DIY Productiviteit

Hoe maak je veilige wachtwoorden met Keepass?

Geschreven door Frank Meeuwsen

Een paar weken terug lag KPN en daarna Baby-Dump onder vuur wegens een gehackt bestand met klantgegevens. In deze klantgegevens zaten onder meer de wachtwoorden van KPN klanten. al snel werd duidelijk dat deze klanten hetzelfde wachtwoord voor meer diensten gebruiken. Hiermee is het dus theoretisch mogelijk om op iemand anders naam verschillende acties uit te voeren online. KPN is het zoveelste slachtoffer van dataroof. Maar vervelender is het voor de consumenten. Wederom ligt er gevoelige data op straat. Hoe kun je dat tegengaan? Ik laat zien hoe je met het programma KeePass veilige wachtwoorden kunt maken en kunt gebruiken.

Wat is Keepass?

KeePass is een opensource, gratis wachtwoordmanager. Beschikbaar voor de meeste gangbare besturingsystemen en apparatuur. Met KeePass kun je veilige, unieke wachtwoorden maken voor elke website en applicatie en deze opslaan en opvragen. Simpel gezegd: KeePass is een veilige onafhankelijke kluis om wachtwoorden in op te slaan en weer op te vragen. Met alleen KeePass ben je er nog niet. Het gebruik van een wachtwoordmanager vereist een andere mentaliteit. Je zult al moeten stappen van het idee dat je wachtwoorden moet onthouden. Je moet er vrede mee hebben dat je niet altijd direct kunt inloggen maar even via Keepass je wachtwoord opvraagt.

Mijn ervaring na 2 jaar gebruik van Keepass is dat het erg bevrijdend werkt. Ik hoef geen enkel wachtwoord meer te onthouden. Sterker nog, ik kan ze niet eens onthouden omdat ze te lang en te complex zijn. Wat vind je van een wachtwoord als 6″ew!<m<>7hnef:ucvoeab`%37\t8x#?’,7`7kt/4>(nhzj/\)7oh{qfb3j>knmks(!-x?z@!<5bs%;kk4;<>gjt*d@{?e&(b488b:”p’b.](b[{(##j3iafj.+vo$\` Dit is een wachtwoord wat ik kan gebruiken bij een online dienst. Ik hoef hier niets aan te onthouden, het enige  wat ik nodig heb ik mijn Keepass database en de juiste software. Keepass komt in voor mij alle mogelijke smaken:

  • Windows – De Windowsversie is direct vanaf de site te downloaden als exe bestand of als portable zip bestand.
  • Mac/Linux – Voor de Mac en Linux is er KeePassX. Deze ondersteunt alleen versie 1.x wachtwoorden van KeePass. Hierover later meer. De versie van KeePass met Mono (hier meer informatie) vind ik persoonlijk niet fijn in gebruik op de Mac. Er zijn verschillende ports voor o.a. Debian en Ubuntu.
  • USB – KeePass komt eveneens als portable applicatie. Voor het U3 systeem kun je de nieuwste versie van KeePass downloaden en direct vanaf een USB stick gebruiken. Zo kun je op een gastcomputer gebruik maken van je eigen inloggegevens zonder dat je sporen achterlaat op de PC.
  • iOS  – Voor iOS is er nog geen officiële applicatie. Mijn favoriet is MiniKeepass, vanwege de prettige interface en extra beveiliging via een pincode. Probeer de verschillende versies zelf via de downloadpagina.
  • AndroidKeePassDroid is een erg prettige versie voor het Android OS. De zoekfunctionaliteit is erg snel en de gekozen loginnaam en wachtwoord wordt automatisch in het clipboard van Android gezet. Na een vaste periode verwijderd het systeem automatisch de gegevens weer uit het clipboard. Erg handig en snel in gebruik.
Door de open structuur van KeePass zijn er veel verschillende smaken. Probeer ze zelf uit en pak de app die bij je past.

Hoe maak je een veilig wachtwoord?

We hebben eerder een post gewijd aan het maken van veilige wachtwoorden. Of in elk geval het veilig opslaan. Bij dit artikel kwamen veel verschillende reacties.Mijn uitgangspunt is het volgende:

De enige wijze om veilig met wachtwoorden om te gaan is om voor elke site een ander wachtwoord te hebben en deze door een extern systeem willekeurig te laten samenstellen, op te slaan en veilig terug te geven.

In de discussie bij het vorige artikel geven velen de voorkeur aan het bedenken van een vaste zin, een vast woord in het begin of na een wachtwoord, een vaste volgorde van termen, letters. Maar in de praktijk merk ik dat dit niet altijd feilloos werkt. Er zijn nu eenmaal systemen waar je mee te maken kunt krijgen waar je eigen bedachte algoritme niet wordt geaccepteerd. Ik ben menigmaal tegen een dienst aangelopen met hele strikte eisen rondom wachtwoordgebruik. Als deze afwijken van je eigen vaste patroon dan loop je dus vast. Want het wachtwoord kun je niet in je eigen vaste systeem onthouden. Met een extern geheugen zoals KeePass kan dat wel. Je kunt uit voorgedefinieerde wachtwoordsets kiezen. Je kunt heel specifiek aangeven welke karakters wel en niet in je wachtwoord mogen, of karakters mogen herhalen in een wachtwoord, hoeveel karakters je wachtwoord mag zijn. Hierdoor is het niet meer noodzakelijk om met eigen algoritmes te werken die je moet onthouden. Laat dat over aan het programma. Zorg er zelf voor dat je database zo veilig mogelijk is opgeslagen en wordt gesynchroniseerd tussen je hardware. Dropbox is hier een mogelijkheid voor. Voor extra veiligheid kun je je bestanden nog met Truecrypt beveiligen. Zo maak je een extra encryptielaag over je Dropbox bestanden waar de KeePass wachtwoorden in zijn opgeslagen.

Hoe gebruik je KeePass?

Na installatie van KeePass is het handig om een aantal instellingen in orde te maken en om je eerste database te maken. Zo kun je maximaal gebruik maken van de mogelijkheden. Onderstaande opties werken in de Windows versie van KeePass. Anders versies kunnen niet altijd onderstaande mogelijkheden hebben.

 

Na opstarten van KeePass kies je Tools > Options.

Tabblad Security:

Lock workspace when locking Windows vink je aan. Zo is je database beveiligd als je even weg bent van je PC

Tabblad Interface:

Close button minimizes instead of terminating vink je aan. Zo blijft KeePass in je systeemvak actief

Drop to background after copying data to clipboard: Hiermee verdwijnt KeePass direct uit zicht na copieren van loginnaam/wachtwoord. Dat bespaart je weer een extra handeling

Focus entry list after a succesful quick search: Na een zoekopdracht gaat de cursor direct naar het eerste resultaat. Zo kun je snel de juiste logincombinatie copiëren

Focus quick search box when restoring from tray: 99 van de 100 keer heb ik KeePass nodig om een wachtwoord te zoeken. Hiermee staat de cursor direct in de zoekbalk en kan ik beginnen met typen.

Tabblad Advanced

Remember and automatically open last used database on startup. Ik geef toe, een klein beveiligingsrisico, maar het zorgt dat KeePass direct de juiste database opent als ik het opstart

Remember key sources. Deze kun je uitzetten als je gebruik maakt van de combinatie wachtwoord-keyfile om een database te openen. Hiermee beveilig je je database weer beter, aangezien je naast het ingeven van een wachtwoord ook een keyfile moet selecteren.

Als je voor het eerst een database maakt in KeePass kun je opgeven of deze beveiligd is met enkel een wachtwoord of met de combinatie wachtwoord – keyfile. Ik adviseer om het laatste te doen. Hiermee heb je een betere beveiliging die tevens over meerdere devices is te gebruiken. Je database beveiligen met een Windows User Account is mogelijk, maar bij het verwijderen van dit account wordt je database onbruikbaar en je kunt de database niet op andere devices zoals een iPhone of Android telefoon gebruiken.

Een veilig wachtwoord maken en onthouden

Mijn routine voor het maken van een nieuw wachtwoord in KeePass zijn de volgende stappen

  • Klik op Add Entry (waarom is hier nog geen keyboard shortcut voor?)
  • Vul username en title in
  • Het wachtwoord is al vooraf ingesteld op een vast profiel (256 bit Hex Key)
  • Ik copieer het wachtwoord naar de dienst waar ik me inschrijf
  • Als het wachtwoord wordt geaccepteerd, sla ik in KeePass de entry op
  • Klaar.

Dagelijks gebruik van KeePass

Ik heb de volgende shortcuts om mijn gebruik van KeePass zo makkelijk mogelijk te maken:

Ctrl-E: Hiermee zet je de cursor in het zoekveld als KeePass is gemaximaliseerd

Ctrl-B: Copieer de geselecteerde username naar het clipboard

Ctrl-C: Copieer het geselecteerde wachtwoord naar het clipboard

Ctrl-V: Plak username of password in het invoerveld.

Ctrl-ALT-A: Autotype een loginnaam en wachtwoord automatisch in de invoervelden. Zie dit artikel voor een precieze uitleg.

Ctrl-ALT-K: Maximaliseer KeePass uit het systeemvak

Plugins en extensies

KeePass is uit te breiden met allerlei plugins en extensies voor browsers. Dit maakt dat je KeePass verder naar je eigen hand kunt zetten

Firefox gebruikers kunnen de KeeFox plugin installeren. Deze maakt een directe koppeling tussen je database en de formulieren die je in de browser laadt. Let goed op met het updaten van Firefox omdat de plugin ineens onbruikbaar kan worden. Tevens kan ik je aanraden om na installatie even de tutorial door te lopen zodat je de slimste manier leert om de extensie te gebruiken.

Maak je gebruik van Chrome, dan is ChromeIPass een extensie voor de koppeling tussen KeePass en je browser. Let op, je hebt nog een extra plugin KeePassHTTP nodig om de koppeling goed te laten werken!

KeeForm is een plugin voor Internet Explorer en Firefox. Deze heeft wel wat extra configuratie nodig om goed te werken.

Op de plugin-pagina van KeePass vind je meer uitbreidingen voor backups en import/export van bestaande wachtwoordlijsten

Vlekkeloos tussen Windows en Mac werken

KeePass is een tijd terug op een nieuwe opslagstructuur overgestapt waarmee er een verschil kwam in de versies van KeePass. Waar de Windows versie doorgaat op de 2.x manier van opslaan (nieuwer) blijven de onofficiële versies soms achter op de oudere manier. Dat kan vervelend zijn, want als ik op mijn Windowsmachine nieuwe wachtwoorden toevoeg, dan kan ik die niet zomaar via Dropbox synchroniseren voor de Mac. Want deze maakt nog gebruik van de oude manier van opslag. Gelukkig biedt KeePass hier een ingebouwde oplossing voor door middel van Triggers.  Op hun voorbeeld-pagina kun je zien hoe je een trigger aanmaakt die je actieve database automatisch exporteert naar het oudere bestandsformaat.

Door de verdere digitalisering van de samenleving hebben databases, bestanden en persoonlijke informatie steeds betere beveiliging nodig. Mijn advies is om dit niet van je eigen geheugen en systemen af te laten hangen, maar er een consistente en duurzame oplossing voor te maken. Dat kost tijd en zoals ik al eerder zei, een andere mentaliteit. KeePass is één van de vele wachtwoordsystemen, in mijn ogen de beste. Dit artikel van Chris Raynes legt alle mogelijkheden nog eens uitgebreid uit. Probeer het een tijdje uit en laat je ervaringen achter in de reacties!

over de auteur

Frank Meeuwsen

Frank Meeuwsen is een onafhankelijk digitaal strateeg in zijn bedrijf The Incredible Adventure starts here... en oprichter van de website Lifehacking.nl. Tevens is hij voor Evernote de Nederlandse ambassadeur Zakelijk Gebruik.

Frank gelooft sterk in Getting Things Done. Nu nog het in de praktijk zien te houden. Je vindt hem vooral op Twitter en Google+.

Reageer

35 Reacties

  • Ik weet niet welke versie van Keepass je gebruikt, maar zowel onder Windows als Linux gebruik ik de volgende sneltoetsen:

    CTRL-U : laadt de pagina
    CTRL-V : vul gebruikersnaam + wachtwoord in (hiervoor moet je eerst in het veld voor de naam staan)

  • Oeps: Heerlijk toch die autocorrectie op mijn android telefoon. Ook e-wakker mag gelezen worden als e-wallet. E-wallet bevat een automatische synchronisatie. Het kopiëren van het wachtwoord naar het clipboard vind ik een groot voordeel, echter dan moet het voor android ook bruikbaar zijn.

  • Goed verhaal… maar kleine correctie keepass2 is er voor Linux (DEB). (voor mac waarschijnlijk niet maar dit laat ik in het midden).
    Je moet alleen even de juiste repository toevoegen en het werkt als een zonnetje!

    sudo add-apt-repository ppa:jtaylor/keepass

  • Uitstekend artikel. Werk zelf al twee jaar met Keepass naar volle tevredenheid. Voldoende funtionaliteit, duidelijke lay-out en ook portable te gebruiken. Onlangs een macbook gekocht en opnieuw enkele passwordmanagers onderzocht. Keepass wederom gekozen. Waarom betalen als het gratis kan met een superprogramma (www.rvlierop.nl)

  • Ik gebruik Keepass ook al enige tijd over meerdere platforms heen. Thuis Mac, werk Windows. Voor Mac kun je de Keepass database openen met KeePassX. Ik heb Keepass zoals aangegeven op Dropbox staan, met als extra veiligheidsmaatregel, in een Truecrypt container. Klinkt ingewikkeld, is het niet. Wel zijn de extra handelingen even wennen: Eerst Dropbox, dan Truecrypt en dan nog eens Keepass openen. Maar ja, da’s de prijs van veilig internetten… Wel heb ik een onthoudbaar wachtwoord voor sites die ik heel vaak open, zoals GMail.

    Overigens complimenten voor deze site, Lifehacking is geweldig!

    Marco

  • Erg mooi artikel. Koste me wat moeite om het voor elkaar te krijgen (nieuwe update keepass, zoeken naar dat http programmaatje). Vooral de plugin in chrome vind ik een verademing. Inloggen, wachtwoord opzoeken, die weer achter een ander wachtwoord zit, weerhield me vaak van sites bezoeken/bijwerken. Met deze plugin wordt het leven weer een stuk aangenamer. Dank…

  • Dankjewel voor dit artikel. Overigens heb ik de stap naar KeePass kortgeleden gemaakt n.a.v. die hack bij KPN en Babydump. Dat voelde toen als noodgedwongen; ik had dit al heel lang voor me uitgeschoven omdat de ombouw van alles best een operatie was. Ik wilde ook overal waar ik maar een account had mijn inloggegevens veranderen vanwege die hack. Inmiddels ben ik wel heel blij dat ik dit nu gedaan heb. Het werkt werkelijk voortreffelijk, mede dankzij KeeFox en Dropbox.

    Noem het een raar soort paranoia of zo als je wilt, maar het doorslaggevende voordeel van KeePass boven LastPass vond ik het idee dat je je data en werkwijze heel eenvoudig uit de cloud weg kunt halen indien je dat ooit – om wat voor reden dan ook – eens nodig mocht vinden. Enkele extra beveiligingsmaatregelen zoals genoemd in dit artikel (keyfile + truecrypt) zal ik nog nemen. Daarom dank.

  • Je kan ook Keepass semi automatisch op een webpage laten inloggen.
    Zet in het Notes veld :

    Auto-Type: {USERNAME}{TAB}{PASSWORD}{ENTER}{ENTER}
    Auto-Typ-Window: *LifeHacking*

    Vul voor Auto-Typ-Window een deel van de webpage title in.

    Klik in Keepass op :
    Tools -> Options -> Advanced -> Auto-Type

    Plaats een vinkje in het veld Enable auto-type options.
    Onthoud toets combinatie die in het veld Global auto-type hot key combination staat.

    Sluit de schermen af met OK.

    Wanneer het goed is vult keepass op een webpage dan de username en wachtwoord in op een webpage als je de toetscombinatie uit veld Global auto-type hot key combination intikt.
    Bij mij is dat “Ctrl + Alt + M”

  • even een aanvullend vraagje van een enthousiast KeePass gebruiker: ik maak graag regelmatig van belangrijke bestanden een back-up. Dus ook van KeePass. Wat ik laatst geprobeerd heb is niet goed, het programma ging over, maar niet de ww’s en gebruikersnamen. welke files moet ik daar voor nemen?

    Pinkels.

  • Ben bezig om keepass te installeren. Ik denk dat dit een leuke toepassing is. Wel loop ik tegen wat probleempjes aan. Ik wil vanuit dropbox gaan werken maw daar staat mijn .kdbx file. Op 1 laptop kan ik dit goed benaderen maar als ik vanuit een andere laptop of android gebruik wil maken van dezelfde database krijg ik het inloggen niet voor elkaar invallid password waarschijnlijk heeft dit denk ik met de kee file te maken denk ik. Reden dat ik dit afzonderlijk wil benaderen als mijn laptop is gecrasht wil ik wel via dropbox weer bij mijn passwords willen kommen.

    ps goed artikel en tips

    hopelijk kan iemand mij wegwijs maken

    alvast bedankt

    groet

    Willem

  • Als je keepass niet automatisch laat openen (doe ik dus niet) is een van de mogelijkheden een hoofdpassword, waarmee je de database opent. Een ketting is zo sterk als zijn zwakste schakel, dus gebruik hiervoor geen simpel wachtwoord als ‘geheim’ of een versleuteld wachtwoord als ‘Satt3l13t’. Beter is het om gebruik te maken van een zin als wachtwoord, of eventueel een aantal willekeurige woorden. Dit is makkelijk te onthouden, maar moeilijk te kraken.
    Zie ook: http://xkcd.com/936/

  • Ik ben sinds kort een groot fan van Keepass. Alleen ik heb een vraag over mini Keepass op de iPhone. Om deze te openen (via Dropbox) moet ik alleen een 4 cijferige code intoetsen en dan kan ik overal bij. Op de iPad (en op de computer) moet ik daarna nog een grote wachtwoord (door Frank omschreven als een zin ofzo) intoetsen.

    Ik zie bij instellingen geen verschil tussen de iPad en de iPhone. Hoe kan ik instellen dat ik ook op de iPhone het grote wachtwoord moet intoetsen? Op deze manier is het absoluut niet veilig 🙂

    • Ga naar je settings van keepass, het tandwiel. Zet: maak geen gebruik van de PIN, evenals het onthouden van passwords. Dan zou die volgens mij moeten doen wat je wilt.

  • De database heb ik opgeslagen op Googledrive. Op Keepassdroid kan ik geen nieuwe items toevoegen, op Keepass op mijn pc wel, maar dat synchroniseert niet met Keepassdroid. Heel frustrerend, wat doe ik fout? Op de sdcard in mijn smartphone blijkt ook een map keepass.kdb te staan.

  • Ik heb nog een vraag. Ik heb recent Keepass gedownload op mijn laptop. Ik maak ook gebruik van dropbox. Ik heb de gehele Keepasmap op dropbox geplaatst. Nu wil ik Keepass openen van mijn Samsung (Android) tablet. Dat lukt niet, hij vraagt: “Please download an app that can open this file”.
    Ik heb vervolgens de app Keepassdroid gedownload, maar die app geeft niet de oplossing.
    Ik hoor graag.

      • Ja het is voor mij allemaal nieuw. Ik doe het waarschijnlijk niet goed. Ik open dropbox op mijn tablet en dan tap ik op Keepass exe en krijg dan genoemde reaktie. Als ik vervolgens de Keepassdroid open vraagt hij om mijn Password. Het gebruik van de droidapp is mij niet duidelijk. Ik nam aan dat Keepass in Dropbox automatisch gebruik maakt van de droidapp. Ik neem niet aan dat de droidapp. geopend moet worden met mijn hoofdwachtwoord op de laptop. Mogelijk bestaat er een goede handleiding. ?

          • Het is nog steeds niet gelukt. Ik heb rondgeneusd op internet. Ik heb de vijf KDBX files naar een map op Dropbox geplaatst. Keepassdroid staat op mijn droidtablet. Ik open dropbox op de tablet, daarna ga ik naar Keepassdroid en vul mijn veilig password in die ik op mijn laptop heb ingesteld en dan geeft mijn tablet aan: onjuist password. Ik doe ongetwijfeld iets niet goed. Ik hoop op de verlossende oplossing

            • Frank, het is gelukt. Per ongeluk liep ik tegen de file aan: Inloggen Algemeen.kdbx.
              Deze gekopieerd in mijn dropboxfile en het werk. Ook op tablet en smartfone.

  • Beste Frank,

    Ik heb een vraag over de app Mini kee Pass die ik op mijn IPhone heb staan. Ik heb deze geïnstalleerd met twee wachtwoorden. Waarschijnlijk na een update van de app hoef ik nu nog maar 1 wachtwoord in te toetsen. Graag zou ik voor de veiligheid mijn beide wachtwoorden willen gebruiken. Hoe kan ik dit herstellen? Onder instellingen in de app kan ik het niet vinden. Hopelijk kun je mij verder helpen.

    Met vriendelijke groet,
    Nelleke