Veilig(er) het internet op

Submitted by michielf on Mon, 09/26/2011 - 21:29
Tagged:

Soms heb je van die dingen waarvan je weet dat je ze eigenlijk moet aanpassen, maar omdat je er ook niet direct last van hebt kom je er niet toe. Zo is het ook met de uit de hand gelopen berg gebruikersnamen en wachtwoorden voor websites en online diensten. In totaal heb ik er meer dan honderd.

Niet zo lang geleden heeft tweakers.net de hashfunctie van de wachtwoorden van hun gebruikers aangepast. Als experiment heeft Tweakers een brute force attack uitgevoerd op de oude opgeslagen wachtwoorden. Daaruit bleek dat de helft van de ruim 330.000 gebruikers een zwak wachtwoord te hebben. Tweakers was zo vriendelijk de wachtwoorden te wissen, maar de gebruikers wel te wijzen op het risico dat ze liepen met hun zwakke wachtwoord.
Eén van deze gebruikers was ik! Bovendien gebruik(te) ik dit wachtwoord op nog zeker tien andere sites. Dit was voor mij net het duwtje in de rug om de zaken anders aan te pakken. Omdat je er niet op kunt vertrouwen dat de beheerders van de website waar je je gegevens achterlaat er veilig genoeg mee om gaan, is het zaak de schade te beperken wanneer hackers er met de klantendatabase vandoor gaan. Zelf al zijn de wachtwoorden gehashed, biedt dat geen garantie.

Hieronder volgen een aantal criteria waaraan een veilige identiteit online aan moet voldoen:

  • Gebruik veilige wachtwoorden. Een veilig wachtwoord is lang genoeg (vroeger was dit minstens 8 karakters , maar tegenwoordig is 12-14 de norm)
  • Een veilig wachtwoord moet niet in een woordenlijst voorkomen. Ga er ook vanuit dat kwaadwillenden het schema e = 3, a = @, etc. ook kennen.
  • Een veilig wachtwoord bestaat uit een combinatie van kleine letters, hoofdletters, cijfers en symbolen. De meeste mensen kiezen ervoor om met de hoofdletter te beginnen en met een cijfer te eindigen. Dat helpt dus niet. W@chtw00rd1 is dus not the way to go.
  • Gebruik voor elk account een ander wachtwoord. Wordt één account gekraakt dan blijft de schade beperkt

Nu dringt de vraag zich op: hoe onthoud ik al deze wachtwoorden. Er zijn technieken die helpen om wachtwoorden te kiezen die én veilig zijn én makkelijk te onthouden, maar tegen honderd wachtwoorden is geen kruid opgewassen. De oplossing hiervoor is het gebruik van een wachtwoordkluis, een programma die veilige wachtwoorden versleuteld opslaat en je helpt met het gebruiken en beheren. Op deze manier hoef je nog maar één veilig wachtwoord te onthouden: het hoofdwachtwoord voor de wachtwoordkluis.

Mijn lijstje eisen voor een bruikbare wachtwoordkluis waren:

  • Beschikbaar voor Linux en Microsoft Windows
  • Beschikbaar voor de grote mobiele platformen (Apple iPhone, Android en BlackBerry)
  • Plugins voor Firefox, Chrome en Internet Explorer
  • Synchronisatie tussen verschillende apparaten
  • Als synchronisatie in the cloud plaatsvindt, dan moet de ontsleuteling van de wachtwoorden niet bij een derde partij mogelijk zijn
  • Nice to have: Twee factor authenticatie

Twee kandidaten die aan de meeste van deze eisen voldoen zijn Keepass en LastPass. Omdat de ondersteuning van Keepass voor Android een stuk minder ver ontwikkeld is dan bij LastPass, heb ik gekozen voor de laatste. De Android ondersteuning is overigens onderdeel van de Premium editie, die je $12 per jaar kost.

LastPass screenshot
Eén van de meer geavanceerde opties binnen LastPass Premium is de mogelijkheid gebruik te maken van de twee factor authenticatie oplossing van Yubico: de YubiKey. Deze USB key werkt als USB toetsenbord, heeft daarom geen drivers nodig en werkt op vrijwel elk apparaat met een USB ingang (sorry, iPad liefhebbers...). Bovendien heeft het geen batterijen nodig, geen display die kapot kan gaan en geen codes die je moet overtypen (sorry, ABNAMRO et. al.). Het werkt op basis van eenmalige wachtwoorden, die online worden geverifieerd.

Het algoritme van Yubico is openbaar en voor de liefhebber kan zijn eigen authenticatie server inrichten. Helaas werkt LastPass alleen samen met de servers van Yubico zelf, dus dat zit er nog even niet in.

YubiKey

Met dank aan tweakers.net voor het leveren van de motivatie voor deze stap naar een veilig leven online!