Thematopic: Wachtwoordbeveiliging

Gizz schreef op woensdag 24 februari 2010 @ 00:18:
[...]
Het gebruiksgemak is voor mij groter, omdat ctrl-alt-a voor mij sneller is dan twee velden vol typen (ook al is het uit mijn hoofd).

Helemaal duidelijk. Ik ga eens kijken of dit voor mij ook werkt. Thanx!

[edit]Even zeiken over portabiliteit van Keepass: het werkt niet op sommige bedrijfspc's waar je geen administrator bent. Dat kan dus lastig zijn als je ook al je passwords op je werk op die manier beheert.

[ Voor 24% gewijzigd door mphilipp op 24-02-2010 19:17 ]

Iedereen probeert hier te laten zien hoe goed ze wel niet zijn met hun wachtwoorden. Daar doe ik niet aan mee

Hoe goed denk jij dat jouw wachtwoorden zijn?
Vrij matig.

Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
Zolang er geen eisen gesteld worden, alleen (lowercase) letters en cijfers.

Hoe vaak wijzig jij jouw wachtwoorden?
Niet vaker dan vereist.

Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Nee. Alleen voor sites die ik niet vertrouw heb ik een apart wachtwoord.

Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Ik gebruik eigenlijk overal hetzelfde wachtwoord, een wachtwoord dat me ooit toegewezen was door de systeembeheerder. Als ik iets anders moet bedenken, probeer ik daar een spin-off van te bedenken.

Ik heb wel eens geprobeerd zelf een sterk wachtwoord te bedenken, maar ik blijk ze te vergeten als ik ze niet dagelijks gebruik. Ik vind het ook belangrijk dat het wachtwoord "lekker typt", zodat ik geen accounts blokker omdat ik een typfout gemaakt heb.

Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Onthouden. Vandaar zo weinig mogelijk verschillende wachtwoorden.

Mijn wachtwoorden worden wel aangegeven als "sterk". Maar ook die bestaat uit wat varianten die langzaamaan waarschijnlijk wel ingewikkelder begint te worden. Deze is ook nergens opgeschreven ook omdat het een langzaam "ontwikkeld" wachtwoord is zal ik hem nooit meer vergeten.
Op deze manier hou ik dan 2 tot 3 wachtwoorden over waarmee ik werk voor bijvoorbeeld sites waar het me niet interesseert dat het word gekraakt of niet vertrouw en de nieuwste variant van m'n wachtwoord dan voor bijvoorbeeld m'n mail reserveer.

Op mn werk word het eerder opgenoemde programma keypass gebruikt om wachtwoorden op te slaan en te genereren.


Gebruikt hier verder niemand z'n vingers om ergens op in te loggen? Laptops die hier over de balie gaan hebben allemaal zo'n apparaatje ingebouwd. Ik vind het wel verdraaide handig dat het kan. Zou als back-up een USB-stick in de kast kunnen leggen als soort rescue medium. En voortaan met de vinger in loggen.
Ik meen dat je zo'n ding ook los kan kopen en daarmee op verschillende software in zou kunnen inloggen.

Wellicht dat het nog te nieuw/onbelangrijk is voor de consument (en zelfs de gemiddelde bedrijven).

Nvm, zat te slapen .

[ Voor 97% gewijzigd door Black Eagle op 26-02-2010 17:59 ]

> Hoe goed denk jij dat jouw wachtwoorden zijn?
Zeer goed, allemaal gegenereerd met Keychain.app.

>Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
Allen.

> Hoe vaak wijzig jij jouw wachtwoorden?
Nooit.

> Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Neen.

> Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Keychain.app's generator.

> Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Keychain.app.

Hoewel Keychain.app nog véél beter kan (vooral qua UI dan), is het toch wel een win van OS X t.o.v. andere OS'en. Ja, andere OS'en hebben dat ondertussen ook, maar nog steeds minder goed geïntegreerd (terwijl het op OS X al niet geweldig is) — laat bijvoorbeeld maar eens SVN wachtwoorden automatisch onthouden door een gecentraliseerde app op Windows of Linux …

Hoe goed denk jij dat jouw wachtwoorden zijn?
Waar ik ze belangrijk vind zijn ze sterk (E-mail account, Sites waarop ik post zoals tweakers). Waar ze echter niet belangrijk zijn (Spam account, sites waarbij het me werkelijk niets uitmaakt of ik een nieuwe account moet maken) zijn ze zwak tot matig te noemen. Natuurlijk registreer ik nooit correcte persoonsgegevens bij een zwak wachtwoord.

Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
Belangrijke sites: (Bijna) Altijd alles.
Onbelangrijke sites: Upper en lowercase letters.

Hoe vaak wijzig jij jouw wachtwoorden?
Niet zo vaak als ik eigenlijk zou moeten . Aan de andere kant gebruik ik vrijwel nooit hetzelfde wachtwoord voor sites die ik belangrijk vind, en ik log nooit in vanaf een PC waarvan ik de beveiliging niet vertrouw. In principe is de kans dat een wachtwoord ontdekt wordt relatief klein en blijft de schade beperkt. (Er even van uitgaande dat ik mijn thuis PC goed beveiligd houd!) Maar als antwoord: eens in de 6 maanden tot een jaar zal wel een goede schatting zijn voor de sterke wachtwoorden.

Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Nee.

Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Ik vertrouw er maar op dat het systeem wat ik gebruik goed en random genoeg is. Als ik me opeens heel vreemd begin te gedragen weten jullie waar het aan ligt .

Ik pak altijd een begin wachtwoord wat eenvoudig te onthouden is, soms zelfs een oud watchwoord. Vervolgens genereer ik hiervan een RIPEMD160/SHA(1,256,384 of 512) of MD5 hash. Hiervan pak ik op een willekeurige positie een willekeurig aantal cijfers en letters, en voeg hier nog een leesteken of wat aan toe (Vervangen kan natuurlijk ook).

Als ik ooit het wachtwoord vergeet genereer ik opnieuw de hashes met de codes die ik me kan herinneren en dan kijk ik vervolgens of een bepaald deel me bekend voorkomt. Meestal is dat genoeg om het hele wachtwoord inclusief leestekens te herinneren, en indien nodig kan ik dus verder gaan met genereren van nieuwe hashes. Voor wie dit complex en overbodig lijkt: Ik gebruik ze zo vaak dat ik maar zelden sterke wachtwoorden vergeet. En voor de sites die ik maar zo nu en dan bezoek of die me niet echt interesseren heb ik tenslotte een set zwakke wachtwoorden.

Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Papier kan wegvliegen, Tools kunnen gekraakt worden of corrupt raken. Ik onthoud mijn wachtwoorden liever gewoon. Zodra ik kapot ga of informatie moet prijsgeven is de beschermde informatie toch veel minder waard.

Wat is je grootste wachtwoorden-ergernis?
Sites met onzinnige limitaties op wachtwoorden, zoals het verbieden van hoofdletters, het verplichten van een cijfer (alsof Aws*s^Ls niet sterk is!) en boven alles de lengte limieten van een wachtwoord. De idiootste tot nu toe was dat het wachtwoord tussen de 6 en de 10 tekens moest zijn.

[ Voor 5% gewijzigd door Verwijderd op 26-02-2010 20:26 . Reden: Extra vraag ]

Hoe goed denk jij dat jouw wachtwoorden zijn?
Vrij goed, ik gebruik tussen de 8 en de +/- 20 tekens, willekeurig getikt op mijn toetsenbord. Geen enkele van die wachtwoorden onthoud ik.

Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
Allemaal, ieder wachtwoord heeft ten minste 1 hoofdletter en een kleine letters, en bijna allemaal ook cijfers en leestekens.

Hoe vaak wijzig jij jouw wachtwoorden?
nooit...

Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
nee, iedere site heeft een ander wachtwoord. Behalve voor school, daar krijg je 1 wachtwoord voor alle schoolwebsites (webmail, cijferswebsite, tentamen inschrijfsite etc.)

Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Ik bedenk ieder wachtwoord zelf, gewoon met je ogen dicht een keer of 10 a 20 op je toetsenbord rammen en dan spaties eruit halen . Iedere keer als ik een wachtwoord nodig heb verzin ik er eentje.

Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Ik heb alle wachtwoorden opgeslagen in een .txt bestandje op mijn harde schijf van mijn laptop. Mijn hele harde schijf ik geencrypt via ubuntu, omdat ik dat ding altijd mee naar school neem. Mocht hij dan ooit gejat worden ofzo is het toch verdomd lastig om mijn prive data aan te kunnen. Omdat alles geencrypt is, is het dus vrij veilig om wachtwoorden gewoon plaintext op te slaan, en omdat ik mijn laptop bijna altijd bij heb heb ik ook mijn wachtwoorden bij. Ik hoef dus maar 1 wachtwoord te onthouden (die van mijn harde schijf) en dan kan ik alles. Dat ene master wachtwoord is 16 tekens (hoofd, klein, cijfers en leestekens) en is dus vrij moeilijk te brute-forcen.

Hoe goed denk jij dat jouw wachtwoorden zijn?

De wachtwoorden voor belangrijke zaken (webmail, T.net, andere gevoelige zaken) zijn extreem goed (supersterk volgens T.net wachtwoord check en ook erg sterk volgens Google).

Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)

Upper- en lowercase letters en leestekens.

Hoe vaak wijzig jij jouw wachtwoorden?

Voor belangrijke zaken, ongeveer éénmaal per jaar.

Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)

Yes, scheiding tussen erg belangrijk, gewoon en boeiend. Grofweg drie categorieën dus.

Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)

Bedenk al mijn wachtwoorden zelf. Zijn dus wél leesbaar, echter te lang en ongebruikelijk om door wat dan ook te kraken te zijn.

Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)

Gewoon onthouden, ik heb nooit echt vertrouwen in tools waar ik al mijn wachtwoorden in moet geven. Voelt toch niet echt prettig.

[ Voor 3% gewijzigd door Cloud op 26-02-2010 19:46 ]

Hoe goed denk jij dat jouw wachtwoorden zijn?
Ik denk goed Ik gebruik verschillende wachtwoorden met telkens een hogere complexiteit. Belangrijke zaken (zoals mijn mail, domein beheer) zijn zeer belangrijk en hebben het meest complexe wachtwoord. Forums enz is wat minder belangrijk en als laatst heb je de rommel dingen waar ik een wachtwoord heb in de aard van Hallo. Dat laatste is inderdaad wel vreselijk onveilig maar gebruik ik enkel voor sites waar ik eigenlijk gewoon een vraag ofzo moest stellen (en je bent verplicht om een account aan te maken).
Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
Mijn meest complexe bevat cijfers, letters (upper en lower), leestekens en vreemde tekens (zoals %-!...)
Hoe vaak wijzig jij jouw wachtwoorden?
Eigenlijk nooit :-/
Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Jeb. Ik vertrouw vele sites niet. Voor sites die bij de wachtwoord vergeten link gewoon je huidig terug kunnen doorsturen. Bewijst volgens mij dat hun eigen beheerders je wachtwoorden kunnen zien.
Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Altijd dezelfde
Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Ingebouwde password manager van de browser maar met een master password zodat 'gasten' op mijn computer niet zomaar mijn wachtwoorden kunnen zien.
Waar ik mij het meest aan erger?
Als je bepaalde tekens niet mag gebruiken in een wachtwoord. Om mijn online belastingaangifte te doen mag je bv bepaalde tekens (zoals %) niet gebruiken of maar beperkt bent in het aantal tekens.
Een wachtwoord beleid waar je om de maand je wachtwoord moet wijzigen vind ik wat overdreven. Dit leidt tot gebruikers die slechte wachtwoorden gaan bedenken omdat ze het anders altijd vergeten. Veel mensen nemen dan als wachtwoord de maand met het jaartal erachter of kleven het als post-it op hun scherm. Tja wat is dan nog het nu van een wachtwoord?

Ik erger me ook aan het niet kunnen gebruiken van sommige (helemaal niet zo speciale) leestekens. Bijvoorbeeld de spatie zie je heel vaak bij de niet toegestane tekens staan. Ik heb geen idee waarom dat zou moeten, want een spatie is nou juist een handig karakter voor in je wachtwoord. Makkelijk te typen en het maakt rainbowtables zo goed als nutteloos.

Onder andere Microsoft accepteert geen spaties. Gelukkig accepteren Google en T.net wel zo goed als alle tekens, daar heb ik dan ook nooit problemen.

Ik hanteer categorieën waar ik wachtwoorden voor moet opvoeren. Voor websites als Paypal, Ebay en de IB-Groep hanteer ik unieke, lange, sterke, wachtwoorden. Voor servers hanteer ik lange root wachtwoorden en log ik vooral in middels public-private key. Voor registraties bij webshops hanteer ik redelijke wachtwoorden, een combinatie van twee / drie woorden met wat cijfers. Deze zijn doorgaans wel hetzelfde. Voor fora hanteer ik nog wel eens hetzelfde wachtwoord (Tweakers wachtwoord zojuist gewijzigd ), maar vooral verschillende gebruikersnamen. Ik denk dat ik in totaal zo'n vier verschillende wachtwoorden heb voor fora.
Voor de rest ben ik kritisch in voor welke websites mijn browser de wachtwoorden mag onthouden. Voor fora is dat het geval, voor Ebay, Paypal, Gmail, ... niet.
Momenteel sla ik nog geen wachtwoorden op, maar ik denk er nu toch sterk aan om met Keepass te gaan werken. Deze wil ik dan in Dropbox plaatsen om er altijd bij te kunnen. Alleen dan kan ik overal unieke wachtwoorden gaan voeren en ze geregeld veranderen, want dat gebeurd nu alleen als dat geforceerd wordt door het systeem.

Maar wat ik mij nu afvraag, sommigen geven aan dat ze altijd een combinatie van alle leestekens maken (deze vaak veranderen, en nooit twee keer dezelfde, ...). Komen diezelfde mensen wel eens in het buitenland? Nu hebben ze wel een veilig systeem, maar in welke mate kom je dan met rare leestekens niet in de problemen als de toetsenbord indeling totaal anders is. Zo heb ik wel eens gezeur gehad om in te kunnen loggen omdat ik achter een toetsenbord met Amerikaanse indeling zat, maar die was ingesteld op een andere indeling.

In het verlengde ervan zit ik te denken aan een systeem waarbij mijn wachtwoord automatisch verandert na een succesvolle inlogpoging. Op die manier heb je totaal geen last van een keylogger. Je moet dan voor jezelf een slimme sequentie bedenken die niet overduidelijk is. Dus niet een wiskundige rij (zoals de door de meesten gehanteerde rekenkundige rij), maar een sequentie in woorden, bijvoorbeeld docenten van je school. Keerzijde is dat dit dan in plaintext ergens zal staan, maar die zit dan als het goed is achter een supersterk wachtwoord. (Ik neem aan dat het allang bestaat, maar ik moet er nog eens een keer achteraan.)

Dadona schreef op vrijdag 26 februari 2010 @ 21:06:
Ik hanteer categorieën waar ik wachtwoorden voor moet opvoeren. Voor websites als Paypal, Ebay en de IB-Groep hanteer ik unieke, lange, sterke, wachtwoorden. Voor servers hanteer ik lange root wachtwoorden en log ik vooral in middels public-private key. Voor registraties bij webshops hanteer ik redelijke wachtwoorden, een combinatie van twee / drie woorden met wat cijfers. Deze zijn doorgaans wel hetzelfde. Voor fora hanteer ik nog wel eens hetzelfde wachtwoord (Tweakers wachtwoord zojuist gewijzigd ), maar vooral verschillende gebruikersnamen. Ik denk dat ik in totaal zo'n vier verschillende wachtwoorden heb voor fora.
Voor de rest ben ik kritisch in voor welke websites mijn browser de wachtwoorden mag onthouden. Voor fora is dat het geval, voor Ebay, Paypal, Gmail, ... niet.
Momenteel sla ik nog geen wachtwoorden op, maar ik denk er nu toch sterk aan om met Keepass te gaan werken. Deze wil ik dan in Dropbox plaatsen om er altijd bij te kunnen. Alleen dan kan ik overal unieke wachtwoorden gaan voeren en ze geregeld veranderen, want dat gebeurd nu alleen als dat geforceerd wordt door het systeem.

Maar wat ik mij nu afvraag, sommigen geven aan dat ze altijd een combinatie van alle leestekens maken (deze vaak veranderen, en nooit twee keer dezelfde, ...). Komen diezelfde mensen wel eens in het buitenland? Nu hebben ze wel een veilig systeem, maar in welke mate kom je dan met rare leestekens niet in de problemen als de toetsenbord indeling totaal anders is. Zo heb ik wel eens gezeur gehad om in te kunnen loggen omdat ik achter een toetsenbord met Amerikaanse indeling zat, maar die was ingesteld op een andere indeling.

In het verlengde ervan zit ik te denken aan een systeem waarbij mijn wachtwoord automatisch verandert na een succesvolle inlogpoging. Op die manier heb je totaal geen last van een keylogger. Je moet dan voor jezelf een slimme sequentie bedenken die niet overduidelijk is. Dus niet een wiskundige rij (zoals de door de meesten gehanteerde rekenkundige rij), maar een sequentie in woorden, bijvoorbeeld docenten van je school. Keerzijde is dat dit dan in plaintext ergens zal staan, maar die zit dan als het goed is achter een supersterk wachtwoord. (Ik neem aan dat het allang bestaat, maar ik moet er nog eens een keer achteraan.)

Voor dat laatste is zo'n RSA SecurID sleutelhanger best wel handig, ondanks dat ook dat te kraken valt als ze 'm een poosje in handen hebben gehad , maar het is qua veiligheid te vergelijken met een fysieke sleutel.

http://en.wikipedia.org/wiki/SecurID

Voor belangrijke zaken gebruik ik wel wat moeilijkere passwoorden. Maar ik wijzig eigenlijk erg weinig, zeker de minder belangrijke. Sterker nog, mijn msn en email wachtwoord heb ik volgens mij al 5 jaar hetzelfde.
Ook nog nooit ergens last van gehad dat een wachtwoord gekaapt was. Nou ben ik ook niet heel erg lomp in het gebruik er van (geen gebruik op brakke sites, of onbetrouwbare openbare pc ect.) ,.
Ik vraag me af, is hier iemand wel eens ernstig slachtover geworden van passwoord fraude? Is het erg gevaarlijk om een simpeler passwoord te hebben dat je vaker gebruikt?

Ik heb blijkbaar een andere taktiek. Als het belangrijk is verwacht ik meer dan een wachtwoord, bv. een RSA token generator (zoals bij een bank). Alleen een wachtwoord; dan zorg ik ervoor dat er geen belangrijke dingen instaan. Dat maakt alles veel overzichtelijker...

Adm.Spock schreef op vrijdag 26 februari 2010 @ 21:33:
[...]


Voor dat laatste is zo'n RSA SecurID sleutelhanger best wel handig, ondanks dat ook dat te kraken valt als ze 'm een poosje in handen hebben gehad , maar het is qua veiligheid te vergelijken met een fysieke sleutel.

http://en.wikipedia.org/wiki/SecurID

Interessant. Ik zat zelf te denken aan een Yubikey, alleen had ik nog niet de tijd om mij volledig in de techniek te verdiepen. (Loopt inmiddels een Samenkoop acite van, maar deze zit momenteel vol. Wel is er iemand die heeft aangegeven een nieuwe te willen starten over enige tijd.)

rieshjart schreef op vrijdag 26 februari 2010 @ 15:24:
Mijn wachtwoorden worden wel aangegeven als "sterk". Maar ook die bestaat uit wat varianten die langzaamaan waarschijnlijk wel ingewikkelder begint te worden. Deze is ook nergens opgeschreven ook omdat het een langzaam "ontwikkeld" wachtwoord is zal ik hem nooit meer vergeten.
Op deze manier hou ik dan 2 tot 3 wachtwoorden over waarmee ik werk voor bijvoorbeeld sites waar het me niet interesseert dat het word gekraakt of niet vertrouw en de nieuwste variant van m'n wachtwoord dan voor bijvoorbeeld m'n mail reserveer.

Op mn werk word het eerder opgenoemde programma keypass gebruikt om wachtwoorden op te slaan en te genereren.


Gebruikt hier verder niemand z'n vingers om ergens op in te loggen? Laptops die hier over de balie gaan hebben allemaal zo'n apparaatje ingebouwd. Ik vind het wel verdraaide handig dat het kan. Zou als back-up een USB-stick in de kast kunnen leggen als soort rescue medium. En voortaan met de vinger in loggen.
Ik meen dat je zo'n ding ook los kan kopen en daarmee op verschillende software in zou kunnen inloggen.

Wellicht dat het nog te nieuw/onbelangrijk is voor de consument (en zelfs de gemiddelde bedrijven).

Die vingerscanners zijn inderdaad wel makkelijk, maar deze doen alleen identificatie en eigenlijk geen authenticatie. Een vingerprint alleen is dan ook niet zo moeilijk te kraken, het is echter wel mooi om het in combinatie te gebruiken.

Mijn wachtwoorden zijn redelijk, hoofdletters, kleineletters, tekens, getallen, echter zijn ze niet zo lang gemiddeld 10 en 15 tekens. Ik heb voor verschillende diensten ook verschillende wachtwoorden. Echter een aantal wachtwoorden worden wel voor meerdere diensten gebruikt

Misschien toch maar eens een keer gaan ombouwen naar lange zinnen en dan ook zorgen dat er wat meer variatie in komt en dat ik ze dan ook nog onthou

Ik probeer langzaamaan zoveel mogelijk unieke wachtwoorden te laten genereren voor alle websites en dergelijke die ik bezoek (en dat zijn over de jaren nogal veel), en ook de zaken op het werk. Ik laat KeePass die wachtwoorden onthouden (is beveiligd met een 12-karakter, willekeurig password, letters, cijfers en een speciaal karakter, en die zal ik eens moeten veranderen). Ik doe niet aan extra entropy verzamelen ofzo - de 12 karakter passwords die Keepass zo genereert zijn wat mij betreft goed genoeg, en ik zou echt niet weten hoe iemand achter die wachtwoorden zou komen door zoiets als entropy of wat dan ook. Maar ja, ik ben dan ook geen beveiligingsexpert, danwel paranoide.

Mijn ervaring in forums toont aan dat veel mensen hun accounts worden gekaapt door rommel diensten te gebruiken zoals Wie blockt mij op MSN, uit wraak van bijvoorbeeld een ex die je facebook of mail kaapt en de rotslechte geheime vraag. Die laatste wordt altijd wel ingesteld maar niemand onthoudt die of is gewoon te makkelijk om te raden (wat het voor iemand die je min of meer kent zeer simpel maakt).

Uiteindelijk als gewone persoon heb je maar weinig kans dat je echt de prooi wordt van kapers. Professioneel denk ik niet dat er iemand op uit is om je MSN account te kapen om je vriendenlijst te bemachtigen.
Diensten die bijvoorbeeld inloggen op gmail om al je vrienden op Facebook te zoeken gebruik ik nooit en ik vind eigenlijk dat die niet mogen bestaan. Het is simpeler om aan een leek uit te leggen dat je het nooit mag gebruiken dan zeggen bij Facebook kan het geen kwaad, maar bij Wie blockt mij is het gevaarlijk.

durian schreef op vrijdag 26 februari 2010 @ 22:30:
[...]

Waarom? Als jij een spatie kan gebruiken kan het ook in rainbow tables gebruikt worden toch? Er is toch niks speciaals aan een spatie in vgl. met andere karakters?

Natuurlijk kán een spatie gebruikt worden in rainbow tables. Dat kan elk speciaal teken natuurlijk. Het gaat echter om de statistische kansen. Het heeft helemaal geen zin om speciale karakters in een rainbow table te gebruiken, omdat je tables daar veel te groot van worden en dus hun doel voorbijschieten.

Rainbowtables zijn gevuld met veel gebruikte wachtwoorden. En meestal zijn dat gewoon woorden. Zodra je een spatie in je wachtwoord gebruikt neemt de kans dat jouw gekozen wachtwoord in een rainbow table voorkomt gewoon dramatisch af. Dat geldt natuurlijk voor alle andere speciale karakters, maar een spatie is simpel te onthouden (je wachtwoord bestaat uit twee woorden bijvoorbeeld) en eenvoudig te typen. Het maakt je wachtwoord eigenlijk heel simpel maar toch heel sterk.

Het is jammer dat sommige sites/programma's een cijfer in je wachtwoord vereisen, want anders zou je gewoon kunnen volstaan met een aantal woorden, gescheiden door spaties, met wat hoofdletter gebruik.

durian schreef op vrijdag 26 februari 2010 @ 22:27:
[...]

Dan is het IMHO niet veiliger dan dat "supersterk wachtwoord", dus waarom dan al die extra moeite?

Het supersterke wachtwoord kan worden onderschept op een publieke computer middels een keylogger. Door het wachtwoord waarmee je inlogt automatisch te laten veranderen voorkom je dat ze persoon met het onderschepte wachtwoord kan inloggen.
Hoe dit eruit zou kunnen zien: je server heeft een root wachtwoord: '$#%FS324_/sd2' (niet relevant verder). Je webmail heeft een wachtwoord 'PrinsItalie10'. Zodra je succesvol inlogt op je webmail dan zorgt het systeem achter de schermen er automatisch voor dat het wachtwoord verandert in de volgende docent: Willemse. De volgende keer dat je wil inloggen moet je dus als wachtwoord 'WillemseItalie10' invoeren. Diegene die jouw webmail (!) wachtwoord heeft onderschept heeft dus PrinsItalie10 in z'n handen. Inmiddels is dat wachtwoord nutteloos geworden. Diegene weet ook niet wat de sequentie is en zal hooguit proberen om in te loggen middels 'PrinsItalie11' of iets in die geest.
Vanzelfsprekend zul je de volgende zomer moeten kiezen voor iets anders (als je naar dezelfde vakantiebestemming gaat), dus bijvoorbeeld Prins10Auto of het hele verhaal van docenten achterwege laten en voor iets anders waar jij alleen sequentie in kan zien.

[ Voor 3% gewijzigd door Dadona op 26-02-2010 23:41 ]

Dat Roboform nog niet voorbij is gekomen...dat vind ik toch wel een heel fijne tool. Passwords zijn bij mij zo lang/moeilijk als toegestaan, en voor iedere site een andere. Door te syncen met een hardware encrypted usb stick en een PDA ben ik verder nooit onthand.

Ach, op de meeste site's gebruik ik hetzelfde 23 tekens lange wachtwoord dat is opgebouwd uit hoofdletters cijfers, speciale tekens, en gewone letters. Het mooie is, de meeste site's hebben een wachtwoord limiet van ongeveer 16 tekens, dus zelfs al zouden ze weten dat ik overal hetzelfde wachtwoord gebruik dan zijn ze nog niet klaar.

Vroeger veranderde ik mijn wachtwoord elke 4 maanden ofzo, maar ik heb nu teveel apparatuur/sites, etc. Ik gebruik nu eigenlijk nog maar 2 wachtwoorden.

Destroyer1991 schreef op zaterdag 27 februari 2010 @ 00:09:
Ach, op de meeste site's gebruik ik hetzelfde 23 tekens lange wachtwoord dat is opgebouwd uit hoofdletters cijfers, speciale tekens, en gewone letters. Het mooie is, de meeste site's hebben een wachtwoord limiet van ongeveer 16 tekens, dus zelfs al zouden ze weten dat ik overal hetzelfde wachtwoord gebruik dan zijn ze nog niet klaar.

Vroeger veranderde ik mijn wachtwoord elke 4 maanden ofzo, maar ik heb nu teveel apparatuur/sites, etc. Ik gebruik nu eigenlijk nog maar 2 wachtwoorden.

Maar als een site dan gehacked wordt, en jouw password wordt met die 100000 anderen ergens te grabbel gezet, dan is jouw password toch waardeloos geworden?

Dat is de reden dat ik elke site een ander password geef.

Op basis van een nickname (die ook vaak overal hetzelfde is) kan men immers met een simpele google search vervolgens weer bij een andere site komen waar je actief bent.

Hoe goed denk jij dat jouw wachtwoorden zijn?	Vrij sterk denk ik. Ongeveer 7x1035 mogelijkheden.
Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)	Hoofdletters, kleine letters en cijfers. Leestekens geven te vaak problemen.
Hoe vaak wijzig jij jouw wachtwoorden?	Tot voor kort zelden, maar ben er onlangs beleid van gaan maken om het met enige regelmaat te doen (frequentie afhankelijk van hoe belangrijk).
Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)	Niet meer, al m'n wachtwoorden zijn nu random strings van 20 chars.
Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)	Ik gebruik een password generator.
Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)	Daarvoor gebruik ik 1Password op m'n Macs en m'n iPhone. Alles direct toegankelijk achter 1 master passphrase, en dat is gewoon een hele zin met de spaties vervangen door cijfers.

Zelf heb ik een wachtwoord met alle combinaties (Hoofdletters, spec!ale tekens, c1jf3rs en kleine letters). Veranderen doe ik te weinig; eens in de 3 jaar oid... Maar problemen met leestekens kom ik weinig tegen, wel verzeker ik me ervan dat ik geen tekens neem waar een spatie achter moet (^ of " bijvoorbeeld)

Voor de rootwachtwoorden op mn werk had ik een algoritme bedacht Iets met eerste letter hostname en laatste letter hostname. Ook een datumeenheid erin verwerkt. Dat laatste is zowiezo goed; dan heb je een procedure om wachtwoorden aan te passen, je weet waar je al je wachtwoorden hebt

Bij een andere club hebben we een pgp-encrypted file voor root-wachtwoorden. Met 1 'algemeen' wachtwoord. De file wordt geencrypt voor leden van de club met hun certificaten.

---

Aan de Keepass gebruikers heb ik 2 vraagjes;
- Je hebt dus altijd je wachtwoorden op USB sleutel of PDA bij?
- Hoe doe je het met inloggen van de PC op je OS? (windows login bv) Dan kun je Keepass nog niet draaien

[ Voor 8% gewijzigd door decramy op 27-02-2010 04:09 ]

decramy schreef op zaterdag 27 februari 2010 @ 04:08:

---

Aan de Keepass gebruikers heb ik 2 vraagjes;
- Je hebt dus altijd je wachtwoorden op USB sleutel of PDA bij?
- Hoe doe je het met inloggen van de PC op je OS? (windows login bv) Dan kun je Keepass nog niet draaien

- keypass/keepass(?) staat op een sync mapje van de laptop die ik altijd mee neem. Zodat mn collega eind van de dag ook de aangepaste wachtwoorden heeft en andersom.

- Mn wachtwoord van mn Windows account verander ik regelmatig (al dan niet zo'n lastig wachtwoord maar wel uniek van elkaar). Daarna moet ik in keypass een lastiger wachtwoord invoeren. Deze is nog nooit veranderd. Moeten we toch een keertje doen denk ik . Wellicht dat we daarna nog wat extra functionaliteiten eruit halen voor een veiligere opslag.

(In mn eerdere post ging ik alleen uit van mn prive wachtwoord gebruik, maar betreft werk ben ik er wat voorzichter mee aangezien er meer data op zit van anderen dan van mezelf)

[ Voor 9% gewijzigd door Fore! op 27-02-2010 09:04 . Reden: kleinigheidje ]

Ik zit hier met verbazing te kijken naar het hele wachtwoorden verhaal. Zou de eerste vraag niet moeten zijn 'wat beveilig je nu eigenlijk'?

De gemiddelde website en webwinkel dienen wachtwoorden alleen maar om het (iets) moeilijker te maken voor jan l*l om jouw account over te nemen en de boel te gaan verzieken. Als hier op tweakers iemand mijn account overneemt, is het aanmaken van een nieuwe en de devs op de hoogte stellen genoeg om het probleem weer op te lossen (met een vers wachtwoord). Het is maar een account op een website/forum. Ook op webwinkels kunnen ze niet veel uitspoken. Ze kunnen allerlij bestellingen plaatsen, maar zolang je die niet betaald, krijg je het toch niet. Ook hier is het aanmaken van een nieuw account en het laten weten wat er met je oude is gebeurd genoeg om het probleem ook hier weer op te lossen.

Het grotere punt is: als 'ze' (hackers and such) binnen willen komen, dan komen ze echt wel binnen. Als ze niet door je wachtwoord komen, gaan ze er wel omheen. En wat moet een gemiddelde hacker met jouw account op, zeg, jaggle.nl oid.? Niks dus. Ok, ik ben het eens met de discussie dat je ze het niet te makkelijk moet maken, dus geen 1234 of abcd als wachtwoord, of de standaard fabriekswachtwoorden op routers . Maar die complexe alphanumerieke wachtwoorden met alle leestekens e.d. hebben evenveel zin als 'Voordeur12'.

Voor de belangrijkere dingen (paypal en WPA2 netwerk wachtwoord, etc) heb ik wel langere (en daarmee betere) wachtwoorden. Maar ik hou ze wel altijd 'tikbaar' en onthoudbaar.

Om ook maar even het tabelletje in te vullen:

Hoe goed denk jij dat jouw wachtwoorden zijn?	Ach, matig eigenlijk (om en nabij de 8 tekens?), tenzij ik echt wat te beveiligen heb, dan worden ze lekker lang.
Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)	Hoofdletters, kleine letters en cijfers. Dit houdt het typbaar en onthoudbaar
Hoe vaak wijzig jij jouw wachtwoorden?	Zelden tot nooit. Mocht websites zeggen dat ze problemen hadden met hackers dan verander ik het wel, maar meer ook niet. Op de meeste websites heb ik niet genoeg te beveiligen om daar moeite voor te doen. Belangrijke wachtwoorden verander ik eigenlijk ook nooit, maar dat zou ik eigenlijk wel moeten doen (denk aan paypal), want die kunnen wel grote schade veroorzaken als ze zijn gekraakt.
Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)	Nu je het vraagt, in zeer beperkte mate. Alleen de echt belangrijke dingen heb ik wel custom wachtwoorden (per ding een ander wachtwoord). Nu ik erbij stil sta, email niet. Tot nu toe was email voor mij niet echt belangrijk, maar daar begint zo langzamerhand wel verandering in te komen. Wellicht ga ik voor email ook eens het een en ander upgraden naar betere wachtwoorden. Voor alle websites en webwinkels (die dus niet belangrijk zijn) gebruik ik hetzelfde wachtwoord of variaties daarvan.
Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)	Ik verzin ze zelf, en dan op zo'n manier dat ik ze goed kan onthouden. Ik verander ze dus nagenoeg nooit.
Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)	Ik bewaar wachtwoorden in een excell bestandje. Ik heb me aangemeld bij een hele rits websites, waarvan ik niet allemaal kan onthouden welke variatie ik nu weer gebruik. Het excell bestandje is wel 'beveiligd' met een wachtwoord, en staat op een usb stokje.

Wat ik vaak wel vervelend en irritant vind is dat 'na zoveel maanden moet je verplicht je wachtwoord vervangen'. Daarnaast is dit gewoon schijn veiligheid, want nagenoeg iedereen die ik ken maakt een hele simpele variatie van hun oude wachtwoord. 'Sleutelgat1', 'Sleutelgat2', 'Sleutelgat3', en weer beginnen bij 1.

Het enige waar ik zelf rekening mee hou met het maken van elk wachtwoord is zorgen dat het niet 1 op 1 te raden is, dus geen geboortedata, geen huisnummers of telefoonnummers etc. Ook geen variaties of combinaties van namen van familie of vrienden. Mijn wachtwoorden zijn van variatie Sleutelgat, of Voordeur, oid. Makkelijk te onthouden, niet makkelijk te raden. En mocht je je het afvragen, nee, dat zijn geen (onderdelen van) wachtwoorden die ik ooit heb gebruikt, of ga gebruiken

Hoe goed denk jij dat jouw wachtwoorden zijn?
Afhankelijk van de wachtwoordklasse. Van zwakke speeltjes tot sterkere wachtwoorden.

Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
Lowercase, uppercase, cijfers en soms ook leestekens. In de zwakke klasse alleen lowercase, veiligheid voor beschikbaarheid inruilen. Dat ik achteraf niet een oneindig aantal keren moet raden.

Hoe vaak wijzig jij jouw wachtwoorden?
Meestal niet, tenzij als het afgedwongen wordt. De mens blijft in een bruteforcesituatie altijd de bottleneck en onthoudbaarheid maakt regelmatig veranderen zwakker. Er ontstaan patronen tov vorige wachtwoorden.

Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Websites, ftp-accounts,... die vertikken om wachtwoorden versleuteld over de draad te sturen. Plaintext is vies, zeker in een hogeschool waar iedereen sniffing lessen krijgt and the wiresharks are everywhere. Wardriving, MSN-communicatie ontsleutelen,... is eigenlijk ook maar basiskennis. Hiervoor is de zwakke klasse als bait. Voor ftp verander ik het wachtwoord met controlpanel naar iets simpel, eventjes inloggen met plaintext, bestanden transfer en met de controlpanel terug iets stevigs erop zetten. Tegen dat de wiresharks iets zien, is het window of opportunity al voorbij.

Een wildgroei aan lurking fora logins, logins voor allerlei meuk,... hoort ook bij de zwakke klasse.

Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Om het niet te vergeten moet het wel een persoonlijke betekenis hebben. Het kunnen wel de meest vage zaken zijn die je niet in een woordenboek kan terugvinden, dan wordt het nog tot het onherkenbare bewerkt.

Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Onthouden en ik ben bv mijn Steam account wachtwoord na vele jaren geen Counter-Strike al vergeten.

* Hoe goed denk jij dat jouw wachtwoorden zijn?
Goed
* Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
Alles
* Hoe vaak wijzig jij jouw wachtwoorden?
Nooit
* Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Jep.
* Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Zelf bedenken, amper nieuwe, behalve als ik niet meer weet waar wat bij hoort dan verander ik alles naar een nieuwe.
* Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Hoofd.

* Hoe goed denk jij dat jouw wachtwoorden zijn?
Ik heb gewoon een onzinwoord, wel een bestaand woord though, het is niet m'n huisdier ofzo dus het lijkt me sterk dat één van mijn naasten hem kan raden. Het enige nadeel is dat anderen hem ook onthouden als ze hem één keer op mijn scherm zien staan, wat niet zo zou zijn met een wachtwoord dat geen woord vormt.
* Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
Alleen cijfers en lowercase letters, en het cijfer is ook alleen omdat dat op veel sites verplicht is.
* Hoe vaak wijzig jij jouw wachtwoorden?
Laatst met mijn mail één keer gedaan omdat ik spam bleek te versturen, maar verder niet.
* Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Nee, ik gebruik voor de meeste sites gewoon dezelfde, met kleine verschillen meestal maar dat heeft niets te maken met wat voor iets het is, dat is gewoon willeukerig. Ik heb er wel gewoon één, standaard, omdat ik dan punt 1 maar één wachtwoord hoef te onthouden en punt 2 niet steeds vergeet welk wachtwoord voor wat dient, wat ik zelfs nu al heb met die kleine verschillen.
* Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Ik bedenk ze zelf, gewoon een willekeurig woord met een cijfer/leesteken. En ik maak bijna nooit nieuwen.
* Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Die onthoud ik natuurlijk gewoon

Thy King schreef op zaterdag 27 februari 2010 @ 13:23:
Ik zit hier met verbazing te kijken naar het hele wachtwoorden verhaal. Zou de eerste vraag niet moeten zijn 'wat beveilig je nu eigenlijk'?
De gemiddelde website en webwinkel dienen wachtwoorden alleen maar om het (iets) moeilijker te maken voor jan l*l om jouw account over te nemen en de boel te gaan verzieken. Als hier op tweakers iemand mijn account overneemt, is het aanmaken van een nieuwe en de devs op de hoogte stellen genoeg om het probleem weer op te lossen (met een vers wachtwoord). Het is maar een account op een website/forum. Ook op webwinkels kunnen ze niet veel uitspoken. Ze kunnen allerlij bestellingen plaatsen, maar zolang je die niet betaald, krijg je het toch niet. Ook hier is het aanmaken van een nieuw account en het laten weten wat er met je oude is gebeurd genoeg om het probleem ook hier weer op te lossen.

Met een wachtwoord probeer je er juist voor te zorgen dat niet elke wijsneus in of bij jouw gegevens kan komen.
Daarnaast zijn er steeds meer sociale netwerken waarvan men lid is, en zodra een wachtwoord van jouw account op zo'n website bekend is bij anderen, kunnen ze zogeheten identiteitsfraude plegen. Wat de impact daarvan is verschilt per persoon/website.

Nu ben jij waarschijnlijk vrij makkelijk daarmee, maar als mijn account hier op GoT op een dergelijke manier door iemand anders gebruikt kan worden, dan heb je wel een probleem.
Ik kan vanuit mijn functie een heleboel gegevens opvragen. Ook gegevens die privacy gevoelig zijn.

Dat je voor een webwinkel account waar je 2 keer per jaar een order plaatst een niet al te moeilijk wachtwoord neemt kan ik me voorstellen, maar zoals je zelf aangeeft: Voor Paypal, een site waarbij de daadwerkelijke impact veel groter kan zijn omdat men jou laat betalen voor goederen die je nooit ontvangt, is een goed wachtwoord wel degelijk van belang.

Het grotere punt is: als 'ze' (hackers and such) binnen willen komen, dan komen ze echt wel binnen. Als ze niet door je wachtwoord komen, gaan ze er wel omheen. En wat moet een gemiddelde hacker met jouw account op, zeg, jaggle.nl oid.? Niks dus. Ok, ik ben het eens met de discussie dat je ze het niet te makkelijk moet maken, dus geen 1234 of abcd als wachtwoord, of de standaard fabriekswachtwoorden op routers . Maar die complexe alphanumerieke wachtwoorden met alle leestekens e.d. hebben evenveel zin als 'Voordeur12'.

Voor de belangrijkere dingen (paypal en WPA2 netwerk wachtwoord, etc) heb ik wel langere (en daarmee betere) wachtwoorden. Maar ik hou ze wel altijd 'tikbaar' en onthoudbaar.

Ja, hackers kunnen veel, maar als jij zorgt voor een goed wachtwoord wat niet direct uit persoonlijke gegevens te herleiden is, dan maak je het ze wel moeilijker. (keyloggers daargelaten natuurlijk)

Eigenlijk gaat de discussie dus over "wat is een goed wachtwoord in een bepaalde omgeving". En dan zeg ik, hoe belangrijker de omgeving, hoe beter het wachtwoord moet zijn.

Thy King schreef op zaterdag 27 februari 2010 @ 13:23:
Ik zit hier met verbazing te kijken naar het hele wachtwoorden verhaal. Zou de eerste vraag niet moeten zijn 'wat beveilig je nu eigenlijk'?

De gemiddelde website en webwinkel dienen wachtwoorden alleen maar om het (iets) moeilijker te maken voor jan l*l om jouw account over te nemen en de boel te gaan verzieken. Als hier op tweakers iemand mijn account overneemt, is het aanmaken van een nieuwe en de devs op de hoogte stellen genoeg om het probleem weer op te lossen (met een vers wachtwoord). Het is maar een account op een website/forum. Ook op webwinkels kunnen ze niet veel uitspoken. Ze kunnen allerlij bestellingen plaatsen, maar zolang je die niet betaald, krijg je het toch niet. Ook hier is het aanmaken van een nieuw account en het laten weten wat er met je oude is gebeurd genoeg om het probleem ook hier weer op te lossen.

Het grotere punt is: als 'ze' (hackers and such) binnen willen komen, dan komen ze echt wel binnen. Als ze niet door je wachtwoord komen, gaan ze er wel omheen. En wat moet een gemiddelde hacker met jouw account op, zeg, jaggle.nl oid.? Niks dus. Ok, ik ben het eens met de discussie dat je ze het niet te makkelijk moet maken, dus geen 1234 of abcd als wachtwoord, of de standaard fabriekswachtwoorden op routers . Maar die complexe alphanumerieke wachtwoorden met alle leestekens e.d. hebben evenveel zin als 'Voordeur12'.

Voor de belangrijkere dingen (paypal en WPA2 netwerk wachtwoord, etc) heb ik wel langere (en daarmee betere) wachtwoorden. Maar ik hou ze wel altijd 'tikbaar' en onthoudbaar.

Vaak zie je dat mensen dezelfde wachtwoorden gebruiken. Zelfs zakelijk. De inlognamen van zakelijke accounts zijn vaak niet zo moeilijk, en met het mobiele werken is er tegenwoordig erg veel content ontsloten via internet. Zo kan ik bijvoorbeeld via ons intranet mijn financiën regelen, salarisstroken opvragen.
Een account van een hoger geplaatst manager bevat zodoende nog veel interessantere zaken.
Kortom, met de vangst van een goed password kan je heel erg veel verzieken.

Daarnaast mag je identiteitsfraude niet onderschatten. De meeste klanten waar ik kom weten al precies wie ze over de vloer krijgen door een simpele google search. Als ik zelf iemand moet selecteren doe ik vaak ook meteen even een search.

Ik gebruik Roboform nu drie jaar, en het is wel zo dat ik veel gebruikte accounts inmiddels toch wel weer uit mijn hoofd weet. Maar ik heb nog nooit last gehad van het feit dat ik de meeste van mijn wachtwoorden (ruim 300 in de lijst) niet meer uit mijn hoofd weet.

Het voordeel van een passwoord manager is daarnaast dat je dus ook meteen herinnerd wordt aan het feit dat je al ergens een account hebt.

Ik ben ooit wel eens een keer bang geweest, toen ik een virus had. Even dacht ik dat het virus specifiek een attack deed naar mijn passwords. Dat bleek achteraf niet zo, maar in die nacht erna ben ik als een idioot alle passwords gaan wijzigen....

[ Voor 43% gewijzigd door Mistraller op 27-02-2010 22:47 ]

Het is voor mij onmogelijk om zoveel wachtwoorden te onthouden, ik heb toegang tot schrik niet, 40 systemen (lees: domeinen, vms, webapps) Daarbij hebben ze ook nog eens de eigenschap om eens in de 60 dagen je wachtwoord moet wijzigen met de meest bizarre verplichte leestekens.
Ik krijg het nu eindelijk onder de knie, zodra mijn domein ww reset, ga ik maar meteen aan de slag om alles "gelijk" te trekken.

Dj Neo Ziggy schreef op zaterdag 27 februari 2010 @ 23:24:
Het is voor mij onmogelijk om zoveel wachtwoorden te onthouden, ik heb toegang tot schrik niet, 40 systemen (lees: domeinen, vms, webapps) Daarbij hebben ze ook nog eens de eigenschap om eens in de 60 dagen je wachtwoord moet wijzigen met de meest bizarre verplichte leestekens.
Ik krijg het nu eindelijk onder de knie, zodra mijn domein ww reset, ga ik maar meteen aan de slag om alles "gelijk" te trekken.

Dus je moet, als ik het goed lees, elke 60 dagen 40 wachtwoorden veranderen? Dat is ook niet leuk En met "gelijk trekken" bedoel je al je wachtwoorden hetzelfde maken? Is inderdaad wel een stuk makkelijker.

Equator schreef op zaterdag 27 februari 2010 @ 20:02:
[...]
Ja, hackers kunnen veel, maar als jij zorgt voor een goed wachtwoord wat niet direct uit persoonlijke gegevens te herleiden is, dan maak je het ze wel moeilijker. (keyloggers daargelaten natuurlijk)

Eigenlijk gaat de discussie dus over "wat is een goed wachtwoord in een bepaalde omgeving". En dan zeg ik, hoe belangrijker de omgeving, hoe beter het wachtwoord moet zijn.

Inderdaad, of hackers moeten al voor een bepaald systeem een manier weten om het te hacken - mijn neefje was laatst bijvoorbeeld gehackt op Steam door een totale vreemdeling, die heeft dus nooit zijn wachtwoord kunnen weten, aannemende dat mijn neefje een beetje een solide wachtwoord had en die had er dus een bepaalde tool voor neem ik aan. Gelukkig heeft Steam een hele makkelijke methode om accounts terug te vorderen - je stuurt gewoon je originele e-mailadres, ofwel het jouwe, met een bewijs van iets dat je ooit op Steam hebt betaald, dus bijvoorbeeld een creditcard- of bevestigingsnummer en je krijgt hem gewoon terug. En toen hebben we een middagje die gast z'n gegevens (en profielfoto, een foto van hemzelf hèhè) zitten bekijken, tegen z'n vrienden zitten praten, was wel even grappig.

Hoe goed denk jij dat jouw wachtwoorden zijn?
Afhankelijk van de groepen die erin zitten wel redelijk.

Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
Alles behalve uppercase. Nu ik er zo over na denk kan ik die er trouwens ook wel in gaan zetten, spaar ze allemaal!

Hoe vaak wijzig jij jouw wachtwoorden?
Nooit voor privé zaken thuis. D.w.z. wachtwoorden voor hotmail/g-mail/ebay/tweakers/andere fora/sites etc zijn zoals ze zijn toen ik de accounts aanmaakte. Op 't werk werken ze met een policy waarbij om de 3 maand alle wachtwoorden komen te vervallen. Als je niet op tijd een nieuw wachtwoord aanmaakt, wat afwijkt van de vorige 12 wachtwoorden kun je alles laten resetten. Anders kun je namelijk nergens meer in komen en dus niet meer aan het werk. Op het werk gebruik ik niet P@ssword1 gevolgd door P@ssword2 elke keer dat ie vernieuwd moet worden. Maar telkens weer willekeurige dingen die ik dan hanteer als wachtwoord. Is wel vervelend, want af en toe onthou je ze gewoon niet omdat het compleet random dingen zijn. Das ook voor mij de reden om thuis alles te houden zoals het is, onthou je het altijd.

Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Nee, nee en nog eens nee. Een wachtwoord voor alles. Ik heb heb geen zin om in de weer te moeten met password generators of progjes die je moet beveiligen die voor jou ww's uitspuwen. Een wachtwoord voor alles, gemakkelijk onthouden. Dat ik hiermee een hoger risico loop opdat het gekraakt wordt is de gok die ik neem. Kun je me naief noemen maar de tijd dat ik op het internet zit met ww's (13 jaar) is mij nog nooit over komen dat ook maar 1 van mijn talloze accounts is compromised zoals ze het zo mooi noemen.

Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Bedenk hem zelf, iets waar ik alleen aan kan denken simpelweg omdat anderen nooit het in die richting zullen zoeken bij mij

Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Onthou hem gewoon uit mijn hoofd. Papier, das pas risico lopen, tooltje te omslachtig, te veel werk. Je gaat toch ook niet met je pincode voor je mobiel zoiets doen? Vind beide dingen die je gewoon uit je hoofd moet kennen. Alle andere methodes lopen meer risico want alles wat je bewaart buiten je eigen hoofd om kan worden gevonden.

Ik mis eigenlijk de OTP (On Time Password) optie.
Dat lijk me een standaard een stuk veiliger. Het is wel minder makkelijk omdat je altijd dat ding moet gebruiken. Maar een optie zou kunnen zijn om vaste wachtwoord moet kunnen gebruiken.

Ik zit zelf te kijken om me linux server breed om te zetten naar Mobile OTP http://motp.sourceforge.net/ en dat in combinatie met een vast wachtwoord als je wel op een veilige plek werkt.

Gratis, Werkt bijna op elke telefoon.

Dit topic was voor mij een trigger om eens na te denken over mijn logins. Op mijn TrueCrypted laptop en backup-hd gebruik ik een zeer veilig wachtwoord. Maar voor websites (tweakers, ing, paypal, etc) gebruik minder veilige wachtwoorden die niet uniek en ook nog eens stokoud zijn (10 jaar?).
Door bovenstaande verhalen ben ik naar KeePass gaan kijken, en heb gelijk maar de moeite genomen om mijn wachtwoord voor verschillende sites te wijzigen mbv de KeePass Password Generator.

Wat me opvalt, is dat de sites die juist privacy-gevoelig zijn (ing, paypal, internetspaarsite) je beperken in de lengte en/of special characters. Terwijl de (voor mij) minder belangrijke sites (tweakers, ubuntu one) juist wel lange, volledig random wachtwoorden toestaan.

Verder mooi om te zien dat er een iPhone app bestaat waar je je KeePass database mee kunt gebruiken

• Hoe goed denk jij dat jouw wachtwoorden zijn?
Gemiddelde sterkte denkik. Ik heb wachtwoorden met uppercase, lowercase, cijfers, en letters. Dit gebruiker ik gemengd. Ik heb eigenlijk 4 sterke wachtwoorden, die allemaal die 4 zaken bevatten, en 1 enkele met een leesteken erin. Ik gebruik ze door elkaar heen.


• Hoe vaak wijzig jij jouw wachtwoorden?
-Eigenlijk nooit.

• Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
-Ik gebruik veel hetzelfde. Het is nogal lastig om al die random wachtwoorden te onthouden. Ik heb voor mn e-banking wel een apparaatje nodig dat een logincode geeft, adhv mn rekeningnummer, en mn pincode.

• Hoe bewaar jij jouw wachtwoorden?
Hersens.

• Wat is je grootste wachtwoorden-ergernis?
Snel typen, en denken dat het correct is, maar dan toch fout.

GekooktEi schreef op zondag 28 februari 2010 @ 09:54:
mijn neefje was laatst bijvoorbeeld gehackt op Steam door een totale vreemdeling, die heeft dus nooit zijn wachtwoord kunnen weten, aannemende dat mijn neefje een beetje een solide wachtwoord had en die had er dus een bepaalde tool voor neem ik aan.

In 99% van de gevallen wordt een account niet gehackt door middel van een tooltje, maar door middel social engineering of door zwakke beveiliging van de gebruiker of het systeem. Er zijn heel veel opties die niets meer vragen dan logisch denken of een snel reactievermogen.

Voorbeeldje:
Denk bijvoorbeeld eens hoeveel mensen vergeten een PC te locken als ze even naar het toilet gaan. Vaak staat dan in de achtergrond hun mail nog steeds open. Het wachtwoord van het e-mail adres zelf wijzigen is lastig omdat je dit nogmaals moet intypen, maar heel veel sites sturen mails met daarin gebruikersnamen en wachtwoorden voor hun site. Sowieso geeft dit je toegang tot die sites zelf, maar als iemand op meer plaatsen hetzelfde wachtwoord gebruikt kun je mogelijk zo ook nog eens de mail overnemen.

Bedenkt ook eens hoeveel sites bij de password recovery functie direct een mail sturen met een bevestigingslink voor een nieuw wachtwoord, of soms zelfs het oude wachtwoord - so much for security! het kan daarom dus voorkomen dat je "gehackt" wordt op een account die je enkel thuis ooit ingelogd hebt omdat je mailbox door iemand anders nagekeken wordt.

Daarnaast heb je altijd de keylogger nog. Genoeg gratis varianten te vinden, en deze kunnen ook nog eens stil meegeïnstalleerd worden met andere software. Er zijn tutorials te vinden voor software die de keylogger aan iedere andere installer kan koppelen, en vergeet niet dat ook school en bedrijfsnetwerken hiervoor vatbaar zijn. Met een vatbaar school netwerk heb ik helaas persoonlijk ervaring (Gelukkig zat ik niet bij de batch mensen die gekeylogged was)

Natuurlijk komt het voor dat accounts echt gehackt worden, maar dit is maar een fractie van het totaal. Meestal is het gewoon een zwak wachtwoord/duidelijke recovery vraag of een onbeheerde/onveilige PC. En natuurlijk social engineering. Zat mensen zijn hier nog steeds gevoelig voor.

• Hoe goed denk jij dat jouw wachtwoorden zijn?
Gemiddelde sterkte. Allen bevatten hoofdletters, kleineletters en cijfers. Voor bankzaken en andere belangrijke dingen heb ik sterkere wachtwoorden die ook leestekens bevatten en waarbij ik geprobeerd heb geen logica et gebruiken

• Hoe vaak wijzig jij jouw wachtwoorden?
Zo min mogelijk

• Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Online gebruik ik zoveel mogelijk dezelfde wachtwoorden. Voor mail, bankzaken, etc heb ik aparte wachtwoorden.

• Hoe bewaar jij jouw wachtwoorden?
Door mijn hippocampus te vertellen de wachtwoorden in mijn cortex op te slaan.

• Wat is je grootste wachtwoorden-ergernis?
Te snel een wachtwoord in willen voeren en dan fouten gaan maken...

• Hoe goed denk jij dat jouw wachtwoorden zijn?
- Heel goed. Wie komt er nu op het idee om mijn naam achterstevoren in te tikken of mijn geboortedatum te gebruiken?

• Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
- Gewoon één. Niet te moeilijk doen.

• Hoe vaak wijzig jij jouw wachtwoorden?
- Nooit, dan kloppen de post-its op mijn computerscherm niet meer.

• Heb je voor bepaalde doeleinden bepaalde wachtwoorden?
- Neuh, veelal hetzelfde.

• Hoe bewaar jij jouw wachtwoorden?
- Op post-its op het computerscherm natuurlijk.

• Wat is je grootste wachtwoorden-ergernis?
- Als iemand mijn post-its weg haalt!

Ik werk voor de internet helpdesk van Belgacom.
Soms heb ik een pw nodig om een klant verder te kunnen helpen.
Ik ben nog nooit maar dan ook nog nooit een pw tegen gekomen dat beter was als ph!lipsm33ts (ik heb dit voorbeeld verzonnen maar het was iets gelijkaardigs)
Bijna alle pwden die de klanten mij wel eens vertellen zijn van de volgende aard.
voornaam123 of naamvanhond1
of abc123. of naamdochter en een paar cijfers.
Het paswoord : paswoord1 kom ik denk ik elke maand wel eens tegen.


Zelf heb ik een 3tal wachtwoorden van 14 tekens met hoofdletters, een speciaal teken en cijfers.
Ik maak daar combinaties mee en zo zijn bijna al mijn belangrijke wachtwoorden.
Voor de rest heb ik een kort pw van 2 letter en 3 cijfers voor alle junk accounts en forumpjes waar je 2 keer op zit en je ooit voor hebt geregistreerd.

Mijn wachtwoorden wijzig ik wel nooit eigenlijk. Zou ik eigenlijk eens moeten doen. Maar ik heb al vaak van die klote situaties dat je bv op een andere pc bent en je hebt net je pw van GoT verandert.
En omdat op je eigen pc een pw manager je pwden beheert ken je het niet helemaal meer van buiten. En dus verander ik eigenlijk nooit mijn pwden.


Behalve op mijn werk daar is de policy bij het workstation 1 x per maand en de remote stations 3 maar per maand.
Maar die pwden moet ik per dag zo vaak intypen dat die eigenlijk helemaal niet goed zijn.

• Hoe goed denk jij dat jouw wachtwoorden zijn?
Prima, nog nooit gedonder mee gehad.

• Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
Hoeveel? haha, dan is het idee van een wachtwoord meteen weg. Maar het zit er allemaal in.

• Hoe vaak wijzig jij jouw wachtwoorden?
Bankwachtwoord elke 2 maanden, de rest niet zo vaak.

• Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Gebruik verschillende wachtwoorden, al naar gelang van belangrijkheid. Bijvoorbeeld: websites zoals driverguide ofzo, is meestal gebruikersnaam+cijfers, Bank is random, 'mijn eneco' is half gebruikersnaam, half cijfers

• Hoe bewaar jij jouw wachtwoorden?
In mijn hoofd. Lang leven het 'lost pasword?' knopje

• Wat is je grootste wachtwoorden-ergernis?
Bij registreren: Wachtwoord ingeven, error krijgen omdat er niet genoeg gekke karakters inzitten, of dat je wachtwoord niet mag bestaan uit veelvookomende namen, ook al zijn die er maar deel van, ofzo. Kan ik me scheel aan ergeren. Zo erg dat ik soms gewoon een andere site zoek om m'n info weg te halen. Gebruiksvriendelijkheid FTW, wat dat aangaat.

Hoe goed denk jij dat jouw wachtwoorden zijn?
Net bovengemiddeld.

Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
twee

Hoe vaak wijzig jij jouw wachtwoorden?
In basis nooit

Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Ik heb twee gradaties, een wachtwoord voor minder belangrijke zaken en en voor belanrijke zaken.

Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Pakweg 1 keer in de 5 jaar.

Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Ik onthoud ze.

mijn wachtwoord is al 10 tekens groot, afgewisseld met cijfers, kleine en hoofdletters en wat vervolgens geen woord vormt. Kortom een redelijk sterk wachtwoord naar mijn idee.

misschien is het een idee dat mensen zelf kunnen aangeven dat zij hun wachtwoord willen wijzigen naar x aantal maanden of dat bepaald bij mensen die niet een sterk wachtwoord hebben vaker hun wachtwoord moeten wijzigen dan mensen met een sterk wachtwoord..

Hoe goed denk jij dat jouw wachtwoorden zijn?
Sterk, dat zegt tweakers ook

Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
cijfers, upper en lowercase letters

Hoe vaak wijzig jij jouw wachtwoorden?
ik hussel ze nog wel is door elkaar, ik heb ong. 6 wachtwoorden die ik gebruik. allemaal sterk tussen de 8 en 10 tekens lang.

Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Nee

Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Ik gebruik een password generator waarvan ik soms uit 5 wachtwoorden weer 1 vorm..

Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Ik onthoud ze voornamelijk, een paar staan wel in een txt op mijn computer, ergens verstopt in een map..

[ Voor 52% gewijzigd door ReseTTim op 01-03-2010 16:20 ]

Equator schreef op zaterdag 27 februari 2010 @ 20:02:
[..]maar als mijn account hier op GoT op een dergelijke manier door iemand anders gebruikt kan worden, dan heb je wel een probleem.
Ik kan vanuit mijn functie een heleboel gegevens opvragen. Ook gegevens die privacy gevoelig zijn.

Op tweakers staat niet veel van mijn gegevens. Ip adressen zijn zowiezo al makkelijk te traceren, en de echte info sniffers weten met mijn naam en woonplaats/ip adres al genoeg om mijn hele persoon te ontleden.

Voor de huis-tuin-en-keuken gebruiker is het al een stuk lastiger. Een google zoektocht op mijn (echte) naam kom je heel veel tegen, maar ik ben het allemaal niet. Zelfs mijn schermnaam ('Thy King' dus) levert niks op; tenzij je denkt dat ik god ben, en genoemd sta in de bijbel ('Thy King Cometh') . Nu let ik er wel op dat ik op het internet niet veel gegevens van mij neerzet. Als mensen jouw account kraken, kunnen ze hoogstens mijn ip adres en e-mail adres krijgen (en wellicht wat statistische info). Niet echt een enorme impact, gezien mijn ip-adres al op 1000-den locaties wordt gelogd om allerlij nutteloze redenen. (ik skip hier even over het privacy verhaal heen, dat is weer een ander thema toppic )

Dat je voor een webwinkel account waar je 2 keer per jaar een order plaatst een niet al te moeilijk wachtwoord neemt kan ik me voorstellen, maar zoals je zelf aangeeft: Voor Paypal, een site waarbij de daadwerkelijke impact veel groter kan zijn omdat men jou laat betalen voor goederen die je nooit ontvangt, is een goed wachtwoord wel degelijk van belang.[..]
Eigenlijk gaat de discussie dus over "wat is een goed wachtwoord in een bepaalde omgeving". En dan zeg ik, hoe belangrijker de omgeving, hoe beter het wachtwoord moet zijn.

Eensch. Zoals ik ook zei: je moet jezelf de vraag stellen 'wat beveilig ik nu eigenlijk'.

Mistraller schreef op zaterdag 27 februari 2010 @ 22:43:
Vaak zie je dat mensen dezelfde wachtwoorden gebruiken. Zelfs zakelijk. De inlognamen van zakelijke accounts zijn vaak niet zo moeilijk, en met het mobiele werken is er tegenwoordig erg veel content ontsloten via internet. Zo kan ik bijvoorbeeld via ons intranet mijn financiën regelen, salarisstroken opvragen.
Een account van een hoger geplaatst manager bevat zodoende nog veel interessantere zaken.
Kortom, met de vangst van een goed password kan je heel erg veel verzieken.

Vandaar ook de vraag 'wat beveilig ik nu eigenlijk'. In geval van een werk account zou ik ook een beter en sterker wachtwoord kiezen. Maar dan nog, het goed kiezen van een wachtwoord is eigenlijk wel belangrijker dan het maken van een moeilijk wachtwoord. De meeste wachtwoorden zijn gekraakt niet omdat meneer gehacked is, maar omdat het wachtwoord simpel is te raden met een beetje voorkennis (voorkennis = niet het wachtwoord zelf dus )

Daarnaast mag je identiteitsfraude niet onderschatten.

Er zit een daverend gat tussen identiteitsfraude en wachtwoord kraken. Iemand die je wachtwoord kraakt is niet meteen uit op je identiteit. Maar ook hier is de (potentiele) schade weer groter naarmate je meer te beveiligen hebt (denk paypal/werk account tegenover een internet forum).

De meeste klanten waar ik kom weten al precies wie ze over de vloer krijgen door een simpele google search. Als ik zelf iemand moet selecteren doe ik vaak ook meteen even een search.

Dat zal dus tegen mij gaan werken. Ik zal op mijn cv (of in mijn sollicitatiebrief) een regel moeten neerzetten dat de 'Ben van der Meer'-en op het internet mij niet zijn.
Best treurig hoe ver het is gekomen ondertussen...

Ik ben ooit wel eens een keer bang geweest, toen ik een virus had. Even dacht ik dat het virus specifiek een attack deed naar mijn passwords. Dat bleek achteraf niet zo, maar in die nacht erna ben ik als een idioot alle passwords gaan wijzigen....

Van de 10.000en virussen zijn er maar een aantal die direct op je passworden afgaan. De meeste maken je het leven moeilijk, of maken een achterdeurtje en zetten dan zoveel mogelijk spyware op je computer.

Ras schreef op maandag 01 maart 2010 @ 00:15:
• Hoe goed denk jij dat jouw wachtwoorden zijn?
- Heel goed. Wie komt er nu op het idee om mijn naam achterstevoren in te tikken of mijn geboortedatum te gebruiken?
[snip]
• Wat is je grootste wachtwoorden-ergernis?
- Als iemand mijn post-its weg haalt!

Sarcasme hoop ik?

Hmmm, goed topic om mij op m'n wachtwoordbeleid te wijzen. Dat moet beter

Ik hanteer voor websites over het algemeen twee standaardwachtwoorden die uit m'n hoofd ken, het is dus altijd één van beide (tenzij de site in kwestie zelf een niet te wijzigen wachtwoord opgeeft natuurlijk). De één is gewoon een woord van negen karakters, slecht dus maar het is iig een samengesteld woord dat in deze vorm niet bestaat. Het andere wachtwoord is acht karakters lang en een mix van hoofd- en kleine letters en cijfers, heel wat beter dus.

Ik moet eigenlijk eens bezig gaan met KeePass en dan langere en willekeurigere wachtwoorden gaan gebruiken. Wel een goede backup van de KeePass database regelen dus. Die kan dan mooi naar een TrueCrypt volume

[ Voor 7% gewijzigd door Wildfire op 02-03-2010 13:14 ]

Ik heb drie wachtwoorden,

één voor websites/forums
één voor al mn email-accounts
één voor bank/digid en dat soort zaken

Alleen ik gebruik pwdhash, dus alle wachtwoorden zijn anders. Check deze site:
https://www.pwdhash.com/

De drie wachtwoorden vertel ik aan niemand nooit niet, dus is het eigenlijk onmogelijk dat men deze kan achterhalen.

monnick schreef op dinsdag 23 februari 2010 @ 23:22:
[...]

Haha, over die standaard Experiabox wachtwoorden gesproken. Die dingen zijn gegenereerd op basia van de unieke code in de SSID. Je experiabox heeft bijvoorbeeld standaard een netwerknaam als "speedtouch_8jdHx6" en dan kan doormiddel van 8jdHx6 het wachtwoord achterhaald worden Is een programmaatje voor. Erg handig om bij ons in de buurt met netwerken van de buurt te verbinden

Net iets anders:
Ze genereren hun SSID uit het serienummer. En ze genereren de WPA2 key ook uit het serienummer.
Als je beide algorithmen kent, reken je het serienummer uit de uit volle bordst rondgeschreeuwde SSID. En met het serienummer reken je de WPA2 sleutel uit.

j0rDy schreef op woensdag 24 februari 2010 @ 10:14:
[...]
hetzelfde geld voor UPC modems. deze hebben allemaal een standaard lengte (8 karakters) volledig hoofdletterig wachtwoord. In dit geval pak je een wordlist gegenereerd door bijv. jtr en ga je aan de slag, tis een kwestie van tijd en zal voor de meeste niet snel genoeg gaan (uit mn hoofd doet een gemiddelde pc er zo'
n 8 dagen over).

Ook daar zou een heel simpel trucje roet in het eten kunnen gooien: na foutief password 1 sec. wachttijd, en bij elke volgende poging de wachttijd verdubbelen.
Hoe snel je keygenerator ook is, een bruteforce attack kan je wel op je buik schrijven.

[ Voor 31% gewijzigd door Titusvh op 02-03-2010 15:59 . Reden: merge ]

Ja, online is soms de "secret question" een veel makkelijkere omweg dan het wachtwoord zelf. Bijvoorbeeld: wachtwoord vergeten --> email adres gewijzigd --> secret question en dan "Wat is je favoriete huisdier ?"...

Zelf hanteer ik al jarenlang passphrases, veel plezier met het kraken van m'n tussen de 13 en 22 karakters lange wachtwoorden Een bedrijfspolicy waar iedereen elke 30 dagen z'n wachtwoord moet wijzigen, is niet van deze tijd en werkt imho eerder averechts (en kost onnodig bakken met geld).

De toekomst is imho toch een combinatie van een fysiek medium (pas, token, vingerafdruk) + wachtwoord.

Hoe goed denk jij dat jouw wachtwoorden zijn?
Varierend van erg zwak (bijv 1234) voor spul wat niet belangrijk is tot Zeer sterk (woorden met cijfers en leestekens bijv. H@l10 (Hallo))

Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
Sommige alleen lowercase letters, anderen alles

Hoe vaak wijzig jij jouw wachtwoorden?
Bijna nooit. toevallig vorige week een aantal nog sterker gemaakt, maar laatste keer was meer dan 2 jaar geleden.

Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Ja, Niet belangrijke dingen hebben allemaal het zelfde wachtwoord, iets balangrijkere dingen hebben een ander wachtwoord en heel belangrijke dingen (bank) hebben allemaal weer een ander wachtwoord, zeg maar een pass A, pass B en pass C.

Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Bedenk ze zelf, op het wachtwoord van keypass sync server na.

Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Meeste zitten gewoon in m'n hoofd, al heb ik ze ook in Keypass staan voor de zekerheid.

Titusvh schreef op dinsdag 02 maart 2010 @ 15:56:
[...]


Net iets anders:
Ze genereren hun SSID uit het serienummer. En ze genereren de WPA2 key ook uit het serienummer.
Als je beide algorithmen kent, reken je het serienummer uit de uit volle bordst rondgeschreeuwde SSID. En met het serienummer reken je de WPA2 sleutel uit.

Daar is een tooltje voor te downloaden. Ik heb het hier in de buurt geprobeerd, ik kon op alle speedtouchen inloggen

Hoe goed denk jij dat jouw wachtwoorden zijn?
- vertel ik niet
Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
- vertel ik niet
Hoe vaak wijzig jij jouw wachtwoorden?
-vertel ik niet
Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
- vertel ik niet
Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
- vertel ik niet
Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
- vertel ik niet

---> Want hoe meer ik vertel, hoe zwakker de 'beveiliging'

(vast en zeker wel weggemod straks... maar zeg nou zelf, zit een vorm van waarheid in toch?!)

Verwijderd schreef op dinsdag 02 maart 2010 @ 23:38:
Hoe goed denk jij dat jouw wachtwoorden zijn?
- vertel ik niet
Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
- vertel ik niet
Hoe vaak wijzig jij jouw wachtwoorden?
-vertel ik niet
Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
- vertel ik niet
Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
- vertel ik niet
Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
- vertel ik niet

---> Want hoe meer ik vertel, hoe zwakker de 'beveiliging'

(vast en zeker wel weggemod straks... maar zeg nou zelf, zit een vorm van waarheid in toch?!)

Zit zeker een kern van waarheid in
Ik ben van mening dat de gewenste veiligheid beschermd moet worden door te kijken naar de "waarschijnlijkheid" van diefstal.
90% van mijn onlinedingen zijn niet of nauwelijks van (levens)belang, en ik zie het nut niet in van een zware beveiliging

de dingen die wel van belang zijn, worden dan ook schaalbaar beter beveiligd
Als je niet wilt dat men het 'leest' of steelt, zet het dan niet online !
de bankgegevens zijn beveiligd met een keygen van de bank, en de rest heeft allemaal een eigen inlog / wachtwoord
en daar zitten in mijn geval maar 3 verschillen in, en dus ook "maar" 3 wachtwoorden ..

Mijn wachtwoorden worden meestal aangegeven als "sterk", sommige sites "zeer sterk". Ik gebruik een wachtwoord van 12 tot 15 tekens met hoofdletters, kleine letters, cijfers en leestekens. Ik schrijf ze ook nergens op, ik onthoud ze gewoon. Mijn wachtwoord bestaat uit "AbCde1FgTweakers!" (als voorbeeld): 9 tekens zijn er zoiezo, de rest is variabel. In dit geval is het wachtwoord 17 tekens.

AbCde1Fg en ! zijn de constante dingen in ALLE wachtwoorden die ik heb, het middendeel wijzigt nogal eens (bijvoorbeeld bij Windows Live kan dit messenger zijn in week 1, mail in week 2, hotmail in 3, spaces in 4, skydrive in 5, clubhouse in 6, etc)

Ik zou nog wel graag een extra beveiliging hebben, zoals e-id toepassingen, maar dat zie ik zo snel niet komen.

Hoe goed denk jij dat jouw wachtwoorden zijn?
Erg goed.

Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
Alle 4.

Hoe vaak wijzig jij jouw wachtwoorden?
Zelden, enkel als dit verplicht is.

Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Ja, ik maak er de gewoonte van om (al dan niet een afgekorte versie) van een mailadres / url / fqdn in het wachtwoord te verwerken.

Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Bedenk hem zelf door een combinatie van een aantal willekeurige letters/cijfers + ziehierboven + een leesteken.

Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Ik onthou ze, de meest belangrijke staan op papier die in de kluis liggen (denk aan DigiD / creditcard applicatie inlog etc.)

Hoe goed denk jij dat jouw wachtwoorden zijn?
Heel erg goed, 12 tot 16 karakters

Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
Letters, hoofdletters, cijfers, leestekens en andere rare tekens

Hoe vaak wijzig jij jouw wachtwoorden?
Thuis eens in het jaar, ik gebruik 3 verschillende wachtwoorden privé, eentje van 6, eentje van 8 en eentje van 12 tekens. Die van 8 is de eerste 6 tekens gelijk aan die van 6 (dus 2 extra), die van 12 is ook 6 extra.

Op het werk 16 cijfers, leestekens, hoofdletters, kleine letters en rare tekens, gegenereerd door een password generator. Deze wijzigt iedere 4 weken (verplicht).

Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Op het werk voor ieder programma een ander wachtwoord, thuis afhankelijk van wat het is. Email, Tweakers, DigiD hebben allemaal een eigen PW, de rest is vaak hetzelfde.

Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Password generator

Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Ik onthoud ze allemaal, maar speciaal voor mijn collega zet ik ze ook op papier, zij kan ze niet onthouden (wat ik me goed kan voorstellen).

• Hoe goed denk jij dat jouw wachtwoorden zijn?
- Goed. Ik gebruik nooit 2 keer dezelfde, en de lengte verschilt van keer tot keer.

• Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Mijn wachtwoorden onstaan in een word-document, door het te openen en een keer met mijn vingers over het toetsenbord te slepen. Dan krijg je zoiets als oyu89io;kp. Dat sla ik op. Naast de computer hangt een lijstje met die wachtwoorden. Als ik ergens moet inloggen type ik het na. Op sites waar ik geen waarde aan hecht, of die ik waarschijnlijk niet weer gebruik wil het wel eens Gebruikersnaam: $gebruikersnaam;
WW: 1$gebruikersnaam worden.

• Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
- Wat naar voor komt. Ik blijf vaak bij de shifttoesten uit de buurt, dus uppercase letters komen bijna niet voor.

• Hoe vaak wijzig jij jouw wachtwoorden?
- In principe nooit. Het enige dat ik belangrijk genoeg vind om me daar druk om te maken werkt al met een random reader.

• Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
- Nee, zie het eerste punt. E-mail loopt allemaal via Windows live mail (hotmail en de kpn account) dus die hoef ik niet in te typen.

• Hoe bewaar jij jouw wachtwoorden?
- In een bestand op usb-stick en op een lijstje naast de computer.

• Wat is je grootste wachtwoorden-ergernis?
- Het enorme gebruik ervan. Als je een middag een bepaald onderwerp gaat zitten uitpluizen, zit je jezelf om de haverklap te registreren. Als ik iets bestel betaal ik via ideal, wat de zaak rond zou moeten maken, nadat ik ook de adresgegevens heb ingevuld. Maar nee, je moet je eerst registreren. Daarbij wil men graag meteen even je schoenmaat weten en moet je zeker even zoeken naar de checkbox voor de nieuwsbrief, om te voorkomen dat er een lading meuk je mailbox ingespamd wordt.

Btw. Ik gebruik alleen de computer thuis. Hoe dat gaat wanneer er van afstand wat moet gebeuren weet ik niet en daar heb ik me ook nooit in verdiept. Wss. kan ik dan niet overal inloggen.

[ Voor 57% gewijzigd door Verwijderd op 03-03-2010 17:27 ]

•Hoe goed denk jij dat jouw wachtwoorden zijn?
Heel sterk. Ik zorg dat er getallen, letters en overige characters in voor komen. Mijn softwarepakketje Password Depot geeft ook nog eens hoe sterk het wachtwoord is en ik ga voor donkergroen.

•Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
Alles dus.

•Hoe vaak wijzig jij jouw wachtwoorden?
Ligt er aan wat voor wachtwoorden. Belangrijke wachtwoorden (zoals bankgegevens) worden elke 3 maand gewijzigd. Sommige accounts (zoals websites) verander ik nooit.

•Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Nee. Ik verzin flinke wachtwoorden en het zouden net zo goed gegenereerde wachtwoorden kunnen zijn. Omdat ik met zo belachlijk veel wachtwoorden werk, gebruik ik intensief een password tool.

•Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Ik bedenk ze zelf maar ze zijn niet te onthouden. Ik kan 1 dingetje verklappen. Binnen mijn eigen netwerk (bedrijfsnetwerk aan huis) hebben alle wachtwoord te maken met steden in de wereld. Maar dan weet je eigenlijk nog niets...

•Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Een passwordtool. Met een enorme sterke encryptie. Ik gebruik Password Depot in standalone mode.

Daarnaast probeer ik iedereen in mijn omgeving te overtuigen om fatsoenlijke passwords te verzinnen en gebruik te maken van een passwordtool. Eventueel steek ik een helpende hand toe. Zo belangrijk om niet 1 wachtwoord te gebruik voor allerlei verschillende accounts.

Hoe goed denk jij dat jouw wachtwoorden zijn?
Ik meen zeer goed. Ik switch tussen een paar wachtwoorden die uit willekeurige cijfers bestaan, een sequentie van willekeurige cijfers en letters (die ik overigens vanbuiten leer), en variaties daarop en voor de echte nonsenszaken die niet veel beveiliging behoeven een simpel woordje, welke ik ook deel met anderen.

Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
1. 10-tal willekeurige cijfers
2. 10-tal willekeurige uppercase letters (ahum, in het Nederlands wordt dat overigens gewoon aangeduid met hoofdletters, ik zie het nut hier niet om de engelse term hiervoor te gebruiken.)
3. Bestaand woord.
Overigens nooit leestekens, veel te kut te achterhalen waar de fout zit als je weer eens een ander toetsenbord voor je kiezen krijgt; VS-QWERTY, NL-QWERTY of AZERTY.

Hoe vaak wijzig jij jouw wachtwoorden?
In de regel nooit, behalve wanneer ik er behoefte aan heb wanneer ik vermoed dat er iets gevoelig is uitgelekt.
(Overigens 0,3% die op de poll "Elke week" heeft gestemd zijn echt ziek Zijn die onder behandeling van een psychiater voor overdreven paranoiagedrag?)

Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Elk persoonlijk geval, zoals hotmail, gmail krijgen hetzelfde wachtwoord, net zoals de zaken die open en vrij zijn om te delen met vrienden (accounts van games).
Overigens boeit het niet zoveel als een account "gekraakt/overgenomen/whatever" wordt. Indien iemand dit tweakersaccount verandert, is er nog niemand dood. Ik maak dan gewoon een nieuw account aan, of helemaal niets, want reacties plaats ik toch niet al te vaak, hetzelfde voor de meeste accounts die hier op het internet in een of andere MySQL database rondzweven.

Daarnaast heeft het wachtwoord van mijn Paypal/bankaccount een lange sequentie in hexadecimaal die ik eerst ff moet uitrekenen voordat ik hem zelf weet . Ik denk dat ik dit toch in de toekomst ga veranderen naar iets simpelers aangezien ik het steeds meer en meer gebruik.

Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Variaties op de sequenties van de vorige wachtwoorden.

Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Het zweeft ergens tussen de rechtsonderachtermaartochnetbovendeonderste grijze massa en de rechtsonderachtermaartochnetbovende47stevanlinksnaarrechtsgeteldvandevorige grijze massa.
Kortom, ik onthoud het gewoon.

[b][message=33571076,noline]Loninkwoner schreef op woensdag 03 maart 2010 @

• Hoe bewaar jij jouw wachtwoorden?
- In een bestand op usb-stick en op een lijstje naast de computer.

Really???? Op een lijstje in de buurt van je PC? Lekker makkelijk als je "vrienden" over de vloer hebt.

Leuk om te zien hoe simpel mensen dingen gaan vertellen over hun wachtwoord, dit topic heeft best wel een hoog social enginering gehalte...

Het wachtwoord wordt door niemand gegeven maar ze geven wel de nodige info die de tijd nodig voor een brute force enorm kan verkorten. (denk bijvoorbeeld aan de lengte van het password, zoals zelfs Equator vermelde, en daar zelfs bijvermelde dat het over zijn GoT account ging...)

Desifiadore was tot nu toe de enige met een reactie die er op wijst dat hij/zij het wel begrepen heeft en volgens mij ook niet zo snel in een social enginering val zal trappen...

Erg slordig en geeft maar aan hoe mensen dus met dit soort dingen om gaan...

[ Voor 15% gewijzigd door Plopeye op 04-03-2010 09:18 ]

• Hoe goed denk jij dat jouw wachtwoorden zijn?
Vrij goed.

• Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
3 voor onbelangrijke accounts, alle voor belangrijke.

• Hoe vaak wijzig jij jouw wachtwoorden?
Vrijwel nooit.

• Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Nee, maar hoe gevoeliger de informatie, hoe sterker de spin-off van het origineel.

• Hoe bewaar jij jouw wachtwoorden?
Papier, maar nooit precies het pw (1 bekende wisseling in karakters, want wat als het papier gejat wordt?)

• Wat is je grootste wachtwoorden-ergernis?
Beperking in lengte en/of karakters.

BTW: Ik ga nu wel even al mijn pw's tegen het licht houden

Plopeye schreef op donderdag 04 maart 2010 @ 09:08:
Desifiadore was tot nu toe de enige met een reactie die er op wijst dat hij/zij het wel begrepen heeft en volgens mij ook niet zo snel in een social enginering val zal trappen...

Erg slordig en geeft maar aan hoe mensen dus met dit soort dingen om gaan...

Je kan het ook overdrijven.

Ik heb bijvoorbeeld alleen gezegd dat ik van alles in mijn wachtwoord gebruik en dat ik ze vrij lang maak. Alsof je nu opeens binnen 2 weken mijn wachtwoorden 'bruteforced' in plaats van in 100 jaar

Gizz schreef op donderdag 04 maart 2010 @ 09:46:
[...]

Je kan het ook overdrijven.

Ik heb bijvoorbeeld alleen gezegd dat ik van alles in mijn wachtwoord gebruik en dat ik ze vrij lang maak. Alsof je nu opeens binnen 2 weken mijn wachtwoorden 'bruteforced' in plaats van in 100 jaar

Dat is zijn punt niet.

Hij kan nu zijn bruteforce actie verfijnen wat het proces verkort i.p.v. in het wilde weg te beginnen.
Kennelijk is jouw wachtwoord extreem lang, dus wacht "hij" af tot er iemand komt die minder karakters heeft en kan zich daar op focussen.

Dan vind ik nog mijn post verre van slordig. Wat heb ik ermee te maken dat iemand anders post dat zijn wachtwoord 4 tekens is met alleen cijfers (bij wijze van spreken ). Mijn post is mijn inziens erg verantwoord met het oog op 'social engineering'

Hoe goed denk jij dat jouw wachtwoorden zijn?
Aantal zijn heel goed (via zo'n random password generator), andere zijn simpel maar zo onlogisch dat ze niet makkelijk gegokt worden (pennedop bijvoorbeeld).

Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
Meest complexe varianten alles, aflopend tot minst belangrijk met enkel normale letters. Soms in de 1337 style wat wachtwoord (w@cHtw00rD!~ bijvoorbeeld).

Hoe vaak wijzig jij jouw wachtwoorden?
Veelal pas wanneer het systeem er om vraagt (windows, website, account) of ik ben hem vergeten

Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Niet specifiek, ik werk wel met een standaard van zo'n 15 wachtwoorden, die ik willekeurig gebruik. De koppeling met username en soort inlog weet ik welk wachtwoord ik moet hebben.

Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Veelal variaties op bestaande wachtwoorden, als systemen een hogere eis gaan stellen op je wachtwoorden. (zo heeft recent Cabal Online de '4 groepen' regel ingesteld).

Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Aantal zijn toch opgeschreven, deze zijn zo 'complex' en heb ze amper nodig. De rest tussen mijn oren, waaronder een 2tal van 32 tekens Ik leer ook nooit het wachtwoord zelf, maar de 'rytme' op het keyboard, ik zou ze bijvoorbeeld niet op kunnen schrijven.

Gizz schreef op donderdag 04 maart 2010 @ 11:12:
Dan vind ik nog mijn post verre van slordig. Wat heb ik ermee te maken dat iemand anders post dat zijn wachtwoord 4 tekens is met alleen cijfers (bij wijze van spreken ). Mijn post is mijn inziens erg verantwoord met het oog op 'social engineering'

Het feit dat er hier dus hele hordes informatie over hun wachtwoorden aan het posten zijn op een openbaar forum geeft wel te denken...

of je nou heel veel zegt of niet.
Wat een leuke toevoeging zou zijn is: "hoeveel schuilnamen gebruik je en zo ja welke" dan kunnen we direct ook de nodige social networks gaan doorzoeken op namen van vriendin, hond enzevoort... kunnen we voor vele de hoeveelheid mogelijkheden nog kleiner maken. (Je hoeft het niet eens mee te posten, daar zijn zoekmachines voor)

Ik bedoel hiermee te zeggen de stukjes info op zich kan je misschien niet zo veel mee maar een combinatie van een aantal gegevens wel, een informatie over je wachtwoorden is toch best wel gevoelig...

En de lengte van je wachtwoord lijkt niet heel erg gevoelig maar als je een brute force wilt doen halveert het in ieder geval het aantal mogelijkheden wat je moet proberen.
Daarbij dan ook nog eens vertellen voor welk account het is maakt het nog mooier (Zoals Equator deed)... dan weet je dus ook direct ook waar je moet zijn.

Vertel je er vervolgens ook nog bij dat je op meerdere plekken dezelfde wachtwoorden gebruikt dan is het natuurlijk zoeken naar eventuele accounts (overal dezelfde schuilnaam helpt daar best wel bij, en er zijn velen die dit doen...)

Staat er vervolgens in je tweakers profiel ook nog een mailadres dan is die betreffende mailbox natuurlijk ook doelwit om eens te proberen.

Ik hoop zo een aantal mensen toch eens aan het denken te zetten en hun voordeel te laten doen met deze wetenschap. Verder moet natuurlijk ieder voor zich weten wat ze wel of niet openbaar willen maken...

Plopeye schreef op donderdag 04 maart 2010 @ 15:50:
[...]

Daarbij dan ook nog eens vertellen voor welk account het is maakt het nog mooier (Zoals Equator deed)... dan weet je dus ook direct ook waar je moet zijn.

Nou nou, ik zou zeggen: stel je bruteforce.exe maar in op 18, en leef je uit.


Een wachtwoord is slechts single factor authentication, omdat de inlognaam meestal op de e.o.a. manier wel te herleiden is. Dat je dan weet dat het 6 karakters lang is geeft je inderdaad een kleine voorsprong. Daar heb je op zich wel gelijk in, maar je kan het ook overdrijven.

of je nou heel veel zegt of niet.
Wat een leuke toevoeging zou zijn is: "hoeveel schuilnamen gebruik je en zo ja welke" dan kunnen we direct ook de nodige social networks gaan doorzoeken op namen van vriendin, hond enzevoort...

Nou, die vergelijking gaat iets wat scheef. Ik vertel je namelijk niet wat mijn wachtwoord is, maar de lengte.

Ik begrijp je punt wel, maar vertellen of je wachtwoord 7 of 8 karakters lang is maakt je niet meteen gevoeliger voor Social Engineering

Dat jij het niet wilt vertellen is jouw keuze, en die respecteer ik.

[ Voor 16% gewijzigd door Equator op 05-03-2010 07:29 ]

waar het van belang is & mogelijk is, gebruik ik passphrases. deze zijn allemaal >30 tekens, erg eenvoudig te onthouden maar wel sterk. Deze wijzig ik gewoon niet, tenzij ik een stommiteit bega door het bv. in een verkeerd veld in te typen

voor een hele reeks minder belangrijke sites gebruik ik eenvoudige wachtwoorden, waarvan ik echter evenmin snel verwacht dat ze achterhaald/geraden zouden kunnen worden. dikwijls hebben deze sites slechte beveiliging (geen https/client side javascript encryptie/salting)

bedrijfsww-en moeten te vaak gewijzigd worden en zijn ook nog eens noodzakelijk kort (6 tekens) voor sommige systemen. daardoor ontstaan er systeempjes om nieuwe te bedenken die afleidbaar zijn uit voorgaande en worden ze ook opgeschreven, wat de veiligheid sterk vermindert uiteraard.

tot nu toe onthoud ik gewoon m'n wachtwoorden, ik schat dat het er zo'n 30tal zijn.

peak schreef op donderdag 04 maart 2010 @ 00:58:
[...]


Really???? Op een lijstje in de buurt van je PC? Lekker makkelijk als je "vrienden" over de vloer hebt.

Wat hebben mijn vrienden aan mijn wachtwoorden? Eenieder die mijn computer (fysiek) ziet staan kan ik wel vertrouwen. Ik heb niet veel geheimen. Ik houd er alleen niet van dat er op afstand via mijn adsl-lijntje aan mijn computer wordt geprutst, of dat iemand zich online met mijn bedrijfsvoering bemoeit.

Daar gaat het voornamelijk om. Je wilt niet weten waar je als landbouwbedrijf overal online een dossier hebt. (Ministeries van LNV en VROM, Gezondheidsdienst voor dieren, Stamboek, Gemeente, (en in mijn geval: Provincie, DLG) etc.) Werkelijk alles moet geregistreerd worden en in een database verzameld.

Even een voorbeeldje: Schaapje krijgt een lam, maar heeft een uierontsteking. Stappen die je doorloopt: Uierontsteking constateren> Uier uitmelken> Antibioticum toedienen en evt. pijnstiller>(nu komt-ie) Via chipreader in een PDA schaapje registreren>antibioticum en pijnstiller toeschrijven aan schaapje>lam registreren als blootgesteld aan antibioticum en pijnstiller>pda uitlezen en toediening en blootstelling melden aan LNV en Gezondheidsdienst, Ziekte op zich aan het Stamboek. Foutjes leveren boetes op. Boetes lopen gauw naar de 500 euro. (Waarde schaap en lam samen tegen 180 euro) '
Dat moet goed worden afgedekt. Gerommel in de databases is funest en duur. De bedreiging komt, zoals je je misschien voor kunt stellen, niet zozeer van iemand die achter mijn computer zit. Vandaar dat een lijst volstaat.

[ Voor 51% gewijzigd door Verwijderd op 05-03-2010 12:28 ]

Dankzij o.a. dit topic ben ik op Keepass en Dropbox gekomen.

De aanleiding was dat ik bij diverse klanten zit, met zo giga veel wachtwoorden dat het onmogelijk is geworden om ze allemaal te onthouden.

Mijn eisen waren simpel:
- Meerdere locaties mogelijk: Tool op pc bij klant, Tool op mobiele telefoon (Android), Tool op iPad
- Wachtwoorden in groepen in te delen (Klant X, Systeem Y etc)
- Synchronisatie wanneer er inhoudelijk wijzigingen zijn geweest
- Gratis, het wordt zakelijk gebruikt

Ik ga de komende tijd Keepass uitproberen in combinatie met Dropbox

http://lifehacker.com/506...-ultimate-password-syncer
http://keepass.info/

[ Voor 10% gewijzigd door Motrax op 24-12-2010 09:53 ]

Is het erg dat ik nu nog reageer op dit topic? Volgens mij is de wachtwoorden discussie altijd relevant en goed om te voeren. Dus:

Ik denk na over mijn wachtwoord en gebruik alles (hoofdletters, kleine e.d.)
Toen ik een jaar in Centraal Amerika was heb ik al mijn minder belangrijke gewijzigd in eentje zonder tekens. Aangezien die soms dus niet te vinden zijn op toetsenborden in internetcafé's. Tja, mischien wel gevaarlijk maar wel ook noodzakelijk gebleken. Gelukkig ben ik niet gehackt of gekraakt en toen ik terugkwam (half jaar geleden) heb ik alles weer netjes gemaakt.

Maar nu vraag ik me dus af...

WAAROM MAG IK OP SOMMIGE WEBSITES MAAR TUSSEN DE 6-10 KARAKTERS INVOEREN EN GEEN TEKENS??
(sorry dat ik schreeuw, maar het is zoooo frustrerend!!)

Waarom? Wie heeft dat bedacht en wat is het voordeel ervan?

Ik ga trouwens na het lezen van dit topic ook weer even een nieuwe indeling maken in pw's en eea veranderen. hahaha...

Er zijn hier een hoop met super lange wachtwoorden, maar is het al opgevallen dat diensten zoals hotmail alleen naar de eerste 16 cijfers kijken? Ga maar eens naar hotmail, typ minimaal 16 karakters van je wachtwoord in en sla dan voor de grap maar eens op je toetsenbord.

Ik denk dat het niet mogelijk maken van invoeren van tekens het makkelijker maakt om te beveiligen, zou geen reden moeten zijn maar toch, de limiet weet ik niet, het mimimum kan ik me voorstellen

Verwijderd schreef op woensdag 12 januari 2011 @ 14:23:
Ik denk na over mijn wachtwoord en gebruik alles (hoofdletters, kleine e.d.) Toen ik een jaar in Centraal Amerika was heb ik al mijn minder belangrijke gewijzigd in eentje zonder tekens. Aangezien die soms dus niet te vinden zijn op toetsenborden in internetcafé's. Tja, mischien wel gevaarlijk maar wel ook noodzakelijk gebleken.

Als je Lastpass zou gebruiken heb je dit probleem niet. Want daar kun je desgewenst een onscreen toetsenbord gebruiken, juist om dit soort problemen te omzeilen en ook eventuele keyloggers in internetcafe's hebben geen kans. Ik gebruik het sinds een jaar en wil nooit meer iets anders.

Hoe goed denk jij dat jouw wachtwoorden zijn?
Matig, lengte is 7-9 tekens.
Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
Dat wisselt per wachtwoord.
Hoe vaak wijzig jij jouw wachtwoorden?
Niet of weinig.
Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Ik heb voor verschillende zaken verschillende wachtwoorden, maar het komt meestal neer op een variatie van drie 'vaste' wachtwoorden.
Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Niet zo vaak
Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Heb een lijst gehad met generated wachtwoorden. Die heb ik gebruikt voor oa. mijn server, ebay en dat soort sites. Verder weet ik de meeste wachtwoorden en hun variaties wel uit mijn hoofd.

Goed, dat was het verplichte 'vragen' werk. Heb al een tijdje het gevoel dat ik op een wat betere manier met m'n wachtwoorden zou moeten om gaan. Dat keepass (net even snel wat testen gedaan) ziet er erg goed uit. Zaak is natuurlijk wel om je database niet kwijt te raken. Maar ik ben van plan om alle wachtwoorden die ik nu in gebruik heb voor de 'belangrijke' sites te veranderen naar random generated wachtwoorden met keepass.

Hmm... op tweakers.net gaat het wachtwoord invoeren via keepass standaard de eerste keer fout... en dan de tweede keer goed... verder nog geen problemen... iemand meer met dit probleem?

[ Voor 6% gewijzigd door IWriteCode op 12-01-2011 16:50 ]

LuckY schreef op woensdag 12 januari 2011 @ 16:56:
Want kan je ook al bij de inlog in je lastpass een onscreenkeyboard kiezen?

Ja, dat kan, je hoeft niks te installeren of downloaden.

Ik zat te denken hè, is het niet handiger om een Gastaccount (of iig een account zonder PW) op je laptop te hebben?

Stel je laptop wordt gejat... een dief installeert dan Windows opnieuw en je kan je laptop niet meer tracken.
Heb je een gastaccount, dan kan de dief daarop inloggen en kan je wél tracken... Nu heeft PRey dat wel ingebouwd, maar er zijn ook applicaties waarbij dat niet zo is.

Wat is dan wijsheid?

• Hoe goed denk jij dat jouw wachtwoorden zijn?
  Slecht, maar ze zijn altijd minimaal 6 tekens lang. Ze bevatten meestal geen leesbare woorden.
• Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
  Dit varieert van 1 t/m 8.
• Hoe vaak wijzig jij jouw wachtwoorden?
  Alleen als het verplicht is. En als het wordt gewijzigd lijkt het voor 90% op het oude.
• Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
  Ja, een account zonder belangrijke gegevens hebben minder bijzondere tekens dan accounts met belangrijkere gegevens.
• Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
  Ik bedenk hem altijd zelf omdat ik hem ook moet onthouden. Meestal open ik kladblok, ram ik wat op het toetsenbord en pas daarna wat tekens aan om een origineel wachtwoord te verkrijgen.
• Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
  De meeste wachtwoorden staan ook in mijn e-mail. Maar elke gebruikersnaam en wachtwoord staat op papier. Ik gebruik geen tooltje voor de wachtwoorden.

Meestal loopt het aanpassen van een wachtwoord over een niet-beveiligde verbinding. Volgens mij heeft het ook weinig nut om elke maand de wachtwoorden aan te gaan passen. Plus nog de kans dat je niet meer weet welk wachtwoord je als laatste hebt gebruikt en je account bijna geblokkeerd wordt vanwege foutieve wachtwoordpogingen.

Net als velen zoek ik ook nog altijd naar de ultieme oplossing.

Hieronder vast al een theoretisch verzinsel waarmee ik hoop een leuke discussie uit te lokken

Tegenwoordig heb je voor alles en nog wat wachtwoorden nodig. Omdat de rekenkracht ook blijft stijgen heb je hierdoor nood aan een langere tekenreeks, het liefste nog met speciale karakters in verwerkt.

Een oplossing die ik hier voorbij zag komen was een master password verzinnen, en hier telkens een kleine variatie op aanbrengen voor elke applicatie.
Stel master password als password, dan zou je de webGUI van je router passwordrt kunnen geven.

Dit lijkt me niet zo'n goede oplossing omdat je dan nog veel te onthouden hebt, en je geeft je master password mogelijk weg als een applicatie gedefaced wordt.

Daarom lijkt me de oplossing van een lang, random gegenereerd wachtwoord met speciale tekens de betere oplossing. Zo heb je per applicatie een uniek én veilig wachtwoord.

Allemaal mooi en wel, maar hoe onthou ik die dan?

Niet.

De werking van KeePass hoef ik aan niemand meer uit te leggen.
De belangrijkste voordelen voor mij: het wordt nog steeds actief ontwikkeld, het is opensource, er zijn allerhande plugins voor te krijgen, heeft een brede userbase en is gratis.

Dus: al je random gegenerate passwords mooi in een database en klaar. Of toch niet?

Nee, want zo'n centrale database is toch een mooi voorbeeld van een SPOF?

Dat klopt.

Zowel datacorruptie als de mogelijkheid dat je database gecompromised wordt zijn bedreigingen.
Bovendien dien je telkens je database te raadplegen als je op een van je applicaties wil inloggen.

Wat datacorruptie betreft lijkt de, hier ook al eerder aangehaalde, oplossing van een Dropbox account me een goede. Op enkele machines installeren en je hebt op elke client een backup, die ook nog eens gesynchroniseerd wordt tussen alle aangesloten nodes.
Bovendien heb je ook nog een backup "in the cloud" mocht er op wonderbaarlijke wijze wat met al je machines gebeuren.

Ok, datacorruptie lijkt min of meer opgelost door bovenstaande oplossing, wat dan met de veiligheid van je centrale KeePass database?

Over de werking van KeePass ga ik niet uitweiden, maar er zijn beveiligingsmechanismen genomen om ongeoorloofde toegang tot het programma te vermijden.
Blijft dan nog over: een sterk masterpassword. Dit is zeker ook nodig omdat je database in the cloud staat, waar in theorie er mensen zomaar bijkunnen.

Hierbij moet ik SKiLLa citeren die schreef:

SKiLLa schreef op dinsdag 02 maart 2010 @ 19:36:
...
De toekomst is imho toch een combinatie van een fysiek medium (pas, token, vingerafdruk) + wachtwoord.

Hier ga ik mee akkoord. Zelf dacht ik aan betrouwbare biometrische authenticatie zoals een irisscan. Dit omdat een irisscan veel veiliger is dan een vingerafdruk.
Helaas lijkt er hier geen betaalbare en betrouwbare consumentenapparatuur voor te bestaan.

Verder dan maar. In dit topic las ik een vermelding van de YubiKey

Dit is, simpelweg gezegd, een usbstick met een touch toets die one time passwords aanmaakt.
Voor meer informatie verwijs ik naar de bovenstaande website en een zoekmachine, deze post is al veel te lang zonder zulke extra informatie
Wat het apparaatje wel nog kan, én ook relevant is voor mijn opzet is het opslaan van een statisch password.

Mijn oplossing zou er dus in bestaan een lang en complex random wachtwoord te generaten, van bijvoorbeeld 40 characters. Dit sla je op op je YubiKey en je kan inloggen op je KeePass database, waarna je toegang tot al je wachtwoorden hebt.

Wat als je echter die YubiKey verliest? Dan kan iemand anders, theoretisch gezien, nog altijd aan je master database.

Daarom dacht ik een combinatie te maken tussen het beste van beide werelden: een gemakkelijk te onthouden 'bijsleutel', én de complexiteit van een statisch opgeslagen wachtwoord op je YubiKey en deze te combineren als 1 string dat dan je echt masterpassword is.

Bij verlies van je YubiKey hoef je je zo geen zorgen te maken dat iemand je hoofdsleutel weet, en omgekeerd hoef je je geen zorgen te maken dat je centrale databank makkelijk gebruteforced kan worden.

Als backupmaatregel kan je dan wel nog je hoofdsleutel-je eigen, te onthouden, 'kleine sleutel' ergens opschrijven en veilig opbergen.

Zo, een hele lap tekst maar ik hoop dat er wat structuur in terug te vinden is en dat ik mijn idee helder heb kunnen uitleggen.

Bovenstaande oplossing lijkt me dus geschikt, maar ook vrij complex. Ik heb het gevoel dat ik een veel simpelere, en toch even veilige, oplossing over het hoofd zie.

Alle reacties welkom

sloth schreef op woensdag 19 januari 2011 @ 22:59:
Bovenstaande oplossing lijkt me dus geschikt, maar ook vrij complex. Ik heb het gevoel dat ik een veel simpelere, en toch even veilige, oplossing over het hoofd zie.

Als je het dan toch over YubiKey gaat hebben, zou je op z'n minst even de combo YubiKey + LastPass kunnen bekijken. Dat is in ieder geval erg simpel.

Voor mij is het veilig genoeg. Steve Gibson, die gast van www.grc.com (waarschijnlijk beter bekend van Shields-Up), vindt dat ook. Hier een filmpje.

Leuk leesvoer

Het probleem bij LastPass vind ik dat je er nooit zeker van kan zijn dat je master password niet naar hun servers gestuurd wordt.
Mocht dat gebeuren dan liggen al je credentials meteen op straat.

Ik kan ook niet zo meteen vinden wat het voordeel is t.o.v. de Dropbox oplossing? Beide synchroniseren automatisch en veilig over meerdere machines, en je hebt voor beide een masterpassword nodig.

Achja, misschien ben ik ook gewoon paranoïde maar het zit me niet lekker om alles op een server van een Amerikaans bedrijf te centraliseren.
Je KeePass file is encrypted, en daar bovenop slaat Dropbox alle files met AES-256 op.

Toch vraag ik me af of het e.e.a. niet eenvoudiger kan...

Je kunt bij Keepass een soort van (poor mans) 2-factor authenticatie realiseren door gebruik te maken van een key-file die je handmatig op je eigen apparaten plaatst. Toegang tot de database hangt dan af van het apparaat (key file) en geheim dat je kent (password).

M.i. noodzakelijke voorwaarde om je keypass database online op te slaan.

[ Voor 12% gewijzigd door Rukapul op 26-01-2011 21:50 ]

Ik kende de functionaliteit maar zit hier ook weer met wat vragen / bedenkingen:

-Wat voor bestand gebruik je als key file? Maakt de grootte hier van uit? Hoe ga je dit bestand dan backuppen, en belangrijker nog: hoe doe je dit op een veilige manier?

-Stel dat je als keyfile een GnuPG keyfile neemt, en dit opslaat in je Dropbox folder. Is dit dan niet een vorm van Security trough obscurity?
Je kan natuurlijk ook weer een passphrase aan de keyfile geven maar dan zit je met wéér een extra wachtwoord.

In totaal heb je dan:

-Een YubiKey master password
-Een gekozen 'salt' die je op een bepaalde plaats in het lange YubiKey password bijvoegt, dit samen is je 'master key'
-Een keyfile als 2-factor authenticatie voor KeePass
-Om deze keyfile te beschermen nog een passphrase

Redelijk omslachtig lijkt me zo.

Een keyfile plaats je natuurlijk nooit op een dienst als drop box* (als je een vorm van 2-factor auth wilt benaderen). Die plaats je out-of-band (bv handmatig) op de diverse apparaten.

*evt wel weer indien die drop box service voor niets anders wordt gebruikt en de key file ook weer beschermd wordt met een aparte zeer sterke key phrase zodat je het out-of-band principe redelijk benadert. De keyfile naast de key db bij een dienst plaatsen is in elk geval een no go conceptueel gezien.

[ Voor 45% gewijzigd door Rukapul op 02-02-2011 16:26 ]

Hoe goed denk jij dat jouw wachtwoorden zijn?
Goed,mijn sterkstes wachtwoorden zijn meer dan 20 karakters
Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
Ja, ja , ja, ja, soms
Hoe vaak wijzig jij jouw wachtwoorden?
Om de twee maand.


Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Voor professioneel gerelateerde doeleinden gebruik ik complexere wachtwoorden.
Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)Ik bedenk ze zelf, om de twee maanden.
Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Ik onthoud ze gewoon, dit is het veilgste.

Ik heb nu Roboform Everywhere. Werkt superfijn. Slaat nu ook automatisch passwords op uit applicaties. Met everywhere mag je onbeperkt clients aan je account toevoegen. Ik heb dus nu een applet op Android, 2 desktop clients, en 2 USB sticks. Een van die sticks is mijn "stel dat er echt iets gruwelijk misgaat"-recovery. De andere gebruik ik op het werk. Wij loggen op het domein in met een cryptocard, en dat vond ik veilig genoeg om daar de "store master password in system protected storage" feature aan te zetten.
Dat wil zeggen dat je dan je master password niet meer hoeft in te geven. Het beleid op het onbeheerd achterlaten van je card is streng, dus zodra ik mijn werkplek verlaat gaat die card eruit. Mijn usb stick is dus alleen unlocked onder mijn account op de zaak.
De USB sticks worden overigens niet automatisch met roboform online gesynced. De rest wel, want dat is onderdeel van roboform everywhere.

Ik heb ongeveer 325 passwords in mijn store, allemaal met de grootst toegestane variatie en lengte.

[ Voor 5% gewijzigd door Mistraller op 02-02-2011 22:40 ]

Ik maak gebruik van pwsafe, als ik iets nodig heb log ik via SSH in op mijn server en haal ik daar het wachtwoord op. Mijn wachtwoorden zijn zo lastig als men maar toelaat. Mijn wachtwoord voor Tweakers.net is iets als "0+2Kx^iG<pOC#nOXm4x?RS^ClAZB#$2h5~f-" -ja echt. Waarom niet? Een kort woord copy/pasten is net zoveel werk als een lang wachtwoord.

Ik heb ongeveer 130 wachtwoorden nu in mijn password manager staan.

Hoe goed denk jij dat jouw wachtwoorden zijn?
Sterk. Ik gebruik de password generator van Keepass en standaard staat bijna alles aangevinkt m.u.v. High Ansi Characters. Meeste sites slikken dit en waar nodig vink ik sets uit. De minimale lengte is 8 tekens.
Hoeveel groepen bevatten jou wachtwoorden vaak?
Alles vaak met uitzondering van de bijzondere karakters.
Hoe vaak wijzig jij jouw wachtwoorden?
Verschilt per site. Sites waar betalingsgegevens beschikbaar zijn en logins die lastig zijn om kwijt te zijn of waar veel van afhankelijk is wijzig ik minimaal 1x per half jaar.
Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Nee, alles is compleet willekeurig.
Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Zoals gezegd, verschilt per site. Voor sites gebruik ik Keepass en voor Keepass gebruik ik een lang zelf bedacht wachtwoord die regelmatig wordt gewijzigd.
Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Keepass.

Aangezien veel mensen hier Keepass gebruiken, hoe ga je om met je database? Je wilt natuurlijk je wachtwoorden overal beschikbaar hebben. Ik heb een desktop, een laptop en een Android-telefoon. Ik maak gebruik van de '1-seconde-regel'. Keepass heeft 1 seconde nodig op mijn desktop om de database op te slaan/te openen. Nu zijn de laptop en telefoon allebei een stuk trager en op de laptop kun je dan gerust een halve minuut wachten voordat de database is geopend. (Niet mee te werken dus)

Op de laptop heb ik de 1-seconde-regel toegepast en daarnaast de database voorzien van een sleutelbestand en gekoppeld aan het Windows-account. De mogelijke 'aanvaller' moet de database hebben, staat op de laptop, sleutelbestand, staat uiteraard niet op de laptop, en de 'aanvaller' moet kunnen inloggen op de laptop op mijn account.

Op mijn telefoon heb ik besloten om de database maar niet te plaatsen omdat deze natuurlijk vrij diefstalgevoelig is. Hoe gaan jullie hiermee om?

Ben ik dan zo belangrijk dat mensen mijn wachtwoorden willen hebben? Nee, maar mocht mijn laptop gejat worden dan hoef ik niet als een speer mijn wachtwoorden te veranderen omdat iemand anders daar misschien toegang tot heeft.

Strikt genomen is die 'key transformation' optie een aanpak die te vergelijken valt met salting. Het biedt een (poor man's) oplossing voor zwak key materiaal (wachtwoord). Je kunt dus de key transformaties laten vallen voor een sterk wachtwoord wat je sowieso hoort te hebben.

In perspectief: waarschijnlijk is het toevoegen van een paar bits (netto) aan je wachtwoord net zo effectief in veiligheid als die 6000 transformaties. Aangenomen dat die 6000 ook AES encryptieoperaties zouden zijn dan zou je log2(6000) bits nodig hebben, oftewel 12 a 13 bits extra. Gewone Engelse taal heeft ca 3 bits per karakter. Willekeurig alfanummeriek (incl. capitals) 6 per karakter.

[ Voor 55% gewijzigd door Rukapul op 08-02-2011 23:40 ]

Ik lees hier dat veel mensen een wachtwoord m.b.v. een programma beheren, of zelf een of ander complex wachtwoord hebben bedacht.

Maar maken jullie dan ook totaal geen gebruik van de automatische wachtwoord-onthoudfunctie in de webbrowsers of het e-mailprogramma?

Hoe goed denk jij dat jouw wachtwoorden zijn?
Bagger. Gewoon echt bagger.
Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
2 groepen
Hoe vaak wijzig jij jouw wachtwoorden?
Nooit
Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
1 wachtwoord voor alles
Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Bedenk hem zelf
Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
onthouden (is niet moeilijk met een idioten wachtwoord)

[ Voor 3% gewijzigd door Shadoxfix op 20-02-2011 21:35 ]

Onbekend schreef op zondag 20 februari 2011 @ 21:27:
Ik lees hier dat veel mensen een wachtwoord m.b.v. een programma beheren, of zelf een of ander complex wachtwoord hebben bedacht.

Maar maken jullie dan ook totaal geen gebruik van de automatische wachtwoord-onthoudfunctie in de webbrowsers of het e-mailprogramma?

Voor zover dat prettig werkt staat het idd uit. Sinds Roboform in applicaties ook kan invullen, laat ik inderdaad applicaties ook geen accounts meer opslaan. Maar met mail programma'sn sommige andere auto-sync programma's (twitterclient en zo) wordt het dan wel heel lastig dus daar zitten de wachtwoorden nog wel in. Maar voor het gros van de wachtwoorden is het een website account, en die zitten zeer zeker niet in de browser. Dat is het eerste dat ik meestal uitzet.

Hoe goed denk jij dat jouw wachtwoorden zijn?
Variërend van redelijk slecht tot erg goed.

Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
Minimaal 3, maar het ligt er meestal aan welke groepen toegestaan zijn of nut (wel/niet case-gevoelig) hebben.

Hoe vaak wijzig jij jouw wachtwoorden?
Een aantal nooit, het gros 1 a 2 keer per jaar en een tweetal maandelijks. Wanneer ik na een tijdje een site min-of-meer vergeten ben belandt 'ie vaak in het "nooit" lijstje.

Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Vooral bij sites waarvan ik weet dat als ik mijn ww vergeten ben zij het automatisch per mail toesturen in plaintext gebruik ik ongeveer hetzelfde wachtwoord (6-10 tekens). Op dit soort sites zet ik ook geen persoonlijke informatie btw. Mijn belangrijkere wachtwoorden hebben wel allemaal ongeveer dezelfde structuur (soort van a-ritmisch ritme) maar lijken verder niet op elkaar. De structuur voor mail, docs, admin, etc. verschilt onderling licht. Minimale lengte is momenteel 12 tekens maar wordt 14 waar mogelijk.


Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Ik bedenk ze zelf.

Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
De wachtwoorden die ik het meest gebruik weet ik wel uit mijn hoofd. Daarnaast staan alle wachtwoorden waarvan ik denk ze nog ooit nodig te hebben op mijn eigen manier versleuteld op papier. Het papieren lijstje vergeet ik overigens regelmatig te updaten wat wachtwoorden voor sites betreft. Wachtwoorden voor o.a lokaal versleutelde data staan wel up-to-date op de lijst. Wachtwoorden voor/van mijn werk liggen in een kluis

Hoe goed denk jij dat jouw wachtwoorden zijn?
Ik denk best wel goed eigenlijk. Beter dan vroeger tenminste, toen had ik min of meer 1 wachtwoord voor alles. Dat vond ik na verloop van tijd zelf wel wat onveilig, dus ging ik een ander gebruiken voor bijvoorbeeld de financiele sites. En weer een ander voor iets anders, tot het uit de hand liep en ik het zelf niet meer kon onthouden.

Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
Zoveel mogelijk, tenzij de site het niet accepteert.

Hoe vaak wijzig jij jouw wachtwoorden?
Nooit, tenzij op verzoek van de site. Mijn bank eist dat ik ieder jaar het password ververs.

Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Nee.

Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
Ik gebruik een generator van 12 tekens. Ik controleer het ook eerst visueel, omdat in theorie ook generatoren onbedoeld een bestaand woord kunnen kiezen. Denk ik tenminste.

Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
Ik ben een enthousiast gebruiker van LastPass. Alles staat dus online, samen met mijn bookmarks omdat LastPass ook eigenaar is geworden van X-Marks. De bookmarks zijn weer onderverdeeld in groepen (prive, werk, mobile) zodat ik per computer altijd de juiste bookmarks heb. LastPass heeft plugins voor de belangrijkste browsers (ik gebruik Chrome) en voor het Android OS van mijn phone.

Onbekend schreef op zondag 20 februari 2011 @ 21:27:
Ik lees hier dat veel mensen een wachtwoord m.b.v. een programma beheren, of zelf een of ander complex wachtwoord hebben bedacht.

Maar maken jullie dan ook totaal geen gebruik van de automatische wachtwoord-onthoudfunctie in de webbrowsers of het e-mailprogramma?

Ik maak daar helemaal geen gebruik van nee. Ook omdat 1Password het prima voor mij kan invullen (en het dus geen meerwaarde heeft om het de browser te laten doen). Maar de voornaamste reden is wel dat Firefox de wachtwoorden niet versleuteld opslaat. Als iemand mijn laptop hackt dan hebben ze dan ook gelijk alle wachtwoorden.

Hoe goed denk jij dat jouw wachtwoorden zijn?
Zeer goed. Voor elke dienst een ander random gegenereerd wachtwoord van meer dan 25 tekens.

Hoeveel groepen bevatten jou wachtwoorden vaak? (cijfers, uppercase letters, lowercase letters, leestekens)
Van alles wat.

Hoe vaak wijzig jij jouw wachtwoorden?
Die random wachtwoorden nooit, soms verander ik het wachtwoord van mijn encrypted vault.

Heb je voor bepaalde doeleinden bepaalde wachtwoorden?(B.V. e-mails hebben $passwordX maar sites hebben $passwordY)
Ja, elk wachtwoord wordt maar 1 keer gebruikt.

Hoe en hoe vaak maak jij nieuwe wachtwoorden? (bedenk je hem zelf, of gebruik je een password generator)
1Password

Hoe bewaar jij jouw wachtwoorden? (op papier, via een tool of onthoud je hem gewoon)
1Password slaat ze op in een encrypted vault (AES-128), die staat dan weer op een encrypted disk (AES-256).