[beveiliging][theft]Het 'wachtwoord' discussietopic

Verwijderd schreef op zaterdag 31 mei 2008 @ 21:41:

Ik snap wel dat mensen bang zijn, maar hier in huis staan nu 2 laptops en allebij een sterk wachtwoord. Mochten ze het proberen en mochten binnenkomen hoe dan ook dan heb ik mijn best gedaan en het is alleen al een heel fijn gevoel als je weet dat het niet je eigen schuld kan zijn.

*Rogresalor is nog nooit gehackt en ik ben nooit zomaar gegevens verloren.

En daar flikker je zo een leuk Password recovery cd'tje in en kan je zo het wachtwoord resetten.

En ingaande op deze discussie , Zolang iemand de cpu kracht en de tijd heeft is alles te brute-force.

Tja ik vindt het leuk bedacht, maar een wachtwoord blijft een wachtwoord. Of die sterk is of niet, het blijft een beveiliging. Pas als je erg gevoelige data hebt dan is het waard een supersterk wachtwoord te hebben. Ik heb een wachtwoord met een hoofdletter en 2 cijfers, maar voor standaard fora e.d. gewoon een 6 letterig small capital wachtwoord.

Ik denk niet dat iemand geïnteresseerd is in mijn wachtwoorden, en ik denk ook niet in de jouwe.

Het wachtwoord Tonijn, wat is daar erg aan? Echt niemand die er op komt dat in te voeren!

Als ze je laptop stelen:
http://www.zdnet.be/news.cfm?id=85677

tjah dan helpt een pw niet echt..

Verwijderd schreef op zaterdag 31 mei 2008 @ 21:52:
[...]


Er staat ook anti-theft software op. Zodra mijn wachtwoord omzijlt wordt van mijn laptop dan zal dat programma verbinding maken met 'een dienst' en de laptop geeft zichzelf aan gejat te zijn.

Dacht je nu werkelijk dat ik als IT manager genoegen neem met louter een wachtwoord? Ik praat hier over computers in huis zoals bij jou en mij

Ik werk met zeer kritische gegevens, dus ik probeer het serieus te houden

En wat als ze dat ding niet aan een netwerk hangen?

Verwijderd schreef op zaterdag 31 mei 2008 @ 21:52:
[...]


Er staat ook anti-theft software op. Zodra mijn wachtwoord omzijlt wordt van mijn laptop dan zal dat programma verbinding maken met 'een dienst' en de laptop geeft zichzelf aan gejat te zijn.

Dacht je nu werkelijk dat ik als IT manager genoegen neem met louter een wachtwoord? Ik praat hier over computers in huis zoals bij jou en mij

Ik werk met zeer kritische gegevens, dus ik probeer het serieus te houden

via GPRS? WIFI? UTP? GPS?
wat als ze simpel je gegevens overzetten via een live cd en je ze reinstallen je laptop.
Gaat dat nog verbinding maken ?
Apple heeft dat met een foto van de persoon die achter de laptop zit.
Persoonlijk vind ik je (lees:de dief) niet zo slim als je hem niet eerst installeert nadat je de data heeft gestolen.

Als veiligheid hoog in het vaandel staat gebruik je overal een ander wachtwoord.
Stel dat een site "lek" is dan ligt je wachtwoord zo op straat. Even kijken bij welke diensten je nog meer inlogt en het is een grote kans dat het wachtwoord daar hetzelfde is.


Ik schrijf mijn wachtwoorden altijd op, maar codeer ze volgens mijn eigen methode die ik nooit kan vergeten.
Die wachtwoorden (die overal anders zijn) onthoud ik allemaal niet, en ik wil dus niet het risico lopen om dit wachtwoord te vergeten.

Bijvoorbeeld DigiID. Ik gebruik die maar 1 keer per jaar voor de belastingsdienst en dat is alles. Ik weet na een jaar echt niet meer wat voor wachtwoord ik had....

Verwijderd schreef op zaterdag 31 mei 2008 @ 21:52:
[...]


Er staat ook anti-theft software op. Zodra mijn wachtwoord omzijlt wordt van mijn laptop dan zal dat programma verbinding maken met 'een dienst' en de laptop geeft zichzelf aan gejat te zijn.

Dacht je nu werkelijk dat ik als IT manager genoegen neem met louter een wachtwoord? Ik praat hier over computers in huis zoals bij jou en mij

Ik werk met zeer kritische gegevens, dus ik probeer het serieus te houden

Maar je gegevens hebben ze dan, niet? Of blokkeert die software ook de toegang tot jou bestanden?

Op mijn werk (adsl helpdesk) bellen ze wel eens voor een probleem met de verbinding of email. De standaard wachtwoorden van belgacom bestaan uit 8 letters en cijfers door elkaar heen (zonder de letter o omdat mensen dat verwarren met 0)
Maar soms veranderen mensen hun eigen pw. En als ik dan aan hun vraag wat is u pw dan is het echt 95% in de gevallen een combinatie van voornaam en cijfers.
Heet de klant Jan dan is het pw jan01 (en die cijfers zijn er alleen maar omdat het pw verplicht letters en cijfers moeten zijn)
Dat gebeurt gewoon zo vaak.

