vrijdag 17 februari 2012

Test! Online password-kluizen

Wachtwoorden zijn stom, maar onvermijdelijk. Nadat ik weer eens een uurtje had verkloot met het zoeken naar een password dat ik vrijwel nooit nodig heb, was ik het zat. Dit moest beter kunnen.
Dus ik gooide het in de groep. Het onderwerp leeft, zo bleek. Op mijn tweet

Iemand ervaringen met een goede online passwoorden-kluis? #durftevragen

kwam reactie van @antoniamo, @kopstukken, @kophieps, @Grismar via @timmietovenaar en @JustineP via @CarlaMondig. Waarvoor bij deze hartelijk dank (en wat is Twitter toch een fijn medium voor dit soort dingen). Dit zijn de antwoorden:

  1. Dropbox
  2. Mega
  3. KeePass in combinatie met Dropbox Mega
  4. Password Maker
  5. Lastpass

Dropbox

Dropbox was een goed concept, maar inmiddels is Mega (zie hieronder) een beter alternatief. Het basisidee van beide is hetzelfde, dus dat leggen we even uit.

Dropbox? Mega? Cloud sharing voor beginners

Dropbox en Mega bieden een doos in de cloud waar je (u raad het al) dingen in kunt doen. Vanaf elke machine waarop je Dropbox (en/of Mega) installeert kun je bij jouw doos. "Elke machine" kan zijn een pc, een smartfoon, of een tablet; zo'n beetje elk soort, merk en type wordt ondersteund (Windows/Linux/Mac, Android/iPad/iPhone/Blackberry). Op al die machines maakt Dropbox een lokale kopie van je doos, of desgewenst een gedeelte daarvan. Zo blijft alles up-to-date.
Gratis Dropbox heeft 2 GB ruimte. Voor tekst is dat ruim zat, maar met foto's gaat het veel harder en voor video's wordt het al snel wat krapjes. Je kunt ruimte bijkopen, 50 GB voor US$ 10 per maand.

Het handige is dat je bestanden en mappen met mensen kunt delen. Informatie in Dropbox en in Mega is onkraakbaar versleuteld. Buitenstaanders die het wachtwoord van jouw mapje(s) niet niet hebben, kunnen er niets mee.

Update 3 maart 2014 Dropbox zelf kan wél jouw digitale eigendommen inzien, en doet dat ook. Dropbox analyseert de gegevens die mensen in hun dropbox bewaren, en verkoopt die analyses. Dus kijk uit wat je online zet. (Ook gij, Brutus).

Voor alle zogenaamd gratis internetdiensten betaal je met de registratie van jouw gedrag. Dat gedrag is interessant voor allerlei instellingen en bedrijven, want het maakt jou, en anderen zoals jij, beter manipuleerbaar. Wil je dat? Merk je dat? Waarschijnlijk allebei niet. Dus je kunt maar beter terughoudend zijn.

Kort geleden heeft Dropbox zijn leveringsvoorwaarden gewijzigd. Ben je het niet eens bent met wat Dropbox met jouw gegevens en bestanden doet, dan kun je niet meer naar de rechter, maar moet je jouw zaak aanhangig maken bij een Amerikaans arbitrage-instituut. Is dat ooit nodig? Geen idee. Maar dat Dropbox bij voorbaat al de weg naar de rechter afsluit, lijkt me geen vooruitgang.

Een ander nadeel van Dropbox is dat je niet automatisch na verloop van tijd wordt uitlogt, zoals dat bijvoorbeeld bij Google en Twitter gebeurt. Als je daar niet inlogt valt de boel automatisch na een week in het slot. In Dropbox blijf je ingelogd, tenzij je handmatig uitlogt. Een normaal mens denkt daar niet aan, wordt er laks mee. Stel nu dat je laptop of je smartfoon wordt gepikt. Ga ervan uit dat de dief hem kraakt - dat is vaak eenvoudiger dan het lijkt. De dief kan dan overal bij, dus ook bij de digitale diamanten in je dropbox. Dat risico is aanwezig.

Enige tijd geleden had Dropbox problemen met hun servers, en konden mensen een paar dagen niet bij hun gegevens. Dit hoort bij de risico's van online leven.

Mega

Mega werkt net zoals Dropbox, maar met twee belangrijke verschillen.

  1. De gratis versie van Mega biedt 50 GB, dus 10 keer zoveel als 'gratis' Dropbox.
  2. Je privacy is veel beter gewaarborgd. Mega kan niet zien wat je in je Megabox bewaart. De versleuteling gebeurt aan de ontvangst-kant. Als jij jouw mega-box bekijkt, decodeert jouw computer de gegevens. Wat je opslaat wordt gecodeerd opgeslagen. Mega kán je gegevens niet zien.

Mega verdient puur aan de verkoop van veilig versleutelde ruimte in de cloud. Veel ervaring met Mega heb ik nog niet, maar wetenswaardigheden zullen we melden.

KeePass in combinatie met Dropbox Mega

KeePass is gratis software, die je passwords onkraakbaar versleuteld opbergt. Je hoeft maar één password te onthouden om overal bij te kunnen. De truc is natuurlijk dat je KeePass in je Dropbox Megabox bewaart. Het password van je machine moet uiteraard niet hetzelfde zijn als dat van KeePass, maar dan heb je een makkelijke, veilige kluis voor alle mogelijke wachtwoorden.

update 10 april 2014 Heel erg handig van Keepass is dat het veilige passwords voor je kan genereren, met 1 muisklik. Die sla je gewoon op, zonder te weten wat ze zijn. Je staat bij een login scherm, je doet Alt-Tab naar Keepass, je selecteert het fiche voor die site in Keepass, en je doet Control+v om in te loggen.

Keepass kan ook je toetsaanslagen versleutelen. Waarom is dat handig? Stel, je hebt een virus opgelopen dat je toetsaanslagen registreert en naar een hacker stuurt (een zgn. keylogger). Die informatie bevat jouw wachtwoorden - daarom doen die hackers dat. Keepass versleutelt toetsaanslagen door steeds andere typfouten eerst te maken en dan te herstellen. De tekens die Keepass voor je invoert zijn daardoor telkens anders en dus veel moeilijker te herkennen.

En nog iets: op dit moment is HeartBleed in het nieuws. Er weer eens een lek in de beveiliging van internet ontdekt, en jawel, u mag weer al uw passwords gaan wijzigen om hackers buiten de deur te houden. Met Keepass is dat veel minder werk! En het zal heus nog wel een keer voorkomen.

Password Maker

Password Maker is een browser-extensie. Je geeft hem één master password, hij genereert een sleutel aan de hand van je master password én de URL van de site waar in wilt. Voor elke site waar je al een password voor hebt moet je dus éénmalig je wachtwoord wijzigen. Daarna logt PM je in met twee muiskliks. Die sleutel maakt-ie steeds "on the fly", dus er wordt niets opgeslagen. Dat lijkt 'extra veilig', maar er kleven ook wat nadelen aan.

(1) Verandert de URL van die site, dan moet je je password wijzigen. (2) Is een site kieskeurig met de toegestane karakters in je password, dan moet je dat apart opgeven. (3) Je kunt er alleen passwords voor het worldwide web in kwijt. Voor veel mensen zal dat geen probleem zijn, maar internet is meer dan het web en voor FTP, IRC, Usenet en RDP en heb je er niets aan. Voor passwords die je toegewezen krijgt (zoals meestal met RDP-verbindingen) al evenmin.

Password Maker is gratis. Er is een versie voor Firefox en Chrome, maar niet voor Internet Explorer.

LastPass

LastPass, ook een browser-extensie, is een on-line kluis waar je wachtwoorden en andere gegevens versleuteld in kunt opslaan. Je kunt nieuwe wachtwoorden laten genereren, bestaande voer je éénmalig in. Die worden dan onthouden in combinatie met de URL van de site waar je ze voor nodig hebt. Een volgende keer log je dan in met één muisklik. Lastpass oogt zeer compleet. Het is adware, d.w.z. in de gratis versie zie je advertenties. Wil je synchroniseren met een smartfoon, dan betaal je een dollar per maand. En dan verdwijnen ook de advertenties.

En de winnaar is..

..Keepass in combinatie met Mega. Ik blijf ook Dropbox gebruiken, want bepaalde informatie van mij mag Dropbox best zien. Ik raad u aan om te kiezen wat het beste bij u past.

Update 27 augustus 2014 Lees meer over slimme instellingen in Keepass, om veilig en toch vrijwel moeiteloos je wachtwoorden te beheren en in te voeren.

3 opmerkingen:

Anoniem zei

als ik kies voor uitloggen, en eenmaal gedaan heb.
en kies ik vervolgens via de icoon rechts onder in de balk de keuze ga naar dro[box website, kom ik vooralsnog weer in mijn account.
dus ingelogd en wel.
is niet oke toch?

Rolf Blijleven zei

Waarom niet?

Jouw inlog-gegevens zijn ergens bewaard op je pc. Dat icoontje leest jouw inlog-gegevens en brengt je meteen naar jouw persoonlijke dropbox.com\hom.

Dus niet naar dropbox.com

Lijkt mij OK. Anders zou je elke keer met de hand moeten inloggen.

Rolf Blijleven zei

http://webwereld.nl/nieuws/106319/data-uitwisseldienst-dropbox-is-lek.html

Mogelijk gemaakt door Blogger.