image

Expert: Bewaar opgeschreven wachtwoorden niet op één plek

woensdag 4 april 2018, 11:38 door Redactie, 18 reacties

Bij verschillende webwinkels zijn notitieboekjes te vinden waarin gebruikers al hun wachtwoorden en gebruikersnamen kunnen opschrijven, maar volgens beveiligingsexpert Morey Haber, CTO van securitybedrijf BeyondTrust, is dat allesbehalve verstandig.

Haber is van mening dat het zinvol kan zijn om wachtwoorden op te schrijven, maar het verzamelen van alle wachtwoorden in één boekje zonder aanvullende beveiliging geeft alle logins prijs wanneer een aanvaller er toegang toe krijgt. Wanneer wachtwoorden voor noodgevallen moeten worden opgeschreven adviseert Haber om ze in aparte enveloppen te bewaren en ze in een kluis of te vergrendelen doos te plaatsen.

"In dit tijdperk met gratis wachtwoordmanagers zijn dergelijke boekjes een stap terug in cybersecurity en hoe je met inloggegevens moet omgaan. Ik ben verbaasd dat ze zelfs bestaan", merkt de CTO op. Hij raadt al helemaal af om een dergelijk boekje in een zakelijk omgeving te gebruiken. De enige reden om het te gebruiken zou als onderdeel van een testament kunnen zijn, om overlevenden zo toegang tot de accounts van de overledene te geven, laat Haber weten. Jaren geleden stelde beveiligingsexpert Bruce Schneier al dat het prima is om wachtwoorden op te schrijven, zolang het papiertje maar op een veilige plek wordt bewaard, zoals de portemonnee.

Reacties (18)
04-04-2018, 11:49 door Anoniem
Dat die man verbaasd is dat dergelijke boekjes bestaan, geeft aan dat ie geen enkel inlevingsvermogen bezit als het gaat om de ouderen en minder technisch onderlegde mensen in de samenleving die al die 'technische snufjes' maar 'ingewikkeld en lastig' vinden.

Mijn vader van 70+ geef ik liever een boekje waarvan hij begrijpt dat ie het veilig in een afgesloten lade moet bewaren, dan een wachtwoord manager waar hij geen klap van begrijpt en daarom maar gefrustreerd aan de kant schuift (en dus overal het zelfde wachtwoord gaat gebruiken)
04-04-2018, 12:01 door Anoniem
Door Anoniem: Dat die man verbaasd is dat dergelijke boekjes bestaan, geeft aan dat ie geen enkel inlevingsvermogen bezit als het gaat om de ouderen en minder technisch onderlegde mensen in de samenleving die al die 'technische snufjes' maar 'ingewikkeld en lastig' vinden.

Mijn vader van 70+ geef ik liever een boekje waarvan hij begrijpt dat ie het veilig in een afgesloten lade moet bewaren, dan een wachtwoord manager waar hij geen klap van begrijpt en daarom maar gefrustreerd aan de kant schuift (en dus overal het zelfde wachtwoord gaat gebruiken)

Dat zeker
Ook qua availablity scoor ik papier toch heel veel hoger dan digitale opslag bij een eindgebruiker met de standaard eindgebruikers backup inrichting ('geen') .
Verder is een boekje heel erg immuun voor digitale aanvallen, waar de gedachte van een password manager toch is dat die op een trusted systeem draait. Dat is best een zware randvoorwaarde waar lang niet altijd aan voldaan is .

Ik ben dus niet onder de indruk van de (samenvatting van) de opinie van deze CTO van het zoveelste security bedrijf.
04-04-2018, 12:10 door Anoniem
Als je wachtwoorden opschrijft kun je ook een aantal tekens weglaten. Die tekens worden dan je masterkey.

Wat in je boekje staat beschermt tegen online aanvallers. En je masterkey beschermt tegen fysieke diefstal.
04-04-2018, 12:16 door Anoniem
Het is onverstandig om deze boekjes te gebruiken, omdat een inbreker misschien herkent hoe ze er uitzien.
Een velletje papier met wachtwoorden kan je overal in je huis verbergen.

Zelf schrijf ik al mijn wachtwoorden op. En heb ik een off site backup van deze wachtwoorden.
Omdat ik Thunderbird gebruik (en backup), staan mijn meest belangrijke wachtwoorden (die van mijn e-mail adressen) hierin opgeslagen. Ik heb wel een wachtwoord op mijn Windows account, maar hoe veilig dat is..

Wachtwoorden die je met je e-mail kunt resetten hoef je niet off site op te slaan. Maar voor het gemak kun je ze wel opschrijven. Ik schrijf tegenwoordig ook de datum op waarop ik de wachtwoorden heb aangemaakt. Dan kan je bij een breach nagaan of je getroffen bent (en je je wachtwoord dus moet wijzigen). Ook heb je dan een overzicht van al je accounts!

Bruce Schneier heeft overigens meegewerkt aan een password manager, maar die is al een jaar niet meer geupdated.
https://www.schneier.com/academic/passsafe/
04-04-2018, 12:25 door Anoniem
Haber is van mening dat het zinvol kan zijn om wachtwoorden op te schrijven, maar het verzamelen van alle wachtwoorden in één boekje zonder aanvullende beveiliging geeft alle logins prijs wanneer een aanvaller er toegang toe krijgt. Wanneer wachtwoorden voor noodgevallen moeten worden opgeschreven adviseert Haber om ze in aparte enveloppen te bewaren en ze in een kluis of te vergrendelen doos te plaatsen.

Weer zo'n onderzoeker die eens een echt leven moet krijgen volgens mij... Als die goede man nu eens gaat onderzoeken wat goede alternatieven zijn voor gegevensbeveiliging ipv 25000 verschillende wachtwoorden te moeten gebruiken...
04-04-2018, 13:04 door Anoniem
Een nog beter advies: bewaar je wachtwoorden op minimaal twee plekken, zodat wanneer er eentje wordt gestolen, verloren raakt, of in de brand vliegt, je nog altijd de andere hebt.
04-04-2018, 13:08 door Anoniem
Door Anoniem: Dat die man verbaasd is dat dergelijke boekjes bestaan, geeft aan dat ie geen enkel inlevingsvermogen bezit als het gaat om de ouderen en minder technisch onderlegde mensen in de samenleving die al die 'technische snufjes' maar 'ingewikkeld en lastig' vinden.

Mijn vader van 70+ geef ik liever een boekje waarvan hij begrijpt dat ie het veilig in een afgesloten lade moet bewaren, dan een wachtwoord manager waar hij geen klap van begrijpt en daarom maar gefrustreerd aan de kant schuift (en dus overal het zelfde wachtwoord gaat gebruiken)

Het al dan niet kunnen onthouden van wachtwoorden heeft niets met leeftijd of technische kennis te maken.
04-04-2018, 13:15 door karma4
Beter een boekwerkej in een kluis (de enveloppen procedure) dan een security beleid met vrije toegang op shared accounts en een gebrek aan scheiding met high privileged accounts (beperkte maar gevoelige rechten).
Omdat een password manager geen oplossing is en het complex gevonden wordt gaat zo de hele boel open. Je moest eens weten hoe lastig dat onderwerp in grotere organisaties is.
04-04-2018, 13:15 door [Account Verwijderd]
Meneer Haber geeft zijn wachtwoorden liever in bewaring aan iemand die hij niet kent. ;-)

Gratis op het internet betekend dat het NIET voor NIETS is.
Wat het internet betreft vertrouw ik niets en niemand!
04-04-2018, 14:32 door [Account Verwijderd]
Met het schandaal rond Facebook nog vers in het geheugen betoogt Heer Haber voor een slinkend auditorium zijn mening. Ik vermoed dat een keerpunt in het mateloze vertrouwen dat veel mensen ooit hebben gehad t.o.v. opslag 'in the void' in gang is gezet. Dan kun je dus wel gaan beweren dat een briefje thuis met je wachtwoorden onveilig is, maar je weet tenminste 100 % zeker waar dat briefje in je huis ligt. Kunnen wij dat van cloudopslag (nog) wel zeggen? Voor de volle 100 % Neen.
04-04-2018, 21:22 door Anoniem
Door Anoniem:
Door Anoniem: Dat die man verbaasd is dat dergelijke boekjes bestaan, geeft aan dat ie geen enkel inlevingsvermogen bezit als het gaat om de ouderen en minder technisch onderlegde mensen in de samenleving die al die 'technische snufjes' maar 'ingewikkeld en lastig' vinden.

Mijn vader van 70+ geef ik liever een boekje waarvan hij begrijpt dat ie het veilig in een afgesloten lade moet bewaren, dan een wachtwoord manager waar hij geen klap van begrijpt en daarom maar gefrustreerd aan de kant schuift (en dus overal het zelfde wachtwoord gaat gebruiken)

Het al dan niet kunnen onthouden van wachtwoorden heeft niets met leeftijd of technische kennis te maken.

Ik als 74 jarige gebruik de tijd van de dag als password zodat niemand kan aanloggen!
04-04-2018, 21:57 door J. Ketting
Ik sla alleen hints op in een tekstbestand.
Mijn wachtwoorden stel ik random samen uit de meest uiteenlopende elementen, zoals jazzakkoorden, smileycodes, hexadecimale getallen, chemische symbolen, allerlei afkortingen, programmeercodes, opcodes, Linuxcommando's en nog veel meer. Sterk genoeg en de mogelijkheden zijn eindeloos.
Om de wachtwoorden te onthouden, verzin ik er een fictief verhaaltje omheen (fantasierijke associaties), en daarvan bewaar ik de hoofdlijnen als hint. Voor een ander zeker niet herleidbaar. Voor mijzelf soms ook niet meer, maar in dat geval doe ik een wachtwoordreset.
04-04-2018, 22:51 door Anoniem
Opbergen in een kluis is discutabel. Inbrekers zullen de kluis willen openbreken of meenemen omdat ze vermoeden dat er kostbaarheden in zitten. Verschillende enveloppen in 1 kluis is nog steeds op 1 plek.
04-04-2018, 23:20 door Anoniem
Is wel handig om wachtwoorden op twee plaatsen te bewaren.
Dan heeft de aanvaller dubbel zo veel kans op succes.
05-04-2018, 09:02 door Anoniem
Door Anoniem: Is wel handig om wachtwoorden op twee plaatsen te bewaren.
Dan heeft de aanvaller dubbel zo veel kans op succes.

De afweging is dat jouw kans op totaal verlies (wegens kapot/kwijt/verloren) van je passwords erg veel kleiner wordt.
Verlies van passwords is minimaal erg hinderlijk (off line password resets, langsgaan met je paspoort ergens) en in sommige gevallen kan het betekenen dat je ook je data totaal kwijt bent (denk encrypted volumes).
05-04-2018, 11:07 door Anoniem
Door Anoniem: Opbergen in een kluis is discutabel. Inbrekers zullen de kluis willen openbreken of meenemen omdat ze vermoeden dat er kostbaarheden in zitten. Verschillende enveloppen in 1 kluis is nog steeds op 1 plek.

Alle wachtwoorden in een bestandje op een computer of in de cloud bewaren is nog discutabeler. Statistisch is de kans dat wachtwoorden ontvreemd worden veel groter. Logisch ook miljarden mensen hebben toegang tot het netwerk dat je gebruikt terwijl inbrekers fysiek aanwezig moeten zijn.

De oplossing is gewoon alles onthouden. En dat kan iedereen. Wat niet iedereen kan is het ophalen van wachtwoorden uit hun geheugen. Ik vraag me af of dat niet veel veiliger is, authenticatie met complexe wachtwoorden. Een wachtwoord kun je niet zomaar uit een brein kopieëren en wachtwoorden kunnen veranderen, biometrische informatie kan je niet wijzigen als het gecompromitteerd is.

Misschien is een cursus waar je leert alles uit je geheugen te halen wel veel goedkoper dan allerlei technische maatregelen.
06-04-2018, 09:42 door Anoniem
Door Anoniem:
Door Anoniem: Opbergen in een kluis is discutabel. Inbrekers zullen de kluis willen openbreken of meenemen omdat ze vermoeden dat er kostbaarheden in zitten. Verschillende enveloppen in 1 kluis is nog steeds op 1 plek.

Alle wachtwoorden in een bestandje op een computer of in de cloud bewaren is nog discutabeler. Statistisch is de kans dat wachtwoorden ontvreemd worden veel groter. Logisch ook miljarden mensen hebben toegang tot het netwerk dat je gebruikt terwijl inbrekers fysiek aanwezig moeten zijn.

De oplossing is gewoon alles onthouden. En dat kan iedereen. Wat niet iedereen kan is het ophalen van wachtwoorden uit hun geheugen. Ik vraag me af of dat niet veel veiliger is, authenticatie met complexe wachtwoorden. Een wachtwoord kun je niet zomaar uit een brein kopieëren en wachtwoorden kunnen veranderen, biometrische informatie kan je niet wijzigen als het gecompromitteerd is.

Misschien is een cursus waar je leert alles uit je geheugen te halen wel veel goedkoper dan allerlei technische maatregelen.
Dat is onmogelijk omdat het brein gewoon niet zo werkt. De meeste mensen met een normaal stel hersenen kan nog niet eens de helft van al hun wachtwoorden onthouden. Of de telefoonnummers van alle vrienden, familie en kennissen. Het zou ook een onnodige belasting zijn voor de hersenen omdat er zoveel betrouwbaardere methoden zijn om dat soort gegevens te bewaren.
09-04-2018, 16:35 door Anoniem
Wanneer je voor tientallen tot honderden accounts een uniek en sterk wachtwoord gebruikt, is onthouden geen optie.
Een handmatig passwordbestand op je computer in een veracrypt container vertrouw ik meer dan een passwordmanager.
Niets is 100% veilig, maar de ervaring leert dat passwordmanagers ook geen garantie op succes zijn.

https://www.security.nl/posting/543333/Google-onderzoeker+vindt+ernstig+lek+in+wachtwoordmanager+Keeper
https://www.security.nl/posting/509559/LastPass+dicht+ernstig+lek+in+wachtwoordmanager
https://www.security.nl/posting/486151/Wachtwoordmanager+Dashlane+kon+wachtwoorden+lekken
https://www.security.nl/posting/40798/Wachtwoordmanager+1Password+bevat+ontwerpfout
https://www.security.nl/posting/527364/Recoverytool+kan+populaire+wachtwoordmanagers+kraken
https://www.security.nl/posting/477078/Nieuwe+Mac-backdoor+steelt+wachtwoorden+uit+keychain
https://www.security.nl/posting/485012/Audit+van+encryptiesoftware+VeraCrypt+afgerond
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.