Hoe veilig is wachtwoorden bewaren in icloud notities?

Waarom zou je Notes daarvoor gebruiken? Dan kun je toch beter gebruikmaken van iCloud Keychain? Hoef je niet alles self bij te houden en kun je automatisch gegenereerde wachtwoorden gebruiken

Dit is meer iets voor Beveiliging & Virussen, dus een move die kant op

3i > BV

dennis_rsb schreef op donderdag 26 januari 2017 @ 21:07:
[...]


In notes vind ik het overzichtelijker. Dan kan ik eigen kopjes maken. Bv 1 notitieitem met "forums" 1 met "social media" etc. Jouw optie kan idd, maar er zijn sites die ik nooit met mijn mobiel eigenlijk open. Of jij bedoelt handmatig 1malig er inzetten? Ik gebruik als pc gewoon Windows. Maar is het nog zo dat die icloud sleutelhanger veiliger is dan de notities? (Zowel qua datavastheid als minder gevoelig voor cybercriminaliteit?)

Je kunt met Keychain makkelijk een naam geven aan je record bijv: forum auto's, forum tweakers etc. Als je dus zoekt op "forum" krijg je ze allemaal netjes te zien.

Ik vind het echt geweldig werken, ook omdat het dan gesynchroniseerd is met mijn telefoon en alle andere apparaten die verbonden zijn aan mijn iCloud.

iCloud Keychain kun je helaas niet gebruiken op Windows. Dus dan is dat inderdaad geen optie.

Als je bijv een MacBook en een iPhone hebt, synchroniseert die virtuele sleutelhanger je wachtwoord en hoef je dus niks meer in te vullen.
Werkt dus eigenlijk net zoals Lastpass of een andere password manager.

Over de veiligheid van Notes: ik weet niet of het minder veilig is dan een password manager. Er zit immers nog een TouchID wachtwoord (óf passphrase op). Als iemand dus jouw passphrase heeft dan kan die persoon er alsnog bij komen.

Heb er zelf ook wel wat simpele wachtwoorden in zitten (o.a van Wi-Fi). Ik denk dat het belangrijkste is dat je niemand aan je telefoon laat zitten en je wachtwoord alleen bij jou bekend is.

Khallouki schreef op donderdag 26 januari 2017 @ 21:36:
[...]


Je kunt met Keychain makkelijk een naam geven aan je record bijv: forum auto's, forum tweakers etc. Als je dus zoekt op "forum" krijg je ze allemaal netjes te zien.

Ik vind het echt geweldig werken, ook omdat het dan gesynchroniseerd is met mijn telefoon en alle andere apparaten die verbonden zijn aan mijn iCloud.

Dat kan niet op iOS, dus daar heeft de TS niet veel aan.

[ Voor 25% gewijzigd door oohh op 26-01-2017 21:39 ]

dennis_rsb schreef op donderdag 26 januari 2017 @ 20:48:
En dingen als Lastpass vind ik niet makkelijk/fijn werken.

Wat is jullie mening hierover?

Wat vind je precies niet makkelijk en fijn aan lastpass en wat denk je in jouw oplossing te vinden dat Lastpass en consorten jou niet kunnen bieden?

Ben zelf namelijk sindskort een dankbaar Lastpass gebruiker.
Alle gevoelige accounts zijn "afgeschermd" met verschillende wachtwoorden die random gegereneerd zijn op basis van de wensen/mogelijkheden van de betreffende site.
Wil mijn hypotheekverstrekker max 20 tekens, minstens 1 hoofdletter, een cijfer en een leesteken? Prima, beste Lastpass, verzin maar wat leuks dat aan deze eisen voldoet.

Het hoofdwachtwoord zelf is ook niveautje NSA meets CIA maar kan gelukkig op onze telefoons vervangen worden door een simpele vingerafdruk.

Alles in de cloud is per definitie onveilig als het daar onversleuteld staat. Zeker wanneer het in cleartext is. Daarnaast vind ik de risico's ook best wel groot met cloud diensten en documenten er in wanneer je opeens last krijgt van een update waardoor een | een ¦ is omdat er opeens een update is.

Zelf gebruik ik keypass met een database op OneDrive. Waarbij ik gebruik maak van certificaat en paswoord met sterke encryptie. Certificaat staat op USB key. Al neemt iemand de database mee, dan nog is het veilig.

dennis_rsb schreef op donderdag 26 januari 2017 @ 22:03:
[...]


Alles in iCloud is toch versleuteld dacht ik? Kijk als ik nou een kladblok bestandje in notepad maak en die in dropbox of onedrive knal snap ik dat de risico's stukken groter zijn.

Wie zegt dat jij de enige bent die de sleutel heeft?

Lastpass vertrouw ik niet. Keypass genereer je je eigen sleutel waardoor alleen bezitter van sleutel + password de db kan gebruiken.

dennis_rsb schreef op donderdag 26 januari 2017 @ 22:02:
[...]


Nouja, ik heb ze beide geprobeerd de bekendste Keepass en Lastpass (jaartje geleden wel al) en vond het gewoon niet zo fijn. Wellicht dat ik het mezelf ook te lastig maaktte door meerdere devices.

Lastpass is sinds een tijdje ook met ontbetaald account op meerdere devices te gebruiken.
Gebruik het zelf op Windows 10 (in Crome browser) Android 7.1 en Ios 10.nogwat. Allen naar volle tevredenheid.

Wim-Bart schreef op donderdag 26 januari 2017 @ 22:15:
Lastpass vertrouw ik niet. Keypass genereer je je eigen sleutel waardoor alleen bezitter van sleutel + password de db kan gebruiken.

Wat vertrouw je precies niet aan Lastpass? (Oprechte vraag)
Weet zelf namelijk niet beter dan dat mijn zelfgekozen masterkey ook op een deftige manier versleuteld staat opgeslagen.

Overigens zijn mijn "belangrijke" logins wat dat betreft wel dubbel beveiligd;
- Digid - Two factor
- Hypotheekverstrekker - Gekoppeld aan een elders ondergebrachte rekening. Kan dus hooguit wat documenten inzien. Vind ik niet zo spannend dat iemand een loonstrookje van 3 jaar geleden kan zien. Mijn cao is wat dat betreft toch openbaar)
- Creditcard - Gekoppeld aan elders ondergebrachte rekening. Enige dat hij/zij kan uitspoken is een opdracht uisturen om mijn openstaande bedrag (als ik deze al heb) te betalen.
- Aandelen - 2 factor + koppeling aan specifieke rekening. Hij/zij kan hier een kijkje nemen in mijn aandelenportfolio maar verder geen aan- of verkopen doen. Volgens mij kun je hier met een zoekopdracht op GOT ook wel achterkomen

Verder zitten er louter wat minder kritieke sites als Tweakers e.d. opgeslagen. Nou, zodra iemand het voor elkaar krijgt om mijn masterkey te achterhalen, gun ik hem/haar oprecht alle plezier in de GOT-huiskamer. Hoop uiteraard wel dat hij/zij een beetje lief is voor jullie

Switchie schreef op donderdag 26 januari 2017 @ 22:35:
[...]

Lastpass is sinds een tijdje ook met ontbetaald account op meerdere devices te gebruiken.
Gebruik het zelf op Windows 10 (in Crome browser) Android 7.1 en Ios 10.nogwat. Allen naar volle tevredenheid.


[...]

Wat vertrouw je precies niet aan Lastpass? (Oprechte vraag)
Weet zelf namelijk niet beter dan dat mijn zelfgekozen masterkey ook op een deftige manier versleuteld staat opgeslagen.

Overigens zijn mijn "belangrijke" logins wat dat betreft wel dubbel beveiligd;
- Digid - Two factor
- Hypotheekverstrekker - Gekoppeld aan een elders ondergebrachte rekening. Kan dus hooguit wat documenten inzien. Vind ik niet zo spannend dat iemand een loonstrookje van 3 jaar geleden kan zien. Mijn cao is wat dat betreft toch openbaar)
- Creditcard - Gekoppeld aan elders ondergebrachte rekening. Enige dat hij/zij kan uitspoken is een opdracht uisturen om mijn openstaande bedrag (als ik deze al heb) te betalen.
- Aandelen - 2 factor + koppeling aan specifieke rekening. Hij/zij kan hier een kijkje nemen in mijn aandelenportfolio maar verder geen aan- of verkopen doen. Volgens mij kun je hier met een zoekopdracht op GOT ook wel achterkomen

Verder zitten er louter wat minder kritieke sites als Tweakers e.d. opgeslagen. Nou, zodra iemand het voor elkaar krijgt om mijn masterkey te achterhalen, gun ik hem/haar oprecht alle plezier in de GOT-huiskamer. Hoop uiteraard wel dat hij/zij een beetje lief is voor jullie

toon volledige bericht

Mijn probleem met een sleutel in de cloud is dat niemand mij kan garanderen dat anderen niet bij die key kunnen. Ik heb te vaak data diefstal gezien om zo maar alle beheerders van diensten te vertrouwen. 1 rotte appel is genoeg.....

Wim-Bart schreef op vrijdag 27 januari 2017 @ 20:32:
[...]

Mijn probleem met een sleutel in de cloud is dat niemand mij kan garanderen dat anderen niet bij die key kunnen. Ik heb te vaak data diefstal gezien om zo maar alle beheerders van diensten te vertrouwen. 1 rotte appel is genoeg.....

Maar jouw masterkey zou b.v. achterhaald kunnen worden door een zero day in Windows die jouw toetsaanslagen netjes mailt naar h4ckZ0r@gmail.com. In de wondere wereld van het internet is 100% veiligheid helaas toch een utopie.

Vanuit dit oogpunt sta ik er zelf dan ook vrij nuchter in. 99.99% van de hackers die opereren uit financieel gewin schieten met hagel. Zolang er miljoenen mensen bankgegevens mailen naar een Zimbabwaanse prins zal deze aanpak vanuit kosten/baten de voorkeur genieten.

Daarnaast heb je natuurlijk de grote online communities die geen noodzaak zien in updates. Met de juiste exploit heb je binnen nuttele seconden een complete database dump. Uiteraard gebruikt 50% van de bezoekers exact dezelfde credentials voor zijn/haar MasterCard account et voila, relatief simpel en goedkoop een gigantische geldberg binnen handbereik.

Kans dat iemand zich specifiek op mij gaat richten terwijl hij/zij voor dezelfde kosten 3 miljoen naïeve ouderen kan benadelen, is dus eigenlijk vrij klein.

Ergo. Zolang ik voor elke site een verschillend wachtwoord a la "3&#GBn6.&"6@$!4" gebruik, geen creditcardgegevens mail naar Prins Youseff Ubabai de 3e en mijn software netjes up-to-date houd, ben ik praktisch afgedekt tegen 99.99% van de mogelijke gevaren.
Mocht ik desondanks slachtoffer worden, zijn mijn bankzaken e.d. nog voorzien van een Two factor autorisatie. Ongetwijfeld dat Putin's 1337 h4ckz0r leger hier ook wel raad mee weet maar zolang ik geen oliemagnaat, Amerikaans president of lid ben van de anti-Putin beweging denk ik dat ik met mijn paar euro niet een al te interessant target ben.

dennis_rsb schreef op donderdag 26 januari 2017 @ 22:03:
[...]


Alles in iCloud is toch versleuteld dacht ik? Kijk als ik nou een kladblok bestandje in notepad maak en die in dropbox of onedrive knal snap ik dat de risico's stukken groter zijn.

Notes worden zover ik weet via de e-maildienst opgeslagen en die is niet encrypted.

dennis_rsb schreef op donderdag 26 januari 2017 @ 22:02:
[...]
Het gaat er mij vooral om wat de meest veilige optie is, maar het moet ook wel fijn werken..

Ik gebruik KeePass nu al een geruime tijd op zowel MacOS als windows, en het werkt lekker.
Eventueel kan je het in dropbox gooien om het te laten syncen tussen verschillende devices zodat je er ook bij kan op je mobiel.


EDIT:
Antwoord op je vraag is natuurlijk ook wel netjes:
NEE het is niet veilig in je notities.
Voeg je een keer een email adres toe aan je accounts en je let ff niet op.
Dan kan het zijn dat dat nieuwe email account ook de notities synct. (aantal jaar geleden gehad)

[ Voor 24% gewijzigd door Pearx op 28-01-2017 00:19 ]

Het voordeel van Keepass en Dropbox is dat ze eerst in jouw Dropbox moeten komen en dan nog een apart beveiligde password vault in moeten komen. De cloud sync oplossing staat volledig los van de password encryptie oplossing.
Ook al is een van de twee lek, ze moeten beide systemen kraken.

Switchie schreef op zaterdag 28 januari 2017 @ 00:04:
[...]

Maar jouw masterkey zou b.v. achterhaald kunnen worden door een zero day in Windows die jouw toetsaanslagen netjes mailt naar h4ckZ0r@gmail.com. In de wondere wereld van het internet is 100% veiligheid helaas toch een utopie.

Vanuit dit oogpunt sta ik er zelf dan ook vrij nuchter in. 99.99% van de hackers die opereren uit financieel gewin schieten met hagel. Zolang er miljoenen mensen bankgegevens mailen naar een Zimbabwaanse prins zal deze aanpak vanuit kosten/baten de voorkeur genieten.

Daarnaast heb je natuurlijk de grote online communities die geen noodzaak zien in updates. Met de juiste exploit heb je binnen nuttele seconden een complete database dump. Uiteraard gebruikt 50% van de bezoekers exact dezelfde credentials voor zijn/haar MasterCard account et voila, relatief simpel en goedkoop een gigantische geldberg binnen handbereik.

Kans dat iemand zich specifiek op mij gaat richten terwijl hij/zij voor dezelfde kosten 3 miljoen naïeve ouderen kan benadelen, is dus eigenlijk vrij klein.

Ergo. Zolang ik voor elke site een verschillend wachtwoord a la "3&#GBn6.&"6@$!4" gebruik, geen creditcardgegevens mail naar Prins Youseff Ubabai de 3e en mijn software netjes up-to-date houd, ben ik praktisch afgedekt tegen 99.99% van de mogelijke gevaren.
Mocht ik desondanks slachtoffer worden, zijn mijn bankzaken e.d. nog voorzien van een Two factor autorisatie. Ongetwijfeld dat Putin's 1337 h4ckz0r leger hier ook wel raad mee weet maar zolang ik geen oliemagnaat, Amerikaans president of lid ben van de anti-Putin beweging denk ik dat ik met mijn paar euro niet een al te interessant target ben.

toon volledige bericht

Dit zijn exact de redenen waarom ik (en een hoop anderen) niet Lastpass gebruiken
De kans dat een hacker zich op 1 persoon specifiek richt is te klein om actief tegen te beschermen (behalve updates doen etc...) dus de kans dat zo'n hacker mijn Keepass gaat proberen te kraken is al te verwaarlozen. Met Lastpass hoeft de hacker niet op 1 te richten maar kan die op miljoenen? (hoeveel Lastpass users zijn er?) richten
Verder is het al eens mis gegaan bij Lastpass, de kans dat er iets gebeurt is dus al bevestigd.
Daarbij biedt Lastpass voor mij geen voordeel, heb de synchronisatie zelf in beheer

Op de computer gewoon de KeePass 2.x applicatie en de database openen vanuit de Dropbox map. Op Android is er een KeePass app die rechtstreeks vanuit Dropbox de database kan openen. Op iOS geen idee, gebruik ik niet.

Tsurany schreef op zaterdag 28 januari 2017 @ 10:54:
Op de computer gewoon de KeePass 2.x applicatie en de database openen vanuit de Dropbox map. Op Android is er een KeePass app die rechtstreeks vanuit Dropbox de database kan openen. Op iOS geen idee, gebruik ik niet.

Yes er is een iOS app die werkt.

En ik zou mijn KeePass database zelfs publiekelijk kunnen hebben en geen zorgen hoeven te maken dat het master-password gekraakt word.

My 2 cents aan dit alles voor de ts: Waarom zou je zaken in iCloud bewaren ( jaaa... ik weet "het is makkelijk en ik heb niet zoveel zin..." verhaal ken ik) als je twijfels hebt? Ik ken het gemak en de verhalen over iCloud en soortgelijke progjes maar ik bewaar alles waar ik twijfels over heb of het verstandig is dat op een externe server te zetten gewoon niet op een externe server maar gewoon ouderwets in een word bestand uitgeprint en wel in een speciale map en digitaal op mijn mobiel waar ik geen internet op gebruik. Wil ik even weten wat een wachwoord o.i.d. weer was dan hoef ik het maar even op te zoeken (kleine moeite) en niemand die er verder naar kraait behalve ik en ik hoef niet bang te zijn dat derden erbij kunnen. Doe het al jaaren.