Gratis wachtwoordmanager Firefox Lockbox is nu ook beschikbaar voor Android

Mozilla laat weten dat zijn wachtwoordmanager Firefox Lockbox nu ook beschikbaar is voor Android-toestellen. Voorheen konden alleen gebruikers van een iOS-apparaat de gratis app installeren.

Firefox Lockbox is een app die alle Firefox-wachtwoorden van de gebruiker opslaat. De toepassing kan ook worden ingesteld als standaard-app voor het automatisch invullen van alle wachtwoorden op internet, via een browser naar keuze. De wachtwoorden zijn beveiligd met 256bit-versleuteling, terwijl de app zelf met een pincode of vingerafdruk wordt geopend.

Firefox Lockbox is verder een tamelijk eenvoudige wachtwoordmanager met alle basisfunctionaliteit. De gebruiker kan nieuwe wachtwoorden creëren, controleren of wachtwoorden in het verleden ten prooi zijn gevallen aan hackers en ook andere gevoelige informatie bewaren in de app. De wachtwoorden worden desgewenst automatisch gesynchroniseerd over alle apparaten van de gebruiker.

Firefox Lockbox

Reacties (66)

jeroen7s 28 maart 2019 09:00

Firefox hun Broken master password implementatie staat na 10 jaar in BugZilla, nog altijd op status "NEW".
uit de comments van bugzilla lijd ik af dat de encryptie van LockBox afhankelijk is van diezelfde broken implementatie. beschermd met welgeteld 1 volledige ronde PBKDF1.

Also, keep in mind that Lockbox also expects a key as input (they call it "app prekey"). With the current design, this key comes from Firefox Accounts. But relying on Firefox Accounts isn't an option if Lockbox is to replace a fundamental feature such as the password manager. That means that it will again be up to NSS to generate this key.

source: https://www.bleepingcompu...red-for-the-past-9-years/
https://bugzilla.mozilla.org/show_bug.cgi?id=524403

[Reactie gewijzigd door jeroen7s op 22 juli 2024 21:32]

himlims_ 27 maart 2019 11:56

dan gaat lastpass er hier uit, heb nog altijd meer vertrouwen in mozilla dan menig ander bedrijf. En zeker die passwordmanagers/VPN connecties en cloudopslag; draait onderaan de streep om vertoruwen

geekeep @himlims_ • 27 maart 2019 12:08

Geen passphrase, maar enkel pin of vingerafdruk is toch wel een gebrek. Die tientallen accounts wil je veilig achter slot en grendel hebben.

Daarnaast is de vraag hoe de synchronisatie verloopt en waar de database wordt opgeslagen. Als dit in de cloud is, met nul mogelijkheid om lokaal/offline te zetten, is het (voor mij) een no-go. Ik wil niet afhankelijk zijn van een partij die mijn gegevens ontoegankelijk kan maken.

Ook voelt het niet veilig om een wachtwoordmanager zo verstrengelt met de browser te hebben, Het is tenslotte de deur naar de boze buitenwereld. Favorieten, cookies en andere content wil ik gescheiden hebben van wachtwoorden.

Plompie @geekeep • 27 maart 2019 13:11

Geen passphrase, maar enkel pin of vingerafdruk is toch wel een gebrek. Die tientallen accounts wil je veilig achter slot en grendel hebben.

Bij de eerste keer instellen vraagt LockBox wel om de 2FA. Mits je dit hebt ingesteld voor je Firefox Sync account natuurlijk.

Als iemand toegang tot m'n telefoon of laptop heeft kunnen ze de meeste accounts resetten via e-mail. Dus bij inloggen na initiële setup is laagdrempeligheid voor mij belangrijker dan een super safe mechanisme. Het is toch een app die wachtwoorden van websites ed opslaat. PIN codes of beheer wachtwoord heb ik wel apart.

[Reactie gewijzigd door Plompie op 22 juli 2024 21:32]

Laguna @geekeep • 27 maart 2019 12:18

Ook voelt het niet veilig om een wachtwoordmanager zo verstrengelt met de browser te hebben.

Ik lees nergens dat je de browser van Firefox geïnstalleerd dient te hebben om van Lockbox gebruik te maken?

FreshMaker @Laguna • 27 maart 2019 12:35

Nee, hoeft niet.
Maar je hebt weinig wachtwoorden als je het niet doet

Lockbox trekt de wachtwoorden uit de opslag van Firefox-Sync

Vanmorgen op IOS geprobeert, maar Keepass-Touch en iCloud vullen naam en WW in, Lockbox niet

privacybeleid @FreshMaker • 27 maart 2019 12:45

Je moet hem als autofill service instellen (android 8+)

vinsterdamus

@FreshMaker • 27 maart 2019 12:49

Moet je hem wel even aanvinken bij "vul automatisch in" onder wachtwoorden en accounts in IOS

Anoniem: 169091 @geekeep • 27 maart 2019 12:22

Vingerafdruk werkt ook bij bijvoorbeeld KeyPassDroid. Zodra je eenmaal, met sterk wachtwoord, je database hebt ontgrendent onthoudt deze ergens wat het wachtwoord is. Dit zelfde principe zou ook met een pincode kunnen ipv vingerafdruk. De pincode zelf hoeft dan je toestel nooit te verlaten.

Dit maakt het nog steeds veilig om je db in een cloud te hebben staan, maar levert wel meer risico op als je de controle over je telefoon verliest.

Sowieso kan encryptie nooit op basis van biometrie, omdat biometrische gegevens langzaamaan wijzigen. Biometrische checks zijn dan in de praktijk altijd zoiets als 'komt het enigszins overeen met het origineel'.

bastro @geekeep • 27 maart 2019 13:35

Geen passphrase, maar enkel pin of vingerafdruk is toch wel een gebrek. Die tientallen accounts wil je veilig achter slot en grendel hebben.

Maakt het wel makkelijk voor onze opsporingsinstanties als je naar het bericht van 30 januari kijkt:
nieuws: Rechter: verdachte dwingen om smartphone te ontgrendelen met vingeraf...

Druk de vinger van de 'verdachte' op de sensor en het hele digitale leven kan worden nageplozen

[Reactie gewijzigd door bastro op 22 juli 2024 21:32]

Anoniem: 113730 @bastro • 27 maart 2019 16:54

Volgens mij gaat de iPhone iedere x dagen 'op slot' en moet je sowieso je pin dus periodiek invoeren. Gang naar de rechter zou wel eens te traag kunnen zijn om nog via Touch of FaceID te kunnen unlocken.

Ook kun kun je door snel 3x de rechter knop in te drukken de mode activeren of via https://support.apple.com/en-us/HT208076 daarna moet je ook eerst de pin invoeren en werkt Touch of FaceID niet!

Mijn 'Pin' (passphrase) is in ieder geval 14 tekens lang en niet echt eenvoudig te kraken!

jerheij @geekeep • 27 maart 2019 15:21

Daarnaast is de vraag hoe de synchronisatie verloopt en waar de database wordt opgeslagen. Als dit in de cloud is...

Firefox sync kan je ook self-hosted draaien. Ik heb de opslag van Firefox sync op mijn Docker draaien en alleen de authenticatie via Firefox zelf laten lopen (zelf authenticatie opzetten maakte het een hééééééél stuk ingewikkelder, had ik op dat moment geen zin in

). Dus misschien dat de Lockbox data ook via je eigen ffsync server opgeslagen kan worden.

privacybeleid @himlims_ • 27 maart 2019 12:10

Ja, ik vertrouw ze niet 100% maar firefox sync is wel erg handig dus heb ik uiteindelijk toch maar een accountje gemaakt. Ook services als Send zijn fijn.
Je kan overigens nog steeds zelf de sync server hosten, zodat de files op jouw infrastructuur blijven. Maar dat kan alleen met een (nieuw) account dat nog nooit met hun servers gesynced heeft. https://mozilla-services..../howtos/run-sync-1.5.html

Jazco2nd

Mozilla Firefox

@privacybeleid • 27 maart 2019 14:24

Dat je zelf de boel kan hosten maakt Firefox Sync ideaal. Werkt Lockbox dan ook met je eigen Firefox Sync?

Het lijkt in elk geval nog helemaal geen volwaardige password manager te zijn. Andere oplossingen zoals Bitwarden en Enpass (gratis) werken ook zonder cloud en zijn wel echte volwaardige password managers. Ik blijf voorlopig bij Enpass maar zal Lockbox in de gaten houden.

Blaurens @Jazco2nd • 27 maart 2019 17:45

Bitwarden kan je ook zelf hosten, zie ook elders in deze thread

Jazco2nd

Mozilla Firefox

@Blaurens • 27 maart 2019 20:00

Ja, dat zeg ik toch ook, Bitwarden en Enpass werken ook zonder cloud. Gewoon zelf hosten.

Blaurens @Jazco2nd • 27 maart 2019 21:28

Ah, ja, je reactie verkeerd geïnterpreteerd

was door je 'zonder cloud ' op verkeerde been.

[Reactie gewijzigd door Blaurens op 22 juli 2024 21:32]

wpeterw @himlims_ • 27 maart 2019 12:48

Kijk dan eens naar Bitwarden. Open source. Niks cloud. Gewoon zelf hosten. Bijvoorbeeld deze 'light' versie: https://github.com/dani-garcia/bitwarden_rs

Stoelpoot @himlims_ • 27 maart 2019 12:28

Ik zou dat ook doen... als bovenstaande een betaalde dienst geweest zou zijn. Bij een gratis dienst denk ik toch "Hoe wordt dit gefinancierd?" En in tegenstelling tot Keepass zitten er voor Mozilla wel substantiële kosten aan verbonden om synchronisatie aan te bieden.

yoranpower @Stoelpoot • 27 maart 2019 12:32

Klopt, maar Mozilla is heel open in hoe het zijn geld ontvangt en uitgeeft. Ze verkopen je data niet en hebben verder ook geen winstoogmerk.

Stoelpoot @yoranpower • 27 maart 2019 12:36

Gelukkig wel ja, ik vertrouw Mozilla al een stuk meer dan veel andere bedrijven. Maar uiteindelijk is het een van de grote giganten van het internet. Het liefst houd ik dit soort dingen dus zelf in beheer, of gebruik ik juist een dienst die vanuit winstoogmerk juist geen fouten veroorloven.

MarnickS @Stoelpoot • 27 maart 2019 13:19

Probeer Bitwarden dan eens.
https://bitwarden.com

Stoelpoot @MarnickS • 27 maart 2019 13:26

Ik gebruik Keepass al

Lekker m'n eigen beheer zoals het hoort.

Blaurens @Stoelpoot • 27 maart 2019 13:45

Bitwarden kan ook simpel zelf gehost worden, vrij simpel met https://github.com/dani-garcia/bitwarden_rs bijvoorbeeld, draait prima op een raspberry pi. Heeft een wat prettiger integratie imho dan Keepass, synct makkelijker op alle devices.

Chris_147 @Blaurens • 27 maart 2019 14:37

Werkt dat goed?
Ik lees dat ze niets te maken hebben met Bitwarden, dat ze enkel de server implementeren.
Staat Bitwarden dit project toe, of gaan ze dit misschien in de toekomst tegenwerken?

Het lijkt me wat beter dan Keepass, maar van Keepass in mijn DropBox gehost, weet ik dat het blijft werken. Hier heb ik niet per se zoveel vertrouwen voor de toekomst.

Blaurens @Chris_147 • 27 maart 2019 17:41

Werkt prima, de maker van (de officiele) bitwarden schijnt zelfs api changes te communiceren naar officieze server-schrijvers (meen ik me van reddit te herinneren).

Ze vragen wel of je als je dat gebruikt, je bugs wil melden bij de officeuze projecten en niet bij het officiele project, en je wordt gevraagd/geacht alsnog een licentie te kopen, maar er is niets wat dat afdwingt. En of je het doet of niet, duur is het niet: is geloof ik 12 euro per jaar.