[ Voor 40% gewijzigd door Kain_niaK op 31-05-2008 22:11 ]

Ik zeg: Keepass.

Ik ben in dementerende leeftijd, dus ik kan die wachtwoorden echt niet meer onthouden. Ik zit bij verschillende klanten met verschillende eisen aan wachtwoorden dus dat kan echt niet uit het hoofd. Ik laat Keepass dus wachtwoorden genereren en copy ze daaruit.

De db van Keepass is encrypted en de copy buffer is na 10sec weg (instelbaar), en het programma schiet na een bepaalde tijd ook in de beveiliging. Volgens de deskundigen is ie niet te kraken met normale middelen, dus lijkt me dat zelfs voor de meest paranoÍde secutityfreak toch een goede manier om alle wachtwoorden en pincodes op te slaan zonder bang te hoeven zijn dat er ww worden gejat.

Instuderen? Je moet gewoon zorgen dat je je wachtwoord af kunt leiden. Dat scheelt je werk, maar geeft je wel random wachtwoorden.

Dat afleiden is trouwens niet 'ikbenTZ' wordt '1kb3nUA', maar het gaat met langere wachtwoorden en iets ingewikkelder. Hoe ingewikkeld je het precies doet en welke manier zoek je zelf maar uit, er is genoeg te verzinnen dat alleen voor jou logisch te onthouden is.

Na een paar weken hoef je niet meer na te denken bij het typen van je wachtwoord en kun je het weer 'gewoon' snel doen

In het naar mijn mening uitstekende boek "Network Security: Private Communication in a Public World" van C. Kaufman, R. Perlman and M. Speciner, 2e ed staat o.a. een korte analyse over de onthoudbaarheid vs de sterkte van wachtwoorden. De conclusie die de auteurs trekken is dat computers eigenlijk te snel zijn geworden voor wachtwoorden. Echt sterk en onthoudbaar sluiten elkaar eigenlijk uit (voor de meeste mensen dan).

Om te bepalen of een beveiling adequaat is, moet je altijd eerst de dreigingen identificeren. Hoeveel geld/rekenkracht en tijd heeft de tegenstander en wat voor soort aanval kan hij opzetten. Bij wachtwoord beveiliging is er een groot verschil tussen on-line en off-line aanvallen en anti-pa of anti-veiligheidsdienst . Bovenstaande conclusie gaat over wachtwoord sterkte tegen een off-line aanvaller met veel middelen.

Verwijderd schreef op zaterdag 31 mei 2008 @ 21:41:
[...]
Hier dus al maatregelen en dit serieuze verhaal duidt hierop:
1. Schrijf nooit wachtwoorden op een papiertje (pincode al helemaal niet). De pin is 4 cijfers en heb ik altijd al erg zwak gevonden. liever 20 cijfers. Leer gewoon 2 telefoonnummers uit je hoofd en plak ze aan elkaar en raad het maar. Op onze server is geen inbraak gebeurt sinds we van een 8 karakter naar een 20 karakter tellend wachtwoord zijn gegaan.

Ik ken (oudere) mensen die _echt_ geen 4 cijferige PIN code kunnen outhouden. Dat kun je je mss niet voorstellen, maar dat is echt zo. Als het 20 cijfers zijn, hoeveel mensen kunnen dan nog bij hun geld, nu bankkantoren in flink tempo verdwijnen?
Maar het systeem is ontworpen om on-line aanvallen te weerstaan. Na 3 foute pogingen wordt de kaart geblokkeerd.

Wat 20 cijfers betreft: 20 cijfers komt overeen met een complexiteit van krap 70 bits. Voor een off-line aanval vind ik dat op de rand; iig niet toekomstbestendig. Zeker niet als je ook nog telefoonnummers achter elkaar gaat plakken. Het 1e en 11 cijfer zijn altijd een 0 in NL. Algemener: Niet alle nummers zijn geldig. Met bv 10M nummers in NL, hoe lang denk je dat ik erover doe om (gemiddeld 1/2*) 10M*10M codes uit te proberen? Dat is ~46.5 bits aan complexiteit en daarmee flink zwakker dan DES.

[...]
3. Studeer het dus in en gebruik geen oplopende letters in het alfabet op met formule oplopende nummers. Een hele sclecht is "mamaislief" Ik kan er al 4 woorden uit halen. Je hebt 256 karakters tot je beschikking en gebruik zeker 10 verschillende karakters en als je deze vaak opleest echolaceer je hem op ten duur na.

Makkelijk gezegd. Enig idee hoe geavanceerde off-line password crack tools werken? De meeste mensen iig niet, laat staan hoe je iets verzint dat daar resistent tegen is. En hoeveel resistente wachtwoorden kun jij goed instuderen, iedere x maanden weer? Of is het veilig om (langdurig) overal hetzelfde wachtwoord te gebruiken?

Wat vinden we van wachtwoorden zoals mensen die tegenwoordig gebruiken en ermee omgaan?


Ik had laats een PC te reparatie met een wachtwoord "Tonijn", ik moest lachen. Ook heb ik ook ooit een wachtwoord meegemaakt van "123454321" of nog erger "naam van kind" of ergst, helemaal niet.

Niet best. Maar de meeste mensen weten weinig van elektronische beveiliging. Net zoals de meeste mensen niet precies weten hoe een <voertuig> precies werkt, waarom belastingregels zijn zoals ze zijn of hoe de tijd super-nauwkeurig bepaald wordt. Mensen willen het voorwerp/de dienst gebruiken, zonder de details te hoeven snappen. Je kunt (en wilt) niet overal guru in zijn

Waarom zijn mensen zo bang tegenwoordig voor verlies van gegevens. eigenlijk is back-up net zo sterk verwant hieraan als een goed wachtwoord en nog verwanter aan diefstal ofwel theft via cracken of fysiek.
Als je laptop gejat wordt breekt het zweet je al uit en al helemaal als ze er zo in kunnen en alles lekker doorlezen om zo jouw info....openbaar te maken.....

Volgens mij zijn de meeste mensen niet bang. Eerder onbeseffend of onwetend. Of dit risico valt in het niets bij andere risicos.

Ik snap wel dat mensen bang zijn, maar hier in huis staan nu 2 laptops en allebij een sterk wachtwoord. Mochten ze het proberen en mochten binnenkomen hoe dan ook dan heb ik mijn best gedaan en het is alleen al een heel fijn gevoel als je weet dat het niet je eigen schuld kan zijn.

Wie wat proberen? Tegen welke dreiging werkt welke maatregel?

*Rogresalor is nog nooit gehackt en ik ben nooit zomaar gegevens verloren.

Feli. Maar mss heeft nog nooit iemand een poging gewaagd, of is het wel gelukt, maar weet je het nog niet. Werkt jouw anti-theft software ook nog als de schijf eruit geschroefd wordt voor inspectie/wissen?

(@TS) Naar mijn mening, overversimpel je wachtwoord authenticatie problemen nogal. Dat jij een ingewikkeld wachtwoord kunt instuderen, betekent niet dat dat genoeg is of dat iedereen dat kan.

Verwijderd schreef op zaterdag 31 mei 2008 @ 21:41:
Hallo. Voordat ik een discussie ga starten heb ik mijn hoofdwachtwoord door de wachtwoordscanner van tweakers heebgehaald en dit is het resultaat:
[afbeelding]

Wat is de "wachtwoordscanner" van Tweakers? Google brengt me niet verder dan dit topic zelf!
Ik stel me er een online wachtwoordscanner bij voor, ben je niet per definitie fout bezig als je daar je wachtwoord door laat scannen?

Ontopic: ik heb gradaties in wachtwoorden: voor oninteressante sites heb ik meestal de naam van de site zelf, voor serieuze dingen simpelweg iets wat niet uit te spreken is, en meestal ken ik het wachtwoord ook niet: ik type het wel blind in. En dat laatste bepaalt mijn keuze voor een nieuw wachtwoord: ik probeer een combinatie die makkelijk typt, zo kan ik het onthouden zonder het wachtwoord te kennen. Gevolg is wel dat ik met dvorak niet eens kan inloggen...

Henridv schreef op zaterdag 31 mei 2008 @ 21:49:
Als ze je laptop stelen:
http://www.zdnet.be/news.cfm?id=85677

Dit is wel een heel knullig artikel! Een Linux live-CD gebruiken om cmd.exe te renamen, terwijl je met diezelfde CD zo ook al overal bij kan? Wat is dan het nut van dat renamen? Om daarna weer als n00b onder Windows verder te kunnen baggeren? Bij fysieke toegang tot de computer is alles mogelijk...

[ Voor 18% gewijzigd door RemcoDelft op 31-05-2008 23:22 ]

Tja, ik ken ook mensen die een zeer simpel wachtwoord hebben en dit gewoon hardop zeggen tegen iemand die het toevallig eens nodig heeft.

Mijn wachtwoorden zijn wel redelijk moeilijk. Het is logisch, maar niet voor anderen, dus niet te raden. Het is toch niet moeilijk om bijv 40/50 chars te onthouden? Desnoods doe je iets als:

1kv1ndtw34k3rs3rgv3t3ng3bru1kd4n00k33n1337passw0rdz0d4tf3mm3m1jn13tk4nh4x0r3n.

Een gewone zin, maar dan met cijfers ipv letters en voilla: je hebt een redelijk veilige code. Als je dan nog tekens als ! @ | etc er in verwerkt dan zit je toch wel redelijk safe dacht ik.

Dennahz schreef op zaterdag 31 mei 2008 @ 23:25:
1kv1ndtw34k3rs3rgv3t3ng3bru1kd4n00k33n1337passw0rdz0d4tf3mm3m1jn13tk4nh4x0r3n.

Een BrEeZaH-dictionary-attack heeft dat zo gevonden
Maar een wachtwoord moet ook nog redelijk in te typen zijn!

En dan kan je nog altijd het Probleem Keylogger tegenkomen.
Een exploit is minder dan een dag oud , en meerdere systemen/servers zijn ten prooi gevallen.
een goede hacker/coder kan je eigen keylogger maken die niet bekend zijn bij av's zonder bekende signatures en al die meuk.
Dan kan je nog zo een sterk wachtwoord hebben maar hij is wel bekend.
EN dan heb je nog eens het probleem van fysieke keyloggers. Die beuk je in je P/S2 of USB poort en Windows merkt er niks van.
Mij kan je niet vertellen dat jij elke dag je kabels achter je computer controleert.


Het belangrijkste is gewoon zolang jij iemand de fysieke toegang tot je pc kan ontzeggen;Komt hij met veel meer moeite in je systeem.

En over dat bios password, schroef je hem open en reset je iets of haal je de HD eruit.

Maar 9/10 Diefstallen van notebooks/pc's/servers gaat het om de hardware.

Het kan aan mij liggen, maar op het moment dat ik (als dief) een laptop jat, gaat het mij om het ding an-sich. Dat is de laptop. Jij, als Jan Boerenlul waat ik het ding van jat, levert mij op die manier het apparaat. Ik ga niet voor de data, maar voor de hardware. Als ik die gelijk kan gebruiken is dat mooi. En als dat niet kan installeer ik hem opnieuw. BIOS kom ik wel omheen, en onleesbare data boeit me niet, want ik ging voor een laptop. En daar werkt echt geen enkel wachtwoord tegen. Hoe sterk ook.

Het is sowieso een heel slecht idee om overal hetzelfde wachtwoord te gebruiken. Als een hacker op 1 machine binnengeraakt, dan kan 'm aan alles. Je gebruikt nog beter overal een verschillend zwak wachtwoord dan.. Als je immer écht aan een wachtwoord wil komen, dan lukt dat wel hoor.
Keyloggertje tussen keyboard, toetsenbord filmen, exploits, ... De opties zijn ontelbaar ...
Een ingewikkeld wachtwoord helpt alleen tegen brute-forcen.

Je wachtwoord opslaan.. ? En welk wachtwoord heb je dan op die file staan? Een nóg ingewikkelder wachtwoord? Dat heb je dan allicht nog ergens opgeslagen? Riight ...
Zoals iemand hierboven al zei -> zorg ervoor dat je je wachtwoord kan afleiden!

Als je laptop gepikt wordt en iemand wil de data ervan, dan kan iedereen die een matige kennis van informatica heeft makkelijk dat HD'tje in een externe case stoppen (oid.) en de data ervan halen.
In 99% van de gevallen interesseert het de dief inderdaad geen reet wat er op je HD staat. In de 1% van de gevallen dat de dief de PC niet meteen wist en toch opstart, is er 90% kans dat er geen internet beschikbaar is. Zo'n dienst is dan ook vrijwel nutteloos.
(Ik dacht trouwens dat dat praatje enkel aansloeg bij IT-agnostische managers ...)

Gewoon je gezond verstand gebruiken! Maak er geen obsessie van!

-

[ Voor 112% gewijzigd door twiFight op 01-06-2008 03:22 ]

Zoiezo zijn die wachtwoord-raters zwaar overrated (loopt heerlijk, die zin). Hoe meer letters ik intyp, hoe sterker het ww? En met slechts één uniek teken, dus aaaaaaaaaaaaaaaaaa bijvoorbeeld, is het supersterk? Bull! Ik gebruik zelf een lang ww van meedere, unieke en niet unieke tekens, voor meerdere sites en diensten en er is me nog nooit iets overkomen. Vaak beveiligen sites hun wachtwoorden met md5 of sha1 of een ander algoritme. Alhoewel het in strakke termen geen beveiligen te noemen is, heeft het wel als voordeel slechts één kant op te kunnen coderen. DB lek? Geen nood, passes niet vrijgegeven (alhoewel je belangrijkere zaken aan je hoofd heb dan slechts passes als je DB open ligt).

Anywaus, ik vind het overrated allemaal. Je moet gewoon je pass voor jezelf houden en dan is er geen hond die hem kan raden. Tonijn, ja, wie verzint dat? Of 123454321, kom je ook niet als hardwerkende hardware-dief zo'n 123 achter. Er zijn echter talloze truukjes die je kunt doen om erachter te komen. In linux wel te verstaan, gaat prima. Windows slaat passwords op in een bastandje. Klinkt lullig, is wel zo. Kom je ook wel bij met linux, maar een progsel vervangen door een shell-prompt is ook leuk (nadeel met net user uname pass is vaak dat NTFS encrypted files niet meer toegangklijk zijn).

Verders bieden OEMs altijd zon leuke partitie aan om je PC te herstellen: leuk, kan je hem als dief nog verkopen als z.g.a.n.

Verwijderd schreef op zaterdag 31 mei 2008 @ 22:47:
[...]
Hier ga ik verder op in. Je kunt beide laptops niet recoveren zonder beginwachtwoord om de bootvolgorde te wijzigen. natuurlijk kun je er zo in. Als ik de harde schijfjes in mijn grote PC dus en ik ga te werk haal ik er wel wat vanaf, maar zodra de dief de laptop opstart zal de software kijken waar het is en als ik melding maak probeert de software via alle wegen die mogelijk zijn contact te maken met de buitenwereld, WiFi adhoc of al is het via CD-rom. Dus al de dief de laptop aanzet op een vakantieparkt kan deze laptop contact maken met de dichtbijzijnste machine en zo doorspelen.

Wacht even. Jouw laptop zal als hij gejat is een cd branden met de opdruk "Verstuur mij naar Rogresalor"? Vet! Dat wil ik ook wel.

Als iemand het voorzien heeft op je data dan weet de persoon ook donders goed dat je de schijf eruit moet trekken voordat je verder gaat.

Ik gebruik alleen software die grote bedrijven gebruiken en er zal heus wel over nagedacht zijn.

Euh, als je dan zo para bent over je wachtwoorden lijkt me dit geen goeie instelling.

Ik heb beroepsgeheim en noem de software niet, maar elders melde ik in mijn laptoptopc dat mijn laptops moeilijk te jatten zijn. Ik duw ze gewoon in mijn rugtas in een plasiek zak en dat valt niets op. Niets laptoptas, nee dat valt niet op. Een flinke mep en ik ben een laptop rijker, maar zo gaan we niet met elkaar om en daarom vraag ik me af hoe het gesteld is met wachtwoordbeheer in eigen huis.

Goed, een wachtwoord is een zekere drempel, maar als je hard genoeg aanloopt kom je er overheen, maar de meeste dieven zijn inderdaad sukkels geveld door angst en onwetendheid.

Mochten ze mijn rugtas willen dan ben ik er ook nog en mensen op straat. Een dief heeft een hekel aan getuigen en is lichtschuw in het algemeen dus loopt niet rakelijngs langs huizen en kijk gewoon vooruit en bekijk niet iedereen en mij is nog nooit iets overkomen, ook niet in hartje Amsterdam.

Dat is wat jullie proberen, mij eronderuit halen met feiten, maar je moet logisch kijken of het feit gegrond is. De kans dat ze mijn deur openbreken mij neerslaan en de machine overnemen is heel klein, maar niet 0,0000%. Enig risico heb je altijd, maar maak het risico zo klein mogelijk

Slaap je nog wel goed 's nachts? Ik vind dat je hier een beetje overdrijft.

LuckyY schreef op zondag 01 juni 2008 @ 00:33:
...keyloggers...
Dan kan je nog zo een sterk wachtwoord hebben maar hij is wel bekend.
...

Als ik op onbetrouwbare computers moet inloggen, wil ik m'n wachtwoord (voor zover ik hem ken, zie eerder...) nog wel eens in willekeurige volgorde intypen, en dan met de muis telkens op de juiste plek klikken. Zo omzeil ik keyloggers toch? Of desnoods wat andere letters tussendoor op een andere locatie!

Jester.NL schreef op zondag 01 juni 2008 @ 00:40:
... BIOS kom ik wel omheen, en onleesbare data boeit me niet, want ik ging voor een laptop. En daar werkt echt geen enkel wachtwoord tegen.

Mijn ervaring met laptops (Compaq Armada serie die ik een tijdje repareerde) was toch wel dat een bios-wachtwoord er niet uit te halen is, simpelweg omdat dat hele wachtwoord daarvoor bedoeld is! Dan zijn er ook nog IBM TravelStar disken met wachtwoord, die je voor $80 bij IBM kan laten unlocken, maar dat is het ook niet waard!
Oftewel, zeker voor een laptop: biospassword instellen, en standaard alleen boot van de harddisk. Dit heb ik bij m'n thuiscomputer ook zo trouwens, waarom zou je het makkelijk maken? Wat betreft laptops is fysieke beveiliging wat mij betreft dan ook noodzakelijker dan softwarematig.

[ Voor 22% gewijzigd door RemcoDelft op 01-06-2008 09:47 ]

Bitage schreef op zondag 01 juni 2008 @ 03:39:
Zoiezo zijn die wachtwoord-raters zwaar overrated (loopt heerlijk, die zin). Hoe meer letters ik intyp, hoe sterker het ww? En met slechts één uniek teken, dus aaaaaaaaaaaaaaaaaa bijvoorbeeld, is het supersterk? Bull!

Ik heb zelf het idee dat het wachtwoord aaaaaaaaaaaaaaaaaaaa minder sterk is dan het wachtwoord zzzzzzzzzzzzzzzzzzzz omdat een brute force meestal eerst met een a begint.

Verwijderd schreef op zaterdag 31 mei 2008 @ 22:47:
Hier ga ik verder op in. Je kunt beide laptops niet recoveren zonder beginwachtwoord om de bootvolgorde te wijzigen. natuurlijk kun je er zo in. Als ik de harde schijfjes in mijn grote PC dus en ik ga te werk haal ik er wel wat vanaf, maar zodra de dief de laptop opstart zal de software kijken waar het is en als ik melding maak probeert de software via alle wegen die mogelijk zijn contact te maken met de buitenwereld, WiFi adhoc of al is het via CD-rom.

Alleen wifi (en misschien UTP) dus. Een beetje laptop heeft zo'n handige schakelaar om wifi uit te zetten. Als het gericht wordt gejat vanwege de data, schroef je de HDD uit en maak je een image waarmee je gaat werken. De enige hardware die enige prik krijgt, is de HDD. Maar in de regel kan de data de dief gestolen worden ( ) en is het eerste dat gebeurt een format (bij dief of klant).

Gok ik, ik heb geen praktijkervaring...

Ik gebruik alleen software die grote bedrijven gebruiken en er zal heus wel over nagedacht zijn.

Kijk als ik een laptop ergens jat en ik smijt hem tegen de grond is het ook einde oefening en geen software die daar tegen helpt

? Het scherm en toetsenbord interesseert niet, als het om de data gaat.

Je kunt mijn laptop niet formatteren zonder harde bios reset en dat is bij een laptop lastiger als bij een PC want dan werkt de helft niet meer, ook de recovery partitie is dan pleite want in het BIOS staat een CLsID en die is onlosmakelijk verbonden met Windows en WGA.

Waarom zou je het iemand moeilijk willen maken te formatteren? Het ding is toch al gejat. Maak het ze dan zo makkelijk mogelijk om een lege HDD te creeeren. En wat kan jou het schelen dat de Windows door de dief wordt gebruikt? Als het een OEM is, heb je toch al geen recht meer op die licentie omdat je de hardware niet meer hebt

Maak bij wijze van een 'formatteer-me' knop en je minimaliseert dat iemand nieuwsgierig wordt en toch naar data gaat kijken.
--
Ik heb een zestal 'eenvoudige' wachtwoorden die ik onthoud en voor dingen als websites gebruik. En zet voor specifieke diensten in een encrypted container een tekstbestandje met extra wachtwoorden. Maar het is en blijft inderdaad maar een wachtwoord van N karakters. Offline achterhalen van een wachtwoord lukt in de regel wel, denk ik. Kan een weekje of wat duren met wat dedicated hardware, maar lukken doet het wel.

RemcoDelft schreef op zondag 01 juni 2008 @ 09:46:
Mijn ervaring met laptops (Compaq Armada serie die ik een tijdje repareerde) was toch wel dat een bios-wachtwoord er niet uit te halen is, simpelweg omdat dat hele wachtwoord daarvoor bedoeld is! Dan zijn er ook nog IBM TravelStar disken met wachtwoord, die je voor $80 bij IBM kan laten unlocken, maar dat is het ook niet waard!
Oftewel, zeker voor een laptop: biospassword instellen, en standaard alleen boot van de harddisk. Dit heb ik bij m'n thuiscomputer ook zo trouwens, waarom zou je het makkelijk maken? Wat betreft laptops is fysieke beveiliging wat mij betreft dan ook noodzakelijker dan softwarematig.

Yup.

Wachtwoorden horen / moeten m.i. niet meer 'de sleutel' zijn; ik mag met m'n normale wachtwoord inloggen op de VPN maar vervolgens vereist hij een speciale combinatie vanaf een pre-produced gridcard (A1 = K, B5 = C, etc ..). Dit is al een stuk veiliger
Daarnaast klassificeer ik m'n wachtwoorden in gradaties; forums / websites: simpel wachtwoord
eShopping: iets sterker
Banking: complex wachtwoord
Werk: ander complex wachtwoord
Local pc: normaal wachtwoord

Alle data die je kunt zien op m'n laptop mag je in een uiterst geval wmb best bekijken, de rest zit achter slot en grendel in een TrueCrypt partitie.

Waar ik meer in geinterreseerd ben - en hopelijk valt dit binnen dit topic - hoe sterk is een wachtwoord nog vergeleken met biometrische authenticatie?
Zie o.a. deze PDF.

r0b schreef op zondag 01 juni 2008 @ 11:51:

Waar ik meer in geinterreseerd ben - en hopelijk valt dit binnen dit topic - hoe sterk is een wachtwoord nog vergeleken met biometrische authenticatie?
Zie o.a. deze PDF.

Dat doet me denken aan die Fingerprint beveiliging, Dat werd destijds getest in mythbusters hadden ze een Professionele beveiligde deur , een laptop met fingerprint reader en een normale fingerprint reader.

Niks werkte goed. ze konden door simpele rubber namaak vinger met een willekeurige afdruk inloggen.
Laatst moest ik op mijn stage een laptop installeren er zat dus ook een fingerprint reader op.
om het duidelijk te maken moest je 5x dezelfde vinger over de scanner halen.

1. Poging 1 Wijsvinger Geaccepteerd
2. Poging 2 Wijsvinger Geacepteerd
3. Poging 3 Duim Geweigerd
4. Poging 4 Wijsvinger Geaccepteerd
5. Poging 5 Duim Geaccepteerd <---

Of ik heb rare vingers of er klopt iets niet in dat programma.
Vervolgens kon ik inloggen met mijn wijsvinger en mijn duim.
Kan een bug zijn kan een defecte scanner zijn.

Mijn interesse zit eigenlijk ook wel in de SmartCard hoe veilig zijn die ?

@Rogresalor: Wat erken jij dan als een inbraakpoging?

Kain_niaK schreef op zaterdag 31 mei 2008 @ 22:09:
Maar soms veranderen mensen hun eigen pw. En als ik dan aan hun vraag wat is u pw dan is het echt 95% in de gevallen een combinatie van voornaam en cijfers.

Sowieso: als een helpdesk van mij verwacht dat ik m'n wachtwoord letterlijk ga opnoemen, dan moeten ze niet verwachten dat ik daar een serieus wachtwoord voor ga geven. Lichtelijk paranoide als ik ben krijgen ze dat echt niet van me!
Daarbij is het vaak al niet mogelijk om een emailadres foutloos telefonisch door te geven, laat staan een fatsoenlijk wachtwoord als F@#(DFJHIWE^&@#0d~"]{ ...
Oftewel: als helpdesk moet je je zaken dusdanig op orde hebben dat je geen wachtwoorden hoeft te vragen!

Verwijderd schreef op zondag 01 juni 2008 @ 13:13:
Echter heb ik al gemeld dat als de harddiskjes demonteer en die in een goed apparaat hang dat ik er alles vanaf trek.
Wat rechten NTFS? ALs ik boot met de image van PPM trek ik alle bestandjes naar een andere locatie om ze daar eens rustig door te spitten.

Als iemand anders fysiek toegang heeft tot je netwerk/computer, dan is het niet langer jouw netwerk/computer meer.
Vanaf dat moment heb je geen enkele rechtstreekse invloed meer op de mogelijkheden.

Het enige wat je dan nog van tevoren kan doen is een encrypted filesystem of disk inzetten, of met ata-passwords gaan werken om de disk onbenaderbaar te houden voor derden.

Verwijderd schreef op zaterdag 31 mei 2008 @ 21:41:

Wat vinden we van wachtwoorden zoals mensen die tegenwoordig gebruiken en ermee omgaan?

Een goed gekozen 10 character password (eigenlijk een incorrecte term, want je wil juist geen woord gebruiken, liever een pass-string dus) is net zo sterk qua entropy als een passphrase met pak 'm beet 5 woorden en een totale lengte van 40 chars.

LuckyY schreef op zaterdag 31 mei 2008 @ 21:45:
[...]
En daar flikker je zo een leuk Password recovery cd'tje in en kan je zo het wachtwoord resetten.
En ingaande op deze discussie , Zolang iemand de cpu kracht en de tijd heeft is alles te brute-forcen.

Komt ie weer:
Als iemand anders fysiek toegang heeft tot je netwerk/computer, dan is het niet langer jouw netwerk/computer meer.

LuckyY schreef op zondag 01 juni 2008 @ 12:50:
[..biometrische onzin...fingerprint readers...]

Niks werkte goed. ze konden door simpele rubber namaak vinger met een willekeurige afdruk inloggen.
Laatst moest ik op mijn stage een laptop installeren er zat dus ook een fingerprint reader op.
om het duidelijk te maken moest je 5x dezelfde vinger over de scanner halen.

1. Poging 1 Wijsvinger Geaccepteerd
2. Poging 2 Wijsvinger Geacepteerd
3. Poging 3 Duim Geweigerd
4. Poging 4 Wijsvinger Geaccepteerd
5. Poging 5 Duim Geaccepteerd <---

Of ik heb rare vingers of er klopt iets niet in dat programma.
Vervolgens kon ik inloggen met mijn wijsvinger en mijn duim.
Kan een bug zijn kan een defecte scanner zijn.

Sowieso is het hele idee van een fingerprint als beveiliging zo fout als maar kan.
Ik heb 'm al eens eerder gepost:


Je gaat dus een publiekelijk verkrijgbaar identificerend gegeven (je vingerafdruk die je overal dagelijks achterlaat) gebruiken om een autenticatie te doen?
Welke malloot heeft dat verzonnen?
Waar is de hele challenge(verificatie dát je bent wie je zegt dat je bent - autenticatie dus) na je identificatie gebleven?

LuckyY schreef op zondag 01 juni 2008 @ 12:50:
[...]

Een biometrisch authenticatiemiddel heeft helaas te kampen met de False Positives (Type 1 error) en de False Rejections (Type 2 error).
Hoe exacter de scan, hoe minder type 1 error's maar hoe meer type 2 errors en vise versa. Het zo laag mogelijk houden van de CER (Crossover Error Rate) is zeer moeilijk.

Mijn interesse zit eigenlijk ook wel in de SmartCard hoe veilig zijn die ?

Een SmartCard is een zeer veilige opslagplaats voor cryptografisch materiaal. Maar werkt nog steeds met een pincode (aka: wachtwoord of een biometrische pincode). Maar deze kaart kan niet gebruteforced worden..

Veilige toegang verkrijg je door een combinatie van minimaal 2 van de volgende 3 methoden
- Iets wat je weet (Password)
- Iets wat je hebt (Token/SmartCard)
- Iets wat je bent (Retinascan/vingerafdruk/irisscan)

alt-92 schreef op maandag 02 juni 2008 @ 19:34:
Een goed gekozen 10 character password (eigenlijk een incorrecte term, want je wil juist geen woord gebruiken, liever een pass-string dus) is net zo sterk qua entropy als een passphrase met pak 'm beet 5 woorden en een totale lengte van 40 chars.

Als ik even uit ga van ca 64 (alfanumeriek en nog wat) bruikbare karakters uit 256 dan zit je met 10 karakters op ca 60 bits effectieve keylengte/entropie.
Natuurlijke taal zit op ca 3 bits/karakter waarbij je dus uitkomt op 120 bits. In dit geval is je passphrase zelfs nog sterker

[afbeelding]

Je gaat dus een publiekelijk verkrijgbaar identificerend gegeven (je vingerafdruk die je overal dagelijks achterlaat) gebruiken om een autenticatie te doen?
Welke malloot heeft dat verzonnen?
Waar is de hele challenge(verificatie dát je bent wie je zegt dat je bent - autenticatie dus) na je identificatie gebleven?

Je gaat hier wel enigszins kort door de bocht. Biometrie kan best voor authenticatie gebruikt worden mits gegarandeerd wordt dat de biometrie toebehoort aan de persoon die zich authenticeert. Je moet er bijvoorbeeld een mannetje naastzetten, liveness detectie uitvoeren, etc. Dit goed uitvoeren valt uiteraard niet mee.

Het tabelletje gaat dus te kort door de bocht in de kolom 'attributes'. Er zijn nou eenmaal andere methoden om een identiteitsclaim te verifieren zoals equator ook al aanhaalt.

[ Voor 2% gewijzigd door Rukapul op 03-06-2008 13:55 . Reden: niet geheel zeker over entropie natuurlijke taal ]

Rukapul schreef op dinsdag 03 juni 2008 @ 13:52:
Je gaat hier wel enigszins kort door de bocht. Biometrie kan best voor authenticatie gebruikt worden mits gegarandeerd wordt dat de biometrie toebehoort aan de persoon die zich authenticeert.

En die garantie heb je niet als je met een publiekelijk beschikbare identifier ook je autenticatie gaat doen.
Beetje hetzelfde als alleen een username gebruiken om in te loggen.
Zodra je userid 'uitlekt' is je beveiliging al om zeep.

Je moet er bijvoorbeeld een mannetje naastzetten, liveness detectie uitvoeren, etc. Dit goed uitvoeren valt uiteraard niet mee.

Daarom werkt het ook niet.

Het tabelletje gaat dus te kort door de bocht in de kolom 'attributes'. Er zijn nou eenmaal andere methoden om een identiteitsclaim te verifieren zoals equator ook al aanhaalt.

Die tabel is niks mis mee hoor
De combinatie SmartCard + fingerprint is weliswaar beter dan alleen de tegenwoordig gebruikelijke fingerprintreader, maar nog steeds kwetsbaar omdat je een fysiek toegankelijk middel (de smartcard) gaat beveiligen met een fysiek toegankelijke identifier (vingerafdruk).
Ik 'mis' dan nog steeds een secret ergens in het verhaal (pin/passstring).

[ Voor 28% gewijzigd door alt-92 op 03-06-2008 19:46 ]

Verwijderd schreef op dinsdag 03 juni 2008 @ 18:07:
[...]
Edit: De beste beveiliging is altijd nog het fysiek beschermen van je laptop/pc en zorgen dat je voordeur ook op slot draaid. Ook is het mogelijk om je inboedelverzekering aan te passen.
Weten ze niet dat je een laptop hebt, kunnen ze hem ook niet stelen.

En je Wifi beveiligd met een simpel wachtwoord....

Ik heb zelf zoals meerdere mensen hier een aantal paswoorden voor "boeit niet", "kan me geld kosten", en "zakelijke" toegang. Ofdat dit dan uit 6 karakters of 200 karakters bestaat kan me eigenlijk niet zoveel schelen. Ik moet dagelijks ongeveer 60 keer inloggen dus het moet wel typbaar zijn binnen 5 seconden. Dus max 8 karakters in mijn geval en handig gepositioneerd op het toetsenbord.

Iedereen moet het maar zo gek maken als hij of zij wilt. Maar als je paranoide gaat lopen doen zullen mensen ook sneller geintresseerd raken in je data

Kain_niaK schreef op zaterdag 31 mei 2008 @ 22:09:
En als ik dan aan hun vraag wat is u pw dan is het echt 95% in de gevallen een combinatie van voornaam en cijfers.

Verwijderd schreef op zaterdag 31 mei 2008 @ 23:01:
Ik ben blij dat te horen van een helpdeskmedewerker

Ben ik nou de enige die helemaal niet blij is dat te horen? De helpdeskmedewerker die mijn password krijgt (en al helemaal via de telefoon) moet nog geboren worden.

Dan heb je het over security, sterke passwords en wat dies meer zij, en dan wordt maar weer even aangetoond dat de zwakste schakel in elke beveiliging altijd weer de gebruiker is. En die gebruiker hoef niet eens de "o, is dat de aan-knop"-newbie te zijn, dat is ontstellend vaak de IT-er-met-een-grote-bek die overal aan gedacht heeft - denkt ie.

(Zo vond ik de opmerking "goh, dus je opent een topic en je begint met vertellen dat je je password in een online applicatie gaat lopen checken?" eigenlijk best wel sterk )