Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Keepass tegen keyloggers?

04-11-2014, 12:51 door ab2604, 16 reacties
Ik ben sinds kort aan de slag met Keepass wachtwoord beheer. Een paar vragen hier over:

- Keepass gebruikt een nieuwe functie genaamd Auto-typen via twee kanalen. Hiermee worden de wachtwoorden en toetsindrukken van de Auto-typen functie gedeeltelijk als automatisch getypte tekst ingevoerd en gedeeltelijk via het klembord gekopieerd. Dit zou moeten beveiligen tegen keyloggers. Wat is jullie mening hier over? Het alternatief (zonder Keepass) is dat je altijd je wachtwoord zelf invult met je toetsenbord dus mij lijkt deze methode van wachtwoorden invullen veiliger??

Nog een andere vraag: verminder ik de veiligheid van Keepass wanneer ik gebruik maak van de Firefox Addon KeeFox? Heeft iemand ervaring met KeeFox?
Reacties (16)
04-11-2014, 13:05 door Anoniem
Two-Channel Auto-Type Obfuscation is veiliger dan intypen/copy&paste/standaard auto-type. Een keylogger die niet speciaal is gebouw om keepass Two-Channel Auto-Type Obfuscation aan te vallen ziet wel de tekens maar niet de volgorde van die tekens in het gebruikersnaam en wachtwoord langskomen.

Je hebt ook nog de optie 'Enter masterkey on secure desktop':
http://keepass.info/help/kb/sec_desk.html
04-11-2014, 14:16 door Anoniem
Het is natuurlijk te omzeilen, maar het verhoogt de drempel voor een aanvaller en is daarom veiliger. Tenminste, als je met een luie aanvaller van doen hebt.
05-11-2014, 09:44 door Anoniem
Het is een extra veiligheidsdrempel, maar niet het hoofddoel van Keepass. Onthoudt dat!
05-11-2014, 10:58 door ab2604
Bedankt! Nog één vraag: denken jullie dat het veilig is om met Keepass een wachtwoord te genereren voor bankieren?

Het wachtwoord dat ik nu gebruik om in te loggen bij mijn bank is zelf bedacht en bestaat uit 12 tekens welke ik uit mijn hoofd kan onthouden. Wanneer ik nu met Keepass een wachtwoord genereer kan ik een wachtwoord maken dat vele malen langer is en uit veel meer verschillende tekens bestaat. Om het wachtwoord in te kunnen voeren gebruik ik dan de sneltoets functie in Keepass om automatisch in te vullen (met Auto-typen via 2 kanalen).

Het lijkt mij zelf veiliger omdat het wachtwoord zelf veel sterker zal zijn en het invoeren (zoals boven al vermeld) veiliger is door de 2 kanalen invoer.

Maar het nadeel is dat het wachtwoord op mijn computer wordt bewaard in de Keepass database. Deze is natuurlijk wel versleuteld door Keepass (256) ook terwijl het programma geopend staat. En daarnaast maak ik ook gebruik van de extra beveiliging d.m.v. een digitale sleutel (op usb stick).

Dus klopt mijn idee dat Keepass gebruiken voor mijn bank wachtwoord veiliger is?
05-11-2014, 11:03 door Anoniem
Door ab2604: Bedankt! Nog één vraag: denken jullie dat het veilig is om met Keepass een wachtwoord te genereren voor bankieren?

Het wachtwoord dat ik nu gebruik om in te loggen bij mijn bank is zelf bedacht en bestaat uit 12 tekens welke ik uit mijn hoofd kan onthouden. Wanneer ik nu met Keepass een wachtwoord genereer kan ik een wachtwoord maken dat vele malen langer is en uit veel meer verschillende tekens bestaat.

Voordat je enthousiast wordt zou ik eerst checken of dat wel kan. Veel plekken waar je een wachtwoord moet gebruiken
hebben allerlei (verschillende) restricties aan wachtwoorden, bijvoorbeeld een maximale lengte en een te gebruiken tekenset.
05-11-2014, 13:02 door Anoniem
Probeer het, zou ik zeggen. Installeer een keylogger op je eigen computer (wellicht zo'n usb stick) en kijk of het helpt.
05-11-2014, 20:33 door Anoniem
Wat zou er gebeuren als keepass een lek vertoont?
06-11-2014, 12:08 door Anoniem
Door Anoniem: Wat zou er gebeuren als keepass een lek vertoont?
Dan vertoont keepass een lek.

Je vraag is een beetje vaag. Wat zou er gebeuren waar mee? Wat voor een lek doel je op?
06-11-2014, 13:50 door Anoniem
Voordat je enthousiast wordt zou ik eerst checken of dat wel kan. Veel plekken waar je een wachtwoord moet gebruiken
hebben allerlei (verschillende) restricties aan wachtwoorden, bijvoorbeeld een maximale lengte en een te gebruiken tekenset.[/quote]
Is via de password generator gemakkelijk aan te passen. De wachtwoorden zijn vaak vrij sterk.

Door Anoniem: Wat zou er gebeuren als keepass een lek vertoont?
In principe niet echt cool, maar de applicatie draait nog steeds lokaal op je PC. Er is geen communicatie naar buiten. Een hacker zou dus eerst toegang tot je computer zelf moeten krijgen voordat hij het lek kan misbruiken.
06-11-2014, 17:18 door Anoniem
Heb je al eens Zemana antilogger geprobeerd. ?
06-11-2014, 22:52 door Anoniem
Het argument om meerdere users/passwords te gebruiken is als wat er met de ene mis gaat de anderen niet gecompromiteerd raken. Door dit aan een algmeen gangbaar tool over te laten introducer je een nieuwe SPOFP. Single Point of Failure. Als er iets mis gaat op dat vlak dan ligt meteen alles open.

Dit is tevens de reden dat je op b.v. banksites allerelei maatregelen vind om deze werkwijze met een manager te voorkomen. Was onlangs nog in het nieuws voor een alterantief huishoudboekje/boekhouding die dan de ww-s zou gaan beheren. Door de rechter is die werkwijze verboden.
07-11-2014, 10:56 door ab2604
Je kunt wel zeggen dat je met Keepass een Single Point of Failure in huis haalt maar wat is dan het alternatief? Je wachtwoorden op schrijven in een boekje en deze thuis bewaren? Als er wordt ingebroken en het boekje wordt gestolen ligt ook alles op straat, oftewel ook dat is een SPOF!

Naar mijn mening is een wachtwoord manager als Keepass de meest veilige, of misschien veel beter gezegd de minst onveilige, manier om je wachtwoorden te beheren. Voor en nadelen op een rijtje:

- met Keepass worden je wachtwoorden veel langer en daardoor veel sterker
- opgeschreven wachtwoorden zul je niet snel zo lang maken en dan elke keer gaan intypen lijkt mij

- met Keepass worden je wachtwoorden ingevoerd met Auto typen 2 kanalen, een extra beveiligingslaag tegen keyloggers
- opgeschreven wachtwoorden zou je dan lastig met een virtueel keyboard moeten invoeren voor dezelfde beveiligingslaag

- met Keepass worden je wachtwoorden 256 bits versleuteld bewaard op bijvoorbeeld een usb stick
- opgeschreven wachtwoorden worden niet versleuteld bewaard en zijn bij diefstal dus direct zichtbaar

Keepass bestaat al heel wat jaren en er is voor zover ik weet nog nooit iets mee aan de hand geweest. De kans dat mijn wachtwoorden worden gestolen lijkt mij nihil: ten eerste moet er dan in mijn pc worden ingebroken om de database te stelen maar dan nog is deze versleuteld. Er moet dus ook nog worden ingebroken in mijn huis om de usb stick met de extra beveiligingssleutel te stelen. Dan nog heeft men niet mijn master password want deze zit alleen in mijn hoofd.

Het enige gevaar lijkt mij een "lek" of iets dergelijks in Keepass maar dat moet dan wel zodanig zijn dat er daardoor ook direct toegang is tot de onversleutelde database. Gezien de goede reputatie van Keepass (en het feit dat het open source is) lijkt de kans op zo'n situatie mij nihil.

Geen enkele manier van wachtwoord beheer is 100% veilig, Keepass lijkt mij de minst onveilige methode.
09-11-2014, 13:15 door Anoniem
Ik gebruik al jaren Keepass en zo'n beetje al mijn inloggegevens staan er in. Ook die nodig zijn om in te loggen voor online banking. Ik heb m'n database in de cloud (bij SpiderOak). Scary?
Nee niet echt. Dit geeft mij de vrijheid om lange complexe wachtwoorden te gebruiken. Dat vindt ik belangrijk. Ik heb wel mijn Keepass database extra beveiligd met een key file, een standaard mogelijkheid in keypass. Zo heb je 2 factor security middels iets wat je weet (het hoofdwachtwoord) en iets wat je hebt (de key file). Inloggen in keypass doe ik altijd in de 'secure desktop' tegen keyloggers. Ook heb ik extra security opties aanstaan zoals het locken van de desktop na een periode van inactiviteit en het clearen van de clipboard na xx seconde.
Je key file moet je natuurlijk goed bewaren (maak backups!) en daar moet je natuurlijk voorzichtig mee omgaan. Hetzelfde geldt voor je database file.
10-11-2014, 09:55 door ab2604
Door Anoniem: Ik heb m'n database in de cloud (bij SpiderOak). Scary?.

Dit gaat wellicht enigszins offtopic nu maar het probleem dat ik zelf heb met synchronisatie diensten zoals SpiderOak (let wel, ik heb het niet over backup diensten maar synchronisatie diensten!) is dat ik altijd bang ben dat er iets mis gaat op de servers van, in dit geval, SpiderOak.

Wat ik bedoel: als er onbedoeld bestanden worden verwijderd op de server van een synchronisatiedienst dan worden deze bestanden dus vervolgens ook doodleuk verwijderd op jouw computer. Dat vind ik geen prettige gedachte. De online back-up dienst die ik zelf gebruikt synchroniseert niet maar backupped alleen. Dit is dan natuurlijk weer niet zo handig om je database van Keepass in te bewaren als je Keepass op die manier op meerdere computers wilt gebruiken. Ikzelf heb daarom een kopie van Keepass op een usb-stick staan en kan zo Keepass ook op andere pc's gebruiken.

Misschien heb ik het mis, en zijn er ook synchronisatiediensten die anders werken (maar zijn het dan nog wel synchronisatie diensten..??)

Overigens ziet dat SpiderOak er wel goed uit wat betreft veiligheid en privacy e.d.
11-11-2014, 07:21 door Anoniem
Het probleem met alle password managers is dat het geen 2fact is.
Ofwel: is je machine gehackt dan is niet zeker of dat ding ook niet omgevalllen is.
Dat komt naast de techniek van een mogelijke fout in zo'n ding zelf. De hele argrumentatie van meerdere verschillende passwords (scheiding van risico-s) heb je onderuit gehaald.

Een vrijwel onleesbaar papiertje ergens thuis waar je dan uit een reeks de juiste moet halen...
Het voldoet tenminste aan gescheiden opslag/verschillende technieken etc.
Bedenk hoe leuk mobiel bankieren kan zijn als het de access methodiek en validatie tegelijkertijd is. Wachten is op de hack van die combinatie. Tot nu toe is het lucratiever personen te vinden die zelf alle stappen in een betaaltraject doorlopen.
Een zelfde soort zwakheid in de bevielingsstrategie.
13-11-2014, 07:20 door repmeer
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.