Universeel wachtwoordbeleid

Gebruik een (1) zeer moeilijk wachtwoord en gebruik voor de rest van je wachtwoorden KeePass (of een andere password manager) die je een mooi random wachtwoord laat genereren per site/applicatie.

Anoniem: 55212 schreef op donderdag 20 september 2012 @ 14:03:
[...]


Al mijn wachtwoorden in een password manager zetten komt niet echt 'veilig' op mij over.

Maar dat is het wel

De meningen zijn verdeeld en toevallig ben ik nu bezig met een bedrijf om een wachtwoord beleid te formalizeren. Het beste is, en blijft, het gebruik maken van 2 woorden die niets met elkaar te maken hebben.

Bijvoorbeeld:

Fietsdraad!
LampStoel2
PompoenMes@

etc.

Deze wachtwoorden zijn het makkelijkste te onthouden, en qua theory het veiligste.

Test je wachtwoord op https://www.grc.com/haystack.htm om een idee te krijgen.

Keepass onepass en anderen zijn zeer veilig en je hoeft maar 1 wachtwoord te onthouden.
Wachtwoorden in je browser opslaan in niet goed.
Altijd 2 way verificatie gebruiken(dus via sms een code laten sturen).
Naam23498, dus naam en cijfers en alle onzin die mensen bedenken is niet veilig, er zijn heel veel data bestanden die gestolen zijn, waar alle wachtwworden in staan, hieruit hebben hackers conclusies getrokken, en wat doen mensen, altijd en vaak hetzelfde.
Wachtwoord maken met keepass, heel heel heel lang maken, alle tekens kiezen etc., en niet door een website.
YouTube: Security Now 370: Mark Russinovich zoek oude versie waar dit wordt uitgelegd.
http://revision3.com/tekzilla zoek oude versie voor uitleg.

KeyPass en dat soort dingen vind ik vaak niet handig. Ik ben nogal eens bij vrienden / famillie en daar kan je dan nooit even de computer gebruiken... Of even de ipad van een collega gebruiken om je mail te kijken. Dat zijn allemaal best dingen die bij mij wel eens gebeuren.

Ik heb meestal 1 zin uit een boek dat ik op dat moment goed vind, en daar maak ik dan een (site-specifiek) wachtwoord van.
"Has he eaten today, or does he hunt empty?"
wordt dan
"Has he eaten today, or does Tweakers hunt empty?"
wordt dan "Hhet,odTwhe?"

Goed te onthouden, je onthoudt er nog een mooie quote mee ook (die je pas in het openbaar mag gebruiken als je wachtwoord niet meer gebruikt wordt natuurlijk).

Zelf even een zin zoeken die aan je 8 karakter eis voldoet.
p.s. mijn huidige wachtwoord komt niet uit hetzelfde boek natuurlijk....

------------edit
Vroeger gebruikte ik nog wel eens de tactiek om een woord, met af en toe shift ingebrukt, een regel hoger op het keyboard e typen. kippesoep wordt zo i*)03hw9- dat ging heel erg fout toen ik een keer op een iphone / android ding m'n wachtwoord in moest voeren....

---- nog een edit
Nu ik eraan denk, ik had een print van een screenshot van een on screen keyboard bij in m'n portemonnee om in te kunnen loggen in internetcafe's met franse keyboard layout...

[ Voor 24% gewijzigd door MaffeMaarten op 21-09-2012 09:38 ]

Sites die een 8-12 linitatie hebben probeer ik te vermijden.

dacken schreef op donderdag 20 september 2012 @ 14:08:
De meningen zijn verdeeld en toevallig ben ik nu bezig met een bedrijf om een wachtwoord beleid te formalizeren. Het beste is, en blijft, het gebruik maken van 2 woorden die niets met elkaar te maken hebben.

Bijvoorbeeld:

Fietsdraad!
LampStoel2
PompoenMes@

etc.

Deze wachtwoorden zijn het makkelijkste te onthouden, en qua theory het veiligste.

Test je wachtwoord op https://www.grc.com/haystack.htm om een idee te krijgen.

Deze wachtwoorden zijn helemaal niet veilig.

Die website gaat uit van het brute forcen van iedere mogelijke willekeurige combinatie, terwijl je met hashcat, een goede videokaart, een Nederlands woordenboek en wat goede rules, makkelijk deze wachtwoorden als md5 hashes kan kraken, online is een heel ander verhaal daar haal je maximaal een paar duizend wachtwoorden per seconde, maar offline met ongesalte en niet gestrechte MD5/SHA1 hashes haal je makkelijk op een snelle videokaart (200 euro) 1 miljard hashes per seconde en dan zijn je wachtwoorden binnen een dag gekraakt.

Het beste is om passphrases te maken van meerdere woorden zodat je een wachtzin krijgt van 30+ tekens, gooi er dan nog een paar cijfers en tekens tussen en je zit zeker goed.

two factor authentification wilt ook niet altijd werken, het duurde bij mij altijd 5 minuten voordat ik een sms'je voor gmail kreeg.

Meer informatie over het maken van veilige wachtwoorden is te vinden in het filmpje "Wachtwoord fundamentels" op Certified Secure: https://www.certifiedsecure.com/certificatedetails/extra/45
of de checklist: https://www.certifiedsecure.com/download/inline/26173

photofreak schreef op donderdag 20 september 2012 @ 23:52:
[...]


Deze wachtwoorden zijn helemaal niet veilig.

Die website gaat uit van het brute forcen van iedere mogelijke willekeurige combinatie, terwijl je met hashcat, een goede videokaart, een Nederlands woordenboek en wat goede rules, makkelijk deze wachtwoorden als md5 hashes kan kraken, online is een heel ander verhaal daar haal je maximaal een paar duizend wachtwoorden per seconde, maar offline met ongesalte en niet gestrechte MD5/SHA1 hashes haal je makkelijk op een snelle videokaart (200 euro) 1 miljard hashes per seconde en dan zijn je wachtwoorden binnen een dag gekraakt.

Het beste is om passphrases te maken van meerdere woorden zodat je een wachtzin krijgt van 30+ tekens, gooi er dan nog een paar cijfers en tekens tussen en je zit zeker goed.

two factor authentification wilt ook niet altijd werken, het duurde bij mij altijd 5 minuten voordat ik een sms'je voor gmail kreeg.

Meer informatie over het maken van veilige wachtwoorden is te vinden in het filmpje "Wachtwoord fundamentels" op Certified Secure: https://www.certifiedsecure.com/certificatedetails/extra/45
of de checklist: https://www.certifiedsecure.com/download/inline/26173

Sorry voor de uitgraven van een oude thread maar je schetst een typisch gevalletje van obscurity, theoretisch heel leuk maar totaaaaal niet praktisch, denk je nou echt dat iemand een passphrase van 30+ characters gaat onthouden???

Ja je kan dit soort mega veilige, niet te gebruiken wachtwoorden gebruiken maar als je het hebt over Active Directory wachtwoorden e.d. dan volstaat een wachtwoord als wat ik noemde verder prima. AD heeft intrinsiek al diverse methodes om bruteforce atttacks tegen te gaan en de AD "database" is tegenwoordig ook goed beveiligd tegen dit soort huiskamerpraktijk hacks.

Grote bedrijven als linked-in, facebook dienen te zorgen voor dingen als two-factor authentication, logging, browser herkenning, ip herkining, telefoon herkenning e.d.. Dan hoef jij echt niet met een 30 karakter wachtwoord te slepen.

Zo hee, schopt even een 2 jaar oud topic omhoog om een puntje te maken.

Hier KeePass met YubiKey NEO, werkt prima.

Idd, gewoon al mijn paswoorden in KeePass met een maximaal beveiligd master paswoord.
En ik ken het master paswoord zelfs van buiten, ongelooflijk met zoveel tekens

Nu het topic toch na die twee jaar naar boven is geschopt kan deze vraag er ook wel even bij, wat gebeurt er als KeePass ooit een keer wordt gekraakt? Gegarandeerd onmogelijk wordt er door sommigen gezegd. Maar durf je daar de handen voor in het vuur te steken? Zelf vertrouw ik op dit terrein niets en niemand.

KeePass gebruikt gewoon standaard crypto algoritmes en gaat ook gewoon met zijn tijd mee in het ondersteunen van nieuwe crypto algoritmes. Dus dat is een kwestie van eens in de paar jaar een keer je keyfile omzetten naar een nieuwer veiliger algoritme.

En aangezien in elk geval keepass (in tegenstelling tot sommige andere password managers) gewoon met een lokale file werkt, kan je die file natuurlijk verder prima afschermen. Zet hem op je versleutelde en enkel met pincode toegankelijke smartphone (keepass mini). Zet hem op een versleutelde hardeschijf in je PC, etc. etc.

Oké, duidelijk. Ik vergiste me heel even, ik was in de veronderstelling dat KeePass een voorziening op het internet was en daar (uiteraard met die crypto algoritmes versleuteld) bereikbaar was. Met als beoogd voordeel dat het ook in geval van een gesneuvelde harde schijf toch gemakkelijk terug te halen zou zijn.

Je kan je KeePass file natuurlijk op dropbox mikken en zo synchroon houden tussen verschillende systemen (incl. je smartphone/tablet), maar dan is het nog steeds de versleutelde KeePass file waarvan de en-/decryptie lokaal binnen KeePass plaatsvindt.

Standaard is bij KeePass dat AES gebruikt wordt voor versleuteling van de keyfile. De 256 bits AES sleutel wordt afgeleid van een SHA-256 van master password + random salt. En om brute force te vertragen worden er op die hash nog een fors aantal versleutelrondes toegepast met een random AES sleutel om de daadwerkelijke AES key te berekenen: http://keepass.info/help/base/security.html#secdictprotect

[ Voor 9% gewijzigd door Orion84 op 27-06-2014 17:36 ]