Toon posts:

Password managers....goed idee? welke? security?

Pagina: 1
Acties:
  • 116 views sinds 30-01-2008
  • Reageer

zaterdag 16 november 2002 15:25

Acties:

Verwijderd

Topicstarter
Ik moet tegenwoordig zo veel w8woorden onthouden dat dat toch vrij lastig begint te worden.....en dus ben ik opzoek gegaan naar een password manager voor linux. Bij de meeste progs zou ik 't gewoon maar zijn gaan proberen....maar hierbij is de veiligheid van de app een 'major issue' en misschien kan iemand mij vertellen welke veilig zijn en welke niet.

Een paar urls:
http://gpasman.nl.linux.org/
http://fpm.sourceforge.net/

wat ook nog een optie is is een 'plain text file' met de passwords en die dan met ccrypt of mcrypt encrypten.....maar blijft er dan in de /tmp oid niet een 'cached version' achter? en moet ik dan ccrypt of mcrypt hebben?

of kan ik 't beter in eem mysql db zetten en die dan met mcrypt en php benaderen?
zoals deze:
http://sourceforge.net/projects/passman/
http://www.passman.co.uk/ <-- demo van bovenstaande

welke password managers gebruiken jullie? ervaringen?

of kan ik beter gnupg gebruiken?

het liefste heb ik of een web interface of een gui+cli zo dat ik 't overal kan benaderen b.v. via ssh of https...

zaterdag 16 november 2002 15:56

Acties:
  • Wilke
  • Registratie: December 2000
  • Laatst online: 16:15

Wilke

Gebruik geen password manager.

Ik gebruik gewoon 3 verschillende soorten wachtwoorden, van elke soort heb ik er dan 1 of 2:
  • Security boeit nauwelijks, maar je moet toch wat opgeven.
    Bijvoorbeeld op websites waar je een accountje moet maken voor je iets kunt doen, online webgames etc.
  • Logins die er wel toe doen, maar niet superbelangrijk zijn
    Bv. wachtwoord om in te loggen op m'n werk, mail-account, login op de universiteit, op je ICQ/MSN account (als die al niet in de vorige categorie vallen).
  • Wachtwoorden waarvan je niet wil dat anderen ze zouden kunnen weten
    Afhankelijk van hoeveel dat je boeit: je root wachtwoord, database passwords e.d. misschien password van je werk ook wel...
Met zo'n soort systeem hoef je maar een stuk of 3-6 wachtwoorden te bedenken, en loop je toch geen enorm risico.

zaterdag 16 november 2002 16:02

Acties:

Verwijderd

voor het web onthoud galeon wat ik wil en voor ssh gebruik ik de authorized_keys

zaterdag 16 november 2002 16:21

Acties:

Verwijderd

IMHO zou je dit zo simpel mogelijk moeten houden. Zelf heb ik ooit eens een plaintext file aangemaakt, met daarin de hostname / username / password, wat vervolgens encrypted werd met gnupg.

Op deze manier kun je via ssh2 inloggen op de "secure" box, en de file uitlezen. Een webinterface via https is niet echt een goed idee, aangezien dsniff https kan analyzen

zaterdag 16 november 2002 16:51

Acties:
  • mocean
  • Registratie: November 2000
  • Laatst online: 30-03 18:32

mocean

Iemand al gedacht aan een papiertje, en het op te schrijven? Is ook zeer moeilijk remote te hacken...

Koop of verkoop je webshop: ecquisition.com

zaterdag 16 november 2002 18:56

Acties:
  • Wilke
  • Registratie: December 2000
  • Laatst online: 16:15

Wilke

Maar werkt alleen als je thuis bent...en ook voor iedereen die achter jouw PC zit.

zaterdag 16 november 2002 19:59

Acties:

Verwijderd

Topicstarter
mocean schreef op 16 November 2002 @ 16:51:
Iemand al gedacht aan een papiertje, en het op te schrijven? Is ook zeer moeilijk remote te hacken...
Een papiertje is vaak geschreven....met mijn handschrift wordt dat lastig....een g en 9 en een 'rn' en een 'm' of een 0 of een O of o
En als je 't tikt moet je 't toch in je pc hebben staan....(maar dan heb je 't niet vaak nodig....misschien op diskette....)
Maar zo'n lijst wordt bij mij al aardig lang en dan is 't meer dan dat ik makkelijk mee kan nemen.....
En copy-pasten wordt dan ook lastig....
Wilke schreef op 16 November 2002 @ 15:56:
Ik gebruik gewoon 3 verschillende soorten wachtwoorden, van elke soort heb ik er dan 1 of 2:
Dat gebruikte ik ook altijd....is niet erg veilig...(als je een w8woord weet zijn de andere in dezelfde klasse ook te raden) en er zijn een aantal w8woorden waarbij dat niet mogelijk is....die b.v. door meerdere mensen gebruikt worden of niet te weizigen zijn... (en die automatisch gecreerde zijn zo makkelijk te onthouden :P )
Verwijderd schreef op 16 November 2002 @ 16:02:
voor het web onthoud galeon wat ik wil en voor ssh gebruik ik de authorized_keys
Dat werkt maar voor 1 systeem....
Verwijderd schreef op 16 November 2002 @ 16:21:
Een webinterface via https is niet echt een goed idee, aangezien dsniff https kan analyzen
Weer wat geleerd :) Dat ga ik dus maar niet doen.....

zondag 17 november 2002 00:39

Acties:
  • Arzie
  • Registratie: Juni 1999
  • Laatst online: 15:04

Arzie

Ik heb een tekstfile met daarin aanwijzingen over mijn wachtwoorden, die een buitenstaander nooit snapt. Is niet zo moeilijk te bedenken, en zeer doeltreffend, iedereen mag ook rustig dat bestandje meelezen.

zondag 17 november 2002 01:00

Acties:

Verwijderd

Topicstarter
Arzie schreef op 17 November 2002 @ 00:39:
Ik heb een tekstfile met daarin aanwijzingen over mijn wachtwoorden, die een buitenstaander nooit snapt. Is niet zo moeilijk te bedenken, en zeer doeltreffend, iedereen mag ook rustig dat bestandje meelezen.
wat voor aanwijzing zou jij geven voor:
host1 - GD49kkrov
host2 - fuFDH679b

zondag 17 november 2002 01:03

Acties:
  • Arzie
  • Registratie: Juni 1999
  • Laatst online: 15:04

Arzie

Verwijderd schreef op 17 November 2002 @ 01:00:
[...]

wat voor aanwijzing zou jij geven voor:
host1 - GD49kkrov
host2 - fuFDH679b
;) Random passwords zijn ook een optie, maar dan moet je ze gewoon eerst een halfuurtje achterelkaar gaan intypen, dan onthoud je ze ook wel.

zondag 17 november 2002 01:03

Acties:
  • Sick Nick
  • Registratie: Februari 2001
  • Laatst online: 14-05 17:02

Sick Nick

Drop the top!

Verwijderd schreef op 17 november 2002 @ 01:00:
[...]

wat voor aanwijzing zou jij geven voor:
host1 - GD49kkrov
host2 - fuFDH679b
gewoon wat inkloppen en hopen dat het goed is :+

Anders gewoon niet 20 verschillende passes houden maar meer richting de 10 ofzo. Dat kan je toch wel onthouden?

zondag 17 november 2002 01:29

Acties:

Verwijderd

Topicstarter
Deze kan ook nog problematisch worden:
Error Message: Your Password Must Be at Least 18770 Characters and Cannot Repeat Any of Your Previous 30689 Passwords
bron: http://support.microsoft.com/default.aspx?scid=KB;en-us;q276304

zondag 17 november 2002 01:38

Acties:
  • bazs2000
  • Registratie: November 2000
  • Laatst online: 24-04 15:03

bazs2000

Pixels zo groot als een atoom

Ik heb op mijn werk een passwordmanager in Access gemaakt, alle passwords die ik heb staan er in en dit alles is in mijn ogen redelijk veilig te noemen (echt veilig bestaat niet). :)

Het is een beveiligde database die ook nog eens kijkt naar de username waarmee je op de machine bent ingelogd. Dit voorkomt dat iemand anders het database kopieert en op zijn eigen werkstation opent, hij zal vanzelf de foutmelding krijgen dat hij niet geauthoriseerd is om het bestand te openen. Mocht het lukken om hier voorbij te komen dan moet hij nog een wachtwoord invullen. Met deze zaken wordt het alweer verdomd moeilijk om het te openen voor het persoon die denkt om eventjes mijn wachtwoorden te jatten. :P

Tja, iemand met kennis krijgt het altijd wel open maar dat kunnen er nooit veel zijn. :)

Edit:
Ik zie nu pas dat dit topic in NOS staat. :{

Krankzinnige muziek vind je hier.

zondag 17 november 2002 03:52

Acties:
  • Seth4Chaos
  • Registratie: Maart 2001
  • Niet online

Seth4Chaos

that's me...

Ik gebruik mijn Palm om mijn passworden op te slaan. Die heb ik altijd bij me, kan ik ook altijd me 'handschrift' lezen. en het staan met een 128 bits key versleuteld dmv een 'main-password'

Verder gebruik ik op me werk ook nog een password proggie voor alle passworden van me werk.

Overigens onthou ik de meeste passworden ook gewoon hoor, als je bijvoorbeeld een zin en daar alleen de eerste letters van neem, voorbeeld:
De Zoon Van God Is Terug Op Aarde (zin uit liedje van acda en de munnik)
wordt: DzVgItOa
als er in dit soort zinnen het woordje een zit vervang je dat door een 1 en desnoods kan je aan het einde (of midden) nog een leesteken pleuren om het wat moeilijker te maken.

Mistakes are proof that you are trying...

zondag 17 november 2002 10:51

Acties:

Verwijderd

Topicstarter
bazs2000 schreef op 17 november 2002 @ 01:38:
Ik heb op mijn werk een passwordmanager in Access gemaakt, alle passwords die ik heb staan er in en dit alles is in mijn ogen redelijk veilig te noemen (echt veilig bestaat niet). :)

Het is een beveiligde database die ook nog eens kijkt naar de username waarmee je op de machine bent ingelogd. Dit voorkomt dat iemand anders het database kopieert en op zijn eigen werkstation opent, hij zal vanzelf de foutmelding krijgen dat hij niet geauthoriseerd is om het bestand te openen. Mocht het lukken om hier voorbij te komen dan moet hij nog een wachtwoord invullen. Met deze zaken wordt het alweer verdomd moeilijk om het te openen voor het persoon die denkt om eventjes mijn wachtwoorden te jatten. :P

Tja, iemand met kennis krijgt het altijd wel open maar dat kunnen er nooit veel zijn. :)

Edit:
Ik zie nu pas dat dit topic in NOS staat. :{
Al is het wel een windows oplossing....als je access door mysql vervangt is 't onder linux ook op die manier te doen, maar een van de problemen is dat je er dan niet remote bij kan....ssl+php+mcrypt schijnt volgens de post van r3b00t niet veilig te zijn.

zondag 17 november 2002 10:56

Acties:

Verwijderd

Topicstarter
Seth4Chaos schreef op 17 November 2002 @ 03:52:
Ik gebruik mijn Palm om mijn passworden op te slaan. Die heb ik altijd bij me, kan ik ook altijd me 'handschrift' lezen. en het staan met een 128 bits key versleuteld dmv een 'main-password'
Goed idee.....ik heb alleen geen palm (misschien een goede rede om er een te kopen...)
Overigens onthou ik de meeste passworden ook gewoon hoor, als je bijvoorbeeld een zin en daar alleen de eerste letters van neem, voorbeeld:
De Zoon Van God Is Terug Op Aarde (zin uit liedje van acda en de munnik)
wordt: DzVgItOa
als er in dit soort zinnen het woordje een zit vervang je dat door een 1 en desnoods kan je aan het einde (of midden) nog een leesteken pleuren om het wat moeilijker te maken.
Dan krijg je passwords met een goede kwaliteit......goede tip!

zondag 17 november 2002 12:02

Acties:

Verwijderd

Topicstarter
ik denk dat ik een passwords.csv ga maken omdat dat te openen is OpenOffice Calc. Is er een cli progje wat met .csv (comma seperated values) overweg kan???
Het gebruik van een textbestand geeft als voordeel dat je b.v. meerdere host velden kan hebben per record....en dat spreekt me wel aan..(sommige pc's hebben b.v. 3 ip's)

maandag 18 november 2002 09:45

Acties:

Verwijderd

Ik heb zelf eens een password manager geschreven: TkPasMan. Als je ook OpenSSL installeert kun je de password file met een master password encrypten. Je kan ook heel makkelijk usernames en passwords in webforms of terminals pasten.

maandag 18 november 2002 11:40

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op 18 november 2002 @ 09:45:
Ik heb zelf eens een password manager geschreven: TkPasMan. Als je ook OpenSSL installeert kun je de password file met een master password encrypten. Je kan ook heel makkelijk usernames en passwords in webforms of terminals pasten.
Ik was met mijn zoektocht ook die TkPasMan tegengekomen....ziet er goed uit. Is er al een cli frontend? (ik d8 gelezen te hebben dat 't een en ander wat meer met modules werkte sinds een bepaalde versie zodat dit mogelijk moest gaan worden?)

btw. op http://bugs.debian.org/gpasman kwam ik een heel aantal minder goede berichten tegen over gpasman....geen aanrader dus.

ik heb ergens nog een hint gekregen....als je met mcrypt een bestand encrypt moet je de -b optie gebruiken, dat wordt er dus geen md5sum opgeslagen en zegt hij bij het decrypten altijd dat het gelukt is, maar is de uitvoer enkel leesbaar als het goede password gebruikt wordt. Om te kijken of een hack poging gelukt is moet je de uitvoer dus analiseren....

maandag 18 november 2002 12:18

Acties:

Verwijderd

bazs2000 schreef op 17 November 2002 @ 01:38:
Ik heb op mijn werk een passwordmanager in Access gemaakt, alle passwords die ik heb staan er in en dit alles is in mijn ogen redelijk veilig te noemen (echt veilig bestaat niet). :)

Het is een beveiligde database die ook nog eens kijkt naar de username waarmee je op de machine bent ingelogd. Dit voorkomt dat iemand anders het database kopieert en op zijn eigen werkstation opent, hij zal vanzelf de foutmelding krijgen dat hij niet geauthoriseerd is om het bestand te openen. Mocht het lukken om hier voorbij te komen dan moet hij nog een wachtwoord invullen. Met deze zaken wordt het alweer verdomd moeilijk om het te openen voor het persoon die denkt om eventjes mijn wachtwoorden te jatten. :P

Tja, iemand met kennis krijgt het altijd wel open maar dat kunnen er nooit veel zijn. :)

Edit:
Ik zie nu pas dat dit topic in NOS staat. :{
*sigh* Is je access database encrypted? Wat houd mij tegen om met een binary editor je database te gaan napluizen op wachtwoorden?

Als je (ik zeg maar wat) een laptop oid hebt met cf of een mem-stick zou je evt daar een encrypted filesysteem op kunnen zetten, waar encrypted je password list nog eens instaat. Zodra je het nodig hebt, haal je je device uit de kluis (bij wijze van spreke) en lees je de wachtwoorden uit. Op deze manier voorkom je dat je wachtwoorden gecompromized worden als je laptop gejat word.

maandag 18 november 2002 13:15

Acties:

Verwijderd

TkPasMan heeft in zoverre een CLI frontend, dat je een lijst kan opvragen naar de console (kan ook buiten X dus). De password file bewerken, toevoegen etc. kan helaas niet buiten X.

Het is wel de bedoeling dat dat er nog een keer bij komt, en ook opties om automatisch wachtwoorden te genereren, GPG encryptie en eventueel een treeview om de entries overzichtelijker te sorteren. Maar het is nu verder heel stabiel en veilig (locking, slaat altijd op naar backupfile, en kopieert die dan naar de oude file. Pas als dat lukt wordt de backupfile weer verwijderd).

maandag 18 november 2002 13:46

Acties:

Verwijderd

Dus evt zou ik nog je password list kunnen afluisteren via een ttysnooper. Of door het attachen van een debugger aan je app om te kijken wat er plaintext door memory word gestuurd.

Moraal van het verhaal: Helemaal veilig zijn dit soort oplossingen nooit, en zullen ze ook niet worden...

maandag 18 november 2002 19:59

Acties:

Verwijderd

Topicstarter
hoe zit 't met 'temp' files in progs zoals TkPasMan?

dinsdag 19 november 2002 11:58

Acties:

Verwijderd

als je een plek in het filesystem hebt om een symlink attack uit te voeren zijn die temp files te intercepten
Pagina: 1
Reageer