image

Google: wachtwoorden opschrijven is prima

vrijdag 31 mei 2013, 09:56 door Redactie, 9 reacties

Jarenlang werd er geadviseerd om wachtwoorden niet op te schrijven, maar vanwege het grote aantal accounts dat gebruikers tegenwoordig hebben gaat dat advies volgens Google niet meer op. Uit onderzoek zou blijken dat de angst om wachtwoorden te vergeten de grootste reden is waarom mensen bepaalde wachtwoorden voor meerdere accounts gebruiken.

"Als je zoveel wachtwoorden heb gemaakt dat het lastig is om ze te onthouden, is het prima om een lijst te maken en ze op te schrijven. Zorg alleen dat je de lijst op een veilige plek bewaart waar je hem niet verliest en waar anderen hem niet kunnen vinden", aldus Google software engineer Diana Smetters.

Advies
Google lanceerde enige tijd geleden alweer de 'Good to Know site' waar internetgebruikers advies krijgen om hun computers en accounts te beveiligen. Wachtwoorden spelen daarbij een belangrijke rol. De zoekgigant heeft nu vier basisregels opnieuw onder de aandacht gebracht.

Het gaat dan om het kiezen van een uniek en moeilijk te raden te raden wachtwoord , dat vervolgens ergens veilig moet worden opgeslagen. Als laatste krijgen internetgebruikers ook het advies om een 'recovery optie' in te stellen, zoals een telefoonnummer of alternatief e-mailadres, voor het geval een wachtwoord toch vergeten wordt.

Reacties (9)
31-05-2013, 10:14 door Anoniem
Lastig onderwerp wachtwoorden. In feite zijn ze passé maar een echt goed (gebruikersvriendelijk) werkend alternatief is er (nog) niet echt. Persoonlijk zou ik graag iets als een soort Yubi key willen zien waarbij de gebruiker op een site (Gmail, Outlook, ING whatever) dmv. een persoonlijke code een sleutel genereert die op zo'n Yubi achtige sleutel kan worden opgeslagen. Hiermee kan de gebruiker zich voortaan identificeren als deze weer inlogt, eventueel in combinatie met een vingerafdruk (gecodeerd opgeslagen op de Yubi key achtige oplossing zelf). Maar goed, dit zal ook niet de oplossing zijn want een dergelijke constructie valt vast ook te misbruiken.
Maar wel interessant om over alternatieven voor een veiligere toegang tot websites na te denken die ook door iedere n00b eenvoudig gebruikt moet kunnen worden.
31-05-2013, 10:42 door Hans_US
Opschrijven heeft een paar beperkingen:
je moet je briefje / boekje ergens goed veilig bewaren - en dat is niet een postit op het computer scherm
je moet goed schrijven om een 32 char complex wachtwoord goed te noteren

Met andere woorden dit gaat niet lukken als je complexe wachtwoorden gebruikt.

Jammer dat wachtwoord bestanden niet slim gedistribueerd kunnen worden. Een programma als keepass dat elk wachtwoord voor een deel (char 0-15) opslaat in de cloud (dropbox, skydrive, gears etc) en een ander deel (char 16-32) op de computer/telefoon oid.
Om een wachtwoord te gebruiken heb je dan wel meerdere bronnen tegelijk nodig. Maar als een bron gekraakt wordt dan ben je niet de controlle over je bestand kwijt.

Misschien is dit te ver gezocht...
31-05-2013, 11:31 door rob
Prima tip van google.

Door Hans@US: Opschrijven heeft een paar beperkingen:
je moet je briefje / boekje ergens goed veilig bewaren - en dat is niet een postit op het computer scherm
je moet goed schrijven om een 32 char complex wachtwoord goed te noteren

Een 32 char is overdreven voor gebruikers, 10-14 is meestal voldoende.

Met andere woorden dit gaat niet lukken als je complexe wachtwoorden gebruikt.

Een passphrase als bijv. =JohnChinaPaard3 is prima te noteren en veilig genoeg.

Jammer dat wachtwoord bestanden niet slim gedistribueerd kunnen worden. Een programma als keepass dat elk wachtwoord voor een deel (char 0-15) opslaat in de cloud (dropbox, skydrive, gears etc) en een ander deel (char 16-32) op de computer/telefoon oid.

