Firefox 85 krijgt optie voor importeren wachtwoorden vanuit KeePass

De eerstvolgende stabiele Firefox-release krijgt ondersteuning voor het importeren van wachtwoorden vanuit KeePass en forks als KeePassXC. De browser kon sinds Firefox 80 al met CSV-bestanden vanuit de Bitwarden-wachtwoordmanager overweg.

De optie wordt toegevoegd aan Firefox 85, die op dinsdag 26 januari moet verschijnen, zo schrijft ook Ghacks.net. Hiermee kunnen gebruikers wachtwoorden die zijn opgeslagen in KeePass importeren naar de geïntegreerde wachtwoordbeheerder van Firefox, Lockwise. Daarvoor moeten gebruikers de wachtwoorden vanuit hun wachtwoordmanager exporteren naar een CSV-bestand.

Mozilla werkt al langer aan een dergelijke importeerfunctie. Sinds Firefox 80 staat de flag hiervoor, signon.management.page.fileImport.enabled, al in de about:config-pagina van de webbrowser. Deze staat standaard uitgeschakeld. Het importeren van Bitwarden-wachtwoorden werd daarmee al ondersteund, zo noemde Mozilla bij release van Firefox 80 en schrijft Oostenrijkse ontwikkelaar Sören Hentzschel op zijn blog. Bij Firefox 85 wordt ondersteuning voor KeePass en verschillende forks toegevoegd. De flag moet nog steeds handmatig ingeschakeld worden.

Momenteel kunnen Firefox-gebruikers wachtwoorden daarnaast al importeren vanuit enkele ondersteunde browsers, zoals op Chromium gebaseerde webbrowsers, Internet Explorer en de originele Edge-browser van Microsoft. Gebruikers kunnen ook opgeslagen wachtwoorden vanuit Firefox Lockwise exporteren naar een CSV-bestand. Daarmee kunnen gebruikers hun wachtwoorden juist overzetten naar een externe wachtwoordmanager.

Gebruikers kunnen wachtwoorden 'uit een bestand importeren'

Door Daan van Monsjou

Redacteur

Feedback • 18-01-2021 18:54
75 • submitter: TheVivaldi

18-01-2021 • 18:54

75 Linkedin

Submitter: TheVivaldi

Lees meer

Wachtwoordmanagers met waarschuwingen

Browsers waarschuwen voor uitgelekte data

 142
NCSC waarschuwt voor kwetsbaarheid in KeePass die ontwikkelaar niet wil dichten Nieuws van 26 januari 2023
Bitwarden introduceert Send-dienst voor versleuteld delen van tekst en bestanden Nieuws van 12 maart 2021
Firefox 86 met blokkering voor thirdpartycookies verschijnt Nieuws van 23 februari 2021
Firefox 87 gaat 'find in page'-resultaten markeren in scrollbalk Nieuws van 14 februari 2021
Mozilla begint Open Web Docs-platform voor documenteren van webstandaarden Nieuws van 26 januari 2021
Firefox 86 krijgt ondersteuning voor AVIF-bestandsformaat Nieuws van 11 januari 2021
Firefox zet functie om terug te gaan met Backspace-toets uit Nieuws van 8 januari 2021
Mozilla werkt aan vernieuwd ontwerp voor Firefox Nieuws van 3 januari 2021
Firefox 83 met 'https-only'-modus verschijnt Nieuws van 17 november 2020
Mozilla stopt met Firefox Send en Firefox Notes Nieuws van 18 september 2020
Mozilla verwijdert in december ondersteuning voor rss uit Firefox Nieuws van 14 oktober 2018
Mozilla test wachtwoordbeheerder voor Firefox-logins op iOS Nieuws van 10 juli 2018
Mozilla-ontwikkelaar test Firefox-notificatie bij bezoek aan site met datalek Nieuws van 23 november 2017
Meer producten en artikelen
Browsers Mozilla Firefox Wachtwoord

Reacties (75)

-Moderatie-faq
75
74
30
7
0
37
Wijzig sortering
DJMaze
18 januari 2021 19:05
Het klinkt onverantwoord, maar voor veel zaken gebruik ik nog Firefox 56.
Ja, idd 56!
Omdat ze toen nog niet alle password manage plugins vernietigden.
Ik wil gewoon een kwallet/keepass/etc. plugin kunnen gebruiken ipv hun eigen manager.

Nu exporteer je naar csv en voila, je onversleutelde wachtwoorden staan in een bestand op je schijf (en je online backup bij whatever).
Ik vind het een slechte keuze van Mozilla.

[Reactie gewijzigd door DJMaze op 18 januari 2021 19:11]

YoMarK
@DJMaze18 januari 2021 19:26
Je kan toch prima gewoon keepass gebruiken zonder plugin(webautotype b.v.). Deze haalt de website URL uit het statusvenster van je browser, en met een paar shortcuts doet het eigenlijk alles wat je nodig hebt.
aliencowfarm
@DJMaze18 januari 2021 21:32
Palemoon,Basilisk en Waterfox Classic ondersteunen nog wel plugin's. Zou misschien het overwegen waard zijn.
GekkePrutser
@DJMaze18 januari 2021 19:20
Browserpass werkt nog steeds prima op versie 84?

Bitwarden ook trouwens, zie ik. Dus het lijkt me niet zozeer een technisch probleem? En ik zie zelfs opties in hun store voor keepass, lastpass enz.

[Reactie gewijzigd door GekkePrutser op 18 januari 2021 19:22]

D.oomah
@DJMaze18 januari 2021 19:26
Volgens mij gaat er bij jou iets mis dan, ik zit op firefox 84 en gebruik vrolijk de kee plugin. Nooit geen issues mee gehad.
DJMaze
@D.oomah18 januari 2021 20:42
Ik gebruik kwallet en gnome keyring.
Chromium werkt prima.
Anoniem: 310408
@DJMaze18 januari 2021 19:54
Het klinkt onverantwoord,
Omdat het ook zo is. Je browser bevat minstens drie problemen waardoor je passwords gestolen kunnen worden.
Ik vind het een slechte keuze van Mozilla.
En dat noemen we dus gotspe.
Clemens123
@DJMaze18 januari 2021 19:55
Ik gebruik gewoon zonder problemen de kee plugin i.c.m. mijn keepass...met de actuele FF
YangWenli
@DJMaze18 januari 2021 20:34
Van mij mogen mensen vrolijk out of date software gebruiken maar ga niet klagen als je gehackt wordt.
magistus
@DJMaze18 januari 2021 22:59
Zou toch eens kijken of je gewoon kunt updaten. Hier firefox 78 ESR (Debian 10 Buster) met keepassxc-browser-plugin; werkt prima!
Alex3
@DJMaze19 januari 2021 01:49
Die versie was in sommige opzichten wel handiger inderdaad. Je kon de aanmeldingen op wachtwoord sorteren en zo zien of wachtwoorden op meer dan één site gebruikt worden.
dehardstyler
@DJMaze18 januari 2021 19:30
Dus over dat soort veiligheid denk je na, maar je laat vervolgens de Remote Code Execution bugs in je browser zitten?

https://threatpost.com/mo...severity-rce-bugs/152831/
https://latesthackingnews...-for-rce-vulnerabilities/

Ga alsjeblieft gewoon je Firefox updaten, want zo maak je de kans alleen maar groter dat je wachtwoorden gestolen worden.

edit: typo

[Reactie gewijzigd door dehardstyler op 18 januari 2021 19:31]

StijnH
18 januari 2021 19:01
De toegevoegde waarde hiervan lijkt me eerder beperkt, als je met https://addons.mozilla.org/en-US/firefox/addon/keefox/ een constante verbinding hebt met KeePass.

Edit
Ter verduidelijking, ik gebruik hiervan enkel het deel dat met behulp van de KeePass plugin KeePassRPC, toegang krijgt tot de geopende KeePass databases. De Key Vault service is een recente toevoeging die ik niet gebruik.

Verder zijn zowel de Firefox addon als de KeePass plugin open source. Van de addon kun je nagenoeg exact de build reproduceren. De addon gaat al zo'n 10 jaar mee, en wordt ook nog eens aangeraden door KeePass zelf.
https://github.com/kee-org/browser-addon
https://github.com/kee-org/browser-addon#reproducing-a-build
https://github.com/kee-org/keepassrpc

[Reactie gewijzigd door StijnH op 20 januari 2021 10:34]

SMGGM
@StijnH18 januari 2021 19:22
Ik zie telkens bij dit soort updates altijd 5 alternatieven voor de aangeboden optie. Ik stop op zich al wat energie om een password manager te gebruiken en ben dus best wel bewust van de risico's van 1 enkel wachtwoord policy en dan zou ik mijn wachtwoorden overlaten aan een plugin geschreven door Luckyrat :-/

Mijn keuze voor Keepass (dat ook geschreven is door iemand die ik niet ken) is tenminste wat gegrond omdat hun kwaliteit al meermaals getest is door verschillende officiële instanties (https://keepass.info/ratings.html).
De plugin van Luckyrat niet en dat baart mij wel wat zorgen om die aanbevelingen allemaal zomaar blindelings op te volgen.

Dat Mozilla dit gaat aanbieden is voor mij dan ook iets dat ik overweeg. Er zijn wat nadelen aan mijn huidige Keepass opstelling (integratie tussen Firefox en Keepass verloopt niet zo vlotjes want ook daar ben ik wat achterdochtig en de synchronisatie is een beetje moeilijker).
Mozilla vertrouw ik dan nog net iets meer want ik ga er vanuit dat men hier een paar security experten naar gekeken hebben.
Nu de keuze voor Firefox verschuif ik volgens mij wel een probleem want op het werk is Chrome de default browser en wilt de IT problemen met de SSO in Firefox niet fixen want ik ben een van de enige die Firefox gebruikt binnen het bedrijf.
Tiimmeh
@SMGGM19 januari 2021 09:07
Hoewel ik je terughoudendheid op zo'n plugin als deze snap, lijkt het mij in dit geval ongegrond. De 'Keefox' addon waar hier naar gerefereerd wordt staat namelijk ook in de lijst van aangerade applicaties van KeePass zelf onder de naam 'Kee Vault'. Lijkt mij in dit geval dus een prima alternatief op de import functie van FireFox.
wauwwie
@SMGGM19 januari 2021 09:21
Voor SSO met AD in Firefox dien je in about:config de parameters voor:
  • network.negotiate-auth.trusted-uris
  • network.automatic-ntlm-auth.trusted-uris
aan te passen. Hierna werkt SSO.
Jensw.be
@StijnH18 januari 2021 19:06
Idem voor KeepassXC: https://addons.mozilla.or...x/addon/keepassxc-browser
nietorigineel
@Jensw.be18 januari 2021 19:10
Serieuze vraag: maar is het niet een beveiligingsrisico als je een 'willekeurige' firefox plugin toegang geeft tot keepass?
Jensw.be
@nietorigineel18 januari 2021 19:31
In dit geval is het een officiële plug-in vanuit het KeepassXC-team. Dus ik ga er vanuit dat het risico even groot is als het gebruik van KeepassXC zelf. Maar op zich is het inderdaad een risico om je database zo maar te openen in elke client die je vindt. Daarom heb ik me vooral laten leiden door wat de officiële website aangeeft als alternatieven alsook door de FAQ van KeepassXC (i.v.m. mobiele clients).

Je wachtwoorden opslaan bij een cloud provider of op papier heeft natuurlijk ook zo zijn risico's.
nietorigineel
@Jensw.be18 januari 2021 20:22
Dat helpt wel ja. Ik had toevallig de link in de reactie boven jou geopend, voor een keepass plugin. Die was gemaakt door een derde partij, en dan zou ik daar wel meer bedenkingen bij hebben.
YoMarK
@nietorigineel18 januari 2021 19:22
Ten opzichte van het opslaan van wachtwoorden in de browser? Niet lijkt me. De plugin zelf is opensource, dus je kan de code zelf bekijken.
Verder zou ik adviseren om b.v. een 2e database bij te houden voor de echt belangrijke wachtwoorden, en dus een losse voor je browser.
Overigens gebruik ik zelf eigenlijk een autotype plugin van keepass zelf, deze werkt eigenlijk met alle browsers.
De issue met een openstaande wachtwoordmanager is dat malware mogelijk het wachtwoord uit het systeemgeheugen kan vissen. Al is dat waarschijnlijk niet het groot risico dat je kan lopen.
ManIkWeet
@YoMarK18 januari 2021 20:47
KeePass beweerd dat dat niet mogelijk is, omdat de wachtwoorden altijd versleuteld in het geheugen zitten, maar ik heb geen idee hoe dat werkt...
De master key zit in datzelfde geheugen lijkt me?
bauke1994
@ManIkWeet18 januari 2021 22:01
Ik heb weleens een audit/verglijking van verschillende password managers gezien waarin inderdaad bevestigt werd dat het achterhalen van de master key niet mogelijk was bij KeePass. Ik kan de bron niet meer vinden maar ze hebben zelf wel een overzichtje met Awards/Ratings
Rudie_V
@bauke199419 januari 2021 10:47
Dat is inderdaad op tweakers voorbijgekomen:
nieuws: Onderzoek: master password van wachtwoordmanagers is te achterhalen v...
tweaker2010
@nietorigineel18 januari 2021 19:20
Uiteraard. Sowieso begrijp ik niet dat mensen kiezen voor een online wachtwoordkluis.
Tuurlijk is het begrijpelijk vanuit gebruiksgemak, al je wachtwoorden altijd en overal bij de hand, maar de keerzijde is dat de beveiliging onduidelijk is zodra het gekoppeld is aan je browser of als plugin.
Als je op zeker wilt spelen, ga toch maar gewoon voor een klassieke (offline) database van Keepass.
FreakerTweaker
@tweaker201018 januari 2021 21:09
Ik denk dat veel mensen hun wachtwoordkluis minder goed kunnen beveiligen dan Google of Apple bijvoorbeeld kunnen. Verder voegt het natuurlijk ook gebruikersgemak toe. Een offline password manager moet je zelf beheren. 99% van de bevolking kan of wil dat niet kunnen.
batteries4ever
@FreakerTweaker19 januari 2021 09:30
Hm... ja op zich wel. Maar aan de andere kant is het voor geheime diensten en dergelijke veel spannender om die beveiliging te kraken dan die van Jan. Kijk maar naar dat israelische bedrijf dat de iPhone beveiliging gekraakt had voor regeringen van Saoedi-Arabië en andere onfrisse regimes.
FreakerTweaker
@batteries4ever19 januari 2021 10:05
Hmja, maar een iPhone is een fysiek apparaat wat je kunt kopen en tests op kunt uitvoeren. Een iPhone heeft ook een veel grotere attack vector: je hebt meerdere software applicaties en hardware.

Als je Google wil hacken is dat toch anders dan het vinden van een zero-day in een iPhone. Verder werken bedrijven als Google en Apple gewoon mee aan overheidsverzoeken via legitieme kanalen. Dus zal hacken in vele gevallen overbodig zijn.

Dus bottom line: ja een wachtwoordkluis in eigen beheer is discreter, maar niet iedereen kan het en als een overheid je wil 'hacken' zullen ze genoeg manieren kunnen vinden gezien je offline wachtwoordkluis ook ergens op moet draaien. Dat ergens is een veel grotere kwetsbaarheid dan je offline wachtwoordkluis, en dat ergens kan met keyloggers en ander soort ongein makkelijk overgenomen kunnen worden door een actor die de genoeg middelen en reden heeft om jouw offline wachtwoordkluis te hacken :-)

Daarom zou ik me als onschuldige leek niet zo een zorgen maken, en voor een online wachtwoordkluis kiezen bij een vertrouwde partij. (Tenzij je in een land woont dat bekend staat om het schenden van menschenrechten zoals je in je voorbeeld aangeeft, maar niet om het hacken. Meer om het verzoeken doen vanuit een malafide overheid naar legitieme partijen en deze ingewilligd krijgen: zie bijvoorbeeld Turkije nu met hun nieuwe sociale media wetten)

[Reactie gewijzigd door FreakerTweaker op 19 januari 2021 10:10]

Anoniem: 310408
@tweaker201018 januari 2021 19:56
Als je op zeker wilt spelen, ga toch maar gewoon voor een klassieke (offline) database van Keepass.
Offline betekend oper definitie dat je alles elke keer handmatig moet intypen. Op het moment dat je password automatikisch ingevoered worden moet er een database online zijn. Of die nu van een server of je eigen disk komt.
Franckey
@tweaker201018 januari 2021 23:43
En die offline database kan je prima op OneDrive zetten, zodat je er toch overal bij kan. Stuk veiliger dan een online password manager.
tweaker2010
@Franckey18 januari 2021 23:46
En die offline database kan je prima op OneDrive zetten, zodat je er toch overal bij kan. Stuk veiliger dan een online password manager.
Dat zou kunnen inderdaad. Dan zou ik wel een sterk en lang wachtwoord kiezen voor het geval iemand ooit toegang krijgt tot jouw OneDrive gegevens..
avec_style
@tweaker201019 januari 2021 09:45
Dat zul je altijd moeten doen. Ook als je het niet op OneDrive zou zetten. Als een hacker toegang tot jouw pc krijgt is het keepass bestand net zo makkelijk te kraken als wanneer de hacker er bij komt via OneDrive.

En denk maar niet dat een hacker geen interesse in jou zou willen hebben. Er zijn genoeg voorbeelden van virussen die zich verspreiden naar allerlei pc's (bijv. ransomware of om ddos mogelijk te maken, spionage/ scriptkiddies die het voor de lol doen)

Ik zou er sowieso voor kiezen om je keepass file ergens te backuppen zodat je er gebruik van kunt maken wanneer er iets met je pc gebeurt.
Frij5fd
@tweaker201019 januari 2021 12:12
Ik sync bij Onedrive mijn KeepassXC bestand, maar heb wel een Yubikey om zeker te stellen dat alleen ik 'm kan openen
Adanteh
@nietorigineel18 januari 2021 19:19
Er moet nog per website worden toegstaan om de wachtwoorden te benaderen

[Reactie gewijzigd door Adanteh op 18 januari 2021 19:19]

D.oomah
@nietorigineel18 januari 2021 19:23
Ja en nee,

Ik heb geen ervaring met keepassxc, maar met keepass vraagt de addon eerst netjes toegang tot je passwordmanager. Dus niet alle plugins hebben zomaar toegang.

Maar dit is niet wat je bedoeld denkt ik. Als je een plugin toegang geeft kan dat gevaarlijk zijn, want hij heeft immers toegang tot al je wachtwoorden. Daar komt dus een stukje vertrouwen bij kijken. Geef dus geen willekeurige addons toegang, maar alleen die je vertrouwt. Bijvoorbeeld omdat ze open source zijn, en/of omdat de addon gemaakt is door de ontwikkelaar van de passwordmanager.
kuurtjes
@nietorigineel18 januari 2021 21:42
Alle wachtwoorden die opgeslagen zijn in browsers zijn er bijna in plaintext uit te halen, kwa beveiliging ga je toch een deftige password manager willen. En daar moet je wel wat zaken voor vertrouwen.

Ik had liever een officieel ingebouwde client voor KeePass gezien.

[Reactie gewijzigd door kuurtjes op 18 januari 2021 21:42]

wauwwie
@kuurtjes19 januari 2021 10:04
Je kan in Firefox een master password instellen, die moet je elke keer dat je Firefox opstart ingeven om je wachtwoorden toegankelijk te maken. Dit staat (helaas) niet standaard aan.
https://support.mozilla.org/en-US/kb/use-primary-password-protect-stored-logins
kuurtjes
@wauwwie19 januari 2021 17:44
Nergens in dat artikel staat of ze dan ook geëncrypteerd worden met dat gebruikte primary-wachtwoord, en dat is het belangrijkste. Als ze nog steeds zonder deftige unieke encryptie op je computer staan, ook al zijn ze niet zichtbaar voor andere mensen die dezelfde browser gebruiken als jij, dan kan een password stealer ze nog steeds verkrijgen. Mocht dat primary-wachtwoord de wachtwoorden daadwerkelijk encrypteren is het inderdaad wel al veiliger, maar zonder dat het daadwerkelijk in dat artikel staat denk ik dat het gewoon vrij front-end georiënteerd is.
kodak
@StijnH18 januari 2021 19:10
De toegevoegde waarde zit er in dat Mozilla met deze optie veel meer controle heeft over de kwaliteit en de gebruikers meer zekerheid kan geven door het in Firefox te integreren en zelf te onderhouden.
Mozilla heeft eerder aangegeven dat ze addons niet zo veilig vinden, bijvoorbeeld omdat ze die addons nauwelijks (kunnen) controleren terwijl die ondertussen gevoelige gegevens verwerken. Natuurlijk kan een gebruiker ook moeite doen om bijvoorbeeld te controleren of die addons te vertrouwen zijn, maar dat lijken niet veel gebruikers te kunnen.
azerty
@kodak18 januari 2021 20:26
Dan lijkt het me dat Mozilla misschien eens met een standaard uitwisselingsprotocol op de proppen moet komen om te kunnen integreren met externe wachtwoord managers. Dan kan Mozilla alles in de browser beheren en blijven de wachtwoorden veilig in een extern programma. Kunnen de makers van de wachtwoordmanagers zich ook meer focussen op hun programma in plaats van tijd te besteden aan het ontwikkelen van plugins...
mcDavid
@StijnH19 januari 2021 12:12
Het lijkt me zelfs eerder een stap terug. Als je dit doet, heb je dus praktisch twéé passwordmanagers (die van je browser, én je keepass vault), wat de attack surface verdubbelt, geheid voor syncronisatieproblemen gaat zorgen, etc.

Aangezien je je passwords ook nodig hebt als je inlogt in een app, en mogelijk ook voor andere secrets gebruikt (de pincode van je bankpas bijvoorbeeld), is een browser-specifieke passwordmanager gewoon geen geschikte totaaloplossing.
StijnH
@mcDavid20 januari 2021 10:27
-snip-

[Reactie gewijzigd door StijnH op 20 januari 2021 14:07]

mcDavid
@StijnH20 januari 2021 12:29
als je een passwordmanager gebruikt, gebruik je automatisch een vault. Of die nou lokaal staat of in de cloud doet niet ter zake.
StijnH
@mcDavid20 januari 2021 14:07
Ik heb je eerdere reactie volledig verkeerd begrepen, mijn excuses :)
beerse
@StijnH19 januari 2021 12:18
Zo'n add-on is duidelijk anders dan wat hier gepresenteerd wordt:
Dergelijke add-on-s gebruiken het keepass bestand rechtstreeks of via een api op de lokale installatie. Daarmee houdt je alles in sync en op de keepass-bestand-plaats. Maar moet je ook rekening houden met de gelijktijdige toegang tot dergelijke bestanden en hoe dat fout kan/zal gaan.

De import die hier wordt geboden is dat het bestand rechtstreeks wordt gelezen. Maar het wordt maar 1 keer gelezen, op het moment dat je het zelf actief doet. Daarna zijn de accounts en wachtwoorden ingevoerd in het firefox systeem van wachtwoorden, inclusief de mogelijke sync bij mozilla en dergelijke.

Het is maar net wat je wenst/wilt. Voor mij is de sync bij firefox wel zo handig met firefox gebruik op windows, linux en android.
mcDavid
@beerse19 januari 2021 12:32
Heb je een passwordmanager die níét ook werkt op Windows, Linux en Android dan? Ik kan er zo gauw niet eentje opnoemen die niet minstens op die 3 platformen werkt.
beerse
@mcDavid19 januari 2021 12:42
Mijn tool is 'safe in cloud'.
De reden om nog niet overgestapt te zijn is ook dat ik er nog geen tijd in heb gestoken.
En natuurlijk ook dat ik nog meer eisen en wensen heb:
- OS: Android, Windwos, Linux
- opslag op eigen locatie.
- goede sync-controle voor het geval ik een externe sync-tool gebruik.
- beschikbaar in firefox en Chromium (en als het kan ook in ThunderBird)
- ook te gebruiken om bestanden veilig in op te slaan (private key bestanden bijvoorbeeld)
- type-at-window mogelijkheid. Dus dat ze als toetsenbord werkt en niet via copy-paste. Dan werkt het namelijk ook in vmware-console en windows-rdp als de copy-paste is geblokkeerd.
AOC
18 januari 2021 19:29
Met Keepass vraag ik mij nog steeds af waar je het best je keyfile plaatsen
Anoniem: 112755
@AOC18 januari 2021 19:54
Niet in de folder waar je database zich bevind!
Ik heb een plaatje als keyfile op onedrive staan.
De database en keyfile ook niet tegelijk verplaatsen ivm met de timestamp. Zo zou ik namelijk zelf een keyfile proberen op te sporen...

[Reactie gewijzigd door Anoniem: 112755 op 18 januari 2021 19:55]

Clemens123
@Anoniem: 11275518 januari 2021 20:00
Keyfile hoort gewoon niet in de cloud. Backup deze lokaal en kopieer ze lokaal op je toestellen.
mcDavid
@Anoniem: 11275519 januari 2021 12:16
Holy crap! Je keyfile op cloudhosting? Dat is voor mij echt een onaanvaardbaar risico! Die heb ik echt enkel lokaal en als ik deze op een nieuwe device nodig heb, verplaats ik 'm via een lokale netwerkverbinding of "ouderwets" via USB.

Hopelijk ben je in de war met de database file? Die kun je gerust op cloudhosting zetten om deze te synchroniseren tussen verschillende devices.

Overigens maakt het (lokaal) vrij weinig uit waar je keyfile staat. Zolang alleen je eigen gebruiker maar read rechten heeft.

[Reactie gewijzigd door mcDavid op 19 januari 2021 12:17]

beerse
@AOC19 januari 2021 12:22
Public-keys staan natuurlijk gewoon in de cloud, daar zijn ze public voor.

Private-keys zou ik zelf in een password-kluis zetten. Om een kip-ei probleem te voorkomen moet je toch gebruik maken van meer en/of verschillende wachtwoord systemen gebruiken.
Waah
18 januari 2021 19:15
Deze snap ik niet. Je hebt toch juist een password manager om je wachtwoorden veilig te houden? Nu staan ze weer in je browser..... Met alle risico's die daarbij horen.

Dit voelt als een aantal stappen terug.... Maar ik kan er naast zitten? O-)

[Reactie gewijzigd door Waah op 18 januari 2021 19:15]

FreshMaker
@Waah18 januari 2021 19:40
Deze snap ik niet. Je hebt toch juist een password manager om je wachtwoorden veilig te houden? Nu staan ze weer in je browser..... Met alle risico's die daarbij horen.

Dit voelt als een aantal stappen terug.... Maar ik kan er naast zitten? O-)
Ik denk ook dat we er niet naastzitten hoor
Keepass is ( voor mij ) zowel online als offline een kluis.
Ik sla er naast mijn web-wachtwoorden, ook mijn registratiesleutels en OTP backups in op/
Mijn CC en Pinpassen staan er in, tot zelf een verdwaalde memo met instructies voor mijn zaagmachine :+
Hell, zelfs een notitie over waar een aantal Harddisks ijn gebleven ( wat op zich weer een backup is )

Dat zie ik lastpass allemaal niet bijhouden ( en ik heb mijzelf er in klem gewerkt natuurlijk, door alles daarin te proppen )
MeMoRy
@FreshMaker18 januari 2021 22:22
Waarom heb je een backup van one time passwords nodig?
Patriot
@MeMoRy19 januari 2021 02:40
Buiten het feit dat hij duidelijk backup OTP's bedoelde, heb je een OTP natuurlijk ooit wel in bezit maar nog niet gebruikt. Dan is het wel handig om daar een backup van te hebben.
FreshMaker
@MeMoRy20 januari 2021 09:56
Waarom heb je een backup van one time passwords nodig?
Dat lijstje met aangemaakte/recovery keys misschien.
Om in geval van verlies van de authenticator ( of niet voor handen hebben van een device ) toch bij je account / server te komen
MeMoRy
@FreshMaker20 januari 2021 17:13
Ok. Meeste OTP die ik tegen ben gekomen hebben maar een geldigheid van een maar minuten tot een half uur. Leek me raar als je die dan voor langere tijd opslaat.
Ik zou recovery keys geen OTP noemen...
FreshMaker
@MeMoRy21 januari 2021 10:16
OTP = One Time Password, nergens staat een houdbaarheidsdatum
ING heeft het lange tijd gedaan met TAN code's

Je moet het veilig opglaan, en daar komt Keepass weer om de hoek kijken
sko
@FreshMaker18 januari 2021 22:44
Dat soort notities passen ook allemaal in lastpass, waarom niet? https://www.lastpass.com/nl/password-vault
FreshMaker
@sko21 januari 2021 10:21
Dus, ik moet een programma gaan gebruiken wat me regelmatig vraagt of ik toch niet liever de betaalde versie ga gebruiken ?
En daarnaast nog eens mijn hele werkwijze en zooi gaan overzetten ook.

Ik heb een jaar of 13 geleden hier voor gekozen, en het blijkt stabiel en solide te zijn.
Na de IOS app ( derde partij ) heb ik tegelijk een donatie gedaan aan de ontwikkelaars.
Geen berg, maar ik vond het die paar euro's gewoon waard, want waarom wel een externe ondersteunen, die op zijn beurt ook afhankelijk is van de kwaliteit van zijn implementatie.
RoestVrijStaal
@Waah18 januari 2021 19:44
Je haalt spreekwoordelijk de woorden uit mijn mond :)

Internet browsers tegenwoordig zijn al complex door de arbitraire data die ze moeten verwerken en de vele functionaliteiten (waarvan sommigen IMHO niet in een internet browser thuis horen).

De attack surface is enorm. En niet iedereen update zijn browser (de digibeten klikken zulke notificaties / dialogen vaak weg).

Het omgekeerde, de inhoud v/d Firefox wachtwoordmanager naar een Keepass-database exporteren, had ik logischer gevonden :)
brabbelaar
@RoestVrijStaal18 januari 2021 23:04
Niet helemaal overdrijven, browsers updaten zichzelf tegenwoordig, vooral voor de digibeten of ongeïnteresseerden die altijd gewoon op OK en ja en groen geklikt hebben om door te kunnen.
tweaker2010
@brabbelaar18 januari 2021 23:44
Niet helemaal overdrijven, browsers updaten zichzelf tegenwoordig, vooral voor de digibeten of ongeïnteresseerden die altijd gewoon op OK en ja en groen geklikt hebben om door te kunnen.
De meeste bedrijven updaten hun browsers niet wekelijks. Er zijn ook een hoop zakelijke gebruikers van online password managers.
Ramon
@Waah18 januari 2021 19:47
Het is dus een tool die naast de browser leeft maar wel goede integratie er mee heeft. Zie: https://www.mozilla.org/nl/firefox/lockwise/
paradoxdesign
@Waah18 januari 2021 19:28
My thoughts exactly! ;)
LightStar
@Waah19 januari 2021 08:03
Inderdaad, zelf schakel ik altijd alle functies qua het bewaren van passwords in browsers uit, zelf gebruik ik tegenwoordig Bitwarden_rs welke selfhosted is en perfect werkt binnen Firefox en je mobiele telefoon.
Robkazoe
18 januari 2021 19:04
Ik denk dat dit een gevalletje leuk bedacht, maar dit gaat amper gebruikt worden. Als je kijkt naar de twee belangrijkste wachtwoordenmanagers, heb je al een duidelijk verschil:
- Keepass: Lokaal een database maken die je met een programma kunt uitlezen en vanuit het programma kun je de wachtwoorden in diverse applicaties (of websites) gebruiken.
- Lastpass: Online een database waarin je vanuit de website of een addon in de browser makkelijk je wachtwoorden op websites kunt laten invullen.

Mensen die de online tools als Lastpass niet vertrouwen, zullen dus eerder geneigd zijn naar tools als Keepass. En dat is prima. Maar die zullen echt niet de Firefox wachtwoorden manager Lockwise gebruiken om hun Keepass database in te lezen en dat op zijn beurt ook weer online te gebruiken is over meerdere apparaten. Dan hadden ze net zo goed Lastpass in gebruik kunnen nemen.
Ramon
@Robkazoe18 januari 2021 19:43
Ik ben ook van keepass naar bitwarden gegaan. Waarom zou dat niet kunnen?
dycell
@Robkazoe18 januari 2021 19:49
Het zou fantastisch zijn als mozilla een optie bied om te syncen met een keepass database.
Het beste van twee werelden.
teek2
18 januari 2021 20:16
Nice, jammer Lockwise ook uitgaat met de regkey om browser based passwords uit te zetten in mijn organisatie (Win10). Terwijl het gewoon een password safe is als vele anderen.
Rsport40
18 januari 2021 23:13
Weet iemand om wachtwoorden in sync te houden tussen iCloud Keychain op iOS devices en Chrome op de pc?
paulhekje
19 januari 2021 08:13
een waarschuwing voor wie wachtwoorden opslaat in Firefox: stel altijd een master password in, anders kunnen wachtwoorden te eenvoudig achterhaald worden.
WaterFire
19 januari 2021 09:35
persoonlijk lijkt me dit helemaal geen goede optie, maar correct me if I'm wrong..

- Expoteren naar CSV geeft een file met in plain text mijn wachtwoorden. Je loopt dan risico dat je deze na het importeren niet direct verwijdert of slechts in de prullenbak plaatst? Ja dat zou slordig zijn maar niet onwaarschijnlijk dat het je overkomt. Of is er een optie tijdens het importeren 'delete file after import'?

- Met een plugin in de browser zijn je wachtwoorden in sync. Ik voeg een site toe in Keepass en deze is dan direct beschikbaar in de browser. Dat werkt niet meer met imports.

- Ik heb momenteel geen Firefox geinstalleerd om te controleren; Bij Chrome moet ik voor tonen van wachtwoorden mijn Windows wachtwoord invoeren. Is dat bij Firefox ook zo? In oude builds stond dat gewoon meteen in beeld.

En verder, tja.. "geef je wachtwoorden niet aan derden via plugins, dat is onveilig. Geef je wachtwoorden aan ons"..

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee