Poll
image

Gebruik jij een Password Manager?

dinsdag 22 mei 2018, 09:51 door Redactie, 23 reacties
Ja
65.25%
Nee
23.6%
Ik zou wel willen maar welke?
7.48%
Wat is een Password Manager?
3.68%
Reacties (23)
22-05-2018, 11:07 door [Account Verwijderd]
Neen. Ik manage mezelf. En zeker mijn wachtwoorden.
22-05-2018, 12:08 door Anoniem
Met honderden wachtwoorden te onthouden, en voorkomen van hergebruik is een wachtwoord manager geen overbodige luxe.

Persoonlijk vind ik dat een werkgever dit als dienst zou moeten bieden, net als een werkplek, email etc.

Voor privé zijn er tools genoeg, incluis integratie met browsers.
22-05-2018, 12:32 door Anoniem
Zou iemand een goede Password Manager kunnen aanbevelen, en welke juist niet?
22-05-2018, 13:40 door Anoniem
Door Aha: Neen. Ik manage mezelf. En zeker mijn wachtwoorden.

Precies, ik vertrouw alleen mijn eigen brein mijn wachtwoorden toe. En ze zijn echt allemaal verschillend. Voor de belangrijkste gebruik ik ook nog 2FA in diverse vormen. FreeOTP waar mogelijk, anders SMS als het niet anders kan.
22-05-2018, 13:46 door Anoniem
Ik vind persoonlijk KEEPASS het beste, veel plugins en syncen met Android, Windows etc. via OneDrive.
22-05-2018, 13:46 door Anoniem
Door Anoniem: Zou iemand een goede Password Manager kunnen aanbevelen, en welke juist niet?
Neem dit topic eens door: https://gathering.tweakers.net/forum/list_messages/1606030
22-05-2018, 21:50 door [Account Verwijderd]
Door Anoniem: Zou iemand een goede Password Manager kunnen aanbevelen, en welke juist niet?
Ik heb geluk dat mijn baas Secury Any Box heeft gekocht.
We hebben het zo ingericht dat de site zelf 2FA heeft en elke werknemer een prive box heeft waar hij/zij zelf persoonlijke wachtwoorden in kan bewaren.

Keepass is een goed gratis alternatief.
23-05-2018, 08:57 door Anoniem
Ik gebruik papier als mijn password manager. En GnuPG 1.4.22 als mijn password generator. Zie:
https://www.security.nl/posting/470888#posting470988

Er gaan echter stemmen op om GnuPG 1.4.x alleen nog beschikbaar te maken voor het decrypten van oude PGP data. En GnuPG 2.2.7, daar heb ik mij nog niet in verdiept. Deze versie zit wel meer op het internet als GnuPG 1.4 en ik ben bang dat deze automatisch test sleutels van mij gaat uploaden naar keyservers.

Voor het geval dat onze lieve overheid PGP gaat verbieden (Dit probeerde de FBI in de jaren negentig ook al, maar de EFF heeft dat toen kunnen stoppen), heb ik een kopie van Password Safe gedownload. https://www.schneier.com/academic/passsafe/. Dan kan ik daar nog steeds mijn passwords mee genereren. (Bruce Scheier heeft twee cryptografische RNG's ontworpen, Yarrow en Fortuna, dus dat zit wel goed).
23-05-2018, 10:36 door Anoniem
Ik gebruik pass, "the standard unix password manager" [1]. Wachtwoorden zijn versleuteld met gpg en onder beheer met git. Is het geweldig? Medium. Zonder mijn laptop ben ik nergens, bijvoorbeeld. Weet ik iets beter dat zo transparant is als een shell script en ik vertrouw? Nee.

[1]: https://www.passwordstore.org/
23-05-2018, 11:35 door Anoniem
ik gebruik Protected Text.
https://www.protectedtext.com/
23-05-2018, 13:38 door Anoniem
Ik gebruik een klein boekje van bruna met lijntjes.

Mijn onleesbare hanepoten schrift is al een bron van encryptie.
23-05-2018, 20:26 door Vicktor
Tenzij er een wapen op me gericht wordt ben ik niet te hacken, dus mijn antwoord is "nee".
23-05-2018, 21:39 door Anoniem
Wat is een goede password manager die je op android en ios kan gebruiken maar je geen cloud diensten hoeft te gebruiken voor het synchroniseren?
24-05-2018, 09:30 door Anoniem
Door Anoniem: Wat is een goede password manager die je op android en ios kan gebruiken maar je geen cloud diensten hoeft te gebruiken voor het synchroniseren?
Als jij het zelf prima vindt om een keepass db handmatig te syncen tussen je laptop/computer en je mobiel, is dat een prima oplossing. Dan zijn er meerdere apps waarmee je de keepass db kan openen. Keepassdroid gebruik ik zelf.

