Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Nederlands bedrijf verruilt hardware-wachtwoordmanager voor softwareversie

Door , 130 reacties

Het Nederlandse bedrijf Vaulteq, dat in eerste instantie een hardwarematige wachtwoordmanager wilde ontwikkelen, introduceert in plaats daarvan software die deze taak uitvoert. De browserextensies en apps slaan wachtwoorden op Nederlandse servers op.

Daarmee wil Vaulteq zich onderscheiden van andere wachtwoordmanagers, waar gebruikers vaak geen keuze hebben over de locatie van de servers. Van de grote wachtwoordmanagers biedt alleen LastPass dit als bètafunctie waarbij voor Europese servers gekozen kan worden. Door de keuze voor Nederlandse servers moeten de opgeslagen gegevens onder de hier geldende privacywetgeving vallen. De software is beschikbaar voor iOS en Android en er zijn extensies voor Chrome, Firefox en Safari.

Net als veel andere wachtwoordmanagers maakt Vaulteq gebruik van 256bit-aes-encryptie, die lokaal wordt toegepast. Daardoor heeft het bedrijf geen inzicht in de wachtwoordkluizen die het opslaat. Toegang tot de gegevens is mogelijk met een hoofdwachtwoord en via een vingerafdrukscanner op mobiele apparaten. Daarnaast is standaard tweetrapsauthenticatie ingeschakeld.

Over de veiligheid van de browserextensies zegt een Vaulteq-woordvoerder desgevraagd tegen Tweakers: "We hebben Vaulteq uitgebreid laten testen en reviewen door een grote groep experts en developers. We zijn momenteel met verschillende security-autoriteiten zoals universiteiten en ethische hackers in gesprek voor additionele externe audits." De beveiliging van Vaulteq is beknopt weergegeven in een whitepaper. Het bedrijf zegt de intentie te hebben op termijn een api voor zijn dienst te willen uitbrengen.

De software beschikt over standaardfuncties die veel terugkomen in wachtwoordmanagers, waaronder het automatisch invullen van wachtwoorden en het genereren ervan. Bestaande wachtwoorden worden bovendien op sterkte beoordeeld. De synchronisatie vindt plaats via de diensten van Vaulteq. Het is daarom niet mogelijk om zelf te zorgen voor synchronisatie van de wachtwoordkluis, bijvoorbeeld via Dropbox of soortgelijke diensten. Het automatisch invullen is momenteel niet mogelijk in de apps. Wat betreft Android zegt het bedrijf te wachten op de release van Android O met de autofill-api.

De gratis versie van de dienst mist het gebruik van browserextensies en synchronisatie, waardoor de functionaliteit is beperkt. De betaalde versie heeft deze functies wel en kost drie euro per maand. In de toekomst moet er nog een versie voor teams bijkomen, waarmee bijvoorbeeld wachtwoorden gedeeld kunnen worden. De ontwikkelaars van de software kondigden eerder een hardwarematige wachtwoordmanager onder dezelfde naam aan. Van dat plan zijn zij echter afgestapt.

Door Sander van Voorst

Nieuwsredacteur

10-04-2017 • 15:12

130 Linkedin Google+

Reacties (130)

Wijzig sortering
Ik heb zo mijn bedenkingen over de veiligheidscultuur bij Vaulteq:

https://www.vaulteq.com/downloads/ geeft:

<h1>Not Found</h1>
<h2>404</h2>
<pre>Error: Not Found
at /home/admin/vaulteq-node/app.js:50:13
at Layer.handle [as handle_request] (/home/admin/vaulteq-node/node_modules/express/lib/router/layer.js:95:5)
at trim_prefix (/home/admin/vaulteq-node/node_modules/express/lib/router/index.js:312:13)
at /home/admin/vaulteq-node/node_modules/express/lib/router/index.js:280:7
at Function.process_params (/home/admin/vaulteq-node/node_modules/express/lib/router/index.js:330:12)
at next (/home/admin/vaulteq-node/node_modules/express/lib/router/index.js:271:10)
at /home/admin/vaulteq-node/node_modules/express/lib/router/index.js:618:15
at next (/home/admin/vaulteq-node/node_modules/express/lib/router/index.js:256:14)
at Function.handle (/home/admin/vaulteq-node/node_modules/express/lib/router/index.js:176:3)
at router (/home/admin/vaulteq-node/node_modules/express/lib/router/index.js:46:12)
at Layer.handle [as handle_request] (/home/admin/vaulteq-node/node_modules/express/lib/router/layer.js:95:5)
at trim_prefix (/home/admin/vaulteq-node/node_modules/express/lib/router/index.js:312:13)
at /home/admin/vaulteq-node/node_modules/express/lib/router/index.js:280:7
at Function.process_params (/home/admin/vaulteq-node/node_modules/express/lib/router/index.js:330:12)
at next (/home/admin/vaulteq-node/node_modules/express/lib/router/index.js:271:10)
at SendStream.error (/home/admin/vaulteq-node/node_modules/serve-static/index.js:121:7)</pre>
Ja dat is inderdaad niet zo strak... 8)7 Maar ik mag aannemen dat zo'n NodeJS appje door een ander team ontwikkeld wordt en/of op een andere server staat

[Reactie gewijzigd door Gamebuster op 10 april 2017 15:29]

Ja dat is inderdaad niet zo strak... 8)7 Maar ik mag aannemen dat zo'n NodeJS appje door een ander team ontwikkeld wordt en/of op een andere server staat
Je site is het visitekaartje van je bedrijf. Zo geeft Vaulteq wel veel geld uit aan een extended validation certificaat (dat op zichzelf niet veel doet voor beveiliging), maar weer niet aan een enkele HTTP header voor HSTS ondersteuning (wat veel goedkoper is en wel beveiliging toevoegt). Bron: Qualys.

[Reactie gewijzigd door The Zep Man op 10 april 2017 15:44]

Veel geld? Dat certificaat kost maar 80 euro per jaar, het biedt alleen maar een hogere level of identification. Technisch gezien gewoon hetzelfde als een LetsEncrypt of Comodo DV certificaat van 10tje per jaar.
Veel geld? Dat certificaat kost maar 80 euro per jaar, het biedt alleen maar een hogere level of identification.
Inderdaad. Bij Comodo zijn EV certificaten best goedkoop. De prijs zal meer zitten in de administratieve handelingen (personeelskosten, etc.).

Dan nog blijft het slordig dat een simpele instelling als HSTS niet is ingeschakeld.

[Reactie gewijzigd door The Zep Man op 10 april 2017 17:28]

Reden dat de EV's bij Comodo zo goedkoop zijn is dat je maar 1 domein mag toevoegen (www & domein zelf). Alle andere moet je erbij kopen. Bij een andere EV krijg je vaak 3 domeinen included (3xwww en 3 keer een domein)

[Reactie gewijzigd door Yzord op 10 april 2017 17:58]

Weet ik niets van... GlobalSign EV heeft www en zonder www en daar blijft het bij en kost per jaar (of 2jaar) nog best wel wat :)

Comodo zou ik zelf nooit nemen trouwens.

Maar HSTS is natuurlijk gewoon gratis @karizma, dus veel goedkoper mag gratis worden :)

[Reactie gewijzigd door mrdemc op 10 april 2017 18:44]

Ik heb een GeoTrust EV en daar kreeg ik voor 450 euro per 2 jaar 3 domeinen incl. www. Comodo was 250 euro, maar voor 1 domein en www en voor 1 jaar. Ik was flink duurder uit voor de comodo.

En waarom zou je geen comodo nemen eigenlijk?
Gezien hun verleden m.b.t certificaatuitgiftes maar ook de houding van het bedrijf. Het is wat mij betreft daardoor onzeker of ze geaccepteerd blijven en dan zul je, zodra er iets gebeurd, snel moeten kunnen handelen. Iets wat niet makkelijk gaat met een EV gezien daar een aantal werkdagen voor nodig zijn.

[Reactie gewijzigd door mrdemc op 10 april 2017 19:55]

klopt wat je zegt, maar dan nog moet het gewoon goed werken uiteraard :o
het is al opgepikt
Wat betekend dat voor mensen die het niet weten? :D
Je kan op basis van deze stacktrace meerdere dingen opmaken. Zo kan je meteen zien dat ze een linux server draaien, NodeJS gebruiken, in welke map hun webapp zit, en je ziet een sample aan libraries die gebruikt worden.

Deze informatie kan handig zijn wanneer je gerichte aanvallen doet op hun servers, al is het van weinig meerwaarde.
Je kunt op basis van de gebruikte directory er ook enigsinds vanuitgaan dat nodejs wordt uitgevoerd door een user met de naam 'admin' welke wel eens in de lijst van sudo'rs zou kunnen staan gezien de naam.
Nodejs als sudoer uitvoeren in een webapp... klinkt als een goed idee :D Maar inderdaad. 1 eval lek en je hebt root toegang dan
Full path disclosure, dit kan handig zijn als je bijvoorbeeld andere kwetsbaarheden hebt gevonden zoals local file inclusion. Tevens kan je ook zo zien dat Node.js op de server draait met de Express en serve-static modules.

[Reactie gewijzigd door Stroopwafels op 10 april 2017 20:12]

Dat is inderdaad ook wat mij zorgen baart. Ze kunnen wel schermen met ”Nederlandse servers”, maar concreet is het een nieuw bedrijf wat blijkbaar van de hak op de tak springt. Persoonlijk vertrouw ik liever op een goede, bewezen, encryptie implementatie dan op de plek waar de bestanden staan.

Sowieso zou mijn vrees eerder zijn dat zo’n server gehacked wordt dan dat vanuit de overheid bestanden worden opgevraagd en dat voorkom je niet door in een bepaald land te hosten.
Ze hebben je reactie gelezen.
{"error":"page does not exist"}
Wat betreft LastPass, zo kan je switchen:
*BETA* feature - Premium users can choose to host their site data in Europe and utilize LastPass.eu instead of LastPass.com

If you would like to switch to the EU servers from US, you can use this link: https://lastpass.com/use_eu.php

If you would like to switch to the US servers from EU, you may do so at this link: https://lastpass.eu/use_eu.php

A re-install of the LastPass browser extensions may be necessary. So if you see login issues after switching servers, please re-install LastPass - http://lastpass.com/download.php.

If you continue to see issues, please open a support ticket from the bottom right "New Ticket" link.
Wat betreft LastPass, zo kan je switchen:
Pas op he, dat is beta en ik weet niet of je wel beta wilt met al je passwords.
Je kan altijd een export maken voor de zekerheid. In mijn quote staat ook duidelijk dat het een beta is :)
De voorzichtigheid bij beta is eerder dat iemand anders je passwords mogelijk kan krijgen dan dat je data kwijt raakt imo.
Dat kan niet omdat Lastpass (of het datacenter zo je wil) niets anders heeft dan een versleutelde blob aan data. LastPass versleutelt je "kluis" lokaal en slaat die 'blob' op in de "LastPass cloud" (of het dan .com of .eu is). Waar je het opslaat maakt dus geen donder uit; het risico is (in principe) even groot klein.

[Reactie gewijzigd door RobIII op 10 april 2017 16:42]

Gebruik het al sinds het kan (jaar of 2?) en verder nooit een probleem mee gehad.

Het is wel een Premium-functie.
Na deze app en chrome plugin kort te testen kom ik al op zoveel fouten dat ik dit hele bedrijf al niet meer vertrouw. Herstel codes worden plaintext verzonden (ook over ongeldige certificaten), geen bescherming tegen bruteforcing, 2FA is te omzeilen, in de chrome app zit XSS en een manier om je voor te doen als andere website en mogelijk wachtwoorden stelen van Vaulteq users en ga zo maar door. Zulke erge fouten vinden in minder dan een halfuur maar hun team en ethical hackers zien dit niet, gewoon slecht en slordig.

Ik ben benieuwd hoe ver ze zijn over een jaar, als ze dan uberhaupt nog bestaan of niet al gehackt zijn.
Best wel prijzig, ¤3/maand.

Aan de andere kant, staat het wel op een Nederlandse server.
Met de miljarden die Amerika er tegen aanknalt is 256bit-aes waarschijnlijk een appeltje om te omzeilen. (of het duurt misschien een paar dagen)

Alles is te omzeilen, als je weet wat je doet.

[Reactie gewijzigd door stewie op 10 april 2017 15:36]

Verdiep je eens in 256bit-aes zelf met een paar miljard krijgt de USA het niet in een paar dagen voor elkaar.

The brute force attack require to check 22562256 combinations. The fastest computer built so far is Tianhe-2 (MilkyWay-2) a supercomputer developed by China's National University of Defense Technology, with a performance of 33.86 petaflops (quadrillions of calculations per second) on the Linpack benchmark. Petaflop is about 10151015 or 250250floating point operations per second. Thus this super computer can compute 33.86×33.86×250250 operations per second, So, it will be cracked in 225633.86×250×365×24×60×60=9.63225633.86×250×365×24×60×60=9.63 years

Misschien is de Tianhe-2 niet meer de snelste maar zie het als voorbeeld

[Reactie gewijzigd door HKLM_ op 10 april 2017 15:44]

Inmiddels zijn er al meerdere universiteiten welke kleine quantum computers kunnen bouwen. Het zou mij dus niet verbazen als Darpa in combinatie met de CIA, NSA, DHS en de FBI niet al een stuk verder is.

Meestal zijn deze quantum computers dan hardwired om een bepaalde handeling uit te voeren, eigenlijk een soort ASIC quatum processor dus.

Echter de Universiteit van Maryland was het in augustus gelukt om een herprogrammeerbare quantum computer te bouwen.

Met een quantum computer is het brute force kraken van een wachtwoord een heel stuk eenvoudiger. Nu zal de overheid niet zoveel moeite doen om mijn wachtwoord te achterhalen, maar wachtwoorden van politici en ceo's van multinationals is een ander verhaal.

Ik verwacht dat binnen 5 jaar de Verenigde Staten of China de mogelijkheden heeft om quantum computers op grote schaal in te zetten en dan vooral voor afluister praktijken.

Ik zelf houd het voorlopig bij KeePass waarbij ik mijn password bestanden via Google Drive synchroniseer tussen verschillende computers.

LastPass bied bijvoorbeeld een 'wachtwoord vergeten' optie. En nadat je je wachtwoord hebt veranderd kun je alsnog bij je wachtwoorden. Dat betekend dus dat de AES key/iv op de server van LastPass staat en dat de login credentials jouw in staat stelt om de key en IV te downloaden om vervolgens het AES bestand te decrypten.

VaultTeq geeft aan dat de masterkey niet op de server staat en dat als je deze kwijt bent, je ook niet meer je wachtwoorden kunt inzien. Daarmee lijkt VaultTeq meer op KeePass dan LastPass.

Maar ik vind het zelf vrij lastig om commerciele password managers te vertrouwen waarvan ik de broncode niet kan inzien. Meestal doe ik via agent Ransack een aantal simpele searches op keywords als 'sock', 'bind', 'tcp', 'udp' en 'http' op de broncode om te kijken of ere er network code wordt gebruikt en waardoor. Daarnaast doe ik ook altijd een eigen build zodat ik zeker weet dat de code welke ik bekijk ook is gebruikt voor het builden van de executable. Een stevige dosis paranoia kan geen kwaad als het aankomt op password managers..
LastPass bied bijvoorbeeld een 'wachtwoord vergeten' optie. En nadat je je wachtwoord hebt veranderd kun je alsnog bij je wachtwoorden. Dat betekend dus dat de AES key/iv op de server van LastPass staat en dat de login credentials jouw in staat stelt om de key en IV te downloaden om vervolgens het AES bestand te decrypten.
Dat betekend het niet... LastPass heeft geen kopie van je sleutel of wachtwoord op hun servers staan.

Het ontsleutelen gebeurd aan de client kant.

Het wachtwoord herstel gebeurd ook aan de client kant en niet door even een herstel via je email te doen.. Daarnaast is het herstel een wassen neus en werkt voor geen meter. Ga er maar vanuit dat wanneer je je wachtwoord kwijt bent je dikke pech hebt.

[Reactie gewijzigd door Blommie01 op 10 april 2017 17:55]

AES bruteforcen met een quantum computer gaat niet echt helpen, bij dit soort algorithmes kunnen die de rekentijd met een factor wortel n verkorten (n is de keyspace). Dan zitje nog op een 128 bits keyspace, die ook niet te brute forcen is.
Als je de juiste wiskundigen hebt, is het ineens een mogelijkheid (shocking)
Goh, en je kan ook nog eens speciale hardware maken voor 1 taak iets wat de NSA (drumroll) OOK NOG EENS DOET...

Je kan speciale hardware maken voor bitcoin, je kan speciale hardware maken voor 1 vorm van encryptie. (ASIC) De NSA gebruikt daarom ook meerdere vertrouwde chip productie faciliteiten in de VS.
Daarom nemen ze ook nooit een encryptie en zeggen ze "da's goed genoeg", die dingen zijn altijd in beweging en oudere encryptie- en hashingfuncties die danwel te eenvoudig geworden zijn, danwel die veiligheidsissues krijgen (zoals MD5, SHA-1) worden deprecated en ontmoedigd jaren voordat een aanval realistisch is. De NSA zal daar een paar jaar op voor zijn, maar als een partij als de NSA al die computertijd gaat investeren in jouw specifieke password database zullen ze daar wel een goede reden voor hebben.

De onderzoekers zijn bezig met nieuwe encryptie-algoritmen die ook quantumcomputers moeten kunnen weerstaan.
Dan nog duurt het te lang. Ja ze kunnen misschien iets optimaliseren maar nee, dat gaat ze niet 'binnen een paar dagen' redden hoor ;)
Je kunt speciale hardware maken, maar niet hiervoor.

Begin eerst eens met de fysische limieten te verkennen: stel dat je een gemiddelde berekening kunt doen voor 1eV (orde van grootte van een atomaire overgang) in 1fs (orde van grootte van de tijd die dat kost).

Dan kost een brute force van de gehele keyspace je in de orde van 1077Joule, dat is 1051 maal de hoeveelheid energie die de zon in een seconde uitstraalt (ik rond hier even grof af), dat is de hoeveelheid die de zon in zo'n 1043 jaar uitstraalt. Zo oud is de zon, of het hele universum, niet.

Kortom, de hoeveelheid energie die het zou kosten om die hele keyspoace te brute forcen is onmogelijk beschikbaar voor wie dan ook op aarde.

Oefening voor de lezer: reken nu zelf uit hoe lang die berekening zou duren, mocht die energie er toch zijn. Ik zou er niet op gaan zitten wachten. :)

Edit: voor extra punten, beredeneer waarom het ook niet helpt om het op grote schaal parallel te doen. Hint: het aantal deeltjes in het heelal is in de orde 1080.

[Reactie gewijzigd door Morgan4321 op 10 april 2017 18:23]

Interessant filmpje van computerphile hierover: https://youtu.be/7U-RbOKanYs

Zelfs md5 encryptie (die al jaren niet meer gebruikt moet worden) is lastig te bruteforcen als je password lang genoeg is. En daarnaast zou eerst de database gelekt moeten worden eer ze met je passwords aan de slag kunnen.
Ik gok dat er wat superscript opmaak verloren is gegaan in je copypaste.

22562256 => 2256
10151015 => 1015
250250 => 250

.edit: Bron wat je eigenlijk zelf had moeten vermelden

[Reactie gewijzigd door .oisyn op 10 april 2017 15:50]

Vaak genoeg gaat het fout bij de implementatie van het algoritme, niet zozeer om het gebruikte algoritme zelf...
Er wordt vanuit gegaan dat 256bit-aes-encryptie onbreekbaar is voor de manier waarop we nu rekenen(silicium), om je een idee te geven als er een computer zou zijn die een miljard miljard 10^18 aes sleutels per seconde checkt, duur het 3x10^51jaar om alle sleutels te checken...

[Reactie gewijzigd door Erik-Hendriks op 12 april 2017 01:09]

Dan mag je er toch wel een hele dikke computer tegenaan gooien.
En die is wel wat langer zoet dan een paar dagen en dat moet je ook maar net hopen dat ie iets herkent...
Brute force is leuk....
een totaal onherkenbaar wachtwoord is nog veel bruter.
met een amerikaans OS?
Want je wil dat ze zelf een OS van de grond af schrijven?
Zo moeilijk kan dat toch niet zijn?
Veelal de eerste indicatie dat iemand geen flauw benul heeft waar het om gaat.
Een wachtwoordmanager moet op de server side nog steeds alles op slaan in een database. Die database moet gemanaged worden. Daarnaast moet er software draaien die om gaat met de authenticatie van gebruikers alsmede de registratie van gebruikers. Gebruikers willen vaak ook nog hun gegevens inzien via een desktop browser dus er moet een webpagina geserveerd worden.

Dit zijn allemaal zaken die op een besturingssysteem moeten draaien die afgezien van het draaien van de diverse applicaties in bovenstaande verhaal ook nog de internetverbinding op zich moet nemen en een hele rataplan aan andere zaken qua beveiliging om te zorgen dat kwaadwillenden niet zo makkelijk bij deze gegevens kunnen.

Als je dat allemaal vanaf de grond af aan wilt opbouwen dan zou de prijs van deze dienst geen drie euro maar eerder 30 euro per maand zijn en dat is nog enigszins optimistisch.
Kortom: Gewoon een briefje in je portemonnee bewaren waar al je wachtwoorden op staan. :)
Ja want dat is een uitstekend idee... Schrijf gelijk even je pincode er bij en andere gegevens waarmee mensen die toevallig een keer je portemonnee "vinden" bij al je belangrijke zaken kunnen.
Mijn portemonnee is veiliger dan welke server ook!
Tenzij je er een gebroken arm voor over hebt... ;)
Ja want je portemonnee kan je nooit ergens vergeten, uitvallen, etc.
Om maar niet te beginnen over het feit dat de wachtwoorden lekker zichtbaar zijn dus iemand met een goed geheugen alleen maar een keer je briefje hoeft te zien.

Prima als jij er tevreden mee bent maar houd jezelf niet voor de gek. Een veilige methode om wachtwoorden op te slaan is het absoluut niet.
Een veilige en betrouwbare methode om wachtwoorden op te slaan is er überhaupt niet.
De mens zal altijd een zwakke schakel blijven.
Kwestie om te zorgen dat je "als mens" zo sterk mogelijk bent "gewapend".

Dus géén portemonnee in je kontzak en dergelijken. ;)
Klopt, er zijn wel compleet onveilige, veiligere methodes om je wachtwoord op te slaan en methodes waarbij de kans dat mensen die er niet eens naar op zoek waren wachtwoorden in hun schoot geworpen krijgen.
De mens zal altijd een zwakke schakel blijven.
Zeker als ze er moedwillig voor kiezen om belangrijke gegevens in plain text op een briefje te schrijven en zich blijven voor houden dat het hun niet zal overkomen omdat ze zo zeker van zichzelf zijn dat zakkenrollers of andere omstandigheden hun nooit kunnen overkomen.

Wederom, prima dat dit voor je werkt maar houd jezelf niet voor de gek :)
Verliezen, zakkenrollers, per ongeluk in de was etc. Ik weet niet hoeveel wachtwoorden jij hebt en hoevaak je ze veranderd, maar bij mij zou dit niet werken. Ik heb overigens zelf een wwmanager geschreven in python ook met 256bit-aes-encryptie, maar heb er voor gekozen niet beschikbaar te maken via internet al was dat wel makkelijk te implementeren.
Gewoon je wachtwoorden coderen met een 256 bits encryptie voor je ze opschrijft en in je portemonnee stopt. Zo moeilijk hoeft het niet te zijn hoor...
30 per maand is inderdaad dan nog erg optimistisch. Een OS bouwen voor dit is een belachelijk onrealistisch idee. Maar ja, mensen die ergens geen verstand van hebben denken er wel waardevolle meningen over te kunnen hebben.
Even lezen waar we het over hebben. Dit waren allemaal reacties op de zinnen: "met een amerikaans OS?"
en: "Want je wil dat ze zelf een OS van de grond af schrijven?".

[Reactie gewijzigd door unilythe op 10 april 2017 19:29]

"Een OS bouwen voor dit is een belachelijk onrealistisch idee." Een eigen distro is ook een eigen OS bouwen. Daar doelde ik op.
Dus je negeerde de context om een punt te maken?
Want een open-source, wereldwijd, OS zoals een op Linux gebaseerd systeem is geen optie?
Hangt van je eisen af. Ik stel de opties niet, ik stel alleen maar dat er mensen zijn die Linux ook zouden mijden omdat de Amerikanen hun hand erop gehad hebben. Vandaar de vraag.
met een amerikaans OS?

In zijn algemeen lijkt mij dit spullen op een Nederlandse server plaatsen nogal dom. Immers, als het goed versleuteld is hoef je je geen zorgen te maken als iemand het probeert te bekijken. Maar de kans dat je als Nederlander bespioneert wordt door de Nederlandse autoriteiten is aanzienlijk groter dan dat de pijlen van een buitenlandse organsiatie op je gericht zijn. Dus door het in Nederland te bewaren geef je juist het grootste 'gevaar' de data op een juridisch presenteerblaadje.

