Passwords

[Vis]

Gisteren was de Twitter-account van Gizmodo gehacked nadat ze access hadden verkregen tot de iCloud-account van een ex-werknemer, en via via weer allemaal andere wachtwoorden konden resetten. Dit heeft weer heel wat geblog teweeg gebracht over wachtwoorden, goede en slechte wachtwoorden, etc. Ik kwam via een van die blogs uit op deze site:

http://passphra.se

Het idee kwam van deze xkcd-comic:



Het komt neer op het volgende:

1. Een wachtwoord bestaande uit 3+ woorden als "this is fun" is 10x veiliger dan iets als "J4fS<2"
2. Wachtwoorden met 3+ ongewone woorden is nog véél veiliger
3. Dit soort wachtwoorden zijn veel makkelijker te onthouden en typen dan iets als "8;dU2i2{xs1*hT#4A9tccT"

Ik had zelf nog nooit echt nagedacht over de eerste 2 punten. Ik gebruik de password manager 1Password om automatisch "complexe" wachtwoorden (zoals JuM+K$fDLx6N2b) te generen voor websites, en waarmee ik middels browser plugins automatisch kan inloggen op sites met een key combo. Maar voor sites/apps waar ik vaak handmatig wil inloggen (allemaal dingen binnen het OS, telefoon, etc.) gebruik ik veel kortere en minder complexe wachtwoorden, omdat het typen ervan anders zo lang duurt. Deze wachtwoorden zijn eigenlijk allemaal in de vorm van "J4fS<2", en omdat ik maar een beperkt aantal van dat soort wachtwoorden kan onthouden (en inmiddels muscle memory zijn) gebruik ik diezelfde wachtwoorden op heel veel verschillende plaatsen, wat niet slim is. Anyway, ik zit me nu af te vragen waarom ik überhaupt nog wachtwoorden als "J4fS<2" onthoud als iets als "yummy salted peanuts" eigenlijk veel veiliger is, makkelijk is om te onthouden (bijv. per site/app/device iets wat je ermee associeert) en te typen.

Meer achtergrond: http://www.baekdal.com/insights/passwor ... -usability
En: http://www.baekdal.com/insights/usable- ... curity-now (vooral het online vs offline hacken is hier interessant)

[Jadzia]

Ik heb eens iemand horen vertellen dat hij wachtwoorden maakte door een handdoek op het toetsenbord te gooien.

Hoe hij ze dan weer onthield weet ik niet, maar hij scheen ook telefoonnummers te onthouden door ze in priemfactoren te ontbinden.

[Punisher]

Het is ook belangrijk overal verschillende wachtwoorden te gebruiken. Als er dan ergens wachtwoorden via een database hack gestolen worden kunnen ze die niet op andere plaatsen gebruiken. Mooi voorbeeld is dropbox recent, waar bij 1 van de medewerkers ingelogd kon worden via een wachtwoord dat ze ergens ander gesloten hadden (zie: http://www.h-online.com/security/news/i ... 57230.html).

Ik gebruik dus bijna overal een random gegenereerd wachtwoord. Op een paar uitzonderingen na weet ik ook geen enkel wachtwoord uit m'n hoofd.

[Master Vanhu Botie]

Da's handig ...


Voor de meeste wachtwoorden neem ik iets uit 't boek dat ik op dat moment aan 't lezen ben, maar ik verdraai 't een beetje, neem 'n random hoofdletter en voeg 'n cijfer toe. Voorbeeld: hoofdpersoon uit m'n boek: Jack Ryan, wachtwoord: jakraiN8. Vrijwel onmogelijk af te leiden en makkelijk te onthouden.

[Jadzia]

Ik gebruik gewoon overal mijn pincode.

[Blind Guardian]

6666

[The Silencer]

Da's handig ...


Voor de meeste wachtwoorden neem ik iets uit 't boek dat ik op dat moment aan 't lezen ben, maar ik verdraai 't een beetje, neem 'n random hoofdletter en voeg 'n cijfer toe. Voorbeeld: hoofdpersoon uit m'n boek: Jack Ryan, wachtwoord: jakraiN8. Vrijwel onmogelijk af te leiden en makkelijk te onthouden.

Je moet alleen onthouden wat waarbij hoort, dat is bij mij soms het probleem Heb wel eens dat ik met weinig gebruikte sites (waar ik bijna niet kom of standaard ingelogd ben) dat ik vijf wachtwoorden achter elkaar intyp waarvan ik weet dat het wachtwoorden van mij zijn...maar niet meer waar ze bijhoren

Ik ben het afgelopen half jaar veel gaan differentiëren. Had veelal dezelfde wachtwoorden. Meeste wachtwoorden waren wel "sterk" (hoewel het volgens Vis zijn nieuwe inzichten misschien minder sterk is dan ik dacht) maar wel gelijk aan veel andere dingen. Voor forums heb ik in het algemeen relatief zwakke wachtwoorden.

[Master Vanhu Botie]

Ik heb een xls gemaakt met alle wachtwoorden die ik gebruik.
Natuurlijk heb ik die voor alle zekerheid ook op papier afgedrukt en in de kast gelegd

[Punisher]

Ik heb een xls gemaakt met alle wachtwoorden die ik gebruik.
Natuurlijk heb ik die voor alle zekerheid ook op papier afgedrukt en in de kast gelegd

Was dat een grap of serieus?

[GPS]

Ik heb een xls gemaakt met alle wachtwoorden die ik gebruik.
Natuurlijk heb ik die voor alle zekerheid ook op papier afgedrukt en in de kast gelegd

Dat heb ik ook gedaan.
Nou ja, voor bijna alle wachtwoorden. Degene die ik zo wel kan onthouden staan er niet op.

[Vis]

Als je wachtwoorden ergens opslaat op je computer, neem dan in ieder geval even de tijd om dit veilig te doen. Er zijn veel password-managers waarin je alles kan opslaan met een goede encryption. Zelf als zou je een wachtwoord op een Excel-bestand zetten dan is dat in veel gevallen nog steeds totaal niet veilig. En ook al zal de kans klein zijn (of lijken) dat iemand zo'n file ooit bekijkt, er kunnen genoeg vage dingen gebeuren waardoor bestanden van je computer af worden gehaald.

Het printen lijkt me ook geen goed idee, al is de kans dat mensen die inbreken uit zijn op het vinden van uitgeprinte wachtwoorden om in je email te komen natuurlijk erg klein. In dat geval ergens opbergen tussen papieren die totaal irrelevant zijn voor wie dan ook, oid.

[Master Vanhu Botie]

Ik heb een xls gemaakt met alle wachtwoorden die ik gebruik.
Natuurlijk heb ik die voor alle zekerheid ook op papier afgedrukt en in de kast gelegd

Was dat een grap of serieus?

Ik ben heel serieus. Ik heb dat bestandje natuurlijk niet "Wachtwoorden.xls" genoemd. Als inbrekers deze lijst zouden vinden hebben ze er nog niet veel aan: voor alle belangrijke dingen (PC-Banking en zo) heb ik geen wachtwoord dat in die xls staat, maar een pincode die in m'n hoofd opgeslagen zit. Alle paswoorden die in die xls staan zijn niet gevoelig. Vandaar dat ik er geen graat inzie om dit af te drukken of op m'n computer op te slaan. Daarenboven heb ik 'n in mijn ogen afdoende firewall geïnstalleerd op m'n PC. Ik heb ook een van m'n collega's, die toch wel iets van PC's afkent, gevraagd om eens te proberen dit bestandje te lezen (mag jij ook wel proberen als je wil). Niet dat dit een referentie is, maar het is hem toch niet gelukt. Ik en m'n PC en wat daarop staat zijn niet zó belangrijk, hoor

[GPS]

Als je wachtwoorden ergens opslaat op je computer, neem dan in ieder geval even de tijd om dit veilig te doen. Er zijn veel password-managers waarin je alles kan opslaan met een goede encryption. Zelf als zou je een wachtwoord op een Excel-bestand zetten dan is dat in veel gevallen nog steeds totaal niet veilig. En ook al zal de kans klein zijn (of lijken) dat iemand zo'n file ooit bekijkt, er kunnen genoeg vage dingen gebeuren waardoor bestanden van je computer af worden gehaald.

Het printen lijkt me ook geen goed idee, al is de kans dat mensen die inbreken uit zijn op het vinden van uitgeprinte wachtwoorden om in je email te komen natuurlijk erg klein. In dat geval ergens opbergen tussen papieren die totaal irrelevant zijn voor wie dan ook, oid.

Even serieus nu. Ik heb idd een lijstje geprint met wachtwoorden, die eigenlijk totaal onbelangrijk zijn, maar toch gevraagd worden. Elke site wil tegenwoordig een wachtwoord en ik ga geen 70 tot 80 wachtwoorden onthouden. Maar wie bij een inbraak dat lijstje vindt is ontzettend knap of heeft stom geluk. (wie dat niet gelooft, moet hier maar eens komen kijken ) Daarnaast is het nog knapper als ze uit dat lijst wijs kunnen worden.
Tot slot: nee, de wachtwoorden van mijn bank, arts en dergelijke staan daar niet op.

[Nemesis]

als ict-er is het eigenlijk slecht maar het wachtwoord dat ik gebruik, gebruik ik al als kind zijnde, en nog nooit problemen gehad eigenlijk...

maar het is wel een grappig idee Misschien iets om te onthouden voor de toekomst.

[Guess who?]

Uitprinten kan weinig kwaad. Als iemand echt alleen inbreekt om bij je gegevens te komen, is het veel makkelijker voor hem of haar om een usb-stick of start-up cd in je pc te stoppen dan om je huis overhoop te halen op zoek naar dat papiertje met gegevens.

Ik heb een reeks veilige wachtwoorden die ik onthoud aan het eerste teken van het wachtwoord. Deze eerste tekens heb ik gekoppeld aan websites/programma's en die wissel ik af en toe af.

[.:Admiral-Janeway:.]

Ik gebruik zelf altijd voor elke site een vrij random combinatie van getallen, cijfers en tekens. Om dan te differentiëren voeg ik iets unieks eraan toe wat ik meteen zou herinneren als ik de site open. Bevalt eigenlijk ook wel goed.

[Paulstartrek]

stap 2: Post a random idee over password management op een forum in een onbeveiligd gedeelte en vraag de gebruikers vervolgens wat zij gebruiken voor wachtwoord.

[The Silencer]

stap 2: Post a random idee over password management op een forum in een onbeveiligd gedeelte en vraag de gebruikers vervolgens wat zij gebruiken voor wachtwoord.

Daar dacht ik ook al aan Vooral makkelijk dat we nu weten waar we bij sommige personen moeten zoeken voor een lijst met wachtwoorden. Scheelt weer tijd

[GPS]

stap 2: Post a random idee over password management op een forum in een onbeveiligd gedeelte en vraag de gebruikers vervolgens wat zij gebruiken voor wachtwoord.

Daar dacht ik ook al aan Vooral makkelijk dat we nu weten waar we bij sommige personen moeten zoeken voor een lijst met wachtwoorden. Scheelt weer tijd

O, ik wil je ook wel zeggen waar die lijst ligt hoor. Je kunt het toch niet lezen.
Da's het voordeel van een beroerd handschrift en chaotisch werken

[Vis]

stap 2: Post a random idee over password management op een forum in een onbeveiligd gedeelte en vraag de gebruikers vervolgens wat zij gebruiken voor wachtwoord.

Daar dacht ik ook al aan Vooral makkelijk dat we nu weten waar we bij sommige personen moeten zoeken voor een lijst met wachtwoorden. Scheelt weer tijd

O, ik wil je ook wel zeggen waar die lijst ligt hoor. Je kunt het toch niet lezen.
Da's het voordeel van een beroerd handschrift en chaotisch werken

Bij jou dreigen we gewoon een Smurf te pletten en je logt overal voor ons in

[MajinSource]

stap 2: Post a random idee over password management op een forum in een onbeveiligd gedeelte en vraag de gebruikers vervolgens wat zij gebruiken voor wachtwoord.

Daar dacht ik ook al aan Vooral makkelijk dat we nu weten waar we bij sommige personen moeten zoeken voor een lijst met wachtwoorden. Scheelt weer tijd

Daarom heb ik hier gelukkig niet op gereageerd, ik ga mijn encryptions hier niet verklappen, en ook niet hoe ze te werk gaan.

[GPS]

stap 2: Post a random idee over password management op een forum in een onbeveiligd gedeelte en vraag de gebruikers vervolgens wat zij gebruiken voor wachtwoord.

Daar dacht ik ook al aan Vooral makkelijk dat we nu weten waar we bij sommige personen moeten zoeken voor een lijst met wachtwoorden. Scheelt weer tijd

O, ik wil je ook wel zeggen waar die lijst ligt hoor. Je kunt het toch niet lezen.
Da's het voordeel van een beroerd handschrift en chaotisch werken

Bij jou dreigen we gewoon een Smurf te pletten en je logt overal voor ons in

Zal je er eerst één moeten vangen. Bovendien, wat heb je aan mijn passwords, als je niet weet waar ze bij horen?

[Blind Guardian]

Die van mij

visiseenlekkerding

[Vis]

stap 2: Post a random idee over password management op een forum in een onbeveiligd gedeelte en vraag de gebruikers vervolgens wat zij gebruiken voor wachtwoord.

Daar dacht ik ook al aan Vooral makkelijk dat we nu weten waar we bij sommige personen moeten zoeken voor een lijst met wachtwoorden. Scheelt weer tijd

Daarom heb ik hier gelukkig niet op gereageerd, ik ga mijn encryptions hier niet verklappen, en ook niet hoe ze te werk gaan.

Als ze veilig zijn dan zou het je niks uit moeten maken, want wij hebben geen 500 jaar om je wachtwoorden te kraken. Dus dat betekent dat je wachtwoorden níet veilig zijn

[The Silencer]

stap 2: Post a random idee over password management op een forum in een onbeveiligd gedeelte en vraag de gebruikers vervolgens wat zij gebruiken voor wachtwoord.

Daar dacht ik ook al aan Vooral makkelijk dat we nu weten waar we bij sommige personen moeten zoeken voor een lijst met wachtwoorden. Scheelt weer tijd

O, ik wil je ook wel zeggen waar die lijst ligt hoor. Je kunt het toch niet lezen.
Da's het voordeel van een beroerd handschrift en chaotisch werken

Ik heb de lijst vannacht onder genot van een kop koffie even doorgenomen, het was niet het schoonste handschrift, maar het was te lezen.

[MajinSource]

stap 2: Post a random idee over password management op een forum in een onbeveiligd gedeelte en vraag de gebruikers vervolgens wat zij gebruiken voor wachtwoord.

Daar dacht ik ook al aan Vooral makkelijk dat we nu weten waar we bij sommige personen moeten zoeken voor een lijst met wachtwoorden. Scheelt weer tijd

Daarom heb ik hier gelukkig niet op gereageerd, ik ga mijn encryptions hier niet verklappen, en ook niet hoe ze te werk gaan.

Als ze veilig zijn dan zou het je niks uit moeten maken, want wij hebben geen 500 jaar om je wachtwoorden te kraken. Dus dat betekent dat je wachtwoorden níet veilig zijn

Ja, dat is voor jou een vraag

[GPS]

stap 2: Post a random idee over password management op een forum in een onbeveiligd gedeelte en vraag de gebruikers vervolgens wat zij gebruiken voor wachtwoord.

Daar dacht ik ook al aan Vooral makkelijk dat we nu weten waar we bij sommige personen moeten zoeken voor een lijst met wachtwoorden. Scheelt weer tijd

O, ik wil je ook wel zeggen waar die lijst ligt hoor. Je kunt het toch niet lezen.
Da's het voordeel van een beroerd handschrift en chaotisch werken

Ik heb de lijst vannacht onder genot van een kop koffie even doorgenomen, het was niet het schoonste handschrift, maar het was te lezen.

Ik vrees voor jou, dat je in het verkeerde huis koffie heb gedronken en lijstjes hebt gelezen.

[The Silencer]

stap 2: Post a random idee over password management op een forum in een onbeveiligd gedeelte en vraag de gebruikers vervolgens wat zij gebruiken voor wachtwoord.

Daar dacht ik ook al aan Vooral makkelijk dat we nu weten waar we bij sommige personen moeten zoeken voor een lijst met wachtwoorden. Scheelt weer tijd

O, ik wil je ook wel zeggen waar die lijst ligt hoor. Je kunt het toch niet lezen.
Da's het voordeel van een beroerd handschrift en chaotisch werken

Ik heb de lijst vannacht onder genot van een kop koffie even doorgenomen, het was niet het schoonste handschrift, maar het was te lezen.

Ik vrees voor jou, dat je in het verkeerde huis koffie heb gedronken en lijstjes hebt gelezen.

Neuh ik heb even gecheckt, maar je sliep vredig.

[GPS]

stap 2: Post a random idee over password management op een forum in een onbeveiligd gedeelte en vraag de gebruikers vervolgens wat zij gebruiken voor wachtwoord.

Daar dacht ik ook al aan Vooral makkelijk dat we nu weten waar we bij sommige personen moeten zoeken voor een lijst met wachtwoorden. Scheelt weer tijd

O, ik wil je ook wel zeggen waar die lijst ligt hoor. Je kunt het toch niet lezen.
Da's het voordeel van een beroerd handschrift en chaotisch werken

Ik heb de lijst vannacht onder genot van een kop koffie even doorgenomen, het was niet het schoonste handschrift, maar het was te lezen.

Ik vrees voor jou, dat je in het verkeerde huis koffie heb gedronken en lijstjes hebt gelezen.

Neuh ik heb even gecheckt, maar je sliep vredig.

NU weet ik zeker, dat je in het verkeerde huis was.

[The Silencer]

stap 2: Post a random idee over password management op een forum in een onbeveiligd gedeelte en vraag de gebruikers vervolgens wat zij gebruiken voor wachtwoord.

Daar dacht ik ook al aan Vooral makkelijk dat we nu weten waar we bij sommige personen moeten zoeken voor een lijst met wachtwoorden. Scheelt weer tijd

O, ik wil je ook wel zeggen waar die lijst ligt hoor. Je kunt het toch niet lezen.
Da's het voordeel van een beroerd handschrift en chaotisch werken

Ik heb de lijst vannacht onder genot van een kop koffie even doorgenomen, het was niet het schoonste handschrift, maar het was te lezen.

Ik vrees voor jou, dat je in het verkeerde huis koffie heb gedronken en lijstjes hebt gelezen.

Neuh ik heb even gecheckt, maar je sliep vredig.

NU weet ik zeker, dat je in het verkeerde huis was.

Neuh.