Toon posts:

Password managers en MFA

Pagina: 1
Acties:

  • iApp
  • Registratie: Februari 2011
  • Niet online
"MFA opslaan in een wachtwoordkluis waar je óók je inloggegevens bewaart, is geen MFA." (Reddit user). Daarom heb ik mijn wachtwoord managers opgedeeld in twee services. Vinden jullie deze inrichting verstandig?

Members only:
Alleen zichtbaar voor ingelogde gebruikers. Inloggen


Waar zit mijn angst?
> Stel ik heb een keylogger of ander virus op mijn MacBook, dat op de achtergrond de desktop applicatie of via de browser (XSS) alles jat; wat dan?
> Kan iemand die mijn iPhone of iPad fysiek jat iets doen? (FaceID / 6 cijferig pincode is risico!)
> Hoe zorg ik dat ik de toegang tot services niet verlies? (Daarom MFA en herstelcode met familie gedeeld.)
> Yubikey kan ik fysiek kwijtraken, dat moet ik wederom voorkomen!

Ik vertrouw de combinatie van LastPass en 1Password wel, maar alles in 1 kluis hebben (user, ww, mfa) niet. Ik ben benieuwd hoe jullie tegen deze setup aankijken.

An  a day keeps the doctor away.


  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Voor MFA kan je iets als MS of Google Authenticator gebruiken (of een alternatief zoals Tofu). Waarbij je op de apps zelf natuurlijk ook een pincode of biometrie gebruikt.

Wel even nadenken over backup ervan. Dat geldt ook voor een (versleutelde) backup hebben van de passwords in 1Password.

Yubikey: neem een tweede Yubikey. Wel opletten dat je nieuwe diensten op beide registreert waar je OTP of FIDO gebruikt.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


  • n9iels
  • Registratie: November 2017
  • Niet online
> Stel ik heb een keylogger of ander virus op mijn MacBook, dat op de achtergrond de desktop applicatie of via de browser (XSS) alles jat; wat dan?
Dan heb je een flink groter probleem dat het geen dat ze jatten. Maar realistisch gezien is die niet iets waar je bang voor hoeft te zijn denk ik.
> Kan iemand die mijn iPhone of iPad fysiek jat iets doen? (FaceID / 6 cijferig pincode is risico!)
Zolang je een extra wachtwoord/authenticatie nodig hebt om je kluis te openen lijkt mij dit zeker geen risico. En FaceID en/of 6 cijferige pincode is ook geen risico. Zolang niemand je pincode afkijkt of honderd duizenden euro's voor een exploit neerlegt is je telefoon wel veilig :)
> Hoe zorg ik dat ik de toegang tot services niet verlies? (Daarom MFA en herstelcode met familie gedeeld.)
Exact met die manier. Zorg ervoor dat je herstelcodes op minimaal 2 plekken veilig bewaard worden. De 1e plek is ergens in je huis, de 2e plek is ergens buiten huis. Mocht er een ongeluk plaats vinden waarbij je alles kwijt raakt kun je hier nog steeds van herstellen.
> Yubikey kan ik fysiek kwijtraken, dat moet ik wederom voorkomen!
Niet kwijt raken dus, en je back-up codes op een veilig plek bewaren.

Mijn persoonlijke setup is overigens iets eenvoudiger. Ik gebruik een password manager en hierin sla ik niet de 2FA codes op. Hiervoor gebruik ik Authy op mijn telefoon. Deze app maakt een versleutelde back-up die ik beveiligd is met de combinatie van een wachtwoord en mijn telefoonnummer.

Acties:
  • +1Henk 'm!
  • Pinned

  • jurroen
  • Registratie: Mei 2012
  • Laatst online: 00:39

jurroen

Security en privacy geek

Disclaimer: hier komt de reactie van een fundamentalist, een gekkie die veel te veel tijd in zijn security stopt en een model heeft wat voor de meesten volledig onwerkbaar is. Gebruik dit dan ook niet als harde waarheid, probeer het niet zelf te implementeren. Mocht je dat wel doen: de auteur van deze reactie is niet aansprakelijk voor gevolgen en daaruit voortvloeiende kosten, waaronder professionele hulp.
Segmentatie
Uit je bericht opmakende lijkt het dat je een enkele kluis hebt. Als daar iets mee gebeurd, ligt je hele hebben en houden op straat. Je zou kunnen overwegen om dat te 'segmenteren' en daarmee de schade in te perken, mocht een van de kluizen in handen van een aanvaller vallen.

Hoe je die segmentatie precies maakt is een kwestie van zowel persoonlijke voorkeur als een mogelijk 'threat model'. Wat voorbeelden:
  • Het kan op basis van categorieën - bijvoorbeeld persoonlijk en zakelijk of huishoudelijk, externe partijen, top secret.
  • Het kan op basis van de vertrouwelijkheid - van bijvoorbeeld basaal (credentials voor spelletjes als candy crush saga) tot en met zeer vertrouwelijk (kopie identificatie, ssh keys, gpg passphrases).
  • Of op basis van verttrouwen in een device. Misschien vertrouw je jouw iPhone meer dan je Windows machine of andersom.
Keuze wachtwoordmanager
Je geeft aan dat je 1Password en LastPass gebruikt, beiden proprietary (closed source) apps welke gebruik maken van een cloud. Dat zou ik zelf nooit doen, je geeft een externe (for-profit!) partij enorm veel vertrouwen, dat op de korte of de lange termijn geschonden kan worden. En ik zou bijna zeggen; geschonden gaat worden :+

De nadelen:
  • Je hebt geen toegang tot de code. Je kunt de werking niet bestuderen, je kunt het niet aanpassen, niet auditten of een kopie maken van de code.
  • Je geeft twee entiteiten enorm veel macht. Stel, beiden zouden morgen de stekker eruit trekken; heb jij een kopie van jouw kluizen in een "open formaat", dus waarmee je de mogelijkheid hebt om te switchen naar een andere app?
  • Omdat het in een wolkje ergens draait, op de server van een ander, geef je die partij ook enorm veel vertrouwen voor de beveiliging van jouw kluis. Houden zij bruteforcers actief tegen? Is het mogelijk om bij die partijen in te breken, alle kluizen te stelen en deze vervolgens "offline" te bruteforcen?
Zelf zou ik op z'n minst KeePassXC aanraden. Dat is open source, je kluis staat niet langer in een verzameling van gebakken lucht (de 'cloud') - met het voordeel EN nadeel dat je zelf verantwoordelijk bent voor de synchronisatie en backup.
Browsers en sandboxing
Een moderne browser - of het nu Chromium based of Firefox is - zijn waanzinnig complex; in sommige aspecten complexer dan een relatief simpel besturingssysteem. Standaard handelen browsers zelf de beveiliging en isolatie/sandboxing af. Dat slaat echter één cruciale stap over: kun je de browser wel vertrouwen? Wat als hier een gapende kwetsbaarheid in zit?

Browsers hebben toegang tot alle data van jouw account, inclusief je SSH/GPG keys, kluizen, mailarchief, foto's, dickpicks, chatgeschiedenis, enzovoorts. Terwijl ze daar niets mee te maken hebben! Bizar toch? Gelukkig kun je daar in veel gevallen wat aan doen, door de browser te sandboxen O-)

Je kunt daarin zo ver gaan als je wilt, van vrij simpel tot een aluhoedje waardig niveau (zoals ondergetekende heeft). Hoe effectief het is hangt ook af van de verdere beveiliging. Als je full-yolo modus alles onder admin/root rechten doet, geen updates installeert heeft het natuurlijk wat minder zin 8)7

Een aantal tips:
  • Versleutel je opslag, ongeacht of dit intern of extern is. Gebruik LUKS (Linux), Veracrypt (Windows), Geli (FreeBSD) of bioctl (OpenBSD).
  • Werk met zo min mogelijk rechten. Gebruik een reguliere user voor browsing, doe dit nooit met een admin of root account.
  • Beveilig je OS met een verharde configuratie. Zie bijvoorbeeld deze guide voor Windows, gebruik Lynis voor Linux (en maak gebruik van de grsecurity patchset of linux-hardened).
Als je de fundamentals op orde hebt kun je vervolgens de browser en mogelijk andere applicaties gaan sandboxen - en daarmee ook de toegang tot jouw data beperken. Voor Windows is er bijvoorbeeld Sandboxie, voor Linux is er Firejail (in combinatie met SElinux en AppArmor). Ook daarin kun je dieper duiken en de standaard configuratie optimaliseren en verder dicht timmeren.
Last but not least
Mobiele devices, zoals de iPhone, iPad en moderne Android telefoons hebben een beveiligde / vertrouwde opslag - een 'secure enclave'. Hiermee kan het OS en applicaties op deze apparaten vertrouwelijke informatie op een veilige manier opslaan. Mits het een beetje een goede implementatie is, dan zou je zelfs kunnen beargumenteren dat het veiliger is dan menig computer :)

Op een flink deel van deze apparaten kun je ook instellen dat deze veilige opslagzone gewist wordt na een X aantal ongeldige inlogpogingen - dit kan op bijvoorbeeld de iPhone en iPad die je aangeeft te gebruiken. De baseline beveiliging is grotendeels voldoende om zelfs de meer technisch onderlegde dieven weg te houden van de data op je apparaat, maar meer beveiliging kan geen kwaad.

En een Yubikey kun je verliezen, die kan gestolen worden of stuk gaan. Maar ook daarvan kan je een backup maken en deze veilig elders opslaan. Wat veilig is, is afhankelijk van jouw voorkeuren maar ook de bedreigingen waar je rekening mee wilt houden.
Conclusie
Enorm veel tekst waar je totaal niet om gevraagd hebt. Misschien zelfs complete bagger. Maar, wellicht (...en hopelijk) kun je er ook wat inspiratie uit halen, voor nu of mogelijk iets voor de toekomst ;) En zo niet: excuus voor de tijdsverspilling O-)

[Voor 9% gewijzigd door jurroen op 27-01-2022 23:32]


  • oak3
  • Registratie: Juli 2010
  • Laatst online: 28-01 19:31
@jurroen, ik ben wel benieuwd hou jouw dreiginsprofiel eruit ziet 8)7

Maar serieus, daar zit wel de kern van het punt. Wat is je dreiginsprofiel. Als die niet anders is dan een normale Nederlander en je dus geen journalist of activist bent die zich op bijvoorbeeld China of Rusland richt, zou ik het zeker niet extreem maken. Ben zelf ook een security professional die echt wel weet wat er mogelijk is, maar ik ben geen journalist, geen activist en ik beschik niet over gevoelige informatie. Dus mijn inschatting is dat ik geen target ben.

Ik gebruik Bitwarden als dienst, dus niet self-hosted. Daarmee vertrouw ik Bitwarden veel toe, maar ik zoek een balans tussen gebruikersvriendelijkheid en veiligheid. Delen van wachtwoorden met mijn vrouw is zo'n punt wat ik zoek in een oplossing. Bitwarden is bij mij dan wel weer beveiligd met een Yubikey en daar heb ik nog twee backups van.

In realiteit heb ik nog nooit een bericht gezien waarbij deze leveranciers (op schaal) zijn gehackt. Ik weet dat er mogelijkheden zijn, en die zitten vooral in Offline add-ons die ze hebben. In het scenario dat er een keylogger op je device staat, dan met je overigens met Keepass ook niet meer veilig.

Verder zorgen dat je de wachtwoord manager alleen gebruikt op devices die te vertrouwen zijn. Dus gepatched, beveiligd met een sterk wachtwoord, versleuteld en AV (kijk voor je Mac eens bij Objective-see). Als je dat allemaal doet, dan val je niet meer in het profiel van mensen die gehackt worden. Dat is tot nu toe vrijwel altijd zwak wachtwoord en geen MFA. MFA hacken begint in opkomst te komen, maar is nog erg gericht.

Jouw setup ziet er niet gek uit. Zeker t.a.v. de herstel codes. Voor MFA zou ik een app gebruiken met een backup, maar is maar wat voor jou werkt. Wel zou ik wat doen aan die onbeveiligde Windows PC en het daar niet gebruiken.

  • jurroen
  • Registratie: Mei 2012
  • Laatst online: 00:39

jurroen

Security en privacy geek

oak3 schreef op vrijdag 28 januari 2022 @ 10:02:
@jurroen, ik ben wel benieuwd hou jouw dreiginsprofiel eruit ziet 8)7
Ben ik ook benieuwd naar :+ Hou het erop dat ik een security-masochist ben.
Maar serieus, daar zit wel de kern van het punt. Wat is je dreiginsprofiel. Als die niet anders is dan een normale Nederlander en je dus geen journalist of activist bent die zich op bijvoorbeeld China of Rusland richt, zou ik het zeker niet extreem maken. Ben zelf ook een security professional die echt wel weet wat er mogelijk is, maar ik ben geen journalist, geen activist en ik beschik niet over gevoelige informatie. Dus mijn inschatting is dat ik geen target ben.
Dat is een hele goede opmerking. Maar vergis je niet, hoewel jij misschien geen target bent van een APT wil dat niet zeggen dat je niets kan overkomen. Ik denk dat het een redelijk veilige stelling is dat die wachtwoord managers in een wolkje meer risico lopen.

Van de andere kant is het natuurlijk ook een redelijk veilige stelling dat dergelijke bedrijven meer inhouse kennis en kunde hebben om het zwikkie te beveiligen dan Jan Modaal.
In realiteit heb ik nog nooit een bericht gezien waarbij deze leveranciers (op schaal) zijn gehackt. Ik weet dat er mogelijkheden zijn, en die zitten vooral in Offline add-ons die ze hebben. In het scenario dat er een keylogger op je device staat, dan met je overigens met Keepass ook niet meer veilig.
Theoretisch en behoorlijk paranoia gedacht: dat er geen informatie over een hack te vinden is wil natuurlijk niet zeggen dat het niet gebeurd is. Of kan gebeuren.

Als een keylogger in je threat model zit kun je daar ook weer maatregelen tegen treffen. Denk bijvoorbeeld aan een model als Qubes OS hanteert.
MFA hacken begint in opkomst te komen, maar is nog erg gericht.
Aanvulling op de tips: gebruik WebAuthn / FIFO2 indien mogelijk.
Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee