Thematopic: Wachtwoordbeveiliging

Hoe goed denk jij dat jouw wachtwoorden zijn?
Matig, lengte is 7-9 tekens.
Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
Dat wisselt per wachtwoord.
Hoe vaak wijzig jij jouw wachtwoorden?
Niet of weinig.
Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Ik heb voor verschillende zaken verschillende wachtwoorden, maar het komt meestal neer op een variatie van drie 'vaste' wachtwoorden.
Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Niet zo vaak
Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Heb een lijst gehad met generated wachtwoorden. Die heb ik gebruikt voor oa. mijn server, ebay en dat soort sites. Verder weet ik de meeste wachtwoorden en hun variaties wel uit mijn hoofd.

Goed, dat was het verplichte 'vragen' werk. Heb al een tijdje het gevoel dat ik op een wat betere manier met m'n wachtwoorden zou moeten om gaan. Dat keepass (net even snel wat testen gedaan) ziet er erg goed uit. Zaak is natuurlijk wel om je database niet kwijt te raken. Maar ik ben van plan om alle wachtwoorden die ik nu in gebruik heb voor de 'belangrijke' sites te veranderen naar random generated wachtwoorden met keepass.

Hmm... op tweakers.net gaat het wachtwoord invoeren via keepass standaard de eerste keer fout... en dan de tweede keer goed... verder nog geen problemen... iemand meer met dit probleem?

[ Voor 6% gewijzigd door IWriteCode op 12-01-2011 16:50 ]

LuckY schreef op woensdag 12 januari 2011 @ 16:56:
Want kan je ook al bij de inlog in je lastpass een onscreenkeyboard kiezen?

Ja, dat kan, je hoeft niks te installeren of downloaden.

Ik zat te denken hè, is het niet handiger om een Gastaccount (of iig een account zonder PW) op je laptop te hebben?

Stel je laptop wordt gejat... een dief installeert dan Windows opnieuw en je kan je laptop niet meer tracken.
Heb je een gastaccount, dan kan de dief daarop inloggen en kan je wél tracken... Nu heeft PRey dat wel ingebouwd, maar er zijn ook applicaties waarbij dat niet zo is.

Wat is dan wijsheid?

• Hoe goed denk jij dat jouw wachtwoorden zijn?
  Slecht, maar ze zijn altijd minimaal 6 tekens lang. Ze bevatten meestal geen leesbare woorden.
• Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
  Dit varieert van 1 t/m 8.
• Hoe vaak wijzig jij jouw wachtwoorden?
  Alleen als het verplicht is. En als het wordt gewijzigd lijkt het voor 90% op het oude.
• Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
  Ja, een account zonder belangrijke gegevens hebben minder bijzondere tekens dan accounts met belangrijkere gegevens.
• Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
  Ik bedenk hem altijd zelf omdat ik hem ook moet onthouden. Meestal open ik kladblok, ram ik wat op het toetsenbord en pas daarna wat tekens aan om een origineel wachtwoord te verkrijgen.
• Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
  De meeste wachtwoorden staan ook in mijn e-mail. Maar elke gebruikersnaam en wachtwoord staat op papier. Ik gebruik geen tooltje voor de wachtwoorden.

Meestal loopt het aanpassen van een wachtwoord over een niet-beveiligde verbinding. Volgens mij heeft het ook weinig nut om elke maand de wachtwoorden aan te gaan passen. Plus nog de kans dat je niet meer weet welk wachtwoord je als laatste hebt gebruikt en je account bijna geblokkeerd wordt vanwege foutieve wachtwoordpogingen.

Net als velen zoek ik ook nog altijd naar de ultieme oplossing.

Hieronder vast al een theoretisch verzinsel waarmee ik hoop een leuke discussie uit te lokken

Tegenwoordig heb je voor alles en nog wat wachtwoorden nodig. Omdat de rekenkracht ook blijft stijgen heb je hierdoor nood aan een langere tekenreeks, het liefste nog met speciale karakters in verwerkt.

Een oplossing die ik hier voorbij zag komen was een master password verzinnen, en hier telkens een kleine variatie op aanbrengen voor elke applicatie.
Stel master password als password, dan zou je de webGUI van je router passwordrt kunnen geven.

Dit lijkt me niet zo'n goede oplossing omdat je dan nog veel te onthouden hebt, en je geeft je master password mogelijk weg als een applicatie gedefaced wordt.

Daarom lijkt me de oplossing van een lang, random gegenereerd wachtwoord met speciale tekens de betere oplossing. Zo heb je per applicatie een uniek én veilig wachtwoord.

Allemaal mooi en wel, maar hoe onthou ik die dan?

Niet.

De werking van KeePass hoef ik aan niemand meer uit te leggen.
De belangrijkste voordelen voor mij: het wordt nog steeds actief ontwikkeld, het is opensource, er zijn allerhande plugins voor te krijgen, heeft een brede userbase en is gratis.

Dus: al je random gegenerate passwords mooi in een database en klaar. Of toch niet?

Nee, want zo'n centrale database is toch een mooi voorbeeld van een SPOF?

Dat klopt.

Zowel datacorruptie als de mogelijkheid dat je database gecompromised wordt zijn bedreigingen.
Bovendien dien je telkens je database te raadplegen als je op een van je applicaties wil inloggen.

Wat datacorruptie betreft lijkt de, hier ook al eerder aangehaalde, oplossing van een Dropbox account me een goede. Op enkele machines installeren en je hebt op elke client een backup, die ook nog eens gesynchroniseerd wordt tussen alle aangesloten nodes.
Bovendien heb je ook nog een backup "in the cloud" mocht er op wonderbaarlijke wijze wat met al je machines gebeuren.

Ok, datacorruptie lijkt min of meer opgelost door bovenstaande oplossing, wat dan met de veiligheid van je centrale KeePass database?

Over de werking van KeePass ga ik niet uitweiden, maar er zijn beveiligingsmechanismen genomen om ongeoorloofde toegang tot het programma te vermijden.
Blijft dan nog over: een sterk masterpassword. Dit is zeker ook nodig omdat je database in the cloud staat, waar in theorie er mensen zomaar bijkunnen.

Hierbij moet ik SKiLLa citeren die schreef:

SKiLLa schreef op dinsdag 02 maart 2010 @ 19:36:
...
De toekomst is imho toch een combinatie van een fysiek medium (pas, token, vingerafdruk) + wachtwoord.

Hier ga ik mee akkoord. Zelf dacht ik aan betrouwbare biometrische authenticatie zoals een irisscan. Dit omdat een irisscan veel veiliger is dan een vingerafdruk.
Helaas lijkt er hier geen betaalbare en betrouwbare consumentenapparatuur voor te bestaan.

Verder dan maar. In dit topic las ik een vermelding van de YubiKey

Dit is, simpelweg gezegd, een usbstick met een touch toets die one time passwords aanmaakt.
Voor meer informatie verwijs ik naar de bovenstaande website en een zoekmachine, deze post is al veel te lang zonder zulke extra informatie
Wat het apparaatje wel nog kan, én ook relevant is voor mijn opzet is het opslaan van een statisch password.

Mijn oplossing zou er dus in bestaan een lang en complex random wachtwoord te generaten, van bijvoorbeeld 40 characters. Dit sla je op op je YubiKey en je kan inloggen op je KeePass database, waarna je toegang tot al je wachtwoorden hebt.

Wat als je echter die YubiKey verliest? Dan kan iemand anders, theoretisch gezien, nog altijd aan je master database.

Daarom dacht ik een combinatie te maken tussen het beste van beide werelden: een gemakkelijk te onthouden 'bijsleutel', én de complexiteit van een statisch opgeslagen wachtwoord op je YubiKey en deze te combineren als 1 string dat dan je echt masterpassword is.

Bij verlies van je YubiKey hoef je je zo geen zorgen te maken dat iemand je hoofdsleutel weet, en omgekeerd hoef je je geen zorgen te maken dat je centrale databank makkelijk gebruteforced kan worden.

Als backupmaatregel kan je dan wel nog je hoofdsleutel-je eigen, te onthouden, 'kleine sleutel' ergens opschrijven en veilig opbergen.

Zo, een hele lap tekst maar ik hoop dat er wat structuur in terug te vinden is en dat ik mijn idee helder heb kunnen uitleggen.

Bovenstaande oplossing lijkt me dus geschikt, maar ook vrij complex. Ik heb het gevoel dat ik een veel simpelere, en toch even veilige, oplossing over het hoofd zie.

Alle reacties welkom

sloth schreef op woensdag 19 januari 2011 @ 22:59:
Bovenstaande oplossing lijkt me dus geschikt, maar ook vrij complex. Ik heb het gevoel dat ik een veel simpelere, en toch even veilige, oplossing over het hoofd zie.

Als je het dan toch over YubiKey gaat hebben, zou je op z'n minst even de combo YubiKey + LastPass kunnen bekijken. Dat is in ieder geval erg simpel.

Voor mij is het veilig genoeg. Steve Gibson, die gast van www.grc.com (waarschijnlijk beter bekend van Shields-Up), vindt dat ook. Hier een filmpje.

Leuk leesvoer

Het probleem bij LastPass vind ik dat je er nooit zeker van kan zijn dat je master password niet naar hun servers gestuurd wordt.
Mocht dat gebeuren dan liggen al je credentials meteen op straat.

Ik kan ook niet zo meteen vinden wat het voordeel is t.o.v. de Dropbox oplossing? Beide synchroniseren automatisch en veilig over meerdere machines, en je hebt voor beide een masterpassword nodig.

Achja, misschien ben ik ook gewoon paranoïde maar het zit me niet lekker om alles op een server van een Amerikaans bedrijf te centraliseren.
Je KeePass file is encrypted, en daar bovenop slaat Dropbox alle files met AES-256 op.

Toch vraag ik me af of het e.e.a. niet eenvoudiger kan...

Je kunt bij Keepass een soort van (poor mans) 2-factor authenticatie realiseren door gebruik te maken van een key-file die je handmatig op je eigen apparaten plaatst. Toegang tot de database hangt dan af van het apparaat (key file) en geheim dat je kent (password).

M.i. noodzakelijke voorwaarde om je keypass database online op te slaan.

[ Voor 12% gewijzigd door Rukapul op 26-01-2011 21:50 ]

Ik kende de functionaliteit maar zit hier ook weer met wat vragen / bedenkingen:

-Wat voor bestand gebruik je als key file? Maakt de grootte hier van uit? Hoe ga je dit bestand dan backuppen, en belangrijker nog: hoe doe je dit op een veilige manier?

-Stel dat je als keyfile een GnuPG keyfile neemt, en dit opslaat in je Dropbox folder. Is dit dan niet een vorm van Security trough obscurity?
Je kan natuurlijk ook weer een passphrase aan de keyfile geven maar dan zit je met wéér een extra wachtwoord.

In totaal heb je dan:

-Een YubiKey master password
-Een gekozen 'salt' die je op een bepaalde plaats in het lange YubiKey password bijvoegt, dit samen is je 'master key'
-Een keyfile als 2-factor authenticatie voor KeePass
-Om deze keyfile te beschermen nog een passphrase

Redelijk omslachtig lijkt me zo.

Een keyfile plaats je natuurlijk nooit op een dienst als drop box* (als je een vorm van 2-factor auth wilt benaderen). Die plaats je out-of-band (bv handmatig) op de diverse apparaten.

*evt wel weer indien die drop box service voor niets anders wordt gebruikt en de key file ook weer beschermd wordt met een aparte zeer sterke key phrase zodat je het out-of-band principe redelijk benadert. De keyfile naast de key db bij een dienst plaatsen is in elk geval een no go conceptueel gezien.

[ Voor 45% gewijzigd door Rukapul op 02-02-2011 16:26 ]

Hoe goed denk jij dat jouw wachtwoorden zijn?
Goed,mijn sterkstes wachtwoorden zijn meer dan 20 karakters
Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
Ja, ja , ja, ja, soms
Hoe vaak wijzig jij jouw wachtwoorden?
Om de twee maand.


Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Voor professioneel gerelateerde doeleinden gebruik ik complexere wachtwoorden.
Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)Ik bedenk ze zelf, om de twee maanden.
Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Ik onthoud ze gewoon, dit is het veilgste.

Ik heb nu Roboform Everywhere. Werkt superfijn. Slaat nu ook automatisch passwords op uit applicaties. Met everywhere mag je onbeperkt clients aan je account toevoegen. Ik heb dus nu een applet op Android, 2 desktop clients, en 2 USB sticks. Een van die sticks is mijn "stel dat er echt iets gruwelijk misgaat"-recovery. De andere gebruik ik op het werk. Wij loggen op het domein in met een cryptocard, en dat vond ik veilig genoeg om daar de "store master password in system protected storage" feature aan te zetten.
Dat wil zeggen dat je dan je master password niet meer hoeft in te geven. Het beleid op het onbeheerd achterlaten van je card is streng, dus zodra ik mijn werkplek verlaat gaat die card eruit. Mijn usb stick is dus alleen unlocked onder mijn account op de zaak.
De USB sticks worden overigens niet automatisch met roboform online gesynced. De rest wel, want dat is onderdeel van roboform everywhere.

Ik heb ongeveer 325 passwords in mijn store, allemaal met de grootst toegestane variatie en lengte.

[ Voor 5% gewijzigd door Mistraller op 02-02-2011 22:40 ]

Ik maak gebruik van pwsafe, als ik iets nodig heb log ik via SSH in op mijn server en haal ik daar het wachtwoord op. Mijn wachtwoorden zijn zo lastig als men maar toelaat. Mijn wachtwoord voor Tweakers.net is iets als "0+2Kx^iG<pOC#nOXm4x?RS^ClAZB#$2h5~f-" -ja echt. Waarom niet? Een kort woord copy/pasten is net zoveel werk als een lang wachtwoord.

Ik heb ongeveer 130 wachtwoorden nu in mijn password manager staan.

Hoe goed denk jij dat jouw wachtwoorden zijn?
Sterk. Ik gebruik de password generator van Keepass en standaard staat bijna alles aangevinkt m.u.v. High Ansi Characters. Meeste sites slikken dit en waar nodig vink ik sets uit. De minimale lengte is 8 tekens.
Hoeveel groepen bevatten jou wachtwoorden vaak?
Alles vaak met uitzondering van de bijzondere karakters.
Hoe vaak wijzig jij jouw wachtwoorden?
Verschilt per site. Sites waar betalingsgegevens beschikbaar zijn en logins die lastig zijn om kwijt te zijn of waar veel van afhankelijk is wijzig ik minimaal 1x per half jaar.
Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Nee, alles is compleet willekeurig.
Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Zoals gezegd, verschilt per site. Voor sites gebruik ik Keepass en voor Keepass gebruik ik een lang zelf bedacht wachtwoord die regelmatig wordt gewijzigd.
Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Keepass.

Aangezien veel mensen hier Keepass gebruiken, hoe ga je om met je database? Je wilt natuurlijk je wachtwoorden overal beschikbaar hebben. Ik heb een desktop, een laptop en een Android-telefoon. Ik maak gebruik van de '1-seconde-regel'. Keepass heeft 1 seconde nodig op mijn desktop om de database op te slaan/te openen. Nu zijn de laptop en telefoon allebei een stuk trager en op de laptop kun je dan gerust een halve minuut wachten voordat de database is geopend. (Niet mee te werken dus)

Op de laptop heb ik de 1-seconde-regel toegepast en daarnaast de database voorzien van een sleutelbestand en gekoppeld aan het Windows-account. De mogelijke 'aanvaller' moet de database hebben, staat op de laptop, sleutelbestand, staat uiteraard niet op de laptop, en de 'aanvaller' moet kunnen inloggen op de laptop op mijn account.

Op mijn telefoon heb ik besloten om de database maar niet te plaatsen omdat deze natuurlijk vrij diefstalgevoelig is. Hoe gaan jullie hiermee om?

Ben ik dan zo belangrijk dat mensen mijn wachtwoorden willen hebben? Nee, maar mocht mijn laptop gejat worden dan hoef ik niet als een speer mijn wachtwoorden te veranderen omdat iemand anders daar misschien toegang tot heeft.

Strikt genomen is die 'key transformation' optie een aanpak die te vergelijken valt met salting. Het biedt een (poor man's) oplossing voor zwak key materiaal (wachtwoord). Je kunt dus de key transformaties laten vallen voor een sterk wachtwoord wat je sowieso hoort te hebben.

In perspectief: waarschijnlijk is het toevoegen van een paar bits (netto) aan je wachtwoord net zo effectief in veiligheid als die 6000 transformaties. Aangenomen dat die 6000 ook AES encryptieoperaties zouden zijn dan zou je log2(6000) bits nodig hebben, oftewel 12 a 13 bits extra. Gewone Engelse taal heeft ca 3 bits per karakter. Willekeurig alfanummeriek (incl. capitals) 6 per karakter.

[ Voor 55% gewijzigd door Rukapul op 08-02-2011 23:40 ]

Ik lees hier dat veel mensen een wachtwoord m.b.v. een programma beheren, of zelf een of ander complex wachtwoord hebben bedacht.

Maar maken jullie dan ook totaal geen gebruik van de automatische wachtwoord-onthoudfunctie in de webbrowsers of het e-mailprogramma?

Hoe goed denk jij dat jouw wachtwoorden zijn?
Bagger. Gewoon echt bagger.
Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
2 groepen
Hoe vaak wijzig jij jouw wachtwoorden?
Nooit
Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
1 wachtwoord voor alles
Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Bedenk hem zelf
Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
onthouden (is niet moeilijk met een idioten wachtwoord)

[ Voor 3% gewijzigd door Shadoxfix op 20-02-2011 21:35 ]

Onbekend schreef op zondag 20 februari 2011 @ 21:27:
Ik lees hier dat veel mensen een wachtwoord m.b.v. een programma beheren, of zelf een of ander complex wachtwoord hebben bedacht.

Maar maken jullie dan ook totaal geen gebruik van de automatische wachtwoord-onthoudfunctie in de webbrowsers of het e-mailprogramma?

Voor zover dat prettig werkt staat het idd uit. Sinds Roboform in applicaties ook kan invullen, laat ik inderdaad applicaties ook geen accounts meer opslaan. Maar met mail programma'sn sommige andere auto-sync programma's (twitterclient en zo) wordt het dan wel heel lastig dus daar zitten de wachtwoorden nog wel in. Maar voor het gros van de wachtwoorden is het een website account, en die zitten zeer zeker niet in de browser. Dat is het eerste dat ik meestal uitzet.

Hoe goed denk jij dat jouw wachtwoorden zijn?
Variërend van redelijk slecht tot erg goed.

Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
Minimaal 3, maar het ligt er meestal aan welke groepen toegestaan zijn of nut (wel/niet case-gevoelig) hebben.

Hoe vaak wijzig jij jouw wachtwoorden?
Een aantal nooit, het gros 1 a 2 keer per jaar en een tweetal maandelijks. Wanneer ik na een tijdje een site min-of-meer vergeten ben belandt 'ie vaak in het "nooit" lijstje.

Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Vooral bij sites waarvan ik weet dat als ik mijn ww vergeten ben zij het automatisch per mail toesturen in plaintext gebruik ik ongeveer hetzelfde wachtwoord (6-10 tekens). Op dit soort sites zet ik ook geen persoonlijke informatie btw. Mijn belangrijkere wachtwoorden hebben wel allemaal ongeveer dezelfde structuur (soort van a-ritmisch ritme) maar lijken verder niet op elkaar. De structuur voor mail, docs, admin, etc. verschilt onderling licht. Minimale lengte is momenteel 12 tekens maar wordt 14 waar mogelijk.


Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Ik bedenk ze zelf.

Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
De wachtwoorden die ik het meest gebruik weet ik wel uit mijn hoofd. Daarnaast staan alle wachtwoorden waarvan ik denk ze nog ooit nodig te hebben op mijn eigen manier versleuteld op papier. Het papieren lijstje vergeet ik overigens regelmatig te updaten wat wachtwoorden voor sites betreft. Wachtwoorden voor o.a lokaal versleutelde data staan wel up-to-date op de lijst. Wachtwoorden voor/van mijn werk liggen in een kluis

Hoe goed denk jij dat jouw wachtwoorden zijn?
Ik denk best wel goed eigenlijk. Beter dan vroeger tenminste, toen had ik min of meer 1 wachtwoord voor alles. Dat vond ik na verloop van tijd zelf wel wat onveilig, dus ging ik een ander gebruiken voor bijvoorbeeld de financiele sites. En weer een ander voor iets anders, tot het uit de hand liep en ik het zelf niet meer kon onthouden.

Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
Zoveel mogelijk, tenzij de site het niet accepteert.

Hoe vaak wijzig jij jouw wachtwoorden?
Nooit, tenzij op verzoek van de site. Mijn bank eist dat ik ieder jaar het password ververs.

Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Nee.

Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Ik gebruik een generator van 12 tekens. Ik controleer het ook eerst visueel, omdat in theorie ook generatoren onbedoeld een bestaand woord kunnen kiezen. Denk ik tenminste.

Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Ik ben een enthousiast gebruiker van LastPass. Alles staat dus online, samen met mijn bookmarks omdat LastPass ook eigenaar is geworden van X-Marks. De bookmarks zijn weer onderverdeeld in groepen (prive, werk, mobile) zodat ik per computer altijd de juiste bookmarks heb. LastPass heeft plugins voor de belangrijkste browsers (ik gebruik Chrome) en voor het Android OS van mijn phone.

Onbekend schreef op zondag 20 februari 2011 @ 21:27:
Ik lees hier dat veel mensen een wachtwoord m.b.v. een programma beheren, of zelf een of ander complex wachtwoord hebben bedacht.

Maar maken jullie dan ook totaal geen gebruik van de automatische wachtwoord-onthoudfunctie in de webbrowsers of het e-mailprogramma?

Ik maak daar helemaal geen gebruik van nee. Ook omdat 1Password het prima voor mij kan invullen (en het dus geen meerwaarde heeft om het de browser te laten doen). Maar de voornaamste reden is wel dat Firefox de wachtwoorden niet versleuteld opslaat. Als iemand mijn laptop hackt dan hebben ze dan ook gelijk alle wachtwoorden.

Hoe goed denk jij dat jouw wachtwoorden zijn?
Zeer goed. Voor elke dienst een ander random gegenereerd wachtwoord van meer dan 25 tekens.

Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
Van alles wat.

Hoe vaak wijzig jij jouw wachtwoorden?
Die random wachtwoorden nooit, soms verander ik het wachtwoord van mijn encrypted vault.

Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Ja, elk wachtwoord wordt maar 1 keer gebruikt.

Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
1Password

Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
1Password slaat ze op in een encrypted vault (AES-128), die staat dan weer op een encrypted disk (AES-256).