Ander voordeel tov Keepas is dat je prima (een deel van) je wachtwoorden veilig kan delen met andere gebruikers, bijvoorbeeld parners, collega's of kinderen.

blmp @Chris_147 • 27 maart 2019 16:55

Dat is een custom project voor o.a. de Raspberry Pi (low resource devices). Ze hebben ook gewoon een eigen officiele selfhosted server instantie voor je Linux box, die is alleen wat zwaarder in de resources.

MarnickS @Blaurens • 27 maart 2019 19:38

Kende ik nog niet! Ik host het (nog) niet zelf maar zeker nu ik dit lees kan ik het wel eens proberen.

Falco

@MarnickS • 27 maart 2019 13:45

Check, voor mij werkt dat erg goed, overgestapt naar Bitwarden vanaf Lastpass. Ook bij Bitwarden kan je lokaal hosten als je wilt en het ondersteunt een behoorlijke lijst 2FA opties.

yoranpower @Stoelpoot • 27 maart 2019 13:47

Fair point. Maar waar mensen zijn, worden fouten gemaakt. Mijn voorkeur gaat hierbij naar Mozilla. Alhoewel een dienst met wel winstoogmerk, dat goed met de data van gebruikers omgaat en waar je dan wel een klein bedrag voor moet betalen, een goeie afweging is.

eYaTed @himlims_ • 27 maart 2019 12:33

Wat houdt je tegen om de database op je eigen privé cloudstorage op te slaan? KeePass.

Zer0 @himlims_ • 27 maart 2019 12:47

Persoonlijk heb ik meer vertrouwen in een bedrijf wiens bestaan afhankelijk is van de veiligheid van hun product en hoe ze met persoonsgegevens om gaan.

Rembert @himlims_ • 27 maart 2019 13:32

Ik zou even een security audit afwachten. Nadat ik 1Password er uit had gegooid heb ik kort LastPass gebruikt. Enkele maanden geleden ben ik, na veel inlezen, geswitched naar Bitwarden (open source). Nog geen spijt van gehad. Een externe security audit bracht wel een serieus punt aan de orde maar die is ondertussen getackled door Bitwarden. De recente passphrase-kwetsbaarheden van bv. Lastpass en 1Password leken niet te bestaan bij Bitwarden.

sfranken 27 maart 2019 11:57

Nu een desktop/web variant nog en ik switch. Dit om even snel een wachtwoord op te zoeken als ik op een andere PC / machine die niet van mij is zit.

[Reactie gewijzigd door sfranken op 22 juli 2024 21:32]

Travelan @sfranken • 27 maart 2019 11:59

Die heet 'Firefox'.

Koen90 @Travelan • 27 maart 2019 12:03

https://lockbox.firefox.com/

Ik zie nog geen inlogknop hier.

bArAbAtsbB @Travelan • 27 maart 2019 12:01

persoonlijk vind ik firefox toch niet zo'n fijne browser..maar das persoonlijk natuurlijk

jaenster

@bArAbAtsbB • 27 maart 2019 12:40

Zelf ben ik al jaren fan van firefox, en moet ik zeggen dat de afgelopen paar jaar het redelijk slecht ging met firefox, zeker als je het vergelijkt met chrome. Zelfs ik als firefox fan was serieus aan het overwegen om over te stappen op een Chromium based browser, maar gelukkig gaat het weer de goede kant op met firefox sinds versie 64 (?) met een betere multithreaded engine.

Overigens; als er iets specifieks is wat je niet tof vind aan de browser, je kan ontzettend veel instellen in tegenstelling tot de rest =)

Kevinp @jaenster • 27 maart 2019 13:32

Deels heb je misschien gelijk. Maar verbazend was het wel dat vooral Google producten matig presteerde in firefox.

jaenster

@Kevinp • 27 maart 2019 14:04

Je zou bijna zeggen dat dat oneerlijke concurentie is.

Gek genoeg is dat het niet, google gebruikt met producten als maps ontzettend veel javascript, en v8 is nou eenmaal sneller. Web whatsapp draait ook een stuk minder in firefox, maar, sinds de nieuwere spidermonkey (javascript engine van FF) is dat inmiddels weer bijna gelijk qua snelheid.

ACM Software Architect @jaenster • 27 maart 2019 16:05

Je ontkenning is weer niet helemaal juist.

Ze gebruiken ook vaak nieuwe technieken die ze eerst in Chrome uittesten en pas later publiek beschikbaar maken. Althans de reden waarom je het ontkent niet. Of er daadwerkelijk sprake is van oneerlijke concurrentie weet ik niet, het is tenslotte ook juist wel handig dat ze die nieuwe technieken ook in de praktijk uitproberen

Maar denk daarbij o.a. aan webp, de voorloper van HTTP/2 (en nu die van HTTP/3) en diverse web standaarden. En @GLaDTheresCake noemt ook nog een concreet voorbeeld

GLaDTheresCake @Kevinp • 27 maart 2019 14:11

Dat was inderdaad een tijdje zo, op YouTube bijvoorbeeld zorgde een implementatie van een verouderde shadowDOM API (versie 0.2), die overigens nergens anders dan in chromium heeft gezeten, voor veel vertraging op Firefox. Maar Google liet dat maar een paar maandjes zo voordat zij updatete. schadelijk machtsmisbruik als je het mij vraagt, ook al was het niet gemeend, je kan er op rekekenen dat ze het véél eerder gefixt zouden hebben was de performance slecht in Chrome.

sfranken @Travelan • 27 maart 2019 12:32

Dat weet ik, ik bedoelde voor 'even snel een wachtwoord opzoeken op een PC van iemand anders', bijvoorbeeld.

yoranpower @Travelan • 27 maart 2019 13:48

Een alternatief in de vorm van een add-on voor een andere browser zou geen slechte toevoeging zijn.

SeenD @sfranken • 27 maart 2019 12:01

ja, of een Chrome plugin.

privacybeleid @sfranken • 27 maart 2019 12:04

Ja op de desktop zit dit in ff gebakken, ik gebruik het al jaren als pw manager, meeste accounts zijn toch web based, ook voor android apps is er vaak een browser based app variant, waar je dan je random password kan saven als referentie. Je moet het dan wel nog handmatig overnemen als je het ooit kwijt bent.

MrMonkE 27 maart 2019 12:02

Heb je hier een account voor nodig? Lijkt me wel. Aangezien het over meerdere devices gaat vermoed ik dat het allemaal via de cloud gaat en dus mijn wachtwoorden, zij het encrypted, op hun server staan. Maar alleen ik heb de decryptie sleute/phrase. Misschien toch maar eens proberen.

Boefs @MrMonkE • 27 maart 2019 12:04

Ze hebben er zelf vertrouwen in: https://hacks.mozilla.org/2018/11/firefox-sync-privacy/

The Chosen One 27 maart 2019 12:10

Ik blijf nog wel ff bij Bitwarden, een nieuwe manager heeft toch altijd problemen, al dan niet bepaalde security flaws.

FlyBock @The Chosen One • 27 maart 2019 12:13

Same here. Sinds ruim een jaar op Bitwarden en heel tevreden over. FireFox Lockbox klinkt aantrekkelijk maar ik gebruik regelmatig Chrome of Brave als alternatief, en dan wil ook toegang hebben tot mijn passwords. Pas als ze met een extentie komen voor andere browsers en eventueel een desktop-app wordt het iets om te overwegen.

privacybeleid 27 maart 2019 11:57

Hopelijk maakt dit nu effectief masterpassworded pw db sync via ff account op android mogelijk.

zordaz 27 maart 2019 12:10

Ik hoop wel dat dit snel verder doorontwikkeld wordt, want voor veel mensen zit de meerwaarde van een wachtwoordmanager juist ook in het verantwoord kunnen delen van sommige wachtwoorden e.d.

ADR3 27 maart 2019 12:23

Wat ik niet snap is waarom firefox (niet lockbox) het zo ontzettend makkelijk maakt om aan (bijna) al iemands wachtwoorden te komen. De meeste mensen hebben geen flauw idee dat ze een hoofdwachtwoord kunnen instellen. Toch kan je zonder dat hoofdwachtwoord al de opgeslagen wachtwoorden te zien krijgen in de instellingen.
Oftewel als iemand remote acces krijgt opent hij firefox als je niet kijkt en gaat naar de privacyopties en klikt op opgeslagen wachtwoorden et voilà. Als je een hoofdwachtwoord instelt ben je wel veilig. Maar zorg dan dat je ofwel de gebruiker op de hoogte brengt dat hij geen hoofdwachtwoord heeft ingesteld en zijn wachtwoorden niet veilig zijn ofwel zorg ervoor dat je die niet kunt zien als je die niet hebt ingesteld.

Ook de keuze voor een pincode in lockbox snap ik niet helemaal. Dat is toch binnen een microseconde te bruteforcen? Ongetwijfeld zal mozilla het moeilijk hebben gemaakt om er een bruteforce methode op los te laten maar ik zie liever uberhaupt die mogelijkheid niet; het is meer schijnveiligheid. En dan de fingerprints kan je die ook niet gewoon bruteforcen? Ze zijn mischien uniek genoeg voor 7 miljard mensen maar voor een computer hoeft dat niets voor te stellen. Met machinelearning kom je al een heel eind. Het basispatroon van een vingerafdruk is immers vrij standaard, het gaat om details daarbinnen. Lussen, kring- en boogfiguren en splitsingen kan je, lijkt me, vrij gemakkelijk genereren.

[Reactie gewijzigd door ADR3 op 22 juli 2024 21:32]

ACM Software Architect @ADR3 • 27 maart 2019 16:06

Chrome (en Edge?) heeft ook standaard geen hoofdwachtwoord toch? Geldt daar hetzelfde voor of doet Firefox het 'erger'?

jeroen7s @ADR3 • 28 maart 2019 09:04

Erger nog, mensen die moeite doen om een MasterPassword in te stellen, en denken dat hun wachtwoorden nu securely encrypted zijn, zijn helemaal niet veilig.
https://www.bleepingcompu...red-for-the-past-9-years/
https://bugzilla.mozilla.org/show_bug.cgi?id=524403
Bugzilla report nog altijd in status "NEW" na 10 jaar

StGermain 27 maart 2019 12:36

Even getest en weer verwijderd.

Gedownload op iOS, account gemaakt en settings goed gezet.
Uitgelogd op een website waarvan ik het pw uit het hoofd weet, ingelogd, lockbox popt up maar nog geen pw bekend. Prima was ook te verwachten.
Ingelogd, check in lockbox of het pw toegevoegd is, nee?
Uitgelogd en terug ingelogd, lockbox popt up en nog altijd geen pw…

Als ik eerst moet inloggen op de desktop om een paswoord aan te maken is het voor mij nutteloos helaas.

Plompie @StGermain • 27 maart 2019 13:21

Viel mij ook op (en tegen) dat de app geen nieuwe entries kan opslaan. Op zich geen probleem als je Firefox als mobile browser gebruikt want die kan dat wel maar dan heb je Lockbox sowieso niet nodig

ShaiNe 27 maart 2019 12:16

Wat is eigenlijk het verschil met Firefox Sync dat al standaard in Firefox zit?

privacybeleid @ShaiNe • 27 maart 2019 12:50

Gebruikt zelfde sync backend/account, maar het is een appje los van firefox dat kan autofillen (ook buiten de browser?) systemwide op android.

The Chosen One @ShaiNe • 27 maart 2019 13:10

Dit is puur apart voor je passwords en hopelijk veel veiliger (uiteindelijk).
Sync is voor je websites, history, bookmarks etc.

Op dit item kan niet meer gereageerd worden.

Gratis wachtwoordmanager Firefox Lockbox is nu ook beschikbaar voor Android

Lees meer

Reacties (66)

Sorteer op:

Weergave: