Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

LastPass bevat zeven datatrackers in de Android-app, ook van marketingbureaus

Wachtwoordmanager LastPass bevat zeven trackers in de Android-app, waaronder vier van Google en drie van marketingbureaus, die mogelijk data verzamelen over gebruikers. Het is niet duidelijk welke data precies verzameld en gedeeld wordt met derden.

De trackers werden opgemerkt door de Duitse beveiligingsonderzoeker Mike Kuketz in een analyse van non-profit hacktivistenorganistie Exodus. Volgens de Exodus-rapportage gaat het om trackers van Google Analytics, Google CrashLytics, Google Firebase Analytics en Google Tag Manager en trackers van marketingdiensten MixPanel, AppFlyers en Segment. "Voor een app die zulke extreem gevoelige gegevens, namelijk wachtwoorden, verwerkt, is dit een zwaktebod", zegt Kuketz in een blogpost. De trackers zitten in de Android-versie van LastPass, versie 4.11.18.6150.

Ook noemt Kuketz de trackers daarnaast een beveiligingsrisico, omdat volgens hem code van derden niet thuishoort in apps waar gevoelige gegevens zoals wachtwoorden worden verwerkt. "Welke gegevens deze modules verzamelen en doorsturen naar externe providers zijn soms zelfs niet bekend bij de app-ontwikkelaars zelf, die deze modules in hun apps integreren." Met Exodus kan de beveiligingsonderzoeker wel zeggen dat de trackercode aanwezig is in de Android-app van LastPass, maar hij kan niet met zekerheid zeggen of de trackers ook actief zijn. Daarvoor keek hij naar het netwerkverkeer van de app.

Volgens hem neemt de app elke keer bij opstarten contact op met bijna elke trackingprovider, en deelt deze in ieder geval informatie over het mobiele apparaat en de versie van Android, de telecomprovider, of de gebruiker wifi of 4G gebruikt, welk type LastPass-account iemand heeft en de Google Advertising ID. De uitgestuurde data laat tijdens gebruik ook zien wanneer nieuwe wachtwoorden aangemaakt worden en wat voor soort wachtwoorden dit zijn. Kuketz zegt dat het onwaarschijnlijk is dat wachtwoorden of gebruikersnamen verstuurd worden.

Waar worden de trackers voor gebruikt?

De trackers van Google Analytics en Firebase Analytics worden normaal gesproken gebruikt voor analytics over het gebruik van de app, CrashLytics monitort crashes en Google Tag Manager is bedoeld om gebruiksdata te taggen om zo makkelijker te analyseren. De drie andere third-party trackers zijn meer gericht op advertenties, ook al heeft de gratis versie van LastPass alleen advertenties voor Premium in de app zitten.

AppsFlyer is een analysetool die gebruikt wordt door adverteerders om te zien waar gebruikers advertenties zien en waar ze op ads klikken op mobiel, Segment is een advertentieplatform bedoeld om het verzamelen en versturen van gebruiksdata makkelijker te maken wanneer een adverteerder data naar meerdere databases stuurt of verschillende marketingtools gebruikt. MixPanel wordt gebruikt voor het tracken van 'user interactions' in apps en heeft onder andere een A/B-test-tool.

Meeste trackers van alle wachtwoordmanagers

Volgens The Register heeft LastPass de meeste advertentietrackers ingebouwd van alle wachtwoordmanagers die er zijn. 1Password en KeePass gebruiken geen trackers, Bitwarden heeft Google Firebase Analytics en Microsoft Visual Crash Reporting ingebouwd. Dashlane heeft vier trackers ingebouwd. In een reactie op The Register zegt LastPass dat geen gevoelige en persoonlijke data of kluis-activiteit gedeeld wordt via deze trackers. Ze worden volgens LastPass alleen gebruikt voor het verzamelen van geaggregeerde statistische data over hoe LastPass gebruikt wordt, zodat ze het product kunnen verbeteren.

Gebruikers kunnen datadelen uitzetten. Daarvoor moeten zij naar Accountinstellingen gaan, Geavanceerde Instellingen weergeven aanklikken en bij het tabblad Privacy uitschakelen dat anonieme informatie over foutmeldingen wordt gedeeld voor het verbeteren van LastPass. Dit kan dan weer niet in de Android-app, daarvoor moeten gebruikers de kluis openen in de desktopbrowser.

Onlangs was er nog veel te doen om LastPass omdat het bedrijf het gebruik van de gratis wachtwoordmanager gaat beperken tot één apparaat. Gebruikers van de gratis versie van LastPass moeten voor 16 maart bepalen op welk apparaat ze LastPass willen blijven gebruiken. Waarom LastPass dat beleid kiest, blijft onduidelijk, al zegt het bedrijf dat het wil focussen op Premium. Tweakers legde het verband met de recente overname van LastPass door twee private equity-bedrijven.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Stephan Vegelien

Redacteur

26-02-2021 • 10:48

211 Linkedin

Submitter: AnonymousWP

Reacties (211)

Wijzig sortering
Ik voel toch weer zo'n enorm wantrouwen tegen closed source software van commercieele bedrijven.
Er zit toch helemaal niemand op die trackers te wachten?
Dat het technisch gezien een slecht idee is om dynamische code van internet binnen te halen en te draaien in "veilige" omgeving is toch een open deur?
En toch doen ze het (bijna) allemaal.

Is het incompetentie? Zijn ze echt zo dom?
Is het onmacht? Kunnen ze niet zonder die troep?
Is het gierigheid? Zijn de inkomsten uit trackers zo belangrijk voor (dit soort) software dat ze niet zonder kunnen.

En ja, ik snap dat niet al die trackers het primaire doel hebben om mijn persoonlijke data te verzamelen of mijn veiligheid te compromitteren. Sommigen er van (zoals crash trackers) kunnen misschien zelfs wel nuttig zijn. Maar als eindgebruiker kan ik het onderscheid onmogelijk maken, al is het maar om dat bij iedere pageload er andere javascriptjes binnengehaald kunnen worden. Ik zie alleen dat er een constante stroom van data is naar de verschillende diensten van Google waarbij ik niet geloof dat er iemand in de wereld is die het echt allemaal overziet, dat iemand al die licenties heeft gelezen of dat Google nog weet waar alles vandaan is gekomen en onder welke voorwaarden.
Voor mij als eindgebruiker is de enige redelijke optie om al die scripts te verbieden en ze slechts zeer selectief toe te staan en dan nog is het een onmogelijk compromis. Ons hele leven speelt zich tegenwoordig online af.

Doe mij maar Vrije Software die ik zelf kan hosten en controleren. Daar heb ik wel vertrouwen in. Dit onderzoek laat maar weer zien hoe terecht dat is aangezien Keepass een van de weinige is die het wel goed doet. En ik weet dat Vrije Software ook troep kan bevatten en dat closed source software geen troep hoeft te bevatten, maar de praktijk is duidelijk. Hoe commercieler, hoe slechter.


PS. Het zou inmiddels duidelijk moeten zijn dat met de verkoop van software aan consumenten eigenlijk geen droog brood is te verdienen. Geld komt uit diensten, support en reclame. Kwalitatief goede software is hooguit een middel, geen doel op zich. Ik kies voor software die geschreven is om een technisch probleem op te lossen en niet voor software die geschreven is om er rijk van te worden.

[Reactie gewijzigd door CAPSLOCK2000 op 26 februari 2021 11:07]

Ook overheidsapps (niet commercieel, meestal closed source) gebruiken veel trackers.

Debat Direct: 1 tracker, 27 permissions

Belastingaangifte 2019: 3 trackers, 10 permissions

Kinderopvangtoeslag: 3 trackers, 6 permissions

DigiD: 3 trackers, 10 permissions

Berichtenbox: 3 trackers, 6 permissions

NPO: 4 trackers, 6 permissions

Radio 1: 4 trackers, 6 permissions

Positieve uitzondering is de CoranaMelder app. Deze is Open Source en bevat geen trackers. Ik zie een verband.

CoronaMelder: 0 trackers, 7 permissions

(ik probeer al 3 jaar de broncode van de app Debat Direct te krijgen. Zie ook https://broncode.org)
Kan me die uitspraak over de Debat Direct app nog herinneren, begin maart vorig jaar. Zeer ongunstig voor de overheid want een maand later kwamen ze op de proppen met een app om Corona in kaart te brengen en toen heeft de overheid bergen slijk over zichzelf heen gekregen. Immers, een maand daarvoor vond de overheid 'open-source' helemaal niet belangrijk voor de privacy van de burger.

Directe vraag aan jou: Heb je met de Corona Melder in de hand opnieuw aangedrongen op openheid? Dit klinkt namelijk wel als een goede stok achter de deur.

Edit. Handige site trouwens. Kan meteen de Rabobank app erdoorheen halen die het al een tijdje niet meer doet achter firewalls omdat deze graag naar split.io wilt bellen om mijn gebruik met Amerikanen te delen.

[Reactie gewijzigd door Eonfge op 26 februari 2021 12:15]

De Tweede Kamer verzet zich nog steeds tegen openbaarmaking van de app. De zaak komt op 17 maart voor bij de Raad van State. Een paar dagen geleden ontving ik een aanvullend verweerschrift van de Tweede Kamer. Daarin beweren ze onder andere
De broncode is geschreven in een voor een mensen leesbare vorm. Om de broncode daadwerkelijk te
kunnen gebruiken, moet deze worden omgezet naar een voor computers leesbare vorm.
De Tweede Kamer denkt dus dat broncode niet door een computer leesbaar is. Dus een computer kan geen broncode lezen, maar wel broncode compileren. Jaja. Verder gaat hier hier over JavaScript. Dat kun je ook zonder compileren gebruiken. Sterker, dat wordt zelden gecompileerd, maar wel geobfuscate/minified als je niet wilt dat de gebruikers de algoritmen snappen.

Verder staan de source maps met vanilla js-files online en is de broncode dus voor >90% te lezen. De Kamer weet dit en beweert dat source maps geen broncode bevatten. Op https://broncode.org kun je de uitgepakte source maps lezen.

Geen van de ICT-woordvoerders onder de Kamerleden (Verhoeven, Buitenweg, Middendorp, Van Dam, etc) reageert op deze zaak.

Edit: verbetering spel- en grammaticafout

[Reactie gewijzigd door strigi op 26 februari 2021 12:57]

Zulke incompetentie is schrikbarend. Als je niet beter zou weten, zou je gewoon denken dat dit kwade opzet is (Rutte-doctrine) om gewoon geen openheid van bestuur en proces te geven om zichzelf zo de hand boven het hoofd te houden.

Nu weet de Tweede Kamer prima dat ze de ballen van techniek begrijpen, dus echt opvallend is het niet:
https://www.youtube.com/watch?v=TRNJN_GQnRA
Haha ja, als een source map de "sourcesContent" eigenschap bevat dan zit de volledige broncode er in, en dat is hier dus zo. Dit is niet nodig voor het functioneren van de source map (zo lang de broncode ergens staat waar je als ontwikkelaar bij kan), maar je kan het vaak niet uitzetten dus dan moet je het er achteraf uithalen.
Ja, als je de broncode geheim wilt houden kun je die uit de source maps weglaten.
Yup, verder gewoon JSON dus eenvoudig om te strippen.
Heb split.io ook geblokkeerd maar de Rabobank app werkt bij mij gewoon.
Ik ben benieuwd naar je ervaring met opendata.tweedekamer.nl? Dat ligt volgens mij ook al een jaar weg te stoffen. Enig idee hoe ik wel bij die data kom?
Er is een vrije softwareproject, Open Kamer van Bart Römgens, dat actuele informatie heeft en een publieke API.

Hier een tijdslijn van een wet die gisteren is aangenomen:

https://www.openkamer.org/dossier/tijdlijn/35527/

(Je kunt niet gemakkelijk controleren of deze informatie klopt, want de Tweede Kamer publiceert geen digitaal ondertekende informatie)

Je kunt ook kijken welke geschenken Kamerleden melden: https://www.openkamer.org/geschenken/
Bij dezen een openbare steunbetuiging van anonieme Tweakers.net bezoeker 'terabyte' aan Jos van den Oever, die zijn nek uitsteekt hiervoor. Hulde!
probeer al 3 jaar de broncode van de app Debat Direct te krijgen. Zie ook https://broncode.org
Met interesse gelezen. Helaas niet te volgen via een livestream. Ben benieuwd naar de uitkomst.
OK, algemene EU site waar je ook trackers kunt zien en kunt uitschakelen.

Handige site, platform onafhankelijk.

https://www.youronlinechoices.eu/
Voor de duidelijkheid, die site is gemaakt door EDAA. Dat is een belangenvereniging van reclamebedrijven.

https://www.youronlinecho...schermingvan-jouw-privacy
https://edaa.eu/participating-companies/
Je moet natuurlijk ook begrijpen dat veel trackers alleen maar aanwezig zijn om te zien wat gebruikers doen zonder de acties bij de persoon te koppelen en daardoor de apps te verbeteren.
Neem dingen als UX bijvoorbeeld.

Zonder de trackers ben je afhankelijk van mensen om te zeggen "ik vind ze knop lastig" en dat kan Analytics of firebase zijn
Dat begrijp ik prima, ik zeg dan ook niet dat alle plugins, scriptjes of trackers altijd slecht zijn.
Maar in praktijk is het een puinhoop waarbij je als gebruiker niks te kiezen hebt. Zelfs als een site zo'n uitgebreide pagina heeft met honderd schuifjes en vinkjes dan heb je in praktijk nog 0 controle. Wie heeft er nu tijd om tientallen pagina's met trackers en partners te controleren? Helemaal niemand toch? Dus heb je in praktijk de keuze tussen "alles accepteren" en "alles weigeren". En dan is het nog maar de vraag of het echt "alles" is.

Ik ben technisch goed onderlegd en heb een hele rits aan plugins in mijn browser die me helpen met het blokkeren van troep en het selectief toestaan van wat ik wel nuttig vind en dan nog is het eigenlijk niet te doen. Iedere keer als ik een wepagina (voor het eerst) bezoek ben ik een tijd bezig met het instellen van permissies. Dan nog heb ik niet het gevoel dat ik er controle over. Zelfs met al mijn kennis, ervaring en gespecialiseerde software moet ik voortdurend kiezen om allerlei zooi bind door te laten en afschuwelijke (eigenijk verboden) voorwaarden te accepteren.

Volgens mij is de beste oplossing dat we het verzamelen van persoonlijke informatie en het tracken van gebruikers vergunningsplichtig maken. Voor je dat soort software mag inzetten moet je een vergunning aanvragen bij de Autoriteit Persoonsgegens. Die controleren dan je gebruikersvoorwaarden op redelijkheid en duidelijkheid en ze controleren regelmatig (steekproefsgewijs) of je software zich daar aan houdt. Zo worden de gebruikersvoorwaarden gecontroleerd door professionals zonder persoonlijk belang.
Als het niet duidelijk is dan wordt het afgekeurd.
Dat legt de last om het goed te doen bij het bedrijf dat data wil verzamelen in plaats van bij de consument.
Want consumenten gaan gewoon geen 20 pagina's misleidende tekst willen lezen om een grappig filmpje van 20 seconde te bekijken. Ieder systeem waarbij je dat wel verwacht is onredelijk en oneeerlijk.

Owja, en als we toch bezig zijn dan wil ik eigenlijk ook belasting gaan heffen over verzamelde data. Als het zoveel waarde heeft dat ze mijn privacy daar voor opofferen dan mag er ook belasting over worden betaald. Het liefst ook "kapitaalbelasting" zodat bedrijven moeten betalen om op een berg data te zitten. Dan gaan ze vanzelf beter nadenken over welke data er wel of niet moet worden bewaard, ik plaats van maar gewoon alles op te slaan in de hoop dat je er ooit nog iets aan hebt.

[Reactie gewijzigd door CAPSLOCK2000 op 26 februari 2021 13:09]

Ik ben nog geen app of site tegengekomen met honderden shuifjes. Maar ik denk dat voor mij tot nu toe de app buienalarm in de buurt komt en de kroon spant. De hoeveelheid schuifjes over het delen met 'partners' is schrikbarend. En het is zo ontworpen dat het veel werk is om ze allemaal op opt-out te krijgen. Per partner heb je een schuifje om te verzetten. In dit geval zijn dat er nu dus 33! En dan heb je per partner soms nog tientallen schuifjes te verzetten als je er één wilt toestaan. De hele partner toestemming weigeren EN legitieme interesse.

En dan hebben we het over een app om het weer globaal te checken en wat meer detail over neerslag. Niks bijzonders aan zou je denken, maar ruim 50 bedrijven willen je maar wat graag op de voet volgen daar...
Ik ben nog geen app of site tegengekomen met honderden shuifjes. Maar ik denk dat voor mij tot nu toe de app buienalarm in de buurt komt en de kroon spant. De hoeveelheid schuifjes over het delen met 'partners' is schrikbarend. En het is zo ontworpen dat het veel werk is om ze allemaal op opt-out te krijgen. Per partner heb je een schuifje om te verzetten. In dit geval zijn dat er nu dus 33! En dan heb je per partner soms nog tientallen schuifjes te verzetten als je er één wilt toestaan. De hele partner toestemming weigeren EN legitieme interesse.
Ik had er laatst een die zo'n tientallen links bevatte naar de sites van partners. Al die partners hadden hun eigen cookiescherm waarop ze schuifjes hadden voor de cookies van hun eigen partners. Ze verwachten dat je al die sites opent en al die schuifjes opent en omzet. Nou ja, ze verwachten natuurlijk eigenlijk dat je dat niet doet. Dat is het soort zaken waar ik wil dat ze een vergunning voor moeten vragen. Zodat de toezichthouder ze even uitlacht en dan terug naar huis stuurt.
Niet te screen dat ze je vaak van de site afgooien(doorverwijzen), als je alles uitschakelt :+
Ik ben nog geen app of site tegengekomen met honderden shuifjes.
Moet je eens naar dailymail.co.uk gaan. Ik schrok me helemaal wezenloos. Wilde ff een artikeltje laten zien aan m’n ouders maar ben letterlijk 7 minuten bezig geweest met het uitzetten van alle “legitimate interest” vinkjes.
Per partner heb je een schuifje om te verzetten. In dit geval zijn dat er nu dus 33! En dan heb je per partner soms nog tientallen schuifjes te verzetten als je er één wilt toestaan.
Zou me niks verbazen als dailymail er 300+ heeft. De lijst is eindeloos.
Hahaha nooit gezien die schuifjes in die app! Nu ik even kijk zie ik ze allemaal op uit staan dus dat is wel netjes op zich, maar wtf wat zijn het er veel!
Misschien is dat veranderd, want toen ik keek bij mij stonden zie allemaal aan. En ik weet zeker dat ik dat niet gedaan heb. Er was ook een popup waarna ik ben gaan kijken hoe het zat.
Het liefst ook "kapitaalbelasting" zodat bedrijven moeten betalen om op een berg data te zitten. Dan gaan ze vanzelf beter nadenken over welke data er wel of niet moet worden bewaard, ik plaats van maar gewoon alles op te slaan in de hoop dat je er ooit nog iets aan hebt.
Geweldig idee _/-\o_

Als je dit goed invoert, dan gaan bedrijven vanzelf zuiniger om met gegevens. Dan is wellicht zelfs die vergunningplicht waar je over spreekt niet meer nodig.

Enige twee praktische puntjes:
  • Hoe ga je controleren hoeveel en welke data een bedrijf bezit ?
  • Hoe voorkom je dat ze doodleuk een server in het buitenland ("belastingparadijs") opzetten ?
Geweldig idee _/-\o_

Als je dit goed invoert, dan gaan bedrijven vanzelf zuiniger om met gegevens. Dan is wellicht zelfs die vergunningplicht waar je over spreekt niet meer nodig.

Enige twee praktische puntjes:
  • Hoe ga je controleren hoeveel en welke data een bedrijf bezit ?
  • Hoe voorkom je dat ze doodleuk een server in het buitenland ("belastingparadijs") opzetten ?
Steekproefsgewijze controle door een toezichthouder, net zoals we dat met geld doen. Bedrijven moeten een boekhouding bij houden. Af en toe wordt die gecontroleerd door een professional die wat stukjes data uit zo'n bedrijf trekt en dan uitzoekt of die netjes in boekhouding vermeld staat. Of je controleert of de boekhouding overeenkomt met de boekhouding van de partners.

Ook kan zo'n inspecteur vooraf een website bezoeken en dan een tijdje later aan zo'n bedrijf vragen om te laten zien wat er met de data van dat bezoek is gebeurd. Dan kun je als bedrijf zeggen dat je de informatie niet opslaat dan is dat prima maar raak je je vergunning voor die data kwijt, die heb je dan toch niet nodig.
Zo kun je ook iets doen aan "belastingparadijzen". De voorkant blijft verantwoordelijk voor alle data en moet kunnen aantonen wat daar mee is gebeurd.

