Wachtwoordmanager test feature om password automatisch te veranderen

Wachtwoordmanager Dashlane heeft een nieuwe dienst aangekondigd waarmee gebruikers hun wachtwoorden voor bepaalde diensten automatisch kunnen wijzigen. De Password Changer verkeert nog in de testfase, maar al meer dan vijftig sites zouden de feature ondersteunen.

Dashlane heeft onlangs PassOmatic overgenomen. Deze start-up heeft de technologie ontwikkeld die automatisch wachtwoorden kan veranderen, zo meldt Dashlane. Het wijzigen kan op twee manieren worden uitgevoerd. Zo heeft de gebruiker de mogelijkheid om handmatig met een muisklik alle wachtwoorden te updaten, tenzij een two-factor-authenticatie voor een website is ingeschakeld. Er zou dan een pop-up verschijnen waarin aanvullend een code of beveiligingsvraag moet worden beantwoord, zo schrijft The Verge.

Daarnaast is het binnenkort mogelijk om een tijdsinterval in te stellen. De gebruiker kan er dan voor kiezen om bijvoorbeeld om de dertig dagen zijn wachtwoorden te laten veranderen. Het is onduidelijk wanneer die functie wordt geïntroduceerd. Dashlane claimt dat de wijzigingen veilig worden gesynchroniseerd.

De bèta-versie van de dienst kan naar verluidt overweg met meer dan vijftig sites. Daaronder zouden zich enkele grote internetbedrijven bevinden, zoals Facebook, Google, LinkedIn, PayPal en Twitter. Dashlane claimt echter dat het aantal compatibele sites in hoog tempo gaat groeien en uiteindelijk zouden honderden websites ondersteund moeten worden. De bèta van de dienst, beschikbaar in een gratis en betaalde versie, is enkel beschikbaar voor de pc en Mac. Mobiele versies zouden binnenkort moeten volgen.

IT-banen

Reacties (64)

Room42 9 december 2014 16:47

Lastpass biedt toevallig net dezelfde feature in de prebuilds:

LastPass continues to look for ways to make password management easier, quicker, and more secure for you. Our newest feature automates changing your password at your favorite sites with single click of a button. This is an early beta build - we know there will be some bugs but we would love for you to try it out and tell us what you think.

Currently it is only available for Chrome (other browsers coming soon) and to users who are logged in with an email that has been signed up for the prebuild team. To try it out, make sure you are running version 3.1.73 and edit one of your sites (supported domains are listed below). You will notice a 'Change Password Automatically' button under the password -- click that and you are done.

ATS @Room42 • 9 december 2014 17:12

Eh! Dat is goed nieuws!
Ik overwoog al om over te stappen vanaf LastPass naar Dashlane, maar wellicht kan ik dat nog beter even uitstellen dan...

Tweake® @ATS • 9 december 2014 19:51

Lastpass is hier dus ook mee bezig.

Wat mij opvalt is dat Dashlane zo'n $ 40 kost en Lastpass maar $12, toch maar liever Lastpass

Kenhas @Tweake® • 10 december 2014 09:46

Tja, als het gaat om paswoorden en gevoelige gegevens, dan maakt 28 dollar mij niet zoveel uit.

jurgen1982820 @ATS • 9 december 2014 17:21

Ik heb werkelijk waar nog nooit van Dashlane gehoord. En zal dus ook niet zomaar overstappen. Van Lastpass heb ik het vertrouwen dat ze goed reageren op nieuwe security problemen. Dashlane moet zich eerst maar even bewijzen en dan nog blijf ik denk ik bij lastpass

Joao @Room42 • 9 december 2014 17:20

OT

Dit is cool, weet jij waar ik mij kan aanmelden hiervoor?

Room42 @Joao • 9 december 2014 17:33

Ik heb alleen een directe link, https://lastpass.com/lppre.php

Tweake® @Room42 • 9 december 2014 19:40

Bron (link)?

EDIT:
gevonden:
http://blog.lastpass.com/2014/12/introducing-auto-password-changing-with.html

[Reactie gewijzigd door Tweake® op 22 juli 2024 20:36]

Anoniem: 426269 9 december 2014 16:57

En als je nou je Dashlane wachtwoord in verkeerde handen valt? Dan zijn al je 50 wachtwoorden gecompromised?

Anoniem: 16328 @Anoniem: 426269 • 9 december 2014 17:09

Als je het vermoeden hebt dat je wachtwoord is achterhaald dan moet je het natuurlijk wijzigen. Het begint echter met een goed wachtwoord kiezen wat je makkelijk kunt onthouden, maar wat lastig genoeg is om te kraken. Iets als two factor authenticatie zou nog beter zijn voor een login lijkt me.

ATS @Anoniem: 16328 • 9 december 2014 17:15

En ook dat wordt (net als bij andere ww managers trouwens) ondersteunt. Je kan Google's Authenticator als 2e-factor gebruiken

Anoniem: 426269 @ATS • 9 december 2014 19:07

Google's Authenticator, is dat dan voor alleen Google passwords, of kan je dat dan ook voor de rest van je wachtwoorden gebruiken, van zeg forums en webwinkels?

ATS @Anoniem: 426269 • 9 december 2014 22:03

Die kan je gebruiken als 2e factor voor meer diensten. Nog geen webwinkels gezien die 2factor ondersteunen, maar ik gebruik het voor lastpass en enkele andere diensten. De authenticator is overigens niet je Google login. Het is een app die een steeds veranderende code genereert per dienst waarmee je daarop kan inloggen.

BastiaanNL @Anoniem: 426269 • 9 december 2014 17:12

Datzelfde geldt dan ook voor andere password beheerapplicaties lijkt me. Dus niet zozeer met deze feature te maken toch?

Anoniem: 426269 @BastiaanNL • 9 december 2014 19:06

Klopt, in het algemeen.

sko @Anoniem: 426269 • 9 december 2014 17:21

Ik neem aan dat dashlane soortgelijke beveiligingsmaatregelene heeft als LastPass:
Alleen inloggen vanaf vertrouwde browsers en vertrouwde landen
Extra Two-way authentication of simpelweg geblokkeerd als je niet aan deze voorwaarden voldoet.

bigbadbull @Anoniem: 426269 • 9 december 2014 17:47

Nee hoor je paswoorden hoeven niet meer gecompromiteerd te zijn.
Als Dashlane gecracked wordt stuurt de cracker over zijn paswoord naar jouw accounts via de dashlane api.

Jouw paswoorden hoeft hij niet meer te kennen en jij kan niet meer in je accounts want je hebt net op een veilige manier al je paswoorden gereset

jurgen1982820 @Anoniem: 426269 • 9 december 2014 19:19

Daarvoor gebruiken de meeste mensen OTP (yubikey, google authenticator, etc,...).

Brantje 9 december 2014 16:47

Vraag me af hoe dit aan de achterkant werkt. Als dit doormiddel van een API is dan zouden andere password managers dit over kunnen nemen, en dat zou ik echt toe juichen.
Iemand die hier meer info over heeft?

Heb me zelf onderhand wel aangeleerd om om de zoveel tijd me wachtwoorden te veranderen, maar kan me voorstellen dat het voor veel mensen erg makkelijk zal zijn.

Rafe @Brantje • 9 december 2014 16:58

Vziw werken die password managers door invoer op wachtwoordvelden te matchen aan het domein. Misschien hebben ze nu hardcoded voor een aantal populaire domeinen waar een nieuwe wachtwoord heen gePOST moet worden?

Brantje @Rafe • 9 december 2014 17:03

Ik zat te denken aan een soort scraper die 'kijkt' naar type veld (mbt inloggen)
Voor username en pw heb je alleen een input='text' en input='password' nodig.
Vervolgens zoeken naar de submit button en submitten.

De sessie id opslaan zodat je die kan gebruiken voor latere requests.
Vervolgens wordt de page doorzocht op de generieke termen (Settings|Options|Account settings etc), op die pagina word er weer verder gezocht (password|change password| etc)
Ik gok dat dit zo werkt

Heb zelf een wachtwoord manager geschreven voor ownCloud, en daar zou dit heel goed in passen. Vandaar dat ik zo geïnteresseerd ben. Beter goed gejat dan slecht verzonnen

ATS @Brantje • 9 december 2014 17:11

Zoiets doen die dingen ook. Een wachtwoordveld kan je verder vaak herkennen aan het feit dat de feedback voor dat veld meestal sterretjes of bolletjes of zoiets zijn. De gevonden velden worden dan gedecoreerd met een extra knopje waarmee je extra opties kan aanbieden (zoals het kiezen van een account als je er meer dan één hebt).

Ik zou overigens graag zien dat er een generieke API zou komen voor authenticatie en het managen daarvan die sites kunnen ondersteunen. Dat zou dit soort initiatieven veel makkelijker maken.

Johan9711 @Brantje • 9 december 2014 18:17

Een API zou best een risico zijn, dan zou elke app die je huidige WW weet, je wachtwoord kunnen wijzigen.

JoostTheHost @Johan9711 • 9 december 2014 18:22

Dat lijkt mij ook. De volgende vraag zou dan zijn hoe je dit tegen kunt gaan. Wellicht met een nieuw password?

hehe!

BCC @Johan9711 • 9 december 2014 21:36

Eeh dat kan nu al?

Johan9711 @BCC • 9 december 2014 21:47

Nee, wanneer je nu ergens je bijv. Google wachtwoord invult ga je eerst naar een pagina van Google waar je je wachtwoord moet invullen, niet in de app zelf.

Engineer @Brantje • 9 december 2014 18:45

Volgens Tweakers.net zijn het de websites die ondersteuning bieden aan deze applicatie:

De Password Changer verkeert nog in de testfase, maar al meer dan vijftig sites zouden de feature ondersteunen.

Dat gaat dan waarschijnlijk via een API als dat zo is.

_{Of het is een creatieve stukje journalistiek die de waarheid in een onwaarheid veranderd}

[Reactie gewijzigd door Engineer op 22 juli 2024 20:36]

FlyingDutchMen 9 december 2014 16:56

Handig, behalve dan dat alle wachtwoorden weer lekker centraal bij een punt samenkomt.....

jurgen1982820 @FlyingDutchMen • 9 december 2014 17:09

ja net zoets als iemand die je e-mail adres kraakt en daardoor al je wachtwoorden kan opvragen. Een password manager heeft dan nog allerlei extra beveiligingen.

[Reactie gewijzigd door jurgen1982820 op 22 juli 2024 20:36]

FlyingDutchMen @jurgen1982820 • 9 december 2014 17:11

Behalve dat een hacker dit wel interessant vind omdat er dan direct weet ik hoeveel wachtwoorden binnen gehaald worden.

ATS @FlyingDutchMen • 9 december 2014 17:14

Dashline claimt dat ze de wachtwoorden met sterke encryptie opslaan (AES256) en zelf geen sleutels hebben.

mgizmo @ATS • 9 december 2014 17:37

Oh dus ze versleutelen het wachtwoord met je public key ofzo?

jurgen1982820 @mgizmo • 9 december 2014 19:09

Waarschijnlijk gewoon een versleutelde container. Je stuurt dus een versleuteld bestand naar dashlane. Dashlane hoeft jou wachtwoord niet te weten.

FlyingDutchMen @jurgen1982820 • 9 december 2014 19:11

Hoeft niet te weten en weet het ook daadwerkelijk niet zijn helaas twee verschillende dingen. Hoe vaak zien we niet dat er word geroepen wij slaan het niet op. Oops we zijn gehackt en hebben het heel misschien toch wel opgeslagen
.

jurgen1982820 @FlyingDutchMen • 9 december 2014 19:14

Het is net als keepass maar dat zegt jou waarschijnlijk ook niets.

FlyingDutchMen @jurgen1982820 • 9 december 2014 19:20

OOH MY BAD!! ik dacht dat het met een server communiceerde, maar het is gewoon een executable. In dat geval klinkt het zeer handig.

jurgen1982820 @FlyingDutchMen • 9 december 2014 19:21

Bij lastpass wordt de data ook pas verstuurd als de database op je client versleuteld is. Zo zal dashlane dus waarschijnlijk ook werken. En anders zou ik er niet eens gebruik van maken.
Overigens is de keepass database geen executable.
Veel keepass gebruikers slaan database ook in de cloud op en dan heb je dus in principe het zelfde als lastpass en dashlane. Zonder het juiste wachtwoord kan je er niets mee.

[Reactie gewijzigd door jurgen1982820 op 22 juli 2024 20:36]

Ircghost @FlyingDutchMen • 9 december 2014 17:49

Veel mensen schijnen ook te vergeten dat je wachtwoorden ook gewoon worden opgeslgaen in je browsers.. die kun je nog veel makkelijker achterhalen. Soms zit daar een user domain wachtwoord op. Maar die is nog altijd makkelijk te kraken dan een Keepass/lastpass code.

xleeuwx @jurgen1982820 • 9 december 2014 17:32

Als iemand je email kraakt weet hij niet welke website's je actief bent. Hier kan je direct je wachtwoorden en meestal ook gebruikersnamen inzien.

jurgen1982820 @xleeuwx • 9 december 2014 19:10

paypal is altijd het proberen waard.

Engineer @xleeuwx • 9 december 2014 19:43

Meestal sturen websites wel een bevestigings-mailtje van je registratie

Yggdrasil

@FlyingDutchMen • 9 december 2014 18:13

Klopt, maar als je dat goed doet is het veiliger dan de 'klassieke' methodes. Ik kan (en wil) mijn 300+ wachtwoorden echt niet allemaal zelf onthouden. Ik zou dan op veel plaatsen hetzelfde wachtwoord moeten gebruiken, of een ezelsbruggetje bedenken zodat je per site een variatie kunt aanbrengen.

Dan heb ik liever een password manager, natuurlijk mét sterk master-wachtwoord én twee-factor-authenticatie. Elke site zijn eigen willekeurige wachtwoord, incl. de andere handige features die men biedt. Goede password-managers versleutelen alles lokaal waardoor de server-admins geen toegang tot je data hebben. Perfect zal het nooit worden, maar beter dan het zelf onthouden kan wél.

passie2009 9 december 2014 16:58

prima initiatief, maar is er dan ook een manier om vervolgens mijn apps op m'n telefoon auto te updaten ?
anders ben ik nog 4 uur bezig om ze te copy / pasten zoals in het filmpje op hun site wordt uitgelegd.

ruudstraver @passie2009 • 9 december 2014 17:00

Dit kan met lastpass premium.
En op IOS kun je ook authenticeren in safari obv fingerprint of pincode

passie2009 @ruudstraver • 9 december 2014 17:43

Mogelijk zie ik iets over het hoofd. Maar naar mijn weten kunnen apps onderling op ios geen data uitwissel.
Het enige waarvoor dit zou werken is safari. Maar niet voor bv de Facebook of twitter app.

Anoniem: 426269 @ruudstraver • 9 december 2014 19:09

Okee, dan zul je dus zeker moeten betalen om bij je eigen wachtwoorden te kunnen? Ze moeten ergens van leven, dat begrijp ik. Maar ik onthoud ze dan zelf wel op 1 of andere manier.

ATS @passie2009 • 9 december 2014 17:04

Ja, want deze app werkt net als andere password managers gewoon ook op je mobiele apparaten, en kan (als je dat wil) je wachtwoorden syncen tussen die apparaten.

style147 9 december 2014 16:51

Banken doen hier niet aan mee?

the_shadow @style147 • 9 december 2014 16:55

Ik denk dat door de two-factor authentication die banken over het algemeen toepassen, dit niet echt te automatiseren is. Zo wel, dan is het kennelijk mogelijk om zonder de two-factor stap een wachtwoord te veranderen, iets dat in mijn ogen bijzonder onwenselijk zou zijn (idem als je voor Google de authenticator app gebruikt als tweede stap trouwens).

[Reactie gewijzigd door the_shadow op 22 juli 2024 20:36]

The Realone @the_shadow • 9 december 2014 17:12

Heb je het artikel wel gelezen? Daar staat letterlijk in dat het bij ook bij two-factor authenticatie mogelijk is, al is het dan niet volledig automatisch en moet de extra passcode wel nog handmatig ingegeven worden. Dat is natuurlijk ook niet meer dan logisch.

kdekker 9 december 2014 17:18

Als er tzt een gratis versie blijft bestaan, dan 'betaal' je op een andere manier. Luiheid c.q. gemak komt eigenlijk altijd met een prijs. Omdat veel systemen altijd een internet verbinding hebben is het heel erg lastig te controleren wat software allemaal van je PC afsnoept (en ergens heen upload). Misschien zie ik het te zwart in... Dan maar iets meer zelf onthouden (of als dat niet lukt, een offline kladder notitie).

Orthodroom 9 december 2014 17:19

Dit zou ik ook wel in Keepass willen zien.

SinergyX 9 december 2014 17:45

Is het wel allemaal wenselijk dat dit automatisch of geautomatiseerd kan? Goed, de gebruiker is nog steeds de zwakste schakel, maar er hoeft maar 1 foutje te zitten in het geheel en de consequenties zijn misschien niet meer te overzien (beetje basisprincipe als toegang tot email te verkrijgen, vanuit daar kan je zo ziekelijk veel al uithalen).

Zeker als dit programma zelf target wordt van zo'n aanval, jij blind popups en whatnot invullen, ondertussen kunnen de mensen erachter doen en laten met je account wat ze willen.

Misschien ben ik old-school, dat grote kwabding tussen mijn oren herbergen alle wachtwoorden, al worden het met de tijd er steeds meer, zo ken ik iemand die heel tactisch diverse wachtwoorden heeft verwerkt in een poster op zijn kamer, ergens nog best een geniaal idee en moest wel erg 'NSA' style zijn om daar de logica in te ontdekken (ik zie het namelijk niet).

Daarnaast, wachtwoord voor je account aanpassen is geen probleem, het vervolgens doorvoeren in alle apps, programma's, autofillers, noem ze maar op.. dat is heel ander werk. Facebook 1x veranderen en ik moet meteen 5 plekken aanpassen, waar zit dan effectief je 'winst' in dit auto aanpassen? (1x niet, 5x wel).

Maar zulke zaken uit handen geven lijkt me niet bepaald wenselijk (ok, ik zit dan op Windows, is natuurlijk groter target voor aanvallen dan als je zulke programma's gebruikt op MacOS of Lunix - maar dat terzijde).

Anoniem: 112442 9 december 2014 17:24

Wachtwoordmanager Dashlane heeft een nieuwe dienst aangekondigd waarmee gebruikers hun wachtwoorden voor bepaalde diensten automatisch kunnen wijzigen. De Password Changer verkeert nog in de testfase, maar al meer dan vijftig sites zouden de feature ondersteunen.

En de Update wordt automatisch naar de NSA gestuurd.
Dat is ver gezocht.

Maar serieus, ik wil niet dat een passwoordmanager mijn wachtwoorden wijzigt en kan wijzigen.
Ivm security en mogelijke bugs. Bij een bug in de software zou je helemaal niet meer kunnen inloggen. En security, als iemand deze password manager kan misbruiken kan hij/zij heel snel al mijn passwords wijzigen.

Is dit ook zo'n password manager die alles in de "Cloud" opslaat?

Dashlane heeft het Gazelle logo behoorlijk gekopieerd.

Ik doe dat soort zaken zelf wel.

grep @Anoniem: 112442 • 9 december 2014 18:00

mijn idee.
Het is weer het zoveelste verzinsel uit het oogpunt van "makkelijk" waarbij het wachten is op het eerste lek dat gevonden wordt.

Zie het zomaar gebeuren dat een hacker met een nog te ontdekken exploit in de api je wachtwoord veranderd op een ondersteunende website.

jurgen1982820 @Anoniem: 112442 • 9 december 2014 20:28

Op de lastpass website lees ik het volgende:
Once clicked, LastPass opens a new tab where it logs in for you, creates a new password, and submits the changes on the website, while also saving them to LastPass.
Het doet dus eigenlijk alle handmatige dingen automatisch.

Op dit item kan niet meer gereageerd worden.

Wachtwoordmanager test feature om password automatisch te veranderen

Lees meer

IT-banen

Reacties (64)

Sorteer op:

Weergave: