Kun je je wachtwoorden veilig bewaren?

FREEDOM NIEUWS
,
1

Na bericht van vorige week dat wachtwoordmanager LastPass was gehackt, raakten collega's met elkaar in gesprek op onze interne chat over hoe je wachtwoorden kunt bewaren. Dat willen we jullie niet onthouden, daarom hieronder een paar opmerkingen en linkjes. Als je er geen chocola van kunt maken, het komt neer op: gebruik een lokale kluis, maak een lokale back-up en gebruik altijd twee factor authenticatie :-)

Er zijn bij de hack trouwens geen gegevens of wachtwoorden gelekt.

Wat maakt een online wachtwoordmanager kwetsbaar?

Een online wachtwoordmanager zoals Lastpass is kwetsbaar, omdat deze kan worden gehackt. In de manager worden niet alleen wachtwoorden opgeslagen, maar ook de loginnaam en de plek waar moet worden ingelogd. Alle info staat bij elkaar, super handig, ook voor de dief. Natuurlijk doen de bedrijven die online wachtwoordmanagement aanbieden er alles aan om hacks te voorkomen. Maar vaststaat dat er altijd nieuwe kwetsbaarheden zullen worden gevonden. 

Wat is een voordeel van een online wachtwoordmanager?

Je houdt toegang tot je wachtwoorden, ook als bijvoorbeeld je laptop kwijt is of kapot gaat. Omdat de kluis online staat, is deze altijd en overal te bereiken. Maar goed, dat is dus direct het nadeel: het feit dat je kluis online staat betekent dat deze ook beter benaderbaar is voor anderen.       

De andere optie: offline bewaren

Je kunt overwegen je wachtwoorden lokaal op te slaan. Dat wil zeggen: op je eigen computer. Een voorbeeld van een offline wachtwoordmanager is KeePassXC, dit is een open source programma.

Zwakke plek

Ook offline wachtwoordmanagers kennen zwakke plekken. Één van de dingen waar verschillende wachtwoordmanagers niet altijd even goed mee omgaan, is het scrubben van cleartext secrets uit RAM. Dat betekent dat wachtwoorden die zich in platte tekst in het geheugen van je computer bevinden op je klembord niet altijd tijdig worden gewist. 

Oude artikelen, maar (helaas) nog redelijk actueel:
https://www.ise.io/casestudies/password-manager-hacking/
https://nakedsecurity.sophos.com/2019/02/21/password-managers-leaking-data-in-memory-but-you-should-still-use-one/

Zorg voor een back-up

Zorg ervoor dat je altijd een back-up hebt van het bestandje met wachtwoorden. Sla deze back-up ook lokaal op (dus niet online) en versleuteld. Vergeet niet de back-up goed bij te houden. Een lokale versleutelde kluis met een lokale versleutelde back-up is volgens onze collega's de meest veilige oplossing.

Extra werk

Ja, dit is wel allemaal wat extra werk en vergt een beetje studie en gewenning. Het is zeker minder gemakkelijk dan een online manager die alle info precies op het juiste moment voor je oplepelt. Maar zoals net al aangestipt: dit is precies de zwakke plek van je online manager. Dit vraagt dus om een eerlijke afweging: meer gemak voor jou en de hacker of minder gemak voor jou en de hacker. 

Hoe dan ook is het gebruik van een wachtwoordkluis aan te raden. Zeker als het alternatief een gemakkelijk te raden wachtwoord is of gebruik van hetzelfde wachtwoord voor al je accounts.

Een alternatief

Je kunt overwegen zelf je wachtwoordkluis te hosten. Een voorbeeld hiervan is Bitwarden, self hosted.

Conclusie

Er is niet echt een eenduidig antwoord en iedereen heeft een andere voorkeur. Uiteindelijk blijft het belangrijk te zorgen voor zoveel mogelijk laagjes beveiliging. Als één laagje dan wordt doorbroken, is de buit nog niet binnen. Gebruik dus in ieder geval tweefactorauthenticatie. Dan ben je in ieder geval dubbel beveiligd :-)

Lees hier hoe Cloudflare medewerkers voor de gek werden gehouden, maar alsnog de boel veilig gesteld was.

Community

Wil je de discussie voortzetten? Neem dan een kijkje bij het topic op onze community.

Zie het oorspronkelijke bericht op https://freedom.nl/nieuwsartikel/een-interne-discussie-over-wachtwoordkluizen
1 like
2

Ik gebruik al enkele jaren Keepass en heb het geïnstalleerd op een netwerkdrive in huis (en een backup op een andere netwerkdrive met andere hardware in een andere ruimte). Tot nu toe bevalt dat goed.

3

Recentelijk is een grote Online login management toko te grazen genomen tww. Okta. Gevolg: diverse leveranciers van cloud diensten hadden te maken met inbraken ONDANKS MFA instellingen omdat de Okta instelling bijgesteld dan wel afgekeken waren.
(icm. twillio uitdagingen [ hier was de eerste inbraak ]).
Hierdoor zijn er bij diverse bedrijven inbraken geweest.

4

Zelf gebruik ik al jaren Passwordsafe (opensource) het is te koppelen aan een Yubikey voor 2-factor support indien gewenst. Werkt zowel op windows, linux, android e.a. Voordeel is dat het kluisbestand crossplatform compatibel is.

5

Naast nadelen is het ook goed om te kijken naar kans. Dat de online tools wel eens gehackt worden (bijna nooit de wachtwoorden zelf) staat tegenover dat individuen die het zelf opslaan ook gehackt worden, dat komt alleen niet in het nieuws.

Dat is een nadeel van lokale en self-hosted varianten, dat je zelf moet nadenken over en werken aan de beveiliging ervan. Wat dat betreft is een online variant veiliger omdat de bedrijven achter die tools beter zijn in de beveiliging ervan dan ikzelf.

Verder is een herstelplan belangrijk. Dit is een nadeel van alle vormen (online en lokaal) dat de password manager wel goed opslaat, maar niet goed hersteld als je zelf de sleutel kwijt bent. Het is belangrijk om de veiligheid die je wil, af te wegen tegen de zekerheid dat je (of iemand anders) bij je data kunt, bijv. in het geval van brand, ongevallen of overlijden.

Dus bijvoorbeeld zorg voor een fysieke backup met wachtwoorden/sleutels en een scenario voor toegangsherstel. En deel die fysieke backup met je partner of iemand anders die je vertrouwd.

6

Voor de Linux gebruiker is er nog een andere, ‘low tech’ command-line oplossing. De editor vim met de gnupg plugin. Je moet wel oppassen voor de swap (omzeilen met -i none ) en de viminfo ( uitschakelen met -n ), maar dan ben je redelijk safe. (mits je geen zwakke key gegenereerd hebt)

Is niet online raadpleegbaar, maar is dan ook niet online te hacken. Een simpele file voor je eigen werkstation werkt prima, helemaal als enige user. Je kan zelfs als afdeling zo’n oplossing gebruiken door meerdere keys toe te voegen.

7

Voor het lokaal opslaan van wachtwoorden kan je ook https://www.passwordstore.org gebruiken. Dit is ongeveer hetzelfde als de wachtwoorden zelf versleuteld in een bestand op te slaan, maar dan met wat meer mogelijkheden.

1 like
8

Dan maar echt off-line wachtwoorden opslaan, kan niet gehacked worden en nooit last van stroomstoring :grin:

9

Totdat iemand ‘fysiek’ inbreekt :grinning:

10

Als de pen leeg is, kun je ineens geen wachtwoorden meer genereren.
BackUp nodig : een tweede pen.

afweging ?

Je voordeur altijd wijd open laten staan, dat is bijzonder handig:
als je beladen met tassen boodschappen komt aanlopen,
dan kun je zó door naar de keuken.
Aan deze gebruiksvriendelijke oplossing schijnen ook nadelen te zitten …

11

MindYourPass is ook een mooie oplossing vind ik zelf met on-the-fly gegeneerdere wachtwoorden, dus gen opslag en toch overal uniek.

1 like
12

In plaats van een password manager gebruik ik een password generator die op basis van een secret (wat ik weet) en de hostname van de website een password genereert. Het voordeel hierbij is dat er niets opgeslagen hoeft te worden, het gebruikte software is simpel (en dus makkelijk te controleren op narigheid), en als iemand het programma weet te bemachtigen maakt het niets uit want met een ander secret kom je op andere passwords uit.

13

Hoe werkt het dan als je je wachtwoord hebt aangemaakt op de site van example.nl en je daarna moet inloggen op mijn.example.nl?

14

Zoiets heb ik inderdaad een keer gehad, volgens mij bij gandi.net. Het aanmaken verliep via account.gandi.net en het inloggen via id.gandi.net. Uiteraard heb je dan de keuze om te onthouden dat de hostname account.gandi.net was, of even inloggen en het password veranderen voor de juiste hostname. Mocht het echt mis gaan doordat bijvoorbeeld de hostname aangepast wordt terwijl jij dat niet doorhebt dan kan je meestal wel een password reset doen, dat is me in de praktijk met meer dan 12 jaar gebruik nog niet overkomen.

1 like
15

Hi @Anco
Mag ik hier vanuit gaan dat MindYourPass een goede oplossing is?
Ik zie dat ze namelijk ook een iMac variant hebben en dat ze ook nog een app hebben met MindYourPass Password Firewall. Ken je die ook?

De site ziet er een beetje simpeltjes uit, dus dan ben ik altijd een beetje voorzichtig. Ook nog nooit van gehoord namelijk. Hoor graag verder je informatie hierover :slight_smile:

16

MindYourPass is een password generator ipv een wachtwoordkluis. Is voortgekomen uit TU Eindhoven en proberen nu commercieel het product te laten groeien.

1 like
17

Oh, dan heb ik dat verkeerd begrepen.
Ga ik toch eens bekijken dan, ziet er wel goed uit :slight_smile:

18

Ik begrijp niet helemaal waarom die losse wachtwoordmanagers nog gebruikt worden. Dat zit tegenwoordig toch in elke browser ingebouwd? In Firefox wel iig. Offline, tenzij je het via je Mozilla account gaat synchroniseren. Daar ben ik dan weer een beetje huiverig voor.

19

Niet alles gaat/via browsers…

3 likes
20

Browsers zijn grote, complexe stukken software die via netwerkverbindingen grote hoeveelheden ongevalideerde data behandelen (de websites die je bezoekt). Dat is per definitie een heel gevaarlijke beginsituatie en dat maakt het wat mij betreft ongeschikt voor opslag van gevoelige data als passwords.
Een password manager zou wat mij betreft zo klein en simpel mogelijk moeten zijn en geen netwerkverbindingen moeten gebruiken.