1Password brengt functie uit die beheerders meer info geeft over gebruikers

Wachtwoordmanager 1Password brengt een functie uit voor zakelijke gebruikers waarmee beheerders kunnen zien of medewerkers kwetsbare situaties of zwakke wachtwoorden hebben. Insights is vergelijkbaar met de Watchtower-functie, maar dan voor gebruikers binnen bedrijven.

Insights is een dashboard voor 1Password Business-gebruikers, specifiek voor de beheerders van een zakelijke omgeving. In dat dashboard kunnen beheerders veel soorten informatie zien die in de meeste gevallen al op een of andere manier elders vindbaar is. Zo zit er een integratie met Have I Been Pwned in 1Password waarmee gebruikers kunnen controleren of hun wachtwoord in een bekend datalek heeft gezeten. In Insights kunnen beheerders dat zien van alle aangesloten e-mailadressen vanaf een bepaald domein. Ook kunnen beheerders zien of gebruikers een zwak wachtwoord gebruiken of dat er een zwak wachtwoord in een gedeelde kluis staat. Ze kunnen het wachtwoord zelf niet zien, maar 1Password kan dat aangeven op basis van de opbouw van een wachtwoord of dat af te zetten tegen een lijst met bekende, gelekte wachtwoorden.

Beheerders kunnen gebruikers notificaties sturen als ze denken dat die ergens een update over moeten krijgen, bijvoorbeeld als ze de dienst niet genoeg gebruiken of als er een wachtwoordlek wordt gedetecteerd. Veel van de nieuwe features zijn niet helemaal nieuw; zaken zoals de breach-checker of de wachtwoordcontrole zitten ook al in Watchtower, een 1Password-functie voor individuele gebruikers.

Naast deze functies kunnen beheerders ook zien hoe 1Password binnen organisaties gebruikt wordt. Ze kunnen zien wie er naast een gedeelde kluis ook de privékluis gebruikt en wie niet en wanneer gebruikers voor het laatst zijn ingelogd. Ook krijgen gebruikers een kortingscode om 1Password Families te gebruiken, waarbij beheerders kunnen zien wie die code inwisselt. Al die rapporten zijn maandelijks uit te draaien voor rapportage- en compliance-doeleinden.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Tijs Hofmans

Redacteur

22-06-2022 • 07:24

43 Linkedin

Reacties (43)

Wijzig sortering
Privacywaarschuwing voor mensen die hun zakelijke laptop gebruiken: als de urls meekomen weet de beheerder waar je je spullen koopt, wat je interesses, je pron accounts. Ik krijg hier de kriebels van.
Reageer
reminder: als systeembeheerder kan je al die dingen al zien of achterhalen, daar heb je echt geen password-manager voor nodig.

tip: wil je dingen verborgen houden voor je werkgever, doe het dan niet op zijn toestel of netwerk. Het is niet omdat je die privé mag gebruiken dat alles wat je doet privé is/blijft. Meer nog: als er een klacht binnen komt voor misbruik, dan wil je zelfs als bedrijf kunnen bewijzen welke werknemer het was, anders ben je aansprakelijk.
Reageer
Maar waarom zou je in je zakelijke vault ook je persoonlijke accounts neerzetten? Hou dat lekker gescheiden van elkaar zou mijn advies zijn. Ook veel makkelijker mocht je uit dienst gaan.
Reageer
Dat is nou het mooie, je krijg bij dit abonnement de optie om een prive account aan te maken. Deze kan je als beheerder niet zien. Je ziet alleen dat je gebruiker het heeft.

Ik heb zo meerdere installaties draaien, alle personeel via SSO 365 een werk account met daarin hun eigen kluis. Dan krijgen ze ook toegang tot groepskluizen.

En ze hebben voor alle gezinsleden ook een eigen account waar de beheerder niet bij kan.
Reageer
En wat nou als je als medewerker dan een private vault aanmaakt en daar ook je zakelijke passwords in zet omdat 1 vault wellicht simpeler is en omdat de beheerder dan niet mee kan kijken? Of kan dat niet werken?
Reageer
Tuurlijk zou dit kunnen, en ze zouden ook hun password met een post-it op hun scherm kunnen kleven... of op een papiertje onder hun klavier. Of hun vault beschermen met 'paswoord123'

De zwakste schakel blijft de gebruiker en het blijft nodig om je werknemers hier goed over in te lichten.

Zelf gebruik ik al 15 jaar tevreden 1PW, eerst als privé gebruiker en sinds een paar jaar via een business account waar je inderdaad ook gratis een familie-account kan aanmaken. Daar maakt ons gezin ook gebruik van. In mijn business vault steken enkel business paswoorden, in de privé vault enkel privé paswoorden. Je moet bij het aanmaken natuurlijk opletten dat je de juiste vault kiest. Zowel business als privé heb ik shared vaults om shared paswoorden te delen met team of gezin.
Reageer
Je kunt wachtwoorden gemakkelijk van privé naar zakelijk verplaatsen in je 1PW account (en andersom ;) ). Goed IAM management blijft dus nodig, juist voor als die ene medewerker met knallende ruzie de organisatie verlaat en thuis nog even een drop table uitvoert.
Reageer
Ja en als het goed is wordt dat dus geregistreerd. Aangezien de accounts van het bedrijf eigendom van hun zijn ;) is dat wel zo fijn om daar bewijs over te hebben!
Reageer
Dan staat dat in de private vault.
Behalve dat je tijdens het aanmaken van een entry moet selecteren dat deze in de 'juiste' kluis komt (prive, werk, familie, gedeeld) zit er ook geen voordeel aan dit te doen. Als je in 1password app of browser extensie zoekt krijg je standaard hits uit elke vault die je hebt.

Edit: enige nadeel voor de werkgever/beheerder is dat de insight features uit dit artikel dan dus minder waarde hebben. Maar voor de gebruiker maakt het niet uit.

Ik (1Password family, alleen prive) maak een kluis aan voor elke klant waar ik accounts heb, gewoon handig als ik in 1 overzicht wil zien hoeveel accounts ik daar heb of om te exporteren/delen.

[Reactie gewijzigd door Mobzy op 22 juni 2022 08:55]

Reageer
Dan kan de beheerder niet direct meekijken, maar dan komt wellicht wel de vraag van "waarom staat je wachtwoord voor onze interne tool die je gisteren nog hebt gebruikt niet in de zakelijke kluis?"
Reageer
Het gaat niet om replicatie maar om toezicht. Het idee van de beheerdersfunctie is voor het scenario dat de gebruiker de vereiste accounts in de kluis bewaart (waar de beheerder met een checklist op kan controleren) en vervolgens kan het management controleren dat die wachtwoorden veilig genoeg zijn. Dat men vervolgens dat wachtwoord zelf kan laten slingeren staat hier los van. Het is immers ook niet eenvoudig haalbaar om vanuit de applicatie/platform-kant per wachtwoord te valideren en te aggregeren tot 1 overzicht. Vanuit eigen ervaring weet ik van veel component platforms (zeg een video transcoder) dat er niet of nauwelijks wachtwoordensterkte-validatie mogelijk is.
Reageer
Ah ok, dat wist ik niet.

Ik gebruikte zelf Lastpass en binnen mijn bedrijf werd dat ook gebruikt. Je kon de 2 accounts wel aan elkaar koppelen, maar dat heb ik nooit gedaan. En daarbij ben ik zelf van Lastpass afgestapt toen ze hun businessmodel veranderden, en overgestapt naar Bitwarden ;)
Reageer
In mijn ogen dient die privé kluis ergens anders voor dan waar jij ze voor gebruikt.

Ik beheer 1password voor ons bedrijf met ongeveer 30 mensen en daarbij heb ik de instructie meegegeven dat de privékluis voor werkgerelateerde items is die niet voor de rest van het team beschikbaar moeten zijn. Daarmee bedoel ik logins voor bijvoorbeeld Github, Bitbucket, Office accounts etc.

Als je wachtwoorden hebt voor privé gebruik buiten werk om maak je maar een eigen kluis aan bij 1password of een andere passwordmanager.

Maar goed, dat is hoe wij de "Prive" kluis behandelen en dat zal iedereen anders zien.
Reageer
Ik zie dit inderdaad heel anders:
Je hebt binnen 1pw innen de business variant je eigen “kluizen” en gemeenschappelijke “kluizen”. Daarnaast heb je privé kluizen waaronder de family variant In je eigen kluis sla je persoonlijke (maar zakelijke) accounts op zoals bijvoorbeeld GitHub. In de gemeenschappelijke kluizen sla je wachtwoorden op die je gemeenschappelijk gebruikt; denk aan een root wachtwoord of zo. Elke groep die onafhankelijk van elkaar werkt heeft zijn eigen kluis; denk hierbij aan administratie en verkoop.
Zo kan niemand van administratie bij de systemen van verkoop en omgekeerd.

Privé kluizen heb je in twee soorten; een prive kluis die je van je werk krijgt; met als doel er voor zorgen dat door privé acties je bedrijfslaptop niet gecompromitteerd wordt en je heb privé abonnementen die je zelf betaald.

alle kluizen kun je in de app (MacOs, Windows, IOS, Android en mogelijk meer) koppelen. De gebruiker ervaart bij het opzoeken geen verschil. Dus business en family kluizen kun je binnen de app gewoon gebruiken. Het ook mogelijk om op bijvoorbeeld je zakelijke laptop alle kluizen, waar jij rechten op hebt, te gebruiken en op de game pc alleen je family abonnement.

Wanneer de gebruiker weggaat bij het bedrijf kan de toegang tot de gemeenschappelijke kluizen geblokkeerd worden en het privé gedeelte omgezet worden naar een echt privé account (kosten voor gebruiker). Bij mijn laatste werkgever had je daar een maand de tijd voor.

Door deze opzet kun je zeer fijnmazig regelen wie waar toegang tot heeft EN werknemers stimuleren een privé passwordmanager te gebruiken.

Opmerking: het spreek voor zich dat de gemeenschappelijke kluizen zo leeg mogelijk moeten zijn; gemeenschappelijk gebruikte wachtwoorden zijn niet of mogelijk traceerbaar; maar dat is een ander verhaal: 1Password geeft de mogelijk om ze te gebruiken (nogmaals denk aan bijvoorbeeld aan het Root account dat beschikbaar moet zijn voor een beperkte groep).
Reageer
Lastpass had daar iets beter voor, dan heb je privé account en kan je ook toegevoegd worden in het bedrijf account. Als je vertrekt blijven je privé passwoorden bij je account en dit ziet het bedrijf dit niet. Zij kunnen wel accounts ingeven waar je aan kan zolang je lid bent.
Reageer
Elke enterprise gebruiker van 1password kan ook een familie account aanmaken die los staat die niet kan worden ingezien door het bedrijf. Beide accounts kunnen worden toegevoegd aan dezelfde app en je kan er makkelijk tussen switchen of simpelweg beide tegelijk gebruiken.
Reageer
even goed dus, dat wist ik niet. Bedankt voor de tip.
Reageer
Privacywaarschuwing voor mensen die hun zakelijke laptop gebruiken: als de urls meekomen weet de beheerder waar je je spullen koopt, wat je interesses, je pron accounts. Ik krijg hier de kriebels van.
Dat is ook zo, ik ben zelf ook systeembeheerder en ik kan in principe ook overal bij/dingen bij mensen dingen zien. Echter als ik hier misbruik van maak ben ik zo mijn VOG en baan kwijt. Men heeft wel iets van een geheimhoudingsplicht en men moet zeer zorgvuldig met dit soort informatie te werk gaan.
Reageer
Wij mogen nooit de wachtwoorden zien van eindgebruikers of van wie dan ook, behalve die van jezelf of eventuele gedeeld account. Als een systeem beheerder de pwd kan inzien, dan kan een hacker dat ook. Lijklt niet me niet verstandig om ze zodner encryptie op te slaan en dat andere die kunnen bekijken.
Reageer
Zakelijke 1password accounts zijn inclusief gratis persoonlijke 'familie' accounts voor de individuele medewerkers. Daar heeft een bedrijf natuurlijk geen inzicht in, dus dat lijkt me een mooie plek om je privé accounts op te slaan.
Reageer
Waarom? Als je dat privé wilt houden, graag dan een eigen wachtwoord manager. Privacy op werk is niet heilig. Dit is altijd een afweging t.o.v. de beveiliging en continuiteit van een bedrijf.
Reageer
Daarvoor heb je ook privé abonnementen. Daarin kunnen ze het niet zien. Welke je overigens óók krijgt als je 1password zakelijk hebt...
Reageer
Als je je pron accounts aan je zakelijke password manager toevoegd dan zoek je de problemen ook wel een beetje op.
Reageer
Wacht, wat?
Wachtwoordmanager 1Password brengt een functie uit voor zakelijke gebruikers waarmee beheerders zwakke wachtwoorden en kwetsbare situaties bij medewerkers kunnen bekijken. Insights is vergelijkbaar met de Watchtower-functie, maar dan voor gebruikers binnen bedrijven.
Dat ze kunnen zien dat een wachtwoord zwak is, is misschien prima. Maar het laten bekijken van het zwakke wachtwoord, klopt dat?

