Veiligheid lastpass en internetbankieren

Wat volgens mij een beetje in de buurt komt van wat jij bedoelt: in je vault kan je bij een entry opgeven "require password reprompt".

In algemene zin moet je sowieso geen gevoelige dingen/geheime wachtwoorden gebruiken op machines die je niet vertrouwt. Het gebruik van lastpass gaat je daar niet bij helpen.

De cryptografie van lastpass kan ik niks zinnigs over zeggen. Ik verwacht dat aan de hand van je master password de encryptiekey wordt vrijgegeven om de vault vrij te geven.

Hij bedoelt dat je voor bepaalde passwords altijd je master password moet invullen voordat deze gebruikt kan worden. Eventueel kan je een yubikey aanschaffen voor een 2 factor authentication. Zo kan degene alleen het gebruiken als hij ook de fysieke usb sleutel (yubikey) bij zich heeft.

Op een publieke computer moet je natuurlijk nooit je vault gaan openen. Dat is regel nummer 1. Ik weet niet of lastpass een mobiele app heeft maar ikzelf gebruik keepass en heb daar een app voor op mijn telefoon zodat ik al mijn wachtwoorden altijd bij me heb. Dat lijkt me veel veiliger dan je vault openen op een publieke computer.

Persoonlijk heb ik de instelling dat ik helemaal niets van dergelijke diensten echt vertrouw. Even min als clouddiensten e.d. waarin je je wachtwoorden op b.v. een notepadbestandje bewaart. Ik vergelijk zoiets met het hilarische "sleutel ligt onder de deurmat". Wachtwoorden maak ik uiteraard sowieso moeilijk te raden (geen namen van vrouw of kinderen en geen bestaande woorden). Ik verzin gewoon zelf een manier om ze te onthouden, tot nu toe heb ik daar geen moeite mee. Voor mij is de waarde van zulke handigheden nihil. En ik vind ze bovendien onnodig.

Op vreemde computers ben ik sowieso terughoudend om ergens in te loggen met mijn wachtwoorden. Tenzij het echt niet anders kan, tot nu toe nog nooit gehad, laat ik dat helemaal achterwege.

[ Voor 13% gewijzigd door Techneut op 24-01-2014 16:42 ]

incaz schreef op woensdag 22 januari 2014 @ 19:13:
Ramon, er is dus geen mogelijkheid om bepaalde wachtwoorden wel beschikbaar te maken dat ze wel op een publieke computer geopend kunnen worden, en andere dus standaard niet?

Telefoon zou wifi vereisen (heb geen internetabo) of offline storage (wat weer niet heel jofel voelt als de telefoon gejat wordt.)

Je zou een aparte vault kunnen maken misschien?

Techneut schreef op vrijdag 24 januari 2014 @ 14:36:
Persoonlijk heb ik de instelling dat ik helemaal niets van dergelijke diensten echt vertrouw. Even min als clouddiensten e.d. waarin je je wachtwoorden op b.v. een notepadbestandje bewaart. Ik vergelijk zoiets met het hilarische "sleutel ligt onder de deurmat". Wachtwoorden maak ik uiteraard sowieso moeilijk te raden (geen namen van vrouw of kinderen en geen bestaande woorden). Ik verzin gewoon zelf een manier om ze te onthouden, tot nu toe heb ik daar geen moeite mee. Voor mij is de waarde van zulke handigheden nihil. En ik vind ze bovendien onnodig.

Ik weet niet hoeveel verschillende wachtwoorden jij hebt en hoe je ze varieert, maar ik merkte bij mezelf dat ik eigenlijk één basiswachtwoord had met wat variaties in nummers/leestekens die erachter stonden. Ook toen ik besloot om mijn wachtwoord te veranderen had ik bij de ene site dát wachtwoord en bij de andere site dit wachtwoord, dus veel gedoe met onthouden welke waar enzo, en ook vaak password resets aanvragen.

Sinds ik een wachtwoord management tool gebruik heb ik op iedere site een compleet uniek, random wachtwoord, bestaande uit nummers, letter en waar mogelijk leestekens wat de max gebruikt van wat ingesteld kan worden als wachtwoord door de site, dus minstens vaak 16 tot 24 tekens. Dit betekent dus dat er geen risico meer is dat er één site gehackt wordt, mijn password gebruikt wordt om bij mijn mail in te loggen, bijvoorbeeld. Bovendien is een sterk random wachtwoord van 24 tekens altijd een van de laatste die gekraakt wordt dus daar hoef ik me ook geen zorgen over te maken. Mijn wachtwoordendatabase is geencrypt en staat op OneDrive.

Overigens denk ik dat een txt-bestand met [verschillende] wachtwoorden op een cloudservice zoals OneDrive of Dropbox opslaan veiliger is dan op iedere site waar je een account hebt hetzelfde wachtwoord gebruiken aangezien je het zwaktepunt dan op één plek hebt in plaats van op tig-honderd sites die jouw accountgegevens hebben. Plus, áls er dan een site gehackt wordt, hoef je niet te stressen om je wachtwoord op andere sites te veranderen, want al je wachtwoorden zijn anders.

Interessante materie: http://arstechnica.com/search/?query=password

Op vreemde computers ben ik sowieso terughoudend om ergens in te loggen met mijn wachtwoorden. Tenzij het echt niet anders kan, tot nu toe nog nooit gehad, laat ik dat helemaal achterwege.

Mee eens.

[ Voor 4% gewijzigd door Ramon op 18-02-2014 09:01 ]

Ramon schreef op dinsdag 18 februari 2014 @ 08:56:
Overigens denk ik dat een txt-bestand met [verschillende] wachtwoorden op een cloudservice zoals OneDrive of Dropbox opslaan veiliger is dan op iedere site waar je een account hebt hetzelfde wachtwoord gebruiken aangezien je het zwaktepunt dan op één plek hebt in plaats van op tig-honderd sites die jouw accountgegevens hebben. Plus, áls er dan een site gehackt wordt, hoef je niet te stressen om je wachtwoord op andere sites te veranderen, want al je wachtwoorden zijn anders.

Echter als je cloudservice wachtwoord gekraakt is hebben ze alles.

Uiteraard, het was ook meer om twee uitersten aan te geven. Zet je de wachtwoorden in een encrypted file, wat je beveiligt met een password en een keyfile, dan ben je echt wel meer secure.