Overheid adviseert gebruikers offline wachtwoordmanager
Internetgebruikers doen er verstandig aan om een wachtwoordmanager en tweefactorauthenticatie te gebruiken, zo laat het Nationaal Cyber Security Center (NCSC) van de overheid vandaag weten. Volgens de overheidsdienst komt het nog steeds vaak voor dat gebruikers simpele wachtwoorden kiezen, wat het makkelijker voor aanvallers maakt om toegang tot een account te krijgen. Daarom is er nu een speciale factsheet (pdf) met advies over wachtwoorden en aanvullende beveiligingsmaatregelen gepubliceerd.
Om online accounts te beschermen krijgen gebruikers het advies om tweefactorauthenticatie in te schakelen, ook wel tweestapsverificatie genoemd. Hierbij worden gebruikers bij het inloggen aan de hand van twee "factoren" geauthenticeerd, zoals een wachtwoord en een authenticatiecode die via sms is verstuurd. Dit moet voorkomen dat als een aanvaller het wachtwoord van een gebruiker weet hij direct op het account kan inloggen. Hiervoor heeft hij dan ook het tweede kanaal nodig, zoals de smartphone waar de authenticatiecode naar toe wordt verstuurd.
Wachtwoordmanager
Het tweede advies van het NCSC gaat over het gebruik van een wachtwoordmanager. Hiermee kunnen wachtwoorden worden beheerd en in sommige gevallen ook gegenereerd. Volgens het NCSC is het grote voordeel van wachtwoordmanagers dat ze wachtwoorden versleuteld opslaan en de gebruiker maar één hoofdwachtwoord hoeft te onthouden. Toch is ook het gebruik van een wachtwoordmanager niet zonder risico.
"Een nadeel is dat alle wachtwoorden op dezelfde plek worden bewaard. Wanneer de wachtwoordmanager wordt gecompromitteerd, krijgt kwaadwillende toegang tot alle wachtwoorden van de gebruiker", aldus de overheidsdienst. Gebruikers kunnen uit twee soorten wachtwoordmanagers kiezen, namelijk online en offline. "Een online wachtwoordmanager is handiger, een offline wachtwoordmanager is veiliger", laat het NCSC verder weten.
"Een voordeel van een offline wachtwoordmanager is dat de gebruiker zelf de controle heeft over het beheer van zijn wachtwoorden. Hij slaat zijn wachtwoorden lokaal op en is niet afhankelijk van de beveiliging van een clouddienst. Hij is dan ook zelf verantwoordelijk voor de beveiliging van de plek waar hij zijn wachtwoorden opslaat. Een nadeel van een offline wachtwoordmanager is dat de gebruiker ook in dit geval de versleutelingstechniek van de wachtwoordmanager moet vertrouwen."
Gevoeligheid
In het geval dat een gebruiker niet voor een wachtwoordmanager kiest raadt het NCSC aan om accounts in te delen op basis van gevoeligheid en wachtwoorden te kiezen op basis van de schade die met een account veroorzaakt kan worden. Het gaat dan om accounts met een lage waarde, zoals accounts voor websites waar geen persoonlijke informatie is opgeslagen, en accounts met een hoge waarde, zoals e-mailaccounts en accounts van banksites. Tot slot adviseert de overheidsdienst om sterke wachtwoorden te gebruiken en een uniek wachtwoord voor elk account te kiezen.
Ook een cloud-based wachtwoordmanager kan tijdelijk (of zelfs permanent) "uit de lucht" gaan.
Lastpass is natuurlijk een grote, maar misschien is doors (beschikbaar via Qiy.nl) ook een goed alternatief.
Lastpass is natuurlijk een grote, maar misschien is doors (beschikbaar via Qiy.nl) ook een goed alternatief.
Ik snap wel dat de overheid hier geen advies over (wil) doen. Kan alleen maar op comentaar komen te staan.
Ik bedoel, het is zeker handig en beter later dan nooit maar echt vooruitstrevend vind ik het advies niet.
Lastpass is natuurlijk een grote, maar misschien is doors (beschikbaar via Qiy.nl) ook een goed alternatief.
En doors? Ik weet niet waaruit je opmaakt dat dat een goed alternatief is, die website geeft vrijwel geen informatie. Ik kon in de overdaad aan vormgeving verrassend weinig inhoud terugvinden. Ik haal er nog net uit dat het een chrome-extensie is, maar ik zie niet waar de wachtwoorden worden opgeslagen, niet of en hoe ze versleuteld zijn, de informatievoorziening op die website is echt bedroevend mager. Dat ze die leegte met een overdaad aan vormgeving en vensterbrede foto's zonder enige relatie met het onderwerp proberen te camoufleren wekt bij mij geen vertrouwen.
Ik bedoel, het is zeker handig en beter later dan nooit maar echt vooruitstrevend vind ik het advies niet.
- Verschillende wachtwoorden voor 1 account? Ja maar..... Zelfs binnen 1 account moet per doel een ander wachtwoord gebruikt worden.
- Zoals vaak voorkomt, worden ook hier wachtwoord eigenschappen op wachtzinnen toegepast: zowel qua tekensets (sterk is echter sterk genoeg) als in de sterkte berekening, zie http://jewachtwoord.nl/
Wachtzinnen worden in de berekening als wachtwoorden behandeld, echt FOUT!
- Online en offline wordt wel heel rudimentair vergeleken. Veiligheid houdt ook beschikbaarheid in en die is van offline oplossingen echt veel minder (backup, gestolen/verloren laptop, disk crash etc.)
- Online/offline: Veel belangrijker is of de kluis sleutel in handen is van de cloud leverancier.
- Wanneer de wachtwoordmanager wordt gecompromitteerd, krijgt kwaadwillende toegang tot alle wachtwoorden van de gebruiker? Nee! Niet altijd. Nooit van 2 factor toegang gehoord bij wachtwoordmanagers :-) Nooit van ww-postfixing van belangrijke wachtwoorden gehoord?
Maar, het document schept zeker ruimte voor verbetering.
Begrijp je dat dit soort documenten niet voor jou zijn bedoeld maar voor 90% van de rest van de bevolking? Het gaat niet om het advies dat je het moet doen maar dat de overheid wel iets heeft gedaan zodat er bij identiteitsfraude of problemen met de bank tijdens rechtzaken op gewezen kan worden en dus 90% van de bevolking bakzeil haalt. Je had het kunnen weten.
Logt er dan helemaal niemand ooit ergens in met gebruik van de smartphone?
Het is eigenlijk net zoiets als de iPhone finger print reader, dat is ook geen 2-de factor zoals iemand al eerder opgemerkt heeft op dit forum. Als je namelijk de iPhone unlock code kent, voer je gewoon met dezelfde code je eigen vingerafdruk in en je hebt de 2-de factor in handen.
Tegelijkertijd wil onze overheid dat wij onze smartphones gaan gebruiken om de digid voor allerlei doeleinden te kunnen doorgeven, toch? Waarbij het me opvalt dat 2-factor authenticatie wat de overheid betreft optioneel is (alleen als ik daar zin in heb, het hoeft niet wat de belastingdienst en gemeente betreft).
Lastpass is natuurlijk een grote, maar misschien is doors (beschikbaar via Qiy.nl) ook een goed alternatief.
http://www.consumentenbond.nl/veilig-online/extra/test-wachtwoordmanagers/
Ik weet niet hoe de technische kennis is van de consumentenbond om iets over de veiligheid van de versleuteling enz. te beoordelen. In ieder geval een lijstje met soorten wachtwoord hulpmiddelen en wat voor en nadelen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
