Gratis wachtwoordmanager Firefox Lockbox is nu ook beschikbaar voor Android

Mozilla laat weten dat zijn wachtwoordmanager Firefox Lockbox nu ook beschikbaar is voor Android-toestellen. Voorheen konden alleen gebruikers van een iOS-apparaat de gratis app installeren.

Firefox Lockbox is een app die alle Firefox-wachtwoorden van de gebruiker opslaat. De toepassing kan ook worden ingesteld als standaard-app voor het automatisch invullen van alle wachtwoorden op internet, via een browser naar keuze. De wachtwoorden zijn beveiligd met 256bit-versleuteling, terwijl de app zelf met een pincode of vingerafdruk wordt geopend.

Firefox Lockbox is verder een tamelijk eenvoudige wachtwoordmanager met alle basisfunctionaliteit. De gebruiker kan nieuwe wachtwoorden creëren, controleren of wachtwoorden in het verleden ten prooi zijn gevallen aan hackers en ook andere gevoelige informatie bewaren in de app. De wachtwoorden worden desgewenst automatisch gesynchroniseerd over alle apparaten van de gebruiker.

Door Michel van der Ven

Nieuwsredacteur

27-03-2019 • 11:54

66 Linkedin

Reacties (66)

66
65
32
5
1
31
Wijzig sortering
Firefox hun Broken master password implementatie staat na 10 jaar in BugZilla, nog altijd op status "NEW".
uit de comments van bugzilla lijd ik af dat de encryptie van LockBox afhankelijk is van diezelfde broken implementatie. beschermd met welgeteld 1 volledige ronde PBKDF1. 8)7
Also, keep in mind that Lockbox also expects a key as input (they call it "app prekey"). With the current design, this key comes from Firefox Accounts. But relying on Firefox Accounts isn't an option if Lockbox is to replace a fundamental feature such as the password manager. That means that it will again be up to NSS to generate this key.
source: https://www.bleepingcompu...red-for-the-past-9-years/
https://bugzilla.mozilla.org/show_bug.cgi?id=524403

[Reactie gewijzigd door jeroen7s op 28 maart 2019 09:01]

dan gaat lastpass er hier uit, heb nog altijd meer vertrouwen in mozilla dan menig ander bedrijf. En zeker die passwordmanagers/VPN connecties en cloudopslag; draait onderaan de streep om vertoruwen
Geen passphrase, maar enkel pin of vingerafdruk is toch wel een gebrek. Die tientallen accounts wil je veilig achter slot en grendel hebben.

Daarnaast is de vraag hoe de synchronisatie verloopt en waar de database wordt opgeslagen. Als dit in de cloud is, met nul mogelijkheid om lokaal/offline te zetten, is het (voor mij) een no-go. Ik wil niet afhankelijk zijn van een partij die mijn gegevens ontoegankelijk kan maken.

Ook voelt het niet veilig om een wachtwoordmanager zo verstrengelt met de browser te hebben, Het is tenslotte de deur naar de boze buitenwereld. Favorieten, cookies en andere content wil ik gescheiden hebben van wachtwoorden.
Geen passphrase, maar enkel pin of vingerafdruk is toch wel een gebrek. Die tientallen accounts wil je veilig achter slot en grendel hebben.
Bij de eerste keer instellen vraagt LockBox wel om de 2FA. Mits je dit hebt ingesteld voor je Firefox Sync account natuurlijk.

Als iemand toegang tot m'n telefoon of laptop heeft kunnen ze de meeste accounts resetten via e-mail. Dus bij inloggen na initiële setup is laagdrempeligheid voor mij belangrijker dan een super safe mechanisme. Het is toch een app die wachtwoorden van websites ed opslaat. PIN codes of beheer wachtwoord heb ik wel apart.

[Reactie gewijzigd door Plompie op 27 maart 2019 13:13]

Ook voelt het niet veilig om een wachtwoordmanager zo verstrengelt met de browser te hebben.
Ik lees nergens dat je de browser van Firefox geïnstalleerd dient te hebben om van Lockbox gebruik te maken?
Nee, hoeft niet.
Maar je hebt weinig wachtwoorden als je het niet doet ;)
Lockbox trekt de wachtwoorden uit de opslag van Firefox-Sync

Vanmorgen op IOS geprobeert, maar Keepass-Touch en iCloud vullen naam en WW in, Lockbox niet
Je moet hem als autofill service instellen (android 8+)
Moet je hem wel even aanvinken bij "vul automatisch in" onder wachtwoorden en accounts in IOS
Vingerafdruk werkt ook bij bijvoorbeeld KeyPassDroid. Zodra je eenmaal, met sterk wachtwoord, je database hebt ontgrendent onthoudt deze ergens wat het wachtwoord is. Dit zelfde principe zou ook met een pincode kunnen ipv vingerafdruk. De pincode zelf hoeft dan je toestel nooit te verlaten.

Dit maakt het nog steeds veilig om je db in een cloud te hebben staan, maar levert wel meer risico op als je de controle over je telefoon verliest.


Sowieso kan encryptie nooit op basis van biometrie, omdat biometrische gegevens langzaamaan wijzigen. Biometrische checks zijn dan in de praktijk altijd zoiets als 'komt het enigszins overeen met het origineel'.
Geen passphrase, maar enkel pin of vingerafdruk is toch wel een gebrek. Die tientallen accounts wil je veilig achter slot en grendel hebben.
Maakt het wel makkelijk voor onze opsporingsinstanties als je naar het bericht van 30 januari kijkt:
nieuws: Rechter: verdachte dwingen om smartphone te ontgrendelen met vingeraf...

Druk de vinger van de 'verdachte' op de sensor en het hele digitale leven kan worden nageplozen

[Reactie gewijzigd door bastro op 27 maart 2019 13:37]

Volgens mij gaat de iPhone iedere x dagen 'op slot' en moet je sowieso je pin dus periodiek invoeren. Gang naar de rechter zou wel eens te traag kunnen zijn om nog via Touch of FaceID te kunnen unlocken.

Ook kun kun je door snel 3x de rechter knop in te drukken de mode activeren of via https://support.apple.com/en-us/HT208076 daarna moet je ook eerst de pin invoeren en werkt Touch of FaceID niet!

Mijn 'Pin' (passphrase) is in ieder geval 14 tekens lang en niet echt eenvoudig te kraken!
Daarnaast is de vraag hoe de synchronisatie verloopt en waar de database wordt opgeslagen. Als dit in de cloud is...
Firefox sync kan je ook self-hosted draaien. Ik heb de opslag van Firefox sync op mijn Docker draaien en alleen de authenticatie via Firefox zelf laten lopen (zelf authenticatie opzetten maakte het een hééééééél stuk ingewikkelder, had ik op dat moment geen zin in :P ). Dus misschien dat de Lockbox data ook via je eigen ffsync server opgeslagen kan worden.
Ja, ik vertrouw ze niet 100% maar firefox sync is wel erg handig dus heb ik uiteindelijk toch maar een accountje gemaakt. Ook services als Send zijn fijn.
Je kan overigens nog steeds zelf de sync server hosten, zodat de files op jouw infrastructuur blijven. Maar dat kan alleen met een (nieuw) account dat nog nooit met hun servers gesynced heeft. https://mozilla-services..../howtos/run-sync-1.5.html
Dat je zelf de boel kan hosten maakt Firefox Sync ideaal. Werkt Lockbox dan ook met je eigen Firefox Sync?

Het lijkt in elk geval nog helemaal geen volwaardige password manager te zijn. Andere oplossingen zoals Bitwarden en Enpass (gratis) werken ook zonder cloud en zijn wel echte volwaardige password managers. Ik blijf voorlopig bij Enpass maar zal Lockbox in de gaten houden.
Bitwarden kan je ook zelf hosten, zie ook elders in deze thread
Ja, dat zeg ik toch ook, Bitwarden en Enpass werken ook zonder cloud. Gewoon zelf hosten.
Ah, ja, je reactie verkeerd geïnterpreteerd :) was door je 'zonder cloud ' op verkeerde been.

[Reactie gewijzigd door Blaurens op 27 maart 2019 21:29]

Kijk dan eens naar Bitwarden. Open source. Niks cloud. Gewoon zelf hosten. Bijvoorbeeld deze 'light' versie: https://github.com/dani-garcia/bitwarden_rs
Ik zou dat ook doen... als bovenstaande een betaalde dienst geweest zou zijn. Bij een gratis dienst denk ik toch "Hoe wordt dit gefinancierd?" En in tegenstelling tot Keepass zitten er voor Mozilla wel substantiële kosten aan verbonden om synchronisatie aan te bieden.
Klopt, maar Mozilla is heel open in hoe het zijn geld ontvangt en uitgeeft. Ze verkopen je data niet en hebben verder ook geen winstoogmerk.
Gelukkig wel ja, ik vertrouw Mozilla al een stuk meer dan veel andere bedrijven. Maar uiteindelijk is het een van de grote giganten van het internet. Het liefst houd ik dit soort dingen dus zelf in beheer, of gebruik ik juist een dienst die vanuit winstoogmerk juist geen fouten veroorloven.
Ik gebruik Keepass al ;) Lekker m'n eigen beheer zoals het hoort.
Bitwarden kan ook simpel zelf gehost worden, vrij simpel met https://github.com/dani-garcia/bitwarden_rs bijvoorbeeld, draait prima op een raspberry pi. Heeft een wat prettiger integratie imho dan Keepass, synct makkelijker op alle devices.
Werkt dat goed?
Ik lees dat ze niets te maken hebben met Bitwarden, dat ze enkel de server implementeren.
Staat Bitwarden dit project toe, of gaan ze dit misschien in de toekomst tegenwerken?

Het lijkt me wat beter dan Keepass, maar van Keepass in mijn DropBox gehost, weet ik dat het blijft werken. Hier heb ik niet per se zoveel vertrouwen voor de toekomst.
Werkt prima, de maker van (de officiele) bitwarden schijnt zelfs api changes te communiceren naar officieze server-schrijvers (meen ik me van reddit te herinneren).

Ze vragen wel of je als je dat gebruikt, je bugs wil melden bij de officeuze projecten en niet bij het officiele project, en je wordt gevraagd/geacht alsnog een licentie te kopen, maar er is niets wat dat afdwingt. En of je het doet of niet, duur is het niet: is geloof ik 12 euro per jaar.

Ander voordeel tov Keepas is dat je prima (een deel van) je wachtwoorden veilig kan delen met andere gebruikers, bijvoorbeeld parners, collega's of kinderen.
Dat is een custom project voor o.a. de Raspberry Pi (low resource devices). Ze hebben ook gewoon een eigen officiele selfhosted server instantie voor je Linux box, die is alleen wat zwaarder in de resources.
Kende ik nog niet! Ik host het (nog) niet zelf maar zeker nu ik dit lees kan ik het wel eens proberen.
Check, voor mij werkt dat erg goed, overgestapt naar Bitwarden vanaf Lastpass. Ook bij Bitwarden kan je lokaal hosten als je wilt en het ondersteunt een behoorlijke lijst 2FA opties.
Fair point. Maar waar mensen zijn, worden fouten gemaakt. Mijn voorkeur gaat hierbij naar Mozilla. Alhoewel een dienst met wel winstoogmerk, dat goed met de data van gebruikers omgaat en waar je dan wel een klein bedrag voor moet betalen, een goeie afweging is.
Wat houdt je tegen om de database op je eigen privé cloudstorage op te slaan? KeePass.
Persoonlijk heb ik meer vertrouwen in een bedrijf wiens bestaan afhankelijk is van de veiligheid van hun product en hoe ze met persoonsgegevens om gaan.
Ik zou even een security audit afwachten. Nadat ik 1Password er uit had gegooid heb ik kort LastPass gebruikt. Enkele maanden geleden ben ik, na veel inlezen, geswitched naar Bitwarden (open source). Nog geen spijt van gehad. Een externe security audit bracht wel een serieus punt aan de orde maar die is ondertussen getackled door Bitwarden. De recente passphrase-kwetsbaarheden van bv. Lastpass en 1Password leken niet te bestaan bij Bitwarden.
Nu een desktop/web variant nog en ik switch. Dit om even snel een wachtwoord op te zoeken als ik op een andere PC / machine die niet van mij is zit.

[Reactie gewijzigd door sfranken op 27 maart 2019 12:32]

Die heet 'Firefox'.
persoonlijk vind ik firefox toch niet zo'n fijne browser..maar das persoonlijk natuurlijk
Zelf ben ik al jaren fan van firefox, en moet ik zeggen dat de afgelopen paar jaar het redelijk slecht ging met firefox, zeker als je het vergelijkt met chrome. Zelfs ik als firefox fan was serieus aan het overwegen om over te stappen op een Chromium based browser, maar gelukkig gaat het weer de goede kant op met firefox sinds versie 64 (?) met een betere multithreaded engine.

Overigens; als er iets specifieks is wat je niet tof vind aan de browser, je kan ontzettend veel instellen in tegenstelling tot de rest =)
Deels heb je misschien gelijk. Maar verbazend was het wel dat vooral Google producten matig presteerde in firefox.
Je zou bijna zeggen dat dat oneerlijke concurentie is.

Gek genoeg is dat het niet, google gebruikt met producten als maps ontzettend veel javascript, en v8 is nou eenmaal sneller. Web whatsapp draait ook een stuk minder in firefox, maar, sinds de nieuwere spidermonkey (javascript engine van FF) is dat inmiddels weer bijna gelijk qua snelheid.
Je ontkenning is weer niet helemaal juist.

Ze gebruiken ook vaak nieuwe technieken die ze eerst in Chrome uittesten en pas later publiek beschikbaar maken. Althans de reden waarom je het ontkent niet. Of er daadwerkelijk sprake is van oneerlijke concurrentie weet ik niet, het is tenslotte ook juist wel handig dat ze die nieuwe technieken ook in de praktijk uitproberen :)

Maar denk daarbij o.a. aan webp, de voorloper van HTTP/2 (en nu die van HTTP/3) en diverse web standaarden. En @GLaDTheresCake noemt ook nog een concreet voorbeeld :)
Dat was inderdaad een tijdje zo, op YouTube bijvoorbeeld zorgde een implementatie van een verouderde shadowDOM API (versie 0.2), die overigens nergens anders dan in chromium heeft gezeten, voor veel vertraging op Firefox. Maar Google liet dat maar een paar maandjes zo voordat zij updatete. schadelijk machtsmisbruik als je het mij vraagt, ook al was het niet gemeend, je kan er op rekekenen dat ze het véél eerder gefixt zouden hebben was de performance slecht in Chrome.
Dat weet ik, ik bedoelde voor 'even snel een wachtwoord opzoeken op een PC van iemand anders', bijvoorbeeld.
Een alternatief in de vorm van een add-on voor een andere browser zou geen slechte toevoeging zijn.
ja, of een Chrome plugin.
Ja op de desktop zit dit in ff gebakken, ik gebruik het al jaren als pw manager, meeste accounts zijn toch web based, ook voor android apps is er vaak een browser based app variant, waar je dan je random password kan saven als referentie. Je moet het dan wel nog handmatig overnemen als je het ooit kwijt bent.
Heb je hier een account voor nodig? Lijkt me wel. Aangezien het over meerdere devices gaat vermoed ik dat het allemaal via de cloud gaat en dus mijn wachtwoorden, zij het encrypted, op hun server staan. Maar alleen ik heb de decryptie sleute/phrase. Misschien toch maar eens proberen.
Ik blijf nog wel ff bij Bitwarden, een nieuwe manager heeft toch altijd problemen, al dan niet bepaalde security flaws.
Same here. Sinds ruim een jaar op Bitwarden en heel tevreden over. FireFox Lockbox klinkt aantrekkelijk maar ik gebruik regelmatig Chrome of Brave als alternatief, en dan wil ook toegang hebben tot mijn passwords. Pas als ze met een extentie komen voor andere browsers en eventueel een desktop-app wordt het iets om te overwegen.
Hopelijk maakt dit nu effectief masterpassworded pw db sync via ff account op android mogelijk.
Ik hoop wel dat dit snel verder doorontwikkeld wordt, want voor veel mensen zit de meerwaarde van een wachtwoordmanager juist ook in het verantwoord kunnen delen van sommige wachtwoorden e.d.
Wat ik niet snap is waarom firefox (niet lockbox) het zo ontzettend makkelijk maakt om aan (bijna) al iemands wachtwoorden te komen. De meeste mensen hebben geen flauw idee dat ze een hoofdwachtwoord kunnen instellen. Toch kan je zonder dat hoofdwachtwoord al de opgeslagen wachtwoorden te zien krijgen in de instellingen.
Oftewel als iemand remote acces krijgt opent hij firefox als je niet kijkt en gaat naar de privacyopties en klikt op opgeslagen wachtwoorden et voilà. Als je een hoofdwachtwoord instelt ben je wel veilig. Maar zorg dan dat je ofwel de gebruiker op de hoogte brengt dat hij geen hoofdwachtwoord heeft ingesteld en zijn wachtwoorden niet veilig zijn ofwel zorg ervoor dat je die niet kunt zien als je die niet hebt ingesteld.

Ook de keuze voor een pincode in lockbox snap ik niet helemaal. Dat is toch binnen een microseconde te bruteforcen? Ongetwijfeld zal mozilla het moeilijk hebben gemaakt om er een bruteforce methode op los te laten maar ik zie liever uberhaupt die mogelijkheid niet; het is meer schijnveiligheid. En dan de fingerprints kan je die ook niet gewoon bruteforcen? Ze zijn mischien uniek genoeg voor 7 miljard mensen maar voor een computer hoeft dat niets voor te stellen. Met machinelearning kom je al een heel eind. Het basispatroon van een vingerafdruk is immers vrij standaard, het gaat om details daarbinnen. Lussen, kring- en boogfiguren en splitsingen kan je, lijkt me, vrij gemakkelijk genereren.

[Reactie gewijzigd door ADR3 op 27 maart 2019 12:35]

Chrome (en Edge?) heeft ook standaard geen hoofdwachtwoord toch? Geldt daar hetzelfde voor of doet Firefox het 'erger'?
Erger nog, mensen die moeite doen om een MasterPassword in te stellen, en denken dat hun wachtwoorden nu securely encrypted zijn, zijn helemaal niet veilig.
https://www.bleepingcompu...red-for-the-past-9-years/
https://bugzilla.mozilla.org/show_bug.cgi?id=524403
Bugzilla report nog altijd in status "NEW" na 10 jaar 8)7
Even getest en weer verwijderd.

Gedownload op iOS, account gemaakt en settings goed gezet.
Uitgelogd op een website waarvan ik het pw uit het hoofd weet, ingelogd, lockbox popt up maar nog geen pw bekend. Prima was ook te verwachten.
Ingelogd, check in lockbox of het pw toegevoegd is, nee?
Uitgelogd en terug ingelogd, lockbox popt up en nog altijd geen pw…

Als ik eerst moet inloggen op de desktop om een paswoord aan te maken is het voor mij nutteloos helaas.
Viel mij ook op (en tegen) dat de app geen nieuwe entries kan opslaan. Op zich geen probleem als je Firefox als mobile browser gebruikt want die kan dat wel maar dan heb je Lockbox sowieso niet nodig |:(
Wat is eigenlijk het verschil met Firefox Sync dat al standaard in Firefox zit?
Gebruikt zelfde sync backend/account, maar het is een appje los van firefox dat kan autofillen (ook buiten de browser?) systemwide op android.
Dit is puur apart voor je passwords en hopelijk veel veiliger (uiteindelijk).
Sync is voor je websites, history, bookmarks etc.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee