Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Password manager via Dropbox

23-10-2017, 15:17 door Anoniem, 13 reacties
Kwam dit tegen, een password manager met gebruik van dropbox storage om je passwords te parkeren.
https://www.eltima.com/password-manager.html

Is dit wel zo's goed idee?
Dropbox heeft zelf altijd gesteld en gewaarschuwd (wellicht als disclaimer op voorhand) dat het niet de veiligste service qua security is.

Wat kan hier nou fout gaan?

- Een hik bij dropbox bijvoorbeeld zodat je alles kwijt bent?

- Of een hack bij de aanbieder zelf?
Niet geheel ondenkbaar, dat zijn ze net geweest.
In an email to ZDNet, an Eltima spokesperson said that the malware was distributed with downloads as a result of their servers being "hacked" after attackers "used a security breach in the tiny_mce JavaScript library on our server"
http://www.zdnet.com/article/trojan-malware-for-mac-osx-spread-via-compromised-media-player-downloads/

- Of twijfels rondom de veiligheid van gebruikte 3rd party code in de software die misschien niet up to date is?
Twijfels alom
https://www.security.nl/posting/536150/Mac-apps+Elmedia+Player+en+Folx+enige+tijd+besmet+met+malware

Een password manager dat leunt op de service van Dropbox : zou jij het aandurven, out of de box (zonder eigen extra maatregelen) gebruiken?

[ ] Geschikt
[ ] Ongeschikt
[ ] Grote twijfel
Reacties (13)
23-10-2017, 15:54 door Anoniem
Een password manager dat leunt op de service van Dropbox : zou jij het aandurven, out of de box (zonder eigen extra maatregelen) gebruiken?

[X] Ongeschikt

Of een hack bij de aanbieder zelf?

Aanbieder die de dienst staakt, om wat voor reden dan ook. Men stopt met het produkt, men gaat failliet, whatever. In hoeverre werkt de tool nog, en kan je nog bij je passwords, wanneer Eltima haar dienstverlening stopt ?

Verder vraag ik mij af waarom dit bedrijf, dat opereert vanuit Oekraine, op de website contactgevens heeft staan welke verwijzen naar een adres op Nevis, een eiland in de Caribische Zee.
23-10-2017, 16:40 door Anoniem
Volgens mij is de veiligste password manager die grijze massa in je bol :-)
Ik gebruik voor elke site/mailbox enz. een ander password maar daar zit wel een systeem in dat ikzelf alleen weet...

Dropbox zou ik niet vertrouwen zoals elk ander bedrijf uit de VS.
23-10-2017, 18:44 door Anoniem
Weet niet welke password manager je gebruikt maar voor cloud opslag zou ik indien mogelijk een keyfile gebruiken. Als ze dan je database hebben en wachtwoord moeten ze ook dat bestand nog hebben.
23-10-2017, 18:56 door allestein
Door Anoniem: Volgens mij is de veiligste password manager die grijze massa in je bol :-)
Ik gebruik voor elke site/mailbox enz. een ander password maar daar zit wel een systeem in dat ikzelf alleen weet....

Wachtwoorden als:

#Allestein@security.nl
#Allestein@webwereld.nl
#Allestein@tweakers.net
#Allestein@dropbox.nl
#Allestein@lastpass.com
#Allestein@bol.com

of iets vergelijkbaars?

Heeeeeeeeeeeeeeel erg veilig (uch)
23-10-2017, 20:06 door Anoniem
Ik zou eens kijken naar Keepass.
Dit is opensource ! Je heb dus je eigen database versleuteld deze kan je dan wel opslaan in je dropbox account.

Ik zelf heb er een password op en een keyfile.
De keyfile heb ik weer niet op dropbox maar alleen op me laptop en telefoon .
Dus al weten ze me wachtwoord dan moeten ze ook nog de keyfile zien tekrijgen.

Keepass2 gebruik ik op windows
KeepassXS gebruik ik op linux
Keepass2android gebruik ik op android
23-10-2017, 20:25 door [Account Verwijderd]
Door Anoniem: Ik zou eens kijken naar Keepass.
Dit is opensource ! Je heb dus je eigen database versleuteld deze kan je dan wel opslaan in je dropbox account.

Ik zelf heb er een password op en een keyfile.
De keyfile heb ik weer niet op dropbox maar alleen op me laptop en telefoon .
Dus al weten ze me wachtwoord dan moeten ze ook nog de keyfile zien tekrijgen.

Keepass2 gebruik ik op windows
KeepassXS gebruik ik op linux
Keepass2android gebruik ik op android

Precies zoals ik het gebruik. Alleen als de dropbox store wegvalt is mijn wachtwoordkluis weg, maar daar maak ik af en toe offsite backups van.
Maar zoals jij beschrijft is volgens mij een prima manier van werken.
23-10-2017, 20:27 door [Account Verwijderd] - Bijgewerkt: 23-10-2017, 22:00
[Voor goed bijna altijd] ongeschikt.

Als je wachtwoorden niet 'on the fly' nodig hebt is het prima om ze te bewaren in een gecodeerd bestand (database) eventueel nog voorzien van een wachtwoord op een stand-alone computer die dus nóóit aan het internet hangt'. Na het herzien van de gebruikte wachtwoorden even aan een printer hangen; printje maken (bij voorkeur inkjet...) en de lijst verstoppen op een wisselende plaats als je deze niet nodig hebt.
Back-ups? ja natuurlijk. En waar je die allemaal kan laten 'slingeren' voor als je ze onverhoopt nodig hebt? Een beetje inventief zijn en iedereen verzint legio fysieke plaatsen i.p.v. The Void: The Cloud.

Zo doe ik het al bijna 25 jaar. Dus ik reken mijzelf met egocentrisch gepaste trots tot de diersoort waar in de IT wereld smalend op wordt neergezien:
De dinosouriërs.

Oh ja....The Cloud? Daar heb ik maar een mening over: Je kunt net zo goed je (vuile) was buiten aan de waslijn hangen.
23-10-2017, 20:48 door Anoniem
Door allestein:
Door Anoniem: Volgens mij is de veiligste password manager die grijze massa in je bol :-)
Ik gebruik voor elke site/mailbox enz. een ander password maar daar zit wel een systeem in dat ikzelf alleen weet....

Wachtwoorden als:

#Allestein@security.nl
#Allestein@webwereld.nl
#Allestein@tweakers.net
#Allestein@dropbox.nl
#Allestein@lastpass.com
#Allestein@bol.com

of iets vergelijkbaars?

Heeeeeeeeeeeeeeel erg veilig (uch)

Haha dacht je dat ik zo'n simpel systeem bedacht had? Echt niet! :-)
23-10-2017, 20:49 door Anoniem
Door Anoniem: Ik zou eens kijken naar Keepass.
Dit is opensource ! Je heb dus je eigen database versleuteld deze kan je dan wel opslaan in je dropbox account.

Ik zelf heb er een password op en een keyfile.
De keyfile heb ik weer niet op dropbox maar alleen op me laptop en telefoon .
Dus al weten ze me wachtwoord dan moeten ze ook nog de keyfile zien tekrijgen.

Keepass2 gebruik ik op windows
KeepassXS gebruik ik op linux
Keepass2android gebruik ik op android

Kijk, dat is nou eens een slimme oplossing!
24-10-2017, 08:12 door Anoniem
Ik gebruik 1password op android, ios en mac, sync met dropbox en een verlseutelde database. heb een sterk masterpassword en maak wekelijks een backup. Even afkloppen, het is ook de password manager met de minste issues in vergelijk met andere password managers.
24-10-2017, 08:16 door PietdeVries
Opmerkelijk dat iedereen zo bang is z'n encrypted data op een min of meer open omgeving te zetten.

We waren toch allemaal tegen 'security through obscurity'? Dus als die password manager z'n encryptie gewoon op orde heeft, dan is er toch helemaal geen probleem om de encrypted database op een beschikbare plaats neer te zetten?

Of hebben we geen vertrouwen meer in encryptie maar meer in het printen (wel met een inkjet printer!) en ergens 'veilig' verstoppen?
24-10-2017, 09:39 door Anoniem
Dropbox zou ik niet vertrouwen zoals elk ander bedrijf uit de VS.

Ook niet als je sterke encryptie gebruikt ? Heb je reden om te denken dat de VS op wat voor manier dan ook in jou is geinteresseerd (geen idee natuurlijk wat je achtergrond is) ?
24-10-2017, 09:45 door Anoniem
Opmerkelijk dat iedereen zo bang is z'n encrypted data op een min of meer open omgeving te zetten.

Als je er vanuit gaat dat het stelen van je data het enige risico is waar mensen over nadenken ?

Ik zou niet graag zo'n dienst gebruiken (zeker niet als je afhankelijk bent van de vraag of het bedrijf nog aktief is, ik ken de infrastructuur van de genoemde tool niet), omdat ik geen zin heb het risico te lopen om toegang tot mijn passwords te verliezen, indien de gratis dienst om welke reden dan ook uit de lucht gaat.

Ik bewaar liever het bestand thuis op mijn PC, met een backup kopie op een USB stick, dan dat ik het bestand plaats bij een derde partij, waar je afhankelijk van bent. Ongeacht hoe sterk de encryptie is die er gebruikt wordt.

Werkt de tool nog indien Eltima morgen failliet gaat, of deze tooling niet langer aanbiedt ? Of ben je enkel afhankelijk van Dropbox ? Dat soort vragen interesseren mij, naast de gebruikelijke security vraagstukken.

Of hebben we geen vertrouwen meer in encryptie maar meer in het printen (wel met een inkjet printer!) en ergens 'veilig' verstoppen?

Heb jij vertrouwen in de continuiteit van de gratis dienstverlening van Eltima ? Wil jij bij je passwords kunnen indien Dropbox een storing heeft, en onbereikbaar is ?

We waren toch allemaal tegen 'security through obscurity'? Dus als die password manager z'n encryptie gewoon op orde heeft, dan is er toch helemaal geen probleem om de encrypted database op een beschikbare plaats neer te zetten?

Niet perse, juist met het oog op ''beschikbaarheid''.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.