Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 67 reacties
Submitter: Velvus

Twee Nederlanders bieden op crowdfundingsplatform Indiegogo een wachtwoordmanager met de naam Vaulteq aan. Deze bestaat niet uit een programma, maar uit een fysiek apparaat. De lokaal opgeslagen gegevens moeten hierdoor veiliger zijn dan in een online database.

De Vaulteq-kluis is gebaseerd op de hardware van een Raspberry Pi 2B en gaat in de voorverkoop 99 dollar kosten, omgerekend ongeveer 90 euro. Medeoprichter Frederik Derksen laat aan Tweakers weten dat het idee is ontstaan uit het feit dat wachtwoordmanagers nu vaak wachtwoorden in een online database opslaan, wat een beveiligingsrisico met zich meebrengt. Samen met medeoprichter Tim Gerrits wilde hij juist een oplossing die eigen beheer mogelijk maakt, 'net als een kluisje dat je zelf thuis hebt staan', legt Derksen uit. "Op het moment dat wij aan de ontwikkeling begonnen, waren er geen vergelijkbare oplossingen te verkrijgen. Daarom hebben wij het zelf gemaakt", voegt hij daaraan toe.

De Vaulteq is in feite een kleine server die thuis op de router aangesloten kan worden. Dit is alleen mogelijk via een ethernetpoort, omdat draadloze verbindingen risico's vormen. Met de Starter Kit van de Vaulteq is het daarna mogelijk om wachtwoorden en andere documenten op te slaan in hetzelfde netwerk. Met de Premium-versie is het ook mogelijk om van buitenaf toegang te krijgen tot de opgeslagen gegevens, bijvoorbeeld vanaf het werk of op reis. "Het is niet nodig om poorten open te zetten voor dit gebruik", zegt Derksen. "Het gaat allemaal volledig automatisch via een techniek waarvoor inmiddels octrooi is aangevraagd." Gebruik van de Premium-functie kost 40 dollar per jaar, ongeveer 36 euro.

Inloggen op het apparaat gaat via tweetrapsauthenticatie en de inhoud is versleuteld met aes-256-encryptie. Het vergeten of verliezen van het hoofdwachtwoord heeft dan ook tot gevolg dat men het apparaat niet meer inkomt. Een tweetrapsauthenticatiecode kan echter wel opnieuw worden aangevraagd. De api voor toegang tot de kluis is opensource, in tegenstelling tot de software zelf. Volgens Derksen verloopt de toegang bij de Premium-versie volledig anoniem, 'vergelijkbaar met een oud switchboard bij telefoongesprekken'. Zo wordt alleen de identiteit van de gebruiker vastgesteld en wordt deze vervolgens doorgeschakeld naar de kluis. Het is mogelijk een back-up van de Vaulteq te maken en deze op te slaan op een usb-stick of harde schijf.

Derksen laat weten op dit moment nog veel meer ideeën te hebben. Er komen in de toekomst dan ook meer functies en modellen beschikbaar. Voor de Vaulteq willen Derksen en Gerrits binnen een maand 50.000 dollar ophalen. Ondersteuning voor iOS en Android is er al; ondersteuning voor Windows Phone is een van de stretch goals. Er moet alleen nog opdracht voor productie worden gegeven, waarna de apparaten vanaf augustus geleverd kunnen worden.

vaulteq        De Vaulteq-wachtwoordkluis

Moderatie-faq Wijzig weergave

Reacties (67)

Als mede oprichter van Vaulteq wil ik toch even reageren op een aantal conclusies die hier in de comments getrokken worden.
Ten eerste, het wifi verhaal is wellicht wat knullig in dit artikel beschreven, maar de hoofd reden (naast het feit dat er natuurlijk wat security dingetjes zijn) is dat het configureren van een wifi 'servertje' voor een gewone consument (waar dit product uiteraard op gericht is) binnen een netwerk erg veel stappen heeft en al snel te ingewikkeld kan worden. En als start-up focussen we graag met de eerste batch op een zo makkelijk bruikbare password manager.
Verder, het feit dat de Vaulteq in je router gaat betekend niet direct dat iedereen er van buiten maar bij kan. Natuurlijk is de Linux die er op draait volledig dicht getimmerd en alleen de API is bereikbaar.
De API is open, dus je kunt als tweaker ook zelf zien (als de indiegogo een success is) dat er niks raars in- of uit gestuurd wordt.
Sowieso kun je controleren dat alles wat er überhaupt uit gaat volledig AES-256-GCM (de military grade :+ ) encrypted is. En dat er gebruik wordt gemaakt van 2FA.
Als je al een VPN o.i.d. hebt hoef je natuurlijk niet gebruik te maken van het Premium. De Premium subscription is er om ook je tante veilig en makkelijk buitenshuis passwords (of notes/fotos/documenten) te managen en dit komt ook incl extra 'customer support' iets dat je waarschijnlijk op prijs stelt als je voor dit pakket zou kiezen (de minder tweaker onderlegde mensen).
Ook kan, omdat de API open is, er een plugin gemaakt worden voor je NAS, alles is mogelijk.
Het project (Vaulteq) is, zoals je ziet, meer dan alleen een RPi "'met wat encryptie meuk erop" te verkopen. We proberen met name mensen die een totaal oplossing (browser extensions en apps zitten er ook bij) buiten de cloud zoeken een optie te bieden. En direct ook al die mensen die nog geen password manager hebben, kennis te laten maken met iets fysiek & tastbaars dat hun hopelijk ook over de streep trekt. Overigens is kritiek altijd welkom :Y)
Als iemand die geen password manager gebruikt, want ik vertrouw die meuk niet geeft dit me niet een gevoel van veiligheid als ik het zo lees.

Dat het een Pi is maakt geen drol uit das net zo veilig of onveilig als een volwaardige server met 32 cores en 1TB geheugen, het is de software die het veilig maakt of niet.

Dus dit is een waarschijnlijk nginx of apache servertje met een beetje php code dan wel java servetje met niet veel anders. Dat zo als zo vele al geschreven hebben door twee hobbyisten is geschreven die niet bekend staan om hun kennis van security (misschien wel lokaal maar zeker niet in de grote boze wereld buiten het dorp/de stad/het bedrijfje of de school) dat genereert niet echt vertrouwen.
Het idee dat ik mijn wachtwoorden dan wel bestanden die ik niet wil delen op een flash kaartje schrijf dat volgens claims beveiligd zou zijn (er moeilijk te bewijzen want closed source). En dat ik dit voor 40 euro per jaar via een alweer closed source onbewezen protocol over het internet mag versturen lijkt me anders dan nog al duur een zeer ongemakkelijk iets. Immers wie kan bewijzen dan dit protocol ook echt veilig is? En waarom niet een bewezen protocol gebruiken wat bied dit protocol aan extra features of veiligheid die de andere protocollen niet bieden?
Het feit dat dit centraal geregeld wordt door is ook al niet echt iets dat me een gemakkelijk gevoel geeft immers ik hoef alleen de centrale locatie te hacken om toegang te krijgen tot alle systemen, immers als het makkelijk is kun je moeilijk van de gebruikers verwachten dat ze hun IP doorgeven. Dus die dingen moeten op de een of andere manier toch echt naar huis bellen in ieder geval elke keer als ze een nieuw IP toegewezen krijgen op de router, en dus niet echt veilig.

Daarnaast moet ik nu zelf backups maken, deze onderhouden en veilig opslaan niet echt handig en dus ook niet echt geschikt voor bijvoorbeeld mijn moeder die ondanks herhaaldelijke pogingen nooit echt iets van computer heeft begrepen (ze kan wel emails versturen en posten op facebook etc maar dat is het wel zo'n beetje).

Al met al vind ik voor een jaar bij mijn bestanden en wachtwoorden kunnen die ik thuis op sla voor 90 euro aanschaf en 40 euro abbo een heel erg duur iets voor een security oplossing die zo "veilig" is dat de sources closed source zijn en dus niet zo als het hoort te controleren.
Sorry maar als een IT professional zet ik zeer grote vraagtekens bij dit project en zal ik zeker de eerste paar jaar mensen afraden dit te gebruiken omdat het me een alles behalve veilig gevoel geeft.
Zonder ook maar iets van de technische specificaties te begrijpen lijkt er voor dit soort producten wel een markt te zijn. Als dit product de markt haalt zal het ongetwijfeld door menig tweaker getest gaan worden, waarschijnlijk ook met het idee een zwakke plek te vinden, mocht deze er überhaupt zijn.

Daarom verbaast het mijn dat een IT professional dit product op voorhand de eerste paar jaar gaat afraden op basis van een gevoel. Dat lijkt mij een kwalijke zaak, want volgens mij moet de uitdaging bij een IT professional in deze markt er in zitten dit soort producten uitvoerig te testen en dan pas een oordeel te geven.
Het is een veiligheidsproduct, daar werkt het andersom. De Fabrikant moet de IT professionals ervan overtuigen dat het een goed en veilig product is. In eerste instantie door hem een goed gevoel te bezorgen door de relevante informatie in voldoende mate te verschaffen. Als die informatie er niet is heeft testen weinig zin en is het oordeel automatisch negatief.

De informatieverschaffing is in dit geval, voor dit doeleind, onder de maat. Vandaar dat je onder de reactie van CT zoveel kritische vragen en opmerkingen ziet.
Er is reeds een product dat zijn veiligheid reeds zo'n 2 jaar bewezen heeft (een hardware wallet waar naar ik schat ruim 1 miljard dollar mee wordt beveiligd: dus als je het kan breken ligt er een heel grote hoop geld voor het oprapen).

De producent heeft kort geleden laten door schemeren dat ze binnen kort met een "wachtwoord manager" release zullen komen (software uitbreiding op bestaande product). Ik heb eerlijk gezegd meer vertrouwen in de dedicated hardware en open-software van Trezor dan het PI product dat hier besproken wordt.

