Forum Weblog Zoek Actieve Items Nieuws Columns Reviews Previews Specials Archief

KeePass blijkt kwetsbaar

PoeHao

Om je wachtwoorden goed te beschermen is een wachtwoordprogrammaatje onontbeerlijk. Een van de populairste is het gratis opensourceprogramma KeePass. Dit programma verzint en versleutelt je wachtwoorden. Je hoeft alleen maar één hoofdwachtwoord te onthouden om de versleuteling op te heffen. Ook kun je eventueel werken vanuit de cloud en zo toch altijd je wachtwoorden bij je hebben.

Helaas hebben hackers malware ontwikkeld om je hoofdwachtwoord te achterhalen. De trojan wordt Citadel genoemd en richt zich op KeePass, Password Safe en neXus Personal Security Client. Citadel trojan is al jaren in omloop, maar is recent aangepast om de wachtwoorden te achterhalen. Het gebruik van een degelijk anti-malware programma naast je antivirus is altijd verstandig.

KeePass

Help ons; deel dit item als je het leuk vond

Gamenieuwtje gevonden? Tip ons dan via de submit!

Schrijf je graag over games of e-sports? Join the gamescrew!

40 reacties

maandag 24 november 2014, 08:45 uur #1

ludicrous_monk

Met de grappige habijt

Zo'n tooltje is natuurlijk inherent gevaarlijker dan gewoon zelf al je passwords onthouden. Laatste is misschien wel moeilijker, maar ook veel veiliger.

"The only real valuable thing is intuition. The intellect has little to do on the road to discovery."

maandag 24 november 2014, 08:49 uur #2

witvierkantje

Ik gebruik Lastpass, nergens las tavn. Maar ja, ik denk dan ook niet dat als ik op een link klik, of een exebestand in m'n mail open,dat ik een Iphone kado krijg.

maandag 24 november 2014, 08:51 uur #3

ADQ

quote:
Op maandag 24 november 2014 @ 08:45 schreef ludicrous_monk het volgende:
Zo'n tooltje is natuurlijk inherent gevaarlijker dan gewoon zelf al je passwords onthouden. Laatste is misschien wel moeilijker, maar ook veel veiliger.

Veiliger? Ik heb een passwoord of 400, met geen mogelijkheid kan ik die onthouden. (Voorbeeld: p6o#YW%2TG5l"Ye667F) Dus wat ga je doen?
Hergebruiken van passwords, en dat is zeer zeker niet veilig.

maandag 24 november 2014, 08:51 uur #4

Pielemooske

Ik klik enkel op links als ze naaktfoto's van Erica Terpsta beloven. Gelukkig zat er nog geen enkele keer die foto's achter die links.

maandag 24 november 2014, 08:56 uur #5

Proxx

quote:
Op maandag 24 november 2014 @ 08:51 schreef ADQ het volgende:

[..]

Veiliger? Ik heb een passwoord of 400, met geen mogelijkheid kan ik die onthouden. (Voorbeeld: p6o#YW%2TG5l"Ye667F) Dus wat ga je doen?
Hergebruiken van passwords, en dat is zeer zeker niet veilig.

foto

maandag 24 november 2014, 08:59 uur #6

doessy

De vrolijkheid zelve :D :D :D

quote:
Op maandag 24 november 2014 @ 08:49 schreef witvierkantje het volgende:
Ik gebruik Lastpass, nergens las tavn. Maar ja, ik denk dan ook niet dat als ik op een link klik, of een exebestand in m'n mail open,dat ik een Iphone kado krijg.

Haha, weer zo'n noob die gratis iPhones laat liggen. Ik heb er inmiddels al heel wat doordat wantrouwende internetgebruikers zoals jij niet eens de moeite doen om een gratis iPhone te krijgen

Vergeef me voor mijn domheid. Ik weet niet beter. Jij bent awesome!

maandag 24 november 2014, 09:00 uur #7

doessy

De vrolijkheid zelve :D :D :D

quote:
Op maandag 24 november 2014 @ 08:51 schreef ADQ het volgende:

[..]

Veiliger? Ik heb een passwoord of 400, met geen mogelijkheid kan ik die onthouden. (Voorbeeld: p6o#YW%2TG5l"Ye667F) Dus wat ga je doen?
Hergebruiken van passwords, en dat is zeer zeker niet veilig.

Da fuk moet je met 400 wachtwoorden? Heb je een collectie van bedenkelijk allooi op je pc?

Vergeef me voor mijn domheid. Ik weet niet beter. Jij bent awesome!

maandag 24 november 2014, 09:06 uur #8

dikke_donder

quote:
Op maandag 24 november 2014 @ 09:00 schreef doessy het volgende:

[..]
Da fuk moet je met 400 wachtwoorden? Heb je een collectie van bedenkelijk allooi op je pc?

Heel veel fok kloontjes

Eindredactie Frontpage / Forummod

maandag 24 november 2014, 09:14 uur #9

Ouwesok

Leuke lamp overigens

quote:
Op maandag 24 november 2014 @ 08:51 schreef Pielemooske het volgende:
Ik klik enkel op links

Dan zit je hier verkeerd. De meeste users hier klikken alleen op rechts

Gotferdomme wat heb ik weer een last van een goed humeur

maandag 24 november 2014, 09:16 uur #10

CAP-Team

Eigenwijs is ook wijs

Gewoon in je hoofd opslaan en het liefst nergens in een bestandje zetten.

maandag 24 november 2014, 09:19 uur #11

Dennis_enzo

Geen usericon nee

quote:
Op maandag 24 november 2014 @ 08:45 schreef ludicrous_monk het volgende:
Zo'n tooltje is natuurlijk inherent gevaarlijker dan gewoon zelf al je passwords onthouden. Laatste is misschien wel moeilijker, maar ook veel veiliger.

Hetzelfde wachtwoord op honderden sites gebruiken, zoals de meeste mensen doen, is nog veel onveiliger. Er hoeft er maar eentje gehackt te worden en ze kunnen overal bij.

Ook geen sig dus

maandag 24 november 2014, 09:20 uur #12

Bombvis

quote:
Op maandag 24 november 2014 @ 08:56 schreef Proxx het volgende:

[..]
[ afbeelding ]

Ja leuk, maar daar gaan ze uit van puur brute force. Met een dictionary-aanval gaat het al een stuk sneller, aangezien je dan ook kan aangeven hoeveel woorden die moet raden. Daarnaast kan een beetje AMD Radeon-kaart tegenwoordig 50.000 wachtwoorden per seconde raden, geen 1000. Lange wachtwoorden oke en is het natuurlijk beter dan berenpak2, maar het beste is een lang wachtwoord van allemaal willekeurige tekens

Op donderdag 21 mei 2015 19:22 schreef Vasion het volgende:
Vanaf nu ben jij mijn favoriete user.
Op zondag 7 december 2014 22:59 schreef GGMM het volgende:
Vanaf nu ben jij mijn favoriete user.

maandag 24 november 2014, 09:26 uur #13

nogeenoudebekende

The future is shit...

quote:
Op maandag 24 november 2014 @ 09:00 schreef doessy het volgende:

[..]
Da fuk moet je met 400 wachtwoorden? Heb je een collectie van bedenkelijk allooi op je pc?

Duidelijk geval van iemand die zichzelf niet vertrouwd.

And so is the past

maandag 24 november 2014, 09:27 uur #14

SlaadjeBla

Zodra je een trojan binnenhaalt is alles gecompromitteerd. KeePass is niet onveilig, users zijn onveilig.

maandag 24 november 2014, 09:27 uur #15

pfaffke

Wat dacht je van een ouderwets boekje bijhouden?
Of is dat te moeilijk?

maandag 24 november 2014, 09:33 uur #16

thabrid

Hmmm dacht dat er echt een issue was, maar gelukkig in de bron wordt het wel uitgelegd.
De trojan start een keylogger als de applicatie wordt gestart. Het is dus niet 1 of andere hack waar mee ze je password kunnen achter halen.

maandag 24 november 2014, 09:35 uur #17

deNeger

quote:
Op maandag 24 november 2014 @ 09:27 schreef pfaffke het volgende:
Wat dacht je van een ouderwets boekje bijhouden?
Of is dat te moeilijk?

"ah gmail, dat is pagina 17 regel 8"
"even overtypen: c=vPzKav]gbF@n@2k3nB,s,HJevKQq>a"
"hmm typefout, nog een keer proberen... "

maandag 24 november 2014, 09:38 uur #18

pfaffke

quote:
Op maandag 24 november 2014 @ 09:35 schreef deNeger het volgende:

[..]
"ah gmail, dat is pagina 17 regel 8"
"even overtypen: c=vPzKav]gbF@n@2k3nB,s,HJevKQq>a"
"hmm typefout, nog een keer proberen... "

Dat zijn paswoorden voorr een eerste inlog

SAP op mijn werk heeft zulke gekkigheid

Even rustig aan doen met zulke lellen van codes...
Aanpassen en klaar ermee.

maandag 24 november 2014, 09:39 uur #19

deNeger

quote:
Op maandag 24 november 2014 @ 09:38 schreef pfaffke het volgende:

[..]

Dat zijn paswoorden voorr een eerste inlog
SAP op mijn werk heeft zulke gekkigheid
Aanpassen en klaar ermee.

gewoon aanpassen naar "qwerty123" en klaar

maandag 24 november 2014, 09:41 uur #20

pfaffke

quote:
Op maandag 24 november 2014 @ 09:39 schreef deNeger het volgende:

[..]
gewoon aanpassen naar "qwerty123" en klaar

Zo simpel doe ik nou ook weer niet...

maandag 24 november 2014, 09:43 uur #21

deNeger

trouwens weet iemand hoe die malware het wachtwoord kan 'achterhalen'?
Klinkt alsof het ergens stond opgeslagen in plaintext/md5

Ik mag aannemen dat die wachtwoorden als geheel worden versleuteld met een sterke encryptie.. en dat het dagen tot jaren aan bruteforce aanvallen zou kosten om erin te komen..

maandag 24 november 2014, 10:32 uur #22

Lkw

²³³³²³²³²³²³²³²³²²³²²

Ik begrijp de toegevoegde waarde van dit programmaatje niet. Ik gebruik zelf een Excel-bestand met daarin al mijn wachtwoorden, dat ik vervolgens via 7-Zip-archief met wachtwoordbeveiliging bewaar. Komt op hetzelfde neer.

Verder heb ik het idee dat de versleuteling van 7-Zip redelijk deugt - ik heb er althans nooit problemen mee gehad.

Stop the world, I want to get out.

maandag 24 november 2014, 10:44 uur #23

deNeger

quote:
Op maandag 24 november 2014 @ 10:32 schreef Lkw het volgende:
Ik begrijp de toegevoegde waarde van dit programmaatje niet. Ik gebruik zelf een Excel-bestand met daarin al mijn wachtwoorden, dat ik vervolgens via 7-Zip-archief met wachtwoordbeveiliging bewaar. Komt op hetzelfde neer.

Verder heb ik het idee dat de versleuteling van 7-Zip redelijk deugt - ik heb er althans nooit problemen mee gehad.

En hoe krijg je de wachtwoorden vanuit je excel in je browser? Knippen/plakken is onveilig want dat blijft achter in je geheugen. Verder is de kans groot dat 7-zip het uitgepakte bestand tijdelijk ergens onversleuteld neerzet..

maandag 24 november 2014, 10:47 uur #24

groenbladje

quote:
Op maandag 24 november 2014 @ 08:51 schreef ADQ het volgende:

[..]

Veiliger? Ik heb een passwoord of 400, met geen mogelijkheid kan ik die onthouden. (Voorbeeld: p6o#YW%2TG5l"Ye667F) Dus wat ga je doen?
Hergebruiken van passwords, en dat is zeer zeker niet veilig.

pmp kopen

maandag 24 november 2014, 10:50 uur #25

Lkw

²³³³²³²³²³²³²³²³²²³²²

quote:
Op maandag 24 november 2014 @ 10:44 schreef deNeger het volgende:

[..]
En hoe krijg je de wachtwoorden vanuit je excel in je browser? Knippen/plakken is onveilig want dat blijft achter in je geheugen. Verder is de kans groot dat 7-zip het uitgepakte bestand tijdelijk ergens onversleuteld neerzet..

Interessante gedachten. Het wachtwoord typ ik over, ik knip en plak niet. Maar je hebt gelijk dat op de gebruikte machine het Excel-bestand wordt uitgepakt. Als je dat vervolgens weggooit, en zelfs uit de prullenbak verwijdert, is het desondanks met herstelsoftware wel weer te achterhalen inderdaad. Nu doe ik dit alleen op apparaten die ik vertrouw, maar het geeft te denken inderdaad. Thnx.

Stop the world, I want to get out.

maandag 24 november 2014, 10:54 uur #26

deNeger

quote:
Op maandag 24 november 2014 @ 10:50 schreef Lkw het volgende:

Interessante gedachten. Het wachtwoord typ ik over, ik knip en plak niet. Maar je hebt gelijk dat op de gebruikte machine het Excel-bestand wordt uitgepakt. Als je dat vervolgens weggooit, en zelfs uit de prullenbak verwijdert, is het desondanks met herstelsoftware wel weer te achterhalen inderdaad. Nu doe ik dit alleen op apparaten die ik vertrouw, maar het geeft te denken inderdaad. Thnx.

En kans is groot dat het hele excel bestand onversleuteld wordt ingeladen in je geheugen wanneer je het opent, ik weet niet hoe MS office hiermee omgaat maar de meeste apps die ik ken dumpen het bestand van disk naar geheugen wanneer je het opent..

maandag 24 november 2014, 11:01 uur #27

Matty___

Konichiwa Bitches

quote:
Op maandag 24 november 2014 @ 08:56 schreef Proxx het volgende:

[..]
[ afbeelding ]

grappig dat je deze noemt. Is helaas al weer achterhaalt met rainbowtables.

Alleen volledig willekeurig gegenereerde wachtwoorden bieden nog enige bescherming.

http://arstechnica.com/se(...)of-your-passwords/1/

Deze muziek smaakt naar bier :)
Es bedarf keiner Psychoanalyse, um festzustellen, dass das Leben ein einziger Friedhof gescheiterter Pläne ist!

maandag 24 november 2014, 11:07 uur #28

Lkw

²³³³²³²³²³²³²³²³²²³²²

quote:
Op maandag 24 november 2014 @ 10:54 schreef deNeger het volgende:

[..]
En kans is groot dat het hele excel bestand onversleuteld wordt ingeladen in je geheugen wanneer je het opent, ik weet niet hoe MS office hiermee omgaat maar de meeste apps die ik ken dumpen het bestand van disk naar geheugen wanneer je het opent..

Hoe doe jij het? Heb je een goeie methode of onthoud je gewoon alles?

Stop the world, I want to get out.

maandag 24 november 2014, 11:09 uur #29

deNeger

Ik gebruik 1password, kost wel geld maar wordt erg actief onderhouden... en je kan (niet verplicht) het gebruiken icm dropbox

er zitten browser plugins bij zodat je met 1 klik kan inloggen bij de meeste sites (zonder dat je het clipboard gebruik)

[ Bericht gewijzigd door deNeger op maandag 24 november 2014 @ 11:15 ]

maandag 24 november 2014, 11:11 uur #30

fathank

Wie baas is bakt koekjes.

http://forum.fok.nl/topic/1546257

Danny

Behulpzaam als een waterkraan.
Op woensdag 29 april 2015 16:30 schreef seto het volgende:
als je niet #teamhenk bent ben je gewoon een *weggeFopt*homo

maandag 24 november 2014, 11:13 uur #31

deNeger

quote:
Op maandag 24 november 2014 @ 11:11 schreef fathank het volgende:
http://forum.fok.nl/topic/1546257

Danny

moet toch sterk aan eerder geplaatste cartoon denken bij dit soort posts... ook al zit er een logica achter, het blijft veel gedoe om allemaal regeltjes toe te passen iedere keer als je een wachtwoord moet invoeren..

maandag 24 november 2014, 11:16 uur #32

Lkw

²³³³²³²³²³²³²³²³²²³²²

quote:
Op maandag 24 november 2014 @ 11:09 schreef deNeger het volgende:
Ik gebruik 1password, kost wel geld maar wordt erg actief onderhouden... en je kan (niet verplicht) het gebruiken icm dropbox

er zitten browser plugins bij zodat je met 1 klik kan inloggen bij de meeste web diensten (zonder dat je het clipboard gebruik)

Krijgt goede recensies, zie ik in de gauwigheid. Ik heb alleen niet veel zin om er geld voor te betalen, maar misschien is het het waard. Hoewel ik ;echt belangrijke wachtwoorden (zoals voor de bank of mijn e-mailaccount) in mijn hoofd heb zitten en niet op schrift heb staan. Maar thnx nogmaals.

Stop the world, I want to get out.

maandag 24 november 2014, 11:22 uur #33

deNeger

quote:
Op maandag 24 november 2014 @ 11:16 schreef Lkw het volgende:

[..]

Krijgt goede recensies, zie ik in de gauwigheid. Ik heb alleen niet veel zin om er geld voor te betalen, maar misschien is het het waard. Hoewel ik ;echt belangrijke wachtwoorden (zoals voor de bank of mijn e-mailaccount) in mijn hoofd heb zitten en niet op schrift heb staan. Maar thnx nogmaals.

Tegenwoordig heb ik niet zoveel problemen met voor software betalen, het is voor mij een afweging tussen hoeveel gemak/zekerheid/snelheid het toevoegt aan m'n dagelijkse bezigheden, afgewogen ten opzichte hoeveel het kost. Aangezien ik het dagelijks gebruik (niet alleen voor online wachtwoorden maar ook voor bv pincodes, creditcards, serials, vertrouwelijke notities etc), merk ik dat het die paar tientjes meer dan waard is. Bovendien vertrouw ik gratis apps minder omdat ik niet weet wat de intentie is van de auteur, plus ik heb geen garantie dat het wordt onderhouden. En uiteraard wil je dergelijke apps niet gaan kraken ivm veiligheid.

maandag 24 november 2014, 11:30 uur #34

etalon

quote:
Op maandag 24 november 2014 @ 08:45 schreef ludicrous_monk het volgende:
Zo'n tooltje is natuurlijk inherent gevaarlijker dan gewoon zelf al je passwords onthouden. Laatste is misschien wel moeilijker, maar ook veel veiliger.

quote:
Op maandag 24 november 2014 @ 08:51 schreef ADQ het volgende:

[..]

Veiliger? Ik heb een passwoord of 400, met geen mogelijkheid kan ik die onthouden. (Voorbeeld: p6o#YW%2TG5l"Ye667F) Dus wat ga je doen?
Hergebruiken van passwords, en dat is zeer zeker niet veilig.

foto

maandag 24 november 2014, 12:38 uur #35

oheng

Gewoon het wachtwoord koppelen aan een Nederlands zinnetje met de website erin.

Dus een wachtwoord voor Fok zou kunnen zijn:

Fokiseenleukekewebpagina1

Hoofdletter en cijfer erin omdat er een aantal idiote websites zijn die denken dat dat veiliger is.

maandag 24 november 2014, 13:34 uur #36

ADQ

quote:
Op maandag 24 november 2014 @ 09:00 schreef doessy het volgende:

[..]
Da fuk moet je met 400 wachtwoorden? Heb je een collectie van bedenkelijk allooi op je pc?

Ik heb wat websites, met diverse programmatuur, allerlei logins op (bestel)sites, fora etc. Voordat je het weet heb je erg veel sites/programmas waarop je een login nodig hebt.

maandag 24 november 2014, 13:36 uur #37

ADQ

quote:
Op maandag 24 november 2014 @ 09:43 schreef deNeger het volgende:
trouwens weet iemand hoe die malware het wachtwoord kan 'achterhalen'?
Klinkt alsof het ergens stond opgeslagen in plaintext/md5

Ik mag aannemen dat die wachtwoorden als geheel worden versleuteld met een sterke encryptie.. en dat het dagen tot jaren aan bruteforce aanvallen zou kosten om erin te komen..

Bijvoorbeeld op deze manier: http://securityintelligen(...)ntication-solutions/

maandag 24 november 2014, 13:41 uur #38

Snipperaar

If in doubt, flat out.

quote:
Op maandag 24 november 2014 @ 09:20 schreef Bombvis het volgende:

[..]
Ja leuk, maar daar gaan ze uit van puur brute force. Met een dictionary-aanval gaat het al een stuk sneller, aangezien je dan ook kan aangeven hoeveel woorden die moet raden. Daarnaast kan een beetje AMD Radeon-kaart tegenwoordig 50.000 wachtwoorden per seconde raden, geen 1000. Lange wachtwoorden oke en is het natuurlijk beter dan berenpak2, maar het beste is een lang wachtwoord van allemaal willekeurige tekens

Draai je de letters om. Dus gespiegeld. Dan werkt een dicto al niet meer. Gooi er een willekeurige leesteken in, en je komt in een leuke middenweg.

Born to lose
No excuse
'Til the end
Been living to win, Been living to win

maandag 24 november 2014, 14:23 uur #39

deNeger

quote:
Op maandag 24 november 2014 @ 13:36 schreef ADQ het volgende:

Bijvoorbeeld op deze manier: http://securityintelligen(...)ntication-solutions/

Een keylogger dus.. daar kun je je moeilijk tegen wapenen... in ieder geval helpt het om een virtual keyboard te gebruiken wanneer je je master-password moet invullen..