Anders ben je toch weer opzoek naar een client server applicatie, waarmee je gebruik moet maken van een dienst.

tenzij je iets zelf wilt/kunt hosten. Dan kan je met OwnCloud bijvoorbeeld je keepass DB syncen, of een eigen webbased password manager (PasswordState https://www.clickstudios.com.au/) hosten.
24-05-2018, 20:27 door Anoniem
Door Anoniem: Wat is een goede password manager die je op android en ios kan gebruiken maar je geen cloud diensten hoeft te gebruiken voor het synchroniseren?
Ik gebruik al jaren SplashId met locale synchronisatie. Er bestaat ook een versie met cloud synchronisatie.
Het is niet goedkoop maar ik heb me enige tijd terug naar een lifetime account geüpgraded.

Het account, username en master paswoord staan wel in de cloud maar de data niet. De usernaam/master paswoord combinatie is eigenlijk uw licentie.

Ik deel een account met mijn vrouw, met 1 usernaam/master paswoord. Ik sync mijn iPhone naar een Mac, mijn vrouw haar iPhone naar een PC. We hebben allebei afzonderlijke gegevens opgeslagen. Ik moet alleen opletten dat ik niet sync naar haar PC :-)

Dus ja ik kan bij haar opgeslagen records en omgekeerd maar dat is momenteel geen issue.
25-05-2018, 13:03 door Anoniem
Door Anoniem: Ik gebruik papier als mijn password manager. En GnuPG 1.4.22 als mijn password generator. Zie:
https://www.security.nl/posting/470888#posting470988
Dat ziet er erg omslachtig uit. Aangenomen dat je net als die beschrijving Linux gebruikt dan zou ik dit eens proberen:
$ base64 </dev/urandom | head -n 1
3I3eMwFPFvIyNs0PjVAItQyNh6GEKKptkDdkx4ZiJMKOmlBr8BIr6/iwzVqihkQEj0wUK76MQOtV
Waarom is dat goed genoeg? Omdat /dev/urandom als bron van random data zo goed is dat GnuPG het als bron gebruikt (als je denkt dat /dev/random beter is, zoek dan naar "myths about /dev/urandom" en leer wat nieuws). Een goede random bron is al zo onvoorspelbaar dat tekens uit de uitvoer selecteren met een dobbelsteen echt niets meer toevoegt. Je maakt er ook niets mee kapot, dus laat je niet tegenhouden als je het gewoon leuk vindt om het zo te doen, maar iets toevoegen doet het ook niet.
25-05-2018, 17:46 door Anoniem
@13:03: Dat werd ook gezegd in de draad uit 2016, maar dan met 'dd if=/dev/random bs=1 count=32 | base64' als suggestie. Ik hou er altijd van veel lagen van beveiliging aan te brengen. De dobbelstenen vangen eventuele problemen met GnuPG op. Ik gebruik zelfs soms een tweede dobbelsteen waarmee ik verticaal ga! GnuPG vangt eventuele problemen met /dev/(u)random op.
26-05-2018, 09:54 door Briolet
Door Anoniem:Ik gebruik al jaren SplashId …

Het account, username en master paswoord staan wel in de cloud maar de data niet. De usernaam/master paswoord combinatie is eigenlijk uw licentie.…

Wat is het nut om het master password wel in de cloud op te slaan? Want als je dat al niet hoeft te onthouden, dan kan toch iedereen bij de masterpassword?

En een masterpassword als licentie lijkt me ook niet verstandig. Dan heb je nooit de mogelijkheid even simpel je hoofdwachtwoord te veranderen. Veel beter zou een systeem zijn waar het hoofdwachtwoord onafhankelijk is van je account wachtwoord. Dat laatste account-ww kun je dan in je eigen wachtwoord manager opslaan, zodat het hooftwachtwoord ook lokaal blijft.
26-05-2018, 16:59 door Anoniem
Ik zie hier niemand Lastpass noemen. Is daar een reden voor?

Ik deze ingesteld met 2FA, EU-server only, en Country Restriction ingesteld.

Graag jullie mening, a.u.b. Bij voorbaat dank.
27-05-2018, 04:16 door Anoniem
Door Anoniem: Ik gebruik papier als mijn password manager. En GnuPG 1.4.22 als mijn password generator. Zie:
https://www.security.nl/posting/470888#posting470988
Uh. gpg is net zo goed afhankelijk van de hardware.

Er gaan echter stemmen op om GnuPG 1.4.x alleen nog beschikbaar te maken voor het decrypten van oude PGP data.
Ik wist wel dat ze niet helemaal lekker waren daar maar zo arrogant verbaast me wel een beetje. Referenties?
27-05-2018, 07:41 door Anoniem
Door Anoniem: Ik zie hier niemand Lastpass noemen. Is daar een reden voor?

Ik deze ingesteld met 2FA, EU-server only, en Country Restriction ingesteld.

Graag jullie mening, a.u.b. Bij voorbaat dank.

Persoonlijk gebruik ik ook lastpass, ze claimen je master password niet op te slaan. Ik ben niet het typ paranoia, maar het is natuurlijk een kleine moeite voor Lastpass of iemand met toegang tot de Lastpass servers om deze later nog te onderscheppen. Met dit argument durf ik het dus ook niet zakelijk te gebruiken.

Ik lees hierboven dat veel mensen alleen maar papier vertrouwen, maar ik vraag me af hoe je dat doet in een organisatie met +/- 75 mensen die regelmatig dezelfde credentials nodig hebben. ik kan me voorstellen dat je een Keepass db op een share zet en een paar USB sticks die je kan lenen (en dat noteren), maar bij deze optie missen de audit logs van wat mensen inzien/wijzigen. Dat bieden cloud oplossingen zoals Dashlane en Keeper weer wel. Ik ben ook benieuwd hoe grotere MKB bedrijven deze problematiek aanvliegen
27-05-2018, 09:24 door Anoniem
Door Anoniem:
Er gaan echter stemmen op om GnuPG 1.4.x alleen nog beschikbaar te maken voor het decrypten van oude PGP data.
Ik wist wel dat ze niet helemaal lekker waren daar maar zo arrogant verbaast me wel een beetje. Referenties?

https://lists.gnupg.org/pipermail/gnupg-users/2018-May/060492.html
1. End-of-life 1.4 already.

Yes, it's the only option for PGP 2.6. Yes, it's the only option for
old and out-of-date stuff. Yes, there will be people who need to
decrypt this stuff. All of that is true, but *we* don't need to be the
people who cater to their needs. At this point if you need pre-Web
crypto (which, I remind people, is pretty much what PGP 2.6 is), you
have a specialized need and you need to talk to someone about a custom
solution. There are companies that specialize in this sort of thing
(like, say, g10 Code).

We should keep the 1.4 source code available, but wash our hands of it
and say it will receive *no* future fixes, not even for security issues
-- and we need to stand on that when people start screaming.

Rationale: as long as we keep GnuPG 1.4 around and even semi-supported,
people will insist on not upgrading.
27-05-2018, 10:57 door Anoniem
@04:16: Deze mailing is ook wel subtiel https://lists.gnupg.org/pipermail/gnupg-users/2018-May/060342.html

> 1. change the default behaviour of GPG so that any integrity failure is
> fatal by default, even for old ciphersuites (we could have a flag to

I am all in favor of this and even considered to that some time ago.
However, not too long ago we removed support for PGP-2 keys which
unfortunately resulted in lots of angry mails from people who now think
they need to use gnupg 1.4 every day because they seem to read mails
From the last century on a regular base. Well, they think and they were
quite vocal. Now telling them they need to enable an option to read
certain not that old mail (e.g. creating by other OpenPGP
implementations) will a) lead to even more angry mails and b) they will
keep on using that option for all mails. Thus my tentative plan was to
make the next major version hard fail on messages without MDC and slowly
start using our forthcoming AEAD encryption mode.

Well okay, with the new support of the Ehtmlfail paper we could now
point to that paper and always hard error out if no MDC is used even for
old algorithms. Shall we consider this?

Ik neem aan dat er geen command line switch komt om een bericht zonder MDC toe te laten. Want anders zetten mensen dat dan in hun gpg.conf. Alle PGP versies tot PGP 7 hebben geen MDC. Dus als je toen je PGP sleutel hebt gemaakt... Wel tijd voor een nieuwe sleutel denk ik, maar je moet dan een oude GnuPG 1.4.22 bewaren om je mail uit die periode te kunnen lezen. (Als..)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.