[Password Managers] Discussie- en reviewtopic

Jammer dat Winword en Excel er niet tussen staan. Ik merk namelijk dat Winword zo'n beetje de meest gebruikte password manager is bij veel kleinere bedrijven.

@Trommelrem dat zou voor mij een reden zijn om de verantwoordelijke(n) te ontslaan of iig op het matje te roepen.

Idd. Op werk gebruiken wij keepass met WW en een key. Deze op een locatie waar alleen wij beheerders bij kunnen.
Zelf gebruik ik die Prive ook. Alsmede Lastpass voor forums e.d.

Al lange tijd zeer tevreden gebruiker van 1Password. Kost even wat, zeker als je ook Mac en Windows clients wil gebruiken, maar dan heb je ook wat. Ik gebruik wel de iCloud sync functionaliteit. Mijn gegevens op mijn Windows laptop (zakelijk) worden dus niet gesynct, hopelijk brengt iOS8 en de nieuwe iCloud Drive functionaliteit daar verandering in. Maar al met al een meer dan prima password manager!

[x] schreef op maandag 22 september 2014 @ 11:18:
@Trommelrem dat zou voor mij een reden zijn om de verantwoordelijke(n) te ontslaan of iig op het matje te roepen.

De directeur kun je vaak niet zomaar ontslaan

Anyway, als je op het Excel document een wachtwoord zet, dan schijnt daar tegenwoordig ook al een soort van encryptie overheen te zitten. Als je de documentstructuur onderzoekt, dan lijkt er ook daadwerkelijk encryptie overheen te zitten. Weet iemand hier wellicht iets meer van?

Trommelrem schreef op maandag 22 september 2014 @ 11:22:
[...]

De directeur kun je vaak niet zomaar ontslaan

Anyway, als je op het Excel document een wachtwoord zet, dan schijnt daar tegenwoordig ook al een soort van encryptie overheen te zitten. Als je de documentstructuur onderzoekt, dan lijkt er ook daadwerkelijk encryptie overheen te zitten. Weet iemand hier wellicht iets meer van?

Dat kan je binnen no-time bruteforcen.

DennusB schreef op maandag 22 september 2014 @ 11:22:
[...]


Dat kan je binnen no-time bruteforcen.

Waarom is een Excel document beter te bruteforcen dan een ander willekeurig programma met hetzelfde toegangswachtwoord? Heb je hier wellicht een bron van?

[ Voor 5% gewijzigd door Trommelrem op 22-09-2014 11:24 ]

Trommelrem schreef op maandag 22 september 2014 @ 11:23:
[...]

Waarom is een Excel document beter te bruteforcen dan een ander willekeurig programma? Heb je hier wellicht een bron van?

Bij 1Password word je na x pogingen gewoon tijdelijk geblokkerd, Excel niet. En besides : Voor Excel (evenals ZIP Files enz) zijn er kant en klare tools die gewoon net zo lang door gaan tot ze je file open hebben...

DennusB schreef op maandag 22 september 2014 @ 11:24:
[...]


Bij 1Password word je na x pogingen gewoon tijdelijk geblokkerd, Excel niet. En besides : Voor Excel (evenals ZIP Files enz) zijn er kant en klare tools die gewoon net zo lang door gaan tot ze je file open hebben...

Oke, dat vind ik interessant. Hoe kan de database zichzelf beschermen en zichzelf ontoegankelijk maken? Heb je er wellicht een bron van?

Als een database zichzelf kan beschermen, dan zou de muziekindustrie niet eens meer een centrale DRM-server nodig hebben. Of bedoel je dat het programma de toegang tot de database blokkeert? Dat is natuurlijk flutbeveiliging, want dan kun je ook gewoon zelf de database openen om het programma heen. Dat schept ook schijnveiligheid, en mogelijk is Excel dan automatisch veiliger, omdat de gebruiker voorzichtiger zal omgaan met z'n Excel dan met z'n passwordmanager: "oow, dat programma blokkeert automatisch dus kopieer het maar 100x," niet wetende dat de blokkade makkelijk kan worden omzeild door alleen al snapshots te maken of gewoon de database direct te benaderen.

Voor een "beveiligde" USB stick zijn er ook al vele Tools om ze te kraken en het bruteforcen wordt makkelijk gemaakt door een simpele aanpassing. Eigenlijk zegt mijn gevoel dat Excel beter te vertrouwen is dan een of andere random applicatie die nog niet zo lang op de markt is, onder andere omdat men met Excel automatisch meer voorzichtigheid in acht neemt. Daarom de vraag: op welke manier is een Excel of Winword bestand beveiligd? Gaat er daadwerkelijk een encryptielaag overheen aan de hand van het wachtwoord?

[ Voor 51% gewijzigd door Trommelrem op 22-09-2014 13:58 ]

De grootste moeite met password managers vind ik: Hoe weet ik dat ze niet aan de haal gaan met mij wachtwoorden? Je kunt nog zo'n goede encryptie toepassen, als de password manager de master key in handen heeft kunnen ze zo bij alles. Wat is voor jullie de reden dat jullie zo'n manager vertrouwen?

omgwtfbbq schreef op maandag 22 september 2014 @ 11:25:
De grootste moeite met password managers vind ik: Hoe weet ik dat ze niet aan de haal gaan met mij wachtwoorden? Je kunt nog zo'n goede encryptie toepassen, als de password manager de master key in handen heeft kunnen ze zo bij alles. Wat is voor jullie de reden dat jullie zo'n manager vertrouwen?

Vetrouwen vind ik een groot woord maar ik heb geen reden ze enorm te wantrouwen. Daarnaast, wat is je alternatief? Een lijstje op je PC thuis bijhouden? Hele zwakke en voorspelbare maar makkelijk te onthouden wachtwoorden gebruiken? Overal hetzelfde wachtwoord?

Ik heb nu 131 entries in 1Password en ben vast nog geen grootgebruiker wat dat betreft. Ik onthoud dat allemaal niet hoor. En het zou toch raar zijn als een bedrijf dat zijn geld verdient met het veilig opslaan van wachtwoorden dat zelf om zeep gaat helpen door er onzorgvuldig mee om te gaan? Punt is, in theorie heb je gelijk, in de praktijk maak ik me niet zo druk om dat soort dingen. Voor de echt belangrijke zaken gebruik ik steeds meer 2 factor authentication ook, dus veel succes dan met dan ene wachtwoord mocht het in je bezit komen.

Ik gebruik zelf LastPass op het moment maar zit er stevig over na te denken om weer terug te gaan naar KeePass.

Ten eerste heeft de firefox plugin een bug waardoor je niet kan kiezen tussen verschillende accounts als je meerdere accounts hebt op 1 site.
Verder hou ik er van mijn accounts op te delen in categorieen. Bij het toevoegen van een wachtwoord kun je zo'n categorie netjes kiezen. Echter als je 'categoriepath' wat langer wordt is er geen manier om te bekijken wat het langere path is en weet je dus nooit zeker in welke categorie je hem zet.

Ook ben ik niet echt fan van het feit dat alles in de cloud wordt opgeslagen. Ze zullen vast veel tijd besteden aan hun security maar er gaat een moment komen dat ze gehacked worden. Dan heb ik liever de password file zelf in handen.

KeePass lijkt dit allemaal wat beter voor elkaar te hebben. Bovendien is het daar erg makkelijk om 2 verschillende databases (persoonlijk en werkgerelateerd) naast elkaar open te hebben maar toch los te beheren.
Nadeel vind ik dan weer dat de browser plugins niet beheer worden door de makers van KeePass zelf. Kunnen dus zomaar breken en nauwelijks garantie dat dat gefixed wordt.

Servor schreef op maandag 22 september 2014 @ 11:33:
En het zou toch raar zijn als een bedrijf dat zijn geld verdient met het veilig opslaan van wachtwoorden dat zelf om zeep gaat helpen door er onzorgvuldig mee om te gaan?

Eén woord: DigiNotar. Soms weten bedrijven zelfs hun core business hopeloos te verprutsen.

kramerty88 schreef op maandag 22 september 2014 @ 21:48:
[...]


Een van de redenen waarom KeePass zo populair is, is dat het open-source is. Mocht iemand daar een backdoor in bouwen zijn er scala devvers die dat binnen no time ontdekken (als hij het überhaupt al gecommit krijgt). Van derde oartijen is het de vraag, maar zolang ik mijn DB op mijn schijf kan houden heb ik voldoende vertrouwen. In de cloud een stuk minder.

was er niet iets met laatst met TrueCrypt nofi hoor maar omdat iets open source is wil niet zeggen dat kwaadwillende er geen backdoor in kunnen bouwen.

Ok, simpele vraag misschien maar aangezien ik ook maar eens overschakel naar keepass voor de veiligheid. Welke keepass is beter de 1.* versie of de 2.* versie. Of is hier gewoon vrijwel geen verschil in behalve de software waar het gebruik van maakt? Maar dan nog is mijn vraag welke gebruiken jullie/zouden jullie gebruiken?

Hier KeePassX op m'n MacBook. Fijn programma.
Op m'n Android toestel gebruik ik KeePassDroid. Vind de interface niet bepaald mooi, maar het werkt...
De database heb ik op Dropbox staan zodat ik er overal bij kan.

Heb nog heel even LastPass gebruikt (dus wachtwoorden in de cloud) maar geen zin om voor de app te betalen. En heb toch liever m'n wachtwoorden in eigen beheer.
1Password ook bekeken, dat ziet er super gelikt uit, maar heb er gewoon geen $50 voor over als ik het ook gratis met KeePass kan. Dan maar een wat mindere interface.

Heb er overigens niet alleen wachtwoorden in staan, ook serienummers van softwarepakketten, en serienummers van hardware zoals m'n camera, framenummer fiets etc

Misschien in de TS er nog even bij zetten welke managers betaald zijn en welke gratis? (even in een tabelletje zetten voor de leesbaarheid )

[ Voor 67% gewijzigd door ThinkPad op 24-09-2014 16:13 ]

Leuk topic. Gebruik zelf lastpass, tot op heden tevreden over en werk veelal prima. Maar het argument dat open source veiliger is omdat er niet zomaar een backdoor in gebouwd kan worden vind ik wel een sterk argument.

Volgens mij worden de wachtwoorden in de Cloud bij Lastpass ook versleuteld, dus al worden ze gehacked hebben ze nog niet zomaar de wachtwoorden.

Nadeel van het niet opslaan in de Cloud is volgens mij dat de sleutel dus ook op je eigen pc staat. Dus als die gehacked wordt, hoe veilig zijn je wachtwoorden dan nog?

Ik heb nooit verder gekeken dan 1Password. Het was de allereerste password manager die ik gebruikte en die ik nu dus nog steeds gebruik. Ik heb 2x geluk gehad, voor €15,- kon ik de OS X versie kopen en voor €4,99 de iOS versie. Die laatste is trouwens wel erg makkelijk in het gebruik geworden door Touch ID functionaliteit.

Heerlijk om in twee tellen een ongelooflijk sterk wachtwoord te genereren en die gelijk op te slaan. Ook bestaande wachtwoorden veranderen is een fluitje van een cent. Bij de bevestiging van de verandering, krijg ik een pop-up van 1Password of ik het wachtwoord van de desbetreffende login wil updaten.

Ik synchroniseerde eerst mijn wachtwoorden met Dropbox, maar die heb ik later overgezet op iCloud. Ik voelde me daar iets veiliger bij (puur gevoel).

De reacties gaan vooral over persoonlijke wachtwoord-databases heb ik het idee. Wat gebruikt men zakelijk, en hoe tevreden ben je daarmee dan? Ik ben nu bezig om "Password Manager Pro MSP edition" te testen. We willen graag van alle excel-documenten, en zelfs van de individuele Keepass-files af. In deze nieuwe tool zitten functies als automatisch melding van wachtwoorden die verlopen, en het wijzigen ervan met een agent. Ik ben nu vooral aan het stoeien met de rechtenstructuur...

http://features.en.softon...word-dashlane-or-lastpass

Leuke vergelijking tussen drie grote passwordmanager.

Ik ben ongeveer 2 jaar geleden overgegaan naar een wachtwoordenkluis omdat een database gekraakt was. Voor de meeste accounts had ik namelijk hetzelfde password in gebruik. Ik weet overigens niet meer welk bedrijf er gegevens op straat had gegooid maar om ellende te voorkomen ben ik overgegaan op KeePass en heb alle wachtwoorden veranderd. Ik gebruik een wachtwoord en een keyfile op de database. Deze wordt gesyncd via dropbox maar de key file uiteraard niet.

De meeste accounts zijn gelinkt naar mijn e-mail en daar is twee staps verificatie nodig om binnen te komen. Accountgegevens van belangrijke dingen zoals internetbankieren en DigiD heb ik alleen in mn hoofd zitten.

Verder heb ik nog een versleutelde USB stick met een draagbare KeePass installatie maar die gebruik ik maar sporadisch.

Ik ben vrij tevreden over KeePass. Er zijn twee nadelen en die zijn dat ik niet even snel op andere computers kan inloggen zonder mijn USB stick en de integratie op mijn telefoon (android 4.3) is heel slecht. De paar wachtwoorden die ik op mn telefoon nodig had zijn handmatig overgetypt uit de database en dat is nogal foutgevoelig.

De reden dat ik begonnen ben Lastpass te gebruiken is omdat we dit zakelijk wilde gaan gebruiken.

Dit werkt op zich best wel mooi. Je kan mensen een bepaalde rol geven. Opbasis van die rol zijn dan weer bepaalde wachtwoorden beschikbaar. Ook kun je bijvoorbeeld afdwingen dat wachtwoorden een bepaalde sterkte hebben en heb je dingen als AD integratie.

Nadeel is echter dat het onderhoud ervan natuurlijk aardig wat tijd kost. Iemand binnen het bedrijf moet dit allemaal onderhouden, paswoorden toevoegen, mensen rollen toekennen etc etc
Bovendien is het ook weer niet heel goedkoop (24$ per user/per jaar). Voor zakelijk gebruik misschien niet heel veel geld maar je moet wel heel veel wachtwoorden hebben wil je dit eruit halen.

Uiteindelijk zijn we hier dus niet voor gegaan maar mocht je echt serieus met een company password manager aan de slag willen denk ik dat dit wel een serieuze optie is.

DennusB schreef op maandag 22 september 2014 @ 11:24:
[...]


Bij 1Password word je na x pogingen gewoon tijdelijk geblokkerd, Excel niet. En besides : Voor Excel (evenals ZIP Files enz) zijn er kant en klare tools die gewoon net zo lang door gaan tot ze je file open hebben...

Trommelrem schreef op maandag 22 september 2014 @ 11:25:
[...]

Oke, dat vind ik interessant. Hoe kan de database zichzelf beschermen en zichzelf ontoegankelijk maken? Heb je er wellicht een bron van?

Heeft iemand hier wellicht nog een antwoord op? Bestaat er data die zichzelf zonder de bijbehorende programmatuur kan vernietigen? Kan de data bijvoorbeeld snapshots herkennen en zichzelf uit alle snapshots vernietigen?

Ik gebruik KeePass met, hopelijk, een goed master wachtwoord ingesteld. De database zelf staat in mijn dropbox. Als extra beveiliging werk ik met een keyfile, die staat niet op dropbox, maar op ieder apparaat zelf. In een andere map buiten dropbox om, want die mag niet synchroniseren

Mijn PC, laptop, tablet en telefoon synchroniseren de KeePass folder van dropbox, zodat ieder apparaat altijd een recente versie heeft. (Telefoon en tablet 1x per dag, rest automatisch)
En daarnaast maak ik nog 1x per maand een kopie van de database, mocht hij corrupt raken of wat dan ook, dan ben ik niet alles kwijt

Zonder keyfile heb je, als de implementatie van KeePass goed is, hopelijk niets aan de database zelf.
Dus daarom vertrouw ik het wel dat de database bij dropbox staat.

Tevens handig, al kan het in Excel, maar KeePass is leuker Registratie van serienummers, verloop data van bijv je creditcard, rijbewijs etc.

kramerty88 schreef op maandag 22 september 2014 @ 11:12:
Al met al ben ik zeer tevreden over 1Password, maar zeker ook niet ongelukkig over KeePass. Voor iemand die een customisable PWM wil is KeePass een goede keuze. Voor iemand die niet al te veel wil nadenken is de gratis versie van 1Password toereikend. Voor de mensen die alles willen opslaan in de DB heb je voor 8,99 de upgrade naar Premium. Ik heb deze genomen, maar op zich is het niet nodig.

Voor zover ik kan zien is 1Password toch niet gratis?
https://agilebits.com/store

Een al iets ouder topic, maar ik vind het toch de moeite waard om even wat toe te voegen.

Ik gebruik sinds ik ben overgestapt van iOS naar Windows Phone ook een andere password manager: Password Padlock. De manager is beschikbaar op Windows Phone maar ook in de 'gewone' Windows store voor op je desktop. Hij synct eventueel via OneDrive.

De app ziet er simpel en strak uit, en is vanuit het oogpunt van een touchdevice gemaakt. Hij doet wat 'ie moet doen en meer niet. Er zit een ingebouwde wachtwoorden generator in. Je kunt zelf instellen hoeveel karakters hij moet genereren en wanneer je een wachtwoord genereert vraagt 'ie of je ook 'special characters' wilt includen. Bijgevoegd even een schreenshotje van de app.

kramerty88 schreef op zondag 21 september 2014 @ 16:50:
Het onthouden van meerdere wachtwoorden vergt echter veel van je geheugen, zeker nu voor elke website/bestelling/account een login nodig is.

Je kunt het ook wat makkelijker maken voor jezelf. Denk bijvoorbeeld aan een standaard conventie voor nieuwe wachtwoorden, waarbij je een deel hetzelfde houdt en een deel uniek maakt specifiek voor de website waarop je een account aanmaakt.

Bijvoorbeeld de passphrase: simsalabim laat me bij tweakers.net erin

Dit is natuurlijk niet de allerveiligste manier, immers mocht het wachtwoord onversleuteld zijn opgeslagen, kan een slimme dief bedenken dat je voor je Facebook account dan gebruikt: simsalabim laat me bij facebook.com erin

Echter voor websites waar dit niet tot hele grote impact zou kunnen leiden is dat een prima manier om toch hele veilige wachtwoorden te maken (passphrases zijn op technische wijze zo goed als niet te kraken), die toch heel erg makkelijk te onthouden zijn, doch uniek voor elke site.

Daarnaast is het veranderen van wachtwoorden een crime, iets wat toch nodig blijkt door de vele hacks, leaks en affaires als heartbleed.

Ja wil je regelmatig wachtwoorden aanpassen kost dat gewoon veel tijd. Password managers nemen dat probleem echter niet weg. Je zult nog altijd zelf eens in de zoveel tijd naar de websites waar jij accounts op hebt toe moeten om daar het wachtwoord aan te passen.

Die controle op de zaak kost helaas gewoon veel tijd en moeite. Wat voor mij wel prettig werkt is even de moeite nemen om ook gewoon accounts op te laten heffen. Hoe vaak maak je wel eens een accountje aan om iets te doen, bijvoorbeeld een eenmalige bestelling bij een webshop of een forumberichtje waar je daarna nooit meer terugkomt? Nadat je deze dingen hebt gedaan, en er van bent overtuigd dat je ze niet vaker nodig zult hebben, kun je beter een paar minuten de moeite doen om je account op te laten heffen, zodat je er zeker van bent dat hacks/leaks/affaires van de betreffende sites waarschijnlijk geen betrekking op jou zullen hebben.

Voordelen
[list]
• Extreem moeilijke wachtwoorden kunnen gebruikt worden voor alle accounts (je hoeft ze toch niet te onthouden)
• Door de encryptie moeilijk te kraken

Toch zou ik oppassen met het gebruiken van extreem moeilijke wachtwoorden. Mocht je ooit in die situatie zijn dat je niet je password manager bij de hand hebt (denk bijvoorbeeld in een situatie waar je niet achter een eigen computer zit, of niet kunt synchroniseren omdat er geen internet is, etc) dan kan dat wel eens zeer problematisch uitpakken als je op een bepaald moment toch moet inloggen op een account. Bovenstaande soort passphrases kan dan een uitkomst bieden.

Daarnaast zijn extreem moeilijke wachtwoorden eigenlijk niet echt veilig, in die zin dat complexiteit voor een computer weinig relevant is bij het kraken van wachtwoorden (zie https://xkcd.com/936/, https://howsecureismypassword.net/, en https://www.freerainbowtables.com/nl/tables2/). Lange (en tevens makkelijker te onthouden) passphrases zijn veel veiliger.

Of dat de encryptie die gebruikt wordt in een tool niet makkelijk is te kraken hangt veelal samen met de gebruikte implementaties. Een tool kan roepen dat het AES128 beveiliging gebruikt, maar als de implementatie ervan zwak is kan het dus alsnog gekraakt worden. Een belangrijk uitgangsprincipe hierbij is het Kerckhoff's principle (Wikipedia: Kerckhoffs's principle): een systeem moet nog steeds helemaal veilig zijn als de ins- en outs helemaal 'open' zijn behalve de sleutel bekend. Met andere woorden, je kunt pas de beveiliging van software alleen goed controleren als deze een open source heeft. De afweging moet iedereen natuurlijk voor zichzelf maken maar IMHO vallen alle niet-open source password managers eigenlijk al meteen af en wel om die reden.

Password Managers op de markt

Zoals gezegd zou ik gaan voor een open source tool. Keepass was de enige in de lijst die dat was. Andere die je kunt overwegen staan in deze lijst: Wikipedia: List of password managers en als je Firefox gebruiker bent kun je hun Sync dienst overwegen.

Cloudstorage wel of niet?

Van de bovenstaande Password Managers zijn er een aantal die webbased zijn, of de mogelijkheid bieden via de cloud wachtwoorden te synchroniseren. Is dit handig? Zelf heb ik hier een duidelijke mening over; ja handig, maar nee absoluut niet te adviseren. Je geeft al je inloggegevens uit handen aan een derde partij waarvan je niet weet wat ermee gebeurt.
Toch is dat slechts mijn mening, wat vinden jullie?

In de basis denk ik dat die systemen wel redelijk veilig zijn. Dit soort cloudpartijen hebben immers veel te verliezen als hun klantdata lekt, met potentieel grote gevolgen en mogelijk schadeclaims. Als het goed is neemt de user agent (jij) de encryptie op zich en verstuurd alleen de versleutelde wachtwoorden naar de cloudprovider ter opslag. Echter, omdat het vrijwel allemaal om closed source diensten gaat, valt dat nooit helemaal te controleren. Zeker met de openbaringen van afgelopen tijd kun je er niet meer zomaar van op aan dat (en dan met name de aanbieders uit de VS) niet onvrijwillig moeten meewerken met back-doors enzovoorts.

Syncen via iCloud, Dropbox, Sugansync, etc. is dat dan wel een optie? Ik heb genoeg vertrouwen in de encryptie dat ik mijn database op dropbox heb staan. Toch ben ik nieuwsgierig naar de mening van de mede-tweakers.

Ja dat is een optie, maar of deze veilig genoeg is, is een afweging die ieder voor zichzelf moet maken. In principe zijn Keepass databases makkelijk te herkennen aan het file type (ja, zelfs als je de extensie aanpast). In theorie kan cloud storage dienst zelf (of door een hack, of wanneer zij daartoe gedwongen wordt) scannen naar deze bestanden en ze 'veilig stellen'. Ondanks dat bepaalde vormen van encryptie op die ogenblik als veilig worden beschouwd, kunnen ze met de rekenkracht over pak hem beet 20/30 jaar mogelijkerwijs wel worden gekraakt. En mogelijk dus eerder als er toch fouten blijken te zitten in de implementatie (open source neemt dat risico niet per definitie weg natuurlijk). Dat moet je dus altijd in je achterhoofd houden.

Voor de meeste eindgebruikers is dat geen groot probleem. Heck, de meeste websites die jij vandaag bezoekt zullen er over 20/30 jaar niet meer zijn. Als internet in zijn huidige vorm überhaupt nog bestaat. En tenzij je een één of andere dissident bent onderhevig aan onderzoek, zal de gemiddelde overheid ook geen interesse tonen in jouw password databaseje (die ze pas over heel wat jaar kan openen, if). Daarnaast kan internet opslag juist uitkomst zijn voor iemand die het risico groot acht dat lokale opslag niet veilig is, en het juist daarom 'in de cloud' neerzet. Elk voordeel heb z'n nadeel zeg maar

Ik "gebruik" nu ongeveer 8-10 maand 1Password. Ik heb deze toen gedownload via een niet legale manier, dit echter terzijde.

De items die ik erin opgeslagen heb zijn er maar een paar. Toen puur om te testen of alles naar wens verloopt. Ik vind het een prima manager die toch wel voldoet aan mijn wensen en ik zit er nu over te denken om straks de legale versie uit de Appstore te downloaden(ik draai OSX).

Ik vroeg me eigenlijk nog iets af. Zoals ik zei heb ik er nu alleen wat site's/forums in staan zoals Tweakers, Facebook en LinkedIn. Niets bijzonders vooralsnog.
Maar hebben jullie ook je wachtwoorden van je e-mail(s), Google account, DigiD, Dropbox/iCloud of bijvoorbeeld kopieen van paspoorten of ID-bewijzen in jullie password manager zitten? En hoe veilig is dit. Zoals Dropbox en Google kan je gebruik maken van de 2-stap-authenticatie wat eigenlijk een uitgelekt wachtwoord minder waardevol maakt.

Ik hoor graag jullie mening. Goed topic, had er al eerder naar gezocht maar toen was er nog niets.

^Weet je zeker dat je met de normale functionaliteit te maken hebt, gezien de bron? Klopt iig de hash van dat bestand?

Trezzahn schreef op woensdag 12 november 2014 @ 08:40:
Ik "gebruik" nu ongeveer 8-10 maand 1Password. Ik heb deze toen gedownload via een niet legale manier, dit echter terzijde.

De items die ik erin opgeslagen heb zijn er maar een paar. Toen puur om te testen of alles naar wens verloopt. Ik vind het een prima manager die toch wel voldoet aan mijn wensen en ik zit er nu over te denken om straks de legale versie uit de Appstore te downloaden(ik draai OSX).

Ik vroeg me eigenlijk nog iets af. Zoals ik zei heb ik er nu alleen wat site's/forums in staan zoals Tweakers, Facebook en LinkedIn. Niets bijzonders vooralsnog.
Maar hebben jullie ook je wachtwoorden van je e-mail(s), Google account, DigiD, Dropbox/iCloud of bijvoorbeeld kopieen van paspoorten of ID-bewijzen in jullie password manager zitten? En hoe veilig is dit. Zoals Dropbox en Google kan je gebruik maken van de 2-stap-authenticatie wat eigenlijk een uitgelekt wachtwoord minder waardevol maakt.

Ik hoor graag jullie mening. Goed topic, had er al eerder naar gezocht maar toen was er nog niets.

Ik heb al mijn accounts erin zitten ja. Geen kopieën van paspoort of ID-bewijs, maar die heb ik sowieso niet.

Ik denk zelf dat de sterkte van de Vault wachtwoord de veiligheid ervan bepaalt.
Mocht men op de één of andere manier aan jouw Vault kunnen komen (gehackt Dropbox / iCloud account of gestolen en gehackte computer / mobiele device; wat allen dus al niet echt makkelijk is ), dan hebben ze alleen je Vault, zonder erin te kunnen.

Ik vermoed dat het dus wel snor zit.

RnB schreef op woensdag 12 november 2014 @ 21:56:
[...]


Ik heb al mijn accounts erin zitten ja. Geen kopieën van paspoort of ID-bewijs, maar die heb ik sowieso niet.

Ik denk zelf dat de sterkte van de Vault wachtwoord de veiligheid ervan bepaalt.
Mocht men op de één of andere manier aan jouw Vault kunnen komen (gehackt Dropbox / iCloud account of gestolen en gehackte computer / mobiele device; wat allen dus al niet echt makkelijk is ), dan hebben ze alleen je Vault, zonder erin te kunnen.

Ik vermoed dat het dus wel snor zit.

Oke, bedankt voor je reactie.

Heb 'm inmiddels aangeschaft. Nog steeds tevreden, iets wat ik al was. Heb vrijwel bij alles 2 stap authenticatie aanstaan. Dus das extra veilig.

Ik ga er ook maar eens aan geloven en het testen

Wat ik me onlangs af vroeg he.. Stel je wordt getroffen door een keylogger. In hoeverre ben je dan beveiligd?

Ik heb als goed is/volgens mij wel 2 staps verificatie bij Dropbox. Maar is dit dat het enige wat je dan veilig houdt als je een keylogger op je systeem hebt? Ik draai overigens OSX. Niet dat ik daarmee uitsluit dat ik niet kan worden getroffen, maar ben er wellicht wel minder vatbaar voor.

Ik gebruik KeePass al jaren met alleen een wachtwoord op de MasterDatabase.
Er zitten circa 400 wachtwoorden in. Ik zorg altijd dat er voldoende gesyncte kopieën zijn al dan niet op truecrypt beveiligde partities / USB sticks. Ik bewaar geen kopie in de cloud en heb op mijn android 5 GSM een extractie uit de database staan, met alleen de wachtwoorden van wifi netwerken / social media / email etc wat ik op de mobiel nodig heb. Alle andere wachtwoorden (waaronder de "financiele" of prive (zoals digid etc) zijn daar niet op te vinden.

Ik dacht hiermee voldoende veilig te zijn, maar nu als ik vanmorgen dat de Keepass database door het citadel trojan middels een keylogger uitgelezen kan worden.
Bron

Ik wil dus nu eigenlijk gebruik gaan maken van een Keyfile.
De vragen zijn, helpt dit voldoende en zo ja, hoe pak je dit precies aan.
Ik kan zo'n keyfile genereren, maar je ziet in het openingsscherm van keepass staan welke file dit is en waar die staat. Biedt dit dan wel garantie tegen zo'n trojan, als ze het inlogscherm van keepass kunnen afvangen en een keylogger hebben, dan hebben ze toch nog alle info of zie ik dat verkeerd?

Hoe werkt dat nu precies met zo'n keyfile?

Natuurlijk klopt het als ze ook de keyfile hebben dat ze dan alles hebben. Maar als je de keyfile fysiek gescheiden houdt van de database, bv op een stick of SD kaart en je stopt die pas in de PC als je keepass wilt gaan gebruiken en deze daarna er weer uithaalt, dan lijkt mij dit toch veiliger te zijn dan wanneer je geen keyfile gebruikt.

In het geval van de citadel trojan helpt niets.

Je kan een onmogelijk moeilijk wachtwoord gebruiken, met keyfile en voor mijn part six-factor-authentication.
De trojan word actief zodat jij het keepass programma start. Je mag met een aan zekerheid grenzende waarschijnlijkheid verwachten dat je dat doet om een wachtwoord op te vragen uit de database, en de trojan leest vrolijk mee.

Lijkt me een relatief simpel klusje om een plain text export van de database te maken en deze te versturen zonder dat de gebruiker er ook maar iets van merkt.

Keepass start met Windows; dus dan zou die keylogger alles moeten afvangen, als ik keypass activeer, dat doe ik met de muis dan pas geef ik het hoofdwachtwoord in. Alle onveilige bewerkingen in keepass staan uit, dus een plain text export maken is niet zomaar mogelijk. Een username/wachtwoord combinatie haal ik meestal met de muis of via alleen ctrl-v uit keepass en aangezien ctrl-v tig keer gebruikt wordt moet die trojan maar net weten wanneer die uit keepass komt.

Als ik voordat ik keepass activeer de keyfile middels een USB/SD beschikbaar maak; dan m'n ding doe waarvoor ik een wachtwoord nodig heb, keepass deactiveer en de keyfile weer fysiek verwijder dan moet dat trojan toch wel heel veel kunnen en dat zonder dat ik dat allemaal merk.....

Is het niet mogelijk om de db te unlocken met een smartcardreader met ingebouwd toetsenbord?

Nakebod schreef op donderdag 09 oktober 2014 @ 12:22:
Ik gebruik KeePass met, hopelijk, een goed master wachtwoord ingesteld. De database zelf staat in mijn dropbox. Als extra beveiliging werk ik met een keyfile, die staat niet op dropbox, maar op ieder apparaat zelf. In een andere map buiten dropbox om, want die mag niet synchroniseren

Mijn PC, laptop, tablet en telefoon synchroniseren de KeePass folder van dropbox, zodat ieder apparaat altijd een recente versie heeft. (Telefoon en tablet 1x per dag, rest automatisch)
En daarnaast maak ik nog 1x per maand een kopie van de database, mocht hij corrupt raken of wat dan ook, dan ben ik niet alles kwijt

Zonder keyfile heb je, als de implementatie van KeePass goed is, hopelijk niets aan de database zelf.
Dus daarom vertrouw ik het wel dat de database bij dropbox staat.

Tevens handig, al kan het in Excel, maar KeePass is leuker Registratie van serienummers, verloop data van bijv je creditcard, rijbewijs etc.

Idem hier, de keyfile heb ik echter wel op diverse apparaten (lokaal) gezet (soort back-up).

Keyfile corrupt = tranen

Naar aanleiding van mijn post nog meer mensen die zich dit afvragen. Trezzahn in "[Password Managers] Discussie- en reviewtopic"

Echter, ik gebruik 1Password op OSX. Ik heb mijn Dropbox account niet in de database van 1PW staan. Tevens gebruik ik 2 staps authenticatie bij Dropbox middels een sms-code. Dan is het toch niet mogelijk om, volgens dat artikel gaat het niet om 1PW(maar dat terzijde), dat ze iets kunnen met je master password?
Ze kunnen dan sowieso niet bij de datebase zelf.

TommyGun schreef op maandag 24 november 2014 @ 16:10:
[...]


Idem hier, de keyfile heb ik echter wel op diverse apparaten (lokaal) gezet (soort back-up).

Keyfile corrupt = tranen

Dan heb je toch de wachtwoord vergeten functie?

[ Voor 22% gewijzigd door Trezzahn op 24-11-2014 18:54 ]

Trezzahn schreef op maandag 24 november 2014 @ 18:53:
Dan heb je toch de wachtwoord vergeten functie?

Heb je een hidden feature in Keepass ontdekt?

Ik gebruik zelf een met vingerafdruk geëncrypte usb-stick met mijn keepass file erop. Dat vind ik zelf persoonlijk het veiligst. Ik zat er nog over na te denken om die keepass file in een truecrypt folder te zetten, maar zal dat nodig zijn?

Ik heb inmiddels 2 bijna twee jaar een passwordmanager, KeePass, in gebruik. Ik ben blij dat het eindelijk een beetje begint in te geraken en dat mensen het nut ervan gaan inzien.

Ik snap alleen de tegen-argumenten soms niet.

"Ik gebruik geen password manager omdat dan als iemand de database heeft hij al mijn accounts heeft". Sorry maar raar argument. Wat is het grootste risico van het internet? Eén van de sites waar jij een account hebt wordt gehackt, jij gebruikt overal (min-of-meer) dezelfde wachtwoorden. Hackers kunnen daarna makkelijk je hele leven overhoop gooien door bijvoorbeeld je email-account over te nemen. Gerichte hackpogingen, waarbij iemand actief probeert om je lokale PC en database binnen te komen zijn zeer schaars.

Trezzahn schreef op woensdag 12 november 2014 @ 08:40:
Ik "gebruik" nu ongeveer 8-10 maand 1Password. Ik heb deze toen gedownload via een niet legale manier, dit echter terzijde.

De items die ik erin opgeslagen heb zijn er maar een paar. Toen puur om te testen of alles naar wens verloopt. Ik vind het een prima manager die toch wel voldoet aan mijn wensen en ik zit er nu over te denken om straks de legale versie uit de Appstore te downloaden(ik draai OSX).

Ik vroeg me eigenlijk nog iets af. Zoals ik zei heb ik er nu alleen wat site's/forums in staan zoals Tweakers, Facebook en LinkedIn. Niets bijzonders vooralsnog.
Maar hebben jullie ook je wachtwoorden van je e-mail(s), Google account, DigiD, Dropbox/iCloud of bijvoorbeeld kopieen van paspoorten of ID-bewijzen in jullie password manager zitten? En hoe veilig is dit. Zoals Dropbox en Google kan je gebruik maken van de 2-stap-authenticatie wat eigenlijk een uitgelekt wachtwoord minder waardevol maakt.

Ik hoor graag jullie mening. Goed topic, had er al eerder naar gezocht maar toen was er nog niets.

Ik heb gewoon al mijn accounts in mijn password manager staan. Het is veiliger dan overal hetzelfde wachtwoord gebruiken. En natuurlijk ultrastom om een password manager illegaal te downloaden, maar dat had je zelf ook al wel door hoop ik. Op die manier weet je nooit of je wat je hebt kan vertrouwen of dat je computer niet al compromised is.

ebia schreef op zaterdag 08 november 2014 @ 14:03:
[...]

Je kunt het ook wat makkelijker maken voor jezelf. Denk bijvoorbeeld aan een standaard conventie voor nieuwe wachtwoorden, waarbij je een deel hetzelfde houdt en een deel uniek maakt specifiek voor de website waarop je een account aanmaakt.

Bijvoorbeeld de passphrase: simsalabim laat me bij tweakers.net erin

Dit is natuurlijk niet de allerveiligste manier, immers mocht het wachtwoord onversleuteld zijn opgeslagen, kan een slimme dief bedenken dat je voor je Facebook account dan gebruikt: simsalabim laat me bij facebook.com erin

Echter voor websites waar dit niet tot hele grote impact zou kunnen leiden is dat een prima manier om toch hele veilige wachtwoorden te maken (passphrases zijn op technische wijze zo goed als niet te kraken), die toch heel erg makkelijk te onthouden zijn, doch uniek voor elke site.

Een wachtzin bedenken is zeker veiliger dan een "standaard" wachtwoord van een woord, twee letters en een leesteken, maar waarom niet gewoon een password manager gebruiken?

Ja wil je regelmatig wachtwoorden aanpassen kost dat gewoon veel tijd. Password managers nemen dat probleem echter niet weg. Je zult nog altijd zelf eens in de zoveel tijd naar de websites waar jij accounts op hebt toe moeten om daar het wachtwoord aan te passen.

Ja en nee. Een password manager stelt je in staat om overal unieke wachtwoorden te hebben, dat betekent dus dat je niet, zodra een site gehackt is, je met stressal je accounts langs moet om een nieuw wachtwoord te verzinnen voordat je e-mail gehackt wordt. Natuurlijk moet je nog steeds regelmatig je wachtwoorden veranderen, maar dat kan je dan op je eigen tijd doen.

Die controle op de zaak kost helaas gewoon veel tijd en moeite. Wat voor mij wel prettig werkt is even de moeite nemen om ook gewoon accounts op te laten heffen. Hoe vaak maak je wel eens een accountje aan om iets te doen, bijvoorbeeld een eenmalige bestelling bij een webshop of een forumberichtje waar je daarna nooit meer terugkomt? Nadat je deze dingen hebt gedaan, en er van bent overtuigd dat je ze niet vaker nodig zult hebben, kun je beter een paar minuten de moeite doen om je account op te laten heffen, zodat je er zeker van bent dat hacks/leaks/affaires van de betreffende sites waarschijnlijk geen betrekking op jou zullen hebben.

Is ook geen waterdichte oplossing, je weet namelijk niet of sites je account echt opheffen of gewoon met een boolean flag op inactief zetten.

[...]

Toch zou ik oppassen met het gebruiken van extreem moeilijke wachtwoorden. Mocht je ooit in die situatie zijn dat je niet je password manager bij de hand hebt (denk bijvoorbeeld in een situatie waar je niet achter een eigen computer zit, of niet kunt synchroniseren omdat er geen internet is, etc) dan kan dat wel eens zeer problematisch uitpakken als je op een bepaald moment toch moet inloggen op een account. Bovenstaande soort passphrases kan dan een uitkomst bieden.

In twee jaar geen last van gehad. En 140 (aantal entries in mijn database) unieke wachtzinnen onthouden is ook niet echt makkelijk.

Daarnaast zijn extreem moeilijke wachtwoorden eigenlijk niet echt veilig, in die zin dat complexiteit voor een computer weinig relevant is bij het kraken van wachtwoorden (zie https://xkcd.com/936/, https://howsecureismypassword.net/, en https://www.freerainbowtables.com/nl/tables2/). Lange (en tevens makkelijker te onthouden) passphrases zijn veel veiliger.

Volgens mij maakt dat nauwelijks iets uit. Bovendien, je doel is niet om onkraakbare wachtwoorden te maken, maar om bij die 5% van accounts te komen waar de hacker denkt van "Laat maar zitten die duren me te lang".

- "Ye4o9rH$e^\Q?ZK`M:f-Em3C:3Xn;V.o8~itnWA*~" >> It would take a desktop PC about 14 vigintillion years to crack your password
- "simsalabim laat me bij tweakers.net erin" It would take a desktop PC about 10 quindecillion years to crack your password

[...]


Ja dat is een optie, maar of deze veilig genoeg is, is een afweging die ieder voor zichzelf moet maken. In principe zijn Keepass databases makkelijk te herkennen aan het file type (ja, zelfs als je de extensie aanpast). In theorie kan cloud storage dienst zelf (of door een hack, of wanneer zij daartoe gedwongen wordt) scannen naar deze bestanden en ze 'veilig stellen'. Ondanks dat bepaalde vormen van encryptie op die ogenblik als veilig worden beschouwd, kunnen ze met de rekenkracht over pak hem beet 20/30 jaar mogelijkerwijs wel worden gekraakt. En mogelijk dus eerder als er toch fouten blijken te zitten in de implementatie (open source neemt dat risico niet per definitie weg natuurlijk). Dat moet je dus altijd in je achterhoofd houden.

Moet je dat echt in je achterhoofd houden of is dat te verwaarlozen, zoals ik eerder al zei is het grootste gevaar dat een site waar iemand een account hebt gehackt wordt er en een hacker losgaat op de hashes. Mijn doel is dan om bij de laatste % te komen, waarvan de hacker zegt na een week zijn Radeon te hebben laten brommen, dat ie wel genoeg wachtwoorden heeft om ongein mee uit te halen.

Trommelrem schreef op maandag 22 september 2014 @ 11:25:
[...]

Oke, dat vind ik interessant. Hoe kan de database zichzelf beschermen en zichzelf ontoegankelijk maken? Heb je er wellicht een bron van?

Als een database zichzelf kan beschermen, dan zou de muziekindustrie niet eens meer een centrale DRM-server nodig hebben. Of bedoel je dat het programma de toegang tot de database blokkeert? Dat is natuurlijk flutbeveiliging, want dan kun je ook gewoon zelf de database openen om het programma heen. Dat schept ook schijnveiligheid, en mogelijk is Excel dan automatisch veiliger, omdat de gebruiker voorzichtiger zal omgaan met z'n Excel dan met z'n passwordmanager: "oow, dat programma blokkeert automatisch dus kopieer het maar 100x," niet wetende dat de blokkade makkelijk kan worden omzeild door alleen al snapshots te maken of gewoon de database direct te benaderen.

Volgens mij denken gebruikers niet zo. Gebruiken zien een password dialoog en dat moeten ze invullen om verder te mogen. Verder dan dat denken gebruikers niet.

Voor een "beveiligde" USB stick zijn er ook al vele Tools om ze te kraken en het bruteforcen wordt makkelijk gemaakt door een simpele aanpassing. Eigenlijk zegt mijn gevoel dat Excel beter te vertrouwen is dan een of andere random applicatie die nog niet zo lang op de markt is, onder andere omdat men met Excel automatisch meer voorzichtigheid in acht neemt. Daarom de vraag: op welke manier is een Excel of Winword bestand beveiligd? Gaat er daadwerkelijk een encryptielaag overheen aan de hand van het wachtwoord?

Ik denk dat je gevoel nog eens moet checken Je moet bij beide methodes voorzichtig zijn met de databases. Overigens kan de encryptie blijkbaar vrij makkelijk gekraakt worden: http://en.wikipedia.org/w...ffice_password_protection

Natuurlijk bieden password managers nog extra's zoals auto-fill, history en password generation. Dingen die excel allemaal niet bied....

Mocht je per se Excel willen gebruiken, dan zou ik het opslaan in een encrypted virtuele harddisk ofzo.

Ramon schreef op maandag 24 november 2014 @ 22:11:

[...]


Ik heb gewoon al mijn accounts in mijn password manager staan. Het is veiliger dan overal hetzelfde wachtwoord gebruiken. En natuurlijk ultrastom om een password manager illegaal te downloaden, maar dat had je zelf ook al wel door hoop ik. Op die manier weet je nooit of je wat je hebt kan vertrouwen of dat je computer niet al compromised is.

Ik wist dat dit stom was. Daarom heb ik destijds er voor gekozen om alleen simpele accounts er in te zetten, ingeval het mis kon/zou gaan. Bijvoorbeeld een account op Tweakers of op Bierdopje.

Heb jij ook bijvoorbeeld je wachtwoord van je e-mail erin staan en bijvoorbeeld DigiD? Aangezien dit wel de ultieme wachtwoorden zijn voor "forgotten password"-functie komt terecht op je e-mail en DigiD is een weerspiegeling van je financiële privésfeer en identiteit. Je hebt een boel ellende lijkt me als deze 2(of 1) bij een ander geraken.

Paar post geleden vroeg ik me af wat er zou gebeuren als je een keylogger op je systeem krijgt/hebt. Als je dan je master-password invoert en ook een keer inlogt op Dropbox dan heeft de 'hacker' toch en je master-password en je database?!
Ik heb echter de 2 staps authenticatie aanstaan bij Dropbox(dus sms met code). Dan ben je hiervoor in gedekt lijkt me.

Ik moet sowieso nog een keer gaan kijken naar mijn e-mail wachtwoord(en). Ik gebruik een hotmail adres maar als je daar 2 staps authenticatie aan hebt staan(wat ik heb). Heb je en/of op elk device een ander wachtwoord(willekeurige letters achter elkaar, niets anders dus niet echt sterk). En/of je hebt een app op je smartphone die een melding geeft met goedkeuren of weigeren als je wilt inloggen ergens. Echter werkt dit weer niet met de mailclient op OSX. Dan krijg ik geen pushbericht.
Doordat ik dit allemaal door elkaar gebruik, onbedoeld, raak ik nogal in de war. Snap niet dat outlook dit niet op een andere manier kan regelen.

[...]
In twee jaar geen last van gehad. En 140 (aantal entries in mijn database) unieke wachtzinnen onthouden is ook niet echt makkelijk.

Damn!

[ Voor 6% gewijzigd door Trezzahn op 26-11-2014 08:32 ]

Joop_Klepzeiker schreef op maandag 24 november 2014 @ 15:40:
Keepass start met Windows; dus dan zou die keylogger alles moeten afvangen, als ik keypass activeer, dat doe ik met de muis dan pas geef ik het hoofdwachtwoord in. Alle onveilige bewerkingen in keepass staan uit, dus een plain text export maken is niet zomaar mogelijk. Een username/wachtwoord combinatie haal ik meestal met de muis of via alleen ctrl-v uit keepass en aangezien ctrl-v tig keer gebruikt wordt moet die trojan maar net weten wanneer die uit keepass komt.

Als ik voordat ik keepass activeer de keyfile middels een USB/SD beschikbaar maak; dan m'n ding doe waarvoor ik een wachtwoord nodig heb, keepass deactiveer en de keyfile weer fysiek verwijder dan moet dat trojan toch wel heel veel kunnen en dat zonder dat ik dat allemaal merk.....

Nope, daar kies je zelf voor. Default doet keepass dat dus niet.

Keepass 1.x:


Keepass 2.x

Trezzahn schreef op woensdag 26 november 2014 @ 08:30:[...]
Heb jij ook bijvoorbeeld je wachtwoord van je e-mail erin staan en bijvoorbeeld DigiD? Aangezien dit wel de ultieme wachtwoorden zijn voor "forgotten password"-functie komt terecht op je e-mail en DigiD is een weerspiegeling van je financiële privésfeer en identiteit. Je hebt een boel ellende lijkt me als deze 2(of 1) bij een ander geraken.

Ik heb vrijwel alles in de database staan, behalve een kopie van identiteit bewijzen (paspoort/rijbewijs oid). Zelfs dat zou ik nog wel aandurven, maar zie het nut niet in van een kopie in de database als ik altijd een origineel bij me heb.

Mail en cloudservices zijn voorzien van TFA, via de google authenticator app.
DigiD en bankzaken ook TFA, via SMS.

Trezzahn schreef op woensdag 26 november 2014 @ 08:30:
[...]


Ik wist dat dit stom was. Daarom heb ik destijds er voor gekozen om alleen simpele accounts er in te zetten, ingeval het mis kon/zou gaan. Bijvoorbeeld een account op Tweakers of op Bierdopje.

Heb jij ook bijvoorbeeld je wachtwoord van je e-mail erin staan en bijvoorbeeld DigiD? Aangezien dit wel de ultieme wachtwoorden zijn voor "forgotten password"-functie komt terecht op je e-mail en DigiD is een weerspiegeling van je financiële privésfeer en identiteit. Je hebt een boel ellende lijkt me als deze 2(of 1) bij een ander geraken.

Uiteraard heb ik die erin staan. Natuurlijk wel overal waar mogelijk two-factor authentication aanstaan.

Paar post geleden vroeg ik me af wat er zou gebeuren als je een keylogger op je systeem krijgt/hebt. Als je dan je master-password invoert en ook een keer inlogt op Dropbox dan heeft de 'hacker' toch en je master-password en je database?!
Ik heb echter de 2 staps authenticatie aanstaan bij Dropbox(dus sms met code). Dan ben je hiervoor in gedekt lijkt me.

Ik heb het niet geprobeerd.... Ik heb bij keepass wel UAC aanstaan dus dat zou in theorie keyloggers tegen moeten gaan. Daarnaast kan je als je je zorgen maakt over keyloggers ook met een keyfile werken. Overigens beschouw ik lokale aanvallen als een stuk minder laag risico als dat er ergens een database van een site gehackt wordt.

Ik moet sowieso nog een keer gaan kijken naar mijn e-mail wachtwoord(en). Ik gebruik een hotmail adres maar als je daar 2 staps authenticatie aan hebt staan(wat ik heb). Heb je en/of op elk device een ander wachtwoord(willekeurige letters achter elkaar, niets anders dus niet echt sterk). En/of je hebt een app op je smartphone die een melding geeft met goedkeuren of weigeren als je wilt inloggen ergens. Echter werkt dit weer niet met de mailclient op OSX. Dan krijg ik geen pushbericht.

Dit snap ik niet. Ik heb ook een Microsoft account maar daar kan je gewoon een sterk wachtwoord + 2 factor authentication via SMS instellen zonder problemen hoor.

Doordat ik dit allemaal door elkaar gebruik, onbedoeld, raak ik nogal in de war. Snap niet dat outlook dit niet op een andere manier kan regelen.


[...]


Damn!

Domino schreef op woensdag 26 november 2014 @ 10:12:
Ik heb vrijwel alles in de database staan, behalve een kopie van identiteit bewijzen (paspoort/rijbewijs oid). Zelfs dat zou ik nog wel aandurven, maar zie het nut niet in van een kopie in de database als ik altijd een origineel bij me heb.

Ramon schreef op woensdag 26 november 2014 @ 10:47:
[...]
Uiteraard heb ik die erin staan. Natuurlijk wel overal waar mogelijk two-factor authentication aanstaan.

Oke thanks.

[...]
Ik heb het niet geprobeerd.... Ik heb bij keepass wel UAC aanstaan dus dat zou in theorie keyloggers tegen moeten gaan. Daarnaast kan je als je je zorgen maakt over keyloggers ook met een keyfile werken. Overigens beschouw ik lokale aanvallen als een stuk minder laag risico als dat er ergens een database van een site gehackt wordt.

Ik heb geen Keepass, ik gebruik 1Password. Die optie is er niet of kan ik niet vinden.

Mail en cloudservices zijn voorzien van TFA, via de google authenticator app.
DigiD en bankzaken ook TFA, via SMS.

[...]
Dit snap ik niet. Ik heb ook een Microsoft account maar daar kan je gewoon een sterk wachtwoord + 2 factor authentication via SMS instellen zonder problemen hoor.

[...]

Zojuist ook de Google Authenticator app geinstalleeerd. Bij Dropbox werkt die wel(vraagt na inloggen om een code). Echter bij Microsoft heb ik die ook ingesteld maar als ik daar inlog met username en password ben ik "binnen". Ik krijg geen authenticatie code te zien waar ik die moet invoeren.

Voorheen had ik de microsoft authenticatie app geinstalleerd. Wat een bagger ding en naar aanleiding van je schrijven er af gedonderd. Nu bezig of die 'm pakt met de Google Authenticator app. Zo niet, dan stel ik 'm in via SMS.

edit:
Krijg Microsoft niet ingesteld met de Google Authenticator app. Hij vraag niet om een beveiligingscode.
Ik wil 'm instellen met SMS. Die optie lijkt/is volledig verdwenen.

[ Voor 4% gewijzigd door Trezzahn op 26-11-2014 11:34 ]

Trezzahn schreef op woensdag 26 november 2014 @ 11:20:
edit:
Krijg Microsoft niet ingesteld met de Google Authenticator app. Hij vraag niet om een beveiligingscode.
Ik wil 'm instellen met SMS. Die optie lijkt/is volledig verdwenen.

Je kan je browser aanmerken als veilig:



Dan hoef je vanaf dat moment niet meer in te loggen met TFA.

Ik vermoed dat dit bij jouw nu het geval is. Probeer eens handmatig af te melden en cache/cookies op te schonen. Of pak als test eens een portable chrome/firefox.

Domino schreef op woensdag 26 november 2014 @ 12:45:
[...]


Je kan je browser aanmerken als veilig:

[afbeelding]

Dan hoef je vanaf dat moment niet meer in te loggen met TFA.

Ik vermoed dat dit bij jouw nu het geval is. Probeer eens handmatig af te melden en cache/cookies op te schonen. Of pak als test eens een portable chrome/firefox.

PFFFFF.. Wat slecht! Heeft inderdaad geholpen. Foutje van mijn zijde
Thanks!

Sorry voor offtopic..

[ Voor 3% gewijzigd door Trezzahn op 26-11-2014 12:59 ]

Gebruik al heel lang LastPass, werkt perfect.

Heb een tijd LastPass gebruikt toen een tijd KeePass, maar tegenwoordig gebruik ik weer LastPass. Voordelen van LastPass boven KeyPass vind ik:

- Default cloudsynchronisatie.
- Default multi factor authenticatie (ik gebruik Authy).
- Werkt perfect samen met ChromeOS.

Ramon schreef op maandag 24 november 2014 @ 22:11:
Volgens mij denken gebruikers niet zo. Gebruiken zien een password dialoog en dat moeten ze invullen om verder te mogen. Verder dan dat denken gebruikers niet.

Dan heb je daar je weakness en dan is het hele idee van een password manager dus compleet useless. Een goede password manager heeft een database die zichzelf uit snapshots kan verwijderen en zichzelf kan beschermen tegen aanvallen zonder de programmatuur nodig te hebben. Zolang een database dat niet kan, is het niet veiliger dan Excel of Winword.

Ik denk dat je gevoel nog eens moet checken Je moet bij beide methodes voorzichtig zijn met de databases. Overigens kan de encryptie blijkbaar vrij makkelijk gekraakt worden: http://en.wikipedia.org/w...ffice_password_protection

Natuurlijk bieden password managers nog extra's zoals auto-fill, history en password generation. Dingen die excel allemaal niet bied....

Mocht je per se Excel willen gebruiken, dan zou ik het opslaan in een encrypted virtuele harddisk ofzo.

Excel biedt meer continuiteit dan alle andere programma's en biedt behalve docx ook odt aan. Een belangrijk onderdeel van security is dat je over 100 jaar ook je document kunt uitlezen.

Ik vind het overigens een slechte wikipedia pagina.

The 128-bit key AES protection employed in Office 2007–2010 can still be considered as a relatively secure one. At the moment, however, cloud computing facilities are capable of unlocking a substantial number of the files saved in the Office 2007–2010 format.

is leuk, maar bevat geen verwijzing naar een bron. Navraag bij security auditors in mijn kennissenkring leert dat Excel kraken niet zo makkelijk is als het lijkt, zolang je maar sterke en lange wachtwoorden gebruikt.

Excel heeft wel een groot voordeel boven alle password managers: Het bewustzijn van security is hoger waardoor Excel automatisch veiliger wordt. "De database van mijn password manager blokkeert na 3 pogingen, ik hoef niet voorzichtig te zijn met mijn USB-stick" tegenover "Mijn Excel bevat een wachtwoord, maar dat is makkelijk te kraken dus ben ik voorzichtig met mijn bestandje" terwijl Excel (2007, 2010, 2013) wellicht helemaal niet makkelijk te kraken is mits goed passworded.

Ik heb vanwege vroeger ook nare bijgevoelens bij Excel, maar inmiddels begin ik in te zien dat een goed passworded Excel document wellicht veel veiliger is dan een password manager.

[ Voor 3% gewijzigd door Trommelrem op 06-12-2014 12:59 ]

Trommelrem schreef op zaterdag 06 december 2014 @ 12:58:
[...]

Dan heb je daar je weakness en dan is het hele idee van een password manager dus compleet useless. Een goede password manager heeft een database die zichzelf uit snapshots kan verwijderen en zichzelf kan beschermen tegen aanvallen zonder de programmatuur nodig te hebben. Zolang een database dat niet kan, is het niet veiliger dan Excel of Winword.

Dat was mijn punt niet.
Gebruikers denken niet "oh dat programma blokkeert automatisch dus kopieer het maar 100x". Gebruikers denken ook niet "Excel is onveilig dus wees voorzichtig met het excel bestand". Gebruikers zien een wachtwoordveld en dat moet ingevuld worden voordat ze verder kunnen. Hoe ze aan dat wachtwoord komen boeit ze niet, blijkt wel uit jouw voorbeeld over wachtwoorden in Excel zetten.

[...]

Excel biedt meer continuiteit dan alle andere programma's en biedt behalve docx ook odt aan.

Dat ben ik niet met je eens. Ja MS zal niet zo snel met Excel stoppen, máár mochten ze dat toch doen, dan ben je de sjaak en moet je toch op zoek naar iets anders. KeePass is Open Source, wat betekent dat wanneer de developers daarmee stoppen, andere mensen het kunnen forken en daarmee de ontwikkeling voortzetten. Daarnaast biedt KeePass (net zoals Excel ongetwijfeld) allerlei export-opties om je data te verplaatsen. KeePass bestaat ook al sinds 2003, dus het is niet alsof het nieuwkomers zijn ofzo.

Een belangrijk onderdeel van security is dat je over 100 jaar ook je document kunt uitlezen.

Over 100 jaar ben ik 131, denk niet dat ik dan nog geïnteresseerd ben in mijn wachtwoorden van 2014. Ook al was dat zo, dan heb jij 80 versies van Excel gekocht, en ik gewoon KeePass steeds gratis geupdate.

Ik vind het overigens een slechte wikipedia pagina.

[...]
is leuk, maar bevat geen verwijzing naar een bron. Navraag bij security auditors in mijn kennissenkring leert dat Excel kraken niet zo makkelijk is als het lijkt, zolang je maar sterke en lange wachtwoorden gebruikt.

Dat geld dubbel voor KeePass, want de encryptie is dubbel zo sterk.

Excel heeft wel een groot voordeel boven alle password managers: Het bewustzijn van security is hoger waardoor Excel automatisch veiliger wordt. "De database van mijn password manager blokkeert na 3 pogingen, ik hoef niet voorzichtig te zijn met mijn USB-stick" tegenover "Mijn Excel bevat een wachtwoord, maar dat is makkelijk te kraken dus ben ik voorzichtig met mijn bestandje" terwijl Excel (2007, 2010, 2013) wellicht helemaal niet makkelijk te kraken is mits goed passworded.

Zoals gezegd; dat vind ik onzin. Als een gebruiker aan mij vraagt om een oplossing te bedenken zodat hij/zij geen wachtwoorden meer hoeft te onthouden, dan ga ik toch niet een verhaal ophangen over excel en dat het niet zo veilig is en dat hij daarom extra voorzichtig moet zijn? Nee dan hang ik een verhaal op over een password manager, dat het veilig is maar dat hij nog steeds voorzichtig moet zijn! Daarnaast mist Excel nog steeds password generator, auto-fill, integratie met browsers, two-factor authentication(!), etc.

Ik heb vanwege vroeger ook nare bijgevoelens bij Excel, maar inmiddels begin ik in te zien dat een goed passworded Excel document wellicht veel veiliger is dan een password manager.

In plaats van Excel, zou ik liever een encrypted vhd met een txt bestand gebruiken ofzo. Ben je niet afhankelijk van Excel, en switch je over een paar jaar van platform, dan kan je de txt gewoon over zetten naar platform van keuze en daar dan encrypten in een container. OS X en Linux bieden dit ook aan, al werkt het net weer anders. Bovendien, voor TXT ben je niet afhankelijk van enigerlei betaalde software.

Nog een interessante read op superuser.com:

Whereas, specially-designed password management software like KeePass (as you've mentioned) or Password Safe typically take additional measures to scrub memory, clipboard, etc. when they are closed, better protecting your passwords. Your unencrypted passwords shouldn't ever be on disk, even temporarily.

[ Voor 10% gewijzigd door Ramon op 06-12-2014 14:34 ]

Trommelrem schreef op zaterdag 06 december 2014 @ 12:58:
Excel biedt meer continuiteit dan alle andere programma's en biedt behalve docx ook odt aan. Een belangrijk onderdeel van security is dat je over 100 jaar ook je document kunt uitlezen.

De vraag of je over 100 jaar je document nog kunt uitlezen heeft helemaal niks met security te maken. Security gaat maar over 1 ding: De vraag of onbevoegden toegang tot je data kunnen krijgen.

En als je over 100 jaar nog de behoefte voelt om die oude password database uit te lezen dan moet je je eerst afvragen of het niet eens tijd wordt om die passwords te wijzigen.

Continuiteit op lange termijn is grotendeels een non-issue voor een password database. Een password manager is geen archiveringstool. Er is immers ook geen enkele garantie dat de algoritmes van nu over 100 jaar nog enige bescherming bieden.

Room42 schreef op zaterdag 06 december 2014 @ 00:35:
Echt grootste nadeel van Lastpass vind ik de hier-en-daar erg slechte user interface. Het is heel ergerlijk om je huidige wachtwoorden te beheren. Het is heel precies met waar je moet klikken en zo. Ook het werken met mappen wordt onnodig lastig gemaakt. Zeker nu ik er veel mee werk stuit me dit steeds vaker tegen de borst.

Hmm, zelf heb ik daar nog niets van gemerkt. Het zou kunnen dat het online wachtwoorden beheer in de ene browser een andere ervaring geeft dan in een andere browser. Ik gebruik hoodzakelijk Google Chrome in combinatie met LastPass.

Even een vraagje van een 'gewone' gebruiker...

Ik ben op zoek naar een PWM en kwam uit bij KeePass. Nu was ik begonnen met een van mijn internetbankieren-logins te wijzigen. Totdat ik me realiseerde dat dit inhoudt dat ik eigenlijk niet op de pc van zus ofzo kan inloggen zonder dat ik het bestand uit mijn dropbox haal en KeePass installeer (er vanuit gaande dat ik niet overal met een USB-stick rondloop). Klopt dit? En is er een (gratis) PWM waarbij dit wel mogelijk is?

Ik weet niet hoe het zit bij KeePass maar bij 1password(die gebruik ik namelijk) die heeft een app voor ios en Android. Je telefoon heb je immers altijd bij je, toch? Dan gebruik je die. Die synchroniseert middels Dropbox

gerbengeijsel schreef op dinsdag 09 december 2014 @ 23:27:
Even een vraagje van een 'gewone' gebruiker...

Ik ben op zoek naar een PWM en kwam uit bij KeePass. Nu was ik begonnen met een van mijn internetbankieren-logins te wijzigen. Totdat ik me realiseerde dat dit inhoudt dat ik eigenlijk niet op de pc van zus ofzo kan inloggen zonder dat ik het bestand uit mijn dropbox haal en KeePass installeer (er vanuit gaande dat ik niet overal met een USB-stick rondloop). Klopt dit? En is er een (gratis) PWM waarbij dit wel mogelijk is?

Op de een of andere manier heb je toch een apparaat nodig wat je wachtwoorden database kan uitlezen.
Of dat nu een USB stick met database en programma is of een smartphone app.

Ik gebruik hiervoor keepass, waarbij ik de database op dropbox bewaar. Op de smartphone gebruik ik minikeepass (ios) of keepass2droid (android).

H/T-OTP waarden door de passwordmanager laten genereren, is dat eigenlijk wel of niet done?

Ik gebruik Lastpass i.c.m. een Yubikey.

Dan kun je online op je vault inloggen (met behulp van de Yubikey). Dan kun je dus nog wel bij al je usernames/passwords zonder dat je deze op een USB stick hoeft mee te nemen.

Ik heb voldoende vertrouwen in de cloud, zeker in combinatie met 2FA.

Domino schreef op woensdag 10 december 2014 @ 12:42:
[...]


Op de een of andere manier heb je toch een apparaat nodig wat je wachtwoorden database kan uitlezen.
Of dat nu een USB stick met database en programma is of een smartphone app.

Ik gebruik hiervoor keepass, waarbij ik de database op dropbox bewaar. Op de smartphone gebruik ik minikeepass (ios) of keepass2droid (android).

Dat houdt dus in dat ik eerst mijn KeePass-code moet invoeren in mijn telefoon en vervolgens het juiste wachtwoord moet opzoeken en overtypen. Hmmm, dat is toch niet echt makkelijk. Ik ga nog eens kijken wat te doen.

gerbengeijsel schreef op woensdag 10 december 2014 @ 22:50:
[...]


Dat houdt dus in dat ik eerst mijn KeePass-code moet invoeren in mijn telefoon en vervolgens het juiste wachtwoord moet opzoeken en overtypen. Hmmm, dat is toch niet echt makkelijk. Ik ga nog eens kijken wat te doen.

Je moet het zo zien: Het is makkelijker dan honderden 24-teken-lange random wachtwoorden onthouden

gerbengeijsel schreef op woensdag 10 december 2014 @ 22:50:
Dat houdt dus in dat ik eerst mijn KeePass-code moet invoeren in mijn telefoon en vervolgens het juiste wachtwoord moet opzoeken en overtypen. Hmmm, dat is toch niet echt makkelijk. Ik ga nog eens kijken wat te doen.

Met MiniKeepass op iOS kan ik gewoon copy-paste vanuit MiniKeepass doen. Ik hoef niks over te tikken. Wel moet ik natuurlijk elke keer het Keepass password invoeren.

gerbengeijsel schreef op woensdag 10 december 2014 @ 22:50:
[...]


Dat houdt dus in dat ik eerst mijn KeePass-code moet invoeren in mijn telefoon en vervolgens het juiste wachtwoord moet opzoeken en overtypen. Hmmm, dat is toch niet echt makkelijk. Ik ga nog eens kijken wat te doen.

Nee, het houd in dat je alle zaken op je telefoon uitvoert. Zeker op een smartphone waarop allerhande apps voorhanden zijn die je ondersteunen in alles wat je wil doen.

Het is lichtelijk waanzin om een obscuur en lang (>16 karakters is mijn default) over te tikken.
Laat staan de frustratie die je zult hebben door tikvauten (pun intended).

Ik heb bijvoorbeeld eens een wachtwoord over moeten tikken waarin een dubbele l stond.
Na zeker een keer of zes het wardwoord ingetikt te hebben kwam ik erachter dat het een | (pipe) was.

Duh .

downtime schreef op woensdag 10 december 2014 @ 23:07:
[...]

Met MiniKeepass op iOS kan ik gewoon copy-paste vanuit MiniKeepass doen. Ik hoef niks over te tikken. Wel moet ik natuurlijk elke keer het Keepass password invoeren.

Je weet dat er een geïntegreerde browser in minikeepass zit of niet?

[ Voor 16% gewijzigd door Domino op 11-12-2014 10:07 ]

Ik gebruik nu sinds een jaar naar volle tevredenheid Lastpass (Premium). Ik gebruikte hiervoor AnyPassword Pro die ik met Dropbox syncte naar verschillende windows pc's.

De redenen voor over te schakelen naar Lastpass waren voor mij voornamelijk omdat ik ook een MacBook erbij kreeg en AnyPasswordPro daar niet lekker op werkte:

-Makkelijk delen van passwords met andere gebruikers
-Browser plugin
-Clientside encryptie
-Ondersteuning voor meerdere platformen.

Ben er erg tevreden mee.

Domino schreef op donderdag 11 december 2014 @ 10:06:
Je weet dat er een geïntegreerde browser in minikeepass zit of niet?

Nope. Eigenlijk nooit opgelet wat er allemaal met miniKeepass kan. Als ik op sites moet inloggen is dat meestal voor dingen die ik liever vanaf een PC doet.

Domino schreef op donderdag 11 december 2014 @ 10:06:
Ik heb bijvoorbeeld eens een wachtwoord over moeten tikken waarin een dubbele l stond.
Na zeker een keer of zes het wardwoord ingetikt te hebben kwam ik erachter dat het een | (pipe) was.

Daarom ben ik ook altijd opzoek naar een password generator welke de iI|10oO en l(kleine L) weg laten.
Alleen maar verwarrend later.

Ik ben eigenlijk op zoek naar een password manager welke snel vanaf overal te benaderen is.(cloud)
Voorwaarde is dat hij alleen te openen is met two factor authentication en benaderbaar moet zijn via app op mobiel of via de pc.

Iemand die weet of hier een geschikte tool voor is?
Eigenlijk moet ik geen dropbox er tussen hebben want volgens mij is dit weer extra instelwerk steeds.

downtime schreef op donderdag 11 december 2014 @ 12:25:[...]Nope. Eigenlijk nooit opgelet wat er allemaal met miniKeepass kan. Als ik op sites moet inloggen is dat meestal voor dingen die ik liever vanaf een PC doet.

Ik doe juist steeds meer (vrijwel alles) vanaf een iphone/ipad.
Dit is iig de geintegreerde browser:

Yohost! schreef op donderdag 11 december 2014 @ 12:30:
[...]

Daarom ben ik ook altijd opzoek naar een password generator welke de iI|10oO en l(kleine L) weg laten.
Alleen maar verwarrend later.

Ik ben eigenlijk op zoek naar een password manager welke snel vanaf overal te benaderen is.(cloud)
Voorwaarde is dat hij alleen te openen is met two factor authentication en benaderbaar moet zijn via app op mobiel of via de pc.

Iemand die weet of hier een geschikte tool voor is?
Eigenlijk moet ik geen dropbox er tussen hebben want volgens mij is dit weer extra instelwerk steeds.

KeePass 2 doet uit zichzelf sync. FTP/HTTP/WebDAV zelfs zonder plugin (link). Alleen het syncen naar iOS doet minikeepass niet, dat is een handmatige actie.

TFA door middel van de keyfile, en als bonus:

Room42 schreef op donderdag 11 december 2014 @ 12:45:
Ja, Lastpass dus

Sync naar mobiel doet toch alleen de premium versie? Al is $1 per maand ook nog wel te overzien.

Mooie functie die two-factor-authentication bij een passwordmanager. Jammer dat 1Password die (nog) niet gebruikt. Daarbij is alleen het masterpassword voldoende.

Domino schreef op donderdag 11 december 2014 @ 12:54:
[...]


Ik doe juist steeds meer (vrijwel alles) vanaf een iphone/ipad.
Dit is iig de geintegreerde browser:

[afbeelding] [afbeelding]


[...]


KeePass 2 doet uit zichzelf sync. FTP/HTTP/WebDAV zelfs zonder plugin (link). Alleen het syncen naar iOS doet minikeepass niet, dat is een handmatige actie.

TFA door middel van de keyfile, en als bonus:

[afbeelding]

toon volledige bericht

Let wel op dat je met zulke excepties je wachtwoorden potentieel weer iets makkelijk te kraken zijn. Nu zal het met een paar van zulke uitzonderen wel meevallen, maar voor hackers is het erg makkelijk als een site een wachtwoordpolicy heeft van minimaal 8 tekens, waarvan minimaal 2 cijfers en één leesteken. Dat is bijna een weggevertje tegenwoordig.

Wat een leuk topic en interessant om te zien hoe anderen dingen hebben ingericht.

Ik gebruik zelf ook Keepass met uitsluitend masterpassword. Hij staat net als bij enkele anderen in mijn Dropbox en synchroniseert naar alle devices. Op mijn Android telefoon staat KeepassDroid, op mijn oude iPad gebruik ik KyPass. In principe staan alle wachtwoorden in mijn Keepass.

Voor de belangrijkste accounts heb ik - waar mogelijk - 2FA aan staan. In ieder geval voor Dropbox en voor GMail. Mijn telefoon is ge-encrypt en heeft een sterke schermbeveiliging. Daar vertrouw ik wel op. Ik weet dus ook niet of een keyfile nog iets toevoegt.

Waar ik wel mee bezig ben is Dropbox minder belangrijk maken. Ik heb sinds kort OwnCloud en daar wil ik dit soort informatie eigenlijk op gaan zetten. Vanaf mijn telefoon heb ik (sinds gisteren werkend) een VPN-tunnel naar thuis om bij OwnCloud te komen. Vanaf het internet kun je er niet bij.

Een volgende stap is ook nog om mijn thuisnetwerk beter te beveiligen. Ik wil de WPA2-beveiliging inruilen voor 802.1X. Dat heb ik nu werkend op basis van gebruikersnaam/wachtwoord, maar ik wil dat eigenlijk opschalen naar certificaten. De vraag is alleen of dat voldoende ondersteund wordt door mijn clients.

Maar al met al, denk ik dat ik mijn security redelijk op orde heb. Reacties hierop zijn trouwens van harte welkom .

Dennis schreef op dinsdag 16 december 2014 @ 12:49:
Wat een leuk topic en interessant om te zien hoe anderen dingen hebben ingericht.

Ik gebruik zelf ook Keepass met uitsluitend masterpassword. Hij staat net als bij enkele anderen in mijn Dropbox en synchroniseert naar alle devices. Op mijn Android telefoon staat KeepassDroid, op mijn oude iPad gebruik ik KyPass. In principe staan alle wachtwoorden in mijn Keepass.

Voor de belangrijkste accounts heb ik - waar mogelijk - 2FA aan staan. In ieder geval voor Dropbox en voor GMail. Mijn telefoon is ge-encrypt en heeft een sterke schermbeveiliging. Daar vertrouw ik wel op. Ik weet dus ook niet of een keyfile nog iets toevoegt.

Waar ik wel mee bezig ben is Dropbox minder belangrijk maken. Ik heb sinds kort OwnCloud en daar wil ik dit soort informatie eigenlijk op gaan zetten. Vanaf mijn telefoon heb ik (sinds gisteren werkend) een VPN-tunnel naar thuis om bij OwnCloud te komen. Vanaf het internet kun je er niet bij.

Een volgende stap is ook nog om mijn thuisnetwerk beter te beveiligen. Ik wil de WPA2-beveiliging inruilen voor 802.1X. Dat heb ik nu werkend op basis van gebruikersnaam/wachtwoord, maar ik wil dat eigenlijk opschalen naar certificaten. De vraag is alleen of dat voldoende ondersteund wordt door mijn clients.

Maar al met al, denk ik dat ik mijn security redelijk op orde heb. Reacties hierop zijn trouwens van harte welkom .

toon volledige bericht

Met keyfile is altijd beter. Het is een vorm van TFA, je wachtwoord wat je weet en de keyfile die je hebt.
Wat is de reden dat je dit niet gebruikt? Het kleine beetje gebruikersgemak wat het oplevert (alleen wachtwoord invullen) weegt niet op tegen de eventuele nadelen.

Verder heb je het over een sterke scherm beveiliging? Je doelt daarbij op de code die je intikt of het patroon wat je tekent op het scherm? Dat is echt een farce, je kan het patroon al nagenoeg zien als je een keer met vieze vingers je patroon hebt getekend.

Wat dat betreft is een vingerafdruk beveiliging a la TouchID veel beter (maar ook zeker niet heilig).

Domino schreef op dinsdag 16 december 2014 @ 16:41:
Met keyfile is altijd beter. Het is een vorm van TFA, je wachtwoord wat je weet en de keyfile die je hebt.
Wat is de reden dat je dit niet gebruikt? Het kleine beetje gebruikersgemak wat het oplevert (alleen wachtwoord invullen) weegt niet op tegen de eventuele nadelen.

Daar heb je gelijk in. Ik was me er eigenlijk niet zo van bewust. Ik zit ook te denken aan hoe het handig is om op te bergen voor in noodsituaties. Daarom leuk dat ik de hierboven staande reacties heb gelezen. Misschien is een heel kleine USB-sleutel wel een optie, maar daar ga ik dus nog even over nadenken.

Verder heb je het over een sterke scherm beveiliging? Je doelt daarbij op de code die je intikt of het patroon wat je tekent op het scherm? Dat is echt een farce, je kan het patroon al nagenoeg zien als je een keer met vieze vingers je patroon hebt getekend.

Nee, geen patroon. Dat mag niet eens van ons werk en wordt afgedwongen als je de zakelijke e-mail configureert. Ik heb dus een wachtwoord van meer dan 8 karakters.

Dank voor je reactie in ieder geval, altijd leuk dit soort overdenkingen .

Dit artikel van 1Password beargumenteert waarom zij geen two-factor ondersteunen: https://blog.agilebits.co...factor-or-not-two-factor/

Ik kan me er wel iets bij indenken. Je database is wat je hebt, je wachtwoord is wat je weet.

Ik heb er ook over nagedacht en voor thuis op mijn desktop kan ik wel makkelijk een keyfile op een USB zetten, voor op mijn telefoon kan ik ook een keyfile instellen (al heb je er dan al niets meer aan, je telefoon is dan niet veiliger) maar ik vind het behoorlijk irritant dat ik om KeePass op mijn tablet te gebruiken dan altijd een usb stick zou moeten meesjouwen. En als je die kwijt raakt dan ben je de pineut...

For every one report of “someone stole my computer, is my data safe?” query that we get, we get 100 “I’ve forgotten my master password” queries. (That’s an exceedingly rough estimate. We don’t keep a tally of these, but that 1 to 100 ratio seems about right to me.) We know that people lose access to their 1Password data, while we know of no case of someone breaking into someone’s data.

Mocht je het wel willen proberen, zou ik het eerst testen met een testdatabase en instellen op al je apparaten alvorens je het met je echte db gaat doen!

Ramon schreef op dinsdag 16 december 2014 @ 18:57:
Ik heb er ook over nagedacht en voor thuis op mijn desktop kan ik wel makkelijk een keyfile op een USB zetten, voor op mijn telefoon kan ik ook een keyfile instellen (al heb je er dan al niets meer aan, je telefoon is dan niet veiliger) maar ik vind het behoorlijk irritant dat ik om KeePass op mijn tablet te gebruiken dan altijd een usb stick zou moeten meesjouwen. En als je die kwijt raakt dan ben je de pineut...

Ik denk dat je je dat verkeerd voorstelt. Stel je het volgende voor:

Je gebruikt een Keepass database op een website, Dropbox of een andere medium wat je vanaf meerdere apparaten kunt benaderen. In veel gevallen is zo'n database te benaderen door een buitenstaander. Bestanden op cloud services zijn in principe te benaderen door de beheerders daarvan (bv in opdracht van politie).

In zo'n situatie kun je voor extra security zorgen door een keyfile te gebruiken en daarvan een kopie op je desktop, je tablet en je telefoon te zetten. Zelfs met een (relatief) eenvoudig master password, en je database op een publieke plek, kun je behoorlijk veilig zijn doordat iemand die niet over jouw tablet, telefoon of desktop beschikt ook niks aan jouw database heeft. Hij beschikt dan immers niet over jouw keyfile.

Ramon schreef op dinsdag 16 december 2014 @ 18:57:
Dit artikel van 1Password beargumenteert waarom zij geen two-factor ondersteunen: https://blog.agilebits.co...factor-or-not-two-factor/

Ik kan me er wel iets bij indenken. Je database is wat je hebt, je wachtwoord is wat je weet.

Zoals downtime al aangeeft is dat geen TFA. Two factor authentication wil letterlijk zeggen dat je op twee manieren moet authenticeren om toegang te krijgen tot een resource. Het resource an sich is geen onderdeel van je beveiligingsketen.

TFA is bijvoorbeeld inloggen bij google/dropbox/msft middels je wachtwoord en een OTP.
Of in het geval van keepass: met je wachtwoord en een hele specifieke (nota bene: key) file.

downtime schreef op dinsdag 16 december 2014 @ 20:39:
[...]

Ik denk dat je je dat verkeerd voorstelt. Stel je het volgende voor:

Je gebruikt een Keepass database op een website, Dropbox of een andere medium wat je vanaf meerdere apparaten kunt benaderen. In veel gevallen is zo'n database te benaderen door een buitenstaander. Bestanden op cloud services zijn in principe te benaderen door de beheerders daarvan (bv in opdracht van politie).

Dat snap ik allemaal wel. Natuurlijk is het met een keyfile veiliger, dat heb ik ook niet ontkent. Ik heb alleen de overweging gemaakt dat het voor mij niet veel veiligheid toevoegt (omdat de politie best mijn passwords mogen zien), maar wel veel gedoe geeft. Daarnaast heb ik wel two-factor auth op OneDrive.

In zo'n situatie kun je voor extra security zorgen door een keyfile te gebruiken en daarvan een kopie op je desktop, je tablet en je telefoon te zetten. Zelfs met een (relatief) eenvoudig master password, en je database op een publieke plek, kun je behoorlijk veilig zijn doordat iemand die niet over jouw tablet, telefoon of desktop beschikt ook niks aan jouw database heeft. Hij beschikt dan immers niet over jouw keyfile.

Aan de andere kant, als dan je laptop/tablet/telefoon gestolen wordt, hebben ze gelijk je keyfile. Hoeven ze alleen nog maar je password te weten, dus voegt het dan niets toe.

Bovendien, zoals 1Password in het artikel zegt is een lokaal wachtwoord zoals dat voor een password manager nodig is veiliger dan een wachtwoord op een website, o.a. omdat het lokale wachtwoord niet over de lijn gaat en dus niet gesniffd kan worden.

Ik stel gewoon meer waarde aan altijd en overal bij mijn wachtwoorden kunnen (dus geen afhankelijkheid van een keyfile die kwijt of corrupt kan raken), dan aan absolute, totale veiligheid.

Domino schreef op dinsdag 16 december 2014 @ 21:02:
[...]


Zoals downtime al aangeeft is dat geen TFA. Two factor authentication wil letterlijk zeggen dat je op twee manieren moet authenticeren om toegang te krijgen tot een resource. Het resource an sich is geen onderdeel van je beveiligingsketen.

TFA is bijvoorbeeld inloggen bij google/dropbox/msft middels je wachtwoord en een OTP.
Of in het geval van keepass: met je wachtwoord en een hele specifieke (nota bene: key) file.

Ik begin nota bene mijn post met "waarom 1Password geen two-factor ondersteunt". Dus dan mag je toch aannemen dat ik weet dat dat geen two-factor is?

Ramon schreef op dinsdag 16 december 2014 @ 21:46:
[...]
Ik begin nota bene mijn post met "waarom 1Password geen two-factor ondersteunt". Dus dan mag je toch aannemen dat ik weet dat dat geen two-factor is?

Akkoord, de verwarring onstaat omdat je daarna stelt 'iets wat je hebt en iets wat je weet'. Dat schreeuwt gewoonweg TFA.

Overigens kan de keyfile, iig in het geval van keepass 2, elk soort bestand zijn. Zo ook bijvoorbeeld een foto.
Kwak je die tesamen met een 100tal andere foto's op een cloud dienst wens ik de hacker veel succes met het achterhalen wat de keyfile nu precies is.

Hide in plain sight

Is uiteraard ook niet echt best practice, maar goed.

Ramon schreef op dinsdag 16 december 2014 @ 21:46:
Aan de andere kant, als dan je laptop/tablet/telefoon gestolen wordt, hebben ze gelijk je keyfile. Hoeven ze alleen nog maar je password te weten, dus voegt het dan niets toe.

Zolang het betekent dat ze fysieke toegang tot je laptop/tablet/telefoon nodig hebben voegt het dus wel wat toe.

Een voorbeeld van een mogelijk aanvullend voorbeeld van een keyfile/deelwachtwoord op een device/nfc chip zou kunnen zijn dat de gevoeligheid voor (letterlijk) afkijken van het wachtwoord wat kleiner wordt, er hangen soms nogal wat cameras etc. Een nfc of eventueel ook telefoon kan natuurlijk vaak wel weer op een andere manier worden afgeluisterd.

Ik kan dit niet ergens terugvinden, maar aangezien veel mensen hier dropbox gebruiken als sync platform mag ik aannemen dat de mobile app inmiddels de data encrypted/beveiligd verstuurt? Dit was in 2012 nog niet zo namelijk.

Ik mag hopen dat wat Dropbox doet in principe niet veel uit zou maken als men per Dropbox wil syncen.

[ Voor 6% gewijzigd door begintmeta op 28-12-2014 22:22 ]

Pabz schreef op zondag 28 december 2014 @ 22:07:
Ik kan dit niet ergens terugvinden, maar aangezien veel mensen hier dropbox gebruiken als sync platform mag ik aannemen dat de mobile app inmiddels de data encrypted/beveiligd verstuurt? Dit was in 2012 nog niet zo namelijk.

De Keepass database is encrypted en wordt pas lokaal gedecrypt wanneer je je wachtwoord invoert, dus hij komt nooit "plain" in je cloud storage te staan.

Ramon schreef op zondag 28 december 2014 @ 23:14:
[...]

De Keepass database is encrypted en wordt pas lokaal gedecrypt wanneer je je wachtwoord invoert, dus hij komt nooit "plain" in je cloud storage te staan.

Ah goed om te weten, ik denk er namelijk ook over na om maar eens over te gaan naar een PW-manager.

Desnoods gebruik je een externe cryptotool als boxcryptor. Die versleutelt de database en synct daarna naar een dropbox oid

Domino schreef op maandag 29 december 2014 @ 19:30:
Desnoods gebruik je een externe cryptotool als boxcryptor. Die versleutelt de database en synct daarna naar een dropbox oid

Niet nodig toch?

https://www.dropbox.com/help/27
Ze geven aan dat het allemaal encrypted is wat verstuurd en opgehaald wordt. Dient er dan nog gebruik gemaakt te worden van een cryptotool?

In mijn geval gebruik ik 1Password, die versleuteld zichzelf dan toch ook al?!

Trezzahn schreef op maandag 19 januari 2015 @ 12:16:
[...]


Niet nodig toch?

https://www.dropbox.com/help/27
Ze geven aan dat het allemaal encrypted is wat verstuurd en opgehaald wordt. Dient er dan nog gebruik gemaakt te worden van een cryptotool?

In mijn geval gebruik ik 1Password, die versleuteld zichzelf dan toch ook al?!

Klopt ja, 1Password gebruikt een AES-256 versleuteling.