woensdag 27 augustus 2014

Life Hack: slimmer wachtwoordbeheer

Leven online brengt risico's met zich mee. Wachtwoorden zijn even onmisbaar als een slot op de deur van je woning. Tien jaar geleden kon je nog toe met een paar makkelijk te onthouden 'veilige' wachtwoorden voor belangrijke zaken als bank en mail, met daarnaast één redelijk sterk wachtwoord voor al die andere, minder gewichtige sites. Tegenwoordig is dat ongeveer net zo veilig als je huissleutel onder de bloempot naast de voordeur.

Om de haverklap worden er inloggegevens geroofd. Als dat weer eens gebeurt en je valt onder de slachtoffers, dan moet je onmiddellijk je wachtwoord bij de getroffen organisatie wijzigen. En bij alle andere sites waar je inlogt met die naam en dat wachtwoord. En daar zal weeklagen zijn, en tandengeknars. (Mattheus 8:12).

De oplossing voor dit probleem is een goede password-manager. Loket Diversen koos enige tijd geleden voor Keepass in combinatie met Mega en we hebben daar geen spijt van, integendeel. Pas onlangs ontdekten we een een paar slimme features in Keepass die het leven écht een stuk makkelijker maken.

In het dagelijkse leven online moet je door heel veel verschillende digitale deuren, en moet je dus evenveel verschillende digitale sleutels aan je bos. Zou het dan niet handig zijn als je, en jij alleen, met één tovertoets, automagisch, zonder gezoek, met de juiste sleutel de deur voor je neus kon openen? Dat kan. In dit stuk leggen we uit hoe. Nu eerst in het kort nog even waarom wij kozen voor Mega en Keepass.

Waarom Mega?

Mega levert onkraakbaar versleutelde opslagruimte in de cloud, en houdt een lokale (niet-versleutelde) kopie van die opslagruimte up-to-date op al je apparaten waar je Mega op hebt geïnstalleerd.

  • Je kunt bij je opslagruimte in de cloud vanaf verschillende apparaten (Mac, Windows, Linux, Android..)
  • je kunt óók bij je wachtwoorden als je geen internet-toegang hebt, want je hebt die lokale kopie. Daarmee is deze aanpak ook geschikt voor wachtwoorden op andere dingen dan websites, zoals software op je harddisk of elders offline, voor pincodes van credit cards, je TV, en voor wachtwoorden die je krijgt toegewezen, zoals vaak bij telewerk-dingen als Citrix of Remote Desktop.
  • Mega kan niet zien wat jij opslaat. Een hacker die bij Mega inbreekt, ook niet. Je privacy-gevoelige informatie is er veilig.

Daarom Mega en niet Dropbox of enige andere 'dienst' die bestaat van het verkopen van informatie over jouw gegevens ('metadata') aan adverteerders en andere verdachten.

Waarom Keepass?

Keepass is een compacte database waar je wachtwoorden en notities (alweer) versleuteld in opslaat. Zonder Keepass en je wachtwoord zijn de gegevens in die database niet te achterhalen. Dit is wat je ermee doet:

  • Sterke passwords genereren en opslaan.
    Die hoef je dus niet zelf te bedenken en ook niet zelf te onthouden. Dat scheelt!
  • Inloggen zonder te hoeven tikken of copy-pasten. Dat kan op twee manieren: makkelijk en nog makkelijker. We doen dit straks uit de doeken.
  • Die automatische invoer kun je versluierd laten doen. Keepass maakt dan willekeurige tikfouten, en herstelt die.
    Wat is daar de lol van? Je kunt een keylogger oplopen. Die registreert welke toetsen je aanslaat op je toetsenbord. Hij ziet dat je dikwijls steeds dezelfde toetsen achter elkaar indrukt. Zo steelt hij je username+password.

Om die redenen Keepass en niet Lastpass of aanverwante web-only diensten. Lastpass is een wachtwoordenservice puur in de cloud en dus een verleidelijk doelwit voor hackers. Jammer, niet veilig.

Aan de slag

1: Mega en Keepass installeren.

Een kind kan de was doen:

  1. Meld je aan bij Mega en downloadt en installeer de Sync Client (Menu rechtsboven -> Apps -> Sync Client.
    Dat kost een minuut of tien, maar het wijst zichzelf. Je lokale Mega-mapje komt standaard in Mijn Documenten.
  2. Download en installeer Keepass. Let op, er zijn meerdere versies. De stappen in dit artikel gaan over de Professional Edition, de groene download-knop rechtsboven.
    Maak een nieuwe database, sla die op in je Mega-mapje en zet er een sterk master-wachtwoord op. Niet het wachtwoord waarmee je op je apparaat inlogt.
  3. Zet je wachtwoorden en loginnamen in je Keepass-database.
    Keepass heeft een import-functie voor veel concurrerende wachtwoord-databases. Heb je je logins+wachtwoorden in een Excelsheet of iets dergelijks, dan kun je de overgang naar Keepass geleidelijk maken.
  4. Tip! Het is handig als je Keepass onder een sneltoets hebt. Zoek het icoontje op (op alfabet bovenin Alle Programma's), geef rechtermuisklik op het icoontje en kies Eigenschappen. Klik in het veld Sneltoets en geef rechter-Alt en K. Je ziet nu CTRL+ALT+K in dat vakje. Prima! Klik OK.

2: Vier Essentiële Wachtwoorden.

De computer doet niet alles voor je. Het geheugen in je hersenpan is nog steeds wel nodig. Stel dat alles waarmee je internet in vlammen opgaat. Welke wachtwoorden moet je dan uit je hoofd weten om je normale leven online zo snel mogelijk te kunnen hervatten?

  1. Je wachtwoord voor Mega.
  2. Je wachtwoord voor je Keepass-database.
  3. Het wachtwoord voor je belangrijkste bank.
    Je moet namelijk een nieuwe laptop, tablet of smartfoon, en daar als de hazen Mega en Keepass op installeren. Daarna kun je weer overal naar binnen.
  4. Het wachtwoord voor online-mail. Waarschijnlijk wil je mensen laten weten dat je niet normaal bereikbaar bent, nog voordat die nieuwe laptop binnen is. Dat kun je dan doen vanaf een computer in de bieb.

Tip: a en d kunnen hetzelfde zijn. Hoef je maar drie wachtwoorden uit je hoofd te weten.

3: Wachtwoordgenerator.

Zoals gezegd is het praktisch noodzakelijk om voor elke site een ander password te hebben. Dat kost nauwelijks extra werk, je bouwt die verzameling geleidelijk op terwijl je in één moeite door je oude onveilige systeem afbouwt. Telkens als je op een site komt, maak je een fiche ('Entry') in de Keepass-kaartenbak, laat je een nieuw wachtwoord genereren, stel je dat in op die site en sla je dat fiche op in Keepass.

De wachtwoordengenerator hoef je maar één keer in te stellen. Dat gaat zo:

  1. Maak een nieuw fiche in Keepass, voer de naam van de site en je login naam in.
  2. klik op het knopje rechts naast Repeat en kies Open Password Generator
  3. Dan krijg je een windowtje zoals hieronder. Vink de vakjes aan zoals aangegeven.
    Om onduidelijke redenen worden koppelstreepje (-) en onderstreep (_) vaak niet geslikt. Daarom staan die uitgevinkt. Naast hoofd- en kleine letters en cijfers (1), is vooral belangrijk dat je speciale tekens (2) aanvinkt. Dan kan je wachtwoord kort blijven - zeg 10 karakters - terwijl het toch veilig is.
  4. Klik het icoontje bij (3) om deze instellingen te bewaren onder een menu-item. Je komt hier vaak terug, daarom is het handig als je instelling bovenin het keuzelijstje komt te staan. Daarom begint het met een 0 (nul). Sla op.
  5. Klik de button met de drie stippen, dan zie je je nieuw gegenereerde password. Als de veiligheidsmeter in het groen staat (zie de pijl), heb je een veilig password. Klik in het vakje met je nieuwe password en geef Control+A en Control+C. Ga met Alt-Tab naar de site waar je een nieuw wachtwoord voor wilde hebben, en voer twee keer dat wachtwoord in het juiste veld met Control+V en sla dat daar op.
  6. Het veld URL is voor de URL naar het login-scherm van de site voor dit fiche. Dit is niet noodzakelijk, maar wel handig: vanuit het lijstscherm van Keepass gan je met een klik op die URL naar dat login-scherm. Dat is soms sneller dan googelen of zoeken in bookmarks.
  7. Sluit nu dit fiche met OK, en sla je wijzigingen op in Keepass. Je ziet vanzelf hoe.

Op deze manier bouw je geleidelijk aan je collectie unieke wachtwoorden op. En die hoef je niet te onthouden, dat doet Keepass voor je.

4: Sneltoets

Ergens inloggen kan als volgt: klik op de site in het veld voor gebruikersnaam, haal Keepass naar voren (met rechter-Alt K), zoek die site op, klik op de regel voor die site en geef Control-V. Dan springt Keepass naar de inlogpagina en voert gebruikersnaam en wachtwoord uit het desbetreffende fiche voor je in. Klaar! Dit is al makkelijk, maar het kan nóg makkelijker.

5: Tovertoets

Dit stel je in voor sites waar je vaak moet wezen.

  1. Ga naar het inlogscherm van zo'n site (je bank?) en haal het Edit Entry scherm van Keepass naar voren zoals in stap V hierboven. In het lijstscherm van Keepass klik je op het fiche en geef je vervolgens Enter.
  2. Kies tabblad Auto-type. Enable Auto-type moet hier aangevinkt staan. Klik op Add.
  3. Dan krijg je Edit Auto-Type item. Trek de droplijst van Target Window open en kies de site die voorstaat in je browser. (klik op het plaatje om in te zoomen).

    In dit voorbeeld kiezen we Vimeo. Bevestig met OK.
    Onderin dit tabje kun je 'Two-channel auto-type obfuscation' aanvinken. Hiermee misleid je keyloggers. Niet elke site slikt dit, maar de meeste banken bijvoorbeeld wel.
    Stap ii en iii doe je voor elke site waar je vaak moet inloggen.
    De volgende instellingen zijn ook nodig, maar hoef je maar één keer te doen.
  4. In het hoofdscherm van Keepass klik je Tools en dan Options.
  5. Kies het tabblad Advanced en vink 'Start minimized and locked' aan.
  6. Kies het tabblad Integration en ga na dat de instelling zijn zoals aangegeven:

    Global Auto Type op Ctrl, Alt + A
    Show Keepass Window op Ctrl, Alt + K
    Goede raad: Wen jezelf eraan dat Ctrl, Alt hetzelfde is als rechter-Alt!
    Vink 'Run Keepass at Windows startup' AAN.
    Bevestig met OK, sla alles op en minimise Keepass. Wen jezelf eraan dat je Keepass minimise't en niet afsluit.

Sluit af wat je open had en start opnieuw op. Ga je naar een site waarvoor je stap i en ii hierboven hebt uitgevoerd en geef rechter-Alt+A. Dan komt het inlogscherm van Keepass. Geef je Keepass-wachtwoord. Dat hoef je maar één keer te doen, totdat je je machine herstart. Zie nu het wonder: Keepass logt je automatisch in. Ga naar een andere site, ook weer waarvoor je die stappen hebt uitgevoerd en geef weer rechter-Alt-A. Sesam, open u!

Is dat handig of niet? Wij vinden van wel.

Nog één ding. Op veel sites kun je aanvinken dat-ie je gebruikersnaam onthoudt. Zet dat uit. Waarom: Keepass voert met deze tovertoets altijd zowel je login-naam als je wachtwoord in. Als je dat vinkje aan laat, gaat dat mis. Zet dus dat vinkje overal uit.

Waar is het lek?

Als je wachtwoord voor Keepass én je laptop (of tablet of smartphone et cetera) in verkeerde handen vallen, dan ben je gesjochten. Dus dat moet je zien te voorkomen. Onderstaande maatregelen vinden wij normaal, en bieden redelijke bescherming. Volledige bescherming bestaat niet, of je moet het leven online afzweren.

  • Een geheim dat je deelt is geen geheim meer.
  • Let op wat je downloadt. BitTorrent is een notoire bron van allerlei shit waar je spijt van krijgt.
  • Zorg dat je een virusscanner hebt die up-to-date is.
    Loket Diversen gebruikt Microsoft Security Essentials, dat kun je gratis krijgen bij Windows en het is geen aandachtjunkie zoals Norton of MacAfee.
  • Werk zoveel mogelijk achter een firewall.
  • Zorg dat je enigszins op de hoogte blijft van Shit Online. Loket Diversen volgt daartoe Webwereld.
  • Veel smartfoners verbinden automatisch met elke willekeurige Wifi of Bluetooth waar ze langskomen. Dat is net zoiets als neuken zonder condoom in AIDS-land.
  • Verander je Keepass-wachtwoord regelmatig. Als je vaak buiten de deur moet internetten, eens per maand.
    Mensen doen dit niet, uit zorgeloosheid of gemakzucht. Dit is de zwakste schakel in de keten.
    Vandaar dat we hierboven kozen voor sterke wachtwoorden van maximaal 10 karakters: Dat is nog te onthouden. Zelf een wachtwoord verzinnen mag ook.

Verantwoording

Loket Diversen gebruikt Mega en Keepass, maar heeft verder geen enkele verbintenis met deze bedrijven.
Dit artikel is vrij te gebruiken onder een Creative Commons licentie: Naamsvermelding, Niet-Commercieel, Gelijk delen (CC BY-NC-SA 3.0).
Afbeelding: Key by Mike, onder Creative Commons BY-NC licentie.

1 opmerking:

Gerda Jekel zei

Gelukt! En het werkt ook nog :-)

Mogelijk gemaakt door Blogger.