Passwords wat is veiliger.

Met een keylogger is in principe alles af te luisteren. Alles wat je op jouw toetsenbord intikt, maar ook wat op je klembord staat met ctrl+c kan worden bekeken.
Ook wat als wachtwoord in je browser is opgeslagen is eenvoudig uit te lezen.

Dus daarvoor moet je je al tegen beveiligen.

Daarna heb je de website waar je jouw wachtwoord (of hash) naartoe verzend. Afhankelijk van de gebruikte beveiliging kan dat eenvoudig of moeilijk zijn om dat af te luisteren.
En als laatste de website zelf. Hoe slaat deze het wachtwoord op en hoe makkelijk is het decoderen ervan?

Daarnaast heeft een website ook een backuplocatie. Hoe veilig is die backup opgeborgen en wie kunnen daar allemaal bij......


Maar de beste beveiliging begint bij jezelf, dus zorg voor een uniek wachtwoord voor elke website en zorg dat jouw eigen pc schoon blijft van afluisterapparatuur.

Een goede website slaat nooit je wachtwoord op,
een goede website kan ook nooit, als jij je wachtwoord vergeet, je wachtwoord per mail sturen, als de website dit wel doet dan is de beveiliging slecht.
De website controleert dmv hash of jij de goede wachtwoord aanlevert.

Ik zou een password manager gebruiken, dan hoef jij maar 1 wachtwoord te onthouden, dan kun je daar alle wachtwoorden opslaan, als je de wachtwoorden nodig hebt, dan maak je het even open.
Je kunt voor belangrijke wachtwoorden, deze bijv apart houden en niet in de wachtwoord manager opslaan, misschien bank/aandelen of zoiets.
Of je het in de browser laat opslaan, daar zou ik kijken of het een belangrijke wachtwoord is.

Ook altijd 2weg verificatie gebruiken indien mogelijk, is veel veiliger. Dus extra code via sms krijgen.

Zelf heb ik voor bankzaken een aparte oude pc.
Voor internet aankopen heb ik ook een aparte pc.
Aandelen handelen ook een aparte pc.
En dan 1 pc voor dagelijks gebruik.
Hierdoor heb ik geldzaken gescheiden va de normale pc, en ook wachtwoorden.
Stel ik installeer 30 programma's, dan heb ik van spyware/virussen bijna geen last met bankzaken, want bij bankzaken start ik de pc, met de hand updaten, bankzaken doen, en pc uit, dus bijna geen kans dat er iets gebeurd.(en ik gebruik alleen linux).
Met bijv een sata swicht, daar kun je 4 hd's aansluiten in 1 pc, en deze afzonderlijk aanzetten, dus 4 computers in 1 pc kast.

[ Voor 3% gewijzigd door jan99999 op 25-07-2016 22:51 ]

Er is nog een optie: Een password manager zoals KeePass gebruiken. Deze slaat al je passwords versleuteld op. Bij het starten van de software unlock je het password bestand met een combinatie van wachtwoord en/of key-file. Met de juiste browser-plugin worden login gegevens automatisch uit KeePass gehaald en ingevuld.

Daarnaast moet je natuurlijk waar mogelijk 2-factor-authentication gebruiken.

Rannasha schreef op maandag 25 juli 2016 @ 22:54:
Er is nog een optie: Een password manager zoals KeePass gebruiken. Deze slaat al je passwords versleuteld op. Bij het starten van de software unlock je het password bestand met een combinatie van wachtwoord en/of key-file. Met de juiste browser-plugin worden login gegevens automatisch uit KeePass gehaald en ingevuld.

Dat is niet "nog een optie", dat is optie 3 uit de TS maar dan met een extern programma ipv in de browser ingebouwd.

Hee, met een browser-plugin uit KeePass halen, dat wist ik nog niet. Eens kijken hoe dat gaat t.o.v. ctrl-v (auto invullen user/pass)

CyBeR schreef op maandag 25 juli 2016 @ 22:57:
[...]


Dat is niet "nog een optie", dat is optie 3 uit de TS maar dan met een extern programma ipv in de browser ingebouwd.

Er is een verschil tussen opslaan in de browser en in een password manager. Met een PW manager heb je zelf de controle over de mate van versleuteling, het werkt cross-browser en je kunt ook wachtwoorden opslaan van diensten die niet via de browser lopen (al mis je dan meestal auto-fill features).

Rannasha schreef op maandag 25 juli 2016 @ 23:00:
[...]


Er is een verschil tussen opslaan in de browser en in een password manager. Met een PW manager heb je zelf de controle over de mate van versleuteling, het werkt cross-browser en je kunt ook wachtwoorden opslaan van diensten die niet via de browser lopen (al mis je dan meestal auto-fill features).

Zeker waar maar 't is conceptueel precies hetzelfde.

Verwijderd schreef op maandag 25 juli 2016 @ 22:16:
Als je online voor websites zoals bijvoorbeeld tweakers een password gebruikt, wat is dan in de regel veiliger?
-elke keer manueel je pw invoeren met als risisco dat je 'afgeluisterd word'
-het vinkje aanklikken met onthoud mij, dat op de website staat
-het aanbod van je browser inwilligen door die het pw op te laten slaan.

Zit er dan ook nog verschil in websites? zoals een PayPal?

Je kunt deze vragen beter beredeneren vanuit de positie van een aanvaller. De aanvaller kan:

1. Jouw PC compromitteren. En daarmee bijvoorbeeld met een keylogger je wachtwoord afvangen, of de wachtwoord database die je gebruikt stelen.
2. De verbinding van en naar de beveiligde website waarop je wilt inloggen afluisteren en/of manipuleren zodoende dat het wachtwoord of session cookie afgevangen wordt.
3. De website waarop je wil inloggen kan gehackt worden met een wachtwoord lek tot gevolg.

..en nee, in feite maakt het niet uit met welke website je van doen hebt, ware het niet dat risico's voor sites waar je echt iets hebt verliezen natuurlijk groter zijn (bijv. bankwebsite).

Voor al deze 'attack vectors' zijn maatregelen te bedenken. In die zin is er geen één beste manier van handelen, omdat de voorbeelden die je noemt slechts gaan over twee van bovenstaande risico's.

1. Je wachtwoorden en de manier waarop je ze gebruikt. Dat onderwerp alleen leidt al tot vele discussies over wat nou beter is. Wat niet verstandig weten we ondertussen wel te benoemen:
- Gebruik geen zwakke wachtwoorden, ook al laat een website dat toe. Een zwak wachtwoord is bijvoorbeeld een enkel 'woordenboekwoord' al dan niet begonnen of gevolgd door een cijfertje.
- Gebruik niet voor elke website hetzelfde wachtwoord. Dat voorkomt dat mocht iemand een site hacken en de gegevens online zetten, dat je daarmee de wachtwoorden van alle sites waarop je datzelfde wachtwoord gebruikt mogelijk aangevallen worden.
- Dat laatste leidt al snel weer tot een nieuw probleem, want je kunt moeilijk voor elke site een uniek wachtwoord bedenken én onthouden. Dan kom je al snel uit op een password manager, en in de regel kun je het best een 'open source' product gebruiken. Zie ook het andere topic over wachtwoord managers.
- En je kunt ook gephisht worden, al dan niet via een linkje in de e-mail, of omdat je systeem dusdanig is aangevallen dat je niet meer naar je 'echte' bank gaat. Het beste hierbij is blijvende oplettendheid...

2. Voorkomen dat je verbinding makkelijk afgeluisterd wordt. Wederom niet eenvoudig, zeker omdat je 'onderweg' naar een website vele stations passeert die je niet stuk voor stuk kan checken op degelijkheid. In de regel kun je wel de volgende adviezen meenemen:
- Log nooit in op websites via (draadloze) netwerken die niet van jou zijn. Er is een groot arsenaal aan tools beschikbaar om (ook HTTPS) verbindingen te manipuleren. Mocht je dit dan toch (moeten) doen, NEGEER DAN NOOIT eventuele beveiligingswaarschuwingen in je browser of app op je telefoon, mocht dit voorkomen.
- Mocht je TOR gebruiken, gebruik het dan nooit om ergens 'in te loggen' wat meer waard dan je lief is. Afvangen van verkeer op een TOR exit node is een fluitje van een cent.

3. De beveiliging van een website is tot op zekere hoogte ook te controleren. Een website die anno 2016 bijvoorbeeld nog geen HTTPS op een wachtwoordveld gebruikt is eigenlijk geen account meer waard. Niet alleen omdat dan je wachtwoord plaintekst (of zo goed al) het internet over gaat, maar omdat de beheerders waarschijnlijk ook maar weinig kaas van hebben gegeten hoe die accounts 'aan de achterkant' te beveiligen. Ook speel je zo aanvallers bij 2. in de kaart. Je kunt zelf:
- Checken op ssllabs.com of de HTTPS configuratie van de betreffende website deugd.
- Doe eens een password reset op een website. Als je letterlijk een leesbaar nieuw (of nog erger: je bestaande) wachtwoord krijgt, dan is dat een indicatie dat de betreffende ww database niet versleuteld is.
- Sites die veel doen met session cookies zou ik ook voor waken. Liever een keer te veel inloggen, dan dat iemand die mogelijk in handen krijgt en je sessie zou kunnen overnemen. In die zin is t.net vrij 'makkelijk', en moet je actief oude session cookies weggooien...

En zo zijn er nog talloze opties/mogelijkheden/attack vectors en mitigerende maatregelen te noemen. Maar bovenstaande is redelijk common sense en haalbaar...

Uitlezen van de opgeslagen wachtwoorden in de Chrome-browser is geen enkele moeite: ChromePass.
Net even geprobeerd en hij haalt alles zo binnen

Het ding kan ook commandline draaien zie ik, dus ik zou er niet raar van staan te kijken als dat tooltje ook door criminelen wordt misbruikt.

Behalve zelf de beveiliging op orde hebben is ook de andere partij in kaart brengen handig. Ik gebruik voor sites of bestanden die ik niet meteen vertrouw de virustotal website. Ook al geven ze zelf aan dat ze geen vervanger zijn voor antivirussoftware, kun je virussen afaik al binnenhalen door een verkeerde website te bezoeken.

Daarnaast zijn er block lists beschikbaar (zie ook Mopperman in https://tweakers.net/nieuws/113917/europol-start-samenwerking-met-politie-en-beveiligingsbedrijven-tegen-ransomware.html)

deze?

http://www.malware-domains.com/files/
https://ransomwaretracker.abuse.ch/blocklist/

Daarmee kunnen sites waar ransomware mee wordt verspreid automatisch geblokkeerd.

ebia schreef op maandag 25 juli 2016 @ 23:16:
Mocht je TOR gebruiken, gebruik het dan nooit om ergens 'in te loggen' wat meer waard dan je lief is. Afvangen van verkeer op een TOR exit node is een fluitje van een cent.

Tor (niet TOR) kan gebruikt worden op meerdere manieren. Om te stellen dat je Tor nooit moet gebruiken om ergens in te loggen is te kort door de bocht. Zeker voor dissidenten die gebruik willen maken van algemene maar geblokkeerde platformen (twitter in Turkije etc) zullen zij hier niet aan ontkomen.

Het is ook nog eens onjuist, bij het gebruik van https kan de exit node alleen zien met welke partij je verbinding maakt en niet wat je stuurt en ontvangt.

ELD schreef op woensdag 27 juli 2016 @ 12:37:
[...]


Tor (niet TOR) kan gebruikt worden op meerdere manieren. Om te stellen dat je Tor nooit moet gebruiken om ergens in te loggen is te kort door de bocht. Zeker voor dissidenten die gebruik willen maken van algemene maar geblokkeerde platformen (twitter in Turkije etc) zullen zij hier niet aan ontkomen.

Het is ook nog eens onjuist, bij het gebruik van https kan de exit node alleen zien met welke partij je verbinding maakt en niet wat je stuurt en ontvangt.

Het hele idee van Tor gebruiken, is er juist op gebaseerd dat je anoniem kan blijven. Het laatste wat je dan moet doen is 'inloggen' want dat proces de-anonimseerd je (of maakt de kans daarop groter).

HTTPS is leuk maar niet onfeilbaar, en zeker niet overal en altijd juist geïmplementeerd. Zie ook de resultaten uit dit onderzoek http://www.cs.kau.se/philwint/spoiled_onions/