image

'Papier biedt beste bescherming tegen hackers'

vrijdag 18 april 2014, 11:03 door Redactie, 10 reacties

Wie wachtwoorden tegen aanvallers wil beschermen kan ze het best opschrijven en op een veilige manier bewaren, zoals in een portemonnee. "Papier kun je niet hacken", aldus IT-journalist Timothy Lee. Lee stelt dat het gebruik van papier om een 'high-tech probleem' op te lossen misschien vreemd aanvoelt.

Het lijkt voor de hand te liggen om juist een technologische oplossing te gebruiken, zoals wachtwoordmanagers. "Maar beveiligingsfouten worden gemaakt als mensen systemen gebruiken die ze niet begrijpen. Wachtwoordmanagers zijn krachtig, maar hun complexiteit kan ook voor problemen zorgen. Daar staat tegenover dat iedereen weet hoe papier werkt."

Voordelen

Lee krijgt bijval van Lorrie Cranor, computerwetenschapper aan de Carnegie Mellon Universiteit. "Als je je zorgen maakt over mensen die via het internet binnenkomen, kunnen ze dat niet doen als je wachtwoorden op papier staan." In het verleden werd het opschrijven van wachtwoorden ook al door andere experts aangeraden, zoals beveiligingsgoeroe Bruce Schneier. Volgens Lee zijn wachtwoordmanagers geen slecht idee, maar is het opschrijven van wachtwoorden voor veel mensen een goede oplossing.

Veel internetgebruikers zouden meer te duchten hebben van online aanvallers dan van mensen die fysiek een briefje met wachtwoorden kunnen stelen. "Papier kun je niet hacken. Je kunt niet worden verleid om een stukje papier naar hackers aan de andere kant van de wereld te sturen. En zolang je portemonnee niet in de wasmachine verdwijnt, of als je meerdere velletjes papier veilig opbergt, is het onwaarschijnlijk dat technische problemen de inhoud van een stukje papier kunnen wissen."

Wat betreft het opschrijven van wachtwoorden adviseert Lee om er niet al teveel identificerende informatie op te schrijven, zoals een e-mailadres. Mocht de portemonnee worden gestolen, dan weet de dief niet direct dat het wachtwoorden zijn of voor welke accounts ze bedoeld zijn.

Reacties (10)
18-04-2014, 11:19 door Anoniem
Nog beter: van buiten leren. Klinkt ouderwets in deze tijd van "makkulluk" , maar een beetje moeite doen helpt wel degelijk.
18-04-2014, 11:56 door Anoniem
Een portemonnee is behoorlijk gevoelig voor diefstal, dus om het daarin te stoppen lijkt mij niet echt een geweldig plan. Maar opschrijven is voor veel personen wel zo handig.

Je kunt ze ook opschrijven en dan bijvoorbeeld constant het derde teken weglaten.
dit4ismijn#wachtwoord. En dan schrijf je op: ditismijn#wachtwoord

Als je het cijfer vergeet dan ben je in ieder geval nog binnen tien pogingen binnen. :p
18-04-2014, 12:23 door Anoniem
Papier is alleen de beste vriend van "kwijt raken"
18-04-2014, 13:29 door Anoniem
Of vertrouw al je wachtwoorden toe aan een kleitablet. Dat is namelijk het enige medium waarbij aangetoond is dat het de gegevens minstens 4000 jaar veilig opslaat.
18-04-2014, 13:32 door Fwiffo
IT-journalist Timothy Lee maakt een grote fout in zijn betoog, en dat is dat het handig is wachtwoorden te hergebruiken voor minder belangrijke sites. Het grote voordeel van papier is immers dat je 'oneindig' veel wachtwoorden kunt opschrijven zonder bang te zijn dat je die ooit vergeet! (Ook goed voor oudere mensen). Het is wel belangrijk een off-site backup te hebben van je papiertje. Al was het alleen om al je wachtwoorden in één keer kunt veranderen als je papiertje kwijt is of gestolen door iemand (dat is dus iemand die in je huis kan; laat niet zomaar iedereen binnen ;-) ).

Het is ook belangrijk om bepaalde wachtwoorden nooit op te schrijven. Zoals die van je PGP sleutel (die de politie dan vindt bij een huiszoeking) of van sites die eisen dat je het niet opschrijft (zoals DigiD en de ING bank -> juridische reden, grof nalatig e.d.). Verder kun je sommige wachtwoorden die je bijvoorbeeld in je e-mail programma opslaat, super-complex maken. Zelf vind ik 8 tekens alfanumeriek goed te doen, 12 tekens wordt al lastig en gaat soms fout bij het intikken, en op mijn router zit een reeks van 25 tekens, dat gaat wel irriteren als je die vaak fout intikt (vooral als je je eigen handschrift niet goed kan teruglezen), maar hoe vaak moet je nou je router in??

Nog een wachtwoord die je nooit op moet schrijven: Die van je user account of van je disk encryptie.. Iemand die bij je papiertje kan kan namelijk ook bij je computer :-/ Of je pincode bij de bank (al helemaal niet in je portemonnee stoppen!).

Nog een voordeel van papier is dat je de wachtwoorden zo complex kunt maken dat je ze gewoon niet kunt onthouden, en dus ook niet op de verkeerde site kan invullen per ongeluk (en dan weer moet veranderen). Zelf gebruik ik ASCII-Armor geëncrypte bestanden van GnuPG (waarvan de complexiteit ofwel de 'entropie' berekenbaar is met simpele logaritmische wiskunde). Immers, als de RNG van GnuPG niet goed is, dan is dat net zulk groot nieuws als de Heartbleed bug afgelopen weken was. De updates van Ubuntu gaan bijvoorbeeld via GnuPG (digitaal ondertekend, dus de sleutel die Ubuntu gebruikt moet wel goed 'random' zijn).
18-04-2014, 14:51 door Anoniem
Eerlijk gezegd vindt ik dit een beetje een zwak betoog. Digitale spullen worden door hackers gestolen. Fysieke spullen door inbrekers. Een wachtwoord open en bloot op een papiertje bewaren is heel wat onveiliger dan in een goed wachtwoordbeheertool.

Omdat het tegenwoordig gebruikelijk is wachtwoorden in een wachtwoordbeheertool op te slaan is de kans inderdaad klein dat wachtwoorden door hackers worden gestolen als ze op papier worden bewaard. Maar stel dat vanaf dit ogenblik elke gebruiker zijn wachtwoorden op papier zou schrijven dan acht ik de kans niet zo heel klein dat over een paar jaar het tegenovergestelde wordt beweerd omdat de wachtwoordpapiertjes veel worden gestolen.

Overigens worden de meeste wachtwoorden niet bij de gebruiker gestolen maar uit de tool die het wachtwoord vereist (Linked-In, Facebook, Adobe...)
18-04-2014, 15:21 door Anoniem
@Fwiffo dat is veeeeel te veel tekst ik word er duizelig van ;)
18-04-2014, 18:59 door Anoniem
De aanbeveling "op een papiertje schrijven" lijkt mij strijdig met de volgende aanbevelingen:

1. Wachtwoord moet bestaan uit acht of meer tekens uit de verzameling letters + cijfers + leestekens.

2. Geen twee wachtwoorden hetzelfde.

Dit gevoegd bij het feit dat wachtwoorden vrijwel altijd blind ingetikt moeten woorden en drie pogingen meestal het maximum is, wil ik Timothy Lee wel eens zien websurfen met zijn papiertje gevuld met zijn wachtwoorden naast zijn toetsenbord.
18-04-2014, 20:40 door Fwiffo
Door Anoniem: @Fwiffo dat is veeeeel te veel tekst ik word er duizelig van ;)
Hmm, nu je het zegt. Ik denk dat de informatiedichtheid ook een beetje te hoog is. En ik heb zelfs nog dingen weggelaten (zoals het secure wipen van bestanden met wachtwoordmateriaal erin).

Er is gewoon een hoop over te zeggen. Zowel bij onthouden, wachtwoord manager (cloud of lokaal) of opschrijven. Iedere methode heeft zo zijn voor- en nadelen. Papier is zeker effectief tegen een aanval vanaf het internet! Zelf schrijf ik zowat alles op. Behalve dus de uitzonderingen die ik gaf.
20-04-2014, 00:42 door VriendP
Hier wat leuke ideetjes voor nieuws uit dezelfde categorie:

"Uitfaseren internet beste bescherming tegen hackers"
"Afschaffen gemotoriseerd verkeer garantie voor afname verkeersongevallen"
"Collectieve zelfmoord goed voor het ecosysteem (en beschermt tegen hackers)"

Je zou natuurlijk ook de handleiding van je password manager kunnen lezen. En een goede password manager kiezen op basis van de daarvoor geldende kwaliteitsnormen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.