Beveiligingsonderzoeker: niets mis met papieren wachtwoordenboekje
Er is niets mis met het bijhouden van wachtwoorden in een papieren wachtwoordenboekje, hoewel een digitale wachtwoordmanager de voorkeur verdient, zo stelt Troy Hunt, beveiligingsonderzoeker en oprichter van datalekzoekmachine Have I Been Pwned.
Op Twitter reageerde Hunt op een afbeelding van een wachtwoordenboekje, waarin mensen inloggegevens voor systemen, websites en applicaties kunnen opschrijven. Daarin stelt de onderzoeker dat er eigenlijk niets mis mee is, in vergelijking met wat bijna de meeste mensen doen, zoals het hergebruiken van hetzelfde zwakke wachtwoord voor alle accounts. Toch stelt Hunt dat het verstandiger is om een fatsoenlijke digitale wachtwoordmanager te gebruiken.
Jaren geleden stelde beveiligingsexpert Bruce Schneier al dat het prima is om wachtwoorden op te schrijven, zolang het papiertje maar op een veilige plek wordt bewaard, zoals de portemonnee. Toch zijn er ook critici. Zo vond Morey Haber, CTO van securitybedrijf BeyondTrust, dat het zinvol kan zijn om wachtwoorden op te schrijven, maar het verzamelen van alle wachtwoorden in één boekje zonder aanvullende beveiliging een risico is.
"In dit tijdperk met gratis wachtwoordmanagers zijn dergelijke boekjes een stap terug in cybersecurity en hoe je met inloggegevens moet omgaan. Ik ben verbaasd dat ze zelfs bestaan", merkte de CTO een aantal jaren geleden op. Hij raadde al helemaal af om een dergelijk boekje in een zakelijk omgeving te gebruiken.
Reacties (29)
Nog steeds een veel beter idee dan op een brakke nauwelijks geupdate windows bak in een excel document, en nee dat is niet ongebruikelijk!
Op papier is zeer goed.
Extra tip die verteld had moeten worden.
Opschrijven, en dan bij elke wachtwoord, iets vooraf of iets achter toevoegen, wat niet opgeschreven wordt!!!!!!!!!!!!
En natuurlijk een kopie ergens anders opslaan dan in dezelfde woning(brand diefstal, etc).
Betere manier is met een soort ubikey werken(wachtwoord manager), hier ook meerdere kopen en een bij familie bewaren.
Extra tip die verteld had moeten worden.
Opschrijven, en dan bij elke wachtwoord, iets vooraf of iets achter toevoegen, wat niet opgeschreven wordt!!!!!!!!!!!!
En natuurlijk een kopie ergens anders opslaan dan in dezelfde woning(brand diefstal, etc).
Betere manier is met een soort ubikey werken(wachtwoord manager), hier ook meerdere kopen en een bij familie bewaren.
Zo'n boekje is natuurlijk wel makkelijk. Heb je het boekje, dan heb je alles.
Het voordeel is natuurlijk wel dat je fysiek aanwezig moet zijn. En daar zit het verschil: bij een passwordmanager is virtueel aanwezig zijn genoeg. Iets met een keylogger en het encrypted password file downloaden zijn genoeg.
Het is maar welke bedreiging het meest serieus is. Een boekje in een buro lade met het bijbehorende slot afgesloten in een kantoor situatie klinkt als 'vrijwel onbeveiligd'.
Het boekje is natuurlijk wel heel erg makkelijk voor eenstrepers die ff willen neuzen. Dat natuurlijk wel...
Het voordeel is natuurlijk wel dat je fysiek aanwezig moet zijn. En daar zit het verschil: bij een passwordmanager is virtueel aanwezig zijn genoeg. Iets met een keylogger en het encrypted password file downloaden zijn genoeg.
Het is maar welke bedreiging het meest serieus is. Een boekje in een buro lade met het bijbehorende slot afgesloten in een kantoor situatie klinkt als 'vrijwel onbeveiligd'.
Het boekje is natuurlijk wel heel erg makkelijk voor eenstrepers die ff willen neuzen. Dat natuurlijk wel...
16-01-2023, 13:13 door
Erik van Straten
Er is natuurlijk wel wat "mis" met een papieren wachtwoordenboekje; het is stom om de risico's niet te benoemen, want die zijn er wel degelijk, in elk geval:
1) Verlies/diefstal (kleine kans, potentieel grote impact)
2) Gebruik van korte en makkelijk leesbare eneenvoudig over te tikken wachtwoorden, d.w.z. geen veilige = random gegenereerde lange passwords
3) Geklieder bij wijzigen van een wachtwoord of URL, niet kunnen sorteren, veel zoektijd als je veel accounts hebt. En daardoor risico op dubbele entries als je het niet kan vinden, dan een wachtwoord-reset doet en een nieuwe entry aanmaakt
4) Geen automatische check op de domeinnaam (risico nep-websites)
5) Boekje niet bij je als je ergens een account registreert, en vergeten het boekje aan te vullen
Het is complexe materie, staar je niet blind op wat één iemand roept.
1) Verlies/diefstal (kleine kans, potentieel grote impact)
2) Gebruik van korte en makkelijk leesbare eneenvoudig over te tikken wachtwoorden, d.w.z. geen veilige = random gegenereerde lange passwords
3) Geklieder bij wijzigen van een wachtwoord of URL, niet kunnen sorteren, veel zoektijd als je veel accounts hebt. En daardoor risico op dubbele entries als je het niet kan vinden, dan een wachtwoord-reset doet en een nieuwe entry aanmaakt
4) Geen automatische check op de domeinnaam (risico nep-websites)
5) Boekje niet bij je als je ergens een account registreert, en vergeten het boekje aan te vullen
Het is complexe materie, staar je niet blind op wat één iemand roept.
Door Anoniem:Opschrijven, en dan bij elke wachtwoord, iets vooraf of iets achter toevoegen, wat niet opgeschreven wordt!
So your password storage method is Peppered Paper... :-)
Da's n slimme tip!
Een papieren boekje vind ik zeker een aanrader. Je hoeft idd niet je ww helemaal op te schrijven, Maar bijvoorbeeld een Combinatie van letters en cijfers en tekens van een ww waar jij van weet wat het betekend. Als iemand anders het dan in handen krijgt dan heeft ie er helemaal niets aan tenzij die de achterliggende gedachten kent
Door Anoniem: Nog steeds een veel beter idee dan op een brakke nauwelijks geupdate windows bak in een excel document, en nee dat is niet ongebruikelijk!
Ik heb ook een excel sheet met al mijn wachtwoorden, maar die staat op een stick die alleen de PC in gaat als ik er een nodig heb.
Wat ook goed werkt; geen wachtwoord opslaan. Iedere keer vraag/maak je een (willekeurig) nieuwe aan. (uiteraard afhankelijk van de situatie, voor het gros werkt dit prima)
Door Anoniem:
Ik heb ook een excel sheet met al mijn wachtwoorden, maar die staat op een stick die alleen de PC in gaat als ik er een nodig heb.
Ik zou je een password manager als Keepass of KeepassXC aanbevelen, met een versleutelde wachtwoordendatabase op je eigen pc, die alleen even ontsleuteld wordt als je een wachtwoord invult of een nieuw wachtwoord aanmaakt of beheertaken uitvoert of zo. Ik denk dat tijdelijke toegang tot de versleutelde data door Keepass[XC] minder risico's oplevert dan wat jij doet, omdat jouw Excel-sheet bij jou toegankelijk is voor elk proces zolang die USB-stick is aangekoppeld, terwijl het bij een wachtwoordmanager binnen het proces blijft. Dan helpt dat ding je ook nog om random wachtwoorden te genereren, ze in te typen, het juiste wachtwoord voor de website aan te bieden etc. Ik zou het overwegen als ik jou was (en zelf gebruik ik het al jaren).Door Anoniem: Nog steeds een veel beter idee dan op een brakke nauwelijks geupdate windows bak in een excel document, en nee dat is niet ongebruikelijk!
Ik heb ook een excel sheet met al mijn wachtwoorden, maar die staat op een stick die alleen de PC in gaat als ik er een nodig heb.
16-01-2023, 14:50 door
Erik van Straten
Door Anoniem:Ik heb ook een excel sheet met al mijn wachtwoorden, maar die staat op een stick die alleen de PC in gaat als ik er een nodig heb.
En toen ging die stick kapot of raakte het bestandssysteem corruptDoor Erik van Straten:
Ja en daarom heb je een back-up op papier nodig voor in de kluis.Door Anoniem:Ik heb ook een excel sheet met al mijn wachtwoorden, maar die staat op een stick die alleen de PC in gaat als ik er een nodig heb.
En toen ging die stick kapot of raakte het bestandssysteem corruptDoor Erik van Straten: 1) Verlies/diefstal (kleine kans, potentieel grote impact)
De wachtwoorden in twee delen splitsen. De andere helft staat op een kaart, die elders is opgeborgen.
2) Gebruik van korte en makkelijk leesbare eneenvoudig over te tikken wachtwoorden [...]
$ apg -a 1 -n 1 -m 128 -c /dev/random
3) Geklieder bij wijzigen van een wachtwoord of URL,
Even een nieuwe streepjescode sticker met het gewijzigde wachtwoord over de oude heen plakken.
... niet kunnen sorteren, veel zoektijd als je veel accounts hebt.
Voor het aantal accounts tot een minimum beperken is ook wat te zeggen. Maar je hebt een punt.
4) Geen automatische check op de domeinnaam (risico nep-websites)
Daar hebben de knappe koppen bij de IETF.org ooit toch het HTTPS:protocol voor uitgezonden...? :-) Oh, shit!
https://www.security.nl/posting/781057/Let%27s+Encrypt+git_git_git___
5) Boekje niet bij je als je ergens een account registreert, en vergeten het boekje aan te vullen
Computer crash, net nadat je een account registreerde. Alle gegevens in rook opgegaan, bij gebrek aan backup :-(
Vel papier met encryptie.
O nee encryptie dat wil de overheid verbieden.
O nee encryptie dat wil de overheid verbieden.
Door Erik van Straten:
Als, als, als.....Door Anoniem:Ik heb ook een excel sheet met al mijn wachtwoorden, maar die staat op een stick die alleen de PC in gaat als ik er een nodig heb.
En toen ging die stick kapot of raakte het bestandssysteem corruptDoor Anoniem:
Opschrijven, en dan bij elke wachtwoord, iets vooraf of iets achter toevoegen, wat niet opgeschreven wordt!!!!!!!!!!!!
Opschrijven, en dan bij elke wachtwoord, iets vooraf of iets achter toevoegen, wat niet opgeschreven wordt!!!!!!!!!!!!
elkom202
Er is wat voor te zeggen. Papier is niet hackbaar. Maar er zitten natuurlijk ook wel wat nadelen aan. Het is minder flexibel. Het werkt onveiliger passwords in de hand, want als je zelf gaat typen wil je toch stiekem makkelijker te typen wachtwoorden. Stelen en vernietigen kan zowel fysiek als digitaal (bijv. door een telefoon te jatten), dus dat is om het even.
Door Anoniem: password managers kunnen ook 'gehackt' worden...
Mocht men daar bevreest voor zijn, installeer dan LessPass als een stand-alone app op een offline tablet, die alleen voor het doel van wachtwoordbeheer wordt gebruikt. Men kan de open source code daarvan aanpassen, zodat LessPass het wachtwoord ook in de vorm van een QR of streepjescode weergeeft -- dat is handig, om typefouten te vermijden.
Stateless Password Manager
Stop wasting your time synchronizing your encrypted vault. Remember one master password to access your passwords, anywhere, anytime, from any device. No sync needed.
https://www.lesspass.com
Het is helemaal geen goed idee - help veel ouderen die toch al wat kwetsbaar zijn en het is een enorm risico. Ook bekenden die weten dat dat papier er ligt kunnen in de verleiding komen. Neem daarbij nog dat veel ouderen 0000 als pin voor de smartphone en sim kaart hebben. Nee geen goed advies
Door Anoniem:
Door Erik van Straten:
Als, als, als.....Door Anoniem:Ik heb ook een excel sheet met al mijn wachtwoorden, maar die staat op een stick die alleen de PC in gaat als ik er een nodig heb.
En toen ging die stick kapot of raakte het bestandssysteem corruptToch is er wel een vrij reeel risico.
Voor malware is het relatief eenvoudig om bestanden te stelen, wanneer deze niet encrypted zijn ben je meteen aan de beurt wanner deze gestolen worden.
Zelf ben ik ook pas heel laat aan de password manager gegaan en ik wil oprecht nooit meer terug.
Alleen al om een eenduidige manier te hebben om accounts te loggen is echt een groot voordeel, zoals 't houden van meerdere mail accounts voor overige zaken die niet aan mijn naam hoeven te relateren, eerder voelde ik daarvoor weerstand om het 'weer een extra account was'.
Ik doe iets vergelijkbaars, namelijk de encrypted db op een USB disk. Ook al zou de stick gestolen worden of door malware gekaapt dan is er nog niet echt een probleem, zo nu en dan maak ik een kopie en heb ik minimaal 3 sticks liggen met de database er op. Zelfs het bewaren van de DB op een cloud account ergens zou qua security prima acceptabel zijn. (ja met een proper master password!)
Ik vond het heel lang (onterecht) gedoe maar ik wel nooit meer terug en ik kan het iedereen aanraden.
Kan me nog moeilijk voorstellen dat ik zoiets niet heb.
Door Anoniem: Het is helemaal geen goed idee - help veel ouderen die toch al wat kwetsbaar zijn en het is een enorm risico. Ook bekenden die weten dat dat papier er ligt kunnen in de verleiding komen. Neem daarbij nog dat veel ouderen 0000 als pin voor de smartphone en sim kaart hebben. Nee geen goed advies
Heb jij een pincode op je SIM kaart dan? Ik zet dat altijd uit.
17-01-2023, 08:52 door
_R0N_
Door Anoniem: Nog steeds een veel beter idee dan op een brakke nauwelijks geupdate windows bak in een excel document, en nee dat is niet ongebruikelijk!
of bij LastPass en/of LifeLock
Alles is afhankelijk van de risico's en het probleem wat je wil oplossen.
Ik ken mensen die bijv door hersenletsel, autisme of ADHD hele complexe wachtwoorden verzinnen en die letterlijk na 1 dag of korter vergeten zijn.
Door hun hoofd zijn ze vaak wel erg 'beter superveilig dan normaal veilig' (waarschijnlijk ook de soort mensen die 3 blobs wasmiddel in de wasmachine stoppen, want 1 blob is schoon ,dan is 3 blobs extra schoon).
Het hele probleem is dat ze soms wel de hele dag bezig zijn met wachtwoorden resetten ipv werken.
En dan erg gefrustreerd raken want geloof me, wachtwoord resetten gaat dan tegensputteren...
Zo'n papieren boekje zou dan een uitkomst zijn maar daar willen ze nooit aan. Is 'onveilig'... Niet het probleem en het risico meer zien maar de procedure zien...
Het probleem is dat iemand jouw account kan gebruiken, het risico is dat iemand jouw wachtwoord weet.
In onze omgeving is dat verwaarloosbaar. Dus ze proberen een probleem op te lossen wat niet bestaat.
Sterker nog, door allemaal een digitale (online) kluis te gebruiken maar je jouw kluis (als onderdeel van de hele oplossing) alleen maar interessanter en gemakkelijker toegankelijker.
Een hacker is immers maanden bezig om bij iedereen in te breken en die boekjes te stelen, online is het 4 minuten werk om alle wachtwoorden van iedereen te harvesten...
Doe maar zo'n papieren boekje dan een digitale kluis van norton ofzo die nu op straat ligt.
Ik ken mensen die bijv door hersenletsel, autisme of ADHD hele complexe wachtwoorden verzinnen en die letterlijk na 1 dag of korter vergeten zijn.
Door hun hoofd zijn ze vaak wel erg 'beter superveilig dan normaal veilig' (waarschijnlijk ook de soort mensen die 3 blobs wasmiddel in de wasmachine stoppen, want 1 blob is schoon ,dan is 3 blobs extra schoon).
Het hele probleem is dat ze soms wel de hele dag bezig zijn met wachtwoorden resetten ipv werken.
En dan erg gefrustreerd raken want geloof me, wachtwoord resetten gaat dan tegensputteren...
Zo'n papieren boekje zou dan een uitkomst zijn maar daar willen ze nooit aan. Is 'onveilig'... Niet het probleem en het risico meer zien maar de procedure zien...
Het probleem is dat iemand jouw account kan gebruiken, het risico is dat iemand jouw wachtwoord weet.
In onze omgeving is dat verwaarloosbaar. Dus ze proberen een probleem op te lossen wat niet bestaat.
Sterker nog, door allemaal een digitale (online) kluis te gebruiken maar je jouw kluis (als onderdeel van de hele oplossing) alleen maar interessanter en gemakkelijker toegankelijker.
Een hacker is immers maanden bezig om bij iedereen in te breken en die boekjes te stelen, online is het 4 minuten werk om alle wachtwoorden van iedereen te harvesten...
Doe maar zo'n papieren boekje dan een digitale kluis van norton ofzo die nu op straat ligt.
"online is het 4 minuten werk om alle wachtwoorden van iedereen te harvesten..."
Dat is toch gewoon niet waar en typisch van die urban myths die lekker in het gehoor liggen waardoor gebruikers toch maar weer afzien van degelijke digitale oplossingen- een goed wachtwoord is nauwelijks te kraken.
Dat is toch gewoon niet waar en typisch van die urban myths die lekker in het gehoor liggen waardoor gebruikers toch maar weer afzien van degelijke digitale oplossingen- een goed wachtwoord is nauwelijks te kraken.
Door Erik van Straten:
1) Verlies/diefstal (kleine kans, potentieel grote impact)
1) Verlies/diefstal (kleine kans, potentieel grote impact)
Groot voordeel: Je weet dat ze gestolen/kwijt zijn.
Door Anoniem:
Groot voordeel: Je weet dat ze gestolen/kwijt zijn.
Door Erik van Straten:
1) Verlies/diefstal (kleine kans, potentieel grote impact)
1) Verlies/diefstal (kleine kans, potentieel grote impact)
Groot voordeel: Je weet dat ze gestolen/kwijt zijn.
Tenzij de pagina's van het boek heimelijk door de dief zijn gefotografeerd of gefotokopieerd. :-(
Door Anoniem:
Tenzij de pagina's van het boek heimelijk door de dief zijn gefotografeerd of gefotokopieerd. :-(
Nog niet fataal, zolang die missende prefix / suffix enkel in je hoofd zit...Door Anoniem:
Groot voordeel: Je weet dat ze gestolen/kwijt zijn.
Door Erik van Straten:
1) Verlies/diefstal (kleine kans, potentieel grote impact)
1) Verlies/diefstal (kleine kans, potentieel grote impact)
Groot voordeel: Je weet dat ze gestolen/kwijt zijn.
Tenzij de pagina's van het boek heimelijk door de dief zijn gefotografeerd of gefotokopieerd. :-(
Ik geef in mijn trainingen altijd meerdere opties voor het opslaan van wachtwoorden. Voor het opschrijven van wachtwoorden geef ik dan ook altijd de tip mee om een eigen ‘twee-factor’ te maken, door het eerste (generieke) deel van het wachtwoord niet op te schrijven. Dat is het deel van de code die alleen jij dan kent, waardoor er als je je wachtwoordboekje verliest o.i.d. er een minder groot risico is.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
