raken soms minder bruikbaar door spam en andere ongein.

Nog een vraag: Waar bewaar je het wachtwoord van de e-mail die ook je login voor lastpass is?? Kip en ei.
03-12-2012, 14:00 door SecOff
Door Fwiffo: IZodat ze de hint kunnen sturen naar je (open en bloot via SMTP naar aanleiding van een verzoek door eenieder die je e-mail adres weet)?
Voor het emailadres voor de hint kun je een ander adres opgeven dan het adres waar je mee inlogd
03-12-2012, 14:04 door choi
...omdat de TLA via de Patriot Act waarschijnlijk al toegang hebben tot je geencrypte wachtwoordkluis
Hmm, ja, dat is inderdaad een probleem omdat ik de database van Al Qaida in Google Docs heb staan. Oh jee, ik heb 'Al Qaida' getypt en dat is inmiddels al door Echelon zijn onderschept en daar heb je de stealth helicopters van Delta Force al!

E-mail adressen zijn niet voor eeuwig en raken soms minder bruikbaar door spam en andere ongein.
Je kan het email adres dat aan de Lastpass-account gemakkelijk veranderen.

Nog een vraag: Waar bewaar je het wachtwoord van de e-mail die ook je login voor lastpass is?? Kip en ei.
Als je suggereert dat het wachtwoord voor je Lastpass-account hetzelfde zou zijn als die van het gekoppelde email-account dan is dat niet correct. Verder heet de applicatie niet voor niets Lastpass met als bijschrift 'the last password you will have to remember', met nadruk op 'remember'!

Verder biedt Lastpass twee-factor authenticatie aan zodat je niet alleen afhankelijk ben van een wachtwoord. Zoals ik eerder zei, iedereen moet voor zichzelf de keuze maken tussen gebruiksgemak en veiligheid.
03-12-2012, 14:07 door choi
Door zatlander:

Hoe goed de beveiliging van lastpas is zal moeten blijken. Steve Gibson (van grc.com) was er in ieder geval wel van onder de indruk:http://www.youtube.com/watch?v=z4-h5gWpvAc (het verhaal over de crypto is nogal langdradig, je kan gelijk naar deel drie springen voor de conclusie).

Jaja en als Steve Gibson zegt dat het ok is kan je daar blind op vertrouwen hoor... http://attrition.org/errata/charlatan/steve_gibson/

Ik zeg niet dat je Gibson blind moet vertrouwen (die uitspraken op de website van jou wel dan?). De YouTube video is ter leering ende vermaeck. Hij geeft een uitleg over de crypto van Lastpass en iedereen kan met die informatie zelf zijn conclusies trekken.

Als je denkt dat Gibson onzin verkondigt draag dan bij aan de discussie door een goed onderbouwd verhaal neer te zetten waarin je e.e.a weerlegt. Als gebruiker van Lastpass ben ik daar ook benieuwd naar. Speel de bal en niet de man.
03-12-2012, 14:18 door Fwiffo
Door choi: Als je suggereert dat het wachtwoord voor je Lastpass-account hetzelfde zou zijn als die van het gekoppelde email-account dan is dat niet correct. Verder heet de applicatie niet voor niets Lastpass met als bijschrift 'the last password you will have to remember', met nadruk op 'remember'!
Dat suggereer ik niet. Ik suggereer dat je op je 'hotmail' inlogt met lastpass...

Verder hebben de niet-cloud alternatieven van lastpass geen enkele last van de patriot act. Zelf schrijf ik alles liever op zodat ook een trojan niet bij alles tegelijk kan met behulp van een enkele infectie. We zitten op security.nl, niet webwereld of geenstijl. Gezien de berichtgeving hier kan een beetje meer aluminiumfolie bij de reageerders hier geen kwaad!
03-12-2012, 14:37 door choi
Door AdVratPatat: Pen en papier (agenda bijvoorbeeld) werkt hier al jaren uitstekend hoor.
Beter dan al je wachtwoorden delen met derden in ieder geval...

Ah jaaaa, de BIC ballpoint door Obi-Wan Kenobi beschreven als an elegant device for a more civilized age...
03-12-2012, 15:04 door AdVratPatat
Door choi:
Door AdVratPatat: Pen en papier (agenda bijvoorbeeld) werkt hier al jaren uitstekend hoor.
Beter dan al je wachtwoorden delen met derden in ieder geval...

Ah jaaaa, de BIC ballpoint door Obi-Wan Kenobi beschreven als an elegant device for a more civilized age...
Ik ben niet zo'n Bolleywood fan, dus ik weet niet eens zeker of je dat sarcastisch bedoeld, maar wel fan van KISS (Keep It Simple Stupid). Als je al je persoonlijke wachtwoorden wil delen met een derde partij, prima, maar dat hoeft niet...
Al helemaal niet via een browser-plugin, je hoeft echt geen purist te zijn om in te zien dat dat bepaalde nadelen heeft.

Daarom is het IMHO heel verstandig van je dat je al je kritieke wachtwoorden niet via LastPass beveiligd, en dit zegt ook al genoeg lijkt me.
Voor de niet-kritieke wachtwoorden kun je dan eigenlijk net zo goed de browser zelf gebruiken toch?
03-12-2012, 23:17 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.