Wachtwoord opschrijven kan prima voor doorgaanse gebruikers. Niet zo moeilijk doen. Bovendien werkt je suggestie alleen als je permanent netwerk toegang hebt.

Om een wachtwoord te gebruiken heb je dan wel meerdere bronnen tegelijk nodig. Maar als een bron gekraakt wordt dan ben je niet de controlle over je bestand kwijt.

Misschien is dit te ver gezocht...

Denk het wel ja.
31-05-2013, 11:42 door Anoniem
Door Hans@US: Opschrijven heeft een paar beperkingen:
je moet je briefje / boekje ergens goed veilig bewaren - en dat is niet een postit op het computer scherm

Als er niemand in de buurt van je computer komt, is dat ook geen probleem.

Bij familie heb ik WLAN geinstalleerd. Het wachtwoord staat op een post-it op het access point. Iedereen die een nieuw device heeft, kan even gaan kijken en het intikken.

je moet goed schrijven om een 32 char complex wachtwoord goed te noteren

Bij 32 tekens gebruik je waarschijnlijk een passphrase. Die kun je redelijk gemakkelijk herkennen in je eigen schrift. Misschien is het wel handig als anderen daar problemen mee hebben. Bij mij lijken voor een paar sets van tekens erg op elkaar. Ik kan ze echter allemaal uit elkaar houden. Mensen die mijn schrift lezen, hebben het in 90% van de gevallen fout.

Jammer dat wachtwoord bestanden niet slim gedistribueerd kunnen worden. Een programma als keepass dat elk wachtwoord voor een deel (char 0-15) opslaat in de cloud (dropbox, skydrive, gears etc) en een ander deel (char 16-32) op de computer/telefoon oid.

Ik gebruik een kluis die AES256 gebruikt voor het coderen van de gegevens voor ze naar de cloud gaan.

Om een wachtwoord te gebruiken heb je dan wel meerdere bronnen tegelijk nodig. Maar als een bron gekraakt wordt, ben je niet de controlle over je bestand kwijt.

Als iemand leuk denkt te doen en het bestand op in de cloud verwijderd, kun je nergens meer inloggen. Ik gebruik de kluis om mijn telefoon en tablet. Als ik die allebei kwijt ben, staat het nog in de cloud en kan ik de kluis op een nieuw device installeren en de back-up terughalen. Met een goed, lang wachtwoord is AES256 nog niet te kraken.

Peter
31-05-2013, 11:43 door Anoniem
Bizar dat een Googlemedewerker opschrijven suggereert in plaats van een tool als KeePass gebruiken.
31-05-2013, 12:26 door Overcome
Door Anoniem: Bizar dat een Googlemedewerker opschrijven suggereert in plaats van een tool als KeePass gebruiken.

Waarom? Het gaat om het risico dat je loopt wanneer je je wachtwoord opschrijft en hoe je dat risico mitigeert. Het risico is groter wanneer je op het werk je wachtwoord op een post-it opschrijft en op je beeldscherm plakt dan wanneer je, zoals Anoniem (11:42) doet, het wachtwoord op een wireless access point plakt dat ergens in huis staat. Je hebt in dat geval een andere/ additionele mitigerende maatregel geimplementeerd, namelijk fysieke toegangsbeveiliging van je huis. Opschrijven van wachtwoorden is niet waterdicht als maatregel, want een boekje met al je wachtwoorden kun je nog steeds in de trein laten liggen en een inbreker kan ook nog steeds langskomen. In dat laatste geval zit je met een lijstje met wachtwoorden m.i. nog steeds veiliger, doordat inbrekers veelal geinteresseerd zullen zijn in waardevolle fysieke goederen zoals juwelen en electronica en niet in een wachtwoord voor Twitter.

Het is een risicoafweging die je zelf moet maken: het risico op een buitgemaakt wachtwoord dat toegang geeft tot (mogelijkerwijs veel) verschillende toepassingen zoals Hotmail, Twitter, Facebook etc.vanwege een lijst met opgeschreven wachtwoorden dat door een inbreker of een ander onbevoegd persoon wordt buitgemaakt door verlies, diefstal etc. versus het risico op een corrupte KeePass database (is mij een keer overkomen), een vergeten KeePass master password, electronische diefstal van je (gecodeerde) wachtwoorden in KeePass door lekke software op je PC etc. Ik heb tot op heden geen enkele berekening gezien die de ene oplossing altijd prefereert boven de andere. Ik schrijf bepaalde wachtwoorden zelf ook op en heb ze ergens liggen waar geen inbreker zal kijken. Andere zaken liggen in een fysieke kluis en weer andere wachtwoorden heb ik in KeePass opgeslagen. Het is maar hoe je welk risico je wilt mitigeren.
31-05-2013, 15:08 door [Account Verwijderd]
[Verwijderd]
31-05-2013, 23:27 door rob
Door Overcome:
Door Anoniem: Bizar dat een Googlemedewerker opschrijven suggereert in plaats van een tool als KeePass gebruiken.

Waarom? Het gaat om het risico dat je loopt wanneer je je wachtwoord opschrijft en hoe je dat risico mitigeert. Het risico is groter wanneer je op het werk je wachtwoord op een post-it opschrijft en op je beeldscherm plakt dan wanneer je, zoals Anoniem (11:42) doet, het wachtwoord op een wireless access point plakt dat ergens in huis staat. Je hebt in dat geval een andere/ additionele mitigerende maatregel geimplementeerd, namelijk fysieke toegangsbeveiliging van je huis. Opschrijven van wachtwoorden is niet waterdicht als maatregel, want een boekje met al je wachtwoorden kun je nog steeds in de trein laten liggen en een inbreker kan ook nog steeds langskomen. In dat laatste geval zit je met een lijstje met wachtwoorden m.i. nog steeds veiliger, doordat inbrekers veelal geinteresseerd zullen zijn in waardevolle fysieke goederen zoals juwelen en electronica en niet in een wachtwoord voor Twitter.

Je maakt er een lang verhaal van, maar kern van de zaak is dat het boerenverstand dat veel gewone gebruikers aan de dag leggen: "wie wil nou bij mij inbreken?" een kern van waarheid heeft. Er is inderdaad weinig *kans* dat iemand speciaal bij je in komt breken om een wachtwoord te stelen.

Als iemand die je digitale informatie wil stelen, de moeite zou nemen om in te breken, zou die ook je harde schijven e.d. kunnen meenemen in plaats van een wachtwoord.

Met je gezond verstand kan je dus nagaan dat voor de meeste gebruikers het risico uiterst laag is, als men een fysiek wachtwoorden lijstje hanteerd, en deze in een envelop in een la 'verstopt'.

Het gaat er om dat de positieve kant van deze manier van bewaren is dat de gebruiker eerder geneigd zou zijn om de best practices toe te passen: 1) overal andere wachtwoorden 2) sterke wachtwoorden gebruiken.

Een grote dreiging voor de doorgaanse gebruiker is immers vaak dat men wachtwoorden hergebruikt of zwakke wachtwoorden gebruikt.

Risico's tegenover elkaar afwegend, is het voor de gemiddelde gebruiker gewoon veiliger om een goed wachtwoord beleid te voeren, en deze dan maar vertrouwd op papier te zetten.

Het gebruik van secure wachtwoord software, is voor de gemiddelde gebruiker niet vanzelfsprekend.
13-06-2013, 23:29 door Anoniem
Persoonlijk zou ik graag iets als een soort Yubi key willen zien waarbij de gebruiker op een site (Gmail, Outlook, ING whatever) dmv. een persoonlijke code een sleutel genereert die op zo'n Yubi achtige sleutel kan worden opgeslagen.

Gelijk heb je dat is hardware en niet te kraken (alleen met identieke yubikey) De software matige oplossingen (keepass/lastpass etc met het 1 wachtwoord voor al je sites (al je eieren in een mand) neemt risico mee! En individueel je sites met een 32-100 karakters beveiligen is heel omslachtig.

Mooiste combi zou zijn yubikey in combi met keepass of lastpass. Maar dat is nog niet mogelijk...:(

2 point verification is ook niet helemaal veilig:
facebook: keygen of sms is te onderscheppen. Telefoonnr verbergen in privacyinstellingen
Twitter: sms (zodra je je telenr heb gegeven wordt je gespamed :( Dus meldingen uit zetten...
linkedin sms idem facebook
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.