Voor geinteresseerden: https://www.bitcointrezor.com/
Zonder ook maar iets van de technische specificaties te begrijpen
En juist daarin zit het probleem. Dit soort praktijken van "Vaulteq" worden "snake oil" genoemd, zie bijvoorbeeld https://en.wikipedia.org/wiki/Snake_oil_%28cryptography%29.
Sorry maar werkend voor een grote bank kan ik maar een ding echt aanraden en dat is laten we vooral niet een product in huis halen dat zich niet heeft bewezen waar geen security professionals de kans hebben gehad om er gaten in te prikken en om oplossingen aan te dragen.

Een heel erg goed voorbeeld is de Milfare chip die gebruikt werd voor de OV chip kaarten in Nederland. Anders dan dat het concept van geld op een kaart zetten een nog al dom idee is (chip knip was net zo'n grote faal immers) was de chip totaal onbewezen alles gebaseerd op een bedrijfje dat zij wij hebben een goed product vertrouw ons maar.
De eerste berichten waren kan niet gekraakt worden, al snel nou ja kan niet gekraakt worden kan wel maar is heel erg duur en lastig. Niet veel later voor maar 300 euro, en kort daar op laat maar voor minder dan 10 euro kun je ze volledig bewerken. Natuurlijk riep de fabrikant samen met de beheerder van dit falende systeem, maar dat kunnen we heel goed detecteren hoor, toen bleek dat O. Bin Laden al maanden door Amsterdam aan het reizen was. Daar na was het verhaal ja maar dat was alleen initieel die chip we waren altijd al van plan een nieuwe versie met een andere chip uit te brengen. En niet veel later bleek dat dan alle poortjes en scanners etc geupdate moesten worden en dat was toch ook wel weer erg duur.

Als je dan kijkt naar bijvoorbeeld Z. Korea waar men al jaren gewoon met de telefoon betaald door middel van NFC en een koppeling met je bankrekening. Of bijvoorbeeld in oost europa waar je een kaart koopt die aan de pas gelinkt wordt zodat de kaart zelf niets waard is en bij verlies of diefstal je de kaart simpel weg ongeldig kan laten maken en een nieuwe kaart kunt aanvragen...
Beide zijn bewezen technieken bestonden al tijden toen in Nederland men nog maar net begon te werken aan het project.

Security is een veld waar je niet het nieuwste en laatste nodig hebt, waar open source en door zo veel mogelijk mensen bekeken en veilig bevonden veel beter voldoet dan nieuw en gemakkelijk. Een security product dat volledig closed source is eigenlijk nooit een goed idee omdat security trough obsurity simpel weg niet werkt en op het moment dat er een fout gevonden wordt in een service of protocol dat gebruikt wordt in de closed source oplossing dan ben je altijd weer afhankelijk van 1 bedrijf of soms zelfs 1 persoon binnen 1 bedrijf om een fix juist te implementeren zonder dat er ook maar iemand die code na kan controleren.
Wat security betreft is open source simpel weg veel beter dan een closed source oplossing.

Dus vergeef me als ik als IT professional zeer sceptisch sta tegen over een totaal onbewezen product waar van de makers niet bereid zijn de code te delen zo dat andere deze kunnen onderzoeken om de claims van de makers te staven en eventuele gaten te vinden en voorstellen te doen om deze te dichten.
Dat de software close source is kan ik begrijpen, immers wat houdt iemand anders tegen om de software zelf op een Pi te zetten.
Echter, alleen al door de closed software diskwalificeert het product zich onmiddelijk. Een password manager kan nooit een trusted platform zijn als het geheim is wat het allemaal doet.
Ergo,een dergelijk product zal, iig voor de gebruiker, nooit succesvol zijn.
Last but certainly not least, the software that runs on a device can make or break its security. That's why we open sourced our API. Because of this, we can now guarantee that there is no backdoor or other privacy issue in our software. This also allows other developers all over the world to check our technology and weed out any flaws that might exist.
"open sourced our API" wat betekent dat? je bedoelt dat je documentatie hebt over het gebruik van de API? Welke garantie biedt dat over de achterliggende code? Google, Facebook en Dropbox hebben ook een "open source API".
We also encourage other developers to check and question our open sourced code.
Waar staat de code? Misschien heb ik de link gemist...
Vaulteq consists of several applications and services. First, there are the apps for cell phones and the extensions for web browsers. They all communicate with Vaulteq itself. Vaulteq in turn communicates with these apps and extensions through something called an API (Application Programming Interface). The API on Vaulteq is completely open source.
Dus de broncode van deze (mobiele|web) applicaties is ook "open source"? Waar kan ik de broncode downloaden?
We use a patent pending technology which in short uses a switchboard, much like the old telephone operators. You 'call' us through a unique code that identifies your Vaulteq and then we connect you through.
Je hebt zojuist beschreven hoe een router werkt. Overigens bestaat soortgelijke technologie om terug door NAT te gaan al lang, zie bijvoorbeeld: https://pagekite.net/.

[Reactie gewijzigd door Felix op 29 februari 2016 19:50]

Ik ben helemaal voor initiatieven die de controle bij de gebruiker leggen en als dat hier het geval is, hulde. Helaas ben ik er nog niet van overtuigd dat het ook beter is dan een Cloud oplossing. Je vraagt om kritiek bij deze dus een aantal losse flodders :)

1. Jullie zijn er vaag over open source en open API's, en halen dat ook door elkaar op de Indiegogo site. Het is totaal niet duidelijk of het nu open source is, en zo ja welke delen en onder welke licentie ?

2. gepatenteerde technologie ? hoe dan ? wat is hier anders aan dan de standaard NAT traversel via een derde server ergens op het internet ? Juist deze communicatie is een potentieel aanvalsdoel. Hoe is de communicatie via deze route beveiligd tegen gecompromitteerde centrale servers ?

3. Hoe passen die patenten eigenlijk bij de open source licentie ?

4. Jullie garanderen dat er geen backdoor in zit "omdat de API open source is". huh ? zie 1. ook: een API van wat voor aard dan ook garandeert natuurlijk niet dat er geen backdoor in zit. Zeker niet als alle verkeer geencrypt is en over een derde server loopt (zie 2).

5. Hoe zijn de wachtwoorden in het apparaat beveiligt ? In tegenstelling met Cloud oplossingen is bij een dergelijk apparaat het risico op een fysieke aanval behoorlijk groot.

6. Apps voor IOS, Android, Windows Phone, inclusief voor updates voor de Vaulteq zelf. Hoe is het systeem beveiligt tegen gecompromitteerde telefoons ? Of tegen een gecompromitteerde Apple, Google of Microsoft ?

7. Zijn er maatregelen genomen om te voorkomen dat jullie gedwongen kunnen worden een gecompromitteerde firmware als update naar een of meerdere Vaulteqs te sturen ?

8. Niks persoonlijks hoor, maar bij een dergelijk oplossing is een van de grootste risico's de spreekwoordelijke rotte appel in de eigen organisatie. Zijn hier passende voorzorgsmaatregelen genomen ?

En ja, ik realiseer me dat sommige vragen nogal ver gaan, waarschijnlijk veel verder dan scenario's waar de meeste mensen mee te maken gaan krijgen, maar dat maakt de antwoorden niet minder interessant.

[Reactie gewijzigd door locke960 op 29 februari 2016 22:09]

Dag CT,

Gefeliciteerd met de gratis reclame.

Wat zijn jouw credentials in de security wereld?

Volgens Indiegogo quote:
Experienced entrepreneur and Fullstack Developer & Architect, Team leader and App developer. Creator of the Relax&Sleep App which already helped millions of people with their sleeping problems. In depth-knowledge of backend programming, cluster- and cloud based environments, database optimization, big data and high security internet implementations.
Wat houdt het dikgedrukte concreet in?
Verder, het feit dat de Vaulteq in je router gaat betekend niet direct dat iedereen er van buiten maar bij kan.
Networked (geen air gap) is een nadeel van dit systeem. Om het dan over military grade cryptografie te hebben is puur marketing praat. U2F met 2FA icm. of simpele wachtwoorden, of icm. een wachtwoordmanager zie ik meer heil in. Eventueel kun je ook je wachtwoorden met GPG op een USB stick zetten.

Ter vergelijking: LastPass heeft end to end security, en kost 12 EUR per jaar. PasswdSafe is gratis. Een YubiKey kost tussen de 20 en 50 EUR, en heeft een track record. Alledrie oplossingen die ik meer vertrouw dan een of andere "magic box"
Last but certainly not least, the software that runs on a device can make or break its security. That's why we open sourced our API. Because of this, we can now guarantee that there is no backdoor or other privacy issue in our software.
Not really. You can only prove you cannot find a backdoor or privacy issue in a device by finding none. Having a public API helps in this regard, but having the source code open helps even more. It saves a security researcher having to extract the contents of your firmware.

I have another question. How are you saving the database format? Can it be exported? What happens when the device get stolen? I sincerely doubt you use any form of disk encryption. Not that disk encryption is 100% secure anyway.

PS: APIs are never "open source"; an API is either "open" or "closed". You claim your API is open, I believe you, and I also believe you either misunderstand the terminology or worse you're trying to mislead potential customers.

[Reactie gewijzigd door Jerie op 29 februari 2016 22:21]

Hallo mede-oprichter van Vaulteq,

ik wilde even melden dat jouw device meer ongemak voor de gebruiker met zich meebrengt, in de zin dat de gebruiker een fysiek apparaatje bij zich moet dragen waarvan de inhoud niet vanuit het internet benaderbaar is. Dat is is niet modern, echt als je het vergelijkt met oplossingen zoals vingerafdruk, selfies etc.

En toch zorgt juist dit ongemak ervoor dat jouw device veiliger is dan veel moderne meuk. Een algemene vuistregel zegt: hoe meer gemak, hoe minder veilig. In dit geval: online opslag van wachtwoorden = veel gemak, maar minder veilig. Offline opslag = weinig gemak, maar meer veiligheid.

Je hebt gekozen voor minder gemak en dat lijkt me een verstandige keuze in een tijd waarin veel mensen streven naar meer gemak :)
Het idee is zeer goed en softwarematig lijkt het erg ingenieus maar design-technisch en marketing gewijs heb ik wel wat vragen.

- waarom is het product zo groot en heeft het een aparte adaptor? Kon het ontwerp niet All in One zijn? Dan moest je enkel nog een netwerk kabel hebben.

- waarom is buitenhuisgebruik premium? Dat is toch 100% een basic need??

- waarom 90euro? + jaar abbo? Dat is veel geld voor eenn cosumer product, en hoe kan je zo ooit de Cloud diensten verslaan?
Medeoprichter Frederik Derksen laat aan Tweakers weten dat het idee is ontstaan uit het feit dat wachtwoordmanagers nu vaak wachtwoorden in een online database opslaan, wat een beveiligingsrisico met zich meebreng
Dus in plaats van op een door Microsoft, Amazon, Google of een andere (zich specifiek op beveiliging richtende) partij zwaar dichtgetimmerde cloudserver draait het nu een stuk veiliger in mijn thuisnetwerk met huis- tuin- en keukenrouter van ¤30, draaiend achter een voordeur met een cilinderslotje van ¤20?
De Vaulteq is in feite een kleine server die thuis op de router aangesloten kan worden. Dit is alleen mogelijk via een ethernetpoort, omdat draadloze verbindingen risico's vormen.
En welke risico's zijn dat dan precies? Het afluisteren van de draadloze communicatie lijkt me een voor de hand liggende, maar dat risico is er evengoed als een van de verbindende apparaten draadloos is.
Met de Premium-versie is het ook mogelijk om van buitenaf toegang te krijgen tot de opgeslagen gegevens, bijvoorbeeld vanaf het werk of op reis. "Het is niet nodig om poorten open te zetten voor dit gebruik", zegt Derksen. "Het gaat allemaal volledig automatisch via een techniek waarvoor inmiddels octrooi is aangevraagd.
Oftewel een onbekende, onbeproefde techniek. Die veiliger is dan bestaande, volwassen, beproefde industriestandaarden. Geschreven door twee Nederlanders met een crowdfundproject. En dan veiliger dan wat er al is?

Het kan. Maar het is bijzonder onwaarschijnlijk.

[Reactie gewijzigd door HooksForFeet op 29 februari 2016 17:01]

Sterker nog, een wifi router in het netwerk (wat iedereen al heeft) is al voldoende, je kan immers via een brakke Wifi router met slechte protectie al toegang krijgen tot het netwerk.

Aangezien de hardware op de Pi gebaseerd is zal het hoogstwaarschijnlijk een custom Linux build zijn met wat encryptiemeuk erbij.
Dus in plaats van op een door Microsoft, Amazon, Google of een andere (zich specifiek op beveiliging richtende) partij zwaar dichtgetimmerde cloudserver draait het nu een stuk veiliger in mijn thuisnetwerk met huis- tuin- en keukenrouter van ¤30, draaiend achter een voordeur met een cilinderslotje van ¤20?
Je kan het apparaat ook fysiek meenemen, waardoor je alsnog alle data kwijt bent. is toch wat lastiger bij een cloud oplossing :)
Het valt me op dat het gros van de reacties (zeer) negatief en afkrakend is. Dat vind ik jammer...

Het is toch mooi dat twee Nederlandse jongens bezig zijn met iets op te zetten, een mogelijke oplossing bieden voor iedereen die twijfels heeft over de cloud hosting van passwords?

Ik vind het niet tweaker waardig om ze zo af te kraken. Feedback prima, maar geef dan opbouwende feedback.. Beetje jammer dit..
Allereerst, het is zeker mooi wat deze jongens willen doen. Maar doe het dan meteen goed. Zoals eerder geopperd, de meeste thuis routers zijn zo lek als een mandje en als je dan van buitenaf er bij kan komen, dan is het eigenlijk helemaal niet safe. Sterker nog, alles ligt dan open en bloot en met een packetsniffer is ww van dit apparaat zo uit de lucht te sniffen.

Daarbij vliegt het woord Indiegogo weer om de oortjes. Net als Kickstarter imo een louche site. Ik heb nog voor 600USD open staan aan zogenoemde crowdfunding projecten waarbij de ontvangende partij met het geld gevlogen is en Indiegogo en Kickstarter een dikke middelvinger naar me toe stuurt. Maar wel commissie vangen over het gestolen bedrag. Als je ze daarop wijst, dan hoor je niks meer van ze. En zo zijn 600 dollartjes van mijn zuur verdiende centjes gone with the wind.

Nee, het mag negatief klinken en het project kan dan nog zo mooi zijn, ik weiger OOIT nog in zee te gaan met crowdfunding websites. Als je een goed idee hebt waren er vroeger investeerders en banken die je wilden helpen met je opzet. Nu wordt alles maar te pas en te onpas op crowdfunding gegooid en kom je er later achter dat de verantwoording ver te zoeken is.
Dat je 600 dollar/euro hebt uitgegeven aan kickstarter/indiegogo projecten heeft hier naar mijn idee niet zoveel mee te maken. Het zegt ook niet zoveel over de websites dat je het geld 'kwijt' bent. Elk bedrag dat je overmaakt is een gok, waarbij niemand verplicht is je dat bedrag terug te betalen als het project toch niet wil slagen. (Even vanuit gaande dat het geen wanbeleid is geweest) Wil je dat risico niet dragen dan moet je wachten tot het product daadwerkelijk op de markt komt.
Nou weet je, het is eerder dat mijn haren omhoog gaan staan bij dat soort namen, maar dat is inderdaad meer persoonlijk en yup, was ook off-topic.

Neemt niet weg dat ik niet zo charmant ben van het product, maar redenen daarvoor zijn al hier over en weer besproken.
Klopt. Ben een voorstander van het idee, en het veilig kunnen opslaan van wachtwoorden etc. Maar weet niet zeker of dit de beste oplossing is, wacht het ook rustig af tot het zichzelf bewezen heeft.
Je verhaal gaat voornamelijk over crowdfundingsites. Lijkt me niet juist om het idee van deze jongens daarop af te schieten... Daarnaast, kan me niet voorstellen dat er geen algemene voorwaarden bij die crowdfunding sites staan. Immers, dat is het risico van investeren in de innovatie van een startup.
Het rammelt aan alle kanten, en wat je hier in deze thread leest is niets minder dan opbouwende kritiek! Het lijkt een uit de hand gelopen zelfbouw hobby project. Het kan mij werkelijk aan me anus oxideren of dit gedaan wordt door Nederlanders, Chinezen, Amerikanen, of pinguïns op Antarctica. Het lijkt er op dat men probeerde gratis reclame te verkrijgen op Tweakers.net, maar dat de oplettende lezers scherpe nuances aan weten te brengen. Als er iets mij duidelijk is geworden na het lezen van de vele reacties, is het wel dat er op Tweakers.net toch een aantal intelligente personen posten die verstand hebben van hoe het in ieder geval niet moet. Hoe het wel moet, is een stuk moeilijker. Maar deze mensen verkopen dan ook niet zo'n duur apparaat. :)
dus wanneer mag je wel iets afkraken volgens jou?

Heeft niks met tweakers te maken maar met het product PUNT
Slechte protectie? WPA2 heb ik binnen een dag gekraakt dus praktisch elke router heden ten dage is een slecht idee om als veilige optie voor deze hardware password manager te hanteren.
WPA2 heb ik binnen een dag gekraakt
Doel je nu op standaardwachtwoorden en korte wachtwoorden of echt alle WPA2 routers?
Beide! Heb een WPA2 (in opdracht) gekraakt met een ww lengte van 24 tekens en dat duurde maar net 1 dag.

En meeste WPA2 routers zijn hier vulnerable voor. Maar met een laatste techniek is het zelfs mogelijk om ww uit te lezen van de SSID van Ziggo/UPC routers.
WPS uitzetten verhelpt dat, neem ik aan
Als die 24 tekens uit gewone woorden bestaan geloof ik dat je deze hebt kunnen kraken met een dictionary attack.

Een WPA2 wachtwoord a la d9f4514a55cda63e4741c439f5 is echter m.i. nog steeds niet binnen een dag met een laptopje te kraken.

Correct me if I'am wrong.

[Reactie gewijzigd door De Hakkelaar op 1 maart 2016 10:36]

Draaiend achter een voordeur met een cilinderslotje van ¤20?
Inderdaad een van de zwakste schakels van de hedendaagse mens. Zie ook deze aflevering van RamBam over prive detectives.
Natuurlijk leuk dat dit door Nederlanders wordt ontwikkeld, maar toch roept dit allerlei vragen op (die deels) hierboven ook al zijn gesteld:
  • In hoeverre is dit nu echt veiliger dan - laten we zeggen - LastPass? Die versleutelt wachtwoorden op de client, dus de server heeft geen enkel plaintext wachtwoord.
  • Waarom moet je 40 dollar per jaar betalen om toegang tot je eigen "server" te krijgen? Klinkt alsof je 40 dollar voor NAT-traversal betaalt.
  • Hoe zit het met de backup van de gegevens in dit ding?
  • Waarom niet zo iets als (of een alternatief) voor de Yubikey. Dat is een echt hardware device (die ook z'n nadelen kent overigens). Als je zo'n apparaat als een Bluetooth keyboard zou kunnen laten werken of zo (natuurlijk wel iets complexer dan dat), dan zou dat een hoop issues t.o.v. de Yubikey oplossen.
  • De opmerkingen van de mede-ontwikkelaar hierboven stellen ook niet echt gerust. "volledig dicht getimmerd " zou betekenen dat toegang van buiten niet mogelijk is, en dat is juist wat de Premium feature aanbiedt.
  • Hoe zit het met meerdere gebruikers (een gezin) die in hetzelfde kastje hun wachtwoorden willen opslaan? Kan dit en moeten die allemaal 40 dollar per jaar afrekenen om van buiten bij hun gegevens te kunnen?
  • "dit komt ook incl extra 'customer support' iets dat je waarschijnlijk op prijs stelt als je voor dit pakket zou kiezen ": in hoeverre kan de leverancier support leveren hierop? Klinkt bijna als een extra beveiligingsgat of interpreteer ik dit verkeerd?
De opmerkingen van de mede-ontwikkelaar hierboven stellen ook niet echt gerust. "volledig dicht getimmerd " zou betekenen dat toegang van buiten niet mogelijk is, en dat is juist wat de Premium feature aanbiedt.
Nee, dichtgetimmerd slaat in deze context op het systeem zelf. Je kunt dus niet zien wat er gebeurt want je mag nergens bij (behalve via de 'open' api dus). Ben benieuwd hoe ze dat met de GPL regelen, trouwens.
Bluetooth is niet erg veilig. NFC ook niet, maar dat heeft als voordeel dat het kortere range heeft. Je zou NFC nog steeds met een gerichte antenne af kunnen luisteren (TEMPEST ed.), maar de adversary heeft bij Bluetooth een veel grotere kans van slagen ivm het bereik van het signaal.

Er is een reden waarom YubiKey ed. geen Bluetooth ondersteunen. En ook waarom ze geen NFC ondersteunen. Enerzijds bovenstaande. Anderzijds is het of niet standaard in telefoons, of gesloten.
Op het moment dat het aan mijn router zit en ik er vanaf het internet bij kan komen, krijg je toch dezelfde problemen als met online opslag? Enkel host je het dit keer zelf op je routertje thuis die eventueel lek als een mandje is...
Ja en nee, uiteindelijk is zo'n apparaatje waarschijnlijk even gevoelig als een online manager, maar omdat er maar enkele gebruikers aan zitten is het minder interessant moeite te doen om een zo'n ding te hacken. er staan slechts gegevens van één persoon in.
Aan de andere kant... als je geautomatiseerd honderden, als neit duizenden, van deze apparaatjes door een foutje kan hacken..
Exact! het is dan ook niet een echte hardwarematige password manager, alsmeer een dedicated password manager. Ik zie de grote voordelen niet boven een standaard password manager, met je db in de cloud, gebaseerd op open, en bewezen technologie, versus gesloten, nieuwe, dure technologie.

Deze architectuur betekent dat als je thuisnetwerk het neit doet, je opeens niet meer bij je gegevens kunt. Klinkt dus niet per se als veiliger, of betrouwbaarder, maar vooral duurder ;)
Ik had echt het idee dat het in de vorm van pak hem beet een psion/nokia E900 zou komen.
En dan voorzien van een slimmigheidje om 'veilig' de naam/pw over te brengen naar de desktop ( nfc, qr, morse .. whatever, ben geen ontwikkelaar ;) )

Maar dit is imo nog onveiliger dan een keepass database, die je op een NAS, owncloud of desnoods in dropbox bewaard.
Persoonlijk zie ik helemaal geen heil in online opslag van mijn beveiligingsmaatregelen.

Wil je veilig, dan doe je het zelf, fysieke beveiliging zoals kluizen, honden of een degelijke verstopplek.
Niet NOG een device aan je enkelvoudige datalijntje, met een hotline naar een externe partij.
( of laten jullie je wederhelft ook overnachten bij de buurman, omdat je zelf niet thuis bent ? )
Zou best kunnen met een Raspberry Pi 3 en Wi-Fi Direct. Dan heb je een directe verbinding met je 'wachtwoord kluis'. Als je alles nou zo instelt op basis van een unique identifier kan niemand verbinding maken behalve jou eigen toestellen.

Alleen de meeste PC's ondersteunen Wi-Fi Direct niet, maar laptops en telefoons wel. De nieuwe moederborden ook wel denk ik. In de huidige opzet lijkt het mij niet veel waarde of veiligheid toevoegen en ook voor een te hoge prijs.
Het verschil is dat je wachtwoorden nu niet in handen zijn van die online aanbieder. Verder is het niet je routertje die de veiligheid moet bieden maar de encryptie op de database. Ook de data van zo'n aanbieder kan makkelijk in verkeerde handen vallen, denk maar aan LastPass. Pas dan blijkt hoe veilig je wachtwoorden beschermd zijn.
Aan de andere kant zou je ook kunnen stellen dat je als eenling zelfs een minder aantrekkelijk doelwit bent...
Het verschil is dat je wachtwoorden nu niet in handen zijn van die online aanbieder.
Bij Lastpass en Keepass zijn de wachtwoorden ook niet in handen van de aanbieder. Ze zijn volledig versleuteld voordat ze online gaan.

Hoe zit dit apparaat met multi-user?
"Het is niet nodig om poorten open te zetten voor dit gebruik", zegt Derksen. "Het gaat allemaal volledig automatisch via een techniek waarvoor inmiddels octrooi is aangevraagd."
Ik ben wel benieuwd hoe ze dit voor elkaar willen krijgen. In mijn thuisnetwerk is het zo dat poorten waarvan ik niet wil dat ze gebruikt worden ook simpelweg niet naar buiten of naar binnen komen. Ik krijg hier een beetje een UPnP gevoel bij en dat is niet een warm gevoel.

Wellicht zijn er nog andere oplossingen, ongetwijfeld dat ik daar niet aan gedacht heb.
Of iets zoals een Reverse SSH Tunnel.
Ik vermoed dat het apparaatje een verbinding naar buiten naar de Premium server opzet. Dat vinden de meeste firewalls geen probleem, en gaat ook met NAT goed.
Een andere optie om waar te maken wat gezegd wordt kan ik me zo ook niet bedenken.
Het is een mooi apparaat!

Wat ik me alleen afvraag, hoe zit het met backups en eventuele disk crashes en/of corruptie?
SD kaart corruptie is iets wat vaak voorkomt bij de Raspberry Pi.

[Reactie gewijzigd door Darkstylo op 29 februari 2016 17:03]

Backup naar USB stick. Zie filmpje
Dat is geen permanente oplossing. SD kaarten (met mame de goedkoopste) die gaan kapot. Daarom zijn Raspberry ups modules zeer populair. Die houden de box nog even aan en sluiten het veilig af ter voorkoming dat de SD corrupt raakt tijdens wegschrijven data.
Waarom kunnen ze niet gewoon een plugin schrijven voor Synology, Qnap of een andere NAS?
Weer een extra kastje lijkt mij overkill als ik het ook op de NAS kan doen.
edit:
Gelijk even gegoogled en die blijken al te bestaan, zoals Synopass

[Reactie gewijzigd door DJMaze op 29 februari 2016 17:06]

Juist de synology heeft ook tweestapsbeveiliging, ssl en bestaat al! Maar zowiezo voor LAN is het wel veilig je wachtwoorden op te slaan maar zodra je poortforwart gebruikt om via internet benaderen heb je zelfde probleem als de online passmanagers (lastpass etc).
Alles wat aan internet hangt is te hacken!!! ook een NAS achter een 'firewall'.
Dusss....
Een 'lokale' cloudloze wachtwoord manager, die via ethernet verbonden is, want wifi is onveilig ofc (:? uhh TLS?), die vervolgens communiceert met je telefoon over hetzelfde evil wifi....

Je hebt dus een "lokale" database die aan je router hangt.

Die vervolgens communiceert via een of ander callback mechanisme
(Klinkt als UDP hole punching ala http://resources.infosecinstitute.com/udp-hole-punching/)
met een cloudservice waar je dik voor betaalt en het idee van een 'lokale' database gelijk weer onderuitschopt.

Wat dubieuze claims zoals "Military grade protection" (yay, dezelfde encrypte die Amerikanen gebruiken, supervelig idee!.. :/ .) en een opensource API DUS we zijn vrij van security leaks (wat?!.).

Ik zou zo'n kastje in ieder geval niet aan mijn netwerk hangen..
Wat dubieuze claims zoals "Military grade protection" (yay, dezelfde encrypte die Amerikanen gebruiken, supervelig idee!.. :/ .) e
Het geheel blijft twijfelachtig, maar to be fair: "militairy grade" betekent niet per sé "Amerikaans".
> .... verloopt de toegang ... volledig anoniem .. zo wordt alleen de identiteit van de
> gebruiker vastgesteld ...

Huh? Als de identiteit van de gebruiker wordt vastgesteld werkt deze procedure toch juist niet volledig anoniem.
"Een identiteit van een gebruiker" is vaag. Het betreft geen verbinding via Tor. Het betreft een verbinding via het Internet. Deze verbinding wordt gelegd via een publiek IP adres, en dat is een persoonsgegeven. Dus nee, lijkt me inderdaad niet anoniem.
Vind het een mooi ding!
De prijs lijkt in eerste opzicht duur maar ik denk tot dat wel mee valt.

Wat ik me wel afvraag is als je de master key/wachtwoord vergeet kan je dan het hele apparaatje resetten. En als het word gestolen word de data automatisch gewist na een x aantal pogingen.
Of als het opeens op een andere locatie word aangesloten zijn daar dan ook nog checks voor?

Vooral het laatste lijkt mij interresant!

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True