Ik besef dat dit geen 100% oplossing is, maar wanneer bestaan die nou ooit echt bij dit soort complexe zaken? Wat goed genoeg is voor ons (belasting)geld moet ook maar goed genoeg zijn voor onze data, dat is het beste wat ik er zo van kan maken. Of dat ook echt "goed genoeg" is, is een vraag voor een volgende discussie.
Ik zou diep ongelukkig worden als ik mijn laatste beetje vrije tijd zou besteden aan het zelf beheren van talloze permissies per website.

Ik loop liever buiten een rondje door een bos.
Ik zou diep ongelukkig worden als ik mijn laatste beetje vrije tijd zou besteden aan het zelf beheren van talloze permissies per website.

Ik loop liever buiten een rondje door een bos.
Ik ook.
Ik zou ook liever een rondje door het bos lopen dan dat ik de afwas doe of dat ik mijn fiets op slot zet.

Maar ik heb niet veel te kiezen. Als ik het niet doe dan wordt mijn fiets gestolen en word ik ziek van de beschimmelde borden.

In mijn ogen zal de regering meer moeten doen om ons te beschermen want zelf kunnen we het niet. Ik voel me af en toe als een soort amateur-soldaat die in met z'n katapult in een putje zit om de grens de bewaken terwijl aan de andere kant van de grens de tanks schietoefeningen doen. Ik kan hier niet tegen op, maar niks doen is ook niet acceptabel.

Gelukkig komen de verkiezingen er weer aan. Dat is onze beste kans om iets structureel te veranderen. Dan moeten we wel mensen met de juiste kennis naar Den Haag sturen. Helaas hebben de meeste partijen helemaal niemand met die kennis op hun lijst staan, alleen de Piratenpartij is op dit gebied goed vertegenwoordigd.

[Reactie gewijzigd door CAPSLOCK2000 op 26 februari 2021 15:32]

Hoewel ik de zorg deel en begrijp, lost dit het denk ik niet op. Er staat websites zonder vergunning namelijk niets in de weg om het toch te doen. Dan kun je zeggen dan worden deze bestraft maar die situatie bestaat in zeker zin nu ook al. Ook nu moet je voldoen aan GDPR en verantwoorden hoe en waarom je data gebruikt en gebeurt dat zeker niet altijd even netjes. Er is (te) weinig capaciteit om dit te handhaven.
Aan de echte schurken die zich nergens iets van aantrekken doen mijn voorstellen echter niks.
Het gaat mij meer om de bedrijven die zichzelf en hun klanten proberen wijs te maken dat ze zich netjes aan alle regels houden terwijl ze keihard tegen de geest van de wet in gaan.

Die dynamiek kunnen veranderen door de last van vage documenten en voorwaarden bij die bedrijven zelf neer te leggen.
Nu is het de kunst om je voorwaarden zo vaag mogelijk op te stellen zodat niemand ze echt begrijpt en je altijd kan zeggen dat je toestemming van de gebruiker had. Die kan wel bezwaar maken maar begint dan al met een flinke achterstand. Hoe moeilijker het je de gebruiker maakt hoe beter het is voor het bedrijf, ook al is het wettelijk niet toegestaan.

Dat wil ik veranderen door die documenten vooraf te laten keuren. Als het te vaag is opgesteld wordt het document afgekeurd. Uiteraard moet er wel een vergoeding zijn voor de tijd van de toezichthouder om te voorkomen dat die wordt overstelpt met onleesbare documenten van bedrijven die de grens op zoeken.
Kapitaalbelasting is en blijft een slecht idee. En maakt het idee niet beter omdat er oneerlijke bedrijven/partijen zijn die veel kapitaal hebben. Ze betalen toch al belasting over de winst die ze maken door het verzamelen van deze gegevens?

Waarom zou je überhaupt betalen over bezit? Je betaald al belasting over het kopen en over je winst en over je inkomen, je schenken, het erven. Waarom in hemelsnaam over je bezit? Volgens mij hebben we hier een geval van de overheid moet het weer oplossen. Nog meer wet en regelgeving, en ik kan je verzekeren nog meer mazen. Waardoor voornamelijk de kleinere bedrijven enorm moeten worstelen om het allemaal te betalen.

Dit probleem kan gewoon opgelost worden door de consument. Men kan gewoon stemmen met hun geld. En hun LastPass abonnement opzeggen. Grote bedrijven kunnen het gewoon betalen en daardoor gaat het gewoon door. Verandert dus weinig aan wat er mis is met deze praktijken. Het is niet zo als bij de katholieke kerk dat als je ergens voor betaald het je dan vergeven is. Is de gebruiker duidelijk ingelicht over deze praktijken? Zo niet, dan weten ze dat ze iets doen waar de gebruikers niet blij mee zijn. Zo ja, dan is het aan de gebruiker wat ze vervolgens doen. Ze kunnen ook eisen van LastPass om te zien hoeveel het bedrijf verdient aan elke gebruiker en wat er met hun gegevens gebeurd.

Het zou mooi zijn als we van bedrijven waar we zaken mee doen en een dienst of product afnemen eisen om per klant/gebruiker te rapporteren wat ze verdienen aan die specifieke persoon. Dus als ik bij GMAIL inlog, ik kan zien wat ze aan mijn gebruik hebben verdient. En dan bedoel ik omzet niet winst. Dit kunnen we eisen als consument.

Als consument moeten we gewoon kritisch blijven over met welke bedrijven we zaken doen. En achteraf gaan zitten huilen dat er kinderen in China in fabrieken werken om onze gadgets in elkaar te zetten. Als consument kunnen we eisen van bedrijven om vrijwillig onder toezicht te staan om te beoordelen of bedrijven zich aan hun beloftes houden.

En omdat we niet kritisch zijn als consument krijgen we de bedrijven die we als consument verdienen. Willen we betere, eerlijkere, transparantere etc bedrijven dan moeten we dat als consumenten eisen. Als we het goedkoopste willen maar achteraf toch voor al die ambtenaren betalen om op een artificiële wijze bedrijven eerlijk te houden is dat gewoon niet verstandig.

De overheid moet kleiner, eenvoudiger, transparanter, toegankelijker, betaalbaarder, efficiënter, meer gefocust op hun kerntaken etc. De groter de overheid de kleiner het individu.

We hebben als individu een enorm oplossingsvermogen. We moeten alleen niet lui worden.
Kapitaalbelasting is en blijft een slecht idee. En maakt het idee niet beter omdat er oneerlijke bedrijven/partijen zijn die veel kapitaal hebben. Ze betalen toch al belasting over de winst die ze maken door het verzamelen van deze gegevens? Waarom zou je überhaupt betalen over bezit?
Om het onaantrekkelijk te maken om data te bezitten waar je niks mee doet.
Volgens mij hebben we hier een geval van de overheid moet het weer oplossen.
Exact. Daar is de overheid namelijk voor. Problemen oplossen die individuen niet kunnen oplossen.
Waardoor voornamelijk de kleinere bedrijven enorm moeten worstelen om het allemaal te betalen.
Dat ben ik met je eens, voor kleinere bedrijven wordt het steeds moeiijker om aan alle regels te voldoen. Dat is een lastige principieele keuze want de keerzijde is dat de grote bedrijven alle ruimte nemen die ze krijgen.

Maar volgens mij is het in dit geval niet zo'n probleem omdat kleine bedrijven over het algemeen geen bergen data hebben en ook niet het vermogen om daar iets mee te doen. Dat is vooral het terrein van de megabedrijven. Kleine bedrijven kunnen dat onmogelijk betalen.
Dit probleem kan gewoon opgelost worden door de consument. Men kan gewoon stemmen met hun geld.
Maar de meeste mensen betalen niet met geld voor de software die ze gebruiken maar met hun data. Wat je beschrijft is natuurlijk op zich de kern van kapitalisme, dat vraag en aanbod op elkaar wordt afgestemd via de vrije markt. Ik sta op zich achter dat principe maar het werkt alleen als er a) iets te kiezen is en b) kopers het verschil kunnen zien. Momenteel is het zo dat bijna alle commerciele software data verzamelt en dat het voor gebruikers haast niet te zien is en dat de gevolgen al helemaal niet zijn te overzien. Mensen moeten dus kiezen tussen een paar vage problemen die ze zelf niet kunnen beoordelen. Dan werkt het systeem van marktwerking niet. Onderzoeken als dit helpen wel maar software verandert zo snel dat je er haast niet tegenop kan controleren.
En hun LastPass abonnement opzeggen. (...) Is de gebruiker duidelijk ingelicht over deze praktijken? Zo niet, dan weten ze dat ze iets doen waar de gebruikers niet blij mee zijn.
Dat is duidelijk niet het geval want dan was dit geen nieuwsartikel geweest. Deel van het probleem is dat al dat tracken en harken voor het grootste deel buiten het zicht van de gebruiker plaats vindt.
Ze kunnen ook eisen van LastPass om te zien hoeveel het bedrijf verdient aan elke gebruiker
Denk je dat bedrijven die informatie vrijwillig gaan geven? Of wil je nu zelf de overheid inzetten? Volgens jouw eigen redenering zullen de grote bedrijven dan laten zien dat ze helemaal geen winst maken en komt alle last dus bij kleine bedrijven terecht. Bedrijven als Google zullen zeggen dat ze hun geld verdienen aan advertenties en niet aan gebruikers.
en wat er met hun gegevens gebeurd.
Die wet is er al min of meer. Volgens de GDPR heb je het recht om te weten wat er met jouw persoonlijke informatie gebeurd. Maar bij de grote bedrijven is dat allemaal bedekt onder een laag van wollige juridische taal waar door je nog steeds niks weet. Bedrijven zijn ook verplicht om goed voor je data te zorgen maar niemand weet hoe dat goed en betaalbaar moet. Er worden dagelijks bedrijven gehackt waarbij er data wordt gestolen die op straat komt te liggen. Daarom wil ik voorkomen dat overal maar dat rondslingert.
Het zou mooi zijn als we van bedrijven waar we zaken mee doen en een dienst of product afnemen eisen om per klant/gebruiker te rapporteren wat ze verdienen aan die specifieke persoon. Dus als ik bij GMAIL inlog, ik kan zien wat ze aan mijn gebruik hebben verdient. En dan bedoel ik omzet niet winst. Dit kunnen we eisen als consument.
Ik snap niet wat voor verschil dat maakt. We weten toch dat bedrijven geld aan ons verdienen? Wat gaan mensen anders doen als ze weten of dat 1 euro of 1000 euro is?
Deel van het probleem is dat we steeds meer met onze data betalen in plaats van met ons geld.
Als consument moeten we gewoon kritisch blijven over met welke bedrijven we zaken doen. En achteraf gaan zitten huilen dat er kinderen in China in fabrieken werken om onze gadgets in elkaar te zetten.
(ik ga er even van uit dat het woordje 'niet' is weggevallen in deze zin, dus 'niet achteraf gaan ziten huilen')
Gebruik jij geen gadgets of kan het je niet schelen dat er kinderarbeid wordt ingezet?
Als consument kunnen we eisen van bedrijven om vrijwillig onder toezicht te staan om te beoordelen of bedrijven zich aan hun beloftes houden.
De wooreen 'vrijwillig' en 'eisen' samen in een zin wordt al snel moeilijk. Als burgers samenwerken om regels op te leggen aan bedrijven dan noemen we dat overheid. Je lijkt te zeggen dat je minder overheid wil om dan het werk van de overheid te omschrijven en te zeggen dat je daar meer van wilt.
En omdat we niet kritisch zijn als consument krijgen we de bedrijven die we als consument verdienen. Willen we betere, eerlijkere, transparantere etc bedrijven dan moeten we dat als consumenten eisen.
Jouw voorstel lijkt te zijn dat we de mensheid veranderen. Hoe maken we de mensen dan zo kritisch?
Het probleem is volgens mij dat mensen niet kritsch genoeg zijn maar dat niemand alles kan overzien en je bij alle bedrijven met compromissen te maken hebt.
Ik denk dat de meeste mensen in het algemeen tegen kinderarbeid, slavernij, lijfstraffen en milieuvervuiling zijn. Maar als ik moet kiezen tussen bedrijf X dat gebruik maakt van slavernij en bedrijf Y dat het drinkwater vervuilt dan kan ik niet kiezen. Ik wil allebei niet. Als het gaat om noodzakelijke producten (eten, kleding) dan zal ik wel iets moeten kopen. En die bedrijven gaan het mij niet eerlijk vertellen. Als je er naar vraagt zeggen ze natuurlijk dat ze alles geweldig doen. Sommige bedrijven zullen een of ander speerpunt hebben waarmee ze goede sier maken ("groen!") maar dan zul je alle nadelen wel moeten accepteren.
De meeste consumenten hebben voor de meeste producten niet de informatie en vaardigheid om ze te beoordelen. Ze weten in het algemeen dat ieder product grote nadelen heeft. Die kiezen dan logischerwijs voor het goedkoopste product. Bedrijven weten dat en daardoor worden ze min of meer gedwongen om ook mee te doen aan de ongewenste praktijken want anders worden ze te duur.
Een klein deel van de consumenten zal wel een principele keuze maken maar typisch kun je dan maar één eis stellen en moet je allle andere nadelen maar accpeteren. Als je moet kiezen tussen "zonder slavernij" en "zonder kinderarbeid" dan is er eigenlijk geen goede keuze? Logisch dat mensen dan maar het goedkoopste kopen.
De overheid moet kleiner, eenvoudiger, transparanter, toegankelijker, betaalbaarder, efficiënter, meer gefocust op hun kerntaken etc.
Je zal moeten kiezen want je kan die zaken niet allemaal tegelijk hebben. Wat is belangrijker? Klein of toegankerlijk? Transparant of efficient?

Maar wat je noemt zijn allemaal randvoorwaarden, geen kerntaken of doelen.
Volgens mij is de taak van de overheid om te zorgen voor de inwoners van het land en dan met name door dingen te doen die je als groep moet doen omdat het als invidividu geen zin heeft. Bijvoorbeeld omdat er alleen maar slechte keuzes zijn.
De groter de overheid de kleiner het individu.
Of is het "Hoe kleiner de overheid hoe groter de macht van bedrijven?"
We hebben als individu een enorm oplossingsvermogen.
Mijn enorme oplossingsvermogen zegt dat een sterke overheid de beste oplossing is.
We moeten alleen niet lui worden.
Het is geen kwestie van lui maar van onvermogen. Ik kan onmogelijk alle producten die ik koop beoordelen. Niet alleen heb ik de tijd niet maar ook niet de informatie, de kennis en de vaardigheden die daar voor nodig zijn. Ik kan niet naar China vliegen om te controleren of mijn sokken door kinderen worden gemaakt of niet, als ik het al zou doen dan kom ik de fabriek waarschijnlijk niet in. Wat moet ik dan? Nooit meer sokken kopen is geen optie. Zelf breien verplaatst het probleem alleen maar (dan moet ik de wolf en de verf en de breinaalden gaan controleren).
Goed verwoord! Ik ben het helemaal met je eens, het baart mij wel zorgen dat iemand zoals mijzelf bijvoorbeeld niet de kennis heeft om dit alle te weten, mijn veronderstelling was dat juist lastpass superveilig was🤔 wat voor gegevens worden er nog meer de hele dag over mij verzonden?? En beter nog; hoe hou ik dat tegen?
Zou je denken. Probleem is dat neem je heel veel anonieme data en combineer je die dan is het niet meer zo anoniem als je denkt. Hoe onschuldig een tracker misschien in jou ogen is, het geeft informatie vrij die indien met andere bronnen gecombineerd er voor zorgt dat jij helemaal niet meer zo anoniem bent.
Ik voel toch weer zo'n enorm wantrouwen tegen closed source software van commercieele bedrijven.
...
Doe mij maar Vrije Software die ik zelf kan hosten en controleren.
...
PS. Het zou inmiddels duidelijk moeten zijn dat met de verkoop van software aan consumenten eigenlijk geen droog brood is te verdienen.
Helemaal mee eens. Sinds het afronden van mijn opleiding (in 2005), die compleet Windows-georienteerd was op een paar vakken na (zoals "Besturingssystemen"), ben ik begonnen met het verschuiven naar open source software. Ik heb vele keren Linux geprobeerd in de afgelopen 15 jaar, en het is steeds beter geworden... maar altijd _net niet_, om wat voor reden dan ook.

De verschuiving richting open source software is wel doorgegaan. Nu, 15 jaar later, ben ik aangekomen op het punt dat letterlijk _al_ mijn software open source is, behalve:

- Windows zelf
- Capture One (DarkTable en RawTherapee op Linux zijn geen vervanger voor deze geniale RAW-editor)
- ColorNavigator voor hardwarematige kleurkalibratie van mijn Eizo-monitor
- Al mijn spellen (voor Windows)
- 1 schaakprogramma (GUI), waar ik tegenwoordig een vervanger voor kan krijgen.

Al mijn apparaten die ik tegenwoordig heb, zouden onder Linux moeten werken.

Ik denk er daarom over om Linux naast Windows te installeren, en dan stap voor stap over te gaan. Ik kan 80% dezelfde software blijven gebruiken, en voor de rest is er een vervanger. Software in Windows ga ik dan langzaamaan de-installeren, totdat daar alleen mijn fotografiespul, en de spellen overblijven. Beiden zijn hobbies die zo nu en dan langskomen; niet mijn dagelijkse werk uiteraard. Ik vind het geen probleem om daar Windows voor te hebben. (Ik ken ook mensen die werken primair met Windows, maar hebben een Mac Mini voor een aantal Mac-specifieke applicaties die ze per se willen gebruiken c.q. nodig hebben.)

Onder Android installeer ik echt alleen het allerhoogstnodige, en ik kijk eerst altijd in F-Droid of er een open-source programma is dat kan wat ik wil doen. Op mijn iPad gebruik ik een nog veel meer beperkte set programma's; dat apparaat is puur voor internet (Firefox), YouTube, en het weergeven van bladmuziek.

Een van de redenen dat verkoop van software aan consumenten niet werkt, is omdat het geen "ding" is; een consument heeft niet het idee dat hij "iets" koopt. Daarom leeft bij veel mensen het idee dat software gratis zou moeten zijn "want je kunt het toch oneindig vaak kopiëren; lekker makkelijk geld verdienen".
Ik draai Bitwarden self-hosted. En dat is precies hierom. Geen behoefte aan dat anderen met mijn passwords aan de haal gaan.
Ik snap je reactie maar ben het oneens met het feit dat je vrije software kunt controleren. Is waar als je onbeperkte tijd en kennis hebt. En nee: als die vrije software van enige omvang is c.q. je tijd en kennis beperkt zijn (bij wie is dat niet zo?) dan is het verschil in de praktijk kleiner dan gedacht.

Blijft natuurlijk raar dat een commercieel product, of om het iets breder te trekken, veel bedrijven, inclusief overheid, kennelijk geen maat kennen om gegevens te vergaderen... Het lijkt er soms op dat het adagium luidt: hoe meer hoe beter. Hier ga je op den duur (of nu al?) grenzen over. Bedrijven zijn niet controleerbaar en de taak van de overheid is/was altijd om 'gepaste afstand te houden van het privedomein'. Dat laatste is nodig omdat de overheid machtsdrager is en in alles de burger de baas is. Als er nu eens een ander regime zou komen, dan is de stap naar een totalitair regime niet zo heel groot meer (je moet er niet aan denken dat de Duitsers in de 2e wereldoorlog die data hebben, die onze overheid nu heeft).

De overheid is daarmee ook degene die regels op moet stellen voor bedrijven en paal en perk stellen aan onmatige datavergadering (inclusief tracken). Maar goed, dat is een wereldwijd probleem, wat een maatje te groot is voor Den Haag... Ik zie geen oplossing.
Ik snap je reactie maar ben het oneens met het feit dat je vrije software kunt controleren. Is waar als je onbeperkte tijd en kennis hebt. En nee: als die vrije software van enige omvang is c.q. je tijd en kennis beperkt zijn (bij wie is dat niet zo?) dan is het verschil in de praktijk kleiner dan gedacht.
In theorie heb je helemaal gelijk maar praktisch gezien niet.
Het klopt dat niemand al z'n software controleren en kan er ook troep zitten in Vrije Software en pen Source software.
Maar in praktijk is het verschil enorm groot. We hoeven het niet over theoretische situaties te hebben. Het artikel dat we hier bespreken is een prima illustratie.
commerciele closed source => meer trackers
niet-commerciele vrije sofware => minder trackers

Met controleren bedoelde ik hier overigens meer dan alleen de source bestuderen maar ook de mogelijkheid om het zelf te hosten en (bijvoorbeeld) je eigen firewall er voor te zetten. Maar ook in de nauwe zin heeft het zin om toegang te hebben tot de source zodat je deze kán controleren. Het is niet nodig om alles te controleren. Als je een beetje kan programmeren (dat is uiteraard een basisvoorwaarde) zie je vaak binnen een paar minuten wel wat het niveau van een bepaald stuk software is en kun je vrij snel een paar belangrijke stukjes controleren.
In praktijk is het misschien wel vooral psychologische. Programmeurs schrijven die software niet om er snel rijk mee te worden en ze weten dat gebruikers zelf in staat zijn om anti-functies te verwijderen als dat nodig is. Daarom beginnen die programmeurs niet eens aan dat soort tactieken.
Blijft natuurlijk raar dat een commercieel product, of om het iets breder te trekken, veel bedrijven, inclusief overheid, kennelijk geen maat kennen om gegevens te vergaderen... Het lijkt er soms op dat het adagium luidt: hoe meer hoe beter.
Ik zeg dat we er belasting over moeten gaan heffen. Dan hebben ze een directe financiele stimulus om niet meer bij te houden dan nodig.
Bedrijven zijn niet controleerbaar en de taak van de overheid is/was altijd om 'gepaste afstand te houden van het privedomein'.
Dat laat wel een hoop ruimte voor wat 'gepast' is. Als ik vuurwerk of benzine wil opslaan dan moet ik ook aan allerlei voorwaarden van de overheid voldoen. Dan kan het ook voor data.
Als er nu eens een ander regime zou komen, dan is de stap naar een totalitair regime niet zo heel groot meer (je moet er niet aan denken dat de Duitsers in de 2e wereldoorlog die data hebben, die onze overheid nu heeft).
Dat ben ik niet met je eens. Als er een totalitair regime komt dan trekt dat zich niks aan van alles wat wij wel of niet in de wet zetten. Ze veranderen gewoon de wet en dan is het opeens wel legaal. Het heeft dus geen zin om op die grond dingen weg te houden bij de overheid.

Als het gaat om rekening houden met de toekomt heeft het wel zin om voorzichtig te zijn met welke informatie we bewaren. Die kan later tegen ons gebruikt worden en dan hadden we kunnen voorkomen.
Laten we politiecamera's als voorbeeld nemen. Als ik me er zorgen over maak dat een toekomstige dictator beslist dat op iedere straathoek een camera hangt dan heeft het geen zin om nu alle camera's tegen te houden. Zodra die dictator aan de macht komt worden de camera's alsnog opgehangen.
Wat wel zin heeft is zorgen dat beeldmateriaal van camera's van nu niet langer wordt bewaard dan noodzakelijk. Dat voorkomt dat ik over 30 jaar gestraft wordt omdat er een video te zien is waarop ik iets doe dat nu normaal is maar in de toekomst wordt verboden door de dictator.
De overheid is daarmee ook degene die regels op moet stellen voor bedrijven en paal en perk stellen aan onmatige datavergadering (inclusief tracken). Maar goed, dat is een wereldwijd probleem, wat een maatje te groot is voor Den Haag... Ik zie geen oplossing.
Den Haag hoeft het niet alleen op te lossen, andere landen hebben dezelfde problemen. Het is ook niet nodig om alle problemen direct op te lossen. Als we alleen al eens zorgen dat de top-10 alles netjes doet dan zou dat al veel schelen. De halve wereld draait op de infrastructuur van een dozijn bedrijven. Die goed aanpakken zou veel verschil maken. Daarna kunnen de kleiner partijen ook niet meer zeggen dat ze geen keuze hadden of dat de grote jongens het ook doen.

[Reactie gewijzigd door CAPSLOCK2000 op 26 februari 2021 13:06]

dat iemand al die licenties heeft gelezen of dat Google nog weet waar alles vandaan is gekomen en onder welke voorwaarden.
Ik heb me altijd verbaasd over mensen die hun hypotheek-voorwaarden (een voorwaarden van aanverwante producten zoals die sjoemel verzekeringen) niet lezen. Mij werd destijds gezegd dat het te veel was. Maar recentelijk heb ik zelf een huis gekocht en ik vond het wel meevallen.

Maar bij software zijn die voorwaarden soms juist gigantisch en ze woden soms ook nog om de havenklap veranderd. Ik heb er een beetje het zelfde gevoel over als voedsel, zodra je meer dan 20 ingredienten nodig hebt moet je je zorgen maken.
Dit is waarom Open Source licenties ook handig zijn. Iedereen weet wel ongeveer wat een MIT, BSD of GPL betekend. Je hoeft geen licenties te lezen per product als je weet dat het product onder een OSI of FSF licentie is uitgegeven, omdat het toch allemaal pro-forma werk is.

het zelfde heb je een beetje met arbeidsvoorwaarden. Er is zoveel in kannen en kruiken gegoten door politici, vakbonden en rechters dat het eigenlijk gewoon een snackbar menu is met 4 of vijf opties voor saus. Zoveel uren voor zoveel loon met zoveel pensioen, had je daar nog een boete voor geheimhouding bij gewild?
Die voorwaarden bestrijken slechts een deel. Als je een open source applicatie maakt onder GPL, zegt die licentie helemaal niets over wat je met user generated content doet en mag doen.
Uhm, op zich wel. Er zijn drie manieren hoe de GPL bepaald dat jij als ontwikkelaar niets te vinden hebt over het gebruik van de software:

- De GPL heeft een anti-discriminatie principe die jou als ontwikkelaar verbied om bepaalde bedrijven of doelen uit te sluiten.
- De GPL is alleen van toepassing op creatief werken welke een afgeleide is van het oorspronkelijk werk.
- Je mag ook geen extra voorwaarden aan de GPL 'nieten' om zo punten af te dwingen.

De eerste verbied plat gezegd dat jij commercieel, militair of medisch gebruik niet mag uitsluiten. Iedereen mag dus jouw programma gebruiken.

Het tweede punt staat niet concreet in de GPL, maar is een logische gevolg van Auteursrecht en de GPL. Als jij een boek schrijft met Libre Office, dan zijn dat beide in de context van auteursrechten geen afgeleide. Dus de GPL is niet van toepassing op deze werken.

Dat tweede punt impliceert dus ook dat jij niets mag met de niet-afgeleide creatieve werken. Immers, als het auteursrecht is dan volledig van de maker. Er kan verder geen hergebruik-clausule in GPL software zitten die een multinational het recht geeft om jouw boek op posters te printen, want dan schend de multinational het niet afwijken principe van punt 3.

Hierdoor kunnen bedrijven ook zonder zorgen software van FSF licenties inzetten. Je bent gegarandeerd dat er geen juridische achterdeurtjes zitten die jou later veel geld kunnen kosten. Er zijn nog steeds enkele loopholes zoals wat Virtual Box doet, maar in het algemaal zit je met FLOSS veilig.
Maar recentelijk heb ik zelf een huis gekocht en ik vond het wel meevallen.
Heb je ook de voorwaarden van alle andere bankdiensten en verzekeringen volledig doorgenomen? ;)
Jij vindt het meevallen, maar wat vind bijvoorbeeld jouw familie ervan?
Ik heb me altijd verbaasd over mensen die hun hypotheek-voorwaarden (een voorwaarden van aanverwante producten zoals die sjoemel verzekeringen) niet lezen. Mij werd destijds gezegd dat het te veel was. Maar recentelijk heb ik zelf een huis gekocht en ik vond het wel meevallen.
Mijn ervaring is dat het proces van de ABN er niet tegen kan als je valide juridische punten inbrengt en dus een wijziging van de voorwaarden voorstelt....
Maar uiteindelijk kan je beter hele gedetailleerde voorwaarden hebben dan op het eerste gezich sympathiek ogende simpele voorwaarden, waar je juridisch helemaal niets aan hebt. Een tijdje terug werden de voorwaarden van diverse cloud storage aanbieders onderzocht. Dropbox zag er heel vriendelijk uit in vergelijking met Google en Microsoft, maar juristen konden er van alle kanten gaten in schieten. In geval van conflicten heb je dus helemaal niets (oftewel: het kan dan een heel lang welles-nietes discussie worden).
LastPass heeft er alle belang bij om veilig te zijn. Ja het is een commercieel bedrijf en uiteindelijk draait het om geld, maar als ze goed gehacked worden dan is dat natuurlijk een ramp voor de omzet. Ik ken LastPass in ieder geval als een bedrijf dat snel reageert op problemen en kwetsbaarheden.

Ik vind het gebruik van trackers op zich twijfelachtig, maar ik geloof nooit dat ze simpelweg incompetent zijn en er niet over nagedacht hebben.

Alles zelf doen heeft voordelen, maar ook nadelen. Dan moet je zelf alles inrichten, backups regelen etc. Dan moet je wel weten wat je doet. Misschien is dat iets voor jou, maar ik heb meer vertrouwen ik een bedrijf waarbij het hun core business is.
Ik vind het gebruik van trackers op zich twijfelachtig, maar ik geloof nooit dat ze simpelweg incompetent zijn en er niet over nagedacht hebben.

Alles zelf doen heeft voordelen, maar ook nadelen. Dan moet je zelf alles inrichten, backups regelen etc. Dan moet je wel weten wat je doet. Misschien is dat iets voor jou, maar ik heb meer vertrouwen ik een bedrijf waarbij het hun core business is.
Een password manager is zoals het artikel al stelt iets dat heel gevoelig ligt. Je moet in dat geval niet 100% maar 200% op een bedrijf kunnen vertrouwen.

Trackings naar andere partijen om marketing doeleinden zijn voor een password manager wat mij betreft totaal uit den boze, niet doen wegblijven. Daarbij gaat men nu geld vragen voor een dienst dus waarom zou je als je geld krijgt dan nog tracking naar dit soort bedrijven moeten gebruiken.

Ze zullen er best over nagedacht hebben, gokje het zal ze ook geld opleveren om die data te versturen. Dat is dus een bewuste maar heel erg foute beslissing.
Ik vind het gebruik van trackers op zich twijfelachtig, maar ik geloof nooit dat ze simpelweg incompetent zijn en er niet over nagedacht hebben.
Dat zou je denken, maar hoeveel SDKs zijn er wel niet waar trackers in verwerkt zitten? ;] Hoeveel mensen zijn daar bewust van? En hoeveel weten er wélke trackers dit allemaal zijn?
Prima moment om op te stappen bij lastpass en naar keepass (terug) te switchen.
Weet iemand hoe ik mijn account bij lastpass definitef kan opblazen?
Hierzo, ik heb het ook vorige week gedaan n.a.v. die anticonsument praktijken rondom subscripties :) . Overgestapt naar BitWarden Premium voor $10 per jaar. Lees nu dat die ook trackers heeft t.b.v. ontwikkeling, dus gelukkig geen advertentie trackers. Toch wel huiverig want het zou niet de eerste keer zijn dat er gevoelige informatie lekt in debugging tooling. Is even kijken naar de F-Droid variant die @lars1134 aanhaalt.

[Reactie gewijzigd door snoopdoge90 op 26 februari 2021 12:54]

Bedrijven hebben slechts 1 doel, winst draaien. Hoe, wat, wie, ... op het einde van de rit boeit het niet, zolang de cijfertjes positief zijn op de balans.
En consumenten hebben slechts 1 doel, zo goedkoop mogelijk diensten afnemen (het liefst gratis).
Whatsapp, Facebook, het maakt allemaal niet uit. Dat alle 'gratis' diensten met een prijs komen daar staat men niet bij stil.

Voor een wachtwoord kluis moet je mi helemaal geen cloud dienst afnemen, het gebruiksgemak is leuk maar er zitten te veel haken en ogen aan. Plugins lurken data, Browsers lurken data etc. Doe mij maar een ouderwetse offline kluis als Keepass bijvoorbeeld.
gewoon Bitwarden nemen. Je kunt prima je eigen cloud-sync server draaien omdat alles opensource is. Wil je een dienst afnemen bij bitwarden? ook prima. Wil je 100% offline, ook prime.
Dat is het verschil met LastPass, alleen My-Way-Or-The-Highway.
Laat de keuze aan de gebruiker.
In het bericht staat juist dat Bitwarden ook 1 van de partijen is die tracking toevoegt. Dus je opmerking in dit topic snap ik niet helemaal.
idd, je hebt gelijk. Dan bedoel ik dat je makkelijk de tracker eruit kunt slopen. De tracker zit waarschijnlijk alleen in de PlayStore versie.
https://github.com/bitwarden/mobile
De versie van de mobiele app of F-Droid bevat inderdaad de twee libraries in kwestie niet. Tevens kun je in de source-code gaan kijken waar ze de twee libraries in kwestie voor gebruiken. Eentje is crash reports en de andere (Firebase) voor push berichten om je library automatisch te syncen, dus het zit er in elk geval niet in om je maar nutteloos (voor jouw dan) te tracken.
En werknemers hebben slecht 1 doel: een zo hoog mogelijk salaris krijgen voor wat ze doen en ieder jaar een zo groot mogelijke salarisstijging.

(PS: winst gaat niet over de positieve cijfers op de balans maar wat onderaan de streep van de P&L sheet staat - als je verlies maakt kan de balans nog altijd positief zijn, en andersom ook).
Dit is niet per se correct. Je kan prima een bedrijf hebben dat als doel heeft "de mensheid multi-planetair maken" (SpaceX). Dat daarbij geld gevraagd wordt bij het verkopen van producten is niet meer dan logisch, want een bedrijf maakt kosten die ergens door betaald moeten worden.

Bij beursgenoteerde bedrijven is winst maken / geld binnenharken vaak wel het primaire doel / een van de primaire doelen, omdat de aandeelhouders veel minder kijken naar winst op gebieden anders dan 'inkomsten, winst, divident en aandelenkoers', omdat dat de makkelijkste succes-meting van een bedrijf is.

[Reactie gewijzigd door Mattashii op 26 februari 2021 11:41]

Mijn persoonlijke bezwaar is enkel het gebrek aan transparantie. Welke datapunten worden verzameld, met wie worden deze gedeeld en voor welk doel. Giet dit alles in een gelikte infographic en deel dit met je klanten. Dan pas weet je als klant exact waarmee je akkoord gaat. Nu kom je vage termen als: 'usage data is being shared with third parties for optimizing our product'. Leuk, maar dat zegt de gebruiker geen hol.

Veel bedrijven zijn genoodzaakt om shady verdienmodellen te hanteren omdat de concurrent het ook doet en de consument vaak een keuze baseert op de kosten. Maar wat als partijen met twee opties zouden komen:

1. Betaal bedrag N en we delen geen PII met derden;
2. Betaal niets of bedrag Y en we delen de volgende data met derden;
Bitwarden is open source, en toch ook nog 2 trackers er in. Wel logische trackers voor app kwaliteit als ik het zo inschat. Je kunt niets oplossen waar je niet weet dat het fout gaat, en je kunt alleen weten wat er aangeleverd wordt, maar de meeste consumenten hebben 0 technische kennis om dat te kunnen.

Een heel mooi voorbeeld is Microsoft, welbekend van de blauwe schermen. Alleen zie je die blauwe schermen niet meer nadat Microsoft allerlei trackers had ingebouwd om problemen te rapporteren. Bijna al die problemen waren namelijk driver gerelateerd (op een moment waren er 160.000 verschillende hardware componenten in gebruik onder 1 Windows versie), en de hele architectuur daaronder is op de schop gegooid. Nu is een crash van Windows een zeldzaamheid geworden, en over het algemeen gebeurt het bij hardware die fysiek kapot aan het gaan is of helemaal kapot is.

Bij Linux distributies zie je net zoiets terug waarbij ze netjes vragen tijdens of na installatie je configuratie te delen zodat ze weten waar het op draait om hun ontwikkeling daar op te kunnen richten.

Persoonlijk vind ik een technische call back optie niet erg. Op moment dat het verder gaat dan is er discussie wat mij betreft. Gaat het om reclame inkomsten voor een product dat verder "gratis" is, of betaal je er voor? Ik betaal liever dat het er niet in zit dan dat het "gratis" is en het zit er wel in. Mijn mening moet zoiets dan ook altijd opt-in zijn en nooit opt-out.
Aan de verkoop van software aan consumenten is wel wat te verdienen, maar rijk zal je er niet van worden. Met een abonnementsvorm kan je er wat meer aan verdienen. Met de verkoop van in/app content is zelfs prima te verdienen.
Een gratis app hoeft niet zoveel te kosten om te maken. Als alle data vervolgens op de telefoon of een eigen cloud-dienst opgeslagen worden zijn er verder ook nauwelijks kosten. Helaas kiezen nog steeds heel veel bedrijven voor een advertentie model en houden ze verborgen hoe de advertentiebedrijven de nodige informatie kunnen vergaren om jouw min of meer op maat advertenties voor te schotelen.

Dat Lastpass een optie "Data delen" heeft is al verdacht. Voor een password manager zou dat voor mij een rede zijn om die direct naar de prullenbak te verplaatsen.
Ik ken de app niet, maar zodra er advertenties van derden worden getoond, kan je er van uit gaan dat er tracking-coockies worden gebruikt.

Eigenlijk zijn de Europese cookie en privacy regels aan een update toe. Via cookies deel je ook informatie (waaronder privacy gevoelige) met derden. Eigenlijk zou naast het privacy beleid ook een cookie beleid wordt gezet waarbij ook netjes wordt vermeld namens welke partijen cookies worden geplaatst en met welk doel. Voor elke partij hoort daar een link naar hun privacybeleid bij.
Is het incompetentie? Zijn ze echt zo dom?
Is het onmacht? Kunnen ze niet zonder die troep?
Is het gierigheid? Zijn de inkomsten uit trackers zo belangrijk voor (dit soort) software dat ze niet zonder kunnen.
Geld, de reden is geld. Dat hoeft niet voor LastPass zelf te zijn, die kan gewoon overtuigd zijn door de aanbieder van de tracker "Zo weet je veel beter hoe gebruikers je app/site/game gebruiken!"

Blij dat ik Keepass ben gaan gebruiken en niet ben in gegaan op de vele tips van medeTweakers om Lastpass of andere te gaan gebruiken.

Zoals je zegt, Open Source heeft de voorkeur. Deze voorkeur wordt de laatste jaren alleen maar sterker.
Amen to that! Goede samenvatting van hetgeen waar de schoen wringt. Bij closed source software heb je geen idee wat er zich op de achtergrond afspeelt, laat staan of je kan zien wat er in die software verstopt zit. Dit is een mooi voorbeeld van hoe het niet zou moeten.

Er zijn genoeg harken die roepen: "Maar check jij de broncode van open software dan?" Nee, die taak neem ik niet op me, omdat ik daarvoor niet de juiste kennis heb. Maar het gaat erom dat het wél gewoon mogelijk is, en dat er toch mensen zijn die het doen. De pakkans op het verweven van niet-legitieme functies binnen de software is gewoonweg vele malen groter.

Maar verder ook: hier is ook wel duidelijk wat voor monster Google is. We wisten het al, maar ze zullen ons blijven verbazen over wat ze allemaal flikken om data aan ons, de argeloze gebruikers, te ontfrutselen. Daarom ben ik ook zo verbolgen over het feit dat iedereen maar van alles pikt, alleen maar omdat ze hun Android-toestel of Chrome browser zo fijn vinden werken.

Bij mij werkt het anders: werkt het fijn, maar vertrouw ik de boel niet, dan gebruik ik het niet (meer)! Einde discussie.

Ik heb hetzelfde als jij hoor: de enige applicatie die mijn wachtwoorden mag beheren is Keepass. Maar nog liever: KeepassXC. Laatstgenoemde omdat dit multi-platform is. Keepass werkt ook wel onder Linux, maar dan moet je ook weer Mono hebben geïnstalleerd. Anders gezegd: KeepassXC werkt zonder extra ballast native onder diverse OS'en.
Helemaal mee eens. Privé heb ik altijd al Keepass(XC) gebruikt maar op het werkt werd Lastpass gebruikt tot vorige vrijdag, en willen ze nu sinds dit artikel hals overkop over naar 1Password oftewel: het volgende proprietary product.
Voor bedrijven vind ik KeepassXC geen optie, het delen van wachtwoorden tussen gebruikers is vrijwel niet mogelijk, maar Bitwarden had ik bijvoorbeeld een mooi alternatief gevonden. Helaas.
Zo zie je maar weer: echt gratis bestaat niet. Je betaalt in dit geval met je gegevens. Het ergste is niet dat het gebeurt, maar dat je er van tevoren niet goed over geïnformeerd wordt en er (achteraf) niets aan kunt veranderen.

Wat is er nu toch zo moeilijk aan om een ‘eerlijke prijs’ te vragen voor een ‘eerlijk product’? Het lijkt me niet meer dan fatsoenlijk (en goed voor je imago/merk) dat je duidelijk maakt hoe de klant voor een product betaalt en wat je daarvan mag verwachten. Dus je noemt je product met trackers en reclame niet ‘gratis’ maar geeft gewoon duidelijk aan waar je je omzet uithaalt en vraagt expliciet toestemming aan de gebruiker.

Nog beter: geef de klant iets te kiezen. Goede voorbeelden genoeg van software waarbij je kunt kiezen voor betaling met je gegevens / door het consumeren van reclames, betalen via een abonnement (gekoppeld aan een termijn en/of update) of betaling ineens voor een onbepaalde termijn.

Stiekem (en onleesbare privacystatements schaar ik daar ook onder) persoonlijke gegevens stelen is gewoon asociaal en onethisch. Zeker als je bedenkt dat persoonlijke gegevens een bezit zijn die een ander oneindig kan dupliceren en doorverkopen. In tegenstelling tot een ‘ding’ dat iemand steelt en dat maar aan een persoon kan verpatsen. Waarom is het stelen van een ‘ding’ strafbaar en het stelen (of onder valse voorwendselen verkrijgen) van persoonlijke gegevens niet?
Zoals hierboven gezegd, ze doen het niet enkel voor de gratis versie.
Gratis bestaat wel. Kijk maar naar de open-source wachtwoordbeheerders zoals KeePass, Bitwarden etc: veilig én gratis. Bitwarden geeft je tegen betaling meer features.

[Reactie gewijzigd door AnonymousWP op 26 februari 2021 11:31]

Bitwarden kun je ook zelf hosten. Werkt supergoed kan ik je vertellen en alle wachtwoorden blijven binnen de muren. :)
Zojuist de instellingen genoemd in het artikel uitgezet. Zelfs met de instructies van het artikel moest ik even zoeken, ze doen toch wel echt hun best om dit soort instellingen te verbergen.

Verder wel een tevreden (betalende) gebruiker...
Als ik oudere versie van lastpass bekijk. 22 september, 2019, zitten er zelf 11 trackers inclusief die van facebook. Dit kan echt niet!

https://reports.exodus-privacy.eu.org/en/reports/95643/
https://bitwarden.com/

Maar die heeft er 2.
Do all password apps contain such trackers? Not according to Exodus. 1Password has none. KeePass has none. The open-source Bitwarden has two for Google Firebase analytics and Microsoft Visual Studio crash reporting. Dashlane has four. LastPass does appear to have more than its rivals. And yes, lots of smartphone apps have trackers: today, we're talking about LastPass.

[Reactie gewijzigd door Dacuuu op 26 februari 2021 10:53]

het siert Bitwarden dat ze een non-Google versie distribueren. Niet alleen zonder de crash analytics, maar ook zonder de Play Store afhankelijkheden. Zou ze daarom alleen al aanbevelen boven de andere closed source opties zoals 1Password.

Downloaden doe je hier:
https://mobileapp.bitwarden.com/fdroid/

[Reactie gewijzigd door Eonfge op 26 februari 2021 11:39]

Jammer dat er zo weinig verzet is dat een extreem veel belangrijke applicaties gekoppeld zijn aan een facebook; google; firebase etc.

Het gebruik van third party plugins moet gewoon stoppen.

In het geval van Bitawarden; stem voor het verwijderen van de deze third party trackers uit de app:
https://community.bitward...kers-from-bitwarden/18925

[Reactie gewijzigd door mmjjb op 26 februari 2021 12:38]

Niet te hard van stapel lopen. Op de eerste link die je zelf geeft:
Q: What third-party scripts, libraries, and services are used?

A: Currently, we load third-party payment scripts from Stripe and PayPal on payment pages in the Web Vault. In the mobile app, the Firebase script is used for push notifications. The HockeyApp is used for crash reporting. Please note, Firebase and HockeyApp are removed completely from the F-Droid build if you are interested in using that option. Turning off push notifications on a Bitwarden server will disable using the push relay server if you want to self-host.
En
The google analytics are only used on the website, not in the mobile apps/web vault/extensions.
In principe bevestig je gewoon mijn punt. Er zitten nog steeds third party trackers in.
The google analytics are only used on the website, not in the mobile apps/web vault/extensions
Dat is pas sinds kort; tot recentelijk had Bitwarden in de Chrome extensie Google Analytics geïntegreerd; waardoor elke klik die je deed naar Google gestuurd werd. Hoe is dit in vredesnaam niet een gigantisch veiligheids risico?

Het gebruik van third party trackers of extensies midden in de kluis waar je al je wachtwoorden bewaard is gewoon een mega veiligheids risico en geeft aan dat ze privacy destijds niet belangrijk vonden.

Dit is weliswaar gestopt nu; maar in de quote die je zelf aangeeft staat het volgende:
In he mobile app, the Firebase script is used for push notifications. The HockeyApp is used for crash reporting
Bitwarden gaat gewoon door met het gebruik van Google Firebase en HockeyApp. Weliswaar een verbetering t.o.v alle clicks die ze eerder doorstuurden; maar dat zijn nog steeds 2 risico's te veel.

Leuk dat ze een schone versie hebben op F-Droid; maar dat is dus privacy als opt-in en niet de standaard.

[Reactie gewijzigd door mmjjb op 26 februari 2021 12:41]

Op Android kan je helaas niet zonder een crash report analytics werken, tenzij je een alle toestellen met verschillende Android versies hebt.

Met mijn alarm app heb ik een groot probleem als ik geen crash tracker zou kunnen gebruiken. Fabrikanten zoals Huawei, Samsung en Xiaomi coderen hun eigen versie van batterij-optimalisaties en andere aanpassingen aan notificaties en alarmmanager.
Ik vind het interessant dat je Bitwarden noemt, terwijl deze volgens het artikel alsnog twee trackers bevat. In de context van dit artikel zou 1Password of Keepass dan een betere keuze zijn.

Edit: zie nu je wijziging pas.

[Reactie gewijzigd door Andreas01 op 26 februari 2021 10:54]

ik vind het wel een groot verschil maken of het trackers zijn om crash informatie te verzamelen en door te zetten of dat ze zijn om reclame banners, clicks, etc door te zetten.
De crash info apps sturen alleen info door als er daadwerkelijk een crash is, niet bij het starten van de app.
Eens. En zelfs de clicks kan verantwoord worden doordat bijvoorbeeld diverse pagina's binnen de app als webpagina geserveerd worden. Ik kan me voorstellen dat login-, registratie- en help-pagina's van trackers zijn voorzien. Dat is dan niet om advertentieprofielen op te zetten.
Eens, mits die crash info dan ook daadwerkelijk enkel informatie over de crash bevat en niet stiekem meer.
Bitwarden heeft Google Firebase Analytics en Microsoft Visual Crash Reporting ingebouwd.
Ik gebruik nu een aantal jaar 1Password. Ook gebruik ik https://www.passwordstore.org/, maar dat blijft een poweruser tooltje om op te zetten en daar krijg ik mijn partner en kids nooit in mee zonder werkplekbeheer te gaan doen. En daar zit ik niet op te wachten.
Ik kan je bitwarden rs adviseren. Ik host m zelf en dan is alles gratis inclusief haring en dat werkt goed ik heb eindelijk m'n vrouw om
Uit het artikel: "Bitwarden heeft Google Firebase Analytics en Microsoft Visual Crash Reporting ingebouwd."
Al eerder genoemd, de F-Droid versie van bitwarden heeft geen trackers.
Antwoord van Lastpass:
A LastPass spokesperson told us: "No sensitive personally identifiable user data or vault activity could be passed through these trackers. These trackers collect limited aggregated statistical data about how you use LastPass which is used to help us improve and optimize the product.

"All LastPass users, regardless of browser or device, are given the option to opt-out of these analytics in their LastPass Privacy Settings, located in their account here: Account Settings > Show Advanced Settings > Privacy. We are continuously reviewing our existing processes and working to make them better to comply, and exceed, the requirements of current applicable data protection standards."
https://www.theregister.c...s_android_trackers_found/
Dat antwoord staat letterlijk in de tekst / het artikel.
Ik had het artikel niet goed gelezen dus.
Mocht wel meer opvallen. Er staan 2 "titels" in groter lettertype.
Dan zie je meteen het antwoord van Lastpass en wat je eventueel kan doen.
Althans dat is mijn mening.

EDIT
Op die Exodus pagina kan je meerdere reports zoeken van Android apps
https://reports.exodus-privacy.eu.org/en/reports/

[Reactie gewijzigd door abusimbal op 26 februari 2021 13:44]

Dat is gelijk ook het probleem. Je kan ook bij installatie vragen of je geanonimiseerde statistieken mag versturen in plaats van het opt out ergens in een menu weg te stoppen.
"are given the option to opt-out of these analytics" En sommige gebruikers leven in de EU waar Opt-in de norm hoort conform de wet.

Inexcusable, zéker voor een dienst die over wil naar standaard-betaald.
Op hun website noemen ze het error reporting, en in het artikel blijkt het ook te gaan om marketing scripts.

Dus een van beide spreekt niet (volledig) de waarheid
Lekker dom als je je wachtwoorden onderbrengt bij een dienst die keer op keer gehackt word:
https://tweakers.net/nieuws/zoeken/?keyword=Lastpass
Het is niet omdat LastPass regelmatig in het nieuws komt dat de dienst daarom keer op keer gehackd is. Ik zie namelijk geen enkele hack in de afgelopen jaren in dat nieuwsoverzicht staan. Wel enkele keren dat er kwetsbaarheden zijn gedicht, maar dat is op zichzelf niet abnormaal en staat helemaal niet gelijk aan een hack.
Dan heb je niet goed gezocht: LastPass Hacked, Change Your Master Password Now

Google warns users of password manager Lastpass bug explosed credentials hacked

Dit zijn overigens enkele van de eerste hits in Google.

[Reactie gewijzigd door Bor op 26 februari 2021 13:38]

Eerste link is van 2015?

2e laat dit zien:

Users of the password manager, Lastpass, were alerted to a dangerous bug
A flaw allowed potential hackers to steal passwords from sites previously viewed
The bug has since been fixed and there is no record of it being exploited
Researchers say using password managers is still advisable

dus ja er waterdicht is het niet, maar wat is dat wel...daarnaast blijft het te prefereren een wachtwoordmanager te gebruiken
Prima dat er statistieken bijgehouden worden, je wilt als bedrijf graag weten hoe je product het doet.
Maar dit gaat veel te ver, een wachtwoord manager moet een veilige kluis zijn waar niemand anders bij komt, maar ook geen info prijsgeeft. Nu is de kluis wel beveiligd maar zijn er toch lijntjes naar buiten.

Ben toch blij dat ik 2 weken geleden ben overgestapt naar Bitwarden. Al ben ik nog niet blij met de browserextentie over het autoaanvullen. Dat kost nu nog te veel tijd, hoop dat ze dit binnenkort aanpassen.
Bitwarden heeft ook trackers kom ik net achter....
Denk niet dat er een app is zonder trackers ;)
Op sich wel maar als ik zie hoe actief 1Password ontwikkeld wordt dan denk ik niet dat je daarvoor trackers nodig hebt.

Bedrijven doen vaak alsof gebruikers helemaal niks zeggen en ze daarom maar trackers gebruiken maar als je gewoon goed bereikbaar bent (discord / forum etc.) dan zijn er meer dan genoeg mensen bereid om hun feedback te delen. Daar naast zie ik bij veel apps in de iOS App Store dat ontwikkelaars ook daar feedback krijgen en daar ook wat mee doen. Kortom, genoeg manieren om feedback te krijgen en daar naast moet een bedrijf ook een eigen visie hebben. Het moet niet zo zijn dat zonder feedback de ontwikkeling compleet stil staat.
Feedback is wat anders dan werkelijk cijfers hebben wat gebruikers werkelijk doen. Het zijn gegevens die elkaar aanvullen.
Telefoontjes zijn niet geschikt voor kritische zaken zoals een passwordmanager of bankzaken.
Het gaat in 99,9% van de gevallen goed, ik wil niet tot die 0,1% behoren.
Ik vind het stuitend dat je voor steeds meer zaken een telefoontje nodig hebt.
Losse computer en 2FA met een sms kan ik nog mee leven aangezien je dan het proces en verificatie op twee verschillende machines doet.
Dat met die bankzaken, dat vind ik ook iets wat onbegrijpelijk is. Ik gebruik ING ik ben nu verplicht om een app te gebruiken, die ook nog eens heel ongelukkig combineert met het desktop bankieren. Ik vind het ook onbegrijpelijk dat al dit soort zaken allemaal op de mobiele telefoon moeten gebeuren. Ik snap het wel dat er mensen die helemaal de vernieling in gaan. Een ongelukkig bericht en het bankieren onder 1 duim.
Ik gebruik ING ik ben nu verplicht om een app te gebruiken, die ook nog eens heel ongelukkig combineert met het desktop bankieren.
Klopt dat wel? Met het afschaffen van de TAN codes kreeg mijn moeder gewoon netjes een apart kastje voor 2fa, en ze is daar zelfs behoorlijk tevreden over. Ik kan me haast niet voorstellen dat die optie er niet is voor de gebruikers die niet koppig met die codes bleven gebruiken.
Heb je volkomen gelijk in. Ik werd voor het blok gezet, een reader of de app. Ik moest net iets noodzakelijk overmaken en ik had geen zin in een reader. Achteraf denk ik, misschien toch wel moeten doen. Al vind ik zo een extra kastje ook weer naar. Tan code vond heerlijk. Prima systeem.

Het aanmaken van de app ging heel snel! Ha ha.
Als ik het goed begrepen heb, heeft het kastje toch wel een belangrijk voordeel ten opzichte van de tan-codes: de codes die het geeft zijn afhankelijk van de transactie die het op het schermpje laat zien.

Er zullen wel tal van social-engineering methodes zijn om dat te omzeilen via de kwetsbaarheden in de pbmac, maar bedriegers hebben het hierdoor toch wat lastiger.
Telefoontjes zijn niet geschikt voor kritische zaken zoals een passwordmanager of bankzaken.
Het gaat in 99,9% van de gevallen goed, ik wil niet tot die 0,1% behoren.
Ik ben toch wel benieuwd. Ik ben geen IT expert, maar wel nieuwsgierig naar de werkelijke risico's.
Concreet is mijn vraag dus: welke andere opties om je wachtwoorden te bewaken zijn veiliger dan die via je smartphone? Als ik geen passwordmanager mag gebruiken op mijn smartphone, wat raad je dan aan en waarom is dat veiliger?

En bankzaken regelen: ik regel mijn bankzaken via mijn laptop en ik betaal met mijn smartphone. Hoe zou ik dat dan anders moeten doen?
Ik ben toch wel benieuwd. Ik ben geen IT expert, maar wel nieuwsgierig naar de werkelijke risico's.
Ik ben ook geen IT expert maar ik kan redelijk beredeneren waarom ik bepaalde dingen niet wil.
Er zijn te veel apps die je passwords kunnen loggen, en ook integratie van betalingen met apps die daar helemaal niet voor bedoeld zijn kan ongewenste ingangen geven omdat de ontwerper helemaal niet in veiligheid geïnteresseerd hoeft te zijn. Een OS wat je gangen nagaat en makkelijk te misbruiken is geen goede basis voor een veilig systeem. Soms is het ook gewoon social engineering wat via een smartphone veel makkelijker is zoals de bekende whatsapp scam.
Concreet is mijn vraag dus: welke andere opties om je wachtwoorden te bewaken zijn veiliger dan die via je smartphone? Als ik geen passwordmanager mag gebruiken op mijn smartphone, wat raad je dan aan en waarom is dat veiliger?
Ik gebruik een combinatie van een spreadsheet in een encrypted truecrypt drive op een niet windows machine en een ouderwets notitieboekje voor de echt belangrijke passwords, dat laatste blijft thuis in de kluis. Er zijn ook losse hardware password managers zoals mooltipass, pastilda, zolang het maar niet op één of andere manier online kan gaan. Er zitten overigens ook heel slechte bij dus wel even onderzoek doen voor je wat koopt. https://www.bleepingcompu...agers-have-poor-security/
En bankzaken regelen: ik regel mijn bankzaken via mijn laptop en ik betaal met mijn smartphone. Hoe zou ik dat dan anders moeten doen?
Bankzaken via je laptop is ok met een los hardtoken zoals de rabonbank scanner.
Betalen heb je een pasje voor, betalen met een smartphone moet je gewoon niet doen.
Ik ben ook geen IT expert maar ik kan redelijk beredeneren waarom ik bepaalde dingen niet wil.
Wat je vervolgens schrijft is geen uitleg van de risico's die ik praktisch gezien loop. Hoe groot is de kans dat mijn wachtwoord op straat komt te liggen? Hoe groot is vervolgens de kans dat er misbruik van wordt gemaakt? Hoe groot is daarna de schade die ik oploop?

Ook jouw opmerking over betalen met een smartphone wordt niet ondersteund met cijfers. Is betalen met je smartphone onveiliger dan met je bankpas? Is betalen met je smartphone onveiliger dan betalen met contant geld?

Ik krijg toch sterk het gevoel dat de waarschuwingen voor het opslaan van wachtwoorden en (door jou geintroduceerd) betalen met smartphones toch vooral ingegeven worden door een onderbuikgevoel.
1 week terug Bitwarden_rs op mijn Synology NAS geconfigureerd samen met Fail2ban en met een DB backup elk uur en elke dag (offsite).

Aantal familieleden en kennissen gebruiken het al en krijg alleen maar positieve reacties.
Autofill moet nog aan gewerkt worden, dit werkt vaak niet optimaal als je op een domein meerdere logins hebt.

Ik heb hiervoor 6-7 jaar lang Lastpass Premium gehad, had ik de overstap maar eerder gemaakt.
Dus familie en kenissen gebruiken een passwordmanager die op jouw NASje draait?

Yikes.
Hoezo is dat Yikes?

- Ik heb geen toegang tot hun kluis
- Het enige wat ik als admin kan is een 2FA verwijderen mochten zij die kwijtraken
- Zonder hoofd wachtwoord kom je nooit meer in de kluis
- Data wordt netjes elk uur een backup van gemaakt met encryptie
- Gebruikers kunnen de data zelf exporteren in Bitwarden als zij willen overstappen
- Als de NAS even offline is kan je alsnog in je kluis komen via extensies / apps, echter zal deze op dat moment niet syncen
Ben wel benieuwd hoe je de backups maakt trouwens, ik host het ook zelf in Docker en maak mbv Docker exec een backup maar het encrypt gedeelte ben ik wel in geïnteresseerd !
Ik doet dit op 2 manieren.

- elk uur Hyperbackup (encrypted) alleen Bitwarden/data
- elke dag Hyperbackup (encrypted) gehele Docker volume
- elke dag sqlite3 data/db.sqlite3 ".backup '/path/to/backups/db-$(date '+%Y%m%d-%H%M').sqlite3'" naar een USB welke aan de NAS aangesloten is

Het is natuurlijk too much, maar ach, kleine moeite en als 2 uitvallen heb ik altijd een derde om op terug te vallen.

Mocht je geen Synology hebben, gebruik dan rsync/syncthing (P2P), duplicati voor backup.
Ik gebruik een separate container om een dump van de SQLite DB te maken (https://gitlab.com/1O/bitwarden_rs-backup) en met Duplicati maak ik een backup naar Backblaze B2 (duplicatie draait ook in een container).
Eens! Ik doe dit zelf ook om het beheer voor mijn ouders wat makkelijker te maken; het ontlasten van hun systemen/zorgen is toch een kleine moeite om te doen? Ze werken zelfs standaard via VPN buitenshuis (automatisch, hoeven ze niet bij na te denken) en overal werkt dus ook de pihole. Nee; het updaten, beveiligen en opruimen van hun systemen/laptop/mobiel/etc is nooit makkelijker geweest dan tegenwoordig.
Wel heb ik de F-droid variant van Bitwarden, naast Bitwarden_rs gebruikt, ook vanwege de tracking.
Precies hetzelfde hier, behalve F-droid (ga die ook eens even bekijken).
Laatst overgestapt van OpenVPN naar Wireguard, wat een verschil is dat geweest.

Ouders hebben ook Wireguard en hebben het standaard aanstaan als ze uit huis gaan. In dit geval ook voor Pi-Hole / DNScrypt etc.
Waarom? Welke gevaren zie jij hierin?
Omdat het toch 1 grote BUS factor is om je kluis bij je neefje om de hoek neer te zetten, ipv een bedrijf dat hier zijn business van heeft gemaakt en het niet uitmaakt als er 1 medewerker doodgereden wordt.
Tja, als ik doodgereden wordt dan is mijn NAS nog intakt lol. Zoals ik aangaf, mensen kunnen dan gewoon hun data exporteren en bij Bitwarden zelf of elder weer koppelen.

Worst case scenario:

- Ik word doodgereden
- Toevallig raakt net een kennis op het zelfde moment zijn 2FA kwijt
- NAS vliegt in brand
- Admin paneel is niet benaderbaar

Gelukkig! Heb ik nog een broertje dat veel vanaf weet en als backup ook de code heeft voor het admin paneel / backup mocht het ooit zover komen ;-).

Om zoiets te doen moet je vertrouwen hebben, in een bedrijf of familie lid. Als bij jou dat vertrouwen onbreekt dan adviseer ik je om nooit zoiets te doen of in mee te gaan.

[Reactie gewijzigd door Joao op 26 februari 2021 11:56]

Ik wil graag ook een eigen Bitwarden_rs server draaien, maar heb nog niet kunnen vinden hoe je de browser extensies/mobiele apps kunt koppelen met je eigen server.

Weet jij hoe dat zit?
Ja, is vrij simpel, voordat je inlogt klik je linksboven op het tandwiel (settings) en dan vul je in het eerste veld je domein / IP.
Ohja! Het tandwiel linksboven heb ik helemaal gemist. Bedankt :)

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True