Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Mozilla test wachtwoordbeheerder voor Firefox-logins op iOS

Als onderdeel van zijn Mobile Test Pilot-programma, experimenteert Mozilla met Firefox Lockbox, een wachtwoordbeheerder die de in Firefox opgeslagen inloggegevens kan benaderen om bij iOS op apps in te kunnen loggen.

Na het installeren van Firefox Lockbox op iOS en het inloggen op een Firefox-account, synchroniseert de app via een versleutelde verbinding de opgeslagen inloggegevens met de Firefox-browser. De app toont vervolgens de gebruikersnaam en wachtwoordinformatie in een lijst, die de gebruiker kan doorzoeken en aanpassen. Gebruikers kunnen de app openen met Face ID of Touch ID.

Het gaat om een van de twee eerste experimentele functies voor mobiel, waarvoor gebruikers Mozilla's Test Pilot-add-on moeten installeren. Niet bekend is of Mozilla ook aan een Android-versie van Lockbox werkt, maar de organisatie maakt wel de komst van Notes by Firefox bekend. Ook dit is een experimentele functie, waarmee gebruikers notities kunnen plaatsen in hun browser, na inloggen met hun Firefox-account. De app synchroniseert de notities versleuteld tussen browsers, op zowel mobiel als desktop.

Door Olaf van Miltenburg

Nieuwscoördinator

10-07-2018 • 17:49

20 Linkedin Google+

Reacties (20)

Wijzig sortering
Ondertussen is dit probleem nog steeds niet opgelost: nieuws: 'Firefox gebruikt gebrekkige methode om gebruikerswachtwoorden te versleutelen'. Bugzilla issue: https://bugzilla.mozilla.org/show_bug.cgi?id=524403

Lockbox zou hetzelfde issue hebben volgens Palant, de auteur van het originele artikel waarop het nieuwsartikel was gebaseerd:
Also, keep in mind that Lockbox also expects a key as input (they call it "app prekey"). With the current design, this key comes from Firefox Accounts. But relying on Firefox Accounts isn't an option if Lockbox is to replace a fundamental feature such as the password manager. That means that it will again be up to NSS to generate this key.

[Reactie gewijzigd door Blaise op 10 juli 2018 18:15]

Heeft iemand scherp In hoeverre deze oplossing anders is dan de functionaliteit die LastPass met zijn webportaal & iOS app biedt? Ben daar overigens een tevreden gebruiker van.
Ja dat heb ik, namelijk dat het flink interactie scheelt. Nu moet je een webpagina 'delen' met de app die dan een postback mag doen met je wachtwoord en gebruikersnaam.

Er is een maar (die ik eigenlijk als losse comment wilde posten) namelijk:

iOS kan dit straks native! Er komt een passwordmanagerapi aan voor Safari! Dan druk je dus op het KeyChain logotje dat je gewent bent maar komen je wachtwoorden uit je prachtige multiplatformoplossing.
Multiplatform enkel binnen het Apple ecosysteem. Heb je een Windows/Android/whatever device is dat met Keychain niet mogelijk. Firefox is (wordt) wel echt multiplatform als ik het goed begrijp.
Een API impliceert dat het door apps kan worden benaderd. Dan kan je als appbouwer dus dezelfde datastore gebruiken die je Windows- en Androidapps gebruiken.
De implementatie van Apple ook! KeyChain bestaat al jaren en dat dat synchroniseert is niet nieuw.

De wachtwoorden in deze demo komen uit de app van 1Password:
https://mobile.twitter.co...tatus/1003824297725460481

Ik wilde die nog toevoegen aan m’n originele comment maar toen overleed Tweakers.
Als Firefox nou zijn password manager ook nog browser-agnostic zou maken zou het helemaal mooi zijn. Ik gebruik bijvoorbeeld Firefox op mijn computer, maar Chrome op mijn telefoon (want Firefox voor Android is verschrikkelijk...). Daardoor moet ik dus momenteel Enpass gebruiken. Want zowel Firefox als Chrome kunnen dan wel synchroniseren, maar niet naar de andere browser. Als ik Firefox's password manager kon gebruiken binnen apps maar ook binnen Chrome op Android zou dat best mooi zijn (en ook een extension voor Chrome zou ik dan denken, hoe vreemd dat misschien ook klinkt als je puur over Firefox denkt als een browser). Dan zouden mensen mogelijk ook veel sneller geneigd zijn een password manager te gebruiken, als ze die ook gewoon overal kunnen gebruiken zonder een abonnement af te moeten sluiten.
Ik doe dus precies het zelfde. Firefox Developer Edition (dark theme ziet er wel mooi uit ;) ) op de PC en Chrome op telefoon omdat Firefox voor Android vreselijk is.
Alleen ik vind het geen probleem om Bitwarden te gebruiken. Het werkt prima, en het is gratis, dus ik vind het wel goed.
Om favorieten gesynchroniseerd te houden gebruik ik Pocket.

[Reactie gewijzigd door MarnickS op 10 juli 2018 21:20]

Dark theme kan je ook gewoon krijgen in de non-developer edition hoor. Is gewoon een instelling ;)
Dat weet ik, maar dan word alleen de bovenste balk (adresbalk plus alles daar om heen) donker.
Het startscherm bijvoorbeeld blijft dan gewoon wit.
Is het bij mij op de "Developer Edition" ook nog gewoon hoor :P
want Firefox voor Android is verschrikkelijk
Hmm? Ik gebruik Firefox op Android, geen problemen mee? Werkt smooth, crashed vrijwel nooit, doet zijn ding tot een onoverzichtelijk aantal tabs. Doet qua gebruikers ervaring niet onder aan Chrome.
Weet ook niet waar het over gaat. Ik gebruik nooit Chrome en Firefox Android/Focus zijn echt prima browsers (naar mijn mening gewoon de beste). Maar goed, ieder zijn ding.
Grappig. Dit, terwijl de gebruikers nog steeds moeten wachten op de ondersteuning van het AutoFill framework in Android O.

In Firefox Focus werkt het overigens wel, maar dat komt omdat ze daar de Android webview gebruiken.

[Reactie gewijzigd door GebakkePizza op 10 juli 2018 18:13]

Ik gebruik al een jaar of zo 1password. Op 2 win10-pc’s en mijn iPhone. En dit met volle tevredenheid. Paswoorden worden mooi ge-synced tussen al de devices.
Ik wil eigenlijk een stand-alone passwordmanager. Een apart stuk hardware dat ik in mijn broekzak mee kan nemen en dat met alle apparaten, applicaties en diensten werkt.

Mijn plan is om een oude telefoon te pakken, die helemaal dicht te timmeren (oa met LineageOS) en dan het netwerk uit te schakelen. Vervolgens draai ik daar een passwordmanager. Die is dan dubbel beveiligd, niet alleen met z'n eigen beveiliging, maar ook met het lockscreen van de telefoon, die ik immers voor niks anders gebruik dan wachtwoorden.

Vervolgens wil ik kabeltje zodat die telefoon zich kan voordoen als USB-toetsenbord en als camera.
De meeste applicaties krijgen hun wachtwoord dan via de telefoon binnen. Als het nodig is kan ik de camera in de telefoon gebruiken om QR's te scannen. Omgedraaid kan ik het scherm van de telefoon gebruiken om QR-codes te laten zien of, vandaar de camera-emulatie, de telefoon zich laten voordoen als een plaatje van een QR-code.


De beste beveiliging aan het geheel is dat het in mijn broekzak zit en daar alleen uitkomt als ik iets met wachtwoorden wil doen. Als je m'n wachtwoorden wil hebben zal je me eerst fysiek moeten opzoeken.
De CIA stuurt als het nodig is wel een mannetje om mij te beroven, maar scriptkiddies uit India doen dat niet.

(Voor ik daadwerkelijk aan dit project begin moet ik nog beslissen hoe ik backups en "high availability" ga regelen.)
Een simpele keylogger onderschept dan alsnog je wachtwoorden ;)
Omslachtig. Je usb kan gesniffed worden. En als je dat verkeer toch al versleuteld hebt kan het net zo goed over het netwerk. Of nog beter: asynchroon versleuteld, met wacttwoord op je pc een authenticator app op je telefoon je wachtwoorden tevoorschijn toveren. Geen verbinding nodig met je device omdat de database versleuteld is. Geen device wat uit je broekzak gejat kan worden of afgeluisterd kan worden met usb. Keyboard sniffen heeft ook geen zin, want 2fa.

Conclusie: je idee is leuk maar niet veilig(er) dan een password app als 1pass of lastpass.

Lastpass en 1pass hebben wel andere issues gehad, maar het idee van hoe passwords worden bewaard en ontsleuteld is erg veilig.

Wel even opletten met browsers, want die kunnen nog steeds via exensies kwetsbaar zijn voor het stelen van data. Dus alsnog op je online services 2fa aanzetten.

[Reactie gewijzigd door DeuTeRiuM op 10 juli 2018 19:47]

USB-stick en Notepad.exe, graag gedaan ;-)
Ik denk dat je een Mooltipass zoekt ;) Zit geen camera bij, maar ik kan je use case daarvoor ook niet echt volgen...

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True