Wachtwoorden: onthouden of opslaan?

Wachtwoorden: onthouden of opslaan?

zaterdag 02 oktober 2010 21:27

Er zijn verschillende manieren om je wachtwoorden te onthouden en er bestaan ook apps voor. Wat werkt het beste voor jou?

Wachtwoorden zijn lastig. De eerste drie wachtwoorden kun je nog eenvoudig onthouden. Maar als je veel verschillende diensten gebruikt, moet je bijna wel anders gaan organiseren. Tijd voor wat 'wachtwoord-management' dus.

Een goed wachtwoord
Hoewel het misschien voor de hand ligt om niet hetzelfde, simpele wachtwoord voor elke website te gebruiken, doen de meeste mensen dat toch. Veel voorkomende wachtwoorden zijn bijvoorbeeld 'qwerty', '1234567890', of zelfs 'wachtwoord'. De meeste mensen blijven ook ingelogd op diensten, dus de meeste wachtwoorden zijn (theoretisch) te achterhalen via cookies

Er zijn manieren om de sterkte van je wachtwoord te controleren. Een sterk wachtwoord heeft kleine en grote letters, een nummer en een bijzonder teken. Met de Microsoft Password Checker kun je zien hoe goed jouw wachtwoord is.

Ezelsbruggetjes
Er zijn ook andere manieren om je wachtwoorden beter te organiseren. Bijvoorbeeld door de medeklinkers van je favoriete minderjarige zanger te gebruiken. Dan maak je van 'Justin Bieber - Baby' bijvoorbeeld: 'JstnBbrBb'. Dit zorg ervoor dat de wachtwoorden in ieder geval minder snel met brute force dictionary attack kunnen worden gekraakt, omdat het woord niet echt bestaat. Een andere oplossing is om de twee eerste letters van de dienst voor je wachtwoord te zetten.

Het is in ieder geval belangrijk om een onderscheid te maken tussen belangrijke websites, en minder belangrijke websites. Vooral als je besluit om hetzelfde wachtwoord te gebruiken voor meerdere sites.

Apps
'There is an app for that', zei een wijze man ooit eens, ook als je wachtwoorden wilt opslaan.

Windows: Er zijn verschillende applicaties die je kunt gebruiken. RoboForm, LastPass en de veelgeprezen open-source KeePass

Mac: Op de Macintosh zijn er ook veel verschillende opties. Zo kun je kiezen uit 1Password, Yojimbo en KeePass en Lastpass werken ook op de Mac.

 

Vanuit browser: Je kunt er ook voor kiezen om een plugin-in te gebruiken van je browser - een Firefox of Google Chrome plug-in bijvoorbeeld.

Met Callpod Keeper kun je alle wachtwoorden van je mobiele telefoons en andere computers (Windows en Mac) op een plek bewaren. Deze service kost wel 15 dollar.

Hoe beheer jij je wachtwoorden-management het liefste? Uit je hoofd, of laat je een programma alles regelen...?

Reacties

Keepass in combinatie met Dropbox. Op al je apparaten veilig bij je passwords.

 

je bedoelt 'dictionary attack' ipv 'brute force' bij het stukje over gebruik van niet bestaande woorden...

 
Dankjewel, dit heb ik aangepast nu.
 

Op een briefje naast m'n computer.
Dat is nog nooit gehackt ;)

 

Ik gebruik Wallet (op m'n Mac en iPhone). Werkt erg lekker.

 

Ik gebruik lastpass. Nadeel en voordeel dat het Online staat. Maar het is makkelijk te gebruiken.

 

Ik gebruik LastPass en dat bevalt erg goed (werkt ook op Mac)

 

<cite>> de meeste wachtwoorden zijn
> (theoretisch) te achterhalen
> via cookies</cite>

Dat is gelukkig niet waar. Er wordt misschien wel een cookie gebruikt om een sessie erg lang te laten bestaan, maar dan wordt nog niet het wachtwoord zélf in een cookie gezet. (Als er websitebouwers zijn die dergelijke informatie wel in een cookie zetten, dan moeten die heel snel ander werk gaan zoeken.)

In ieder geval <a href="http://xkcd.com/792/">niet overal hetzelfde wachtwoord gebruiken</a>...

 

Cookies kunnen wel worden misbruikt als je ze weet te stelen of onderscheppen. Met zo'n (session)cookie kun je de sessie overnemen en snel het wachtwoord veranderen.

Maargoed, dat is inderdaad een kwetsbaarheid van het HTTP protocol en niet van zwakke wachtwoorden.

 

Websitebouwers die bij het veranderen van je wachtwoord (en andere belangrijke instellingen) niet om het oude wachtwoord vragen, moeten ook een ander soort werk zoeken! ;-)

 

Passpack.com. En dan kom je er achter dat je bijna 100 verschillende wachtwoorden gebruikt.

 

1password rocks! Ik heb al m'n (verschillende) passwords opgeslagen voor op de Mac en iPhone. Ook belangrijke documenten en registratie nummers van software. Ideaal!

 

msecure app voor iphone en ipad

 

1 password + Dropbox.

 

Gwn opschrijven

 

Heel ouderwets misschien, maar ik onthou ze allemaal gewoon zelf. Heb verschillende wachtwoorden, bestaande uit combinaties van ongeveer 12 letters en cijfers, die 'niks' betekenen. Werkt prima vooralsnog.

 

gewoon onthouden. en meest vreemde tekens gebruiken.

 

Ik heb bij al m'n 40 wachtwoord accounts hetzelfde wachtwoord. Al 7 jaar. Ik ben helemaal klaar met wachtwoorden vergeten, niet bij de hand hebben, opnieuw instellen etc.
Dan maar een risico, maakt me niet uit.

 

<cite>> Dan maar een risico, maakt
> me niet uit.</cite>

Vroeger was het risico misschien alleen voor jou. Maar als je diensten zoals Gmail of Facebook gebruikt, en jouw account wordt misbruikt voor het versturen van "persoonlijke" berichten, dan vind ik dat jij ook een héél klein beetje schuldig bent aan eventuele gevolgen van dat risico...

 

1) soms moet je om de maand (bijv op je werk) je wachtwoord aanpassen. Tip: gebruik een vast wachtwoord en zet daarna kort maand/jaar. Stel je wachtwoord is: Dimwvmw ("Dit is mijn wachtwoord voor mijn werk"), dan wordt het in november: Dimwvmw-1110

2) Gebruik voor allerlei websites hetzelfde basiswachtwoord, aangevuld met (een afkorting van) de naam van de site. Stel je wachtwoord is: Hliomiow ("Hiermee log ik overal makkelijk in op websites"), dan wordt je wachtwoord bij Amazon: Hliomiow-amazon en bij Facebook: Hliomiow-fb

3)Verder gebruik ik SplashID om op PC en iPhone gesynchroniseerd wachtwoorden en van allerlei andere info (paspoortnummer, TAN-codes, etc etc) te bewaren, beveiligd met encryptie uiteraard.

 

Ai, Sander, wat een boel slechte tips!

<cite>> op je werk [..] vast wachtwoord
> en zet daarna kort maand/jaar.</cite>

Betere tip: vraag aan je baas waarom die regel bestaat. Als die regel daarna blijft bestaan (bijvoorbeeld omdat je baas niet wil dat er gegevens van klanten op straat komen te liggen), kies dan elke maand een goed nieuw wachtwoord, of zoek een andere baas.

<cite>> je wachtwoord bij Amazon: Hliomiow-amazon</cite>

Schijnveiligheid. Als iemand/iets je echte wachtwoord onderschept, hoe dom moet die persoon/software dan zijn om niet zelf even "amazon" te vervangen door iets anders?

(Op jouw manier: alleen als iemand een complete lijst met "<a href="http://nl.wikipedia.org/wiki/Hashfunctie">hashes</a>" van alle wachtwoorden weet te achterhalen, én dan ook nog jouw hash <a href="http://nl.wikipedia.org/wiki/Rainbow_table">kan terugleiden</a> naar een tekenreeks dat diezelfde hash oplevert, dan is die gevonden tekenreeks niet als wachtwoord te gebruiken op andere sites. Daarmee is het in theorie marginaal veiliger dan overal hetzelfde wachtwoord te gebruiken. Maar de schijnveiligheid is schadelijker.)

<cite>> paspoortnummer [..] met encryptie uiteraard</cite>

Amai. Jij denkt dat anderen met je paspoortnummer meer kwaad kunnen dan met je wachtwoorden?

 

Login: Sander
WW: Dimwvb

Dit is mijn wachtwoord voor Bright

Zoiets?

 

Gewoon een boekje met WW's, kan niet gehackt worden :P

 

Wat ik ook heel irritant vind, zijn diensten die elk jaar een nieuw wachtwoord willen. Bij sommige kan je dat oplossen door er een jaartal aan toe te voegen, maar er zijn er ook waarbij je niet teveel dezelfde tekens mag gebruiken.

 

1Password rocks. Zowel op Mac als op iPhone.

 

Toch wel jammer dat de auteur van het artikel niet weet waar hij het over heeft. Slecht staaltje journalistiek. Wie LastPass noemt als oplossing voor Windows heeft het niet begrepen of onvoldoende onderzoek gedaan. LastPass is juist een oplossing in de cloud die bruikbaar is voor een groot aantal browsers op Windows, Mac en Linux.

Dat is ook precies de reden dat ik het ben gaan gebruiken. 1Password is perfect als je een Mac hebt, met bijvoorbeeld een iPhone, maar wel duur. En als je op je werk met Windows ook je passwords wilt gebruiken (autofill) werkt dat niet. KeePass werkt daar wel goed, maar dat heeft weer geen autofill op de Mac. En je blijft bestandjes op USB stick of Dropbox heen en weer slepen.

Uiteindelijk ben ik nu overgestapt op LastPass. Zelf op premium (dat doe ik niet vaak, betalen voor een online dienst) voor de extra features.

 

<cite>> Wie LastPass noemt als oplossing
> voor Windows heeft het niet
> begrepen</cite>

Poe poe, het werkt toch prima op Windows? Het enige dat er misschien gek is, is dat LastPass niet <strong>ook</strong> genoemd wordt bij de voorbeelden voor de Mac. (Zoals KeePass wél door de auteur in beide rijtjes genoemd wordt.)

 
@breggol @arjan Dankjewel! Heb ik toegevoegd aan beide platformen nu.
 

1Password werkt sinds kort ook op Windows. Dus syncen vanaf je Mac via dropbox en gaan.
Is inderdaad wat prijzig, maar op zich een solide oplossing.

 

Ik gebruik altijd Keepass, want dat is er ook voor Android en ook nog voor m'n oude PPC met Windows Mobile 2003 SE. En open source, dus ik weet dat ik heel lang bij m'n wachtwoorden zal kunnen.

 

Wat voor systeem je ook gebruikt: handig om een (papieren?) lijstje te hebben met sites waar je een account hebt aangemaakt. Mocht je systeem dan op straat liggen, dan weet je in ieder geval waar je misschien je wachtwoord moet veranderen. (Hetzelfde lijstje kan handig zijn als je e-mailadres wijzigt.)

 

Zal ik ook even zo'n wachtwoord-onthoudt programmaatje maken? Leuk al die gegevens doorsluizen en verkopen...

 

Ik gebruik 3 wachtwoorden door elkaar, en die 3 hebben allemaal daaronder nog hoofdletter variaties

 

een wachtwoord dat je kan onthouden is zelden sterk genoeg voor geautomatiseerde hulpmiddelen. Creer je sterke passwords met een goed tool, schrijf het op en bewaar het in je portomonnee.

 

Dat is wel de allerslechtste tip die ik gelezen heb hier. Oki het begin begint nog goed.
Maar als je portemonnee verliest of gestolen is ben je niet alleen je geld enzo kwijt maar ook nog eens accounts .... top prutser :D.

 

Passpack bevalt prima

 

Ik gebruik gewoon keychain op de Mac. Werkt ook prima

 

Passpack (www.passpack.com) bevalt mij ook prima.
Lokale, tot 256-bits AES instelbare, encryptie van je wachtwoord verzameling, labels toe te kennen aan je verschillende accounts (bijv. Webshops, Webmail, Fora, etc.), indicator van wachtwoordsterkte (dus je hoeft niet meer naar de in het artikel gesuggereerde website), wachtwoordgenerator en nog veel meer handige features.
Er geldt inderdaad een limiet van 100 accounts tenzij je voor deze dienst geld over hebt.

 

Nog een hiaat in het verhaal: browsers en is-en hebben hier al jaren een oplossong voor. Op de mac sleutelhangertoegang bijvoorbeeld, en ook firefox beheert wachtwoorden. Liefst met een encrypted home directory, maar het is al een prima oplossong. Denk ook dat deze oplossingen beter worden gecontroleerd door hackers dan plugins en apps die maar 0.1-5% van de gebruikers bedienen.

 

Ik gebruik 1Password! Kost even wat maar is het zeker waard.

Heb al mijn belangrijke accounts ook nog met een master password beschermt :).

 

1password + dropbox, dus synced met meerdere computers.

 

1Password + Dropbox :D

 

Ik gebruik een lijstje in de notities van met GSM. Niet de volledige wachtwoorden, maar meer password-hints. Dus eigenlijk onthou ik de wachtwoorden (stuk of 15) en hou ik bij welke ik waar gebruik.

Heb keepass geprobeerd, maar nog niet echt mee gewerkt omdat het oude systeem in combi met firefox wel lekker werkt. Binnenkort ook een android phone, dus dan maar opnieuw kijken naar de passwds.

 

Ik heb KeePass lekker gratis en werkt perfect. Kan ook exporteren naar iPhone app.

 

Volgens my kan je soieso beter een wachtzin gebruiken dan een wachtwoord.

 

Ik vraag me alleen af wat ie daar mee doet. AES 128 bit betekent een key van 16 bytes, dus 16 letters. Wellicht dat door hashen door een langere key nog variatie ontstaat, maar dat gaat boven de pet.

 

Enne.. Gewoon al je passwords in 1 bestandje opgeslagen via Google docs is zeker uit den boze?? (wel handig altijd bij de hand te hebben en Google heeft beloofd er echt niks raars mee te doen toch?)