Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Hoe ga ik om met wachtwoorden

27-02-2012, 08:47 door Anoniem, 6 reacties
Gaarne jullie mening.

Ik probeer zo veilig - maar ook praktisch mogelijk met mijn wachtwoorden om te gaan.

-ik maak gebruik van lange gegenereerde wachtwoorden;
-voor iedere site of applicatie gebruik ik een ander wachtwoord;
-ik sla al deze wachtwoorden op in Password Safe (SOurceforge)
-ja, ik maak backups van de Pwsafe files
-inhoud van de pc is encrypted

Als ik nu naar een site of applicatie ga gebruik ik de autotype funktie van de applicatie, dus wachtwoorden hoef ik niet zelf te typen.

Volgens mij is er dan alleen het risico van het stelen en kraken van mij pwsafe file, maar omdat het alternatief is om simpele " kraakbare " wachtwoorden te gebruiken denk ik zelf dat ik een goede balans tussen veiligheid en bruikbaarheid heb.

Jullie mening?
Reacties (6)
27-02-2012, 09:25 door S-q.
@TS; Hoe belangrijk ben je dat je dit allemaal nodig vindt?
Of reis je veel met het openbaar vervoer?

Kan het zijn dat bij een toch stiekum geinstalleerde keylogger oid het wachtwoord verraden wordt door de autotype funktie?

Ben benieuwd naar de reakties.

In iedergeval; belangrijk is naar welke site s je gaat en wat je daar kan oplopen.
Denk dus maar vooral aan je eigen gedrag.
28-02-2012, 11:11 door Bitwiper
Ik ken password safe niet en weet niet hoe het werkt, maar een potentieel probleem is een wachtwoord dat via het clipboard wordt uitgewisseld, en erger, dat daar in blijft zitten zonder dat je eraan denkt.

Het clipboard wordt vaak gedeeld met remote desktop sessies en virtual machines die je open hebt staan. Ook als je het "aan de andere kant" niet bewust opvraagt wordt het vaak "over de lijn" gestuurd en is daarmee fysiek beschikbaar in die andere omgeving en kan dan bijv. ook in een swapfile belanden die wellicht niet versleuteld is.

Javascript in webpagina's hoort niet ongemerkt het clipboard uit te kunnen lezen maar ik herinner me vaag op dit punt wel eens een webbrowser bug te hebben gezien. Daarnaast zijn er wellicht clickjacking mogelijkheden om je te foppen waardoor het clipboard toch kan worden uitgelezen.

KeePass biedt de mogelijkheid om na 10 seconden het clipboard te wissen (niet perfect helpt wel iets). Ah in http://www.purdue.edu/securepurdue/pswdManager.cfm zie ik dat Password Safe dat kennelijk ook doet (prima pagina trouwens).

PC's zijn feitelijk ongeschikt voor het plain text transporteren van zeer gevoelige gegevens (waaronder wachtwoorden) omdat ze multifunctioneel zijn en bijna elk stukje software dat jij, of een ander, (bewust of onbewust), erop geïnstalleerd hebt, bij die gevoelige gegevens kan. Naast de keyloggers die S-q noemt zijn ook allerlei injection technieken en andere API hooks mogelijk waardoor een aanvaller toegang tot gegevens kan krijgen. Bij wachtwoorden die als "bolletjes" of asterisks worden getoond kan de aanvaller middels screenshots in elk geval de lengte achterhalen.

Met een wachtwoord aantonen dat jij jij bent is dus onbetrouwbaar. Slechte omgangsvormen van wachtwoorden verergeren dat, die minimaliseer jij in elk geval.
28-02-2012, 14:21 door RickDeckardt
Klein notitieblokje waar je je wachtwoorden in opslaat. Alleen iemand met fysieke toegang tot jouw persoon/tas/burolade kan het dan ontvreemden. Misschien een codering in gebruiken die jij alleen weet...
28-02-2012, 19:13 door Anoniem
Alle wachtwoorden uitprinten en in een kluis gooien (bij je bank ofzo). Wachtwoorden die je sporadisch gebruikt (DigiD, online facturen van een bedrijf) niet in Password Safe opslaan. PGP/GPG wachtwoorden niet opschrijven en veel gebruiken zodat je die niet vergeet. Zelfde voor je encryptie containers (Truecrypt). Niet opschrijven, veel gebruiken.
WiFi wachtwoorden in het modem/router bewaren en niet proberen te onthouden. Zorg voor minimaal 128 bits 'entropie' bij WiFi! Eén WiFi sleutel beschermd vele data pakketjes.

Onbelangrijke wachtwoorden 8 tekens. Belangrijke wachtwoorden 12-14. Elke paar jaar verlengen bij komst snellere computers.

Alleen wachtwoorden wijzigen als er een vermoeden is dat ze gestolen zijn. Als alles is gestolen, naar de bank en alle wachtwoorden wijzigen. Dezelfde dag nog liefst. Begin met je e-mail account veilig te stellen (ivm password reset).

Geen ezelsbruggetjes of trukjes. Als een paar wachtwoorden bekend zijn bij een aanvaller dan heeft die de trukjes van je door en kunnen deze op andere sites gebruikt worden.

Kijk uit bij tekens die geen (hoofd-)letter of cijfer zijn. Kan problemen opleveren bij sommige programma's of toetsenbord instellingen in je OS.

Altijd uitloggen bij internetbankieren, webmail e.d.! Geen cookies gebruiken om je wachtwoord op te slaan.
29-02-2012, 08:36 door MICE
Misschien is Lastpass iets voor je:

http://lastpass.com/
01-03-2012, 17:36 door Anoniem
Bedankt allemaal voor de reacties, ik ben op de goede weg maar zal jullie tips nog eens bekijken
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.