Security Tip van de Week: beveilig je accounts met een wachtwoordkluis
maandag 27 mei 2013, 11:31 door Maarten van Genderen, 34 reacties
In de Security Tip van de week geeft elke week een andere professional, expert, onderzoeker of lezer een security tip. Persoonlijke tips, variërend van het veilig configureren van Windows, een handige security tool of het juist instellen van een firewall, waarmee de tipgever zijn systeem, applicatie of netwerk veiliger maakt.
Heb jij ook een leuke, originele, maar bovenal goede security tip die niet mag ontbreken, stuur dan een mail naar redactie@security.nl.
Deze week de tip van Maarten van Genderen
De wachtwoordenkluis: beveiliging en gebruikersvriendelijkheid gaan prima samen
Antivirusbescherming, firewall, back-up en restore, spamfilter, op iedere laag is bescherming een voorwaarde om je informatie en wat hiermee gebeurt te beveiligen. De toegang tot je informatie is in de meeste gevallen niet meer dan een eenvoudig wachtwoord, dit kan stukken beter. Hoe? Een wachtwoordenkluis is één van de oplossingen naar de weg naar het nieuwe paradigma van veilig internetten.
Waarom is het belangrijk? Volgens Deloitte is 90% van de wachtwoorden hackgevoelig. En hoewel de site waar ze hiermee op in kunnen loggen wellicht weinig privé informatie bevat, gebruikt 55% tot 70% hetzelfde wachtwoord voor diverse accounts. Zodoende kan een cybercrimineel, na een geslaagde hack, je inloggegevens gebruiken voor bank en e-commerce websites.
Hoe gevaarlijk is het als iemand zich voordoet als jou? Of bepaalde bedrijven intellectual property bezitten van andere bedrijven? Of landen politieke of financiële informatie hebben van andere landen? Informatie niet in de verkeerde handen laten vallen is een grote uitdaging offline maar omdat het internet iedereen en alles met elkaar verbindt wordt deze uitdaging exponentieel vergroot. Het beheersen van wie er toegang tot informatie heeft is de sleutel.
En het zwakke gebruikersnaam en wachtwoord verificatieproces is verleden tijd. Op weg naar een nieuwe manier om online informatie te beschermen is de wachtwoordenkluis ontwikkelt. Maar je moet wel een goede hebben, het liefst alleen toegankelijk door middel van 2-factor authenticatie via een hoofdwachtwoord en verificatie middel/code.
Wat kan een wachtwoordenkluis allemaal betekenen en waar moet je opletten:
- Autofill is een handige optie van Windows, niet alleen voor jezelf, maar ook voor cybercriminelen. Er wordt daarom geadviseerd dit niet te gebruiken, maar eigenlijk is dat zeer gebruikersonvriendelijk. Een wachtwoordenkluis die al je gegevens op dezelfde manier in formulieren invult is de oplossing, want hier kunnen onbevoegden niet bij. Veilig, maar plug and play!
- Sterke wachtwoorden verzinnen. Gemiddeld heeft een standaard gebruiker zo'n 25 wachtwoorden die aan allerlei voorwaarden moeten voldoen voor de toegang tot persoonsgegevens en informatie te limiteren tot onbevoegde personen. Niet echt gebruikersvriendelijk. Met een wachtwoordkluis is dat niet meer nodig. Je onthoudt er maar 1 en de technologie doet de rest. Dit betekent sterke individuele wachtwoorden voor elk afzonderlijk platform.
- Extra handelingen verrichten om wachtwoorden te genereren. Voor diverse wachtwoordkluizen moet je de software aanroepen om deze te kunnen gebruiken. Maar er zijn gebruikersvriendelijkere oplossingen; intelligente kluizen die registreren dat je een wachtwoord moet gaan aanmaken en dan automatisch aangeroepen worden om dit te doen.
- Kennis over hoe je beperkte mogelijkheden op websites en opslagmethodes herkent. Niet echt voor iedere gebruiker. In basis wordt hier uitgelegd dat er helaas nog steeds websites zijn die beperken op aantal karakters van een wachtwoord en soms zelfs karakters weigeren in wachtwoorden. Voor iedereen moet dit een signaal zijn om hiermee ook te gaan twijfelen aan de veilige opslag van jouw wachtwoord in de database van deze websites. Deze zullen naar verwachting namelijk in platte tekst worden opgeslagen in plaats van op een veilige versleutelde methode (wachtwoorden moeten “gehashed en gesalt” worden opgeslagen). Reden genoeg om te twijfelen aan de totale beveiliging en dus dit account niet aan te maken.
Met een goede wachtwoordkluis kunnen we juist afstappen van deze beperkingen en gebruik maken van lange wachtwoorden die ontzettend sterk zijn en door niemand te onthouden. Deze worden immers automatisch ingevuld na het invullen van een zelf gekozen hoofdwachtwoord.
Maarten van Genderen, software en service quality manager bij security expert SpicyLemon.
Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.
Reacties (34)
"Met een goede wachtwoord kluis...." ... Ja, zoals? Voorbeelden zijn wel fijn zodat men er ook daadwerkelijk iets mee kan doen :)
27-05-2013, 12:37 door
sloepie
Probeer Last Pass eens. Ik gebruik het al jaren en ben en zeer tevreden over. Er zit ook een password generator bij en desgewenst kan je er voor weinig geld ook een usb stick bij kopen zodat je 2 factor authenticatie hebt.
https://lastpass.com/
https://lastpass.com/
27-05-2013, 12:38 door
grizzler
KeePass, LastPass, Roboform. De eerstgenoemde gebruik ik zelf. Best handig dingetje en cross platform.
Overigens, als een artikel domme taalfouten bevat, neemt mijn vertrouwen in de inhoud gelijk flink af. Kan ik niets aan doen, ook al weet ik best dat taalbeheersing en deskundigheid op andere terreinen niet noodzakelijkerwijs gelijk op gaan...
Overigens, als een artikel domme taalfouten bevat, neemt mijn vertrouwen in de inhoud gelijk flink af. Kan ik niets aan doen, ook al weet ik best dat taalbeheersing en deskundigheid op andere terreinen niet noodzakelijkerwijs gelijk op gaan...
LastPass werkt ook via de Google Authenticator app op je telefoon zodat je ook zonder extra kosten de 2-factor authenticatie kunt krijgen.
DataVault Password Manager: http://www.ascendo-inc.com/
1Password: https://agilebits.com/onepassword
Beiden syncen met verschillende soorten apparaten. Kosten wel geld, maar dan heb je ook wat. Ik vraag me zelfs af of je überhaupt dit soort informatie in "gratis" tools wilt bewaren.
1Password: https://agilebits.com/onepassword
Beiden syncen met verschillende soorten apparaten. Kosten wel geld, maar dan heb je ook wat. Ik vraag me zelfs af of je überhaupt dit soort informatie in "gratis" tools wilt bewaren.
Wachtwoord kluis? Dat is toch gewoon de sleutelhanger of mis ik iets.
Op de mac worden al minimaal 10 jaar alle wachtwoorden in de sleutelhanger opgeslagen. Default is dat dan "autofill', maar je kunt ook instellen om het sleutelhanger wachtwoord als master wachtwoord te gebruiken. Je kunt zelfs per groep wachtwoorden een eigen sleutelhanger aanmaken met een eigen wachtwoord per sleutelhanger. Eigenlijk elk mac-friendly programma gebruikt de sleutelhanger, niet alleen browsers. En browsers zoals firefox, die deze sleutelhanger negeren en alles zelf beheren, worden ook door mij genegeerd.
Op de mac worden al minimaal 10 jaar alle wachtwoorden in de sleutelhanger opgeslagen. Default is dat dan "autofill', maar je kunt ook instellen om het sleutelhanger wachtwoord als master wachtwoord te gebruiken. Je kunt zelfs per groep wachtwoorden een eigen sleutelhanger aanmaken met een eigen wachtwoord per sleutelhanger. Eigenlijk elk mac-friendly programma gebruikt de sleutelhanger, niet alleen browsers. En browsers zoals firefox, die deze sleutelhanger negeren en alles zelf beheren, worden ook door mij genegeerd.
Kan iemand mij een verklaring van onderstaande zin geven: "Een wachtwoordenkluis is één van de oplossingen naar de weg naar het nieuwe paradigma van veilig internetten." Ik ben bekend met paradigma's, maar snap het woord in deze context niet.
27-05-2013, 14:30 door
SimonS
+1 voor last pass. Je kunt ook aantekeningen en zelfs bestanden uploaden.
KeePass(X). Goed, maar nu is de kluis de klos, beveilig die kluis dus erg goed. met een yubikey, gecombineerd een eigen pass. Minim. 256 bit versleuteling.
Diverse uitgebreide internetsecurity-suites bieden ook iets dergelijks.Bedenk wel dat een wachtwoordkluis niet echt veilig is.Als de cybercriminelen het masterwachtwoord hebben ontcijferd (niet zo moeilijk met een keylogger) dan hebben ze meteen AL je wachtwoorden.M.a.w. de veiligheid van je wachtwoorden is net zo veilig als de wachtwoordkluis veilig is. Goede,ervaren hackers kunnen bevestigen dat elke software valt te kraken.Dus ook een wachtwoordkluis.Het zou veiliger kunnen zijn als bij poging tot onrechtmatige toegang alle wachtwoorden automatisch worden gewist en niet meer te achterhalen zijn.Wel een probleem voor de houder vd wachtwoordkluis als die zijn/haar wachtwoorden niet uit zn hoofd weet en niet ergens op papier heeft genoteerd.Dus dan toch maar even de wachtwoorden ergens op papier noteren he?
"intelligente kluizen die registreren dat je een wachtwoord moet gaan aanmaken en dan automatisch aangeroepen worden om dit te doen".Er zijn vast ook intelligente hackers die daar een verbindinkje o.i.d. tussen kunnen maken zodat ze precies kunnen zien welk password je daar (op dat moment) invoert in die mooie wachtwoordkluis.
27-05-2013, 16:11 door
Eric-Jan H te D
Door grizzler: ...Overigens, als een artikel domme taalfouten bevat, neemt mijn vertrouwen in de inhoud gelijk flink af. Kan ik niets aan doen,... .
Daar kan je best wat aan doen! Bijvoorbeeld door een taalfout misschien wel te registreren maar er niet op te reageren. Want zoals je zelf al aangeeft, de taalfout zegt niks over de kwaliteit van de discussie.
Kijk, als bijvoorbeeld politici wijs willen doen door een gezegde te gebruiken. En dan deze vervolgens volledig verhaspelen. Dat vind ik tenenkrommend.
Maar alsjeblieft geen mensen bashen die moeite en tijd steken in het maken van een artikel of een reactie op een forum. Omdat het mij om de inhoud gaat, zie ik die fouten 8 van de 10 keer niet eens. En dat zal ook wel komen door het feit dat ik ook niet bepaald sterk in taal ben.
Storend is wel als uit een reactie blijkt dat er gewoon niet goed gelezen is. Vaak zie je in zo'n reactie een soort tunnelvisie doorschemeren. De persoon in kwestie heeft dan zo'n bias, dat hij een reactie aanziet voor een aanval op zijn eigen standpunt en elke nuance uit het oog verliest. En ook kwetsende reacties zijn zeer ergerlijk en overbodig.
27-05-2013, 16:20 door
Joey9
Ik ben het niet met het artikel eens.
De wachtwoorden worden gecodeerd opgeslagen op de PC. Als de software/encryptie gekraakt wordt, en het programma wordt toevallig niet meer bijgehouden, is het mogelijk om ongestoord in te loggen op accounts, dmv ingegeven wachtwoorden.
Het veiligste is natuurlijk om nauwlettend de PC in de gaten te houden, en dagelijks te scannen op virussen, malware, rootkits enz.
Nee, doe mij maar een fysieke wachtwoordkluis, in je kastje. ;)
J. Van Genderen
De wachtwoorden worden gecodeerd opgeslagen op de PC. Als de software/encryptie gekraakt wordt, en het programma wordt toevallig niet meer bijgehouden, is het mogelijk om ongestoord in te loggen op accounts, dmv ingegeven wachtwoorden.
Het veiligste is natuurlijk om nauwlettend de PC in de gaten te houden, en dagelijks te scannen op virussen, malware, rootkits enz.
Nee, doe mij maar een fysieke wachtwoordkluis, in je kastje. ;)
J. Van Genderen
Ik vind het altijd zo jammer dat zulke programma's telkens weer niet op die ene plaats beschikbaar zijn waar je ze toevallig nodig hebt.
Zelf gebruik ik een spreadsheet op google drive hiervoor. Heb de indruk dat google over het algemeen zijn security wel op orde heeft, en overal beschikbaar waar internet is.
Zelf gebruik ik een spreadsheet op google drive hiervoor. Heb de indruk dat google over het algemeen zijn security wel op orde heeft, en overal beschikbaar waar internet is.
Ik gebruik al jaren LastPass icm Yubikey.
De Yubikey is een usb authenticatie token, dat eenmalige wachtwoorden genereerd. Je logt dus in op je LastPass kluis door username/wachtwoord + Yubikey. Daar de laatste geen static wachtwoord is, kunnen keyloggers hier verder niets mee.
Dit is dan een 2 factor authentication (2FA): iets dat je weet (username/wachtwoord) en iets dat je bij je hebt (Yubikey). Je kunt ook meerdere Yubikeys aan 1 account hangen, bv door 1 master Yubikey in de kluis te leggen voor het geval de normale Yubikey kwijt raakt. Op die manier kun je toch nog steeds bij je wachtwoord kluis.
Ik zou iig niet meer zonder kunnen, en het biedt mij iig meer dan voldoende beveiliging.
Natuurlijk moet je wel even nadenken of je bv ook je internetbankieren via LastPass wilt doen. Daar ligt voor mij iig de grens: neen dus.
De Yubikey is een usb authenticatie token, dat eenmalige wachtwoorden genereerd. Je logt dus in op je LastPass kluis door username/wachtwoord + Yubikey. Daar de laatste geen static wachtwoord is, kunnen keyloggers hier verder niets mee.
Dit is dan een 2 factor authentication (2FA): iets dat je weet (username/wachtwoord) en iets dat je bij je hebt (Yubikey). Je kunt ook meerdere Yubikeys aan 1 account hangen, bv door 1 master Yubikey in de kluis te leggen voor het geval de normale Yubikey kwijt raakt. Op die manier kun je toch nog steeds bij je wachtwoord kluis.
Ik zou iig niet meer zonder kunnen, en het biedt mij iig meer dan voldoende beveiliging.
Natuurlijk moet je wel even nadenken of je bv ook je internetbankieren via LastPass wilt doen. Daar ligt voor mij iig de grens: neen dus.
27-05-2013, 17:54 door
Jos H
Ik gebruik de betaalde versie van LastPass (=Premium). De wachtwoorden worden in de cloud opgeslagen en beveiligd en niet op de PC. Je kan dus ook vanaf een andere PC veilig inloggen op je beschermde websites.
Daarnaast is het natuurlijk belangrijk dat je de PC beveiligd. Ik heb Malwarebytes Anti-Malware, Trusteer Rapport en GData InternetSecurity 2014 continue draaien. In de browser (FF) draait HTTPS Everywhere zodat automatisch naar een beveiligde website wordt gezocht indien aanwezig. Verder hou ik mijn software up to date met Update checker en Secunia PSI. Tevens log ik in op de wachtwoordkluis via een vingerafdruklezer (dus ik hoef geen hoofdwachtwoord in te voeren).
Daarnaast is het natuurlijk belangrijk dat je de PC beveiligd. Ik heb Malwarebytes Anti-Malware, Trusteer Rapport en GData InternetSecurity 2014 continue draaien. In de browser (FF) draait HTTPS Everywhere zodat automatisch naar een beveiligde website wordt gezocht indien aanwezig. Verder hou ik mijn software up to date met Update checker en Secunia PSI. Tevens log ik in op de wachtwoordkluis via een vingerafdruklezer (dus ik hoef geen hoofdwachtwoord in te voeren).
Door grizzler: KeePass, LastPass, Roboform. De eerstgenoemde gebruik ik zelf. Best handig dingetje en cross platform.
Overigens, als een artikel domme taalfouten bevat, neemt mijn vertrouwen in de inhoud gelijk flink af. Kan ik niets aan doen, ook al weet ik best dat taalbeheersing en deskundigheid op andere terreinen niet noodzakelijkerwijs gelijk op gaan...
Overigens, als een artikel domme taalfouten bevat, neemt mijn vertrouwen in de inhoud gelijk flink af. Kan ik niets aan doen, ook al weet ik best dat taalbeheersing en deskundigheid op andere terreinen niet noodzakelijkerwijs gelijk op gaan...
Zonder taalfout zou het er als volgt uit kunnen zien:
KeePass, LastPass en Roboform. De eerstgenoemde gebruik ik zelf. Best een handig dingetje en cross-platform.
Overigens, als een artikel domme taalfout bevat, neemt mijn vertrouwen in de inhoud gelijk flink af. Daar kan ik niets aan doen, ook al weet ik best dat taalbeheersing en deskundigheid op andere terreinen niet noodzakelijkerwijs gelijk op gaan...
Ik herinner me vaag een spreekwoord: het was iets over een pot, een ketel en zwart zien.
27-05-2013, 19:24 door
PureFox
Een wachtwoordkluis is mooi, maar........... wanneer er een keylogger op je systeem actief is. Tja, dan heeft hij zo het wachtwoord van KeePass of een andere kluis te pakken en dan liggen al je wachtwoorden te kijk.
Ik vertrouw op mijn hoofd:
- 2 willekeurige tekenreeksen
1 korte 6 tekens voor onbelangrijke/onbetrouwbare sites
1 lange 10 tekens voor belangrijke gegevens
- Aanvullen met tekens op bepaalde plekken die significant zijn voor de ontsleutelplek.
Denk hierbij aan een afkorting voor die plek en aantal tekens + of - een waarde. etc.....
Zo stamp je heel snel honderden wachtwoorden in je hoofd.
En die tekenreeks, gebruik je een tijdje als je schermwachtwoord. Na een paar dagen vergeet je die nooit weer!
Ik vertrouw op mijn hoofd:
- 2 willekeurige tekenreeksen
1 korte 6 tekens voor onbelangrijke/onbetrouwbare sites
1 lange 10 tekens voor belangrijke gegevens
- Aanvullen met tekens op bepaalde plekken die significant zijn voor de ontsleutelplek.
Denk hierbij aan een afkorting voor die plek en aantal tekens + of - een waarde. etc.....
Zo stamp je heel snel honderden wachtwoorden in je hoofd.
En die tekenreeks, gebruik je een tijdje als je schermwachtwoord. Na een paar dagen vergeet je die nooit weer!
Lastpass is zó gigantisch fout... wachtwoorden worden zomaar op hun servers geupload alsof het allemaal niet zo ernstig wordt opgenomen. Ten eerste raad ik al aan om wachtwoorden toch offline te bewaren. Bijvoorbeeld de betaalde versie van Roboform is super voor offline gebruik (gratis versie valt echt tegen!), maar de online backup hoefde van mij echt niet, gelukkig kan die wel uitgeschakeld worden. Keepass vind ik niet zo overzichtelijk, maar wel beste gratis wachtwoordkluis die ik tot nu toe heb gekend.
27-05-2013, 22:23 door
Patio
Door PureFox: Een wachtwoordkluis is mooi, maar........... wanneer er een keylogger op je systeem actief is. Tja, dan heeft hij zo het wachtwoord van KeePass of een andere kluis te pakken en dan liggen al je wachtwoorden te kijk.
Ik vertrouw op mijn hoofd:
(verraad het systeem - nooit doen)
Zo stamp je heel snel honderden wachtwoorden in je hoofd.
En die tekenreeks, gebruik je een tijdje als je schermwachtwoord. Na een paar dagen vergeet je die nooit weer!
Ik vertrouw op mijn hoofd:
(verraad het systeem - nooit doen)
Zo stamp je heel snel honderden wachtwoorden in je hoofd.
En die tekenreeks, gebruik je een tijdje als je schermwachtwoord. Na een paar dagen vergeet je die nooit weer!
Prachtig +1
Vertrouwen op je hoofd, zo niet is er nog altijd pen of potlood en papier en het briefje met desnoods duizenden wachtwoorden voor even zoveel sites berg je op in een echte "real life" (voor de anglofielen) kluis achter slot en grendel, behalve met een echte sleutel ook nog met een pincode beveiligd.
28-05-2013, 10:16 door
[Account Verwijderd]
[Verwijderd]
Door Anoniem: Lastpass is zó gigantisch fout... wachtwoorden worden zomaar op hun servers geupload alsof het allemaal niet zo ernstig wordt opgenomen. Ten eerste raad ik al aan om wachtwoorden toch offline te bewaren. Bijvoorbeeld de betaalde versie van Roboform is super voor offline gebruik (gratis versie valt echt tegen!), maar de online backup hoefde van mij echt niet, gelukkig kan die wel uitgeschakeld worden. Keepass vind ik niet zo overzichtelijk, maar wel beste gratis wachtwoordkluis die ik tot nu toe heb gekend.
LastPass doet de hashing locaal (op je PC), de hash (niet de platte tekst) gaat over internet. LastPass gebruikt SHA-256 met PBKDF2 en een groot aantal (ca 5000, het is instelbaar) iteraties bij de hashing. Deze hash is zeer tijdrovend. Bovendien, gebruikers van LastPass hebben in het algemeen wachtwoorden die zeer ingewikkeld zijn, want ze hoeven ze zelf niet te onthouden. Dus als LastPass in de cloud gekraakt wordt, dan vinden de krakers zeer bewerkelijke hashes van zeer ingewikkelde wachtwoorden.
Zelf verschillende pakketten gebruikt maar ben nu zeer tevreden over Dashlane, prima pakket.
28-05-2013, 11:26 door
PureFox
Door Patio:
(verraad het systeem - nooit doen)
Duh! ;-)(verraad het systeem - nooit doen)
Denk je nou _echt_ dat ik mijn systeem zou openbaren. Er zijn er wel -tig te bedenken.
28-05-2013, 11:39 door
[Account Verwijderd]
[Verwijderd]
Mijn wachtwoordsleutel staat niet op mijn PC. Lastig natuurlijk omdat ik nu ieder wachtwoord over moet tikken. Maar ook handig omdat ik nu ook kan inloggen op andere devices of systemen (die ik vertrouw). En natuurlijk veilig omdat het master password niet op de PC bekend is.
Het is het oude, vertrouwde wachtwoordbriefje. Iedereen zegt dat het opschrijven van een wachtwoord niet verstandig is, maar hoe vaak komt het voor dat iemand die op je Google account probeert in te loggen eerst bij je thuis inbreekt om je briefje te pakken te krijgen?
Peter
Het is het oude, vertrouwde wachtwoordbriefje. Iedereen zegt dat het opschrijven van een wachtwoord niet verstandig is, maar hoe vaak komt het voor dat iemand die op je Google account probeert in te loggen eerst bij je thuis inbreekt om je briefje te pakken te krijgen?
Peter
Tegen een keylogger op je eigen PC helpt natuurlijk geen enkel systeem... geen KeyPass, FastPass of papiertje.
Regelmatig je ww wisselen op verschillende PCs is een optie, maar wel weer bewerkelijk. Of alles wat met een ww te maken heeft, alleen doen nadat je je PC met een schone Knoppix CD hebt gestart. Hoe paranoia moet je zijn? Het moet allemaal wel opwegen tegen het risico dat je denkt te lopen.
Geen wachtwoorden kiezen op onveilige sites die je elders ook gebruikt, is een optie. Of helemaal niet inloggen op onveilige sites.
Regelmatig je ww wisselen op verschillende PCs is een optie, maar wel weer bewerkelijk. Of alles wat met een ww te maken heeft, alleen doen nadat je je PC met een schone Knoppix CD hebt gestart. Hoe paranoia moet je zijn? Het moet allemaal wel opwegen tegen het risico dat je denkt te lopen.
Geen wachtwoorden kiezen op onveilige sites die je elders ook gebruikt, is een optie. Of helemaal niet inloggen op onveilige sites.
Door Anoniem:
LastPass doet de hashing locaal (op je PC), de hash (niet de platte tekst) gaat over internet. LastPass gebruikt SHA-256 met PBKDF2 en een groot aantal (ca 5000, het is instelbaar) iteraties bij de hashing. Deze hash is zeer tijdrovend. Bovendien, gebruikers van LastPass hebben in het algemeen wachtwoorden die zeer ingewikkeld zijn, want ze hoeven ze zelf niet te onthouden. Dus als LastPass in de cloud gekraakt wordt, dan vinden de krakers zeer bewerkelijke hashes van zeer ingewikkelde wachtwoorden.
Idd klopt, maar hoelang denken je dat die hashes niet gekraakt kunnen worden? De technologie gaat erg snel snel vooruit. Over 20 jaar zijn die hashes te kraken in een aantal minuten. Dus als lastpass vandaag of morgen failliet gaan en alle hashes komen in de verkeerde handen terecht, kan dit voor vele gebruikers een ramp betekenen. Daarom hou ik liever gewoon alles offline.Door Anoniem: Lastpass is zó gigantisch fout... wachtwoorden worden zomaar op hun servers geupload alsof het allemaal niet zo ernstig wordt opgenomen. Ten eerste raad ik al aan om wachtwoorden toch offline te bewaren. Bijvoorbeeld de betaalde versie van Roboform is super voor offline gebruik (gratis versie valt echt tegen!), maar de online backup hoefde van mij echt niet, gelukkig kan die wel uitgeschakeld worden. Keepass vind ik niet zo overzichtelijk, maar wel beste gratis wachtwoordkluis die ik tot nu toe heb gekend.
LastPass doet de hashing locaal (op je PC), de hash (niet de platte tekst) gaat over internet. LastPass gebruikt SHA-256 met PBKDF2 en een groot aantal (ca 5000, het is instelbaar) iteraties bij de hashing. Deze hash is zeer tijdrovend. Bovendien, gebruikers van LastPass hebben in het algemeen wachtwoorden die zeer ingewikkeld zijn, want ze hoeven ze zelf niet te onthouden. Dus als LastPass in de cloud gekraakt wordt, dan vinden de krakers zeer bewerkelijke hashes van zeer ingewikkelde wachtwoorden.
28-05-2013, 21:26 door
[Account Verwijderd]
[Verwijderd]
LastPass doet de hashing locaal (op je PC), de hash (niet de platte tekst) gaat over internet. LastPass gebruikt SHA-256 met PBKDF2 en een groot aantal (ca 5000, het is instelbaar) iteraties bij de hashing. Deze hash is zeer tijdrovend. Bovendien, gebruikers van LastPass hebben in het algemeen wachtwoorden die zeer ingewikkeld zijn, want ze hoeven ze zelf niet te onthouden. Dus als LastPass in de cloud gekraakt wordt, dan vinden de krakers zeer bewerkelijke hashes van zeer ingewikkelde wachtwoorden.
[/quote]Idd klopt, maar hoelang denken je dat die hashes niet gekraakt kunnen worden? De technologie gaat erg snel snel vooruit. Over 20 jaar zijn die hashes te kraken in een aantal minuten. Dus als lastpass vandaag of morgen failliet gaan en alle hashes komen in de verkeerde handen terecht, kan dit voor vele gebruikers een ramp betekenen. Daarom hou ik liever gewoon alles offline.[/quote]
In het algemeen moeten we een hash van een encryptie onderscheiden. Een hash is een niet omkeerbare encryptie, die voor wachtwoorden gebruikt wordt. LastPass kan natuurlijk niet de wachtwoorden die hij opslaat voor zijn gebruikers hashen, want dan kan hij ze niet meer teruggeven aan de gebruiker. LastPass encrypt en decrypt de gebruikerswachtwoorden met AES-256 (volgens Wikipedia door de US regering goedgekeurd voor "top secret" documenten). Zowel encryptie als decryptie gebeurt op de PC van de gebruiker met behulp van een gecodeerde sleutel die het e-mail adres en het hoofdwachtwoord (het "laatste" wachtwoord dat je nog moet onthouden) bevat.
De AES-encrypted wachtwoorden worden door LastPass opgeslagen in de "cloud" en om hierbij te kunnen moet je het hoofdwachtwoord geven. Het hoofdwachtwoord wordt met SHA-256 en PBKDF2 gehasht (onomkeerbaar versleuteld); dit gebeurt ook op de PC van de gebruiker. Op dit moment zijn AES 256 en SHA-256 nog volkomen onkraakbaar. Als over 20 jaar deze codes gekraakt kunnen worden, hebben we natuurlijk al lang andere andere beveiligingssystemen.
[/quote]Idd klopt, maar hoelang denken je dat die hashes niet gekraakt kunnen worden? De technologie gaat erg snel snel vooruit. Over 20 jaar zijn die hashes te kraken in een aantal minuten. Dus als lastpass vandaag of morgen failliet gaan en alle hashes komen in de verkeerde handen terecht, kan dit voor vele gebruikers een ramp betekenen. Daarom hou ik liever gewoon alles offline.[/quote]
In het algemeen moeten we een hash van een encryptie onderscheiden. Een hash is een niet omkeerbare encryptie, die voor wachtwoorden gebruikt wordt. LastPass kan natuurlijk niet de wachtwoorden die hij opslaat voor zijn gebruikers hashen, want dan kan hij ze niet meer teruggeven aan de gebruiker. LastPass encrypt en decrypt de gebruikerswachtwoorden met AES-256 (volgens Wikipedia door de US regering goedgekeurd voor "top secret" documenten). Zowel encryptie als decryptie gebeurt op de PC van de gebruiker met behulp van een gecodeerde sleutel die het e-mail adres en het hoofdwachtwoord (het "laatste" wachtwoord dat je nog moet onthouden) bevat.
De AES-encrypted wachtwoorden worden door LastPass opgeslagen in de "cloud" en om hierbij te kunnen moet je het hoofdwachtwoord geven. Het hoofdwachtwoord wordt met SHA-256 en PBKDF2 gehasht (onomkeerbaar versleuteld); dit gebeurt ook op de PC van de gebruiker. Op dit moment zijn AES 256 en SHA-256 nog volkomen onkraakbaar. Als over 20 jaar deze codes gekraakt kunnen worden, hebben we natuurlijk al lang andere andere beveiligingssystemen.
Door Anoniem: Ik vind het altijd zo jammer dat zulke programma's telkens weer niet op die ene plaats beschikbaar zijn waar je ze toevallig nodig hebt.
Zelf gebruik ik een spreadsheet op google drive hiervoor. Heb de indruk dat google over het algemeen zijn security wel op orde heeft, en overal beschikbaar waar internet is.
Hahaha, omg... Sorry....Zelf gebruik ik een spreadsheet op google drive hiervoor. Heb de indruk dat google over het algemeen zijn security wel op orde heeft, en overal beschikbaar waar internet is.
Maar goed, niets is 100% veilig. Het gaat dus om de balans tussen risico en maatregel.
Voor thuis zie ik geen directe zorg door een combinatie van wachtwoord en "key file" op b.v. een USB Stick, of wellicht anders om. Portable password safe en op de computer waar je hem wil gebruiken een "key file".
Alleen de combi van programma, encrypted file, wachtwoord en "key file" zorgen (in principe) voor een succesvolle toegang.
Door Anoniem:
Door Anoniem:
LastPass doet de hashing locaal (op je PC), de hash (niet de platte tekst) gaat over internet. LastPass gebruikt SHA-256 met PBKDF2 en een groot aantal (ca 5000, het is instelbaar) iteraties bij de hashing. Deze hash is zeer tijdrovend. Bovendien, gebruikers van LastPass hebben in het algemeen wachtwoorden die zeer ingewikkeld zijn, want ze hoeven ze zelf niet te onthouden. Dus als LastPass in de cloud gekraakt wordt, dan vinden de krakers zeer bewerkelijke hashes van zeer ingewikkelde wachtwoorden.
Idd klopt, maar hoelang denken je dat die hashes niet gekraakt kunnen worden? De technologie gaat erg snel snel vooruit. Over 20 jaar zijn die hashes te kraken in een aantal minuten. Dus als lastpass vandaag of morgen failliet gaan en alle hashes komen in de verkeerde handen terecht, kan dit voor vele gebruikers een ramp betekenen. Daarom hou ik liever gewoon alles offline.Door Anoniem: Lastpass is zó gigantisch fout... wachtwoorden worden zomaar op hun servers geupload alsof het allemaal niet zo ernstig wordt opgenomen. Ten eerste raad ik al aan om wachtwoorden toch offline te bewaren. Bijvoorbeeld de betaalde versie van Roboform is super voor offline gebruik (gratis versie valt echt tegen!), maar de online backup hoefde van mij echt niet, gelukkig kan die wel uitgeschakeld worden. Keepass vind ik niet zo overzichtelijk, maar wel beste gratis wachtwoordkluis die ik tot nu toe heb gekend.
LastPass doet de hashing locaal (op je PC), de hash (niet de platte tekst) gaat over internet. LastPass gebruikt SHA-256 met PBKDF2 en een groot aantal (ca 5000, het is instelbaar) iteraties bij de hashing. Deze hash is zeer tijdrovend. Bovendien, gebruikers van LastPass hebben in het algemeen wachtwoorden die zeer ingewikkeld zijn, want ze hoeven ze zelf niet te onthouden. Dus als LastPass in de cloud gekraakt wordt, dan vinden de krakers zeer bewerkelijke hashes van zeer ingewikkelde wachtwoorden.
Nu al: https://www.security.nl/artikel/46452/1/Hoe_hackers_een_wachtwoord_van_16_karakters_kraken.html
:-)
Door Anoniem:
Nu al: https://www.security.nl/artikel/46452/1/Hoe_hackers_een_wachtwoord_van_16_karakters_kraken.html
:-)
Dat gaat over hashes in MD5, vroeger waren die nog onkraakbaar. :') Lastpass gebruikt gelukkig altijd de nieuwste technieken.Door Anoniem:
Door Anoniem:
LastPass doet de hashing locaal (op je PC), de hash (niet de platte tekst) gaat over internet. LastPass gebruikt SHA-256 met PBKDF2 en een groot aantal (ca 5000, het is instelbaar) iteraties bij de hashing. Deze hash is zeer tijdrovend. Bovendien, gebruikers van LastPass hebben in het algemeen wachtwoorden die zeer ingewikkeld zijn, want ze hoeven ze zelf niet te onthouden. Dus als LastPass in de cloud gekraakt wordt, dan vinden de krakers zeer bewerkelijke hashes van zeer ingewikkelde wachtwoorden.
Idd klopt, maar hoelang denken je dat die hashes niet gekraakt kunnen worden? De technologie gaat erg snel snel vooruit. Over 20 jaar zijn die hashes te kraken in een aantal minuten. Dus als lastpass vandaag of morgen failliet gaan en alle hashes komen in de verkeerde handen terecht, kan dit voor vele gebruikers een ramp betekenen. Daarom hou ik liever gewoon alles offline.Door Anoniem: Lastpass is zó gigantisch fout... wachtwoorden worden zomaar op hun servers geupload alsof het allemaal niet zo ernstig wordt opgenomen. Ten eerste raad ik al aan om wachtwoorden toch offline te bewaren. Bijvoorbeeld de betaalde versie van Roboform is super voor offline gebruik (gratis versie valt echt tegen!), maar de online backup hoefde van mij echt niet, gelukkig kan die wel uitgeschakeld worden. Keepass vind ik niet zo overzichtelijk, maar wel beste gratis wachtwoordkluis die ik tot nu toe heb gekend.
LastPass doet de hashing locaal (op je PC), de hash (niet de platte tekst) gaat over internet. LastPass gebruikt SHA-256 met PBKDF2 en een groot aantal (ca 5000, het is instelbaar) iteraties bij de hashing. Deze hash is zeer tijdrovend. Bovendien, gebruikers van LastPass hebben in het algemeen wachtwoorden die zeer ingewikkeld zijn, want ze hoeven ze zelf niet te onthouden. Dus als LastPass in de cloud gekraakt wordt, dan vinden de krakers zeer bewerkelijke hashes van zeer ingewikkelde wachtwoorden.
Nu al: https://www.security.nl/artikel/46452/1/Hoe_hackers_een_wachtwoord_van_16_karakters_kraken.html
:-)
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
