Toon posts:

Controle prive beveiliging

Pagina: 1
Acties:

Vraag

maandag 11 juni 2018 21:23

Acties:
  • 0 Henk 'm!
  • JeroenNietDoen
  • Registratie: Januari 2001
  • Laatst online: 22:34

JeroenNietDoen

Topicstarter
In voorgaande jaren gebruikte ik altijd 3 layers van wachtwoorden. Hoog, medium en low. In een recente actie vanuit Tweakers werd mijn wachtwoord/mail combo opgemerkt in een gelekte password dump. Als gevolg daarvan ben ik het anders gaan aanpakken. En daar wil ik graag feedback op.

- Ik heb Lastpass geïnstalleerd en daar een vrij sterk doch te onthouden wachtwoord op gezet.
- Lastpass voor alle websites/services een wachtwoord laten genereren van 20 characters met cijfers, letters, leestekens en hoofdletters. Uitzondering hierop zijn mijn Google en Microsoft accounts.
- Vervolgens op mijn Google en Microsoft accounts MFA aangezet en ingesteld in Authy.
- In Google en Microsoft tevens alle vertrouwensrelaties van alle devices laten intrekken.
- Mocht het zo zijn dat ik mijn telefoon kwijtraak, heb ik voor mijn Microsoft en Google accounts herstelcodes. Die staan op mijn NAS opgeslagen.
- Die telefoon heeft een vingerafdruk nodig om te unlocken.

Welnu is mijn vraag aan jullie, zien jullie eventueel nog valkuilen of gaten in deze setup? Nog andere adviezen?

Alle reacties

maandag 11 juni 2018 22:06

Acties:
  • 0 Henk 'm!
  • Yeebo
  • Registratie: December 2016
  • Niet online

Yeebo

Voor zover ik het goed lees heb je alleen MFA ingeschakeld bij Google en Microsoft? Waarom niet bij alle sites die ook in LastPass staam?

maandag 11 juni 2018 22:48

Acties:
  • 0 Henk 'm!
  • TERW_DAN
  • Registratie: Juni 2001
  • Niet online

TERW_DAN

Met een hamer past alles.

Waarom niet ook een 2FA op je LastPass account?

dinsdag 12 juni 2018 05:53

Acties:
  • 0 Henk 'm!
  • JeroenNietDoen
  • Registratie: Januari 2001
  • Laatst online: 22:34

JeroenNietDoen

Topicstarter
daupie schreef op maandag 11 juni 2018 @ 22:06:
Voor zover ik het goed lees heb je alleen MFA ingeschakeld bij Google en Microsoft? Waarom niet bij alle sites die ook in LastPass staam?
Eh...dan moet in de eerste plaats MFA wel mogelijk zijn. De gemiddelde site, neem Tweakers.net, biedt geen MFA aan. De enige sites die ik bezoek die de optie hebben, maar die ik niet gebruik zijn Facebook, Twitter en Instagram. Zo extreem belangrijk vind ik die niet dat ik daarvoor een authenticator laag op wil zetten.
TERW_DAN schreef op maandag 11 juni 2018 @ 22:48:
Waarom niet ook een 2FA op je LastPass account?
Ja, das een goede d:)b

dinsdag 12 juni 2018 10:07

Acties:
  • 0 Henk 'm!
  • Yeebo
  • Registratie: December 2016
  • Niet online

Yeebo

Kaap schreef op dinsdag 12 juni 2018 @ 05:53:
[...]

Eh...dan moet in de eerste plaats MFA wel mogelijk zijn. De gemiddelde site, neem Tweakers.net, biedt geen MFA aan. De enige sites die ik bezoek die de optie hebben, maar die ik niet gebruik zijn Facebook, Twitter en Instagram. Zo extreem belangrijk vind ik die niet dat ik daarvoor een authenticator laag op wil zetten.
Gebruik je zo weinig sites dan? Ik word soms gek van die 700 entries in 1Password ;). Maar meer sites die je denkt ondersteunen het, gebruik daarvoor deze site.

dinsdag 12 juni 2018 10:10

Acties:
  • 0 Henk 'm!
  • Stoelpoot
  • Registratie: September 2012
  • Niet online

Stoelpoot

Waarom bij 20 karakters blijven qua wachtwoorden? Je genereert ze toch. Gooi er gelijk 64 karakters op.

dinsdag 12 juni 2018 10:31

Acties:
  • 0 Henk 'm!
  • JeroenNietDoen
  • Registratie: Januari 2001
  • Laatst online: 22:34

JeroenNietDoen

Topicstarter
Stoelpoot schreef op dinsdag 12 juni 2018 @ 10:10:
Waarom bij 20 karakters blijven qua wachtwoorden? Je genereert ze toch. Gooi er gelijk 64 karakters op.
Ik ben inderdaad nog van plan alles langs te lopen en het wachtwoord sterker te maken.

dinsdag 12 juni 2018 19:21

Acties:
  • 0 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 00:15

Thralas

Kaap schreef op maandag 11 juni 2018 @ 21:23:
- Mocht het zo zijn dat ik mijn telefoon kwijtraak, heb ik voor mijn Microsoft en Google accounts herstelcodes. Die staan op mijn NAS opgeslagen.

Welnu is mijn vraag aan jullie, zien jullie eventueel nog valkuilen of gaten in deze setup?
Print ze en bewaar ze bij alle andere zaken die je voor de lange termijn op papier wilt bewaren.

Anders loop je het risico om een keer niet bij je mail te kunnen, om dan te realiseren dat je bij het wisselen van NAS niet alle data hebt meegekopieerd.
- Vervolgens op mijn Google en Microsoft accounts MFA aangezet en ingesteld in Authy.
Voordeel van Authy tov. Google Authenticator is dat je de OTP 'seeds' kunt exporteren/backuppen. Doe dat. Als je op meer plekken 2FA gebruikt dan zitten daar als snel sites bij die geen recovery codes hebben, en je dus een probleem hebt als je telefoon doodgaat.

Hoewel niet erg realistisch dat het in de praktijk een risico vormt, zou ik die backup niet op je NAS parkeren, maar (zolang houdbaar) ook op papier zetten.
Nog andere adviezen?
Bedenk even hoe Authy en Lastpass zich tot elkaar verhouden, en hoe de recovery dáár werkt als je 2FA token stuk is.

Voor Lastpass was (is?) het zo dat je 2FA kon uitzetten met de recovery email. Als je daar geen 2FA op hebt, dan heb je effectief dus géén 2FA. Die heb je afgedicht, maar even om aan te geven hoe complex het geheel is.

woensdag 13 juni 2018 17:30

Acties:
  • 0 Henk 'm!
  • Kets_One
  • Registratie: November 2001
  • Niet online

Kets_One

Goed bezig.
Ik heb inderdaad voor alle sites waar dit kan 2FA aanstaan. Hiervoor gebruikte ik Google Authenticator.

Ook heb ik sinds een aantal dagen een hardware 2FA (Yubikey) aan het uitproberen.
Hiermee moet je niet alleen iets weten (password), maar ook iets hebben (hardware key).

Tot nu toe werkt het goed. Ik wil het gebruik van de yubikey na de testfase op termijn voor meer websites/services gaan gebruiken.

3.18 kWp ZW, 2.76 kWp NO, 510Wp ZW (schuur)

woensdag 13 juni 2018 18:29

Acties:
  • 0 Henk 'm!
  • JeroenNietDoen
  • Registratie: Januari 2001
  • Laatst online: 22:34

JeroenNietDoen

Topicstarter
Nou ik zit wel effe met het punt van @Thralas, wat als er iets met mijn telefoon gebeurt? Authy restored op basis van telefoonnummer, maar die heb ik dan even niet. Ik kan ook niet mailen omdat Google en Microsoft achter een authenticator zitten, die op mijn telefoon staat.

woensdag 26 september 2018 12:37

Acties:
  • 0 Henk 'm!
  • wheel
  • Registratie: December 2001
  • Laatst online: 13:14

wheel

Kaap schreef op woensdag 13 juni 2018 @ 18:29:
Nou ik zit wel effe met het punt van @Thralas, wat als er iets met mijn telefoon gebeurt? Authy restored op basis van telefoonnummer, maar die heb ik dan even niet. Ik kan ook niet mailen omdat Google en Microsoft achter een authenticator zitten, die op mijn telefoon staat.
LastPass Authenticator is te restoren via een back-up in de LastPass Vault. Nadeel van LastPass Authenticator is wel is wel de gebrekkige afwezige zoekfunctionaliteit - al gaat het in jouw geval (vooralsnog) maar om enkele sites.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq