Ik gebruik eigenlijk overal random alfanumeriek, welke ik opschrijf. Zie https://www.security.nl/posting/470888#posting470988.

Voor GnuPG gebruik ik wel een passphrase (uit mijn hoofd), omdat het dreigingsmodel anders is. Ik bescherm niet alleen mijn eigen mailtjes, maar ook die van degenen die mij mailen met GnuPG. Dat schept een verwachting bij degene waarmee ik mail. Ook heb ik een wachtwoord wat ik onthoud voor mijn Windows computer zelf, omdat iemand die bij mijn computer kan, ook bij mijn opgeschreven wachtwoorden kan. Dit wachtwoord is meer om gasten uit mijn computer te houden (voornamelijk zodat ze geen malware infecties kunnen veroorzaken of rare sites kunnen bezoeken).

Maar het meeste schrijf ik dus op. Lekker lui omdat ik niets hoef te onthouden. Ik heb ook nog een offsite backup van mijn opgeschreven wachtwoorden. En in Thunderbird kan je je wachtwoorden gewoon uitlezen met toegang tot je profiel, hoewel daar ook een passphrase op kan, maar dat vind ik lastig om in te voeren elke keer als ik mijn mail wil checken. Mijn wachtwoord voor security.nl ligt bij mijn computer omdat ik die relatief vaak nodig heb en ik elke keer weer uitlog (dat is voldoende tegen online dreigingen). Het wachtwoord is wel complex.

Nog een aanvulling op de post waarnaar ik bovenaan link: GnuPG 1.4.x wordt een beetje uitgefaseerd dus het is voor nieuwe gebruikers misschien handig om je in versie 2.1 te verdiepen als je er iets mee wilt. Enigmail werkt ook niet meer met GnuPG 1.4.x ondertussen. Ook was er een (klein) probleempje met de RNG in GnuPG versie 1.4.20 en ouder. Die had niet zoveel entropie als de bedoeling van de programmeurs was.

Ik verander alleen mijn wachtwoorden als er een hack is geweest en ik voer ze niet in op (openbare) computers die ik niet zelf beheer. Het wachtwoord van mijn modem heb ik bijvoorbeeld al jaren niet meer ingevoerd dus die kan in die tijd ook niet gestolen zijn door een keylogger of andere malware. Iets wat bij een wachtwoord manager (in de cloud!) wel het geval zal zijn. Is je keyring gestolen samen met je master passphrase, dan zal je alles moeten veranderen. Dit is bij opschrijven minder het geval. Ook heeft papier geen last van bitrot ;-)

Ik gebruik altijd passphrases omdat ze makkelijker te onthouden zijn.

De enige uitzonderingen zijn websites zoals van outlook, bol en vodafone waar lange wachtwoorden niet toegestaan zijn. Die korte wachtwoorden vergeet ik ook telkens.

Het leeuwendeel van m'n wachtwoorden genereer & beheer ik met KeePass, en ik maak ze zo lang mogelijk. Voor de paar dingen die ik zelf moet onthouden – wachtwoorden voor met VeraCrypt beveiligde harddisks & computers, en voor KeePass zelf – gebruik ik als passphrases regels antieke Franse poëzie. De spaties laat ik weg en for good measure vervang ik enkele letters door andere tekens.

Het hebben van een goed geheugen voor spelling (ik ben copywriter van m'n vak) hééft zo z'n voordelen. Het hebben van een buitenissige hobby ook: wie heeft er tegenwoordig zelfs maar gehoord van 16e-eeuwse Franse dichters als Villon, Du Bellay of Ronsard?
Alles bij elkaar ga ik er dus maar van uit dat zowel mijn wachtwoorden als mijn passphrases de facto onkraakbaar zijn.

Ik gebruik waar mogelijk 2P auth.

Punt.

Bij deze hoop ik dat niemand jou ooit zal targetten :)

Dit is de enige echte oplossing.
Passwords worden helaas gelekt hoe sterk ze ook zijn..2FA zorgt er iig voor dat het moeilijker wordt om nog ergens in te loggen voor malicious mensjes.

Lekker veilig. Dan kun je nog beter alles in een word document opslaan en op een usb-stick zetten of in een truecrypt container..