image

"Wachtwoorden opschrijven is wel verstandig"

dinsdag 20 januari 2009, 10:21 door Redactie, 17 reacties

Internetgebruikers beschikken over steeds meer online accounts en gebruikersnamen, waardoor het niet meer te doen is om wachtwoorden te onthouden. De oplossing is simpel, schrijf je wachtwoorden op, aldus virusbestrijder Roger Thompson. Toch gaat het advies tegen de mantra in dat gebruikers hun wachtwoorden niet moeten opschrijven. "De afgelopen twintig jaar volgde ik altijd het security mantra om wachtwoorden niet op te schrijven, omdat iemand je notitie papiertje kon stelen en het beter is om je wachtwoord te herinneren."

Dit idee was tien of meer jaren geleden haalbaar, omdat gebruikers toen maar één of twee accounts hadden. Tegenwoordig moedigt het mensen aan om slechts één wachtwoord te kiezen. "Of misschien twee als je een goed geheugen hebt." Zodra iemands account is gekraakt en een aanvaller weet het wachtwoord, betekent dat hij ook toegang tot tal van andere websites en accounts heeft.

Portemonnee
Thompson geeft dan ook het advies om zoveel mogelijk wachtwoorden te gebruiken en ze in een database of portemonnee te bewaren, iets wat ook Bruce Schneier in het verleden adviseerde. "Als je je portemonnee verliest, dan weet je dat je je wachtwoorden moeten resetten en je rekeningen blokkeren."

Reacties (17)
20-01-2009, 10:24 door Anoniem
Ik kop hem maar even in, passwordsafe.
20-01-2009, 10:57 door Anoniem
Zelf hanteer ik de volgende methode. Mijn wachtwoorden bestaan uit 3 delen, namelijk voor, middel en achter. Het voorste en laatste deel zijn altijd hetzelfde en het middelste deel is iets wat relatie heeft tot het account.
Deze methode biedt het voordeel dat je het middelste deel kunt opschrijven zonder het gehele wachtwoord prijs te geven en als je een goede mentale koppeling maakt tussen de account waar je toegang toe wilt hebben en het wachtwoord voor het middelste gedeelte heb je vaak niet eens een papiertje of database nodig om deze na te zien.

bv.
Voor een gmail account:
voor: famz$
middel: gm@1
achter: :d01h

Dit geeft als wachtwoord "famz$gm@1d01h", een makkelijk methode om complexe wachtwoorden te onthouden.
20-01-2009, 10:59 door Security Consultant
Er is wel een verschil tussen opschrijven en opschrijven...

http://passwordsafe.sourceforge.net/
20-01-2009, 11:00 door Anoniem
"Thompson geeft dan ook het advies om zoveel mogelijk wachtwoorden te gebruiken en ze in een database of portemonnee te bewaren, iets wat ook Bruce Schneier in het verleden adviseerde. "Als je je portemonnee verliest, dan weet je dat je je wachtwoorden moeten resetten en je rekeningen blokkeren."

Indien je je wachtwoorden uit je hoofd weet, dan hoef je ze niet op te schrijven. Weet je je wachtwoorden niet uit je hoofd, doordat je een portemonnee verliest, dan maakt dit het resetten van wachtwoorden een stuk lastiger. Ook loop je natuurlijk het risico dat je gegevens worden misbruikt, en dat anderen mogelijk je wachtwoorden wijzigen, voordat je zelf de kans krijgt om dit te doen ?

Als je je wachtwoorden al zou 'opschrijven', doe dit dan op een PDA of andere tool die je met een wachtwoord kan afschermen. Of zorg dat je wachtwoorden zo op papier staan dat iemand die deze vindt er helemaal niets aan heeft (i.e. door het toevoegen/weglaten van bepaalde tekens).

Het advies zoals Thompson het geeft kan wat mij betreft direkt doorverwezen worden naar het ronde archief ?
20-01-2009, 11:21 door U4iA
Ik gebruik zelf [url=http://keepass.info/]KeePass[/url] en naast een basis wachtwoord een plaatje om de database te kunnen decrypten. Tevens gebruik ik Live Mesh om deze database (en andere bestanden) te syncen van huis naar werk en terug.
20-01-2009, 11:47 door [Account Verwijderd]
[Verwijderd]
20-01-2009, 11:51 door U4iA
Door IceyoungGeweldig

Ik doe zelf altijd: de afstand van de zon tot pluto, dan daar de wortel uit, alle even cijfers in dat getal delen door tweedepaasdag, tel ik daar alle cijfers van de kentekens van de auto's in mijn straat bij op, halveer de eerste helft van het overblijvende getal en deel de rest weer door de eerste 10 priemgetallen en sluit af met een hekje.

Maar vaak neem ik ook gewoon het woord "gaatjeniksaan" ;-)
Dus jouw wachtwoord is altijd 7.381,5#? Dat is niet handig. Ik stel voor dat je de stand van de sterren en de maan mee neemt en rekening houdt met eb en vloed tijden. Net beide wachtwoorden probeert op je security.nl account, maar je liegt! :)
20-01-2009, 12:02 door [Account Verwijderd]
[Verwijderd]
20-01-2009, 12:26 door Anoniem
Het makkelijkst is om je wachtwoord zo lang mogelijk te maken.

Neem een rijmpje of een zin bvb:

Erzijnveelteveelwachtwoordenomteonthouden

Bij zoon password kost brute force wel ff tijd..
Ook veel makkelijker om te onthouden en goed voor je typevaardigheid :p
20-01-2009, 14:09 door meneer
Dit is niet een probleem dat eindgebruikers kunnen oplossen. Dat moeten de websites en portals van bedrijven doen. Die moeten de gebruikers de keuze bieden om een bestaande identiteit te kunnen hergebruiken.
Weg met eigen identiteitenbeheer voor elke website, op naar identity 2.0. OpenID of Information Card en weg met de overige inlogs.

En wat je niet hebt, kun je niet kwijtraken: Geen aparte account voor een aparte site, betekent ook geen wachtwoord voor dat aparte account. Hoef je dus niet te onthouden en kun je dus niet kwijtraken. En hoef je dus ook niet op te schrijven.
20-01-2009, 15:22 door [Account Verwijderd]
[Verwijderd]
20-01-2009, 18:02 door lievenme
Door D3nn3Ik heb nu een goede add-on voor een paar browsers en OS:

https://addons.mozilla.org/nl/firefox/addon/8542

Gewoon installeren, account aanmaken, inloggen en al je wachtwoorden en nicknames zijn verleden tijd.
Er zit ook een wachtwoord maker in, en gewoon even een wachtwoord kiezen en hij vult het automatisch in.
Zeer handig, en je kan er overal aan, dus eender welke pc je gebruikt of zo.
Je hoeft dan nog maar 1 account te onthouden ;).
dat is inderdaad ook mijn manier: superhandig
20-01-2009, 18:32 door [Account Verwijderd]
[Verwijderd]
21-01-2009, 00:00 door Roadmaster
Ik gebruik een excel spreadsheet voor wachtwoorden, inlognamen en overige gegevens die daar bij horen en encrypt die, samen met andere bestanden, met Truecrypt of een andere encryptie tool. Zeer flexibel en transportabel :-)
Dus voor elke inlog een ander wachtwoord is geen enkel probleem.
Wachtwoorden maak ik met www.grc.com/passwords
21-01-2009, 09:56 door wimbo
wat mij vaak irriteert is dat er nog steeds websites / programa's zijn die geen 'vreemde' karakters accepteren (zoals spatie, !@#$%^&*()_+={}][;'":,<.>/?) als wachtwoord. Excuus wat ik regelmatig krijg is dat die tekens in combinatie met (SQL) databases niet altijd even lekker samengaan....?????
Als een wachtword plaintext wordt opgeslagen wel ja, maar van het fenomeen hashen van wachtwoorden heeft men nog nooit gehoord.

1 keer zelfs de reactie gehad dat het zo lastig is om het wachtwoord met de gebruiker te communiceren als deze zijn/haar wachtwoord vergeten is.....

oh ja, mijn wachtwoorden zitten in mijn hoofd.
21-01-2009, 11:43 door Anoniem
ik heb wel eens een lijstje gemaakt met wachtwoorden, gezipt met een wachtwoord en gewoon online gezet, maar dan wel op een url zoals, www.mijnsite.nl/mijnnaam/q8Y_2TyU

Ik heb tegenwoording een usb stick met een klein truecrypt voluumpje waar alles inzit met een lang wachtwoord, uiteindelijk valt alles te reduceren tot de zwakste schakel.

SK
21-01-2009, 14:49 door Bill Torvalds
Door Security ConsultantEr is wel een verschil tussen opschrijven en opschrijven...

http://passwordsafe.sourceforge.net/

Er zeker een verschil hoe en waar je het opschrijft, er zijn altijd mensen zo slordig om het in een bestand te zetten die gewoon gedeeld word in een P2P netwerk
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.