Mij intereseert veel meer zaken als sleutelbeheer en API's van de plugins. Immers dat zijn de typische aanvalsvectoren van password managers.
Als je (bv.) CentOS draait met een volledig encrypt Postgres database en je toegang goed managed is er niks aan de hand.
Best wel prijzig, ¤3/maand.
Dat valt nog wel mee, zeker als je enterprise-oplossingen zoekt. Voor 1password betaal je 14¤ per maand. Lastpass is met 4$ per maand dan weer een stuk goedkoper. Maar 3 euro per maand klinkt als best redelijk eigenllijk

Als het gaat om persoonlijk gebruik zit je met lastpass premium op $1 per maand.
Lastpass is $1 p/m als je gelijk voor 1 jaar koopt.
Lastpass is $1 p/m als je gelijk voor 1 jaar koopt.
De enterprise dacht ik niet. Zal daar binnenkort eens in moeten duiken als ik daar een enterprise licentie ga afnemen.
Bij ons op kantoor hebben we enterprise. Zo uit mijn hoofd is dat $40 p/j
keepass - gratis, en opslag in eigen beheer.
Gebruikte ik voordat lastpass gratis synchronisatie had, met het vele wisselen tussen Android, iOS, Windows en Mac os is lastpass toch wat gebruiksvriendelijker.
Helemaal geen last van
De kbx staat op een transip-account, mijn ipad kan die inlezen, keepas2android doet het zelfs zonder de owncloud install, en thuis gaat het via mijn nas.
één database, zowel thuis als online gedeeld.
dagelijks gaat er een backup naar mijn Gdrive & Dropbox, dus eigenlijk altijd actueel
Wat maakt het uit op welke server het staat als er 256bit-aes-encryptie is ?
Best wel prijzig, ¤3/maand.

Aan de andere kant, staat het wel op een Nederlandse server.
Maar aan de andere kant, wat heb je aan een wachtwoordmanager welke niet onder Linux of Windows werkt. Ik zie me niet iedere keer mijn wachtwoord vanaf een foon overtypen, zeker bij 16 teken auto gegenereerde wachtwoorden zoals ik dat gebruik.
Daarmee wil Vaulteq zich onderscheiden van andere wachtwoordmanagers, waar gebruikers vaak geen keuze hebben over de locatie van de servers.
Mis ik hier iets? Binnen de wachtwoordmanager van Vaultec wordt ook toch niet de optie gegeven om een locatie van de server te kiezen? Het wordt gewoon op 1 specifieke locatie opgeslagen, maar dan in Nederland waar de rest het bijvoorbeeld in de VS opslaat.
Je mist hier inderdaad iets. Patriot Act, Amerikanen kunnen dan als nog rechtelijke verzoeken indienen
Dat doet verder niks af aan het feit dat mensen wel of niet een serverlocatie kunnen kiezen binnen een wachtwoordmanager.
Nee, maar daar onderscheiden zij zich wel mee. Dat de privacy aan andere wetten wordt getoetst.
Klopt, het is niet juist geformuleerd.
Je hebt bij Vaultec namelijk niet de mogelijkheid om naast Nederland ervoor te kiezen om je data bijvoorbeeld in de VS op te slaan.
Het is niet zozeer de keuze, meer het feit dat ze de data in Nederland opslaan.
Is de nederlandse privacy wetgeving nou zo geweldig of is dit een marketing praatje?
Ik ben werkzaam in de opslag van privacy gevoelige data. Klanten eisen dat we onze software hosten op Nederlandse servers. Zodra je AWS in de mond neemt krijg je een kwaaie blik toegeworpen. Zijn we geweldig? Moah, maar een heel stuk beter dan de US.

Grote kans dat ze bij TransIP zitten overigens. En ja, zelfs met een "Amerikaans OS" (CentOS in ons geval) zit je veilig dan.
In de GDPR die vanaf volgend jaar gehandhaafd gaat worden hebben ze het ook (naar mijn mening) ook redelijk gedaan.
Je hebt de wet bescherming persoonsgegevens, dus ja zeker beter dan Amerika. (Sinds Trump wil je eigenlijk al helemaal geen hosting producten in Amerika meer gebruiken)
Dat vraag ik me ook af. Het is in ieder geval beter dan het opslaan bij de nsa. Nu gaat het nog indirect en dat is beter denk ik?
Al die paswoorden shit een vingerafdruk en iris scan moet toch afdoende zijn om ergens in te loggen desnoods gekoppeld aan je e-mailadres of ben ik nu 8)7
Liever zonder emailadres. Anders moet je daar weer een ww gebruiken... |:(

Ik ben het met je eens wbt een irisscan (i.p.v. ww-login), maar dan wel 3D.
Dat vingerafdrukgedoe is ook niet waterdicht en volledige gezichtsherkenning is alleen handig voor big brother. 8-)

Stemherkenning misschien, in combinatie met een ramdonvragenlijstje wat je live moet beantwoorden, zodat je met een opgenomen stem niks kan.
Off topic interessant?
Onderzoeksrapport biometrie https://www.surf.nl/binar...-sterke-authenticatie.pdf

Dat ga ik 's even doorpluizen

5min. later
Even snel doorgelezen, maar onderzoekers zeggen dat irisscan te makkelijk gespoofed kan worden. Dan is oogaderscan betrouwbaarder.

[Reactie gewijzigd door verdroidnogaan2 op 10 april 2017 16:33]

Maakt het met een dikke encryptie nog uit op welke server je kluis staat? (NL vs US)
Nee maakt niets uit.
Ja, wij van land "terroristen-x987473" verplichten het om bij een rechtzaak de sleutel af te staan of je krijgt de doodstraf.
En als je kluis op een Nederlandse server staat kunnen ze je niet verplichten om de sleutel af te staan?
Dan maakt het dus niet uit in welk land de kluis staat, maar in welk land je aan de tand gevoeld wordt.
Ja, wij van land "terroristen-x987473" verplichten het om bij een rechtzaak de sleutel af te staan of je krijgt de doodstraf.
Ahhh een overdrijving die de discussie weer veel duidelijke maakt. zucht.
Maar Uhm maar uhm. Waarom niet gewoon lekker veilig in de Keychain op je iPhone of Mac zelf?
Maar Uhm maar uhm. Waarom niet gewoon lekker veilig in de Keychain op je iPhone of Mac zelf?
Omdat ik juist op meerdere platforms gebruik zou willen maken van een password manager. Een Apple-only iets pakken is dan al geen oplossing.
Android heeft ook zoiets als Keychain dus er is geen enkele reden om dit via externe servers te laten werken.
Android heeft ook zoiets als Keychain dus er is geen enkele reden om dit via externe servers te laten werken.
Ik vind 't toch anders verdomd makkelijk dat ik LastPass kan gebruiken op mijn Windowssysteem, een Apple en op m'n Windows Phone. Ieder platform kan wel z'n eigen dingetje hebben, maar dat is verre van handig als je van het ene naar het andere platform wilt gaan.
Op mijn Windows Phone kan ik immers niets met een Apple Keychain.
Omdat Android dit niet synchroniseert naar je andere pc's?
Omdat de Amerikaanse overheid dan ook je data heeft - dat is de voornaamste reden.
Omdat de Amerikaanse overheid dan ook je data heeft - dat is de voornaamste reden.
Er is werkelijk geen enkele reden om aan te nemen dat de NSA in je Keychain kan.
Nee, Vault 7 heeft je niet eens een beetje doen twijfelen? Heb je een aantal van de artikelen doorgelezen waarin staat wat ze allemaal kunnen?
En als het op een Nederlandse server staat niet zeker ;)
De server an sich is relevant, wel wat je ermee doet. Als je zelf je server inricht en al je data encrypt volgens de de laatste standaarden kunnen ze er zover we nu weten niet in. In die zin ben je dan dus "in control".
Ik ben geen security expert, maar het idee van een hardwarematige wachtwoord manager zou mij wel aanspreken. Maar, zou dat in de praktijk ook echt veiliger zijn?
Vooral omslachtiger lijkt het me, want hoe komen die wachtwoorden in het ding en er weer uit? En hoe ga je om met defecte hardware, is de gebruiker dan alles kwijt?
Die gaat weer op een stickje en naar je Dropbox ;)

(zou me overigens niets verbazen)
Uhm hardwarematig, geen idee hoe jij een fysiek iets op dropbox wil zetten. ;) ;)
Als er een usb aansluiting op zit misschien :)

Wat ik bedoel, de beveiliging is zo sterk als de zwakste schakel.

[Reactie gewijzigd door Fairy op 10 april 2017 17:38]

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*