Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 64 reacties

Wachtwoordmanager Dashlane heeft een nieuwe dienst aangekondigd waarmee gebruikers hun wachtwoorden voor bepaalde diensten automatisch kunnen wijzigen. De Password Changer verkeert nog in de testfase, maar al meer dan vijftig sites zouden de feature ondersteunen.

Dashlane heeft onlangs PassOmatic overgenomen. Deze start-up heeft de technologie ontwikkeld die automatisch wachtwoorden kan veranderen, zo meldt Dashlane. Het wijzigen kan op twee manieren worden uitgevoerd. Zo heeft de gebruiker de mogelijkheid om handmatig met een muisklik alle wachtwoorden te updaten, tenzij een two-factor-authenticatie voor een website is ingeschakeld. Er zou dan een pop-up verschijnen waarin aanvullend een code of beveiligingsvraag moet worden beantwoord, zo schrijft The Verge.

Daarnaast is het binnenkort mogelijk om een tijdsinterval in te stellen. De gebruiker kan er dan voor kiezen om bijvoorbeeld om de dertig dagen zijn wachtwoorden te laten veranderen. Het is onduidelijk wanneer die functie wordt geïntroduceerd. Dashlane claimt dat de wijzigingen veilig worden gesynchroniseerd.

De bèta-versie van de dienst kan naar verluidt overweg met meer dan vijftig sites. Daaronder zouden zich enkele grote internetbedrijven bevinden, zoals Facebook, Google, LinkedIn, PayPal en Twitter. Dashlane claimt echter dat het aantal compatibele sites in hoog tempo gaat groeien en uiteindelijk zouden honderden websites ondersteund moeten worden. De bèta van de dienst, beschikbaar in een gratis en betaalde versie, is enkel beschikbaar voor de pc en Mac. Mobiele versies zouden binnenkort moeten volgen.

Password Changer

Moderatie-faq Wijzig weergave

Reacties (64)

Lastpass biedt toevallig net dezelfde feature in de prebuilds:
LastPass continues to look for ways to make password management easier, quicker, and more secure for you. Our newest feature automates changing your password at your favorite sites with single click of a button. This is an early beta build - we know there will be some bugs but we would love for you to try it out and tell us what you think.

Currently it is only available for Chrome (other browsers coming soon) and to users who are logged in with an email that has been signed up for the prebuild team. To try it out, make sure you are running version 3.1.73 and edit one of your sites (supported domains are listed below). You will notice a 'Change Password Automatically' button under the password -- click that and you are done.
Eh! Dat is goed nieuws!
Ik overwoog al om over te stappen vanaf LastPass naar Dashlane, maar wellicht kan ik dat nog beter even uitstellen dan...
Lastpass is hier dus ook mee bezig.

Wat mij opvalt is dat Dashlane zo'n $ 40 kost en Lastpass maar $12, toch maar liever Lastpass ;)
Tja, als het gaat om paswoorden en gevoelige gegevens, dan maakt 28 dollar mij niet zoveel uit.
Ik heb werkelijk waar nog nooit van Dashlane gehoord. En zal dus ook niet zomaar overstappen. Van Lastpass heb ik het vertrouwen dat ze goed reageren op nieuwe security problemen. Dashlane moet zich eerst maar even bewijzen en dan nog blijf ik denk ik bij lastpass :)
OT

Dit is cool, weet jij waar ik mij kan aanmelden hiervoor?
Bron (link)?

EDIT:
gevonden:
http://blog.lastpass.com/2014/12/introducing-auto-password-changing-with.html

[Reactie gewijzigd door kp.stolk op 9 december 2014 19:48]

En als je nou je Dashlane wachtwoord in verkeerde handen valt? Dan zijn al je 50 wachtwoorden gecompromised?
Als je het vermoeden hebt dat je wachtwoord is achterhaald dan moet je het natuurlijk wijzigen. Het begint echter met een goed wachtwoord kiezen wat je makkelijk kunt onthouden, maar wat lastig genoeg is om te kraken. Iets als two factor authenticatie zou nog beter zijn voor een login lijkt me.
En ook dat wordt (net als bij andere ww managers trouwens) ondersteunt. Je kan Google's Authenticator als 2e-factor gebruiken
Google's Authenticator, is dat dan voor alleen Google passwords, of kan je dat dan ook voor de rest van je wachtwoorden gebruiken, van zeg forums en webwinkels?
Die kan je gebruiken als 2e factor voor meer diensten. Nog geen webwinkels gezien die 2factor ondersteunen, maar ik gebruik het voor lastpass en enkele andere diensten. De authenticator is overigens niet je Google login. Het is een app die een steeds veranderende code genereert per dienst waarmee je daarop kan inloggen.
Datzelfde geldt dan ook voor andere password beheerapplicaties lijkt me. Dus niet zozeer met deze feature te maken toch?
Klopt, in het algemeen.
Ik neem aan dat dashlane soortgelijke beveiligingsmaatregelene heeft als LastPass:
Alleen inloggen vanaf vertrouwde browsers en vertrouwde landen
Extra Two-way authentication of simpelweg geblokkeerd als je niet aan deze voorwaarden voldoet.
Nee hoor je paswoorden hoeven niet meer gecompromiteerd te zijn.
Als Dashlane gecracked wordt stuurt de cracker over zijn paswoord naar jouw accounts via de dashlane api.

Jouw paswoorden hoeft hij niet meer te kennen en jij kan niet meer in je accounts want je hebt net op een veilige manier al je paswoorden gereset O-)
Daarvoor gebruiken de meeste mensen OTP (yubikey, google authenticator, etc,...).
Vraag me af hoe dit aan de achterkant werkt. Als dit doormiddel van een API is dan zouden andere password managers dit over kunnen nemen, en dat zou ik echt toe juichen.
Iemand die hier meer info over heeft?

Heb me zelf onderhand wel aangeleerd om om de zoveel tijd me wachtwoorden te veranderen, maar kan me voorstellen dat het voor veel mensen erg makkelijk zal zijn.
Vziw werken die password managers door invoer op wachtwoordvelden te matchen aan het domein. Misschien hebben ze nu hardcoded voor een aantal populaire domeinen waar een nieuwe wachtwoord heen gePOST moet worden?
Ik zat te denken aan een soort scraper die 'kijkt' naar type veld (mbt inloggen)
Voor username en pw heb je alleen een input='text' en input='password' nodig.
Vervolgens zoeken naar de submit button en submitten.

De sessie id opslaan zodat je die kan gebruiken voor latere requests.
Vervolgens wordt de page doorzocht op de generieke termen (Settings|Options|Account settings etc), op die pagina word er weer verder gezocht (password|change password| etc)
Ik gok dat dit zo werkt


Heb zelf een wachtwoord manager geschreven voor ownCloud, en daar zou dit heel goed in passen. Vandaar dat ik zo geïnteresseerd ben. Beter goed gejat dan slecht verzonnen :Y.
Zoiets doen die dingen ook. Een wachtwoordveld kan je verder vaak herkennen aan het feit dat de feedback voor dat veld meestal sterretjes of bolletjes of zoiets zijn. De gevonden velden worden dan gedecoreerd met een extra knopje waarmee je extra opties kan aanbieden (zoals het kiezen van een account als je er meer dan één hebt).

Ik zou overigens graag zien dat er een generieke API zou komen voor authenticatie en het managen daarvan die sites kunnen ondersteunen. Dat zou dit soort initiatieven veel makkelijker maken.
Een API zou best een risico zijn, dan zou elke app die je huidige WW weet, je wachtwoord kunnen wijzigen.
Dat lijkt mij ook. De volgende vraag zou dan zijn hoe je dit tegen kunt gaan. Wellicht met een nieuw password? :9 hehe!
Eeh dat kan nu al?
Nee, wanneer je nu ergens je bijv. Google wachtwoord invult ga je eerst naar een pagina van Google waar je je wachtwoord moet invullen, niet in de app zelf.
Volgens Tweakers.net zijn het de websites die ondersteuning bieden aan deze applicatie:
De Password Changer verkeert nog in de testfase, maar al meer dan vijftig sites zouden de feature ondersteunen.
Dat gaat dan waarschijnlijk via een API als dat zo is.

Of het is een creatieve stukje journalistiek die de waarheid in een onwaarheid veranderd :)

[Reactie gewijzigd door Engineer op 9 december 2014 18:46]

Handig, behalve dan dat alle wachtwoorden weer lekker centraal bij een punt samenkomt.....
ja net zoets als iemand die je e-mail adres kraakt en daardoor al je wachtwoorden kan opvragen. Een password manager heeft dan nog allerlei extra beveiligingen.

[Reactie gewijzigd door jurgen1982820 op 9 december 2014 17:10]

Behalve dat een hacker dit wel interessant vind omdat er dan direct weet ik hoeveel wachtwoorden binnen gehaald worden.
Dashline claimt dat ze de wachtwoorden met sterke encryptie opslaan (AES256) en zelf geen sleutels hebben.
Oh dus ze versleutelen het wachtwoord met je public key ofzo?
Waarschijnlijk gewoon een versleutelde container. Je stuurt dus een versleuteld bestand naar dashlane. Dashlane hoeft jou wachtwoord niet te weten.
Hoeft niet te weten en weet het ook daadwerkelijk niet zijn helaas twee verschillende dingen. Hoe vaak zien we niet dat er word geroepen wij slaan het niet op. Oops we zijn gehackt en hebben het heel misschien toch wel opgeslagen
.
Het is net als keepass maar dat zegt jou waarschijnlijk ook niets.
OOH MY BAD!! ik dacht dat het met een server communiceerde, maar het is gewoon een executable. In dat geval klinkt het zeer handig.
Bij lastpass wordt de data ook pas verstuurd als de database op je client versleuteld is. Zo zal dashlane dus waarschijnlijk ook werken. En anders zou ik er niet eens gebruik van maken.
Overigens is de keepass database geen executable.
Veel keepass gebruikers slaan database ook in de cloud op en dan heb je dus in principe het zelfde als lastpass en dashlane. Zonder het juiste wachtwoord kan je er niets mee.

[Reactie gewijzigd door jurgen1982820 op 9 december 2014 19:25]

Veel mensen schijnen ook te vergeten dat je wachtwoorden ook gewoon worden opgeslgaen in je browsers.. die kun je nog veel makkelijker achterhalen. Soms zit daar een user domain wachtwoord op. Maar die is nog altijd makkelijk te kraken dan een Keepass/lastpass code.
Als iemand je email kraakt weet hij niet welke website's je actief bent. Hier kan je direct je wachtwoorden en meestal ook gebruikersnamen inzien.
paypal is altijd het proberen waard.
Meestal sturen websites wel een bevestigings-mailtje van je registratie ;)
Klopt, maar als je dat goed doet is het veiliger dan de 'klassieke' methodes. Ik kan (en wil) mijn 300+ wachtwoorden echt niet allemaal zelf onthouden. Ik zou dan op veel plaatsen hetzelfde wachtwoord moeten gebruiken, of een ezelsbruggetje bedenken zodat je per site een variatie kunt aanbrengen.

Dan heb ik liever een password manager, natuurlijk mét sterk master-wachtwoord én twee-factor-authenticatie. Elke site zijn eigen willekeurige wachtwoord, incl. de andere handige features die men biedt. Goede password-managers versleutelen alles lokaal waardoor de server-admins geen toegang tot je data hebben. Perfect zal het nooit worden, maar beter dan het zelf onthouden kan wél.
prima initiatief, maar is er dan ook een manier om vervolgens mijn apps op m'n telefoon auto te updaten ?
anders ben ik nog 4 uur bezig om ze te copy / pasten zoals in het filmpje op hun site wordt uitgelegd.
Dit kan met lastpass premium.
En op IOS kun je ook authenticeren in safari obv fingerprint of pincode
Mogelijk zie ik iets over het hoofd. Maar naar mijn weten kunnen apps onderling op ios geen data uitwissel.
Het enige waarvoor dit zou werken is safari. Maar niet voor bv de Facebook of twitter app.
Okee, dan zul je dus zeker moeten betalen om bij je eigen wachtwoorden te kunnen? Ze moeten ergens van leven, dat begrijp ik. Maar ik onthoud ze dan zelf wel op 1 of andere manier. :)
Ja, want deze app werkt net als andere password managers gewoon ook op je mobiele apparaten, en kan (als je dat wil) je wachtwoorden syncen tussen die apparaten.
Banken doen hier niet aan mee?
Ik denk dat door de two-factor authentication die banken over het algemeen toepassen, dit niet echt te automatiseren is. Zo wel, dan is het kennelijk mogelijk om zonder de two-factor stap een wachtwoord te veranderen, iets dat in mijn ogen bijzonder onwenselijk zou zijn (idem als je voor Google de authenticator app gebruikt als tweede stap trouwens).

[Reactie gewijzigd door the_shadow op 9 december 2014 16:56]

Heb je het artikel wel gelezen? Daar staat letterlijk in dat het bij ook bij two-factor authenticatie mogelijk is, al is het dan niet volledig automatisch en moet de extra passcode wel nog handmatig ingegeven worden. Dat is natuurlijk ook niet meer dan logisch.
Als er tzt een gratis versie blijft bestaan, dan 'betaal' je op een andere manier. Luiheid c.q. gemak komt eigenlijk altijd met een prijs. Omdat veel systemen altijd een internet verbinding hebben is het heel erg lastig te controleren wat software allemaal van je PC afsnoept (en ergens heen upload). Misschien zie ik het te zwart in... Dan maar iets meer zelf onthouden (of als dat niet lukt, een offline kladder notitie).
Dit zou ik ook wel in Keepass willen zien.
Is het wel allemaal wenselijk dat dit automatisch of geautomatiseerd kan? Goed, de gebruiker is nog steeds de zwakste schakel, maar er hoeft maar 1 foutje te zitten in het geheel en de consequenties zijn misschien niet meer te overzien (beetje basisprincipe als toegang tot email te verkrijgen, vanuit daar kan je zo ziekelijk veel al uithalen).

Zeker als dit programma zelf target wordt van zo'n aanval, jij blind popups en whatnot invullen, ondertussen kunnen de mensen erachter doen en laten met je account wat ze willen.

Misschien ben ik old-school, dat grote kwabding tussen mijn oren herbergen alle wachtwoorden, al worden het met de tijd er steeds meer, zo ken ik iemand die heel tactisch diverse wachtwoorden heeft verwerkt in een poster op zijn kamer, ergens nog best een geniaal idee en moest wel erg 'NSA' style zijn om daar de logica in te ontdekken (ik zie het namelijk niet).

Daarnaast, wachtwoord voor je account aanpassen is geen probleem, het vervolgens doorvoeren in alle apps, programma's, autofillers, noem ze maar op.. dat is heel ander werk. Facebook 1x veranderen en ik moet meteen 5 plekken aanpassen, waar zit dan effectief je 'winst' in dit auto aanpassen? (1x niet, 5x wel).

Maar zulke zaken uit handen geven lijkt me niet bepaald wenselijk (ok, ik zit dan op Windows, is natuurlijk groter target voor aanvallen dan als je zulke programma's gebruikt op MacOS of Lunix - maar dat terzijde).
Wachtwoordmanager Dashlane heeft een nieuwe dienst aangekondigd waarmee gebruikers hun wachtwoorden voor bepaalde diensten automatisch kunnen wijzigen. De Password Changer verkeert nog in de testfase, maar al meer dan vijftig sites zouden de feature ondersteunen.
En de Update wordt automatisch naar de NSA gestuurd.
Dat is ver gezocht.

Maar serieus, ik wil niet dat een passwoordmanager mijn wachtwoorden wijzigt en kan wijzigen.
Ivm security en mogelijke bugs. Bij een bug in de software zou je helemaal niet meer kunnen inloggen. En security, als iemand deze password manager kan misbruiken kan hij/zij heel snel al mijn passwords wijzigen.

Is dit ook zo'n password manager die alles in de "Cloud" opslaat?

Dashlane heeft het Gazelle logo behoorlijk gekopieerd.

Ik doe dat soort zaken zelf wel.
mijn idee.
Het is weer het zoveelste verzinsel uit het oogpunt van "makkelijk" waarbij het wachten is op het eerste lek dat gevonden wordt.

Zie het zomaar gebeuren dat een hacker met een nog te ontdekken exploit in de api je wachtwoord veranderd op een ondersteunende website.
Op de lastpass website lees ik het volgende:
Once clicked, LastPass opens a new tab where it logs in for you, creates a new password, and submits the changes on the website, while also saving them to LastPass.
Het doet dus eigenlijk alle handmatige dingen automatisch.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True