Bitwarden vragen n.a.v. een nuttige les

Pagina: 1
Acties:

Onderwerpen


Acties:
  • 0 Henk 'm!

  • TheProf82
  • Registratie: September 2009
  • Laatst online: 18-09 16:02
Hi mede-tweakers,

Allereerst hulde aan de support van tweakers die n.a.v. kritische vragen over mijn account de 2FA deactiveerde zodat ik kon inloggen. Dan nu wat context.

Vandaag overgestapt naar Bitwarden premium, lastpass authenticator (was alleen op mobiel, risico in geval van bijv. gestolen device) uitgezwaaid en al mijn 2FA in bitwarden zelf geregistreerd met TOTP. Was even werk maar dan heb je wat.

Daarna wat geprutst met Bitwarden en de KDF key aangepast op advies van Bitwarden zelf. Ik las niet goed (dom) en zag dat daarna al mijn sessies waren uitgelogd - ook mobiel (die ik altijd met vingerafdruk inlog). Zo leerde ik over het verschil tussen Lock out en Log out. Ik moest dus inloggen met de 2FA code...die in Bitwarden zat sinds vanochtend. Lang verhaal kort, die account was dood.

Prijs de heer - ik had gelukkig op mijn desktop nog een plugin waar ik in kon en heb snel een export gemaakt. Maar de OTP seeds miste daar (was nog een login/lokale variant van voor mijn TOTP switch van lastpass naar BW) dus ik zag de bui al hangen.

Inmiddels heb ik mijn oude bitwarden verwijderd op advies van support (tip; bitwarden support is erg goed), nieuwe aangemaakt, premium abo laten overzetten (dit allemaal binnen 2 uur) en alle wachtwoorden geimporteerd. Uiteraard heb ik e.e.a. geleerd en (voor nu!) de herstelcode van bitwarden op papier genoteerd. Ook heb ik een Yubikey besteld als alternatieve inlog mogelijkheid in geval van 2FA issues.

Omdat ik bovenstaande nooit meer wil meemaken (toch stressvol) en ik nog steeds een paar (gelukkig nutteloze) accounts niet in kan omdat de provider 2FA niet wil deactiveren, de volgende vragen:

Vraag 1) Is het dom om Bitwarden te beveiligen met 2FA (in bitwarden) met als back-up een yubi-key in het geval van een volledige log-out (kan natuurlijk nogmaals gebeuren). Of raden jullie aan t.a.t. de herstelcode op papier (ergens veilig) ook nog te bewaren? Voelt toch ergens dubbel om dit te noteren
Vraag 2) Is het logisch om het risico van het vergeten van je master password (dan ben je echt de sjaak natuurlijk, ondanks je mooie yubi key of herstelcode) te mitigeren door je partner (moeder van mn kinderen) emergency access te geven met een 14d wachttijd? Bij misbruik vanuit haar heb ik 2 weken de tijd om nee te zeggen, maar anders kan ze na 14d (bijv. op mijn verzoek, of omdat ik aan het sterven ben) alles met mijn/onze gegevens.
Vraag 3) Is er een best practice voor mensen die niet te ver willen gaan (ik heb een aardige risk appetite) maar wel de nodige beveiliging zoeken? Mis ik iets heel logisch?
Vraag 4) Is het overdreven om periodiek een export te maken van mijn vault en OTP seed codes, in geval van een algehele downtime/gesloopte Bitwarden (bijv. massale ddos). Zelf denk ik dat het niet echt nodig is omdat ik gewoon in mijn vaults (lokaal) de wachtwoorden heb. Als ik bijv. nu mijn internet verbreek, kan ik er ook gewoon bij. Enige risico is dan een breach en volledige wipe naar alle clients toe...maar hoe realistisch is dat?

Dank alvast!

[ Voor 7% gewijzigd door TheProf82 op 15-03-2024 23:26 ]


Acties:
  • +2 Henk 'm!

  • xFeverr
  • Registratie: Juni 2011
  • Laatst online: 21-09 08:56
1. Dat is niet dom. Dat is gewoon wat ze van je vragen. Ze geven je niet de herstelsleutel om ze maar gewoon door een schredder te halen toch? Yubikey kun je ook doen, als je dat een goed gevoel geeft, waarom niet dan. Leg die herstelsleutel en Yubikey alleen niet bij elkaar. Als je huis af fikt in de nacht en je hebt geen tijd meer om iets mee te nemen, dan ben je de de boel ook nog eens kwijt. Ik hoop het natuurlijk niet, maar toch…


2. Als je ze genoeg vertrouwd kun je dat doen. Sowieso erg handig voor je nalatenschap dat iemand die je vertrouwt daar toegang tot heeft. Dat is in zo’n vreselijke tijd wel handig. Maar jij kunt daar alleen over oordelen. De functie is er voor.

3. Niet een kluissleutel in de desbetreffende kluis steken. Of een totp-code opslaan bij de dienst die die totp-code van je vraagt. Lekker flauw, ik weet het. Maar wel een erg goede les.

4. Zou ik zelf niet zo snel doen. Waar ga je dat opslaan? En heb je dan weer een wachtwoord nodig om erbij te komen dat in bitwarden staat? Alleen maar gedoe. Die kluis werkt inderdaad lokaal. Ik host het bijvoorbeeld zelf en mijn server heeft een aantal dagen uitgestaan tijdens mijn verhuizing. Had ik niet eens door in eerste instantie. Pas toen ik een foutmelding kreeg toen ik op een avond een account wou opslaan voor een nieuwe webshop viel het kwartje pas dat die server nog niet aangesloten was. Werkt erg goed offline dus.

Wat ik mij afvroeg… heeft Bitwarden niet ook een functie om een code via email te ontvangen? Die heb je niet ingesteld zeker?

Acties:
  • 0 Henk 'm!

  • TheProf82
  • Registratie: September 2009
  • Laatst online: 18-09 16:02
xFeverr schreef op vrijdag 15 maart 2024 @ 23:44:
1. Dat is niet dom. Dat is gewoon wat ze van je vragen. Ze geven je niet de herstelsleutel om ze maar gewoon door een schredder te halen toch? Yubikey kun je ook doen, als je dat een goed gevoel geeft, waarom niet dan. Leg die herstelsleutel en Yubikey alleen niet bij elkaar. Als je huis af fikt in de nacht en je hebt geen tijd meer om iets mee te nemen, dan ben je de de boel ook nog eens kwijt. Ik hoop het natuurlijk niet, maar toch…

Ik twijfel dus of de herstelsleutel nodig is in het geval waar je zowel 2FA hebt (ik heb dat dan wel in bitwarden, de reden dat ik werd gelockt in mijn OP) als yubi-key als alternatieve 2e factor. Je hebt dan geen herstelsleutel (dat is feitelijk ook gewoon een 2e factor namelijk) maar een yubi key ergens liggen.

2. Als je ze genoeg vertrouwd kun je dat doen. Sowieso erg handig voor je nalatenschap dat iemand die je vertrouwt daar toegang tot heeft. Dat is in zo’n vreselijke tijd wel handig. Maar jij kunt daar alleen over oordelen. De functie is er voor.

Dankje! Ik vertrouw mijn partner volledig en de delay functie geeft mij wel rust.

3. Niet een kluissleutel in de desbetreffende kluis steken. Of een totp-code opslaan bij de dienst die die totp-code van je vraagt. Lekker flauw, ik weet het. Maar wel een erg goede les.

Snap ik, alhoewel mijn initiele scenario niet beter was. Mijn telefoon is oud en bijna dood - het is nog geluk dat ik uberhaupt mijn oude lastpass authenticator (die dus niet syncte, want ik had geen LP account meer) kon gebruiken. Ik denk dat 2FA in je vault helemaal niet zo gek is - het is een stuk veiliger dan geen 2FA (want bad actors hebben nog altijd niets aan je username/password). Dus ik twijfel erg op dit punt.

4. Zou ik zelf niet zo snel doen. Waar ga je dat opslaan? En heb je dan weer een wachtwoord nodig om erbij te komen dat in bitwarden staat? Alleen maar gedoe. Die kluis werkt inderdaad lokaal. Ik host het bijvoorbeeld zelf en mijn server heeft een aantal dagen uitgestaan tijdens mijn verhuizing. Had ik niet eens door in eerste instantie. Pas toen ik een foutmelding kreeg toen ik op een avond een account wou opslaan voor een nieuwe webshop viel het kwartje pas dat die server nog niet aangesloten was. Werkt erg goed offline dus.

Klopt - maar indien Bitwarden wordt gehackt/wiped en alle sessies worden uitgelogd oid heb je wel een probleem.

Wat ik mij afvroeg… heeft Bitwarden niet ook een functie om een code via email te ontvangen? Die heb je niet ingesteld zeker?

Die is er zeker, maar stel ik bewust niet in. Ook dat is een alternatieve 2FA optie (net als yubikey bijv)

Acties:
  • +2 Henk 'm!

  • Oon
  • Registratie: Juni 2019
  • Niet online

Oon

TOTP secrets in je gesyncte passwordmanager stoppen is dom, want daarmee heb je geen losse tweede factor meer. Als iemand bij je vault kan dan hebben ze ook meteen al je 2FA in handen.
Het is wel heel handig, en daarom doe ik het zelf ook. Ook met bovenstaande meegerekend beschermt het wel tegen andere aanvallen zoals gelekte wachtwoorden zónder 2FA secrets erbij. De kans dat wachtwoorden lekken zonder 2FA secrets is niet heel groot, want die staan in 9/10 gevallen naast elkaar opgeslagen, maar een grote datadump met alleen e-mailadressen/gebruikersnamen en wachtwoorden zijn daarmee wel nutteloos.

Ik heb zelf mijn Bitwarden zelf gehost mbv Vaultwarden, en ik heb zowel mijn wachtwoord als 2FA op een blaadje staan en die in een kluis zitten hier thuis. Die kluis niet zozeer omdat die veilig zou zijn, maar gewoon omdat dat een handige plek is voor belangrijke documenten. Een inbreker neemt gewoon de hele kluis me, maar het feit dat de kluis op slot kan betekent wel dat ik altijd bewust bezig ben in dingen erin leggen en eruit halen, en ze dus niet kwijt raak.
Op dat blaadje staat alleen 'bw', mijn passphrase, en mijn 2FA secret; het e-mailadres dat ik gebruik voor mijn kluis gebruikt weer sub-addressing, en omdat dit lokaal gehost is moeten ze die ook maar weten te raden. Perfect veilig is het niet, maar het is zo veilig als ik het ga krijgen zonder het enorm veel moeite te maken om te gebruiken als ik het ooit nodig heb.

Omdat ik lokaal host heb ik geen last van uitval; ik kan in theorie met een lokaal IP-adres + poort bij de container om alsnog in te loggen. De database wordt bij mij automatisch gebackupt en encrypted opgeslagen bij andere backups, dus wat dat betreft zit ik goed.
Mocht je een handmatige export maken, let er even op dat dat gewoon een onbeveiligde CSV is. Er zijn formaten waar je een wachtwoord op kunt zetten, maar die kun je makkelijk kraken. Een USB-stick met BitLocker oid erop en daarin een bestandje met een wachtwoord zou misschien wel acceptabel zijn (mits je die USB-stick ook weer ergens veilig bewaart), maar het blijft een risico. Aan de andere kant, als je de hosted Bitwarden gebruikt is het wel slim om dat risico te nemen, want als je geen toegang meer hebt tot je Bitwarden account of hun hosted dienst offline is kun je niks zoals je zelf al zegt.

Acties:
  • +1 Henk 'm!

  • Oon
  • Registratie: Juni 2019
  • Niet online

Oon

xFeverr schreef op vrijdag 15 maart 2024 @ 23:44:
Wat ik mij afvroeg… heeft Bitwarden niet ook een functie om een code via email te ontvangen? Die heb je niet ingesteld zeker?
2FA via SMS of e-mail wil je gewoon nooit. E-mail is per definitie onveilig, want je hebt nul controle over evt. relays die gebruikt worden of wie er zonder gebruik van SSL toegang heeft tot je mail. Als je zelf een verkeerde instelling gebruikt met het instellen van mail op je telefoon (en je mailserver dat toestaat) lek je meteen inkomende mails als je ooit op onveilige wifi je mail checkt. Voor SMS (die jij niet noemt maar ook veel voorkomt) geldt eigenlijk hetzelfde, ook die zijn tegenwoordig enorm makkelijk af te vangen mbv een social engineering aanval op de provider, of met het simpelweg downloaden van de e-sim uit de provider app.

Je wil je multifactor gewoon volledig offline hebben, dus TOTP of FIDO2. Als die tweede factor vanuit het internet komt is het wel een extra factor, maar eentje waar jij geen controle over hebt.

Acties:
  • +1 Henk 'm!

  • TheProf82
  • Registratie: September 2009
  • Laatst online: 18-09 16:02
Dank. Ik merk nu wel hoe dom het is om mijn 2FA van bitwarden zelf bij bitwarden te hebben (heb gelukkig de recovery key, net alweer nodig gehad...).

Zodra mijn yubi-key er is ga ik denk voor de combinatie:
- Yubi-key (thuis)
- Een authenticator (synct met cloud) alleen voor de TOTP van bitwarden zelf. Ik dacht aan Google, maar die is blijkbaar niet encrypted...kijk nu naar Aegis
- Emergency codes (thuis)
- Emergency access in geval van vergeten master password (via partner)

Dit zou de meeste risico's moeten voorkomen.

[ Voor 8% gewijzigd door TheProf82 op 16-03-2024 00:58 ]


Acties:
  • 0 Henk 'm!

  • BytePhantomX
  • Registratie: Juli 2010
  • Laatst online: 22-09 18:34
Gelukkig ben je er zelf al achter dat het opslaan van je 2FA voor Bitwarden in Bitwarden niet zo handig is.

Wat ook prima werkt is twee yubikeys. Eentje aan je sleutelbos om actief te gebruiken, en eentje op een veilige plek. Dan heb je geen aparte 2FA app meer nodig. En afhankelijk hoe je inloggen op je Bitwarden instelt, heb je die Yubikey maar zelden nodig. Alleen wel een wat duurdere oplossing.

Tip: als je Yubikey als enige optie gaat gebruiken voor 2FA, koop dan sowieso een tweede stel die ook in. Anders ben je buitengesloten als je de yubikey kwijt raakt.

Acties:
  • +1 Henk 'm!

  • TheProf82
  • Registratie: September 2009
  • Laatst online: 18-09 16:02
Dank voor het advies. Voor mij wordt het 2fa van bitwarden in Google Authenticator (niet de veiligste, maar heb voor gemak gekozen). Bitwarden zelf vol met totp. Recovery code op papier. Emergency access met takeover voor partner. En een yubi key als 2e 2e factor.

See you!

Acties:
  • 0 Henk 'm!

  • sumac
  • Registratie: Maart 2008
  • Laatst online: 25-08 15:11
Je kunt ook meerdere yubikeys kopen. Dan leg je er een bij je ouders, een op je werk, etc. Het kan wel een gedoe zijn om die weer terug te halen als je iets moet wijzigen, en dat dan op alle keys moet doen.

Je kunt die keys ook in een envelop doen met instructie. En als je het echt goed wil regelen, dan test je die instructie door 'm te laten uitvoeren door je partner of je ouders. Want die instructie van jou is waarschijnlijk niet voldoende duidelijk voor iemand die niet dagelijks met dit soort dingen bezig is.

Reminder: ik moet dit ook beter regelen (heb wel meerdere yubikeys maar het kan nog mis gaan)

Acties:
  • 0 Henk 'm!

  • Frosty__
  • Registratie: November 2021
  • Laatst online: 22-09 08:00
Het topic is al weer even oud, dus ik neem aan dat je het ondertussen allemaal netjes voor elkaar hebt. Een wijze en nuttige les inderdaad. Maar het is ook wel goed nadenken over hoe dit allemaal te regelen. Zelf heb ik het als volgt gedaan en over de tijd heen verder geoptimaliseerd:
- Gebruik ook Bitwarden, de premium versie.
- Ik heb 3 Yubikey's. Een altijd bij mij en twee op geografisch verschillende locaties. Het zijn alle drie kopieën van elkaar. Die twee op andere locaties werk ik periodiek bij. De Yubikey's heb ik beveiligd met een pincode.
- Ik heb een document geschreven met uitleg voor mijn vrouw of nabestaanden om toegang te krijgen tot mijn online accounts. In dat document staan ook wachtwoorden van belangrijke zaken. Het document bestaat uit twee delen. Je moet ze beide hebben om alle informatie en dus ook passwords te hebben. De twee delen liggen ook op geografisch andere locaties.
- Op de Yubikey heb ik ook TOTP-codes gezet. Let er op dat je niet je volledig accountnaam erbij zet want daarmee geef je al best veel prijs om toegang te geven.
- De TOTP-seeds heb ik in een Excel-sheet staan op een encrypted externe harddisk. Het wachtwoord voor de encrypted harddisk staat in het document. Van deze externe harddisk heb ik ook weer een encrypted backup op een andere locatie.
- Mijn wachtwoord voor password manager (Bitwarden) en mail wijzig ik regelmatig. Want daarmee heb je vrijwel onbeperkt toegang tot alles.
- Bitwarden op het web log ik altijd keurig uit, maar toch kill ik regelmatig alle actieve sessies. Helaas kan dit bij Bitwarden niet per device zoals bij 1Password en Proton Pass wél kan.
- Belangrijke wachtwoord heb ik gepepperd. Dat wil zeggen dat je nog iets moet doen met het wachtwoord in de password-manager. Denk bijvoorbeeld aan het handmatig toevoegen van een punt of komma.
- Op de 2FA-app van mijn vrouw heb ik de TOTP van mijn Bitwarden account gezet. Stel, mijn telefoon gestolen dan kan ik via haar telefoon toch relatief snel bij de Bitwarden vault en daar alle sessies killen.

Alles bij elkaar denk ik het zo goed geregeld te hebben. Maar roep vooral als je risico's ziet / gaten kunt schieten in deze aanpak.

[ Voor 5% gewijzigd door Frosty__ op 06-01-2025 10:09 ]


Acties:
  • 0 Henk 'm!

  • BytePhantomX
  • Registratie: Juli 2010
  • Laatst online: 22-09 18:34
Frosty__ schreef op maandag 6 januari 2025 @ 10:06:
- Ik heb een document geschreven met uitleg voor mijn vrouw of nabestaanden om toegang te krijgen tot mijn online accounts. In dat document staan ook wachtwoorden van belangrijke zaken. Het document bestaat uit twee delen. Je moet ze beide hebben om alle informatie en dus ook passwords te hebben. De twee delen liggen ook op geografisch andere locaties.
In de basis een heel goed idee, al kun je ook gebruik maken van de features dit bitwarden je biedt voor emergency access. Wat ik me vooral afvraag, als je 1 van beide documenten hebt, kun je dan misschien niet met geavanceerd raden hoe je bij de gegevens komt?
- De TOTP-seeds heb ik in een Excel-sheet staan op een encrypted externe harddisk. Het wachtwoord voor de encrypted harddisk staat in het document. Van deze externe harddisk heb ik ook weer een encrypted backup op een andere locatie.
Is dat wachtwoord dan wel goed beveiligd? Dat is wat ik bedoelde met raden. Je kunt met harddisk encryptie waarschijnlijk zonder gevolgen alle wachtwoorden uit dat document testen (en extra variaties daarop)
- Op de Yubikey heb ik ook TOTP-codes gezet. Let er op dat je niet je volledig accountnaam erbij zet want daarmee geef je al best veel prijs om toegang te geven.
Een accountnaam zou ik niet direct als geheim hanteren. Je moet er vanuit gaan dat die lekt en dat je dan alsnog een goede beveiliging hebt. Het verbergen helpt alleen tegen geavanceerde social engineering, en dan moeten ze jou wel heel graag willen hebben.
- Mijn wachtwoord voor password manager (Bitwarden) en mail wijzig ik regelmatig. Want daarmee heb je vrijwel onbeperkt toegang tot alles.
Een breed gedragen advies is intussen om alleen maar je wachtwoord te wijzigen als je weet of een vermoeden hebt dat die gelekt is. De echt beveiliging zit hem in MFA en het regelmatig wijzigen van wachtwoorden maakt het er niet noodzakelijkerwijs veiliger op.
- Op de 2FA-app van mijn vrouw heb ik de TOTP van mijn Bitwarden account gezet. Stel, mijn telefoon gestolen dan kan ik via haar telefoon toch relatief snel bij de Bitwarden vault en daar alle sessies killen.
Dit klinkt als 1 van de zwakste schakels van je implementatie (naast het uitgebreid delen van je werkwijze op het internet)

Acties:
  • 0 Henk 'm!

  • Frosty__
  • Registratie: November 2021
  • Laatst online: 22-09 08:00
BytePhantomX schreef op maandag 6 januari 2025 @ 12:54:
[...]


In de basis een heel goed idee, al kun je ook gebruik maken van de features dit bitwarden je biedt voor emergency access. Wat ik me vooral afvraag, als je 1 van beide documenten hebt, kun je dan misschien niet met geavanceerd raden hoe je bij de gegevens komt?
Je kunt wel gaan raden uiteraard maar ik doe geen actieve verwijzingen naar de locatie. Het is ook niet dusdanig opgebouwd dat je eenvoudig kunt raden wat de gegevens uit het andere document zijn.

[...]
Is dat wachtwoord dan wel goed beveiligd? Dat is wat ik bedoelde met raden. Je kunt met harddisk encryptie waarschijnlijk zonder gevolgen alle wachtwoorden uit dat document testen (en extra variaties daarop)
Wat bedoel je met 'Is dat wachtwoord dan wel goed beveiligd?' De wachtwoorden staan uiteraard niet in z'n geheel in document 1 of 2.

[...]
Een accountnaam zou ik niet direct als geheim hanteren. Je moet er vanuit gaan dat die lekt en dat je dan alsnog een goede beveiliging hebt. Het verbergen helpt alleen tegen geavanceerde social engineering, en dan moeten ze jou wel heel graag willen hebben.
Een accountnaam geheim houden is op zich ook geen must. Maar als je hem bekend maakt dan sta je in principe al aan de "voordeur" en moet je alleen het wachtwoord nog hebben (en 2FA-code / Yubikey). Dat is de gedachte hierbij.


[...]
Een breed gedragen advies is intussen om alleen maar je wachtwoord te wijzigen als je weet of een vermoeden hebt dat die gelekt is. De echt beveiliging zit hem in MFA en het regelmatig wijzigen van wachtwoorden maakt het er niet noodzakelijkerwijs veiliger op.
Eens.

[...]
Dit klinkt als 1 van de zwakste schakels van je implementatie (naast het uitgebreid delen van je werkwijze op het internet)
Waarom zie je dit als één van de zwakste schakels? Het is enkel de TOTP-code. Op haar telefoon staat verder niks. Gebruikersnaam en master password weet ik uiteraard uit mijn hoofd.

En doel met je tweede opmerking op het feit dat ik hier mijn aanpak schets? En zo ja, waarom is dat in jouw ogen een zwakke schakel?

Acties:
  • 0 Henk 'm!

  • BytePhantomX
  • Registratie: Juli 2010
  • Laatst online: 22-09 18:34
@Frosty__ je vertrouwt voor je security voor een deel op dat sommige mensen niet alles weten
- documenten verspreid over meerdere locaties
- 1 iemand die totp heeft, maar geen username / ww

Als je het zo goed beveiligd als jij doet, is het geheim houden van dat soort zaken ook van belang. Iemand die halve informatie heeft, is een stuk verder dan iemand die geen informatie heeft. Als je een half wachtwoord hebt, dan is brute force een stuk sneller dan als je niets hebt.

En t.a.v. die TOTP bij je vrouw, je redenering klopt. Stel je vrouw geeft een stuk minder om security en installeert een android app die TOTP codes steelt. Je zegt terecht dat dit niet uitmaakt omdat je dan nog een username / ww nodig hebt. Op dat moment ben je echter een goede phishing campagne weg van een compromise. En daar maak je je op dat moment niet druk over want je heb toch MFA (niet wetende dat je vrouws telefoon compromised is). Een zeer onwaarschijnlijk scnenario, maar juist die aannames, vind ik een zwak punt in je verhaal. Een verbtering zou ik vinden dat je een backup yubikey op een derde locatie opslaat, dat vereist al weer fysieke toegang ipv het hacken van een telefoon en maakt het veel onwaarschijnlijker (al hangt het een beetje af van je dreigingsprofiel).

Ps het zijn wat mij betreft allemaal onrealistische edge case, maar vooral een leuke gedachte oefening.

Acties:
  • 0 Henk 'm!

  • Frosty__
  • Registratie: November 2021
  • Laatst online: 22-09 08:00
Als je het zo goed beveiligd als jij doet, is het geheim houden van dat soort zaken ook van belang. Iemand die halve informatie heeft, is een stuk verder dan iemand die geen informatie heeft. Als je een half wachtwoord hebt, dan is brute force een stuk sneller dan als je niets hebt.
Ja, dat is helemaal waar. En zo had ik er eerlijk gezegd nog niet naar gekeken.
En t.a.v. die TOTP bij je vrouw, je redenering klopt. Stel je vrouw geeft een stuk minder om security en installeert een android app die TOTP codes steelt. Je zegt terecht dat dit niet uitmaakt omdat je dan nog een username / ww nodig hebt. Op dat moment ben je echter een goede phishing campagne weg van een compromise. En daar maak je je op dat moment niet druk over want je heb toch MFA (niet wetende dat je vrouws telefoon compromised is). Een zeer onwaarschijnlijk scnenario, maar juist die aannames, vind ik een zwak punt in je verhaal. Een verbtering zou ik vinden dat je een backup yubikey op een derde locatie opslaat, dat vereist al weer fysieke toegang ipv het hacken van een telefoon en maakt het veel onwaarschijnlijker (al hangt het een beetje af van je dreigingsprofiel).
Ik heb een derde Yubikey op een derde locatie. Dat is een back-up en gelijk aan de andere twee. Maar stel dat ik m'n telefoon kwijt raak dan wil ik ASAP alle actieve password manager sessies killen (alvorens meer handelingen te gaan uitvoeren). Maar daarvoor moet ik wel kunnen inloggen in de password manager. Dus ik snap je punt wel hoor en die is ook goed. Het is meer de keuze die ik hierin maak welke voor mij doorslaat naar snelheid voor een situatie zoals genoemd.
Ps het zijn wat mij betreft allemaal onrealistische edge case, maar vooral een leuke gedachte oefening.
Vind ik ook! Goed om eens over te sparren en gedachten over uit te wisselen.
Pagina: 1