Wachtwoordmanager + wachtwoordstrategie

Ik raad je bij deze 1Password aan, gebruik het zowel op laptop als mobiel en werkt super.

[Password Managers] Discussie- en reviewtopic ?

/edit: zelf gebruik voor bepaalde sites wel een "toevoeging" om een site te onthouden; in een aantal gevallen valt dat mooi samen met een andere rode draad die ikzelf al in mijn hoofd heb (nee, geen maand of jaar ofzo).

Maar een volledig random password is het slimste

[ Voor 66% gewijzigd door MAX3400 op 14-12-2017 14:03 ]

Een wachtwoordmanager kan gewoon een wachtwoord voor je aanmaken. Dat wordt dan volledig random. Nee, dat kan je niet onthouden, maar daarom heb je juist een wachtwoordmanager.

Vanuit mijn ervaringen met Lastpass, keepass en 1password raad ik zelf 1password aan. Ik zit zelf wel in een mac eco dus misschien enigszins bevooroordeeld. Lastpass had toentertijd allemaal verschrikkelijke berichtgeving omtrent encryptie maar dit zal ondertussen wel gefixt zijn (hoop ik voor ze).

Bij keepass kreeg ik echt een Linux gevoel en voelde het af en toe allemaal een beetje knullig en incompleet aan. Voor een gratis product werkt het echter wel goed. 1password werkt erg stabiel, fijne client en browser plugins. Daarnaast vind ik de iOS client net zo fijn werken.

Ik gebruik zelf LastPass waarbij ik het premium abonnement heb om al mijn devices te syncen. Zit zelf niet zo in de materie dus kan niet aangeven welke tool het beste is qua beveiliging, encryptie of iets dergelijks. Ik weet alleen dat ik LastPass fijn vindt werken. En de tool maakt random wachtwoorden aan wat altijd beter is dan zelf iets verzinnen.

LordKnox schreef op donderdag 14 december 2017 @ 14:34:
Ik gebruik zelf LastPass waarbij ik het premium abonnement heb om al mijn devices te syncen. Zit zelf niet zo in de materie dus kan niet aangeven welke tool het beste is qua beveiliging, encryptie of iets dergelijks. Ik weet alleen dat ik LastPass fijn vindt werken. En de tool maakt random wachtwoorden aan wat altijd beter is dan zelf iets verzinnen.

Psst, dat is gratis tegenwoordig
https://www.lastpass.com/nl/pricing

De 'randomness' van je wachtwoord maakt tegenwoordig niet zoveel meer uit geloof ik, het gaat voornamelijk om de lengte. Dat heeft als voordeel dat je wachtwoorden niet per definitie onmogelijk hoeven te zijn om zelf te onthouden. Je kunt bijvoorbeeld gebruik maken van wachtzinnen.

Een hulpmiddel kan zijn om een regel uit een liedje of gedicht wat je goed kent te gebruiken, als die niet té lang is. Als die wel te lang is kun je ook de eerste letters van de woorden gebruiken. 'Heb je even voor mij, maak wat tijd voor me vrij', wordt dan Hjevmmwtvmv. Voeg daar eventueel nog een combinatie voor de specifieke app of site aan toe en je hebt een uniek en lang wachtwoord.

edit: Zelf even getest op howsecureismypassword.net en hjevmmwtvmv@FB duurt volgens die site een schamele 29 miljoen jaar om te kraken.

[ Voor 21% gewijzigd door Wouterkaas op 14-12-2017 17:05 ]

-

[ Voor 99% gewijzigd door Verwijderd op 19-10-2019 15:23 . Reden: Leeg ivm privacy ]

Wouterkaas schreef op donderdag 14 december 2017 @ 16:58:
De 'randomness' van je wachtwoord maakt tegenwoordig niet zoveel meer uit geloof ik, het gaat voornamelijk om de lengte. Dat heeft als voordeel dat je wachtwoorden niet per definitie onmogelijk hoeven te zijn om zelf te onthouden. Je kunt bijvoorbeeld gebruik maken van wachtzinnen.

Een hulpmiddel kan zijn om een regel uit een liedje of gedicht wat je goed kent te gebruiken, als die niet té lang is. Als die wel te lang is kun je ook de eerste letters van de woorden gebruiken. 'Heb je even voor mij, maak wat tijd voor me vrij', wordt dan Hjevmmwtvmv. Voeg daar eventueel nog een combinatie voor de specifieke app of site aan toe en je hebt een uniek en lang wachtwoord.

edit: Zelf even getest op howsecureismypassword.net en hjevmmwtvmv@FB duurt volgens die site een schamele 29 miljoen jaar om te kraken.

Alleen worden regels uit bekende boeken, gedichten of liedjes natuurlijk ook in de crackers' databases opgenomen dus of dat nou echt verstandig is?

sdop schreef op donderdag 14 december 2017 @ 14:31:
Ik had eigenlijk in mijn hoofd om Lastpass te gaan gebruiken, maar ga toch ook eens 1password overwegen na deze reacties.

Ik blijf het toch lastig vinden om wachtwoorden te gaan gebruiken die ik niet zelf kan onthouden, vandaar een beetje weerstand

Dat herken ik wel, daar moet je even overheen stappen, het uit handen geven van controle aan een app. Gewoon beginnen zou ik zeggen, dan komt dat vanzelf goed. Persoonlijk kies ik meestal ervoor om Enpass een random wachtwoord van 24 tekens te laten genereren.

Ja, ik ben hier ook nog naar op zoek. Veel apps geprobeerd maar nog niet echt iets gevonden.
Ik zoek eigenlijk ook een optie voor als er met mij iets gebeurd, dat ik een paar mensen in kan stellen die dan toegang krijgen tot mijn wachtwoorden of zo... heeft 1Password zoiets?

-

[ Voor 99% gewijzigd door Verwijderd op 19-10-2019 15:23 . Reden: Leeg ivm privacy ]

Zoiets kan prima bij de andere documenten die je hebt klaargelegd als er iets met je gebeurd. Mijn wachtwoord van mijn wachtwoordmanager heb ik op 1 plek uitgeprint liggen - in een kluis, samen met andere documenten (lijst met je verzekeringen, belangrijke contactpersonen, etc...) die handig zijn voor mijn naasten als ik zelf die informatie niet meer kan geven.

Verwijderd schreef op donderdag 14 december 2017 @ 14:06:
Vanuit mijn ervaringen met Lastpass, keepass en 1password raad ik zelf 1password aan. Ik zit zelf wel in een mac eco dus misschien enigszins bevooroordeeld. Lastpass had toentertijd allemaal verschrikkelijke berichtgeving omtrent encryptie maar dit zal ondertussen wel gefixt zijn (hoop ik voor ze).

Bij keepass kreeg ik echt een Linux gevoel en voelde het af en toe allemaal een beetje knullig en incompleet aan. Voor een gratis product werkt het echter wel goed. 1password werkt erg stabiel, fijne client en browser plugins. Daarnaast vind ik de iOS client net zo fijn werken.

Werkt dat ook een beetje fijn als je op hetzelfde systeem zowel windows als linux hebt staan?

In Windows werkt het net zo prettig als in macOS. Ik heb het verder nooit in een linux distro/window manager geprobeerd dus daar durf ik geen uitspraak over te doen.

Verwijderd schreef op vrijdag 15 december 2017 @ 09:45:
[...]

Nee, en geen enkele wachtwoord-kluis biedt dat aan voor zover ik weet. Het probleem is dat elke methode om toegang tot je wachtwoorden te krijgen misbruikt kan worden. Boeven of de overheid zouden die alternatieve methode kunnen gebruiken om binnen te sluipen. Niet heel handig.

Lastpass heeft dat: https://helpdesk.lastpass.com/emergency-access/

Je moet trusted mensen toevoegen, en er is een 'waiting time' voor als ze ook echt gebruik willen maken (waarbij je dus de kans krijgt om dat te weigeren)

Ik gebruik masterpassword. Hiermee heb je 1 master wachtwoord waarmee je een sitespecifiek wachtwoord genereert. Het werkt met een algoritme dat geen dataverkeer nodig heeft.

Met een yubikey ( https://www.yubikeyshop.nl ) zou je een lange wachtwoord kunnen gebruiken, dan door deze usb erin te drukken, en op een knop drukken, wordt je wachtwoord ingevuld bij je wachtwoord manager, dus je hoeft geen wachtwoord te onthouden.
Wel wachtwoord op papier zetten.
En wachtwoord op papier zetten, geld voor alle wachtwoorden, dus echt alles op papier zetten.
En voor je wachtwoord manager, maak zeer goede backups van de database/wachtwoorden die erin zitten.

Yubikey daar kun je 1 wachtwoord opslaan, en 1 encrypted eenmalige wachtwoord via internet(niet alle website of software ondersteunen dit). dit laatste kun je bijv met keepass2 via plugins doen, dus een eigen eenmalig encrypted wachtwoord, op je eigen pc zonder internet.


In het algemeen,
natuurlijk hoef je niet alle wachtwoorden in 1 wachtwoord manager te zetten.
belangrijke apart houden en bijv alleen via papier doen,
of bijv om wachtwoorden te wijzigen(google), dit helemaal apart houden, zodat je altijd kunt resetten van wachtwoorden.

Ook bijv google,
geen sms meer gebruiken is onveilig,
google authenticator gebruiken(telefoon app).
Bij google instellen hoe je wachtwoord kunt resetten, en meer mogelijkheden hier in zetten,
ouderwetse telefoon, authenticater van google, en ja hier komt het weer een papier printen met eenmalige codes.
Yubikey en andere kun je hier ook gebruiken, maar als je yubikey gebruikt, heb je wel meer dan 1 nodig, want als je deze verliest heb je een 2e yubikey nodig.

Ik zou zeggen google veel, en zoek meer info.

Ramon schreef op vrijdag 15 december 2017 @ 09:39:
[...]

Alleen worden regels uit bekende boeken, gedichten of liedjes natuurlijk ook in de crackers' databases opgenomen dus of dat nou echt verstandig is?
[...]

Het is denk ik een kwestie van tijd voordat dat gebeurt, maar ik denk dat een dergelijke wachtwoord voor de komende paar jaar een prima verstandige (en gebruiksvriendelijke) uitkomst is. Het is een kwestie van tijd voordat het achterhaald is, maar dat geldt uiteindelijk voor praktisch alle securitymaatregelen.

Verwijderd schreef op vrijdag 15 december 2017 @ 09:45:
[...]

Nee, en geen enkele wachtwoord-kluis biedt dat aan voor zover ik weet. Het probleem is dat elke methode om toegang tot je wachtwoorden te krijgen misbruikt kan worden. Boeven of de overheid zouden die alternatieve methode kunnen gebruiken om binnen te sluipen. Niet heel handig.

Dashlane biedt deze functionaliteit ook... je kunt een Emergency Contact opgeven, die toegang tot je passwords kan vragen. Die toegang wordt pas gegeven als jij gedurende een door jou ingestelde wachttijd (bijvoorbeeld 2 dagen, of 1 week) hem niet intrekt. En je kunt per wachtwoord instellen of 'ie wel/niet beschikbaar moet komen voor noodgevallen.

Ik heb zelf een generator bedacht. Geen paswoord generator nodig.

Zie jij het verband als je het algoritme niet weet?
tweakers.net: Wqqq1!tyui
hotmail.com: Oiuy6!hjkl
nu.nl: Uytr4!nmmm

Voorbeeld: Vul in als hoofdletter de 2e letter van de bedrijfsnaam en daarna de letters 3 keer naar links op je toetsenbord.
Stap 1: W bij tweakers.
Stap 2: qqq Als er geen letter meer is blijf die letter gebruiken dus vandaar qqq.
Je hebt nu: Wqqq
Stap 3: Kijk omhoog op je keyboard. Pak het meest linkse nummer en het uitroepteken.
1 ! Je hebt nu: Wqqq 1!
Pak nu de 1e letter van tweakers en ga 3 naar rechts. T bij tweakers
tyui. Als er geen letter meer rechts is blijf die letter gebruiken dus vandaar qqq.
Wachtwoord: Wqqq 1! tyui

Hotmail.com wordt nu: Oiuy 6! hjkl (6 omdat de 6 links boven de y is)
Nu.nl: Uytr 4! nmmm

Tips:
Probeer niet met de eerste letter van de site te beginnen.
Maak een eigen wachtwoord. In bovenstaand voorbeeld kun je ervoor kiezen om 1 letter hoger te beginnen.
Wqqq 1! tyui wordt dan Ewqq 1! yuio
Of tel er 1 vanaf bij je cijfer. Wqqq 1! tyui wordt dan Wqqq 0! tyui
Of als je een dubbele letter hebt vul je een Z in. Wqqq 1! tyui wordt dan Wqzz 1! tyui

Ik heb zelf de voorkeur om het cijfer en de shift niet als laatste maar in het midden ergens te stoppen.
Schrijf een voorbeeld op van je combinatie en maak een foto ervan. Niemand die weet dat dat je wachtwoord is Na 8 keer invullen gaat het vanzelf.
Bij mij komt het keyboard overeen met mijn smartphone keyboard. Alleen de cijfers van de laatste regel vallen niet precies samen zxcvbnm. Fototje maken van je keyboard helpt dan.

[ Voor 60% gewijzigd door enermax op 25-02-2018 00:38 ]

Ik gebruik sinds een tijdje LastPass en ben niet zo heel tevreden.
Nadelen:
- Als mijn laptop meerdere keren uit stand-by wordt gehaald dat gebeurd het soms dat LP niet kan inloggen. Ik geeft dat het juiste wachtwoord op maar hij geeft dan een PW error aan.
- Inmiddels ben ik twee keer mijn hoofdwachtwoord vergeten en heb ik deze met weinig moeite kunnen herstellen. Mooi voor mij op dat moment maar of het nou zo goed is in dit geval betwijfel ik.
- Alles wordt opgeslagen in een server van LP en deze is al meerdere keren aangevallen en gekraakt.

Voordelen:
- Mooie en gebruiksvriendelijke layout (mijn vrouw kan er ook mee werken ;P)
- Fijne gratis versie
- Als jeje hoofdwachtwoord vergeet kan je hem herstellen.
- Je kan meer dan alleen ww opslaan , ook notities en autofill gegevens.

Dus om kennis te maken met een PWmanager is LP een prima keuze denk ik. Maar ik twijfel of ik een ander programma ga gebruiken.
Ik vind het vooral belangrijk dat mijn hoofdwachtwoord niet zo makkelijk kan worden gekraakt op worden hersteld. Deze moet ik dan ergens opschrijven.

Alles wordt wel opgeslagen op de servers van LP, maar dat maakt niet veel uit. Zonder je eigen password, kan de vault niet gede-crypt worden, dus kunnen ze niets met de informatie. Behalve als ze op een andere manier achter je vault wachtwoord komen natuurlijk.

Your data is encrypted and decrypted at the device level. Data stored in your vault is kept secret, even from LastPass. Your master password, and the keys used to encrypt and decrypt data, are never sent to LastPass’ servers, and are never accessible by LastPass.

[ Voor 35% gewijzigd door ZaPPZion op 27-02-2018 23:04 ]

Ik ben recent van keepass overgestapt naar enpass
https://www.enpass.io/

+Betere browser integratie (Chrome en Edge)
+daar gebruik je 'm het meest en dit werkt erg fijn doordat je met 1 a 2 klikken kan inloggen
+Suggestie tot toevoegen bij nieuwe site
+url check

-10 € voor de mobiele versies (moet die nog kopen en testen maar hij moet goed zijn hoor ik van collega)
-Binnen het programma zelf vind ik het minder overzichtelijk( maar dat kan door de database import komen)

[ Voor 12% gewijzigd door Gman op 27-02-2018 23:15 ]

Ik gebruik al jaren Vim met de GnuPG plugin.
https://www.vim.org/scripts/script.php?script_id=3645

De belangrijkste wachtwoorden onthou ik, de rest zit opgeslagen in een bestand per functie met een eigen passphrase. Wachtwoorden zijn altijd random generated met een tooltje genaamd pwgen. (Is ook een online versie van: https://8-p.info/pwgen/ en een Windows versie: http://pwgen-win.sourceforge.net/ )

Nadeel: Het werkt niet mobiel. Je hebt er een PC of shellserver voor nodig.
Voordeel: Je kunt zo'n bestand met meerdere mensen tegelijkertijd gebruiken (alleen niet bewerken) en je kunt makkelijk collega's toegang geven of ontzeggen tot die file door hun gpg key d'r aan toe te voegen danwel d'r uit te kieperen.

Omdat het wel een dingetje was voor mij deel ik jullie ook dat ik ben uitgekomen bij Enpass. Heb een poosje op het spoor gezeten van Lastpass, maar vond deze toch wel wat te duur en te veel 'ruis' qua mogelijkheden. En omdat ik met één been in de Windows omgeving sta en met één been in de iOS omgeving, was een brede inzetbaarheid een must. En 10 dollar voor een live time support op de mobiel is echt een schijntje vergeleken bij jaarlijks terugkerende kosten bij andere partijen. Maar niet te veel over de kosten; het gebruik is namelijk erg makkelijk. Ik kom van een Word-document met een tabel waar ik veel in bewaarde ( ), en die kon ik via Excel en .csv importeren in Enpass. Prachtig hoe dit werkt. Nu moet ik alleen nog wennen aan het feit dat ik zelf een aantal wachtwoorden niet meer weet; voelt toch raar in het begin. Daarom ook een USB stick besteld die aan mijn sleutelbos kan om daarop de portable versie van Enpass te parkeren. Mocht ik ergens zijn en ergens bij moeten en er geen Enpass beschikbaar is. Dat is wel weer een nadeel, maar ben het nog niet tegengekomen.
Al met al heel tevreden over Enpass.

NAV de hetze tegenwoordig ben ik overal random wachtwoorden aan het instellen met hulp van een random hash generator. Maar die zijn niet te onthouden en ook niet zo'n pretje om over te typen.

Is het veilig om Google Chrome mijn wachtwoorden te laten onthouden zolang andere mensen geen fysieke toegang hebben tot mijn hardware? (Ik ben ingelogd in Chrome met een Google account met 2FA ingesteld. Dat account kan enkel recovered worden via m'n Apple ID dat ook met 2FA werkt.)

[ Voor 4% gewijzigd door TheMaxMan op 07-04-2018 11:15 ]