image

Google-onderzoeker vindt ernstig lek in wachtwoordmanager Keeper

zaterdag 16 december 2017, 13:54 door Redactie, 27 reacties

Google-onderzoeker Tavis Ormandy heeft een ernstig beveiligingslek in Keeper ontdekt, een met Windows 10 gebundelde wachtwoordmanager. Via de kwetsbaarheid zou een kwaadaardige of gehackte website alle in Keeper opgeslagen wachtwoorden kunnen stelen. Alleen het bezoeken van een dergelijke website met een kwetsbare versie van Keeper zou voldoende zijn.

Ruim een jaar geleden had Ormandy het nagenoeg zelfde beveiligingslek in Keeper aangetroffen, dat destijds door de ontwikkelaar werd gepatcht. Onlangs ontdekte Ormandy in een schone Windows 10-installatie dat ook de Keeper-wachtwoordmanager was geïnstalleerd. Windows 10-gebruikers op Reddit maakten eerder dit jaar al melding van de aanwezigheid van Keeper, die standaard lijkt te worden mee-geïnstalleerd.

Het duurde niet lang voordat Ormandy een ernstig lek in de wachtwoordmanager had gevonden. De kwetsbaarheid die de onderzoeker vorig jaar ontdekte bleek ook in de Windows 10-versie aanwezig te zijn. Een kleine aanpassing aan zijn exploit van vorig jaar was genoeg om in Keeper opgeslagen wachtwoorden te stelen. Na te zijn ingelicht kwam de ontwikkelaar binnen 24 uur met een update die onder gebruikers werd uitgerold. Op deze website geeft Ormandy een demonstratie van de kwetsbaarheid.

Het is niet voor het eerst dat de onderzoeker ernstige kwetsbaarheden in wachtwoordmanagers vindt. Eerder was dit al het geval bij de programma's Dashlane en Lastpass. Op Twitter haalt Ormandy dan ook uit naar dergelijke software. "Ik wil niet horen dat zelfs een wachtwoordmanager met een eenvoudige remote root die al je wachtwoorden met elke website deelt beter is dan niets. Er zijn mensen die dit echt tegen me zeggen", merkt de onderzoeker op. "Iedereen wil dat er eenvoudige antwoorden zijn als het om security gaat, maar soms zijn die er niet."

Reacties (27)
16-12-2017, 15:12 door Anoniem
Kan dat Microsoft nou werkelijk helemaal niets meer leveren wat enige kwaliteit heeft? Na alle problemen met Windows zelf is het nu weer de gebundeld meegeleverde password manager. Toch een heel essentieel stukje software want je vertrouwt er normaliter al je wachtwoorden aan toe.
16-12-2017, 16:38 door Anoniem
Tja, daar heb je het weer. De zoveelste bevestiging dat je je wachtwoorden bij jezelf moet houden. Is ook niet 100% veilig, maar nog steeds dé veiligste manier om je wachtwoorden te beheren én uit handen van kwaadwillenden te houden.

Ik zweer bij een LOKALE Keepass(X(C)). En dan is het wachtwoordenbestand ook nog eens in een VeraCrypt container geplaatst. Volgens mij kan het op dit moment niet veiliger dan deze methode. Spreek het maar eens tegen. Kom maar op....
16-12-2017, 16:52 door karma4
Door Anoniem: .....
Ik zweer bij een LOKALE Keepass(X(C)). En dan is het wachtwoordenbestand ook nog eens in een VeraCrypt container geplaatst. Volgens mij kan het op dit moment niet veiliger dan deze methode. Spreek het maar eens tegen. Kom maar op....
Natuurlijk kan het veel veiliger. Gewoon niets op de machine opslaan, gewoon onthouden. Kom op moet te doen zijn.
Als dat niet onthouden niet lukt een analoog systeem in een fysieke kluis, dan is er nog steeds niets op de machine.
Alles wat op de machine staat kan en zal ooit tegen je gebruikt worden.
16-12-2017, 17:03 door [Account Verwijderd] - Bijgewerkt: 16-12-2017, 17:07
Door karma4:
Door Anoniem: .....
Ik zweer bij een LOKALE Keepass(X(C)). En dan is het wachtwoordenbestand ook nog eens in een VeraCrypt container geplaatst. Volgens mij kan het op dit moment niet veiliger dan deze methode. Spreek het maar eens tegen. Kom maar op....
Natuurlijk kan het veel veiliger. Gewoon niets op de machine opslaan, gewoon onthouden. Kom op moet te doen zijn.
Als dat niet onthouden niet lukt een analoog systeem in een fysieke kluis, dan is er nog steeds niets op de machine.
Alles wat op de machine staat kan en zal ooit tegen je gebruikt worden.

Hieruit blijkt dat je totaal geen feeling hebt met de praktijk, mensen hebben tientallen inlognamen en wachtwoorden en zijn onmogelijk allemaal te onthouden mits je veilige WW gebruikt en er geen patroon in hebt zitten.
16-12-2017, 17:06 door [Account Verwijderd]
Google is goed op weg door al die lekken te publiceren over niet Google producten.
16-12-2017, 17:37 door karma4 - Bijgewerkt: 16-12-2017, 18:12
Door MrEd:
Hieruit blijkt dat je totaal geen feeling hebt met de praktijk, mensen hebben tientallen inlognamen en wachtwoorden en zijn onmogelijk allemaal te onthouden mits je veilige WW gebruikt en er geen patroon in hebt zitten.
Ik ben zeer thuis in de praktijk.
Daarom moet je ook naar SSO toe werken op de achtergrond zodat gebruikers al s het dan met een beperkt aantal meerdere accounts naar risicoklasse blijven ipv van een chaos aan niet afgestemde systemen waar beheer en beveiliging een zorgenkindje is.

De vraag en uitdaging was niet om het makkelijkst werkbare systeem te beschrijven maar enkel het meest veilige.
Die contradictie is nu net het spanningsveld in de praktijk.

Nu zou google nog al die lekken en slechte support in google producten eens moeten aanpakken. Het lijkt lucratiever te zijn om dat niet te doen en een ander af te gaan branden. Dat is nu net iets waar echte beveiliging last van heeft.

https://keepersecurity.com/download.html voor alle bekende OS systemen
https://www.bloomberg.com/research/stocks/private/snapshot.asp?privcapid=243359523 zelfstandig onderneming omvang klein.
16-12-2017, 17:44 door Anoniem
Ik heb sinds 2 weken een nieuwe PC met Windows 10 Home. Ik heb een karrevracht bloatware verwijderd maar Keeper was er niet bij. Ik heb gezocht of het niet ergens toch nog stiekem staat, maar heb het niet gevonden. Keeper is niet gratis, dus je zou verwachten dat het wel op zou poppen om om geld te vragen. Niet dus. Is het wel met Windows 10 gebundeld?
16-12-2017, 17:59 door Anoniem
Door karma4:
Door Anoniem: .....
Ik zweer bij een LOKALE Keepass(X(C)). En dan is het wachtwoordenbestand ook nog eens in een VeraCrypt container geplaatst. Volgens mij kan het op dit moment niet veiliger dan deze methode. Spreek het maar eens tegen. Kom maar op....
Natuurlijk kan het veel veiliger. Gewoon niets op de machine opslaan, gewoon onthouden. Kom op moet te doen zijn.
Als dat niet onthouden niet lukt een analoog systeem in een fysieke kluis, dan is er nog steeds niets op de machine.
Alles wat op de machine staat kan en zal ooit tegen je gebruikt worden.

Dat is zeker NIET te doen. Ik kan 5 wachtwoorden onthouden, maar niet meer dan dát. Ik heb een hulpmiddel nodig, en Keepass(X(C)) is hetgeen ik MOET gebruiken om mijn wachtwoorden te onthouden. Ik ben ook niet meer de jongste, en door de vele prikkels die je vandaag de dag krijgt is het gewoon lastig om alles te onthouden.

Op de manier waarop ik het doe waan ik me veilig genoeg. Zelfs al zou ik alles op een USB-stick zetten en deze achterlaten in de trein, dan geloof ik er nog steeds genoeg in dat beide barrières zelfs door die-hard-crackers héél lastig te brute-forcen zijn. Een versleutelde Keepass-bestand, en die in een VeraCrypt-container, en dan beiden beschermd met een wachtwoord die zó lastig te raden is (ook met specifieke "kraak-software", want o.a. bestaand uit een hele rits niet-bestaande woorden), dat gaat ze héél veel tijd kosten.

Sterker nog: ik denk dat dit nog veiliger is dan onthouden. Als ik jou zou dreigen je vingers af te knippen, je te waterboarden of een andere martelmethode, dan ga je snel je wachtwoord prijsgeven hoor! Je gaat ze alles zeggen wat ze willen horen. Geloof me. ;-)
16-12-2017, 18:24 door Briolet
Door karma4:Natuurlijk kan het veel veiliger. Gewoon niets op de machine opslaan, gewoon onthouden.

Bij de gemiddelde gebruiker is dat niet veiliger. Hij gaat dan korte wachtwoorden bedenken en wachtwoorden hergebruiken voor verschillende sites. Probeer jij maar voor 60 verschillende sites, unieke 30 karakter wachtwoorden te onthouden.
16-12-2017, 19:49 door karma4
Ja ja Briolet en anoniem 17:59. Ik ben me bewust van de tegenstelling in gebruikersgemak en veiligheid.

Het was te verleidelijk die uitdaging met enkel de vraag hoe het veiliger kan. Dat is overigens een gangbare te vaak gemaakte fout. Slechts 1 eis naar voren brengen terwijl er een hele reeks is. Iso27k is daar een handreiking bij voor techniek maar alles begint bij bia cia.
16-12-2017, 20:16 door Anoniem
Door Anoniem: Ik heb sinds 2 weken een nieuwe PC met Windows 10 Home. Ik heb een karrevracht bloatware verwijderd maar Keeper was er niet bij. Ik heb gezocht of het niet ergens toch nog stiekem staat, maar heb het niet gevonden. Keeper is niet gratis, dus je zou verwachten dat het wel op zou poppen om om geld te vragen. Niet dus. Is het wel met Windows 10 gebundeld?
Herinstalleren met een USB-sticky waar de kale, standaardversie van Windows 10 op staat.

En anders:

Get-AppxPackage | Select Name, PackageFullName

Gevolgd door:

Get-AppxPackage <naam van package uit bovenstaande lijst> | Remove-AppxPackage
16-12-2017, 20:28 door Anoniem
Je loopt het meeste risico als je wachtwoordmanager-met -wachtwoorden de hele tijd on-line blijft.
Zet het bijv. op een usb-stick die je alleen gebruikt als je inlogt.
En bewaar die usbstick dan op een plek waar iemand niet gemakkelijk bij kan, of waar niemand hem gemakkelijk vind.
Je hoeft trouwens een wachtwword ook niet beslist in een wachtwoord manager te bewaren.
Gewoon een tekstbestandje met wachtwoordencryptie bijv. 7-zip of whatever.
Opschrijven kan ook nog. En dan goed wegstoppen. Je kan daarbij een aantal karakers onthouden waar je elk wachtwoord op laat eindigen, en die hoef je dan niet op te schrijven. (veiliger)

Er zijn zoveel mogelijkheden als je er goed over nadenkt.
De beste eigen ideeën kosten misschien wel wat meer moeite, dat heb je er voor over als het om security gaat
en als je gelooft dat het te doen is. Het beste idee deel ik nog even niet omdat de realisatie tijd vergt.
16-12-2017, 21:28 door Anoniem
Je vraagt je af wie het nog in zijn hoofd haalt wachtwoorden aan Windows te geven nadat deze zonder toestemming WiFi wachtwoorden naar Microsoft verzond...

Ultra veilige wachtwoordmanager voor consumenten: een pen en een kladblokje...
16-12-2017, 21:35 door [Account Verwijderd]
Door karma4:
Door MrEd:
Hieruit blijkt dat je totaal geen feeling hebt met de praktijk, mensen hebben tientallen inlognamen en wachtwoorden en zijn onmogelijk allemaal te onthouden mits je veilige WW gebruikt en er geen patroon in hebt zitten.
Ik ben zeer thuis in de praktijk.
Daarom moet je ook naar SSO toe werken op de achtergrond zodat gebruikers al s het dan met een beperkt aantal meerdere accounts naar risicoklasse blijven ipv van een chaos aan niet afgestemde systemen waar beheer en beveiliging een zorgenkindje is.

Ach daar hebben we de "professional" weer, Single Sign On doe je binnen een bedrijf maar niet als thuisgebruiker en dat is waar we het hier over hebben.
17-12-2017, 01:06 door Anoniem
Artikel is een beetje stemmingmakerij: "een met Windows 10 gebundelde wachtwoordmanager". Het gaat hier NIET om een meegeleverde applicatie, is zelfs geen Microsoft product.
17-12-2017, 01:21 door karma4
Door MrEd:
Ach daar hebben we de "professional" weer, Single Sign On doe je binnen een bedrijf maar niet als thuisgebruiker en dat is waar we het hier over hebben.
Ah de gangbare persoonlijke aanval.

Is je het niet opgevallen dat.
"Ik wil niet horen dat zelfs een wachtwoordmanager met een eenvoudige remote root die al je wachtwoorden met elke website deelt beter is dan niets. Er zijn mensen die dit echt tegen me zeggen", merkt de onderzoeker op. "Iedereen wil dat er eenvoudige antwoorden zijn als het om security gaat, maar soms zijn die er niet."
De mening is van Ormandy als "professional".
Past niet in je denkbeeld dus negeren en anderen met de zelfde mening wegzetten als ... tja wat bedoel je eigenlijk.
17-12-2017, 07:06 door [Account Verwijderd] - Bijgewerkt: 17-12-2017, 07:07
Door karma4:Ah de gangbare persoonlijke aanval.

Wellicht moet je je dan eens afvragen waarom je je zo vaak persoonlijk aangevallen voelt.

Terug naar het onderwerp;

Er zit een lek in een WW manager, jij komt met de suggestie om het allemaal maar te onthouden of het in een kluis te stoppen.
Als daar een tegenreactie op komt dan schakel je over in de "prof" mode en begin je over SSO. Je hebt ook nog een kwartje in Google gegooit dus we krijgen weer de nodige links voorgeschoteld. Het viel mee dat de iso27k en data gouvernance termen dan nog niet gevallen zijn, gelukkig valt de iso27k kreet wel in de volgende posting.

Aan je laatste posting is weer geen touw aan vast te knopen.
17-12-2017, 07:49 door Anoniem
Door MrEd:
Door karma4:
Door Anoniem: .....
Ik zweer bij een LOKALE Keepass(X(C)). En dan is het wachtwoordenbestand ook nog eens in een VeraCrypt container geplaatst. Volgens mij kan het op dit moment niet veiliger dan deze methode. Spreek het maar eens tegen. Kom maar op....
Natuurlijk kan het veel veiliger. Gewoon niets op de machine opslaan, gewoon onthouden. Kom op moet te doen zijn.
Als dat niet onthouden niet lukt een analoog systeem in een fysieke kluis, dan is er nog steeds niets op de machine.
Alles wat op de machine staat kan en zal ooit tegen je gebruikt worden.

Hieruit blijkt dat je totaal geen feeling hebt met de praktijk, mensen hebben tientallen inlognamen en wachtwoorden en zijn onmogelijk allemaal te onthouden mits je veilige WW gebruikt en er geen patroon in hebt zitten.

Het is mogelijk om voor iedere site een uniek wachtwoord te gebruiken, zonder dat je een WW manager nodig hebt of alle wachtwoorden moet onthouden. Ik doe het al jaren en bevalt me goed. Ik gebruik een simpele encryptie methode, waarbij je 1 wachtwoord als basis gebruikt, vervolgens een paar statische kenmerken van de site of bedrijf waar je wilt inloggen. Hierdoor bereken je het wachtwoord, waardoor je de reken methode, 1 password en weten welke eigenschappen gebruikt worden in de calculatie. Dit alles kan uit je hoofd berekent worden.
Het is niet 100% waterdicht, maar het beschermt mij als een site zijn wachtwoorden openbaar worden dat deze gegevens niet voor andere sites gebruikt kunnen worden.
17-12-2017, 08:50 door Anoniem
Waarom gebruikt een gewone doorsnee gebruiker een wachtwoordmanager, terwijl in zijn browser (Firefox en Chrome) de mogelijkheid is om die wachtwoorden te onthouden. In Firefox moet je voordat je toegang krijgt altijd nog een hoofdwachtwoord invoeren, dus hoeft men maar één wachtwoord te onthouden. In Chrome krijg je direct toegang, als je wachtwoord voor een specifieke website daarin is opgeslagen. Toegang tot Chrome zelf, kan je ook met een wachtwoord afschermen.

En voor het geval je die wachtwoorden zou kwijtraken, gewoon alle wachtwoorden in een tekstbestand, en deze opgeslagen op een externe schijf, eventueel met encryptie versleuteld, maar dat vereist ook weer een wachtwoord.
17-12-2017, 09:22 door karma4
Door MrEd:
Aan je laatste posting is weer geen touw aan vast te knopen.
Je het kennelijk nodig vind anderen iets te gaan verwijten aangaande:
- Een alinea die letterlijk in het artikel staat
- Het ook de mening is van Travis Ormandy om password-managers te verbannen.
Kennelijk omdat je vastzit dat password managers je enige uitweg is iedere boodschapper die wat anders zegt moet gaan neermaaien.
Heb je wat met de AVG GDPR? https://www.nen.nl/NEN-Shop/Nieuwsberichten-Security/Normen-helpen-bij-de-implementatie-van-de-AVG.htm Als je echt geinteresseerd zou zijn, zou dat toch bekend moeten zijn.
17-12-2017, 09:40 door [Account Verwijderd]
Door Anoniem:
Door MrEd:
Door karma4:
Door Anoniem: .....
Ik zweer bij een LOKALE Keepass(X(C)). En dan is het wachtwoordenbestand ook nog eens in een VeraCrypt container geplaatst. Volgens mij kan het op dit moment niet veiliger dan deze methode. Spreek het maar eens tegen. Kom maar op....
Natuurlijk kan het veel veiliger. Gewoon niets op de machine opslaan, gewoon onthouden. Kom op moet te doen zijn.
Als dat niet onthouden niet lukt een analoog systeem in een fysieke kluis, dan is er nog steeds niets op de machine.
Alles wat op de machine staat kan en zal ooit tegen je gebruikt worden.

Hieruit blijkt dat je totaal geen feeling hebt met de praktijk, mensen hebben tientallen inlognamen en wachtwoorden en zijn onmogelijk allemaal te onthouden mits je veilige WW gebruikt en er geen patroon in hebt zitten.

Het is mogelijk om voor iedere site een uniek wachtwoord te gebruiken, zonder dat je een WW manager nodig hebt of alle wachtwoorden moet onthouden. Ik doe het al jaren en bevalt me goed. Ik gebruik een simpele encryptie methode, waarbij je 1 wachtwoord als basis gebruikt, vervolgens een paar statische kenmerken van de site of bedrijf waar je wilt inloggen. Hierdoor bereken je het wachtwoord, waardoor je de reken methode, 1 password en weten welke eigenschappen gebruikt worden in de calculatie. Dit alles kan uit je hoofd berekent worden.
Het is niet 100% waterdicht, maar het beschermt mij als een site zijn wachtwoorden openbaar worden dat deze gegevens niet voor andere sites gebruikt kunnen worden.

Er zijn ook mensen die meer dan 3000 woorden per minuut kunnen lezen. Ik denk jouw methode voor de gemiddelde computergebruiker niet is weggelegd, daarnaast worden er eisen gesteld aan een geldig wachtwoord die niet overal gelijk zijn wat het m.i. weer zeer lastig maakt om een dergelijke rekenmethode te gebruiken.
17-12-2017, 09:44 door [Account Verwijderd]
Door Anoniem: Waarom gebruikt een gewone doorsnee gebruiker een wachtwoordmanager, terwijl in zijn browser (Firefox en Chrome) de mogelijkheid is om die wachtwoorden te onthouden. In Firefox moet je voordat je toegang krijgt altijd nog een hoofdwachtwoord invoeren, dus hoeft men maar één wachtwoord te onthouden. In Chrome krijg je direct toegang, als je wachtwoord voor een specifieke website daarin is opgeslagen. Toegang tot Chrome zelf, kan je ook met een wachtwoord afschermen.

Dus een wachtwoord manager die alleen geschikt is voor het gebruik met je browser en niet voor andere toepassingen?
Hoe ga je dan om met andere applicaties die een WW vereisen?


En voor het geval je die wachtwoorden zou kwijtraken, gewoon alle wachtwoorden in een tekstbestand, en deze opgeslagen op een externe schijf, eventueel met encryptie versleuteld, maar dat vereist ook weer een wachtwoord.

Een soort van eigen gemaakte wachtwoord manager dus? Het kenmerk van een WW manager is dat je het editen, versleutelen en opslaan in dat product hebt zitten.
17-12-2017, 11:16 door Briolet
Door Anoniem: Waarom gebruikt een gewone doorsnee gebruiker een wachtwoordmanager, terwijl in zijn browser (Firefox en Chrome) de mogelijkheid is om die wachtwoorden te onthouden.

Dan gebruikt hij toch al een wachtwoord manager? Alleen is dat een beperkte die slechts internet wachtwoorden kan onthouden.

Op de mac zit standaard een universele wachtwoord manager. Safari op de mac besteed het opslaan van wachtwoorden uit aan deze ww-manager. Vroeger deed Chrome op de mac dat ook zodat je met beide browsers direct toegang had op deze wachtwoorden. Chrome is er nu van afgestapt en beheerd ze zelf. Waarschijnlijk om ze zelf tussen diverse chrome applicaties te kunnen synchroniseren.

Ik heb Keeper eens getest met 1 ww op mijn Android telefoon. Na één dag kreeg ik al zoveel spam toegestuurd door Keeper, dat ik direct besloten heb dit nooit te gaan gebruiken. Achteraf een zeer wijs besluit.
17-12-2017, 17:09 door Anoniem
Door Anoniem: Ik heb sinds 2 weken een nieuwe PC met Windows 10 Home. Ik heb een karrevracht bloatware verwijderd maar Keeper was er niet bij. Ik heb gezocht of het niet ergens toch nog stiekem staat, maar heb het niet gevonden. Keeper is niet gratis, dus je zou verwachten dat het wel op zou poppen om om geld te vragen. Niet dus. Is het wel met Windows 10 gebundeld?

For about eight days, some versions of Windows 10 quietly bundled a password manager that contained a critical vulnerability in its browser plug in. https://arstechnica.com/information-technology/2017/12/microsoft-is-forcing-users-to-install-a-critically-flawed-password-manager/
17-12-2017, 17:31 door Anoniem
Door Anoniem:
Door Anoniem: Ik heb sinds 2 weken een nieuwe PC met Windows 10 Home. Ik heb een karrevracht bloatware verwijderd maar Keeper was er niet bij.
Herinstalleren met een USB-sticky waar de kale, standaardversie van Windows 10 op staat.

En anders:

Get-AppxPackage | Select Name, PackageFullName

Gevolgd door:

Get-AppxPackage <naam van package uit bovenstaande lijst> | Remove-AppxPackage

Het lijkt mij duidelijk dat Anoniem een pre-installed PC gekocht heeft en dus niet beschikt over een "USB-sticky waar de kale, standaardversie van Windows 10 op staat".
Verder, zou de gemiddelde anoniem geholpen zijn door het zonder context vermelden van een paar PowerShell commando's? Nog afgezien van het feit dat de anoniem niet zegt dat het hem/haar spijt dat Keeper niet op zijn/haar PC staat. Ik krijg eerder de indruk van het tegendeel.
18-12-2017, 06:37 door Anoniem
Door MrEd:
Door Anoniem:
Door MrEd:
Door karma4:
Door Anoniem: .....
Ik zweer bij een LOKALE Keepass(X(C)). En dan is het wachtwoordenbestand ook nog eens in een VeraCrypt container geplaatst. Volgens mij kan het op dit moment niet veiliger dan deze methode. Spreek het maar eens tegen. Kom maar op....
Natuurlijk kan het veel veiliger. Gewoon niets op de machine opslaan, gewoon onthouden. Kom op moet te doen zijn.
Als dat niet onthouden niet lukt een analoog systeem in een fysieke kluis, dan is er nog steeds niets op de machine.
Alles wat op de machine staat kan en zal ooit tegen je gebruikt worden.

Hieruit blijkt dat je totaal geen feeling hebt met de praktijk, mensen hebben tientallen inlognamen en wachtwoorden en zijn onmogelijk allemaal te onthouden mits je veilige WW gebruikt en er geen patroon in hebt zitten.

Het is mogelijk om voor iedere site een uniek wachtwoord te gebruiken, zonder dat je een WW manager nodig hebt of alle wachtwoorden moet onthouden. Ik doe het al jaren en bevalt me goed. Ik gebruik een simpele encryptie methode, waarbij je 1 wachtwoord als basis gebruikt, vervolgens een paar statische kenmerken van de site of bedrijf waar je wilt inloggen. Hierdoor bereken je het wachtwoord, waardoor je de reken methode, 1 password en weten welke eigenschappen gebruikt worden in de calculatie. Dit alles kan uit je hoofd berekent worden.
Het is niet 100% waterdicht, maar het beschermt mij als een site zijn wachtwoorden openbaar worden dat deze gegevens niet voor andere sites gebruikt kunnen worden.

Er zijn ook mensen die meer dan 3000 woorden per minuut kunnen lezen. Ik denk jouw methode voor de gemiddelde computergebruiker niet is weggelegd, daarnaast worden er eisen gesteld aan een geldig wachtwoord die niet overal gelijk zijn wat het m.i. weer zeer lastig maakt om een dergelijke rekenmethode te gebruiken.

Hiervoor gebruik ik 2 varianten met verschillende complexiteiten, waardoor het praktisch gezien werkt bij de 99% van de sites. Door een juiste complexiteit te kiezen en een juiste lengte heb ik weinig problemen met de acceptatie. Een groter probleem is als de site een wachtwoord wijzigings policy heeft. Je nieuwe wachtwoord kan niet meer hetzelfde zijn en het is moeilijk bij te houden hoeveel maal je je wachtwoord hebt gewijzigd.
Eens dat niet iedereen het vermogen heeft om zoiets te doen, echter is het eenvoudiger dan een groot aantal wachtwoorden te managen. en veiliger dan een wachtwoord manager. Toegang tot je wachtwoord manager levert alle info over waar en hoe je geregistreerd bent. Toegang hiertoe zou desastreuse gevolgen hebben voor m'n digitale leven, gezien de hoeveelheid registraties, de kritische sites gebruik ik multifactor authenticatie.
18-12-2017, 11:07 door Anoniem
Ik neem aan dat Tavis en de meeste reageerders van een bepaalde conditie uitgaan, namelijk dat de wachtwoordmanager geintegreerd is in de browser, als bijvoorbeeld extensie. Als stand-alone applicatie op je PC zal hij namelijk niet zo gevoelig zijn voor aanvallen. De WWM in de browser staat standaard "open", waardoor alle wachtwoorden beschikbaar zijn. Een externe WWM moet bij ieder verzoek opnieuw geopend worden.

Mij maakt het niets uit als ik mijn wachtwoord over moet tikken van de ene applicatie in de andere.

P.S. In de browser heb ik voor een aantal websites niet-werkende wachtwoorden opgenomen. Vooral handig voor die sites die melden als iemand probeert in te loggen onder jouw naam. Je krijgt dan een foutmelding in je mail (waar ik bij sommige sites de melding zelfs naar meerdere adressen laat sturen)

Peter
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.