ProtonMail voert inloggen en versleuteld mailen met hetzelfde wachtwoord in

De beveiligde e-maildienst ProtonMail heeft een update doorgevoerd waarmee het mogelijk is om hetzelfde wachtwoord te gebruiken voor het inloggen en het versturen van e-mail. Tot nu toe waren daar twee verschillende wachtwoorden voor nodig.

ProntonMailHet Zwitserse bedrijf stelt dat twee wachtwoorden onhandig zijn, omdat gebruikers deze allebei moeten onthouden en omdat dit vaak problemen oplevert met wachtwoordmanagers. Bovenop het inloggen met tweetrapsauthenticatie was het gebruik van twee wachtwoorden bovendien lastig, aldus het bedrijf. Daarom heeft het besloten de nieuwe functie als standaardinstelling in te voeren, waarbij de oude manier van inloggen beschikbaar blijft voor gebruikers die daar niet van af willen stappen.

ProtonMail meldt dat de nieuwe functie geen gevolgen heeft voor de veiligheid van zijn dienst. De functie werkt doordat het wachtwoord voor het ontsleutelen van e-mail door een hash met salt wordt afgeleid van het login-wachtwoord. De salt is afkomstig van de server en wordt niet op de gebruikerskant opgeslagen. Op die manier wil het bedrijf voorkomen dat het onderscheppen van een e-mail-wachtwoord leidt tot het kraken van het login-wachtwoord.

Voor het inloggen met dat laatste wachtwoord maakt ProtonMail gebruik van het SRP-protocol, waarbij het wachtwoord zelf nooit via het netwerk wordt verstuurd en daarom niet te onderscheppen is, aldus het bedrijf. ProtonMail kwam in maart uit de bètafase en biedt gebruikers de mogelijkheid om versleutelde e-mailberichten te versturen met een gratis of een betaald account. Daarbij claimt het bedrijf zelf geen inzicht in de mails te hebben, omdat deze door end-to-end-encryptie ook op de server zelf zijn versleuteld. De dienst heeft apps voor zowel iOS als Android.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 05-12-2016 11:46
39 • submitter: iTeV

05-12-2016 • 11:46

39

Submitter: iTeV

Lees meer

ProtonMail introduceert pgp-ondersteuning en adresverificatie
ProtonMail introduceert pgp-ondersteuning en adresverificatie Nieuws van 26 juli 2018
ProtonMail krijgt versleutelde contactenlijst
ProtonMail krijgt versleutelde contactenlijst Nieuws van 22 november 2017
ProtonMail komt met gratis vpn-dienst en betaalde variant
ProtonMail komt met gratis vpn-dienst en betaalde variant Nieuws van 20 juni 2017
ProtonMail maakt e-maildienst bereikbaar via Tor-netwerk
ProtonMail maakt e-maildienst bereikbaar via Tor-netwerk Nieuws van 19 januari 2017
ProtonMail begint met test voor ondersteuning imap en smtp
ProtonMail begint met test voor ondersteuning imap en smtp Nieuws van 29 december 2016
ProtonMail claimt grote groei nadat bleek dat Yahoo-hack miljard gebruikers trof
ProtonMail claimt grote groei nadat bleek dat Yahoo-hack miljard gebruikers trof Nieuws van 22 december 2016
Nederlandse inlichtingendiensten willen versleutelde communicatie 'breken'
Nederlandse inlichtingendiensten willen versleutelde communicatie 'breken' Nieuws van 17 december 2016
Beveiligde maildienst ProtonMail komt uit bèta
Beveiligde maildienst ProtonMail komt uit bèta Nieuws van 17 maart 2016
ProtonMail haalt genoeg geld op om dienst een jaar te beschermen
ProtonMail haalt genoeg geld op om dienst een jaar te beschermen Nieuws van 11 november 2015
ProtonMail denkt dat 'staatshackers' geavanceerde aanval uitvoerden
ProtonMail denkt dat 'staatshackers' geavanceerde aanval uitvoerden Nieuws van 6 november 2015
Protonmail voegt ondersteuning voor versleutelde Facebook-mails toe
Protonmail voegt ondersteuning voor versleutelde Facebook-mails toe Nieuws van 23 september 2015
PayPal bevriest tegoeden beveiligde maildienst ProtonMail - update
PayPal bevriest tegoeden beveiligde maildienst ProtonMail - update Nieuws van 1 juli 2014
Meer producten en artikelen
Netwerk en systeembeheer ProtonMail Security

Reacties (39)

-Moderatie-faq
39
39
20
2
0
17
Wijzig sortering
Anoniem: 426269 5 december 2016 11:52
Ja okee, maar als je 1 wachtwoord hebt bemachtigd kan je er nu in, en daarvoor met 2 verschillende niet.
IceStorm @Anoniem: 4262695 december 2016 11:58
Je kunt je wel afvragen in welke situatie je wel 1 wachtwoord kunt achterhalen maar geen 2. Als ik je eerste wachtwoord te weten kan komen via keylogger, lekke wachtwoordmanager, onbeveiligde verbinding of wat dan ook dan lukt mij dat met wachtwoord 2 ook wel.
Dat staat dan even los van 2FA (waar je dan meer aan hebt in mijn ogen).

En natuurlijk, je kunt dus nog steeds kiezen om 2 wachtwoorden te hanteren, alleen is het niet meer standaard.

[Reactie gewijzigd door IceStorm op 23 juli 2024 00:55]

biglia @IceStorm5 december 2016 12:12
Je kunt je wel afvragen in welke situatie je wel 1 wachtwoord kunt achterhalen maar geen 2.
Bijvoorbeeld:
  • Je gebruikte 1 paswoord ook op een andere site en die database is gelekt.
  • Het eerste paswoord is geraden. Het tweede paswoord ook raden is niet zeker.
True @biglia5 december 2016 13:02
Dit zijn beide dingen die voor de userbase van ProtonMail nu niet echt issues zijn. Gebruikers zijn voornamelijk technisch wat bekwamer en kiezen niet voor niets voor ProtonMail, raden van hun wachtwoorden zal niet snel gebeuren, gebruiken van ditzelfde wachtwoord op andere site zal ook niet snel gebeuren.
Jerie @True5 december 2016 14:03
Je moest eens weten hoeveel mensen hun wachtwoorden hergebruiken. Zelfs bovengemiddelde mensen, mensen met een papiertje, of techneuten.

Ik denk juist dat ProtonMail helemaal niet voor een technisch onderlegde massa is bedoelt (die draaien gewoon hun eigen SMTP of Tor server), maar juist voor mensen die niet zo technisch onderlegt zijn maar wel gebruik willen maken van dit platform om hun area of expertise te beschermen.

Voorbeeld: Greenwald is geen techneut, maar een journalist. Jonsdottir is geen techneut, maar een politicus. Wellicht zijn deze mensen wel bovengemiddeld intelligent. Ze zien de noodzaak in hun communicatie te beschermen.

Het is zaak dat alle cryptografie client-side wordt gebruikt waardoor server-side er niet bij kan (ook niet bij een evil maid aanval oid). Dat gebeurd bij LastPass, en bij ProtonMail. Je hebt dus 2 passwords: 1 voor toegang tot de account (waaronder NAW gegevens, financiele gegevens, en de versleutelde data), 1 voor toegang tot de versleutelde data (de jackpot). Helaas staat SMTP niet toe dat het verkeer wordt 'onionized' (anonymous remailers zijn de voorlopers van Tor). Maar dat is het doel ook niet van ProtonMail; ProtonMail wil werken via een gangbaar clearnet protocol.

Overigens heeft ProtonMail daar het volgende over te zeggen:

https://protonmail.com/blog/protonmail-threat-model/
Edward Snowden – If you are Edward Snowden, or the next Edward Snowden, and have a life and death situation that requires privacy, we would not recommend using ProtonMail. For extremely sensitive situations, it is simply not a good idea to use email as a medium for communications.
BeosBeing @Jerie6 december 2016 08:21
Wat je daar aanhaalt is logisch. Bij e-mail weet je nooit wat er aan de ontvangende kant mee gebeurd. Is daar de server goed beveiligd of niet, is de client veilig, stuurt de ontvanger het bericht door, al dan niet met modificaties (toelichtingen, aanvullingen) en wat doet die ontvanger er weer mee?
Eitot @biglia5 december 2016 12:38
Ook nu al is het niet slim om dat te doen. Stel dat iemand je login-wachtwoord te pakken krijgt, dan kan deze al je emails onherroepelijk wissen. ProtonMail heeft thans nog geen mogelijkheid om emails te downloaden of archiveren en ze ondersteunen geen clients van derden.

Wachtwoorden kunnen beter uniek en zo complex zijn, dat ze niet te raden zijn. Daarom wordt het gebruik van een wachtwoordbeheerder nou ook zo vaak benadrukt.
Jerie @Eitot5 december 2016 13:45
Er is geen mens die tientallen complexe wachtwoorden gaat onthouden zonder systemen te gebruiken zoals bijvoorbeeld at_facebook achter het wachtwoord. Geen services gebruiken, een wachtwoordmanager (met complex wachtwoord), of een dom wachtwoord plus 2FA zijn dus eigenlijk de enige 3 mogelijkheden.

En dan bedenk je je dat je vrolijk op de CCTV staat terwijl je in aan het loggen bent op je LastPass...
bozk @IceStorm5 december 2016 12:09
"ProtonMail gebruik van het SRP-protocol, waarbij het wachtwoord zelf nooit via het netwerk wordt verstuurd"

Onbeveiligde verbinding gaat hier niet op.
Ik vind het een goed idee, als ik een TOP-SECRET mailtje moet sturen. Kan ik hier een unieke 2e wachtwoord voor instellen. Not bad _/-\o_
Anoniem: 343906 @bozk5 december 2016 16:30
Onbeveiligde verbinding op zich niet. Maar wat ik me nu afvraag is hoe ProtonMail het heeft geïmplementeerd. Temeer daar zij zowel apps hebben voor iOS en Android als echter ook een webinterface voor desktops clients. Met name bij die laatstgenoemde lijkt het mij dat zij het geïmplementeerd hebben door middel van JavaScript, of niet? Zo ja, dan lijken die apps veiliger. Al weet ik niet hoe ze het daar hebben geïmplementeerd.

Als ik het fout zie hoor ik dat graag.
bozk @Anoniem: 3439066 december 2016 08:48
Er wordt een password verifier opgestuurd op basis van een aantal parameters, wat voor elke keer uniek is:
Zie python implementatie:
https://en.wikipedia.org/..._Remote_Password_protocol
Anoniem: 426269 @IceStorm5 december 2016 12:29
Nou, ik denk dan alleen in geval van een gehackte eigen computer met een keylogger erop geinstalleerd. Ik zit nooit in een netwerk, een wachtwoordmanager gebruik ik niet en ik log ook nooit in op een onbeveiligde verbinding of op een site zonder https. Dan blijft er niet veel anders over volgens mij. Dan kan ik zoals Biglia hieronder al aangeeft meerdere redenen opnoemen dat het wel veilig blijft.

Maar ja, het is ook volkomen logisch denk ik: Voor het bemachtigen van 1 wachtwoord hoef je minder moeite te doen dan voor 2 wachtwoorden. Leuk als je die 2e erbij hebt gekregen, maar vaak ook niet. Het kan alleen maar meer moeite kosten, nooit minder.

[Reactie gewijzigd door Anoniem: 426269 op 23 juli 2024 00:55]

Fabbie @Anoniem: 4262695 december 2016 11:57
Volgens mij niet. Uit de bovenstaande tekst haal ik dat ze 2-factor authenticatie hebben. Dan heb je aan een onderschept wachtwoord nog steeds niets.
Jerie @Fabbie5 december 2016 13:26
Hangt van de 2FA en de belangen af. Er zijn wel mogelijkheden om dit aan te vallen, zoals bijvoorbeeld SMS onderscheppen van TOTP, of TOTP onderscheppen en dan NTP aanval. Hoe onderschep je TOTP? Bijvoorbeeld via een camera. Maar een gebruiker kan een YubiKey TOTP ook per ongeluk in Google pasten, of een MITM op de YubiKey controle server.
Anoniem: 426269 @Fabbie5 december 2016 14:25
Nee ik heb zelf zo'n account daar. Als je naar hun webmail gaat moet je eerst met je eerste wachtwoord inloggen en dan met je tweede wachtwoord. Als die hetzelfde zijn kom je gewoon binnen.
GabrielWB 5 december 2016 12:07
...waarbij de oude manier van inloggen beschikbaar blijft voor gebruikers die daar niet van af willen stappen.
Betekent dit dat alleen bestaande gebruikers nog twee verschillende wachtwoorden kunnen gebruiken, en dat nieuwe gebruikers alleen maar 1 wachtwoord hebben (legacy optie)?

Of dat het een instelling is die voor iedereen een optie is die nu gewoon standaard ingesteld staat op 1 wachtwoord?
Inproba @GabrielWB5 december 2016 12:15
Wat leesvoer hier:
https://protonmail.com/su...dge-base/single-password/
Borromini 5 december 2016 11:53
Beetje gênant... Heb betalende account maar wist niet eens dat ze al 2FA hadden O-)
Raydo88 @Borromini5 december 2016 12:14
Hadden ze ook nog niet, die is tegelijk met het eenwachtwoordsysteem ingevoerd. :)
Borromini @Raydo885 december 2016 12:24
Ah dat verklaart wel het één en ander :)
analfabeet 5 december 2016 11:59
Ik heb vanaf mijn begin (eind vorig jaar) al eenzelfde wachtwoord voor inloggen en decryptie. Ben benieuwd wat er nu echt nieuw is dan.
ChillinR @analfabeet5 december 2016 13:28
Dat was onveilig, omdat je login-password naar hun servers gestuurd werd.

Het decrypten gebeurt volledig client side (als het goed is), dus dat wachtwoord zouden ze niet moeten kennen.

Als je voor beide hetzelfde wachtwoord gebruikt, loop je dus het risico dat je mailbox door Protonmail gedecrypt kan worden
seth007 @analfabeet5 december 2016 12:29
Op deze pagina vertellen ze hierover het volgende:
In two password mode, you will be asked to separately set a Login and Mailbox password. Two Password Mode uses a segregated authentication and decryption system, which means logging into a ProtonMail encrypted email account requires two passwords. The first password is used to verify the identity of the user. After that, encrypted data can be retrieved. The second password is a decryption (mailbox) password which is never sent to us. It is used to decrypt data on your device so we do not have access to the decrypted data, or the decryption (mailbox) password. This means we cannot hand over your data to third parties. For this reason, we are also unable to do mailbox password recovery. If you forget your mailbox password, we cannot recover your data.
scorpion-biker @analfabeet5 december 2016 14:16
Als ik op de knowledge-base kijk, lijkt het erop dat je met single password inlogt en dat gelijk je mailbox gedecrypt wordt.

Je kon natuurlijk altijd al er voor kiezen om voor inloggen en mailbox decrypten hetzelfde wachtwoord te kiezen, maar dan moet je ze nog steeds wel zelf twee keer invoeren.
Wubinator 5 december 2016 12:15
Het Zwitserse bedrijf stelt dat twee wachtwoorden onhandig zijn, omdat gebruikers deze allebei moeten onthouden en omdat dit vaak problemen oplevert met wachtwoordmanagers.
Ik moet zeggen dat ik daar met LastPass echt nooit moeite mee had / heb
Koffiebarbaar @Wubinator5 december 2016 12:24
Viel mij ook op. Lastpass had er niet zo veel problemen mee.
Dat gezegd hebbende vroeg ik mij wel af wat het nut van die 2e authenticatie was. Het werd ongelooflijk in de hand gewerkt daar gewoon je login wachtwoord voor te gebruiken, wat ik ook deed.
Lijkt me all-in een prima aanpassing.
ChillinR @Wubinator5 december 2016 13:24
Keepass kan bij mij geen onderscheid maken tussen de twee login-pagina's (of eigenlijk de login-pagina en de pagina voor het decrypten van je mailbox), waardoor ik iedere keer handmatig moet selecteren welke van de twee ik wil invoeren.

Vervolgens weet hij bij de pagina voor het decrypten van je mailbox ook niet goed wat 'ie moet - ik denk omdat daar geen username-veld is.
rachez @ChillinR6 december 2016 22:39
ter info: het kan wel met keepass + protonmail inloggen icm 2 wachtwoorden. Dan moet je gebruik maken van fieldrefs:
https://www.reddit.com/r/...e_feature_for_easy_login/
+
http://keepass.info/help/base/fieldrefs.html

{USERNAME}{TAB}{PASSWORD}{ENTER}{Delay 3000}{CLEARFIELD}{REF:P@I:<uuid of decryption form entry>}{ENTER}
Ik gebruik het zelf en werkt prima.

[Reactie gewijzigd door rachez op 23 juli 2024 00:55]

ChillinR @rachez7 december 2016 23:30
Nice, dat is een hele verbetering, dank je. En nu heb ik geleerd dat je zelf het autotype-commando can customizen, en er ook referenties in kan gebruiken 8-). Thanks!

Helaas werkt het niet i.c.m. m'n browserplugin (chromeIPass, welke ik gebruik in Vivaldi en Chromium). Dit aangezien die gewoon de inlogvelden invult, dus niks met de autotype sequence doet. En chromeIPass raakt (schijnbaar) in de war van een pagina waar alleen een wachtwoord gevraagd wordt.
Inproba 5 december 2016 12:18
:o

"Warning: If you forget your Password, you can only reset your password if you have a recovery email linked to your account. While it is possible to change your Password, if you forget it and reset it, you will lose the ability to read your old emails. This is due to the end-to-end encryption that we employ which makes it impossible for us to read or recover your emails."

https://protonmail.com/su...dge-base/single-password/
CEx @Inproba5 december 2016 14:53
Dat is toch niet zo gek? Jij bent de enige die de sleutel kent, raak je hem kwijt dan kan niemand er meer in. Met een echte kluis zit hier geen verschil in. Hooguit de tijd die het kost om te bruteforcen met het juiste gereedschap.

Overigens geldt dit ook voor encrypted cloud oplossingen. :)
Eitot 5 december 2016 12:27
Het is mij niet echt duidelijk wat er dan écht anders is. Uiteindelijk zal ProtonMail toch een account moeten beveiligen met een wachtwoord en ze hebben ten minste een hash nodig om dat te kunnen verifiëren. Het enige wat ik mij kan voorstellen is dat bij het opgeven van het email-adres een gecodeerd pakketje wordt geladen dat alleen de gebruiker kan decoderen en openen met het wachtwoord. Dat pakketje bevat dan de authenticatie-gegevens voor het account én de hash voor mailbox-wachtwoord. Of lig ik er nu naast?
Anoniem: 681773 5 december 2016 12:41
Erg goede e-mailservice, gebruik het als vervanging voor Hotmail/Outlook

[Reactie gewijzigd door Anoniem: 681773 op 23 juli 2024 00:55]

scorpion-biker 5 december 2016 14:19
Fijne maildienst, maar ik blijf wel gewoon twee wachtwoorden gebruiken. Zoveel moeite kost het niet om eerst in te loggen en vervolgens je mailbox wachtwoord in te voeren.

There is a minor security benefit from using Two Password Mode, since if two complex passwords are selected, the entropy is higher than a single password.
pbeer 5 december 2016 12:49
Verschrikkelijk! Mensen die klagen over meerdere wachtwoorden hebben waarschijnlijk ook geen apart wachtwoord voor hun mail en hun andere zaken. Nochtans is dat echt wel nodig. Als je altijd en overal hetzelfde wachtwoord gebruikt, kan je ervan uit gaan dat het gehackt is of zal worden. Je zou minimaal 1 volledig uniek en niet te raden wachtwoord moeten hebben voor je e-mailadres en een ander wachtwoord dat je gebruikt voor andere zaken. MINIMAAL!
jaapzb @pbeer5 december 2016 13:26
Mee eens, maar waarom zou je twee verschillende wachtwoorden willen hebben voor 1 en hetzelfde product?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq