Omdat er de laatste tijd het een en ander te doen is over gehackte passwords maar eens wat aandacht besteed aan mijn eigen password policy. Een besluit dat overigens ook ontstond gaande de twee cursussen die ik dit jaar gevolgd heb bij mijn vakbond, de NVJ.De eerste over hoe je hele digitale communicatie te beveiligen, de tweede over het dichttimmeren van je machines. Beide cursussen werden gegeven door Joran Polak van Certified Secure.
Niet helemaal van Lotje getikt heb ik aan passwords altijd al de nodige aandacht besteed, maar ik heb een hoop bijgeleerd. Uiteraard heb ik op de Macs de firewall draaien, iVirus en MacScan, en Little Snitch. Mijn passwords zijn lang, niet voor de hand liggend, en de belangrijke verander ik regelmatig. Maar het kan altijd nog veel beter.
Eerst iets over de passwords zelf:
Hier geldt: hoe langer, hoe beter, in dit geval. Het maakt daarbij helemaal niets uit of je er wel of geen vreemde karakters in verwerkt. Voor een computer maakt het niet uit of er een letter, een hoofdletter, een cijfer of een vreemd karakter staat. Een password als
#,wuw?846P6Mz4v[8PZDq{Ua.:eUc#2RGTrMZ8E:t^
ziet er indrukwekkend velig uit, maar het is niet meer of minder veilig dan
1234567890abcdefghijklmnopqrstuvwxyz123456789
Ze zijn namelijk allebei vijftig karakters lang, dus een brute force attack, waarbij een computer probeert alle mogelijke wachtwoorden te genereren, duurt net zo lang.
Het verschil is dat het eerste wachtwoord niet te onthouden is, en het tweede wel.
Deze is ook vijftig karakters:
dekatkrabtdekrullenvandetrapendetafeldatmagniet!
en ook die kent u zo uit uw hoofd. Ik zou de krullen krabbende kat of variaties daardop overigens veiliger achten dan die met 123 enzovoort, omdat die wellicht snel zou sneuvelen als er inplaats van een brute force een database met veel gebruikte passwords op los gelaten wordt.
De kat krabt de krullen is een voorbeeld van een passphrase, aangeraden door Joran. Neem gewoon een zin die u gemakkelijk kan onthouden, maar die verder niemand te binnen schiet. Niet alle applicaties en/of websites staan spaties toe in een password. In veel gevallen zal ook de lengte beperkt zijn, terwijl anderen u weer dwingen om een of meer cijfers, hoofdletters of bepaalde karakters te gebruiken. Hoe dan ook, u snapt inmiddels waar het om gaat, dus u zoekt de grenzen binnen de beperkingen.
Maar ja, intikken van lange en moeilijke passwords is ook zoiets, en het is niet aan te raden om ze door je browser te laten bewaren en automatisch in te laten vullen. Op je Mac kan je ze weliswaar via Safari in je KeyChain op laten slaan, maar ik zit toch ook nog vaak voor de XP Dell van mijn baas.
Maar eens naar een extensie voor Google Chrome gezocht, mijn favoriete browser op álle machines, Mac dan wel Windows. Extensie LastPass gevonden, en geïnstalleerd. Werkte gemakkelijk, logins synchroniseren naar de andere machines, klaar. Ik weet dat je logins en passwords beter niet op de cloud kan bewaren, toch gedaan.
De duvel speelde mee: twee dagen later werd er ingebroken op de database van LastPass. Als de wiedeweerga mijn account opgezegd en meteen alle passwords veranderd. Wegwezen!
Nu gebruik ik 1Password. Dat is een lokale kluis, die ik op vier verschillende machines heb geïnstalleerd. Je kan je gegevens via DropBox synchroniseren, maar DropBox, dat is cloud en via cloud synchroniseer na die bijna-dood-ervaring bij LastPass ik geen accounts meer. Ook al omdat – de duvel speelde kennelijk nog steeds mee – in dezelfde week dat er problemen met LastPass waren, DropBox ook al negatief in het nieuws kwam. Daarover hieronder meer.
Dus ik syncroniseer die vier kluizen via een usb stick – een beveiligde 🙂
1Password geeft me wel een veilig gevoel. Je kan via de applicatie zelf usernames en passwords in laten vullen, maar er is ook een extensie voor Chrome. Deze opent alleen de kluis zelf via je master password en hoeft nooit naar de cloud.
Voors en tegens qua security?
Lees hieronder maar wat een woordvoerder van AgileBits (1Password) en Joran Polak van Certfied Securities er van vinden.
Intussen blijf ik 1Password gebruiken.
++++++++++++++++++++++++
Beste Joran,
Wat is jouw mening over de applicatie 1Password van Agilebits: http://agilebits.com/onepassword ?
Ik ga er een post over publiceren op de techblog van de krant en op DutchCowboys.
Vorige week 1Password geïnstalleerd op mijn twee Macs thuis, op mijn MacBook en op de XP Dell op de krant.
Dat nadat ik enkele weken eerder was beginnen te experimenteren met de LastPass extension op Google Chrome.
Die staat hier:
https://chrome.google.com/webstore/detail/hdokiejnpimakedhajhdlcegeplioahd?hl=en-US
Kort: http://goo.gl/TEXey
Hij is er ook voor Firefox dacht ik.
LastPass werkte prima, maar ik heb hem verwijderd nadat er begin deze maand problemen waren met hackers.
Bottom-line in veel discussies, die naar aanleiding van die intrusion ontstonden, en die jij waarschijnlijk zal onderschrijven: nooit passwords op de cloud opslaan!
1Password geeft mee een veiliger gevoel, en het werkt ook gemakkelijk met een Chrome Extension.
+++++++++++++++++++++++++
Beste Leon,
Een lokale password manager heeft altijd de voorkeur boven een wachtwoordmanager in de cloud. De recente aanval op Lastpass is daar een goed voorbeeld van. Zo’n verzameling wachtwoorden is zeer interessant voor aanvallers, omdat de buit veel groter is dan bij een aanval op een individuele gebruiker.
Ook gebruikers van lokale wachtwoordmanagers moeten echter opletten. Wie heeft de software ontwikkeld? Is het programma open of gesloten source? Is het wel eens onderzocht, zijn er beveiligingslekken in gevonden? En natuurlijk niet te vergeten hoe de ingevoerde gegevens beveiligd worden (wat voor encryptie).
In de ideale situatie is het beter om geen wachtwoorden op de computer op te slaan, maar bijvoorbeeld op een papier in een kluis of beveiligde locatie in huis te bewaren.
Als je verder nog vragen hebt hoor ik het graag!
— Met vriendelijke groet,
Joran Polak Security Analyst
++++++++++++++++++++++++++++
Een woordvoerder van 1Password:
1Password gebruikt Dropbox als cloud. Omdat Dropbox geen password-specifieke cloud service is (in tegenstelling tot LastPass), is deze dus minder aantrekkelijk om aan te vallen. De kans dat een hacker in een Dropbox account passwords zal aantreffen is immers een stuk kleiner dan LastPass.
Maar zelfs als een hacker wel toegang tot de 1Password database zou verkrijgen, dan is er nog steeds niets aan de hand. De 1Password database is AES-encrypted. Indien je beschikt over alle computers op aarde (lees: indien je alle rekenkracht op aarde tot je beschikking hebt), dan duurt het ongeveer 149 triljoen jaar (meer dan duizend biljoen jaar) om een AES sleutel te kraken. Dit duurt dus langer dan het bestaan van ons universum.
Om die reden gebruikt de Amerikaanse overheid AES. Als het goed genoeg is voor NASA en US defense, dan is het ook goed genoeg voor jouw passwords. Om die reden geef ik mijn 1Password database zonder problemen in handen van anderen (inclusief Dropbox). Zonder master password is een 1Password database in feite niet te ontsleutelen chaos.
Hier meer info over AES: http://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Op onze blog wordt regelmatig info gegeven over security: http://blog.agile.ws
Daarnaast hebben wij ook de volgende help:
* how secure is 1Password? http://help.agile.ws/1Password3/security.html * 1Password keychain design: http://help.agile.ws/1Password3/agile_keychain_design.html
Papier in een kluis of beveiligde lokatie is helaas onveiliger dan AES 😉
+++++++++++++++++++++++++++++++++++++
Joran: Dropbox ligt toevallig onder vuur vanwege beloofde veiligheid: http://www.wired.com/threatlevel/2011/05/dropbox-ftc.
Daarnaast is de sterke van de encryptie afhankelijk van de gebruikte sleutel. Verder heb je op je eigen systeem meer controle/zicht over en op de veiligheid van gegevens dan als je het uitbesteedt.