Gebruikersnamen + wachtwoorden op hardware dongle => Browser - Privacy en beveiliging

woensdag 17 juli 2024 21:27

Acties:

0 Henk 'm!

Topicstarter

Infostealers komen steeds vaker voor (zoals bij de recente Snowflake hack).
Ze jatten dan o.a. je hele set aan browserdata, inclusief de actieve addons (zoals password managers) en lezen eventuele wachtwoorden van die managers gewoon uit het geheugen.

Daar is weinig tegen opgewassen bij sites waar je alleen met gebruikersnaam/wachtwoord inlogt.
Of als je TOTP manager ook draait en ontsleuteld is.

Dus wat ik zou willen is een hardware dongle waar je gebruikersnamen met wachtwoorden in kan zetten en waar je op een knop moet drukken om 1 setje vrij te geven (voor een specifiek domein).

Bestaat dat? En kan een browser daartegen praten?

Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.

woensdag 17 juli 2024 21:47

Acties:

0 Henk 'm!

patviev

Yubikey?

woensdag 17 juli 2024 21:52

Acties:

0 Henk 'm!

Juup

Topicstarter

Ik vermoed dat die het niet kan, zie b.v. https://zapier.com/blog/what-is-a-yubikey/
"To clarify: your Yubikey doesn't store identifiable usernames and does not store any of your passwords. Anyone who finds your YubiKey would have absolutely no way of knowing which accounts it can log in to."

Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.

woensdag 17 juli 2024 23:22

Acties:

+2 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

Gewoon geen plugin hebben voor MFA, idealiter zelfs niet voor passwords. Type de code over uit je andere-apparaat. Of heb een bevestiging zoals MS authenticator of de Google tegenhanger. Een browserplugin op hetzelfde apparaat die het voor je doet is geen MFA. Dat is dezelfde 'factor'. Copypaste username en password uit je password-tool die geen browserplugin heeft of die tenminste pas activeert na ingeven van je master password. Bijv. Keepass zonder KeepassRPC. Ctrl-b, ctrlr-v, ctrl-c ctrl-v, klaar.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

donderdag 18 juli 2024 08:28

Acties:

0 Henk 'm!

Sissors

Jatten die exploits niet ook direct je sessies? Dus dan zou je moeten zorgen dat je nooit ingelogd blijft, en als je dan elke keer handmatig je wachtwoord moet overtikken, dan is de lol er snel vanaf lijkt mij. Copy-pasten is minder gedoe, maar nog steeds wordt het er niet gebruiksvriendelijker op.

Natuurlijk verlopen die sessies wel weer, en moet je soms bij de gevoeligere zaken opnieuw inloggen. Maar dat duurt allemaal wel een tijd.

donderdag 18 juli 2024 09:16

Acties:

0 Henk 'm!

Juup

Topicstarter

@F_J_K beetje jammer om terug naar het stenen tijdperk te moeten.
@Sissors: ja ze jatten inderdaad ook je sessies, dat is wel een probleem (maar ik weet nu even niet hoe dat te voorkomen).

Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.

zondag 21 juli 2024 11:25

Acties:

0 Henk 'm!

Juup

Topicstarter

Oh een OnlyKey kan het maar die slaat maar max 24 wachtwoorden op

https://onlykey.io/

Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.

zondag 21 juli 2024 11:43

Acties:

0 Henk 'm!

Juup

Topicstarter

Ah deze is wat ik bedoel:
https://themooltipass.com/
€ 160,- en nu even niet op voorraad - maar precies wat ik bedoel.

Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.

vrijdag 26 juli 2024 18:17

Acties:

0 Henk 'm!

Juup

Topicstarter

Deze schijnt het ook te kunnen:
https://www.byteseal.in/
maar verplicht om je telefoonnummer op te geven bij setup(???) en werkt alleen over bluetooth, niet over USB (USB alleen om te laden)

Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.

vrijdag 26 juli 2024 22:03

Acties:

0 Henk 'm!

kodak

FP ProMod

Infostealers bestaan al heel lang, ze worden vooral steeds geavanceerder. Ze zijn net als andere malware niet alleen een risico omdat ze iets doen wat je niet wil, maar ook omdat ze dat vaak lange tijd onopgemerkt kunnen doen.

Wat wil je dan precies met je oplossing een minder risico maken? Want die infostealers wachten bijvoorbeeld op de achtergrond gewoon tot het moment dat je voor een website je gebruikersnaam/wachtwoord via je besmette systeem vrij geeft aan de browser.

Ook gaat het niet zomaar werken als je op een besmet systeem een nieuw account maakt of je gegevens aanpast. Kun je het daarna wel 'veiliger' op je oplossing plaatsen maar dan ben je al te laat.

Het voordeel zal natuurlijk kunnen zijn dat de infostealers niet zomaar al je versleutelde authenticatiegegevens naar een crimineel zal weten te sturen, maar dat lijkt dan vooral af te hangen op het niet gebruiken van alle gegevens zolang je systeem besmet is. Terwijl veel diensten tegenwoordig modernere authenticatie zoals 2fa en mfa aanbieden, waarmee die infostealer zelfs niet zomaar iets heeft aan wat je toch via het besmette systeem gebruikte om in te loggen.