Later in het artikel staat er dan weer
Ook kunnen beheerders zien of gebruikers een zwak wachtwoord gebruiken of dat er een zwak wachtwoord in een gedeelde kluis staat. Ze kunnen het wachtwoord zelf niet zien, maar 1Password kan dat aangeven op basis van de opbouw van een wachtwoord of dat af te zetten tegen een lijst met bekende, gelekte wachtwoorden.
Welke van de 2 is het nu?
Reageer
Ik geef toe dat het onduidelijk geschreven is.

Maar ik denk wat ze bedoelen is dat ze kunnen bekijken welke wachtwoorden zwak zijn, maar zien niet het wachtwoord zelf.

Dit is mijn Watchtower (wel persoonlijk account, geen business)

https://imgur.com/a/mvRLAoU
Als je dan klikt op reused passwords zie je een lijst om welke accounts het gaat.
Reageer
When in doubt, check the source. ^_^

In het originele persbericht wordt duidelijk de term "password health" gebruikt, niet "password". Dat was blijkbaar in de tweakers-vertaling verloren gegaan.

[Reactie gewijzigd door emphy op 22 juni 2022 08:15]

Reageer
Natuurlijk wel even gedaan er toen ook achter gekomen dat ik ipv betaald een Family account, gratis een Family account kon krijgen via het werk. :9~
Reageer
Dat stond er inderdaad een beetje vaag, ze kunnen wachtwoorden niet zien maar wel of er een zwak/kwetsbaar wachtwoord wordt gebruikt. Heb de tekst aangepast
Reageer
Bedoeld wordt dat beheerders kunnen bekijken wie er zwakke wachtwoorden heeft, of wiens wachtwoord gecompromitteerd is. Wachtwoorden zelf zijn uiteraard niet in te zien.
Reageer
1Password heeft nooit toegang tot de gegevens in een kluis. Dat heeft alleen de gebruiker met zijn 'Master Password' en de 'Secret Key'. Als je die secret key kwijtraakt kunnen zij je ook geen toegang meer geven, dan krijg je een nieuw account van ze als je genoeg bewijs aanlevert dat je de betalende klant bent. Hier kun je daar meer over lezen.

Deze functies welke zwakke wachtwoorden herkennen werken dus lokaal op jouw apparaat nadat jij je kluis hebt ontgrendeld. Dan is er uiterraard toegang en kan bijv gekeken worden of je accounts in HaveIBeenPwned zitten, je wachtwoorden zwak zijn (op basis van lengte, tekens, etc.) en ook of je ergens MFA niet hebt geactiveerd waar dit wel mogelijk is.

Zoals hierboven zal dus een beheerder een ping krijgen dat er ergens een zwak wachtwoord is, maar niet wat deze is.
Reageer
Dit is leuk, maar beter is multi factor authentication overal gebruiken, of SSO met de bedrijfslogin, of wachtwoord regels forceren. Gebruikers individueel najagen hun wachtwoord te verbeteren is geen doen in grotere bedrijven.
Reageer
Vaak heb je geen controle over de wachtwoord regels bij services die niet van jezelf zijn. Dus bij je eigen diensten kan je dit natuurlijk proberen op te lossen, maar zodra het extern is, is het een ander verhaal.
Reageer
Extern kun je vaak een SSO integratie forceren of zitten er mfa opties die te forceren zijn.
En komt er een partij die het niet op orde heeft, neem het mee in de onderhandelingen en selectie criteria. Net als data veiligheid die je wettelijk verplicht op orde moet hebben (gdpr).
Reageer
Dus bij je eigen diensten kan je dit natuurlijk proberen op te lossen, maar zodra het extern is, is het een ander verhaal.
Dus je wachtwoordbeleid en veiligheid leg je maar in de handen van 'extern'? Dan heb je inderdaad altijd wel een probleem met veiligheid.

Jij bepaalt de veiligheid, niet de leverancier. Als die het niet snapt, kies een andere leverancier ;)
Reageer
Daarbij zou ik wel willen opmerken dat MFA geen vervanging is voor een goede wachtwoord hygiëne. Wat jij benoemt zijn eigenlijk dingen die je allemaal moet doen. Dus MFA én SSO én wachtwoord regels.
Reageer
Ik had duidelijker moeten zijn inderdaad. voor mij voldoet de bedrijfslogin automatisch al aan de eisen van MFA en een goede wachtwoordhygiene. Als je die dan als SSO verplicht naar andere partijen gebruikt zitten die achter dezelfde goed beveiligde login.

Echter 2 jaar terug nog meegemaakt met nota bene een beveiligingsbedrijf die een portaal bood met alleen een wachtwoord zonder regels, zonder verplichte MFA, zonder SSO. Gelukkig had ik inzage in wie MFA aan had staan of niet bij de gebruikersprofielen van onze mensen op dat platform, dus dat als eerste nagejaagd terwijl ernaast de discussie liep de hele beveiliging op niveau te brengen, wat ze ook gedaan hebben.
Reageer
Ik zie in het screenshot een CSV export, dus als je daar structureel op wilt controleren zou je dat kunnen automatiseren.
Reageer
Passwordstate gebruiken. echt top _/-\o_

Complexitiy rules goed configureren scheelt ook al de helft.
Reageer
Dat is idd serieuze shit, ben blij dat we MFA hebben geconfigureerd en heb dat als conditional access ook gedaan, want als eindgebruikers het niet willen instellen, dan hebben ze geen toegang tot onze resources.
Reageer
Waarschijnlijk heeft niemand de redactie getipt in de tijd dat LastPass deze functie beschikbaar maakte. Maar dat een andere tool ook zo'n functie heeft waar geen artikel aan is gewijd doet toch niets af aan de nieuwswaarde?

In ieder geval bedankt voor het delen dat LastPass deze functie ook heeft, dat was mij in ieder geval niet bekend. 👌🏻
Reageer
Sorry, niet heel geweldig geformuleerd van mij. Zeker nieuwswaardig, maar normaal gesproken zou dit vallen onder de rubriek "software updates". Het lijkt nou meer op een advertentie, omdat deze functies ook in een ander pakket zitten en daar nooit over is bericht.
Reageer


Om te kunnen reageren moet je ingelogd zijn


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee