Waarom zou je nog een passphrase van 8 woorden aanraden als je toch een wachtwoordkluis gebruikt, doe dan gewoon het i.e. 64 tekens met maximale complexiteit. Je gaat het toch niet zelf schrijven, en dat is toch echt een stuk sterker dan een passphrase met 8 woorden.

Straks mogen we ook al niet meer ons eigen wachtwoord kiezen. Dat moeten we dan verplicht door een softwaremonopolist laten doen, anders geen toegang. Dat wordt een hele interessante business case voor criminelen. De inzet wordt verhoogd met zo'n digitale kluis. Als je die kan hacken ben je spekkoper want dan heb je opeens alle wachtwoorden.

Een issue met sterke wachtwoorden is de app op het mobieltje. Het is geen feest om 64 tekens op je mobiel over te tikken omdat in te loggen op je app.

Wat AP-technoloog Jonathan Ellen even vergeet is dat je misschien een willekeurig wachtwoord niet kunt onthouden, maar dat je ook een willekeurig gekozen zin niet kunt onthouden.
Als ik snel een willekeurige zin moet kiezen omdat ik ergens een wachtwoord voor moet hebben, en ik heb die niet een paar keer moeten invoeren, dan weet ik een paar dagen later als ik dat wachtwoord weer nodig heb echt niet meer welke willekeurige zin ik bedacht had.

Met KeepassDX kan men gewoon de ingebouwde schermtoetsenbordwoordenbibliotheek gebruiken om paswoorden over te hevelen, heel veilig. (Magikeyboard, ingebouwd in KeepassDX)
Dat is daarnaast veiliger dan het gebruik van het clipboard.
Overtypen hoeft gelukkig echt niet, dat zou inderdaad geen doen zijn.

Als wachtzinnen gebruik ik zinnen die ik helemaal zelf heb bedacht en waarbij ik juist niet inlever op willekeur. Ik gebruik namelijk meerlettergrepige woorden die niet bestaan. Totale onzin die wel uitspreekbaar is. Die woorden staan in geen enkele woordenlijst. Ik heb gemerkt dat ik die, na enige oefening, uitstekend kan onthouden. Tot ik zo'n wachtzin wel kan dromen en hij ook goed in mijn motorische geheugen zit (letterlijk in mijn vingers bij het typen) heb ik steeds gezorgd dat ik een briefje achter de hand had waar het op stond, wat ik vernietigde als het niet meer nodig was. Het gaat maar om enkele wachtzinnen, een ervan dient om de wachtwoordendatabase van KeePassXC te ontsluiten.

Heeft de AP een dealtje met Diceware? Een passphrase gebruiken die door een app van een voor mij onbekende partij is gemaakt? Nee dank je.

Heel handig als grote groepen ontwikkelaars spaties niet toestaan in wachtwoorden. Oh, niet aan gedacht dat er naast letters en cijfers ook nog spaties bestaan.

Ik ben al een tijd aan het testen met KeepassDX op Android (en KeePassium op iOS), maar ik vond Magikeyboard slecht werken; ik heb dat uitgezet en voor de Android autofill gekozen.

Helemaal perfect werkt dat ook niet, vooral niet bij inloggen op deze site. Maar de pagina verversen en flink inzoomen lijkt goed te helpen; met mijn pinkafdruk kan ik de database openen. Na enkele keuzes worden automatisch de juiste inloggegevens (e-mailadres en wachtwoord) ingevuld.

Belangrijk hierbij vind ik dat dit op basis van de domeinnaam gebeurt: evt. phishing wordt daarmee enorm lastig gemaakt.

Waarom moeten wij alsmaar door meer hoepels springen. Digitalisering zou alles toch makkelijker maken.
Daar klopt geen hout van.

Ik vul ook inderdaad altijd de URL in van de desbetreffende website in Keepass om phishing te voorkomen.
Ik log als volgt in;

1: Ik open KeepassDX.
2: Ik selecteer de desbetreffende service waarop ik wil inloggen.
3: Ik selecteer de URL binnenin deze service in Keepass, deze brengt me naar de inlogpagina van de desbetreffende service.
4: op de inlogpagina houd ik de spatie lang ingedrukt en selecteer ik magikeyboard.
5: De dienst wordt automatisch geselecteerd door het toetsenbord en laat deze overzetten door de toetsenbordbibliotheek met twee kliks.
6: Daarna nog even mijn pincode via de Yubikey aanmelden.

Het magikeyboard van KeepassDX werkt inderdaad niet lekker als de juiste URL niet is ingevult, de dienst wordt in dat geval niet herkend en moet men deze achteraf handmatig selecteren.

Maar ieder diet het op zijn of haar eigen manier, ik schreef het zelf eerst op een papiertje, maar die verloor ik weleens...

Welke idioot in de veiligheid industrie denkt dat het advies van decenia geleden nog veilig is.
We hebben net bericht gehad dat men geslaagd is in pasieve afluistering van ssh rsa private versleuteling tot 1024 wat grote gevolgen zal hebben voor alles dat niet al TLS 1.3 doorgevoerd heeft of sterkere verleuteling.
https://eprint.iacr.org/2023/1711

En hier heeft het AP het over slecht huis tuin keuken advies en dragen ze een lijst uit 1995 als voorbeeld aan die al lang gekraakt kan worden op een geautomatiseerde manier maar dat vertellen ze er weer dan niet bij.

Vervolgens wordt het goede advies gegeven een keymanager met mfa om vervolgens terug te vallen op hun dicewear marketing. Nee je hoeft niet 8 woorden lang (wat niks zegt behalve dat het 8 woorden zijn) te gebruiken je moet een complex en lang wachtwoord verzinnen en onthouden en of dat woorden zijn doet er niet toe.

Als ik 8 woorden van 3 letters achter elkaar plak wil dat nog niet zeggen dat het veilig is. En voor de wachtwoorden in de kluis volg je niet standaardisering je maakt ze zolang als kan voor de dienst mogelijk is en met zo veel mogelijk ascii variatie als is toegestaan. En nooit hergebruiken wat ook weer eens niet genoemd is.

Mensen zijn niet goed in het onthouden van data dat niet gekoppeld zit aan een gebeurtenis wachtwoorden wil je niet onthouden hell als ik mijn wachtwoorden moest onhouden in mijn vak dan zat ik over de duizend en wordt ik gillend gek.

Kap met die achterhaalde adviezen. Adviseer gewoon wachtwoord kluizen 1 supersterk wachtwoord of zin met mfa als extra beveiliging en vergeet de rest van de onzin.

En zeg er ook voor de eerlijkheid bij dat de meeste wachtwoorden gejat worden door slechte database beveiliging en niet door eindgebruikers en dat je daar zelf niks tegen kan doen en pas na gemiddeld een half jaar over te horen krijgt en dat dit de reden is waarom we sterke wachtwoorden aanraden om te zorgen dat gestolen versleutelde wachtwoord informatie niet gekraakt is voor men met een datalek melding komt bij de eindgebruiker en deze maatregelen kan treffen.

Voor bijna alle overige gevallen is er spraken van exfiltratie via malware door onvoorzichtigheid van de gebruiker wua software en dan maakt wachtwoord beleid ook geen donder meer uit.

Diceware is geen "app" en ook geen "partij" waar een "dealtje" mee gemaakt kan worden. Het is gewoon een (open beschikbare) woordenlijst van 7776 woorden waardoor je de resultaten van een worp met 5 dobbelstenen kan linken aan 1 van de woorden op de lijst.

Oh, je hoeft niet door de hoepels te springen hoor. Je mag gewoon het wachtwoord met 8 karakters dat je vroeger van je internetprovider gehad hebt blijven gebruiken. Alleen lift Igor uit Oezbekistan dan mee op jouw account. Wat jij wilt.

Volgens die vriendelijke verkoper en een paar positiviteitsgoeroes zou het inderdaad allemaal beter worden. In de praktijk zijn heel veel organisaties en individuen in een brak bootje met zeer beperkte stuurmanskunsten de grote oceaan opgesleept met een enorm zware storm op komst... De digital divide was al groot, maar nu hebben we ook nog te maken met een security divide onder de IT'ers.

Dus in feite 7776 tekens. (het woord lijkt complex maar telt als 1 waarde)
Hoe groot is de kand om dat te vinden?
Liever een paar woorden ertussen die niet bestaan.

Dank voor jouw reactie!

Ik ben, vooral voor minder digitaalvaardige internetters, op zoek naar oplossingen tegen phishing. Als een internetter klikt op een link in een ontvangen bericht en er een pagina opent die als twee druppels water lijkt op bijvoorbeeld login.microsoftonline.com, maar een afwijkende domeinnaam heeft, dan helpt een wachtwoordmanager niet als de internetter daarin handmatig diens Microsoft logingegevens opzoekt en op de één of andere manier invult op de nepsite.

Android autofill weet overigens niet welke domeinnamen in de KeePassDX database bekend zijn. Idealiter werkt het als volgt:

1) Stel ik ontvang een bericht met een link naar een inlogpagina zoals https://isc.sans.edu/login.html en klik daarop.

2) Als ik klik in het "Email Address" veld, verschijnt er (helaas niet altijd) een popup met daarin:

3) Als ik op die onderste regel druk, moet ik een te laden database kiezen, dat doe ik.

4) Die database moet ik ontgrendelen met mijn pinkafdruk of wachtwoord.

5) KeePassDX zoekt vervolgens naar een record met daarin een domeinnaam die eindigt op sans.edu (helaas niet naar isc.sans.edu; als die bestaat en bijv. ook test.sans.edu krijg je een popupmenu met keuzes te zien). Ook helaas krijg je geen grote waarschuwing te zien als de domeinnaam niet gevonden wordt (Nb. in de KeePassDX instellingen heb ik "Form filling" > "Autofill settings" > "Manual selection" uit staan, maar kan dan toch handmatig records openen of ernaar zoeken; niet bepaald fool proof dus).

6) Als er een record bestaat en ik druk op de popup daarvoor, worden zowel het e-mailadres als het wachtwoord ingevuld.

Ik heb KeePassDX zo heb ingesteld dat deze hierna automatisch sluit.

Irritant is dat Android autofill niet altijd een KeePassDX popup geeft als je op een user-ID veld klikt. Dit gebeurt meestal wel als je op een wachtwoordveld klikt, maar dan wordt het user-ID veld niet automatisch ingevuld.

Wat ik feitelijk zoek is een passkey-equivalent, maar dan zonder de nadelen van passkeys.

Als je 6 woorden kiest uit de lijst van 7776 woorden dan heb je al een best wel goed wachtwoord met zo'n 78bits aan entropie. Dat gaat er dan al van uit dat je weet welke woordenlijst wordt gebruikt. In praktijk is het niet zeker welke woordenlijst iemand gebruikt. Plus kan je ze op verschillende manieren achter elkaar zetten met een leesteken naar keuze tussen de woorden, en kunnen hoofdletters worden toegevoegd. Wat allemaal de entropie verhoogt.

Als iemand de woordenlijst niet weet dan is het een wachtwoord van makkelijk meer dan 40 tekens waarmee je dus makkelijk 130 bits aan entropy kan halen. Met als voordeel dat het iets is wat je als mens ook nog makkelijk kan onthouden en intypen. Soms ontkom je er niet aan dat je een wachtwoord zelf moet invoeren.

Tuurlijk een reeks van 128 willekeurige tekens is sterker, maar dat is niet praktisch als je het ooit moet invoeren.