Thematopic: Wachtwoordbeveiliging

Op mijn werk moet ik iedere maand mijn wachtwoord wijzigen, zit een policy op, die helaas niet zelf beheer, en je wachtwoord moet ook voldoen aan de password complexity requirements.

Thuis heb ik meerdere wachtwoorden waar ik tussen wissel, ook volgens de password complexity requirements. Ik zit na te denken om een wachtwoorzin te gaan maken, dat is tegenwoordig de nieuwe trend en schijnt beter te zijn. Dit zal natuurlijk wel lastiger te kraken omdat er simpelweg meer karakters inzitten, maar aan de andere kant is 9 karakters volgens de complexity requirements ook wel voldoende

Ik sla mijn wachtwoorden niet op, ik heb een behoorlijk goed geheugen en tot nu toe ben ik in de 23 jaar er 1 vergeten.

• Hoe goed denk jij dat jouw wachtwoorden zijn?
- Vrij goed. Alles (op de inlog van windows na) is random. Bijvoorbeeld 'e1`qYdN@Mt@e3iI'. Ik probeer meestal uit te vissen hoe lang een wachtwoord mag zijn (op een website, binnen een applicatie), zodat ik die maximale lengte kan gebruiken.

• Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
-Ja, ja, ja en ja

• Hoe vaak wijzig jij jouw wachtwoorden?
-Paypal, ING en andere financiële dingen: om de maand. Rest eigenlijk nooit of onregelmatig.

• Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
-Elke site en elk programma heeft z'n eigen random wachtwoord.

• Hoe bewaar jij jouw wachtwoorden?
-Keepass Beveiligd met een 24 karakter wachtwoord. Voor een aparte keyfile ben ik te lui, zou ik eens in kunnen voeren.

• Wat is je grootste wachtwoorden-ergernis?
-Dat sites niet aangeven hoe lang een wachtwoord mag zijn en welke tekens er gebruikt mogen worden. En dat je dan alleen een vage melding terugkrijgt á la "je wachtwoord is niet goed" als je aan één van hun onduidelijke voorwaarden niet voldoet

---

Nog een tip: maak voor sites als 'Mijn ing.nl' ook een random username aan. Als iemand anders je username doorheeft hoeft hij maar 3x onzin in te typen bij het inloggen en je account is geblokkeerd voor een week. Kan vrij irritant zijn als je geld over moet maken

Mijn ING username is dan ook zoiets als ZJf18LFaZJp8uEDsicYjADst.

shadowman12 schreef op zondag 21 februari 2010 @ 23:55:
Op mijn werk moet ik iedere maand mijn wachtwoord wijzigen, zit een policy op, die helaas niet zelf beheer, en je wachtwoord moet ook voldoen aan de password complexity requirements.

Dat is echt belachelijk snel. Die 30 dagen komt uit de tijd dat er wachtwoorden van 8 karakters gebruikt werden waarbij alleen letters en cijfers gebruikt werden. Dan zou het ongeveer 30 dagen kunnen duren om de wachtwoorden te bruteforcen. Dus moest je 1 keer in de 30 dagen je wachtwoord wijzigen.
Nu is het aantal karakters behoorlijk groter, en kunnen de wachtwoorden ook groter zijn. Daarintegen is de processorkracht ook toegenomen, en een programma als L0phtcrack doet de meeste wachtwoorden in 1 uur tot 1 dag kraken. Moeten we nu de wachtwoorden dagelijks gaan wijzigen Nee natuurlijk niet.

Wanneer mensen de wachtwoorden te vaak moeten wijzigen dan gaat men er een patroon op nahouden. P@ssw0rd1, P@ssw0rd2, P@ssw0rd3... Ik heb dat in alle bedrijven wel gezien.

Oplossing is IMO een multifactor authentication methode. Dus met een smartcard en een ander token.

Thuis gebruik ik voor de gewone dingen een standaard wachtwoord wat niet te moeilijk is. Mijn server daarintegen heeft een vrij lastig wachtwoord, en mijn GoT account heeft een wachtwoord van 18 karakters.

Ik wissel echter niet vaak genoeg van wachtwoorden. Zou ik wel eens in moeten voeren.

Equator schreef op maandag 22 februari 2010 @ 07:30:
[...]

Thuis gebruik ik voor de gewone dingen een standaard wachtwoord wat niet te moeilijk is. Mijn server daarintegen heeft een vrij lastig wachtwoord, en mijn GoT account heeft een wachtwoord van 18 karakters.

Lol: je GoT-account is belangrijker dan je server?

In mijn geval wel ja
* Equator is erg voorzichtig met zijn account op GoT.

Ik denk dat mijn wachtwoorden wel aardig zijn. Dit heeft te maken omdat ze vrijwel altijd uit cijfers, uppercase en lowercase characters bestaan en minimaal 8 tekens lang en maximaal 16 tekens. Leestekens in wachtwoorden gebruik eigenlijk niet. Heb een aantal sites waar ik lid van ben waar leestekens in wachtwoorden niet toegestaan is dus dat zou niet werken dan. Verder gebruik ik zo'n 6 verschillende wachtwoorden. Een meervoud hiervan als je variaties van deze wachtwoorden ook meerekend.
Wachtwoorden bedenk allemaal zelf, want dan onthoud ik ze simpelweg veel beter. Ik heb overigens geen wachtwoordbeheerder in gebruik hiervoor.
Ik wissel de wachtwoorden tussen mijn accounts met regelmaat om inbraak te voorkomen. Tot nu toe is dit allemaal nog goed gegaan.

[ Voor 43% gewijzigd door Zeror op 22-02-2010 20:01 ]

Hoe goed denk jij dat jouw wachtwoorden zijn?
Prima, gebruik altijd minimaal een hoofdletter, cijfer en speciaal teken. natuurlijk een lengte van minimaal 8 karakters. Moet wel toegeven dat ze allemaal een "spinoff" zijn van een wachtwoord dat ik ooit via een wachtwoord generator heb gekregen.

Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
zoals ik al zei, alle groepen om brute force aanvallen zo lastig mogelijk te maken.

Hoe vaak wijzig jij jouw wachtwoorden?
Als mij dit niet opgelegd wordt eigenlijk nooit. Ik ga hier echter wel mee beginnen omdat ik inmiddels door de bomen het bos niet meer zie (soms dezelfde wachtwoorden voor verschillende applicaties) en ik hier toch wat mangement in wil aanbrengen.

Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Nee, maar als eerder vermeld spinoffs maar dit is volledig random.

Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Ik bedenk ze zelf op basis van een gegenereerd wachtwoord. opzich even veilig aangezien er geen volgorde in zit. dus compleet random

Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Op het moment bewaar ik ze in mn hoofd, maar ben bezig om er een tool voor te gaan gebruiken. ik ben nog aan het zoeken naar de meest geschikte.


een leuke om hierbij te betrekken zijn de 370 geblokkeerde twitter wachtwoorden. in feite is dit een relatief goede password list voor een brute force attack aangezien dit een representatieve weerspiegeling is van internetgebruikers en daarbij gekozen wachtwoorden.

Wat is het grote voordeel van vaak je passwords wijzigen? Is het enkel tegen brute force hacks?

Stel je wachtwoord is toch ergens gelogd, je hebt bijvoorbeeld op de pc van iemand anders gewerkt: meestal wordt je wachtwoord dan niet meteen gebruikt maar in een grote hoop doorverkocht. Het is best fijn als jouw wachtwoord niet werkt als iemand hem gaat gebruiken, omdat je in de tussentijd je wachtwoord hebt veranderd.

Dit gaat helemaal op als je al 10 jaar één wachtwoord voor als je logins gebruikt. De kans is dan groter dat hij ergens opgevangen is dan als je net twee weken met een wachtwoord werkt

Hoe goed denk jij dat jouw wachtwoorden zijn?	Redelijk tot zeer goed, ik gebruik in ieder gevall alle 4 de groepen, minimaal 8 tekens (vaak langer).
Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)	Altijd alle 4
Hoe vaak wijzig jij jouw wachtwoorden?	Wisselend, hangt van het belang van de bijbehorende account af.
Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)	Nope, altijd sterke wachtwoorden
Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)	X tekens uit /dev/random
Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)	Afhankelijk van het belang van het wachtwoord

In de TS worden vooral voorbeelden gegeven van wachtwoordgebruik als eindgebruiker van een systeem. Dat is natuurlijk niet de enige kant van het verhaal.

Minstens even interessant is de informatie van beheerders (voor zover dit vrij beschikbaar is):

• Welke eisen stel je aan wachtwoorden van gebruikers, en waarom?
• Voor eigen software: Wachtwoorden worden natuurlijk opgeslagen met een salt + hash, maar hoe lang zijn die salts, en welk hashalgoritme wordt gebruikt?
• Voor websites: Neem je nog maatregelen tegen het onthouden van wachtwoorden door de browser, en zo ja, welke?
• Op welke andere manier worden gebruikersaccounts (iets breder dus) beschermd? Lock-out?

• Hoe goed denk jij dat jouw wachtwoorden zijn?
- Goed. Ik gebruik 3 wachtwoorden. Gewoon één basis wachtwoord dat ik gebruik voor de meesta fora e.d. Dan een wachtwoord dat nog iets beter is voor bijv. Blackboard. En dan een enorm sterk wachtwoord van ongeveer 20 tekens die ik gebruik voor mijn Gmail en ING.

• Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
- Ja, allemaal (elke klasse)

• Hoe vaak wijzig jij jouw wachtwoorden?
- Eens in de paar maanden.

• Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
- Ja, zie het eerste punt.

• Hoe bewaar jij jouw wachtwoorden?
- In mijn hoofd .

• Wat is je grootste wachtwoorden-ergernis?
- Caps-lock

Door mijn ervaring in PGP nieuwsgroepen, heb ik wel het een en ander opgestoken van wachtwoorden en de lengtes daarvan.

De belangrijkste link die ik ken voor dit onderwerp is die van Diceware. Hiermee kan je met een dobbelsteen (wat een zeer goede RNG is) een wachtwoord bij elkaar dobbelen dat sterk genoeg is om je PGP sleutel te beschermen.

Waar het om draait is entropie:
http://world.std.com/~reinhold/dicewarefaq.html#entropy

Omdat websites meestal geen spaties toelaten heb ik een andere methode voor het maken van wachtwoorden dan Diceware.

Met GPG http://www.gnupg.org/download/index.en.html#auto-ref-2 maak ik een sleutel en codeer ik een redelijk groot bestand met het commando 'gpg -eat [bestand]'. Dit bestand is dan alleen te ontcijferen met de sleutel die ik gemaakt heb, maar daar gaat het mij niet om.

Het bestand is namelijk met een sessie sleutel gecodeerd en hiervoor is de PRNG van GPG gebruikt (waarvan je kan verwachten dat die veilig is). Alles behalve de uiteinden van het bestand kunnen nu gebruikt woorden als wachtwoord voor websites e.d. Op de Diceware pagina staat hoe je kun uitrekenen hoeveel entropie je gekozen wachtwoord heeft.

Met WiFi doe ik het net zo, maar omdat het heel veilig moet zijn en het wachtwoord maar een keer per apparaat hoeft te worden ingevuld maak ik deze met GPG net zo sterk als AES.

AES is 128 bits in WiFi (geloof ik).
GPG ascii armor is base64, maar ik gebruik alleen letters/hoofdletters/cijfers, dus 62 tekens.
Volgens de formule op de Diceware pagina is dat 2log(62) ofwel 5,9 bits per teken.
Mijn WiFi sleutel maak ik dus 128 / 2log(62) = 22 tekens.

Omdat je meer als 1 sessie wilt beschermen, vinden sommige mensen dat je deze sleutel nog iets sterker moet maken, maar erg veel meer is zinloos.

Het is wel zaak het bestand wat de bron is van je wachtwoord grondig te verwijderen met een eraser programma. Maar hiervoor zijn niet erg veel goede mogelijkheden te vinden op internet. Voor Ubuntu is er 'apt-get install secure-delete' met het commando 'srm'. Onder Windows lijkt de beschikbaarheid voor goede software om dit te doen gering helaas.

Vroeger had je Eraser van Heidi, maar daar heb ik ondertussen te veel slechte dingen over gehoord en ook zelf een keer meegemaakt.

Omdat mijn wachtwoorden niet te memoriseren zijn moet ik ze helaas opschrijven.
Encryptie guru Bruce Schneier adviseert je wachtwoord in je portemonnee te bewaren en deze niet te verliezen.

En realiseer je in het geval van WiFi dat dit af te luisteren is als iemand met de juiste WPA2 sleutel verbinding maakt. In sommige gevallen kan die data off-line op een cluster van computers gekraakt worden. Ik vind de standaard sleutel lengtes van sommige modems (bijvoorbeeld geleverd door KPN/Experiabox) dus niet voldoende. Er zijn vast ook vele andere providers waar dit zo is.

Anoniem: 231952 schreef op dinsdag 23 februari 2010 @ 22:40:
En realiseer je in het geval van WiFi dat dit af te luisteren is als iemand met de juiste WPA2 sleutel verbinding maakt. In sommige gevallen kan die data off-line op een cluster van computers gekraakt worden. Ik vind de standaard sleutel lengtes van sommige modems (bijvoorbeeld geleverd door KPN/Experiabox) dus niet voldoende. Er zijn vast ook vele andere providers waar dit zo is.

Haha, over die standaard Experiabox wachtwoorden gesproken. Die dingen zijn gegenereerd op basia van de unieke code in de SSID. Je experiabox heeft bijvoorbeeld standaard een netwerknaam als "speedtouch_8jdHx6" en dan kan doormiddel van 8jdHx6 het wachtwoord achterhaald worden Is een programmaatje voor. Erg handig om bij ons in de buurt met netwerken van de buurt te verbinden

Verder vraag ik me wel eens af of het nodig is wachtwoorden van meer dan 20 tekens te kiezen. Alsof iemand dat gaat bruteforcen (correct me if i'm wrong). Hoe gaat zoiets in z'n werk waar richten hackers zich dan op?

Anoniem: 231952 schreef op dinsdag 23 februari 2010 @ 22:40:
Met GPG http://www.gnupg.org/download/index.en.html#auto-ref-2 maak ik een sleutel en codeer ik een redelijk groot bestand met het commando 'gpg -eat [bestand]'. Dit bestand is dan alleen te ontcijferen met de sleutel die ik gemaakt heb, maar daar gaat het mij niet om.

Het bestand is namelijk met een sessie sleutel gecodeerd en hiervoor is de PRNG van GPG gebruikt (waarvan je kan verwachten dat die veilig is). Alles behalve de uiteinden van het bestand kunnen nu gebruikt woorden als wachtwoord voor websites e.d. Op de Diceware pagina staat hoe je kun uitrekenen hoeveel entropie je gekozen wachtwoord heeft.

Ik begrijp je verhaal half (dat ligt vooral aan mijzelf ), maar het klinkt als een hoop gedoe. Wat is er mis met bijvoorbeeld de keygenerator die in keepass ingebouwd zit? Screenshot.

Zelf kiezen welke tekens gebruikt moeten worden, hoe lang het wachtwoord is, entropy en weet ik veel wat. En geen bestand dat je achteraf moet wissen met een file eraser

Anoniem: 231952 schreef op dinsdag 23 februari 2010 @ 22:40:
Het is wel zaak het bestand wat de bron is van je wachtwoord grondig te verwijderen met een eraser programma. Maar hiervoor zijn niet erg veel goede mogelijkheden te vinden op internet. Voor Ubuntu is er 'apt-get install secure-delete' met het commando 'srm'.

Heeft Ubuntu (of een andere Linux distributie) niet standaard shred voor dit soort zaken?
In de handleiding van shred staan wel enkele uitzonderingen/problemen die kunnen optreden, voornamelijk afhankelijk van het gebruikte bestandssysteem (bijvoorbeeld ext3 met data=journal optie), ik heb geen idee hoe srm daar mee omgaat, in de handleiding (man page) kan ik daar niets over vinden.

Gizz schreef op maandag 22 februari 2010 @ 00:09:
• Hoe goed denk jij dat jouw wachtwoorden zijn?
- Vrij goed. Alles (op de inlog van windows na) is random. Bijvoorbeeld 'e1`qYdN@Mt@e3iI'.

Je hebt dan dus altijd Keepass aanstaan en copy/paste de boel dan steeds om in te loggen? Of heb je een heel goed geheugen?
En als je 'ergens' bent, en je moet op bv mijning inloggen, dan heb je een pda bij je die in sync is met je keepass en dan mag je dat moeilijke gedoe overtypen? Ik begrijp dat het superveilig is, maar er komt op enig moment ook een einde aan gebruiksgemak.

Niet om je systeem af te kraken, maar hoe werk je ermee in de praktijk? Want zo'n systeem werkt blijkbaar voor jou goed, maar als je bv nooit buiten je eigen huis inlogt op de banksite en dus altijd lekker kan copy/pasten (of een ff plugin gebruiken-mits die te vertrouwen is) is het een perfect systeem. Maar anders is het serieus onhandig voor zaken on the road te doen, of vergis ik me daarin?

mphilipp schreef op woensdag 24 februari 2010 @ 00:07:
[...]

Je hebt dan dus altijd Keepass aanstaan en copy/paste de boel dan steeds om in te loggen?

Die draait in de tray ja. Copy/pasten is een groot woord. Als ik op een pagina 'ctrl-alt-a' indruk vult keepass automatisch de gebruikersnaam en het wachtwoord in.

Ik ga dus naar mijn.ing.nl, druk ctrl-alt-a en ben ingelogd.

En als je 'ergens' bent, en je moet op bv mijning inloggen, dan heb je een pda bij je die in sync is met je keepass en dan mag je dat moeilijke gedoe overtypen?

Keepass is portable, en ik heb altijd een stickje met wat software etc. bij me. Ook staat het op mijn telefoon (de portable windowsversie en een WM-versie om op de telefoon zelf te gebruiken). Verder staat Keepass in mijn Dropbox (cloude storage) en sowieso geïnstalleerd op pc's die ik veel gebruik (thuis desktops, eigen laptop, pc van vriendin, desktop op werk).

Ik begrijp dat het superveilig is, maar er komt op enig moment ook een einde aan gebruiksgemak.

Het gebruiksgemak is voor mij groter, omdat ctrl-alt-a voor mij sneller is dan twee velden vol typen (ook al is het uit mijn hoofd). Verder kan ik makkelijk notities veilig bewaren (bijvoorbeeld serials van software) en zitten er allemaal handige foefjes in zoals het instellen van een datum waarna je een wachtwoord van jezelf weer moet veranderen.

Gizz schreef op dinsdag 23 februari 2010 @ 23:31:
[...]

Ik begrijp je verhaal half (dat ligt vooral aan mijzelf ), maar het klinkt als een hoop gedoe. Wat is er mis met bijvoorbeeld de keygenerator die in keepass ingebouwd zit? Screenshot.

Zelf kiezen welke tekens gebruikt moeten worden, hoe lang het wachtwoord is, entropy en weet ik veel wat. En geen bestand dat je achteraf moet wissen met een file eraser

Nou, omdat het mogelijk is dat eenzelfde wachtwoord meerdere keren wordt gegenereerd. Maar dat zijn discussies over wat random is. Is gebruikersinput meer random dan dat een computer kan berekenen Indien ja: Wat moet een computer meenemen in de berekening om echte random reeksen uit te poepen.

Voorbeeld: Als je in de overheid werkt met een laptop, en de data die mogelijk op je laptop kan blijven staan heeft een klassificatie van Stg Confidentieel (Volgens VIR-BI) dan moet je je data beschermen (Full disk encryptie) gebruikmakend van een door de NBV aangeleverde sleutel. Zij zijn namelijk van mening dat alleen een door hen gegenereerde sleutel kwalitatief voldoende is.
Daarnaast spelen ze heel fijn key-escrow, dus het kost je nog geld ook

Voor thuis is dat natuurlijk onzin, en zal de random gegenereerde sleutel prima voldoen.

Was het ook niet zo dat Base64 achterhaald en gekraakt is, en dat een AES wachtwoord met 128bit geencrypt wordt, het is niet 128bit groot, tevens wordt de AES sleutel vaker vergroot om het bruteforcen tegen te gaan.

Base64 is geen encryptie, of hashing, maar een encoding. Deze encoding wordt gebruikt om een string met maffe karakters terug te brengen naar een leesbaar formaat. Maar dit is ook prima terug te berekenen.

AES versleuteld met 128bit blokken. Oftewel, er wordt een stukje van 128bit gepakt, en versleuteld.
De sleutel grootte loopt van 128 bit via 192 bit naar 256 bit.

Vaak is het password wat de gebruiker invoert niet de daadwerkelijke Data Encryption Key, maar de Key Encryption Key. De daatwerkelijke sleutel waarmee AES gaat werken wordt gegenereerd door het systeem, en wordt versleuteld opgeslagen. Het wachtwoord wordt gebruikt om de versleutelde DEK te ontsleutelen. Het wachtwoord is dus de KEK

monnick schreef op dinsdag 23 februari 2010 @ 23:22:
[...]

Haha, over die standaard Experiabox wachtwoorden gesproken. Die dingen zijn gegenereerd op basia van de unieke code in de SSID. Je experiabox heeft bijvoorbeeld standaard een netwerknaam als "speedtouch_8jdHx6" en dan kan doormiddel van 8jdHx6 het wachtwoord achterhaald worden Is een programmaatje voor. Erg handig om bij ons in de buurt met netwerken van de buurt te verbinden

Verder vraag ik me wel eens af of het nodig is wachtwoorden van meer dan 20 tekens te kiezen. Alsof iemand dat gaat bruteforcen (correct me if i'm wrong). Hoe gaat zoiets in z'n werk waar richten hackers zich dan op?

hetzelfde geld voor UPC modems. deze hebben allemaal een standaard lengte (8 karakters) volledig hoofdletterig wachtwoord. In dit geval pak je een wordlist gegenereerd door bijv. jtr en ga je aan de slag, tis een kwestie van tijd en zal voor de meeste niet snel genoeg gaan (uit mn hoofd doet een gemiddelde pc er zo'
n 8 dagen over).

Hackers zullen voornamelijk eerst op onderzoek uitgaan. reconaissance is de belangrijkste stap tijdens zo'n aanval. probeer zoveel mogelijk informatie te achterhalen van de persoon (hobby's, namen, geboortedagen, etc.) vervolgens wordt er ingespeeld op de "simpelheid" van de mens. veel gebruikers zullen zich beperken tot bijv. alleen kleine letters en misschien een cijfer. voor brute forcing zijn dit natuurlijk factoren die de doorlooptijd aanzienlijk verkorten. indien er moeilijkere wachtwoorden gebruikt worden is een goed gegenereerde wordlist weer handig, daarom vind ik het lijstje van twitter zo grappig, je kan zien hoe simpel mensen denken als ze bepaalde kriteria opgelegd krijgen.

Gizz schreef op woensdag 24 februari 2010 @ 00:18:
[...]
Het gebruiksgemak is voor mij groter, omdat ctrl-alt-a voor mij sneller is dan twee velden vol typen (ook al is het uit mijn hoofd).

Helemaal duidelijk. Ik ga eens kijken of dit voor mij ook werkt. Thanx!

[edit]Even zeiken over portabiliteit van Keepass: het werkt niet op sommige bedrijfspc's waar je geen administrator bent. Dat kan dus lastig zijn als je ook al je passwords op je werk op die manier beheert.

[ Voor 24% gewijzigd door mphilipp op 24-02-2010 19:17 ]

Iedereen probeert hier te laten zien hoe goed ze wel niet zijn met hun wachtwoorden. Daar doe ik niet aan mee

Hoe goed denk jij dat jouw wachtwoorden zijn?
Vrij matig.

Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
Zolang er geen eisen gesteld worden, alleen (lowercase) letters en cijfers.

Hoe vaak wijzig jij jouw wachtwoorden?
Niet vaker dan vereist.

Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Nee. Alleen voor sites die ik niet vertrouw heb ik een apart wachtwoord.

Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Ik gebruik eigenlijk overal hetzelfde wachtwoord, een wachtwoord dat me ooit toegewezen was door de systeembeheerder. Als ik iets anders moet bedenken, probeer ik daar een spin-off van te bedenken.

Ik heb wel eens geprobeerd zelf een sterk wachtwoord te bedenken, maar ik blijk ze te vergeten als ik ze niet dagelijks gebruik. Ik vind het ook belangrijk dat het wachtwoord "lekker typt", zodat ik geen accounts blokker omdat ik een typfout gemaakt heb.

Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Onthouden. Vandaar zo weinig mogelijk verschillende wachtwoorden.

Mijn wachtwoorden worden wel aangegeven als "sterk". Maar ook die bestaat uit wat varianten die langzaamaan waarschijnlijk wel ingewikkelder begint te worden. Deze is ook nergens opgeschreven ook omdat het een langzaam "ontwikkeld" wachtwoord is zal ik hem nooit meer vergeten.
Op deze manier hou ik dan 2 tot 3 wachtwoorden over waarmee ik werk voor bijvoorbeeld sites waar het me niet interesseert dat het word gekraakt of niet vertrouw en de nieuwste variant van m'n wachtwoord dan voor bijvoorbeeld m'n mail reserveer.

Op mn werk word het eerder opgenoemde programma keypass gebruikt om wachtwoorden op te slaan en te genereren.


Gebruikt hier verder niemand z'n vingers om ergens op in te loggen? Laptops die hier over de balie gaan hebben allemaal zo'n apparaatje ingebouwd. Ik vind het wel verdraaide handig dat het kan. Zou als back-up een USB-stick in de kast kunnen leggen als soort rescue medium. En voortaan met de vinger in loggen.
Ik meen dat je zo'n ding ook los kan kopen en daarmee op verschillende software in zou kunnen inloggen.

Wellicht dat het nog te nieuw/onbelangrijk is voor de consument (en zelfs de gemiddelde bedrijven).

Nvm, zat te slapen .

[ Voor 97% gewijzigd door Black Eagle op 26-02-2010 17:59 ]

> Hoe goed denk jij dat jouw wachtwoorden zijn?
Zeer goed, allemaal gegenereerd met Keychain.app.

>Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
Allen.

> Hoe vaak wijzig jij jouw wachtwoorden?
Nooit.

> Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Neen.

> Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Keychain.app's generator.

> Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Keychain.app.

Hoewel Keychain.app nog véél beter kan (vooral qua UI dan), is het toch wel een win van OS X t.o.v. andere OS'en. Ja, andere OS'en hebben dat ondertussen ook, maar nog steeds minder goed geïntegreerd (terwijl het op OS X al niet geweldig is) — laat bijvoorbeeld maar eens SVN wachtwoorden automatisch onthouden door een gecentraliseerde app op Windows of Linux …

Hoe goed denk jij dat jouw wachtwoorden zijn?
Waar ik ze belangrijk vind zijn ze sterk (E-mail account, Sites waarop ik post zoals tweakers). Waar ze echter niet belangrijk zijn (Spam account, sites waarbij het me werkelijk niets uitmaakt of ik een nieuwe account moet maken) zijn ze zwak tot matig te noemen. Natuurlijk registreer ik nooit correcte persoonsgegevens bij een zwak wachtwoord.

Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
Belangrijke sites: (Bijna) Altijd alles.
Onbelangrijke sites: Upper en lowercase letters.

Hoe vaak wijzig jij jouw wachtwoorden?
Niet zo vaak als ik eigenlijk zou moeten . Aan de andere kant gebruik ik vrijwel nooit hetzelfde wachtwoord voor sites die ik belangrijk vind, en ik log nooit in vanaf een PC waarvan ik de beveiliging niet vertrouw. In principe is de kans dat een wachtwoord ontdekt wordt relatief klein en blijft de schade beperkt. (Er even van uitgaande dat ik mijn thuis PC goed beveiligd houd!) Maar als antwoord: eens in de 6 maanden tot een jaar zal wel een goede schatting zijn voor de sterke wachtwoorden.

Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Nee.

Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Ik vertrouw er maar op dat het systeem wat ik gebruik goed en random genoeg is. Als ik me opeens heel vreemd begin te gedragen weten jullie waar het aan ligt .

Ik pak altijd een begin wachtwoord wat eenvoudig te onthouden is, soms zelfs een oud watchwoord. Vervolgens genereer ik hiervan een RIPEMD160/SHA(1,256,384 of 512) of MD5 hash. Hiervan pak ik op een willekeurige positie een willekeurig aantal cijfers en letters, en voeg hier nog een leesteken of wat aan toe (Vervangen kan natuurlijk ook).

Als ik ooit het wachtwoord vergeet genereer ik opnieuw de hashes met de codes die ik me kan herinneren en dan kijk ik vervolgens of een bepaald deel me bekend voorkomt. Meestal is dat genoeg om het hele wachtwoord inclusief leestekens te herinneren, en indien nodig kan ik dus verder gaan met genereren van nieuwe hashes. Voor wie dit complex en overbodig lijkt: Ik gebruik ze zo vaak dat ik maar zelden sterke wachtwoorden vergeet. En voor de sites die ik maar zo nu en dan bezoek of die me niet echt interesseren heb ik tenslotte een set zwakke wachtwoorden.

Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Papier kan wegvliegen, Tools kunnen gekraakt worden of corrupt raken. Ik onthoud mijn wachtwoorden liever gewoon. Zodra ik kapot ga of informatie moet prijsgeven is de beschermde informatie toch veel minder waard.

Wat is je grootste wachtwoorden-ergernis?
Sites met onzinnige limitaties op wachtwoorden, zoals het verbieden van hoofdletters, het verplichten van een cijfer (alsof Aws*s^Ls niet sterk is!) en boven alles de lengte limieten van een wachtwoord. De idiootste tot nu toe was dat het wachtwoord tussen de 6 en de 10 tekens moest zijn.

[ Voor 5% gewijzigd door Anoniem: 346195 op 26-02-2010 20:26 . Reden: Extra vraag ]

Hoe goed denk jij dat jouw wachtwoorden zijn?
Vrij goed, ik gebruik tussen de 8 en de +/- 20 tekens, willekeurig getikt op mijn toetsenbord. Geen enkele van die wachtwoorden onthoud ik.

Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
Allemaal, ieder wachtwoord heeft ten minste 1 hoofdletter en een kleine letters, en bijna allemaal ook cijfers en leestekens.

Hoe vaak wijzig jij jouw wachtwoorden?
nooit...

Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
nee, iedere site heeft een ander wachtwoord. Behalve voor school, daar krijg je 1 wachtwoord voor alle schoolwebsites (webmail, cijferswebsite, tentamen inschrijfsite etc.)

Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Ik bedenk ieder wachtwoord zelf, gewoon met je ogen dicht een keer of 10 a 20 op je toetsenbord rammen en dan spaties eruit halen . Iedere keer als ik een wachtwoord nodig heb verzin ik er eentje.

Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Ik heb alle wachtwoorden opgeslagen in een .txt bestandje op mijn harde schijf van mijn laptop. Mijn hele harde schijf ik geencrypt via ubuntu, omdat ik dat ding altijd mee naar school neem. Mocht hij dan ooit gejat worden ofzo is het toch verdomd lastig om mijn prive data aan te kunnen. Omdat alles geencrypt is, is het dus vrij veilig om wachtwoorden gewoon plaintext op te slaan, en omdat ik mijn laptop bijna altijd bij heb heb ik ook mijn wachtwoorden bij. Ik hoef dus maar 1 wachtwoord te onthouden (die van mijn harde schijf) en dan kan ik alles. Dat ene master wachtwoord is 16 tekens (hoofd, klein, cijfers en leestekens) en is dus vrij moeilijk te brute-forcen.

Hoe goed denk jij dat jouw wachtwoorden zijn?

De wachtwoorden voor belangrijke zaken (webmail, T.net, andere gevoelige zaken) zijn extreem goed (supersterk volgens T.net wachtwoord check en ook erg sterk volgens Google).

Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)

Upper- en lowercase letters en leestekens.

Hoe vaak wijzig jij jouw wachtwoorden?

Voor belangrijke zaken, ongeveer éénmaal per jaar.

Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)

Yes, scheiding tussen erg belangrijk, gewoon en boeiend. Grofweg drie categorieën dus.

Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)

Bedenk al mijn wachtwoorden zelf. Zijn dus wél leesbaar, echter te lang en ongebruikelijk om door wat dan ook te kraken te zijn.

Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)

Gewoon onthouden, ik heb nooit echt vertrouwen in tools waar ik al mijn wachtwoorden in moet geven. Voelt toch niet echt prettig.

[ Voor 3% gewijzigd door Cloud op 26-02-2010 19:46 ]

Hoe goed denk jij dat jouw wachtwoorden zijn?
Ik denk goed Ik gebruik verschillende wachtwoorden met telkens een hogere complexiteit. Belangrijke zaken (zoals mijn mail, domein beheer) zijn zeer belangrijk en hebben het meest complexe wachtwoord. Forums enz is wat minder belangrijk en als laatst heb je de rommel dingen waar ik een wachtwoord heb in de aard van Hallo. Dat laatste is inderdaad wel vreselijk onveilig maar gebruik ik enkel voor sites waar ik eigenlijk gewoon een vraag ofzo moest stellen (en je bent verplicht om een account aan te maken).
Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
Mijn meest complexe bevat cijfers, letters (upper en lower), leestekens en vreemde tekens (zoals %-!...)
Hoe vaak wijzig jij jouw wachtwoorden?
Eigenlijk nooit :-/
Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Jeb. Ik vertrouw vele sites niet. Voor sites die bij de wachtwoord vergeten link gewoon je huidig terug kunnen doorsturen. Bewijst volgens mij dat hun eigen beheerders je wachtwoorden kunnen zien.
Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Altijd dezelfde
Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Ingebouwde password manager van de browser maar met een master password zodat 'gasten' op mijn computer niet zomaar mijn wachtwoorden kunnen zien.
Waar ik mij het meest aan erger?
Als je bepaalde tekens niet mag gebruiken in een wachtwoord. Om mijn online belastingaangifte te doen mag je bv bepaalde tekens (zoals %) niet gebruiken of maar beperkt bent in het aantal tekens.
Een wachtwoord beleid waar je om de maand je wachtwoord moet wijzigen vind ik wat overdreven. Dit leidt tot gebruikers die slechte wachtwoorden gaan bedenken omdat ze het anders altijd vergeten. Veel mensen nemen dan als wachtwoord de maand met het jaartal erachter of kleven het als post-it op hun scherm. Tja wat is dan nog het nu van een wachtwoord?

Ik erger me ook aan het niet kunnen gebruiken van sommige (helemaal niet zo speciale) leestekens. Bijvoorbeeld de spatie zie je heel vaak bij de niet toegestane tekens staan. Ik heb geen idee waarom dat zou moeten, want een spatie is nou juist een handig karakter voor in je wachtwoord. Makkelijk te typen en het maakt rainbowtables zo goed als nutteloos.

Onder andere Microsoft accepteert geen spaties. Gelukkig accepteren Google en T.net wel zo goed als alle tekens, daar heb ik dan ook nooit problemen.

Ik hanteer categorieën waar ik wachtwoorden voor moet opvoeren. Voor websites als Paypal, Ebay en de IB-Groep hanteer ik unieke, lange, sterke, wachtwoorden. Voor servers hanteer ik lange root wachtwoorden en log ik vooral in middels public-private key. Voor registraties bij webshops hanteer ik redelijke wachtwoorden, een combinatie van twee / drie woorden met wat cijfers. Deze zijn doorgaans wel hetzelfde. Voor fora hanteer ik nog wel eens hetzelfde wachtwoord (Tweakers wachtwoord zojuist gewijzigd ), maar vooral verschillende gebruikersnamen. Ik denk dat ik in totaal zo'n vier verschillende wachtwoorden heb voor fora.
Voor de rest ben ik kritisch in voor welke websites mijn browser de wachtwoorden mag onthouden. Voor fora is dat het geval, voor Ebay, Paypal, Gmail, ... niet.
Momenteel sla ik nog geen wachtwoorden op, maar ik denk er nu toch sterk aan om met Keepass te gaan werken. Deze wil ik dan in Dropbox plaatsen om er altijd bij te kunnen. Alleen dan kan ik overal unieke wachtwoorden gaan voeren en ze geregeld veranderen, want dat gebeurd nu alleen als dat geforceerd wordt door het systeem.

Maar wat ik mij nu afvraag, sommigen geven aan dat ze altijd een combinatie van alle leestekens maken (deze vaak veranderen, en nooit twee keer dezelfde, ...). Komen diezelfde mensen wel eens in het buitenland? Nu hebben ze wel een veilig systeem, maar in welke mate kom je dan met rare leestekens niet in de problemen als de toetsenbord indeling totaal anders is. Zo heb ik wel eens gezeur gehad om in te kunnen loggen omdat ik achter een toetsenbord met Amerikaanse indeling zat, maar die was ingesteld op een andere indeling.

In het verlengde ervan zit ik te denken aan een systeem waarbij mijn wachtwoord automatisch verandert na een succesvolle inlogpoging. Op die manier heb je totaal geen last van een keylogger. Je moet dan voor jezelf een slimme sequentie bedenken die niet overduidelijk is. Dus niet een wiskundige rij (zoals de door de meesten gehanteerde rekenkundige rij), maar een sequentie in woorden, bijvoorbeeld docenten van je school. Keerzijde is dat dit dan in plaintext ergens zal staan, maar die zit dan als het goed is achter een supersterk wachtwoord. (Ik neem aan dat het allang bestaat, maar ik moet er nog eens een keer achteraan.)

Dadona schreef op vrijdag 26 februari 2010 @ 21:06:
Ik hanteer categorieën waar ik wachtwoorden voor moet opvoeren. Voor websites als Paypal, Ebay en de IB-Groep hanteer ik unieke, lange, sterke, wachtwoorden. Voor servers hanteer ik lange root wachtwoorden en log ik vooral in middels public-private key. Voor registraties bij webshops hanteer ik redelijke wachtwoorden, een combinatie van twee / drie woorden met wat cijfers. Deze zijn doorgaans wel hetzelfde. Voor fora hanteer ik nog wel eens hetzelfde wachtwoord (Tweakers wachtwoord zojuist gewijzigd ), maar vooral verschillende gebruikersnamen. Ik denk dat ik in totaal zo'n vier verschillende wachtwoorden heb voor fora.
Voor de rest ben ik kritisch in voor welke websites mijn browser de wachtwoorden mag onthouden. Voor fora is dat het geval, voor Ebay, Paypal, Gmail, ... niet.
Momenteel sla ik nog geen wachtwoorden op, maar ik denk er nu toch sterk aan om met Keepass te gaan werken. Deze wil ik dan in Dropbox plaatsen om er altijd bij te kunnen. Alleen dan kan ik overal unieke wachtwoorden gaan voeren en ze geregeld veranderen, want dat gebeurd nu alleen als dat geforceerd wordt door het systeem.

Maar wat ik mij nu afvraag, sommigen geven aan dat ze altijd een combinatie van alle leestekens maken (deze vaak veranderen, en nooit twee keer dezelfde, ...). Komen diezelfde mensen wel eens in het buitenland? Nu hebben ze wel een veilig systeem, maar in welke mate kom je dan met rare leestekens niet in de problemen als de toetsenbord indeling totaal anders is. Zo heb ik wel eens gezeur gehad om in te kunnen loggen omdat ik achter een toetsenbord met Amerikaanse indeling zat, maar die was ingesteld op een andere indeling.

In het verlengde ervan zit ik te denken aan een systeem waarbij mijn wachtwoord automatisch verandert na een succesvolle inlogpoging. Op die manier heb je totaal geen last van een keylogger. Je moet dan voor jezelf een slimme sequentie bedenken die niet overduidelijk is. Dus niet een wiskundige rij (zoals de door de meesten gehanteerde rekenkundige rij), maar een sequentie in woorden, bijvoorbeeld docenten van je school. Keerzijde is dat dit dan in plaintext ergens zal staan, maar die zit dan als het goed is achter een supersterk wachtwoord. (Ik neem aan dat het allang bestaat, maar ik moet er nog eens een keer achteraan.)

toon volledige bericht

Voor dat laatste is zo'n RSA SecurID sleutelhanger best wel handig, ondanks dat ook dat te kraken valt als ze 'm een poosje in handen hebben gehad , maar het is qua veiligheid te vergelijken met een fysieke sleutel.

http://en.wikipedia.org/wiki/SecurID

Voor belangrijke zaken gebruik ik wel wat moeilijkere passwoorden. Maar ik wijzig eigenlijk erg weinig, zeker de minder belangrijke. Sterker nog, mijn msn en email wachtwoord heb ik volgens mij al 5 jaar hetzelfde.
Ook nog nooit ergens last van gehad dat een wachtwoord gekaapt was. Nou ben ik ook niet heel erg lomp in het gebruik er van (geen gebruik op brakke sites, of onbetrouwbare openbare pc ect.) ,.
Ik vraag me af, is hier iemand wel eens ernstig slachtover geworden van passwoord fraude? Is het erg gevaarlijk om een simpeler passwoord te hebben dat je vaker gebruikt?

Ik heb blijkbaar een andere taktiek. Als het belangrijk is verwacht ik meer dan een wachtwoord, bv. een RSA token generator (zoals bij een bank). Alleen een wachtwoord; dan zorg ik ervoor dat er geen belangrijke dingen instaan. Dat maakt alles veel overzichtelijker...

Adm.Spock schreef op vrijdag 26 februari 2010 @ 21:33:
[...]


Voor dat laatste is zo'n RSA SecurID sleutelhanger best wel handig, ondanks dat ook dat te kraken valt als ze 'm een poosje in handen hebben gehad , maar het is qua veiligheid te vergelijken met een fysieke sleutel.

http://en.wikipedia.org/wiki/SecurID

Interessant. Ik zat zelf te denken aan een Yubikey, alleen had ik nog niet de tijd om mij volledig in de techniek te verdiepen. (Loopt inmiddels een Samenkoop acite van, maar deze zit momenteel vol. Wel is er iemand die heeft aangegeven een nieuwe te willen starten over enige tijd.)

rieshjart schreef op vrijdag 26 februari 2010 @ 15:24:
Mijn wachtwoorden worden wel aangegeven als "sterk". Maar ook die bestaat uit wat varianten die langzaamaan waarschijnlijk wel ingewikkelder begint te worden. Deze is ook nergens opgeschreven ook omdat het een langzaam "ontwikkeld" wachtwoord is zal ik hem nooit meer vergeten.
Op deze manier hou ik dan 2 tot 3 wachtwoorden over waarmee ik werk voor bijvoorbeeld sites waar het me niet interesseert dat het word gekraakt of niet vertrouw en de nieuwste variant van m'n wachtwoord dan voor bijvoorbeeld m'n mail reserveer.

Op mn werk word het eerder opgenoemde programma keypass gebruikt om wachtwoorden op te slaan en te genereren.


Gebruikt hier verder niemand z'n vingers om ergens op in te loggen? Laptops die hier over de balie gaan hebben allemaal zo'n apparaatje ingebouwd. Ik vind het wel verdraaide handig dat het kan. Zou als back-up een USB-stick in de kast kunnen leggen als soort rescue medium. En voortaan met de vinger in loggen.
Ik meen dat je zo'n ding ook los kan kopen en daarmee op verschillende software in zou kunnen inloggen.

Wellicht dat het nog te nieuw/onbelangrijk is voor de consument (en zelfs de gemiddelde bedrijven).

Die vingerscanners zijn inderdaad wel makkelijk, maar deze doen alleen identificatie en eigenlijk geen authenticatie. Een vingerprint alleen is dan ook niet zo moeilijk te kraken, het is echter wel mooi om het in combinatie te gebruiken.

Mijn wachtwoorden zijn redelijk, hoofdletters, kleineletters, tekens, getallen, echter zijn ze niet zo lang gemiddeld 10 en 15 tekens. Ik heb voor verschillende diensten ook verschillende wachtwoorden. Echter een aantal wachtwoorden worden wel voor meerdere diensten gebruikt

Misschien toch maar eens een keer gaan ombouwen naar lange zinnen en dan ook zorgen dat er wat meer variatie in komt en dat ik ze dan ook nog onthou

Ik probeer langzaamaan zoveel mogelijk unieke wachtwoorden te laten genereren voor alle websites en dergelijke die ik bezoek (en dat zijn over de jaren nogal veel), en ook de zaken op het werk. Ik laat KeePass die wachtwoorden onthouden (is beveiligd met een 12-karakter, willekeurig password, letters, cijfers en een speciaal karakter, en die zal ik eens moeten veranderen). Ik doe niet aan extra entropy verzamelen ofzo - de 12 karakter passwords die Keepass zo genereert zijn wat mij betreft goed genoeg, en ik zou echt niet weten hoe iemand achter die wachtwoorden zou komen door zoiets als entropy of wat dan ook. Maar ja, ik ben dan ook geen beveiligingsexpert, danwel paranoide.

Mijn ervaring in forums toont aan dat veel mensen hun accounts worden gekaapt door rommel diensten te gebruiken zoals Wie blockt mij op MSN, uit wraak van bijvoorbeeld een ex die je facebook of mail kaapt en de rotslechte geheime vraag. Die laatste wordt altijd wel ingesteld maar niemand onthoudt die of is gewoon te makkelijk om te raden (wat het voor iemand die je min of meer kent zeer simpel maakt).

Uiteindelijk als gewone persoon heb je maar weinig kans dat je echt de prooi wordt van kapers. Professioneel denk ik niet dat er iemand op uit is om je MSN account te kapen om je vriendenlijst te bemachtigen.
Diensten die bijvoorbeeld inloggen op gmail om al je vrienden op Facebook te zoeken gebruik ik nooit en ik vind eigenlijk dat die niet mogen bestaan. Het is simpeler om aan een leek uit te leggen dat je het nooit mag gebruiken dan zeggen bij Facebook kan het geen kwaad, maar bij Wie blockt mij is het gevaarlijk.

durian schreef op vrijdag 26 februari 2010 @ 22:30:
[...]

Waarom? Als jij een spatie kan gebruiken kan het ook in rainbow tables gebruikt worden toch? Er is toch niks speciaals aan een spatie in vgl. met andere karakters?

Natuurlijk kán een spatie gebruikt worden in rainbow tables. Dat kan elk speciaal teken natuurlijk. Het gaat echter om de statistische kansen. Het heeft helemaal geen zin om speciale karakters in een rainbow table te gebruiken, omdat je tables daar veel te groot van worden en dus hun doel voorbijschieten.

Rainbowtables zijn gevuld met veel gebruikte wachtwoorden. En meestal zijn dat gewoon woorden. Zodra je een spatie in je wachtwoord gebruikt neemt de kans dat jouw gekozen wachtwoord in een rainbow table voorkomt gewoon dramatisch af. Dat geldt natuurlijk voor alle andere speciale karakters, maar een spatie is simpel te onthouden (je wachtwoord bestaat uit twee woorden bijvoorbeeld) en eenvoudig te typen. Het maakt je wachtwoord eigenlijk heel simpel maar toch heel sterk.

Het is jammer dat sommige sites/programma's een cijfer in je wachtwoord vereisen, want anders zou je gewoon kunnen volstaan met een aantal woorden, gescheiden door spaties, met wat hoofdletter gebruik.

durian schreef op vrijdag 26 februari 2010 @ 22:27:
[...]

Dan is het IMHO niet veiliger dan dat "supersterk wachtwoord", dus waarom dan al die extra moeite?

Het supersterke wachtwoord kan worden onderschept op een publieke computer middels een keylogger. Door het wachtwoord waarmee je inlogt automatisch te laten veranderen voorkom je dat ze persoon met het onderschepte wachtwoord kan inloggen.
Hoe dit eruit zou kunnen zien: je server heeft een root wachtwoord: '$#%FS324_/sd2' (niet relevant verder). Je webmail heeft een wachtwoord 'PrinsItalie10'. Zodra je succesvol inlogt op je webmail dan zorgt het systeem achter de schermen er automatisch voor dat het wachtwoord verandert in de volgende docent: Willemse. De volgende keer dat je wil inloggen moet je dus als wachtwoord 'WillemseItalie10' invoeren. Diegene die jouw webmail (!) wachtwoord heeft onderschept heeft dus PrinsItalie10 in z'n handen. Inmiddels is dat wachtwoord nutteloos geworden. Diegene weet ook niet wat de sequentie is en zal hooguit proberen om in te loggen middels 'PrinsItalie11' of iets in die geest.
Vanzelfsprekend zul je de volgende zomer moeten kiezen voor iets anders (als je naar dezelfde vakantiebestemming gaat), dus bijvoorbeeld Prins10Auto of het hele verhaal van docenten achterwege laten en voor iets anders waar jij alleen sequentie in kan zien.

[ Voor 3% gewijzigd door Dadona op 26-02-2010 23:41 ]

Dat Roboform nog niet voorbij is gekomen...dat vind ik toch wel een heel fijne tool. Passwords zijn bij mij zo lang/moeilijk als toegestaan, en voor iedere site een andere. Door te syncen met een hardware encrypted usb stick en een PDA ben ik verder nooit onthand.

Ach, op de meeste site's gebruik ik hetzelfde 23 tekens lange wachtwoord dat is opgebouwd uit hoofdletters cijfers, speciale tekens, en gewone letters. Het mooie is, de meeste site's hebben een wachtwoord limiet van ongeveer 16 tekens, dus zelfs al zouden ze weten dat ik overal hetzelfde wachtwoord gebruik dan zijn ze nog niet klaar.

Vroeger veranderde ik mijn wachtwoord elke 4 maanden ofzo, maar ik heb nu teveel apparatuur/sites, etc. Ik gebruik nu eigenlijk nog maar 2 wachtwoorden.

Destroyer1991 schreef op zaterdag 27 februari 2010 @ 00:09:
Ach, op de meeste site's gebruik ik hetzelfde 23 tekens lange wachtwoord dat is opgebouwd uit hoofdletters cijfers, speciale tekens, en gewone letters. Het mooie is, de meeste site's hebben een wachtwoord limiet van ongeveer 16 tekens, dus zelfs al zouden ze weten dat ik overal hetzelfde wachtwoord gebruik dan zijn ze nog niet klaar.

Vroeger veranderde ik mijn wachtwoord elke 4 maanden ofzo, maar ik heb nu teveel apparatuur/sites, etc. Ik gebruik nu eigenlijk nog maar 2 wachtwoorden.

Maar als een site dan gehacked wordt, en jouw password wordt met die 100000 anderen ergens te grabbel gezet, dan is jouw password toch waardeloos geworden?

Dat is de reden dat ik elke site een ander password geef.

Op basis van een nickname (die ook vaak overal hetzelfde is) kan men immers met een simpele google search vervolgens weer bij een andere site komen waar je actief bent.

Hoe goed denk jij dat jouw wachtwoorden zijn?	Vrij sterk denk ik. Ongeveer 7x1035 mogelijkheden.
Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)	Hoofdletters, kleine letters en cijfers. Leestekens geven te vaak problemen.
Hoe vaak wijzig jij jouw wachtwoorden?	Tot voor kort zelden, maar ben er onlangs beleid van gaan maken om het met enige regelmaat te doen (frequentie afhankelijk van hoe belangrijk).
Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)	Niet meer, al m'n wachtwoorden zijn nu random strings van 20 chars.
Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)	Ik gebruik een password generator.
Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)	Daarvoor gebruik ik 1Password op m'n Macs en m'n iPhone. Alles direct toegankelijk achter 1 master passphrase, en dat is gewoon een hele zin met de spaties vervangen door cijfers.

Zelf heb ik een wachtwoord met alle combinaties (Hoofdletters, spec!ale tekens, c1jf3rs en kleine letters). Veranderen doe ik te weinig; eens in de 3 jaar oid... Maar problemen met leestekens kom ik weinig tegen, wel verzeker ik me ervan dat ik geen tekens neem waar een spatie achter moet (^ of " bijvoorbeeld)

Voor de rootwachtwoorden op mn werk had ik een algoritme bedacht Iets met eerste letter hostname en laatste letter hostname. Ook een datumeenheid erin verwerkt. Dat laatste is zowiezo goed; dan heb je een procedure om wachtwoorden aan te passen, je weet waar je al je wachtwoorden hebt

Bij een andere club hebben we een pgp-encrypted file voor root-wachtwoorden. Met 1 'algemeen' wachtwoord. De file wordt geencrypt voor leden van de club met hun certificaten.

---

Aan de Keepass gebruikers heb ik 2 vraagjes;
- Je hebt dus altijd je wachtwoorden op USB sleutel of PDA bij?
- Hoe doe je het met inloggen van de PC op je OS? (windows login bv) Dan kun je Keepass nog niet draaien

[ Voor 8% gewijzigd door decramy op 27-02-2010 04:09 ]

decramy schreef op zaterdag 27 februari 2010 @ 04:08:

---

Aan de Keepass gebruikers heb ik 2 vraagjes;
- Je hebt dus altijd je wachtwoorden op USB sleutel of PDA bij?
- Hoe doe je het met inloggen van de PC op je OS? (windows login bv) Dan kun je Keepass nog niet draaien

- keypass/keepass(?) staat op een sync mapje van de laptop die ik altijd mee neem. Zodat mn collega eind van de dag ook de aangepaste wachtwoorden heeft en andersom.

- Mn wachtwoord van mn Windows account verander ik regelmatig (al dan niet zo'n lastig wachtwoord maar wel uniek van elkaar). Daarna moet ik in keypass een lastiger wachtwoord invoeren. Deze is nog nooit veranderd. Moeten we toch een keertje doen denk ik . Wellicht dat we daarna nog wat extra functionaliteiten eruit halen voor een veiligere opslag.

(In mn eerdere post ging ik alleen uit van mn prive wachtwoord gebruik, maar betreft werk ben ik er wat voorzichter mee aangezien er meer data op zit van anderen dan van mezelf)

[ Voor 9% gewijzigd door Fore! op 27-02-2010 09:04 . Reden: kleinigheidje ]

Ik zit hier met verbazing te kijken naar het hele wachtwoorden verhaal. Zou de eerste vraag niet moeten zijn 'wat beveilig je nu eigenlijk'?

De gemiddelde website en webwinkel dienen wachtwoorden alleen maar om het (iets) moeilijker te maken voor jan l*l om jouw account over te nemen en de boel te gaan verzieken. Als hier op tweakers iemand mijn account overneemt, is het aanmaken van een nieuwe en de devs op de hoogte stellen genoeg om het probleem weer op te lossen (met een vers wachtwoord). Het is maar een account op een website/forum. Ook op webwinkels kunnen ze niet veel uitspoken. Ze kunnen allerlij bestellingen plaatsen, maar zolang je die niet betaald, krijg je het toch niet. Ook hier is het aanmaken van een nieuw account en het laten weten wat er met je oude is gebeurd genoeg om het probleem ook hier weer op te lossen.

Het grotere punt is: als 'ze' (hackers and such) binnen willen komen, dan komen ze echt wel binnen. Als ze niet door je wachtwoord komen, gaan ze er wel omheen. En wat moet een gemiddelde hacker met jouw account op, zeg, jaggle.nl oid.? Niks dus. Ok, ik ben het eens met de discussie dat je ze het niet te makkelijk moet maken, dus geen 1234 of abcd als wachtwoord, of de standaard fabriekswachtwoorden op routers . Maar die complexe alphanumerieke wachtwoorden met alle leestekens e.d. hebben evenveel zin als 'Voordeur12'.

Voor de belangrijkere dingen (paypal en WPA2 netwerk wachtwoord, etc) heb ik wel langere (en daarmee betere) wachtwoorden. Maar ik hou ze wel altijd 'tikbaar' en onthoudbaar.

Om ook maar even het tabelletje in te vullen:

Hoe goed denk jij dat jouw wachtwoorden zijn?	Ach, matig eigenlijk (om en nabij de 8 tekens?), tenzij ik echt wat te beveiligen heb, dan worden ze lekker lang.
Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)	Hoofdletters, kleine letters en cijfers. Dit houdt het typbaar en onthoudbaar
Hoe vaak wijzig jij jouw wachtwoorden?	Zelden tot nooit. Mocht websites zeggen dat ze problemen hadden met hackers dan verander ik het wel, maar meer ook niet. Op de meeste websites heb ik niet genoeg te beveiligen om daar moeite voor te doen. Belangrijke wachtwoorden verander ik eigenlijk ook nooit, maar dat zou ik eigenlijk wel moeten doen (denk aan paypal), want die kunnen wel grote schade veroorzaken als ze zijn gekraakt.
Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)	Nu je het vraagt, in zeer beperkte mate. Alleen de echt belangrijke dingen heb ik wel custom wachtwoorden (per ding een ander wachtwoord). Nu ik erbij stil sta, email niet. Tot nu toe was email voor mij niet echt belangrijk, maar daar begint zo langzamerhand wel verandering in te komen. Wellicht ga ik voor email ook eens het een en ander upgraden naar betere wachtwoorden. Voor alle websites en webwinkels (die dus niet belangrijk zijn) gebruik ik hetzelfde wachtwoord of variaties daarvan.
Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)	Ik verzin ze zelf, en dan op zo'n manier dat ik ze goed kan onthouden. Ik verander ze dus nagenoeg nooit.
Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)	Ik bewaar wachtwoorden in een excell bestandje. Ik heb me aangemeld bij een hele rits websites, waarvan ik niet allemaal kan onthouden welke variatie ik nu weer gebruik. Het excell bestandje is wel 'beveiligd' met een wachtwoord, en staat op een usb stokje.

Wat ik vaak wel vervelend en irritant vind is dat 'na zoveel maanden moet je verplicht je wachtwoord vervangen'. Daarnaast is dit gewoon schijn veiligheid, want nagenoeg iedereen die ik ken maakt een hele simpele variatie van hun oude wachtwoord. 'Sleutelgat1', 'Sleutelgat2', 'Sleutelgat3', en weer beginnen bij 1.

Het enige waar ik zelf rekening mee hou met het maken van elk wachtwoord is zorgen dat het niet 1 op 1 te raden is, dus geen geboortedata, geen huisnummers of telefoonnummers etc. Ook geen variaties of combinaties van namen van familie of vrienden. Mijn wachtwoorden zijn van variatie Sleutelgat, of Voordeur, oid. Makkelijk te onthouden, niet makkelijk te raden. En mocht je je het afvragen, nee, dat zijn geen (onderdelen van) wachtwoorden die ik ooit heb gebruikt, of ga gebruiken

Hoe goed denk jij dat jouw wachtwoorden zijn?
Afhankelijk van de wachtwoordklasse. Van zwakke speeltjes tot sterkere wachtwoorden.

Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
Lowercase, uppercase, cijfers en soms ook leestekens. In de zwakke klasse alleen lowercase, veiligheid voor beschikbaarheid inruilen. Dat ik achteraf niet een oneindig aantal keren moet raden.

Hoe vaak wijzig jij jouw wachtwoorden?
Meestal niet, tenzij als het afgedwongen wordt. De mens blijft in een bruteforcesituatie altijd de bottleneck en onthoudbaarheid maakt regelmatig veranderen zwakker. Er ontstaan patronen tov vorige wachtwoorden.

Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Websites, ftp-accounts,... die vertikken om wachtwoorden versleuteld over de draad te sturen. Plaintext is vies, zeker in een hogeschool waar iedereen sniffing lessen krijgt and the wiresharks are everywhere. Wardriving, MSN-communicatie ontsleutelen,... is eigenlijk ook maar basiskennis. Hiervoor is de zwakke klasse als bait. Voor ftp verander ik het wachtwoord met controlpanel naar iets simpel, eventjes inloggen met plaintext, bestanden transfer en met de controlpanel terug iets stevigs erop zetten. Tegen dat de wiresharks iets zien, is het window of opportunity al voorbij.

Een wildgroei aan lurking fora logins, logins voor allerlei meuk,... hoort ook bij de zwakke klasse.

Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Om het niet te vergeten moet het wel een persoonlijke betekenis hebben. Het kunnen wel de meest vage zaken zijn die je niet in een woordenboek kan terugvinden, dan wordt het nog tot het onherkenbare bewerkt.

Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Onthouden en ik ben bv mijn Steam account wachtwoord na vele jaren geen Counter-Strike al vergeten.

* Hoe goed denk jij dat jouw wachtwoorden zijn?
Goed
* Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
Alles
* Hoe vaak wijzig jij jouw wachtwoorden?
Nooit
* Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Jep.
* Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Zelf bedenken, amper nieuwe, behalve als ik niet meer weet waar wat bij hoort dan verander ik alles naar een nieuwe.
* Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Hoofd.

* Hoe goed denk jij dat jouw wachtwoorden zijn?
Ik heb gewoon een onzinwoord, wel een bestaand woord though, het is niet m'n huisdier ofzo dus het lijkt me sterk dat één van mijn naasten hem kan raden. Het enige nadeel is dat anderen hem ook onthouden als ze hem één keer op mijn scherm zien staan, wat niet zo zou zijn met een wachtwoord dat geen woord vormt.
* Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
Alleen cijfers en lowercase letters, en het cijfer is ook alleen omdat dat op veel sites verplicht is.
* Hoe vaak wijzig jij jouw wachtwoorden?
Laatst met mijn mail één keer gedaan omdat ik spam bleek te versturen, maar verder niet.
* Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Nee, ik gebruik voor de meeste sites gewoon dezelfde, met kleine verschillen meestal maar dat heeft niets te maken met wat voor iets het is, dat is gewoon willeukerig. Ik heb er wel gewoon één, standaard, omdat ik dan punt 1 maar één wachtwoord hoef te onthouden en punt 2 niet steeds vergeet welk wachtwoord voor wat dient, wat ik zelfs nu al heb met die kleine verschillen.
* Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Ik bedenk ze zelf, gewoon een willekeurig woord met een cijfer/leesteken. En ik maak bijna nooit nieuwen.
* Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Die onthoud ik natuurlijk gewoon

Thy King schreef op zaterdag 27 februari 2010 @ 13:23:
Ik zit hier met verbazing te kijken naar het hele wachtwoorden verhaal. Zou de eerste vraag niet moeten zijn 'wat beveilig je nu eigenlijk'?
De gemiddelde website en webwinkel dienen wachtwoorden alleen maar om het (iets) moeilijker te maken voor jan l*l om jouw account over te nemen en de boel te gaan verzieken. Als hier op tweakers iemand mijn account overneemt, is het aanmaken van een nieuwe en de devs op de hoogte stellen genoeg om het probleem weer op te lossen (met een vers wachtwoord). Het is maar een account op een website/forum. Ook op webwinkels kunnen ze niet veel uitspoken. Ze kunnen allerlij bestellingen plaatsen, maar zolang je die niet betaald, krijg je het toch niet. Ook hier is het aanmaken van een nieuw account en het laten weten wat er met je oude is gebeurd genoeg om het probleem ook hier weer op te lossen.

Met een wachtwoord probeer je er juist voor te zorgen dat niet elke wijsneus in of bij jouw gegevens kan komen.
Daarnaast zijn er steeds meer sociale netwerken waarvan men lid is, en zodra een wachtwoord van jouw account op zo'n website bekend is bij anderen, kunnen ze zogeheten identiteitsfraude plegen. Wat de impact daarvan is verschilt per persoon/website.

Nu ben jij waarschijnlijk vrij makkelijk daarmee, maar als mijn account hier op GoT op een dergelijke manier door iemand anders gebruikt kan worden, dan heb je wel een probleem.
Ik kan vanuit mijn functie een heleboel gegevens opvragen. Ook gegevens die privacy gevoelig zijn.

Dat je voor een webwinkel account waar je 2 keer per jaar een order plaatst een niet al te moeilijk wachtwoord neemt kan ik me voorstellen, maar zoals je zelf aangeeft: Voor Paypal, een site waarbij de daadwerkelijke impact veel groter kan zijn omdat men jou laat betalen voor goederen die je nooit ontvangt, is een goed wachtwoord wel degelijk van belang.

Het grotere punt is: als 'ze' (hackers and such) binnen willen komen, dan komen ze echt wel binnen. Als ze niet door je wachtwoord komen, gaan ze er wel omheen. En wat moet een gemiddelde hacker met jouw account op, zeg, jaggle.nl oid.? Niks dus. Ok, ik ben het eens met de discussie dat je ze het niet te makkelijk moet maken, dus geen 1234 of abcd als wachtwoord, of de standaard fabriekswachtwoorden op routers . Maar die complexe alphanumerieke wachtwoorden met alle leestekens e.d. hebben evenveel zin als 'Voordeur12'.

Voor de belangrijkere dingen (paypal en WPA2 netwerk wachtwoord, etc) heb ik wel langere (en daarmee betere) wachtwoorden. Maar ik hou ze wel altijd 'tikbaar' en onthoudbaar.

Ja, hackers kunnen veel, maar als jij zorgt voor een goed wachtwoord wat niet direct uit persoonlijke gegevens te herleiden is, dan maak je het ze wel moeilijker. (keyloggers daargelaten natuurlijk)

Eigenlijk gaat de discussie dus over "wat is een goed wachtwoord in een bepaalde omgeving". En dan zeg ik, hoe belangrijker de omgeving, hoe beter het wachtwoord moet zijn.

Thy King schreef op zaterdag 27 februari 2010 @ 13:23:
Ik zit hier met verbazing te kijken naar het hele wachtwoorden verhaal. Zou de eerste vraag niet moeten zijn 'wat beveilig je nu eigenlijk'?

De gemiddelde website en webwinkel dienen wachtwoorden alleen maar om het (iets) moeilijker te maken voor jan l*l om jouw account over te nemen en de boel te gaan verzieken. Als hier op tweakers iemand mijn account overneemt, is het aanmaken van een nieuwe en de devs op de hoogte stellen genoeg om het probleem weer op te lossen (met een vers wachtwoord). Het is maar een account op een website/forum. Ook op webwinkels kunnen ze niet veel uitspoken. Ze kunnen allerlij bestellingen plaatsen, maar zolang je die niet betaald, krijg je het toch niet. Ook hier is het aanmaken van een nieuw account en het laten weten wat er met je oude is gebeurd genoeg om het probleem ook hier weer op te lossen.

Het grotere punt is: als 'ze' (hackers and such) binnen willen komen, dan komen ze echt wel binnen. Als ze niet door je wachtwoord komen, gaan ze er wel omheen. En wat moet een gemiddelde hacker met jouw account op, zeg, jaggle.nl oid.? Niks dus. Ok, ik ben het eens met de discussie dat je ze het niet te makkelijk moet maken, dus geen 1234 of abcd als wachtwoord, of de standaard fabriekswachtwoorden op routers . Maar die complexe alphanumerieke wachtwoorden met alle leestekens e.d. hebben evenveel zin als 'Voordeur12'.

Voor de belangrijkere dingen (paypal en WPA2 netwerk wachtwoord, etc) heb ik wel langere (en daarmee betere) wachtwoorden. Maar ik hou ze wel altijd 'tikbaar' en onthoudbaar.

toon volledige bericht

Vaak zie je dat mensen dezelfde wachtwoorden gebruiken. Zelfs zakelijk. De inlognamen van zakelijke accounts zijn vaak niet zo moeilijk, en met het mobiele werken is er tegenwoordig erg veel content ontsloten via internet. Zo kan ik bijvoorbeeld via ons intranet mijn financiën regelen, salarisstroken opvragen.
Een account van een hoger geplaatst manager bevat zodoende nog veel interessantere zaken.
Kortom, met de vangst van een goed password kan je heel erg veel verzieken.

Daarnaast mag je identiteitsfraude niet onderschatten. De meeste klanten waar ik kom weten al precies wie ze over de vloer krijgen door een simpele google search. Als ik zelf iemand moet selecteren doe ik vaak ook meteen even een search.

Ik gebruik Roboform nu drie jaar, en het is wel zo dat ik veel gebruikte accounts inmiddels toch wel weer uit mijn hoofd weet. Maar ik heb nog nooit last gehad van het feit dat ik de meeste van mijn wachtwoorden (ruim 300 in de lijst) niet meer uit mijn hoofd weet.

Het voordeel van een passwoord manager is daarnaast dat je dus ook meteen herinnerd wordt aan het feit dat je al ergens een account hebt.

Ik ben ooit wel eens een keer bang geweest, toen ik een virus had. Even dacht ik dat het virus specifiek een attack deed naar mijn passwords. Dat bleek achteraf niet zo, maar in die nacht erna ben ik als een idioot alle passwords gaan wijzigen....

[ Voor 43% gewijzigd door Mistraller op 27-02-2010 22:47 ]

Het is voor mij onmogelijk om zoveel wachtwoorden te onthouden, ik heb toegang tot schrik niet, 40 systemen (lees: domeinen, vms, webapps) Daarbij hebben ze ook nog eens de eigenschap om eens in de 60 dagen je wachtwoord moet wijzigen met de meest bizarre verplichte leestekens.
Ik krijg het nu eindelijk onder de knie, zodra mijn domein ww reset, ga ik maar meteen aan de slag om alles "gelijk" te trekken.

Dj Neo Ziggy schreef op zaterdag 27 februari 2010 @ 23:24:
Het is voor mij onmogelijk om zoveel wachtwoorden te onthouden, ik heb toegang tot schrik niet, 40 systemen (lees: domeinen, vms, webapps) Daarbij hebben ze ook nog eens de eigenschap om eens in de 60 dagen je wachtwoord moet wijzigen met de meest bizarre verplichte leestekens.
Ik krijg het nu eindelijk onder de knie, zodra mijn domein ww reset, ga ik maar meteen aan de slag om alles "gelijk" te trekken.

Dus je moet, als ik het goed lees, elke 60 dagen 40 wachtwoorden veranderen? Dat is ook niet leuk En met "gelijk trekken" bedoel je al je wachtwoorden hetzelfde maken? Is inderdaad wel een stuk makkelijker.

Equator schreef op zaterdag 27 februari 2010 @ 20:02:
[...]
Ja, hackers kunnen veel, maar als jij zorgt voor een goed wachtwoord wat niet direct uit persoonlijke gegevens te herleiden is, dan maak je het ze wel moeilijker. (keyloggers daargelaten natuurlijk)

Eigenlijk gaat de discussie dus over "wat is een goed wachtwoord in een bepaalde omgeving". En dan zeg ik, hoe belangrijker de omgeving, hoe beter het wachtwoord moet zijn.

Inderdaad, of hackers moeten al voor een bepaald systeem een manier weten om het te hacken - mijn neefje was laatst bijvoorbeeld gehackt op Steam door een totale vreemdeling, die heeft dus nooit zijn wachtwoord kunnen weten, aannemende dat mijn neefje een beetje een solide wachtwoord had en die had er dus een bepaalde tool voor neem ik aan. Gelukkig heeft Steam een hele makkelijke methode om accounts terug te vorderen - je stuurt gewoon je originele e-mailadres, ofwel het jouwe, met een bewijs van iets dat je ooit op Steam hebt betaald, dus bijvoorbeeld een creditcard- of bevestigingsnummer en je krijgt hem gewoon terug. En toen hebben we een middagje die gast z'n gegevens (en profielfoto, een foto van hemzelf hèhè) zitten bekijken, tegen z'n vrienden zitten praten, was wel even grappig.

Hoe goed denk jij dat jouw wachtwoorden zijn?
Afhankelijk van de groepen die erin zitten wel redelijk.

Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
Alles behalve uppercase. Nu ik er zo over na denk kan ik die er trouwens ook wel in gaan zetten, spaar ze allemaal!

Hoe vaak wijzig jij jouw wachtwoorden?
Nooit voor privé zaken thuis. D.w.z. wachtwoorden voor hotmail/g-mail/ebay/tweakers/andere fora/sites etc zijn zoals ze zijn toen ik de accounts aanmaakte. Op 't werk werken ze met een policy waarbij om de 3 maand alle wachtwoorden komen te vervallen. Als je niet op tijd een nieuw wachtwoord aanmaakt, wat afwijkt van de vorige 12 wachtwoorden kun je alles laten resetten. Anders kun je namelijk nergens meer in komen en dus niet meer aan het werk. Op het werk gebruik ik niet P@ssword1 gevolgd door P@ssword2 elke keer dat ie vernieuwd moet worden. Maar telkens weer willekeurige dingen die ik dan hanteer als wachtwoord. Is wel vervelend, want af en toe onthou je ze gewoon niet omdat het compleet random dingen zijn. Das ook voor mij de reden om thuis alles te houden zoals het is, onthou je het altijd.

Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Nee, nee en nog eens nee. Een wachtwoord voor alles. Ik heb heb geen zin om in de weer te moeten met password generators of progjes die je moet beveiligen die voor jou ww's uitspuwen. Een wachtwoord voor alles, gemakkelijk onthouden. Dat ik hiermee een hoger risico loop opdat het gekraakt wordt is de gok die ik neem. Kun je me naief noemen maar de tijd dat ik op het internet zit met ww's (13 jaar) is mij nog nooit over komen dat ook maar 1 van mijn talloze accounts is compromised zoals ze het zo mooi noemen.

Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Bedenk hem zelf, iets waar ik alleen aan kan denken simpelweg omdat anderen nooit het in die richting zullen zoeken bij mij

Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Onthou hem gewoon uit mijn hoofd. Papier, das pas risico lopen, tooltje te omslachtig, te veel werk. Je gaat toch ook niet met je pincode voor je mobiel zoiets doen? Vind beide dingen die je gewoon uit je hoofd moet kennen. Alle andere methodes lopen meer risico want alles wat je bewaart buiten je eigen hoofd om kan worden gevonden.

Ik mis eigenlijk de OTP (On Time Password) optie.
Dat lijk me een standaard een stuk veiliger. Het is wel minder makkelijk omdat je altijd dat ding moet gebruiken. Maar een optie zou kunnen zijn om vaste wachtwoord moet kunnen gebruiken.

Ik zit zelf te kijken om me linux server breed om te zetten naar Mobile OTP http://motp.sourceforge.net/ en dat in combinatie met een vast wachtwoord als je wel op een veilige plek werkt.

Gratis, Werkt bijna op elke telefoon.

Dit topic was voor mij een trigger om eens na te denken over mijn logins. Op mijn TrueCrypted laptop en backup-hd gebruik ik een zeer veilig wachtwoord. Maar voor websites (tweakers, ing, paypal, etc) gebruik minder veilige wachtwoorden die niet uniek en ook nog eens stokoud zijn (10 jaar?).
Door bovenstaande verhalen ben ik naar KeePass gaan kijken, en heb gelijk maar de moeite genomen om mijn wachtwoord voor verschillende sites te wijzigen mbv de KeePass Password Generator.

Wat me opvalt, is dat de sites die juist privacy-gevoelig zijn (ing, paypal, internetspaarsite) je beperken in de lengte en/of special characters. Terwijl de (voor mij) minder belangrijke sites (tweakers, ubuntu one) juist wel lange, volledig random wachtwoorden toestaan.

Verder mooi om te zien dat er een iPhone app bestaat waar je je KeePass database mee kunt gebruiken

• Hoe goed denk jij dat jouw wachtwoorden zijn?
Gemiddelde sterkte denkik. Ik heb wachtwoorden met uppercase, lowercase, cijfers, en letters. Dit gebruiker ik gemengd. Ik heb eigenlijk 4 sterke wachtwoorden, die allemaal die 4 zaken bevatten, en 1 enkele met een leesteken erin. Ik gebruik ze door elkaar heen.


• Hoe vaak wijzig jij jouw wachtwoorden?
-Eigenlijk nooit.

• Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
-Ik gebruik veel hetzelfde. Het is nogal lastig om al die random wachtwoorden te onthouden. Ik heb voor mn e-banking wel een apparaatje nodig dat een logincode geeft, adhv mn rekeningnummer, en mn pincode.

• Hoe bewaar jij jouw wachtwoorden?
Hersens.

• Wat is je grootste wachtwoorden-ergernis?
Snel typen, en denken dat het correct is, maar dan toch fout.

GekooktEi schreef op zondag 28 februari 2010 @ 09:54:
mijn neefje was laatst bijvoorbeeld gehackt op Steam door een totale vreemdeling, die heeft dus nooit zijn wachtwoord kunnen weten, aannemende dat mijn neefje een beetje een solide wachtwoord had en die had er dus een bepaalde tool voor neem ik aan.

In 99% van de gevallen wordt een account niet gehackt door middel van een tooltje, maar door middel social engineering of door zwakke beveiliging van de gebruiker of het systeem. Er zijn heel veel opties die niets meer vragen dan logisch denken of een snel reactievermogen.

Voorbeeldje:
Denk bijvoorbeeld eens hoeveel mensen vergeten een PC te locken als ze even naar het toilet gaan. Vaak staat dan in de achtergrond hun mail nog steeds open. Het wachtwoord van het e-mail adres zelf wijzigen is lastig omdat je dit nogmaals moet intypen, maar heel veel sites sturen mails met daarin gebruikersnamen en wachtwoorden voor hun site. Sowieso geeft dit je toegang tot die sites zelf, maar als iemand op meer plaatsen hetzelfde wachtwoord gebruikt kun je mogelijk zo ook nog eens de mail overnemen.

Bedenkt ook eens hoeveel sites bij de password recovery functie direct een mail sturen met een bevestigingslink voor een nieuw wachtwoord, of soms zelfs het oude wachtwoord - so much for security! het kan daarom dus voorkomen dat je "gehackt" wordt op een account die je enkel thuis ooit ingelogd hebt omdat je mailbox door iemand anders nagekeken wordt.

Daarnaast heb je altijd de keylogger nog. Genoeg gratis varianten te vinden, en deze kunnen ook nog eens stil meegeïnstalleerd worden met andere software. Er zijn tutorials te vinden voor software die de keylogger aan iedere andere installer kan koppelen, en vergeet niet dat ook school en bedrijfsnetwerken hiervoor vatbaar zijn. Met een vatbaar school netwerk heb ik helaas persoonlijk ervaring (Gelukkig zat ik niet bij de batch mensen die gekeylogged was)

Natuurlijk komt het voor dat accounts echt gehackt worden, maar dit is maar een fractie van het totaal. Meestal is het gewoon een zwak wachtwoord/duidelijke recovery vraag of een onbeheerde/onveilige PC. En natuurlijk social engineering. Zat mensen zijn hier nog steeds gevoelig voor.

• Hoe goed denk jij dat jouw wachtwoorden zijn?
Gemiddelde sterkte. Allen bevatten hoofdletters, kleineletters en cijfers. Voor bankzaken en andere belangrijke dingen heb ik sterkere wachtwoorden die ook leestekens bevatten en waarbij ik geprobeerd heb geen logica et gebruiken

• Hoe vaak wijzig jij jouw wachtwoorden?
Zo min mogelijk

• Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Online gebruik ik zoveel mogelijk dezelfde wachtwoorden. Voor mail, bankzaken, etc heb ik aparte wachtwoorden.

• Hoe bewaar jij jouw wachtwoorden?
Door mijn hippocampus te vertellen de wachtwoorden in mijn cortex op te slaan.

• Wat is je grootste wachtwoorden-ergernis?
Te snel een wachtwoord in willen voeren en dan fouten gaan maken...

• Hoe goed denk jij dat jouw wachtwoorden zijn?
- Heel goed. Wie komt er nu op het idee om mijn naam achterstevoren in te tikken of mijn geboortedatum te gebruiken?

• Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
- Gewoon één. Niet te moeilijk doen.

• Hoe vaak wijzig jij jouw wachtwoorden?
- Nooit, dan kloppen de post-its op mijn computerscherm niet meer.

• Heb je voor bepaalde doeleinden bepaalde wachtwoorden?
- Neuh, veelal hetzelfde.

• Hoe bewaar jij jouw wachtwoorden?
- Op post-its op het computerscherm natuurlijk.

• Wat is je grootste wachtwoorden-ergernis?
- Als iemand mijn post-its weg haalt!

Ik werk voor de internet helpdesk van Belgacom.
Soms heb ik een pw nodig om een klant verder te kunnen helpen.
Ik ben nog nooit maar dan ook nog nooit een pw tegen gekomen dat beter was als ph!lipsm33ts (ik heb dit voorbeeld verzonnen maar het was iets gelijkaardigs)
Bijna alle pwden die de klanten mij wel eens vertellen zijn van de volgende aard.
voornaam123 of naamvanhond1
of abc123. of naamdochter en een paar cijfers.
Het paswoord : paswoord1 kom ik denk ik elke maand wel eens tegen.


Zelf heb ik een 3tal wachtwoorden van 14 tekens met hoofdletters, een speciaal teken en cijfers.
Ik maak daar combinaties mee en zo zijn bijna al mijn belangrijke wachtwoorden.
Voor de rest heb ik een kort pw van 2 letter en 3 cijfers voor alle junk accounts en forumpjes waar je 2 keer op zit en je ooit voor hebt geregistreerd.

Mijn wachtwoorden wijzig ik wel nooit eigenlijk. Zou ik eigenlijk eens moeten doen. Maar ik heb al vaak van die klote situaties dat je bv op een andere pc bent en je hebt net je pw van GoT verandert.
En omdat op je eigen pc een pw manager je pwden beheert ken je het niet helemaal meer van buiten. En dus verander ik eigenlijk nooit mijn pwden.


Behalve op mijn werk daar is de policy bij het workstation 1 x per maand en de remote stations 3 maar per maand.
Maar die pwden moet ik per dag zo vaak intypen dat die eigenlijk helemaal niet goed zijn.

• Hoe goed denk jij dat jouw wachtwoorden zijn?
Prima, nog nooit gedonder mee gehad.

• Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
Hoeveel? haha, dan is het idee van een wachtwoord meteen weg. Maar het zit er allemaal in.

• Hoe vaak wijzig jij jouw wachtwoorden?
Bankwachtwoord elke 2 maanden, de rest niet zo vaak.

• Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Gebruik verschillende wachtwoorden, al naar gelang van belangrijkheid. Bijvoorbeeld: websites zoals driverguide ofzo, is meestal gebruikersnaam+cijfers, Bank is random, 'mijn eneco' is half gebruikersnaam, half cijfers

• Hoe bewaar jij jouw wachtwoorden?
In mijn hoofd. Lang leven het 'lost pasword?' knopje

• Wat is je grootste wachtwoorden-ergernis?
Bij registreren: Wachtwoord ingeven, error krijgen omdat er niet genoeg gekke karakters inzitten, of dat je wachtwoord niet mag bestaan uit veelvookomende namen, ook al zijn die er maar deel van, ofzo. Kan ik me scheel aan ergeren. Zo erg dat ik soms gewoon een andere site zoek om m'n info weg te halen. Gebruiksvriendelijkheid FTW, wat dat aangaat.

Hoe goed denk jij dat jouw wachtwoorden zijn?
Net bovengemiddeld.

Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
twee

Hoe vaak wijzig jij jouw wachtwoorden?
In basis nooit

Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Ik heb twee gradaties, een wachtwoord voor minder belangrijke zaken en en voor belanrijke zaken.

Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Pakweg 1 keer in de 5 jaar.

Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Ik onthoud ze.

mijn wachtwoord is al 10 tekens groot, afgewisseld met cijfers, kleine en hoofdletters en wat vervolgens geen woord vormt. Kortom een redelijk sterk wachtwoord naar mijn idee.

misschien is het een idee dat mensen zelf kunnen aangeven dat zij hun wachtwoord willen wijzigen naar x aantal maanden of dat bepaald bij mensen die niet een sterk wachtwoord hebben vaker hun wachtwoord moeten wijzigen dan mensen met een sterk wachtwoord..

Hoe goed denk jij dat jouw wachtwoorden zijn?
Sterk, dat zegt tweakers ook

Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
cijfers, upper en lowercase letters

Hoe vaak wijzig jij jouw wachtwoorden?
ik hussel ze nog wel is door elkaar, ik heb ong. 6 wachtwoorden die ik gebruik. allemaal sterk tussen de 8 en 10 tekens lang.

Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Nee

Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Ik gebruik een password generator waarvan ik soms uit 5 wachtwoorden weer 1 vorm..

Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Ik onthoud ze voornamelijk, een paar staan wel in een txt op mijn computer, ergens verstopt in een map..

[ Voor 52% gewijzigd door ReseTTim op 01-03-2010 16:20 ]

Equator schreef op zaterdag 27 februari 2010 @ 20:02:
[..]maar als mijn account hier op GoT op een dergelijke manier door iemand anders gebruikt kan worden, dan heb je wel een probleem.
Ik kan vanuit mijn functie een heleboel gegevens opvragen. Ook gegevens die privacy gevoelig zijn.

Op tweakers staat niet veel van mijn gegevens. Ip adressen zijn zowiezo al makkelijk te traceren, en de echte info sniffers weten met mijn naam en woonplaats/ip adres al genoeg om mijn hele persoon te ontleden.

Voor de huis-tuin-en-keuken gebruiker is het al een stuk lastiger. Een google zoektocht op mijn (echte) naam kom je heel veel tegen, maar ik ben het allemaal niet. Zelfs mijn schermnaam ('Thy King' dus) levert niks op; tenzij je denkt dat ik god ben, en genoemd sta in de bijbel ('Thy King Cometh') . Nu let ik er wel op dat ik op het internet niet veel gegevens van mij neerzet. Als mensen jouw account kraken, kunnen ze hoogstens mijn ip adres en e-mail adres krijgen (en wellicht wat statistische info). Niet echt een enorme impact, gezien mijn ip-adres al op 1000-den locaties wordt gelogd om allerlij nutteloze redenen. (ik skip hier even over het privacy verhaal heen, dat is weer een ander thema toppic )

Dat je voor een webwinkel account waar je 2 keer per jaar een order plaatst een niet al te moeilijk wachtwoord neemt kan ik me voorstellen, maar zoals je zelf aangeeft: Voor Paypal, een site waarbij de daadwerkelijke impact veel groter kan zijn omdat men jou laat betalen voor goederen die je nooit ontvangt, is een goed wachtwoord wel degelijk van belang.[..]
Eigenlijk gaat de discussie dus over "wat is een goed wachtwoord in een bepaalde omgeving". En dan zeg ik, hoe belangrijker de omgeving, hoe beter het wachtwoord moet zijn.

Eensch. Zoals ik ook zei: je moet jezelf de vraag stellen 'wat beveilig ik nu eigenlijk'.

Mistraller schreef op zaterdag 27 februari 2010 @ 22:43:
Vaak zie je dat mensen dezelfde wachtwoorden gebruiken. Zelfs zakelijk. De inlognamen van zakelijke accounts zijn vaak niet zo moeilijk, en met het mobiele werken is er tegenwoordig erg veel content ontsloten via internet. Zo kan ik bijvoorbeeld via ons intranet mijn financiën regelen, salarisstroken opvragen.
Een account van een hoger geplaatst manager bevat zodoende nog veel interessantere zaken.
Kortom, met de vangst van een goed password kan je heel erg veel verzieken.

Vandaar ook de vraag 'wat beveilig ik nu eigenlijk'. In geval van een werk account zou ik ook een beter en sterker wachtwoord kiezen. Maar dan nog, het goed kiezen van een wachtwoord is eigenlijk wel belangrijker dan het maken van een moeilijk wachtwoord. De meeste wachtwoorden zijn gekraakt niet omdat meneer gehacked is, maar omdat het wachtwoord simpel is te raden met een beetje voorkennis (voorkennis = niet het wachtwoord zelf dus )

Daarnaast mag je identiteitsfraude niet onderschatten.

Er zit een daverend gat tussen identiteitsfraude en wachtwoord kraken. Iemand die je wachtwoord kraakt is niet meteen uit op je identiteit. Maar ook hier is de (potentiele) schade weer groter naarmate je meer te beveiligen hebt (denk paypal/werk account tegenover een internet forum).

De meeste klanten waar ik kom weten al precies wie ze over de vloer krijgen door een simpele google search. Als ik zelf iemand moet selecteren doe ik vaak ook meteen even een search.

Dat zal dus tegen mij gaan werken. Ik zal op mijn cv (of in mijn sollicitatiebrief) een regel moeten neerzetten dat de 'Ben van der Meer'-en op het internet mij niet zijn.
Best treurig hoe ver het is gekomen ondertussen...

Ik ben ooit wel eens een keer bang geweest, toen ik een virus had. Even dacht ik dat het virus specifiek een attack deed naar mijn passwords. Dat bleek achteraf niet zo, maar in die nacht erna ben ik als een idioot alle passwords gaan wijzigen....

Van de 10.000en virussen zijn er maar een aantal die direct op je passworden afgaan. De meeste maken je het leven moeilijk, of maken een achterdeurtje en zetten dan zoveel mogelijk spyware op je computer.

Ras schreef op maandag 01 maart 2010 @ 00:15:
• Hoe goed denk jij dat jouw wachtwoorden zijn?
- Heel goed. Wie komt er nu op het idee om mijn naam achterstevoren in te tikken of mijn geboortedatum te gebruiken?
[snip]
• Wat is je grootste wachtwoorden-ergernis?
- Als iemand mijn post-its weg haalt!

Sarcasme hoop ik?

Hmmm, goed topic om mij op m'n wachtwoordbeleid te wijzen. Dat moet beter

Ik hanteer voor websites over het algemeen twee standaardwachtwoorden die uit m'n hoofd ken, het is dus altijd één van beide (tenzij de site in kwestie zelf een niet te wijzigen wachtwoord opgeeft natuurlijk). De één is gewoon een woord van negen karakters, slecht dus maar het is iig een samengesteld woord dat in deze vorm niet bestaat. Het andere wachtwoord is acht karakters lang en een mix van hoofd- en kleine letters en cijfers, heel wat beter dus.

Ik moet eigenlijk eens bezig gaan met KeePass en dan langere en willekeurigere wachtwoorden gaan gebruiken. Wel een goede backup van de KeePass database regelen dus. Die kan dan mooi naar een TrueCrypt volume

[ Voor 7% gewijzigd door Wildfire op 02-03-2010 13:14 ]

Ik heb drie wachtwoorden,

één voor websites/forums
één voor al mn email-accounts
één voor bank/digid en dat soort zaken

Alleen ik gebruik pwdhash, dus alle wachtwoorden zijn anders. Check deze site:
https://www.pwdhash.com/

De drie wachtwoorden vertel ik aan niemand nooit niet, dus is het eigenlijk onmogelijk dat men deze kan achterhalen.

monnick schreef op dinsdag 23 februari 2010 @ 23:22:
[...]

Haha, over die standaard Experiabox wachtwoorden gesproken. Die dingen zijn gegenereerd op basia van de unieke code in de SSID. Je experiabox heeft bijvoorbeeld standaard een netwerknaam als "speedtouch_8jdHx6" en dan kan doormiddel van 8jdHx6 het wachtwoord achterhaald worden Is een programmaatje voor. Erg handig om bij ons in de buurt met netwerken van de buurt te verbinden

Net iets anders:
Ze genereren hun SSID uit het serienummer. En ze genereren de WPA2 key ook uit het serienummer.
Als je beide algorithmen kent, reken je het serienummer uit de uit volle bordst rondgeschreeuwde SSID. En met het serienummer reken je de WPA2 sleutel uit.

j0rDy schreef op woensdag 24 februari 2010 @ 10:14:
[...]
hetzelfde geld voor UPC modems. deze hebben allemaal een standaard lengte (8 karakters) volledig hoofdletterig wachtwoord. In dit geval pak je een wordlist gegenereerd door bijv. jtr en ga je aan de slag, tis een kwestie van tijd en zal voor de meeste niet snel genoeg gaan (uit mn hoofd doet een gemiddelde pc er zo'
n 8 dagen over).

Ook daar zou een heel simpel trucje roet in het eten kunnen gooien: na foutief password 1 sec. wachttijd, en bij elke volgende poging de wachttijd verdubbelen.
Hoe snel je keygenerator ook is, een bruteforce attack kan je wel op je buik schrijven.

[ Voor 31% gewijzigd door Titusvh op 02-03-2010 15:59 . Reden: merge ]

Ja, online is soms de "secret question" een veel makkelijkere omweg dan het wachtwoord zelf. Bijvoorbeeld: wachtwoord vergeten --> email adres gewijzigd --> secret question en dan "Wat is je favoriete huisdier ?"...

Zelf hanteer ik al jarenlang passphrases, veel plezier met het kraken van m'n tussen de 13 en 22 karakters lange wachtwoorden Een bedrijfspolicy waar iedereen elke 30 dagen z'n wachtwoord moet wijzigen, is niet van deze tijd en werkt imho eerder averechts (en kost onnodig bakken met geld).

De toekomst is imho toch een combinatie van een fysiek medium (pas, token, vingerafdruk) + wachtwoord.

Hoe goed denk jij dat jouw wachtwoorden zijn?
Varierend van erg zwak (bijv 1234) voor spul wat niet belangrijk is tot Zeer sterk (woorden met cijfers en leestekens bijv. H@l10 (Hallo))

Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
Sommige alleen lowercase letters, anderen alles

Hoe vaak wijzig jij jouw wachtwoorden?
Bijna nooit. toevallig vorige week een aantal nog sterker gemaakt, maar laatste keer was meer dan 2 jaar geleden.

Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Ja, Niet belangrijke dingen hebben allemaal het zelfde wachtwoord, iets balangrijkere dingen hebben een ander wachtwoord en heel belangrijke dingen (bank) hebben allemaal weer een ander wachtwoord, zeg maar een pass A, pass B en pass C.

Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Bedenk ze zelf, op het wachtwoord van keypass sync server na.

Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Meeste zitten gewoon in m'n hoofd, al heb ik ze ook in Keypass staan voor de zekerheid.

Titusvh schreef op dinsdag 02 maart 2010 @ 15:56:
[...]


Net iets anders:
Ze genereren hun SSID uit het serienummer. En ze genereren de WPA2 key ook uit het serienummer.
Als je beide algorithmen kent, reken je het serienummer uit de uit volle bordst rondgeschreeuwde SSID. En met het serienummer reken je de WPA2 sleutel uit.

Daar is een tooltje voor te downloaden. Ik heb het hier in de buurt geprobeerd, ik kon op alle speedtouchen inloggen

Hoe goed denk jij dat jouw wachtwoorden zijn?
- vertel ik niet
Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
- vertel ik niet
Hoe vaak wijzig jij jouw wachtwoorden?
-vertel ik niet
Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
- vertel ik niet
Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
- vertel ik niet
Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
- vertel ik niet

---> Want hoe meer ik vertel, hoe zwakker de 'beveiliging'

(vast en zeker wel weggemod straks... maar zeg nou zelf, zit een vorm van waarheid in toch?!)

Anoniem: 131956 schreef op dinsdag 02 maart 2010 @ 23:38:
Hoe goed denk jij dat jouw wachtwoorden zijn?
- vertel ik niet
Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
- vertel ik niet
Hoe vaak wijzig jij jouw wachtwoorden?
-vertel ik niet
Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
- vertel ik niet
Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
- vertel ik niet
Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
- vertel ik niet

---> Want hoe meer ik vertel, hoe zwakker de 'beveiliging'

(vast en zeker wel weggemod straks... maar zeg nou zelf, zit een vorm van waarheid in toch?!)

toon volledige bericht

Zit zeker een kern van waarheid in
Ik ben van mening dat de gewenste veiligheid beschermd moet worden door te kijken naar de "waarschijnlijkheid" van diefstal.
90% van mijn onlinedingen zijn niet of nauwelijks van (levens)belang, en ik zie het nut niet in van een zware beveiliging

de dingen die wel van belang zijn, worden dan ook schaalbaar beter beveiligd
Als je niet wilt dat men het 'leest' of steelt, zet het dan niet online !
de bankgegevens zijn beveiligd met een keygen van de bank, en de rest heeft allemaal een eigen inlog / wachtwoord
en daar zitten in mijn geval maar 3 verschillen in, en dus ook "maar" 3 wachtwoorden ..

Mijn wachtwoorden worden meestal aangegeven als "sterk", sommige sites "zeer sterk". Ik gebruik een wachtwoord van 12 tot 15 tekens met hoofdletters, kleine letters, cijfers en leestekens. Ik schrijf ze ook nergens op, ik onthoud ze gewoon. Mijn wachtwoord bestaat uit "AbCde1FgTweakers!" (als voorbeeld): 9 tekens zijn er zoiezo, de rest is variabel. In dit geval is het wachtwoord 17 tekens.

AbCde1Fg en ! zijn de constante dingen in ALLE wachtwoorden die ik heb, het middendeel wijzigt nogal eens (bijvoorbeeld bij Windows Live kan dit messenger zijn in week 1, mail in week 2, hotmail in 3, spaces in 4, skydrive in 5, clubhouse in 6, etc)

Ik zou nog wel graag een extra beveiliging hebben, zoals e-id toepassingen, maar dat zie ik zo snel niet komen.

Hoe goed denk jij dat jouw wachtwoorden zijn?
Erg goed.

Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
Alle 4.

Hoe vaak wijzig jij jouw wachtwoorden?
Zelden, enkel als dit verplicht is.

Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Ja, ik maak er de gewoonte van om (al dan niet een afgekorte versie) van een mailadres / url / fqdn in het wachtwoord te verwerken.

Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Bedenk hem zelf door een combinatie van een aantal willekeurige letters/cijfers + ziehierboven + een leesteken.

Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Ik onthou ze, de meest belangrijke staan op papier die in de kluis liggen (denk aan DigiD / creditcard applicatie inlog etc.)

Hoe goed denk jij dat jouw wachtwoorden zijn?
Heel erg goed, 12 tot 16 karakters

Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
Letters, hoofdletters, cijfers, leestekens en andere rare tekens

Hoe vaak wijzig jij jouw wachtwoorden?
Thuis eens in het jaar, ik gebruik 3 verschillende wachtwoorden privé, eentje van 6, eentje van 8 en eentje van 12 tekens. Die van 8 is de eerste 6 tekens gelijk aan die van 6 (dus 2 extra), die van 12 is ook 6 extra.

Op het werk 16 cijfers, leestekens, hoofdletters, kleine letters en rare tekens, gegenereerd door een password generator. Deze wijzigt iedere 4 weken (verplicht).

Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Op het werk voor ieder programma een ander wachtwoord, thuis afhankelijk van wat het is. Email, Tweakers, DigiD hebben allemaal een eigen PW, de rest is vaak hetzelfde.

Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Password generator

Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Ik onthoud ze allemaal, maar speciaal voor mijn collega zet ik ze ook op papier, zij kan ze niet onthouden (wat ik me goed kan voorstellen).

• Hoe goed denk jij dat jouw wachtwoorden zijn?
- Goed. Ik gebruik nooit 2 keer dezelfde, en de lengte verschilt van keer tot keer.

• Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Mijn wachtwoorden onstaan in een word-document, door het te openen en een keer met mijn vingers over het toetsenbord te slepen. Dan krijg je zoiets als oyu89io;kp. Dat sla ik op. Naast de computer hangt een lijstje met die wachtwoorden. Als ik ergens moet inloggen type ik het na. Op sites waar ik geen waarde aan hecht, of die ik waarschijnlijk niet weer gebruik wil het wel eens Gebruikersnaam: $gebruikersnaam;
WW: 1$gebruikersnaam worden.

• Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
- Wat naar voor komt. Ik blijf vaak bij de shifttoesten uit de buurt, dus uppercase letters komen bijna niet voor.

• Hoe vaak wijzig jij jouw wachtwoorden?
- In principe nooit. Het enige dat ik belangrijk genoeg vind om me daar druk om te maken werkt al met een random reader.

• Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
- Nee, zie het eerste punt. E-mail loopt allemaal via Windows live mail (hotmail en de kpn account) dus die hoef ik niet in te typen.

• Hoe bewaar jij jouw wachtwoorden?
- In een bestand op usb-stick en op een lijstje naast de computer.

• Wat is je grootste wachtwoorden-ergernis?
- Het enorme gebruik ervan. Als je een middag een bepaald onderwerp gaat zitten uitpluizen, zit je jezelf om de haverklap te registreren. Als ik iets bestel betaal ik via ideal, wat de zaak rond zou moeten maken, nadat ik ook de adresgegevens heb ingevuld. Maar nee, je moet je eerst registreren. Daarbij wil men graag meteen even je schoenmaat weten en moet je zeker even zoeken naar de checkbox voor de nieuwsbrief, om te voorkomen dat er een lading meuk je mailbox ingespamd wordt.

Btw. Ik gebruik alleen de computer thuis. Hoe dat gaat wanneer er van afstand wat moet gebeuren weet ik niet en daar heb ik me ook nooit in verdiept. Wss. kan ik dan niet overal inloggen.

[ Voor 57% gewijzigd door Anoniem: 155977 op 03-03-2010 17:27 ]

•Hoe goed denk jij dat jouw wachtwoorden zijn?
Heel sterk. Ik zorg dat er getallen, letters en overige characters in voor komen. Mijn softwarepakketje Password Depot geeft ook nog eens hoe sterk het wachtwoord is en ik ga voor donkergroen.

•Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
Alles dus.

•Hoe vaak wijzig jij jouw wachtwoorden?
Ligt er aan wat voor wachtwoorden. Belangrijke wachtwoorden (zoals bankgegevens) worden elke 3 maand gewijzigd. Sommige accounts (zoals websites) verander ik nooit.

•Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Nee. Ik verzin flinke wachtwoorden en het zouden net zo goed gegenereerde wachtwoorden kunnen zijn. Omdat ik met zo belachlijk veel wachtwoorden werk, gebruik ik intensief een password tool.

•Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Ik bedenk ze zelf maar ze zijn niet te onthouden. Ik kan 1 dingetje verklappen. Binnen mijn eigen netwerk (bedrijfsnetwerk aan huis) hebben alle wachtwoord te maken met steden in de wereld. Maar dan weet je eigenlijk nog niets...

•Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Een passwordtool. Met een enorme sterke encryptie. Ik gebruik Password Depot in standalone mode.

Daarnaast probeer ik iedereen in mijn omgeving te overtuigen om fatsoenlijke passwords te verzinnen en gebruik te maken van een passwordtool. Eventueel steek ik een helpende hand toe. Zo belangrijk om niet 1 wachtwoord te gebruik voor allerlei verschillende accounts.

Hoe goed denk jij dat jouw wachtwoorden zijn?
Ik meen zeer goed. Ik switch tussen een paar wachtwoorden die uit willekeurige cijfers bestaan, een sequentie van willekeurige cijfers en letters (die ik overigens vanbuiten leer), en variaties daarop en voor de echte nonsenszaken die niet veel beveiliging behoeven een simpel woordje, welke ik ook deel met anderen.

Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
1. 10-tal willekeurige cijfers
2. 10-tal willekeurige uppercase letters (ahum, in het Nederlands wordt dat overigens gewoon aangeduid met hoofdletters, ik zie het nut hier niet om de engelse term hiervoor te gebruiken.)
3. Bestaand woord.
Overigens nooit leestekens, veel te kut te achterhalen waar de fout zit als je weer eens een ander toetsenbord voor je kiezen krijgt; VS-QWERTY, NL-QWERTY of AZERTY.

Hoe vaak wijzig jij jouw wachtwoorden?
In de regel nooit, behalve wanneer ik er behoefte aan heb wanneer ik vermoed dat er iets gevoelig is uitgelekt.
(Overigens 0,3% die op de poll "Elke week" heeft gestemd zijn echt ziek Zijn die onder behandeling van een psychiater voor overdreven paranoiagedrag?)

Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Elk persoonlijk geval, zoals hotmail, gmail krijgen hetzelfde wachtwoord, net zoals de zaken die open en vrij zijn om te delen met vrienden (accounts van games).
Overigens boeit het niet zoveel als een account "gekraakt/overgenomen/whatever" wordt. Indien iemand dit tweakersaccount verandert, is er nog niemand dood. Ik maak dan gewoon een nieuw account aan, of helemaal niets, want reacties plaats ik toch niet al te vaak, hetzelfde voor de meeste accounts die hier op het internet in een of andere MySQL database rondzweven.

Daarnaast heeft het wachtwoord van mijn Paypal/bankaccount een lange sequentie in hexadecimaal die ik eerst ff moet uitrekenen voordat ik hem zelf weet . Ik denk dat ik dit toch in de toekomst ga veranderen naar iets simpelers aangezien ik het steeds meer en meer gebruik.

Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Variaties op de sequenties van de vorige wachtwoorden.

Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Het zweeft ergens tussen de rechtsonderachtermaartochnetbovendeonderste grijze massa en de rechtsonderachtermaartochnetbovende47stevanlinksnaarrechtsgeteldvandevorige grijze massa.
Kortom, ik onthoud het gewoon.

[b][message=33571076,noline]Loninkwoner schreef op woensdag 03 maart 2010 @

• Hoe bewaar jij jouw wachtwoorden?
- In een bestand op usb-stick en op een lijstje naast de computer.

Really???? Op een lijstje in de buurt van je PC? Lekker makkelijk als je "vrienden" over de vloer hebt.

Leuk om te zien hoe simpel mensen dingen gaan vertellen over hun wachtwoord, dit topic heeft best wel een hoog social enginering gehalte...

Het wachtwoord wordt door niemand gegeven maar ze geven wel de nodige info die de tijd nodig voor een brute force enorm kan verkorten. (denk bijvoorbeeld aan de lengte van het password, zoals zelfs Equator vermelde, en daar zelfs bijvermelde dat het over zijn GoT account ging...)

Desifiadore was tot nu toe de enige met een reactie die er op wijst dat hij/zij het wel begrepen heeft en volgens mij ook niet zo snel in een social enginering val zal trappen...

Erg slordig en geeft maar aan hoe mensen dus met dit soort dingen om gaan...

[ Voor 15% gewijzigd door Plopeye op 04-03-2010 09:18 ]

• Hoe goed denk jij dat jouw wachtwoorden zijn?
Vrij goed.

• Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
3 voor onbelangrijke accounts, alle voor belangrijke.

• Hoe vaak wijzig jij jouw wachtwoorden?
Vrijwel nooit.

• Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Nee, maar hoe gevoeliger de informatie, hoe sterker de spin-off van het origineel.

• Hoe bewaar jij jouw wachtwoorden?
Papier, maar nooit precies het pw (1 bekende wisseling in karakters, want wat als het papier gejat wordt?)

• Wat is je grootste wachtwoorden-ergernis?
Beperking in lengte en/of karakters.

BTW: Ik ga nu wel even al mijn pw's tegen het licht houden

Plopeye schreef op donderdag 04 maart 2010 @ 09:08:
Desifiadore was tot nu toe de enige met een reactie die er op wijst dat hij/zij het wel begrepen heeft en volgens mij ook niet zo snel in een social enginering val zal trappen...

Erg slordig en geeft maar aan hoe mensen dus met dit soort dingen om gaan...

Je kan het ook overdrijven.

Ik heb bijvoorbeeld alleen gezegd dat ik van alles in mijn wachtwoord gebruik en dat ik ze vrij lang maak. Alsof je nu opeens binnen 2 weken mijn wachtwoorden 'bruteforced' in plaats van in 100 jaar

Gizz schreef op donderdag 04 maart 2010 @ 09:46:
[...]

Je kan het ook overdrijven.

Ik heb bijvoorbeeld alleen gezegd dat ik van alles in mijn wachtwoord gebruik en dat ik ze vrij lang maak. Alsof je nu opeens binnen 2 weken mijn wachtwoorden 'bruteforced' in plaats van in 100 jaar

Dat is zijn punt niet.

Hij kan nu zijn bruteforce actie verfijnen wat het proces verkort i.p.v. in het wilde weg te beginnen.
Kennelijk is jouw wachtwoord extreem lang, dus wacht "hij" af tot er iemand komt die minder karakters heeft en kan zich daar op focussen.

Dan vind ik nog mijn post verre van slordig. Wat heb ik ermee te maken dat iemand anders post dat zijn wachtwoord 4 tekens is met alleen cijfers (bij wijze van spreken ). Mijn post is mijn inziens erg verantwoord met het oog op 'social engineering'

Hoe goed denk jij dat jouw wachtwoorden zijn?
Aantal zijn heel goed (via zo'n random password generator), andere zijn simpel maar zo onlogisch dat ze niet makkelijk gegokt worden (pennedop bijvoorbeeld).

Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
Meest complexe varianten alles, aflopend tot minst belangrijk met enkel normale letters. Soms in de 1337 style wat wachtwoord (w@cHtw00rD!~ bijvoorbeeld).

Hoe vaak wijzig jij jouw wachtwoorden?
Veelal pas wanneer het systeem er om vraagt (windows, website, account) of ik ben hem vergeten

Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Niet specifiek, ik werk wel met een standaard van zo'n 15 wachtwoorden, die ik willekeurig gebruik. De koppeling met username en soort inlog weet ik welk wachtwoord ik moet hebben.

Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Veelal variaties op bestaande wachtwoorden, als systemen een hogere eis gaan stellen op je wachtwoorden. (zo heeft recent Cabal Online de '4 groepen' regel ingesteld).

Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Aantal zijn toch opgeschreven, deze zijn zo 'complex' en heb ze amper nodig. De rest tussen mijn oren, waaronder een 2tal van 32 tekens Ik leer ook nooit het wachtwoord zelf, maar de 'rytme' op het keyboard, ik zou ze bijvoorbeeld niet op kunnen schrijven.

Gizz schreef op donderdag 04 maart 2010 @ 11:12:
Dan vind ik nog mijn post verre van slordig. Wat heb ik ermee te maken dat iemand anders post dat zijn wachtwoord 4 tekens is met alleen cijfers (bij wijze van spreken ). Mijn post is mijn inziens erg verantwoord met het oog op 'social engineering'

Het feit dat er hier dus hele hordes informatie over hun wachtwoorden aan het posten zijn op een openbaar forum geeft wel te denken...

of je nou heel veel zegt of niet.
Wat een leuke toevoeging zou zijn is: "hoeveel schuilnamen gebruik je en zo ja welke" dan kunnen we direct ook de nodige social networks gaan doorzoeken op namen van vriendin, hond enzevoort... kunnen we voor vele de hoeveelheid mogelijkheden nog kleiner maken. (Je hoeft het niet eens mee te posten, daar zijn zoekmachines voor)

Ik bedoel hiermee te zeggen de stukjes info op zich kan je misschien niet zo veel mee maar een combinatie van een aantal gegevens wel, een informatie over je wachtwoorden is toch best wel gevoelig...

En de lengte van je wachtwoord lijkt niet heel erg gevoelig maar als je een brute force wilt doen halveert het in ieder geval het aantal mogelijkheden wat je moet proberen.
Daarbij dan ook nog eens vertellen voor welk account het is maakt het nog mooier (Zoals Equator deed)... dan weet je dus ook direct ook waar je moet zijn.

Vertel je er vervolgens ook nog bij dat je op meerdere plekken dezelfde wachtwoorden gebruikt dan is het natuurlijk zoeken naar eventuele accounts (overal dezelfde schuilnaam helpt daar best wel bij, en er zijn velen die dit doen...)

Staat er vervolgens in je tweakers profiel ook nog een mailadres dan is die betreffende mailbox natuurlijk ook doelwit om eens te proberen.

Ik hoop zo een aantal mensen toch eens aan het denken te zetten en hun voordeel te laten doen met deze wetenschap. Verder moet natuurlijk ieder voor zich weten wat ze wel of niet openbaar willen maken...

Plopeye schreef op donderdag 04 maart 2010 @ 15:50:
[...]

Daarbij dan ook nog eens vertellen voor welk account het is maakt het nog mooier (Zoals Equator deed)... dan weet je dus ook direct ook waar je moet zijn.

Nou nou, ik zou zeggen: stel je bruteforce.exe maar in op 18, en leef je uit.


Een wachtwoord is slechts single factor authentication, omdat de inlognaam meestal op de e.o.a. manier wel te herleiden is. Dat je dan weet dat het 6 karakters lang is geeft je inderdaad een kleine voorsprong. Daar heb je op zich wel gelijk in, maar je kan het ook overdrijven.

of je nou heel veel zegt of niet.
Wat een leuke toevoeging zou zijn is: "hoeveel schuilnamen gebruik je en zo ja welke" dan kunnen we direct ook de nodige social networks gaan doorzoeken op namen van vriendin, hond enzevoort...

Nou, die vergelijking gaat iets wat scheef. Ik vertel je namelijk niet wat mijn wachtwoord is, maar de lengte.

Ik begrijp je punt wel, maar vertellen of je wachtwoord 7 of 8 karakters lang is maakt je niet meteen gevoeliger voor Social Engineering

Dat jij het niet wilt vertellen is jouw keuze, en die respecteer ik.

[ Voor 16% gewijzigd door Equator op 05-03-2010 07:29 ]

waar het van belang is & mogelijk is, gebruik ik passphrases. deze zijn allemaal >30 tekens, erg eenvoudig te onthouden maar wel sterk. Deze wijzig ik gewoon niet, tenzij ik een stommiteit bega door het bv. in een verkeerd veld in te typen

voor een hele reeks minder belangrijke sites gebruik ik eenvoudige wachtwoorden, waarvan ik echter evenmin snel verwacht dat ze achterhaald/geraden zouden kunnen worden. dikwijls hebben deze sites slechte beveiliging (geen https/client side javascript encryptie/salting)

bedrijfsww-en moeten te vaak gewijzigd worden en zijn ook nog eens noodzakelijk kort (6 tekens) voor sommige systemen. daardoor ontstaan er systeempjes om nieuwe te bedenken die afleidbaar zijn uit voorgaande en worden ze ook opgeschreven, wat de veiligheid sterk vermindert uiteraard.

tot nu toe onthoud ik gewoon m'n wachtwoorden, ik schat dat het er zo'n 30tal zijn.

peak schreef op donderdag 04 maart 2010 @ 00:58:
[...]


Really???? Op een lijstje in de buurt van je PC? Lekker makkelijk als je "vrienden" over de vloer hebt.

Wat hebben mijn vrienden aan mijn wachtwoorden? Eenieder die mijn computer (fysiek) ziet staan kan ik wel vertrouwen. Ik heb niet veel geheimen. Ik houd er alleen niet van dat er op afstand via mijn adsl-lijntje aan mijn computer wordt geprutst, of dat iemand zich online met mijn bedrijfsvoering bemoeit.

Daar gaat het voornamelijk om. Je wilt niet weten waar je als landbouwbedrijf overal online een dossier hebt. (Ministeries van LNV en VROM, Gezondheidsdienst voor dieren, Stamboek, Gemeente, (en in mijn geval: Provincie, DLG) etc.) Werkelijk alles moet geregistreerd worden en in een database verzameld.

Even een voorbeeldje: Schaapje krijgt een lam, maar heeft een uierontsteking. Stappen die je doorloopt: Uierontsteking constateren> Uier uitmelken> Antibioticum toedienen en evt. pijnstiller>(nu komt-ie) Via chipreader in een PDA schaapje registreren>antibioticum en pijnstiller toeschrijven aan schaapje>lam registreren als blootgesteld aan antibioticum en pijnstiller>pda uitlezen en toediening en blootstelling melden aan LNV en Gezondheidsdienst, Ziekte op zich aan het Stamboek. Foutjes leveren boetes op. Boetes lopen gauw naar de 500 euro. (Waarde schaap en lam samen tegen 180 euro) '
Dat moet goed worden afgedekt. Gerommel in de databases is funest en duur. De bedreiging komt, zoals je je misschien voor kunt stellen, niet zozeer van iemand die achter mijn computer zit. Vandaar dat een lijst volstaat.

[ Voor 51% gewijzigd door Anoniem: 155977 op 05-03-2010 12:28 ]

Dankzij o.a. dit topic ben ik op Keepass en Dropbox gekomen.

De aanleiding was dat ik bij diverse klanten zit, met zo giga veel wachtwoorden dat het onmogelijk is geworden om ze allemaal te onthouden.

Mijn eisen waren simpel:
- Meerdere locaties mogelijk: Tool op pc bij klant, Tool op mobiele telefoon (Android), Tool op iPad
- Wachtwoorden in groepen in te delen (Klant X, Systeem Y etc)
- Synchronisatie wanneer er inhoudelijk wijzigingen zijn geweest
- Gratis, het wordt zakelijk gebruikt

Ik ga de komende tijd Keepass uitproberen in combinatie met Dropbox

http://lifehacker.com/506...-ultimate-password-syncer
http://keepass.info/

[ Voor 10% gewijzigd door Motrax op 24-12-2010 09:53 ]

Is het erg dat ik nu nog reageer op dit topic? Volgens mij is de wachtwoorden discussie altijd relevant en goed om te voeren. Dus:

Ik denk na over mijn wachtwoord en gebruik alles (hoofdletters, kleine e.d.)
Toen ik een jaar in Centraal Amerika was heb ik al mijn minder belangrijke gewijzigd in eentje zonder tekens. Aangezien die soms dus niet te vinden zijn op toetsenborden in internetcafé's. Tja, mischien wel gevaarlijk maar wel ook noodzakelijk gebleken. Gelukkig ben ik niet gehackt of gekraakt en toen ik terugkwam (half jaar geleden) heb ik alles weer netjes gemaakt.

Maar nu vraag ik me dus af...

WAAROM MAG IK OP SOMMIGE WEBSITES MAAR TUSSEN DE 6-10 KARAKTERS INVOEREN EN GEEN TEKENS??
(sorry dat ik schreeuw, maar het is zoooo frustrerend!!)

Waarom? Wie heeft dat bedacht en wat is het voordeel ervan?

Ik ga trouwens na het lezen van dit topic ook weer even een nieuwe indeling maken in pw's en eea veranderen. hahaha...

Er zijn hier een hoop met super lange wachtwoorden, maar is het al opgevallen dat diensten zoals hotmail alleen naar de eerste 16 cijfers kijken? Ga maar eens naar hotmail, typ minimaal 16 karakters van je wachtwoord in en sla dan voor de grap maar eens op je toetsenbord.

Ik denk dat het niet mogelijk maken van invoeren van tekens het makkelijker maakt om te beveiligen, zou geen reden moeten zijn maar toch, de limiet weet ik niet, het mimimum kan ik me voorstellen

Anoniem: 280486 schreef op woensdag 12 januari 2011 @ 14:23:
Ik denk na over mijn wachtwoord en gebruik alles (hoofdletters, kleine e.d.) Toen ik een jaar in Centraal Amerika was heb ik al mijn minder belangrijke gewijzigd in eentje zonder tekens. Aangezien die soms dus niet te vinden zijn op toetsenborden in internetcafé's. Tja, mischien wel gevaarlijk maar wel ook noodzakelijk gebleken.

Als je Lastpass zou gebruiken heb je dit probleem niet. Want daar kun je desgewenst een onscreen toetsenbord gebruiken, juist om dit soort problemen te omzeilen en ook eventuele keyloggers in internetcafe's hebben geen kans. Ik gebruik het sinds een jaar en wil nooit meer iets anders.