straatvraag

Hoe onthoud je al je wachtwoorden?

  • 18 October 2021
  • 99 reacties
  • 7347 Bekeken
Hoe onthoud je al je wachtwoorden?

Toon eerste bericht

99 reacties

Ik zelf gebruik roboform, idd een betaalde wachtwoord manager en het bevalt me goed omdat ik deze over alle electronische apparaten die ik gebruik kan synchroniseren.

Een hoofdwachtwoord blijft een lastig dingetje niet voor mij maar waar je het opslaat in geval van nood natuurlijk. Het is een noodzakelijk kwaad. Maar 100% bestaat niet en ik ga ook niet paranoide alles afschermen, een boekje bij de laptop is niet slim maar er komt een hoop extra omstandigheden bij kijken voor dat dat mis gaat.

Het komt neer op hoeveel wachtwoorden je moet beheren en hoe groot je portomonee is natuurlijk. Uit je hoofd werken is in ieder geval geen doen meer tegenwoordig.

 

 

En uw laatste punt ben ik het helemaal niet mee eens. Waarom denkt u dat er op het Darkweb grof geld wordt betaald voor uw gegevens? Volgens mij laat u bijna overal waar u een wachtwoord voor gebruikt persoonlijke gegevens achter. Kijk alleen eens naar uw gegevens hier bij de Consumentbond. Wel eens van spoofing gehoord bijvoorbeeld?

 

De reden dat dat gebeurt is nu juist omdat veel mensen wachtwoorden hergebruiken níet volgens een dergelijk systeem, en de lieden van het darkweb gaan voor een schot hagel, en betalen voor 1000en gebruikersnaam-wachtwoord combinaties, waarbij er dus altijd wel een aantal tussen zit dat zich niet aan die systematiek houdt. Dus dat is niet een argument tegen.

Ik vind het allemaal prachtig maar mag ik nou eens vragen hoe eenieder dit nou voor de telefoon en laptop van z'n partner geregeld heeft of heeft die zijn of haar eigen keuzes gemaakt en weet die zelf wel wat ze doet?

 

Mijn partner en ik gebruiken Bitwarden. Bitwarden heeft apps voor Windows, Linux, Android en iOS. Een masterpassword unlocked de safe en via de apps kan automatisch naar een site worden gegaan, username en password worden ingevuld. Alles wordt met sterke encryptie opgeslagen in de cloud.

Met de gratis versie kan je met 2 personen een persoonlijke omgeving maken maar ook bepaalde passwords met elkaar delen.

wil je ook 2FA gebruiken dan moet je een abonnement nemen.

@A. Deen 
Heel veel wachtwoorden heb ik wel in mijn hoofd.
Die van een webshop is het minst belangrijk, omdat je daar betalen moet.
Als die maar niet lijkt op een ander wachtwoord.
Die zou je ook nog wel op kunnen schrijven.
 

Niet te makkelijk denken over webshop wachtwoorden. Als die bekend raken loop je een groot risico dat er op jouw naam, maar met een ander adres, goederen worden besteld. Denk aan Bol.com waar je op rekening kan kopen….

Ik heb heel lang KeyPass gebruikt en doe dat nog steeds.

Omdat het lastig bleek om de data te synchroniseren met tablet en telefoons, ben ik overgestapt op Bitwarden. Dit na een korte proef met LastPass…. onhandig.

Handig vind ik de activering met vingerafdruk of pincode op de telefoon.

Keypass gebruik ik nu nog alleen als bronbestand, omdat niet alle wachtwoorden of notities in BW hoeven te staan. Ook als internet niet beschikbaar is, heb ik toch alle wachtwoorden bij de hand.

Ik zie dat ik nu al ruim 500 entries in BW heb staan

Piet

Ben al een jarenlange gebruiker van 1Password op mijn Mac, mijn (werk-PC) en mijn telefoon. Ideaal. Behoorlijk wat websites willen/moeten met two factor authentication werken, en ook dat werkt prima met 1Password.

Vanwege die two factor authentication ben ik nu ook met een Yubico hardware key aan het experimenteren, nog veiliger maar soms ook handiger dan een app als Google Authenticator.

Ik gebruik al lange tijd Lastpass Premium en ben daar erg tevreden over. De Lastpass Authenticator vind ik echter lastig in het gebruik. Synchroniseren tussen PC, laptop, tablet en telefoon gaat probleemloos. Daarbij heb ik wel precies aangegeven welke apparaten in mogen loggen op LP. Handig is ook de mogelijkheid om iemand in geval van nood (of bij overlijden) toegang te verlenen. Ook mijn man zet zijn wachtwoorden er zonder problemen in.

Badge

Veiligheid is een veelkoppige draak. Een hulpmiddel is de afkorting CIA:

  • Confidentiality (vertrouwelijkheid)
  • Integrity (onbeschadigd)
  • Availability (beschikbaarheid)

De beveiligingen tegen deze risico's zijn vaak in conflict:

  • voor de vertrouwelijkheid kun je geheimen gebruiken, maar dat kan een probleem vormen voor de beschikbaarheid als je dat zelf niet meer bent
  • voor de integriteit mag je bijvoorbeeld alleen software gebruiken die je kunt vertrouwen en die moet up-to-date zijn, maar dat kan een probleem vormen als verschillende apparaten gebruikt
  • voor de beschikbaarheid (inclusief afpersing via ransomware) wil je sleutels opslaan op verschillende locaties, maar dat vergroot het risico op kraken

Ik denk dat er wel een goede oplossing te vinden zal is, maar dat die nog niet bestaat. Mijn eisen zijn onder andere:

  • echte, maar handzame toegangscontrole: wachtwoorden zijn zwak en biometrische gegevens onvolwassen; mijn "pass phrase” voor de  password-manager Keepass is sterk, maar met vijfendertig tekens voor 128 bits beveiliging maar helemaal niet praktisch 
  • gegarandeerde continuïteit: mijn gegevens moeten beschikbaar blijven als apparaten stuk gaan, applicaties niet werken, als Europa ruzie maakt met USA en zelfs als ik er niet meer helemaal bij ben
  • gegarandeerde integriteit: alleen mijn vertrouwelingen en ik mogen “mijn” gegevens wijzigen
    (met als extra uitdaging om de vertrouwelingen ook goed beveiligd te krijgen)

Blijf voorzichtig. En geef alsjeblieft feedback!

 

 

@P.A. Willems 
Biometrische gegevens zijn geen wachtwoord.
Ze zijn hooguit een gebruikersnaam.

Mijn vrouw en ik gebruiken tot volle tevredenheid Sticky Password Manager.

Gebruik al geruime tijd dashlane betaald. Werkt prima op laptop, telefoon & tablet.

Grt. Ton Gerlings

 

Sinds het ooit goed uit de test kwam gebruik ik als wachtwoordmanager  Access Manager 2 van Citi-software. Nu lees of hoor ik daar nooit meer iets over. Is het gebruik hier van nog veilig?

vanaf12MRTishetWWvoorBOLCOMq4!

in het geval van deze webleverancier 

en verander regelmatig de datum

Gebruik al tig jaar, met mijn partner, Keepass, wil ‘nooit’ meer iets anders. Database op stick, computers, server, cloud en telefoons. Die databases zijn eenvoudig te synchroniseren maar dat moet met de hand, zit standaard in de windows versie van Keepass,  Een maal per (2)weken synchroniseer ik de boel. Hoofdpassword heeft mijn zoon ook, voor het geval dat, maar niet de database.  Ook Firefox ww kluis voor de meest gebruikte maar altijd ook een kopie in Keepass.  (Ook scan van rijbewijs en paspoort etc. kunnen in Keepass, handig voor op reis. Op stick staat ook de portable versie van Keepass)

 

Voor ouderen (70+) is dit niet te doen en die adviseer ik een briefje met een truc.

Op het briefje staat 'facebook     rwcg6D$’ en ‘Gmail      ht5c8D%’.

Het ww voor facebook is dan Fietsenrwcg6D$rek en Gmail Fietsenht5c8D%rek. Dit kun je eindeloos soorzetten. Het enige dat ze moeten onthouden is Fietsen…...rek.  Iedereen kiest natuurlijk zijn eigen woord zoals Keukendeur, Schoolstraat of noem maar op.

Mijn hele gezin maakt gebruik van Bitwarden in combinatie met een lokale Bitwarden server op mijn Synology NAS (die ook te bereiken is vanaf internet).

Ik log in met een loginnaam en wachtwoord en een usb-sleutel.

Alle wachtwoorden laat ik genereren door Bitwarden en ik stel twee-stapsverificatie in als dat mogelijk is.

Wachtwoorden die ik met mijn vrouw en/of kind wil delen heb ik in een gedeelde kluis staan.

Heb je ook een Synology NAS? Dan vind je hier een duidelijke uitleg over hoe je de Bitwarden Server installeert op een Synology NAS: uitleg.

Ik gebruik al een paar jaar Bitwarden en blijf erbij dat dit de snelste en makkelijkste manier is om je wachtwoorden veilig op te slaan en aan te maken. Hiervoor gebruikte ik KeePass maar dat is verouderd en heeft niet een uitgebreide wachtwoord-generator zoals bij deze app. Ingewikkelde wachtwoorden zij n een must. PC iPone of Android het maakt niet uit. Twee factor beveiliging is mogelijk. 
Gezichtsherkenning,, zelf mappen aanmaken etc. 

Reputatie 7
Badge +6

Ik lees op internet dat het een wedstrijdje is tussen Bitwarden en Lastpass en dat Lastpass de bovenhand heeft.

Ik had ooit ook Bitwarden, maar eens in de zoveel tijd ga je over oo een nieuw apparaat van een ander merk en moet je alles overnieuw installeren. Met Bitwarden wou het toen helemaal niet lekker gaan, bij welk account de wachtwoorden hoorden was foetsie. Die moest je dan stuk voor stuk opnieuw intypen.

Dan stapte je over naar Dashlane, maar hoe langer je die hebt, hoe meer ze ervan uitkleden. Dus doei Dashlane. Met het csv bestand de wachtwoorden overzetten gaat in de praktijk bij lange na niet goed. Bij Lastpass was de boel ook in de war. Waar de naam van het account moest staan stond iets anders.

Ik heb dus altijd de wachtwoorden op een lijst aangehouden die pienter is. Zoals hierboven heb je ook een eigen wachtwoordsysteem. Dus je laat de manager geen wachtwoorden voor je genereren. Want die lijst is al meerdere keren de redding geweest. Waar kan je een wachtwoord wijzigen als je het oude wachtwoord niet meer weet? Ik had anders geen doei kunnen doen tegen Dashlane. Die lijst is pienter want alleen een nummer of naampje van het wachtwoord staat erin. Laat ze maar lekker hacken (mijn laatste virus was in 1992), ze kunnen er niets mee. Die nummers en naampjes bij welke wachtwoorden staan weer in een soort van kruiswoordpuzzel vorm of zoiets op een andere veilige plek.

Ik gebruik zelf een wachtwoord-manager (1password, maar de verschillen in veiligheid en gebruiksvriendelijkheid tussen de verschillende apps zijn heel erg klein, gebruik er vooral een). 

De ICT op mijn werk eist echter dat ik om de haverklap allerlei wachtwoorden verander, en eist die  wachtwoorden ook op plekken in de computer waar wachtwoordmanagers niet bij kunnen.

Mijn privé wachtwoorden zijn dus een stuk veiliger dan mijn werk wachtwoord. Die moet ik kunnen onthouden, veranderen en daarna opnieuw onthouden, dus die kan niet al te ingewikkeld zijn. Ik werk in een ziekenhuis met patiëntengegevens. 

Voor zover ik weet is dit bij elk ziekenhuis het geval. De ICT wil dingen (begrijpelijk) in eigen hand houden, maar doet dat vervolgens op zo'n manier dat ze zelf hun straatje schoonvegen door de verantwoordelijkheid neer te leggen bij de eindgebruiker, toch al de zwakste schakel in het systeem.

Reputatie 4
Badge +4

@M.C. van Bentum 

Ik weet niet hoe je erbij komt dat Keepass verouderd is, maar dat is beslist niet het geval. Keepass krijgt nog tot op de dag van vandaag updates.

Reputatie 1
Badge +2

ik ben nog geen manager tegengekomen die op veilige wijze al die pincodes van mijn apps kan onthouden en invullen. en dat worden er steeds meer.

Reputatie 4
Badge +4

Overigens ben ik benieuwd of jullie wel eens de proef op de som genomen hebben en gekeken of je wachtwoord is gelekt via bv AmIPowned? 

Ik heb dat gedaan voor een aantal wachtwoorden en inderdaad kwamen 2 van mijn meest frequent gebruikte wachtwoorden voor op de lijst. Maar omdat aan die accounts geen persoonsgegevens verbonden waren heeft het lek weinig consequenties gehad. Ik gebruik voor dat soort accounts ook vaak tijdelijke mailadressen, dat scheelt ook een hoop ongewenste mail. Veel websites weigeren tijdelijke mailadressen (zoals mailexpire), al zijn de lijsten die ze daarvan bijhouden vaak niet compleet.

Badge

Internetcriminelen kunnen wachtwoorden van 8 willekeurige kleine letters soms al binnen een paar minuten kraken.

Met 8 willekeurige kleine letters kun je 26^8 = ruim 200 miljard combinaties maken.

Hoe kun je dat binnen enkele minuten kraken?

En, wat is "soms”? Waar wordt dit door bepaald?

 

Met de hoofdletters erbij en wat leestekens kom je met 8 posities al gauw op 60^8 = ruim 160 biljoen (= 1.6 x 10^14) combinaties.

Lijkt mij voldoende. Vandaar dat ik eigenlijk nooit meer dan 8 posities gebruik EN een combinatie van kleine, hoofdletters en leestekens gebruik.

Los van waar en hoe ik die wachtwoorden opsla, wie overtuigt mij er van dat dit onvoldoende is?

Badge

Mijn vrouw en ik gebruiken tot volle tevredenheid Sticky Password Manager.

Mag ik vragen, waar die tevredenheid op gebaseerd is?

Reputatie 7
Badge +4

zoals al elders vermeld, hackers gaan normaal gesproken geen ww kraken. wat ze doen is met hagel schieten, ze kopen een enorme lijst bekende wachtwoorden en gaan gewoon proberen, altijd wel 1 ww raak en daar gaan ze dan mee verder. Daarom is een tweede factor ook veel effectiever dan een lang wachtwoord. 

Reputatie 7
Badge +6

Met 8 willekeurige kleine letters kun je 26^8 = ruim 200 miljard combinaties maken.

Hoe kun je dat binnen enkele minuten kraken?

Ik heb er niet maast gestaan maar erover gelezen. Die Duitse Enigma had 10^78 mogelijke combinaties, zoveel sterren in het heelal. Elke 24 uur veranderde de code. Om 6 uur 's ochtends hadden ze de settings van de dag al, tegen 4 uur 's middags waten de meeste berichten gedecodeerd.

Nog meer combinaties had Hitlers geheimschreiber de Lorenz SZ 40, iets van 10^92 combinaties, zoveel atomen (!) in het heelal. Handmatig decoderen duurde dagen. Daarvoor is de programmeerbare computer uitgevonden, Tommy Flowers bouwde hem. Die deed het in 20 minuten kraken en dan verder door de tabellen en sheets halen en hadden ze de decodering in een dag. Dat was 1944. Sindsdien is de computer veel sneller geworden.

Gewoon op je thuiscomputer denk ik wel dat iets van 10^16 in een paar minuutjes zo gepiept is. Dikwijls kan je maar drie keer proberen. Hoe ze dat omzeilen weet ik ook niet.

Reageer