[ Voor 9% gewijzigd door kodak op 26-07-2024 22:08 ]

vrijdag 26 juli 2024 22:28

Acties:

+1 Henk 'm!

kodak

FP ProMod

Juup schreef op vrijdag 26 juli 2024 @ 18:17:
Deze schijnt het ook te kunnen:
https://www.byteseal.in/
maar verplicht om je telefoonnummer op te geven bij setup(???) en werkt alleen over bluetooth, niet over USB (USB alleen om te laden)

En je hebt kennelijk een plugin in je browser nodig, waarbij we kunnen verwachten dat een infostealer mogelijk alsnog zelf bij alle authenticatiegegevens kan komen. Die lijken niet op het apparaat te staan maar in een online profiel. Wat zou betekenen dat je de biometrische controle via het apparaat doet om een juiste sleutel naar de plugin te sturen om een profiel met je authenticatiegegevens open te maken. Ik lees geen enkele duidelijkheid of het apparaat elke keer dezelfde sleutel aan die pluging stuurt, dan heeft een infostealer dus aan één keer die sleutel stelen genoeg?

vrijdag 26 juli 2024 22:29

Acties:

0 Henk 'm!

Juup

Topicstarter

Ja je zegt het zelf eigenlijk al.
Op een normaal systeem met password manager kunnen de infostealers het wachtwoord in het geheugen zoeken (of wachten tot je het intypt) en dan hebben ze meteen alle credentials.

Als die op een hardware token staan moeten ze heel lang wachten tot je op alle/die-ene site(s) weer een keer ingelogt.

Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.

maandag 29 juli 2024 14:36

Acties:

+1 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

Juup schreef op woensdag 17 juli 2024 @ 21:27:
Ze jatten dan o.a. je hele set aan browserdata, inclusief de actieve addons (zoals password managers) en lezen eventuele wachtwoorden van die managers gewoon uit het geheugen.
<knip>
Daar is weinig tegen opgewassen bij sites waar je alleen met gebruikersnaam/wachtwoord inlogt.
Of als je TOTP manager ook draait en ontsleuteld is.
<knip>
Dus wat ik zou willen is een hardware dongle waar je gebruikersnamen met wachtwoorden in kan zetten en waar je op een knop moet drukken om 1 setje vrij te geven (voor een specifiek domein).

Deel van het probleem is software die alle je wachtwoorden/codes tegelijk ontgrendelt.
Ik gebruik een passwordmanager (GNU pass, helaas niet voor iedereen geschikt) in combinatie met een yubikey.
De encryptie wordt door de de yubikey gedaan en per account. Op geen enkel moment zijn al mijn wachtwoorden onversleuteld in het geheugen te vinden.

Het prettige van deze oplossing is dat de password file kan backuppen.

Owja, algemene tip voor alle hardware oplossingen: denk even na over hoe je omgaat met het verlies van je apparaat/dongle/token. Zorg bv dat je een reserve hebt en test die ook regelmatig.

This post is warranted for the full amount you paid me for it.

maandag 29 juli 2024 14:41

Acties:

0 Henk 'm!

Juup

Topicstarter

CAPSLOCK2000 schreef op maandag 29 juli 2024 @ 14:36:
De encryptie wordt door de de yubikey gedaan en per account. Op geen enkel moment zijn al mijn wachtwoorden onversleuteld in het geheugen te vinden.

Oh wow hoe heb je dat voor elkaar gekregen?
En is dat Linux-only?

Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.

maandag 29 juli 2024 14:52

Acties:

+1 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

Juup schreef op maandag 29 juli 2024 @ 14:41:
Oh wow hoe heb je dat voor elkaar gekregen?
En is dat Linux-only?

https://www.passwordstore.org/

Beschikbaar voor Linux, Windows, Android, Firefox en vast nog meer.

Het idee is eigenlijk vrij simpel. Ieder wachtwoord zit in een losse file die versleuteld is met PGP. Die files worden allemaal in een git repository gezet zodat je versiebeheer hebt en je kan synchroniseren met andere systemen.

Mijn PGP/GnuPG installatie is geconfigureerd om private key van mijn Yubikeys te gebruiken.
Meervoud want ik heb meerdere Yubikeys voor het geval er een stuk/verloren gaat.

Ik heb een Yubikey met NFC zodat ik die ook op mijn telefoon kan gebruiken (via Openkeychain).

Let op, deze software is vooral geschikt voor nerds en er zit standaard geen GUI bij. Er zijn andere clients die vriendelijker zijn naar gewone gebruikers.

[ Voor 5% gewijzigd door CAPSLOCK2000 op 29-07-2024 14:54 ]

This post is warranted for the full amount you paid me for it.

woensdag 27 november 2024 18:40

Acties:

0 Henk 'm!

Juup

Topicstarter

Nog een gevonden:
PasswordPocket - https://www.atlancube.com/
Deze werkt over Bluetooth en kan 1000 wachtwoorden in de hardware opslaan.
Klein nadeeltje: in Chrome moet je continue een tabblad open houden zodat de Bluetooth verbinding tussen browser en PasswordPocket blijft leven.

Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.

woensdag 27 november 2024 19:19

Acties:

0 Henk 'm!

Juup

Topicstarter

En nog een die wel veelbelovend lijkt:
https://www.beamu.io/
Lijkt over USB te kunnen (doet ook Bluetooth).
Heeft een Firefox addon.
Kost $ 99,-

Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.

zondag 22 december 2024 14:41

Acties:

0 Henk 'm!

Juup

Topicstarter

Nog een kandidaat:
NitroKey 3 https://www.nitrokey.com/products/nitrokeys
Lijkt echter maar een beperkt aantal credentials op te kunnen slaan (15?)

Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.

zondag 6 april 2025 11:42

Acties:

0 Henk 'm!

Juup

Topicstarter

ZerokeyUSB lijkt me ook een goede kandidaat:
https://hackaday.io/project/184834-zerokeyusb
https://www.crowdsupply.com/depbit/zerokeyusb

Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.

Pagina: 1

Reageer