Dashlane maakt onbeperkte wachtwoordopslag mogelijk in gratis abonnement

Wachtwoordmanager Dashlane breidt zijn gratis abonnement uit. Gebruikers die niet betalen, kunnen voortaan een onbeperkt aantal wachtwoorden opslaan. Dat waren er eerst maar 50. De limiet van één apparaat blijft wel bestaan.

Dashlane schrijft in een blogpost dat het Free-abonnement verandert. Vroeger konden gebruikers maximaal 50 wachtwoorden opslaan, maar met het nieuwe Free-abonnement zijn dat er oneindig veel. Dashlane zegt dat de meeste gebruikers gemiddeld zo'n 100 wachtwoorden hebben opgeslagen. Het gratis abonnement krijgt ook de optie om wachtwoorden onbeperkt te delen met andere Dashlane-gebruikers. Dat waren er voorheen maximaal 5. Tot slot krijgen gebruikers in de toekomst toegang tot het opslaan van notities als ze een gratis account hebben. Dat was eerst alleen beschikbaar voor betalende gebruikers.

Wel blijft de gratis variant beperkt tot maximaal één apparaat. Gebruikers die de wachtwoordmanager op meer apparaten willen gebruiken, moeten het Advanced-abonnement afsluiten. Dat wordt wel goedkoper; de prijs daalt van 3,49 euro naar 2,75 euro per maand voor een jaarabonnement. In dat abonnement is ook monitoring van gestolen wachtwoorden opgenomen.

Dashlane verandert ook het bestaande Family-abonnement. Dat heet voortaan Friends & Family en heeft een groter maximumaantal accounts dat van de dienst gebruik kan maken. Dat was eerst 6 en is nu 10. Het abonnement kost voortaan 6,66 euro in plaats van 7,99 euro per maand.

Dashlane Free

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 24-10-2022 18:22 85

24-10-2022 • 18:22

85

Lees meer

Vijf wachtwoordmanagers onder de loep

21 jun 2021

Vijf wachtwoordmanagers onder de loep

Waarin verschillen ze?

379
Let op: uw wachtwoord is gehackt

23 apr 2021

Let op: uw wachtwoord is gehackt

Zo werken 'datalek-databases'

60
Wachtwoordmanagers zonder ethiek
Wachtwoordmanagers zonder ethiek Review van 4 april 2021
Wachtwoordmanagers met waarschuwingen

16 feb 2021

Wachtwoordmanagers met waarschuwingen

Browsers waarschuwen voor uitgelekte data

142
Dashlane zet gratis abonnement stop voor nieuwe en bestaande gebruikers
Dashlane zet gratis abonnement stop voor nieuwe en bestaande gebruikers Nieuws van 6 augustus 2025
Dashlane legt beperking op aantal wachtwoorden Free-abonnement
Dashlane legt beperking op aantal wachtwoorden Free-abonnement Nieuws van 19 oktober 2023
Dashlane maakt broncode van Android- en iOS-apps openbaar
Dashlane maakt broncode van Android- en iOS-apps openbaar Nieuws van 6 februari 2023
Wachtwoordmanager Firefox kan straks op Android logins in andere apps invullen
Wachtwoordmanager Firefox kan straks op Android logins in andere apps invullen Nieuws van 2 oktober 2021
Meer producten en artikelen
Beveiliging en antivirus Internet Dashlane Wachtwoord

Reacties (85)

-Moderatie-faq
85
85
32
2
0
42
Wijzig sortering

Sorteer op:

Weergave:
Akamatsu 24 oktober 2022 18:43
Ik zou zelf nooit m'n wachtwoorden opslaan in een dienst van iemand die je gewoon niet kent. Al mijn wachtwoorden staan gewoon lekker in keepass op m'n eigen PC en m'n eigen netwerk als backup.

Vind 't altijd zeer listig want wie weet hoe ze het werkelijk geimplementeerd hebben op hun backend, hoe vaak hoor je wel niet dat er iets mis gaat bij het hashen+salten, lijkt me dan toch het fijnste om het gewoon lekker offline te houden, want je wachtwoorden zijn gewoon heel belangrijk tegenwoordig.
codeneos @Akamatsu24 oktober 2022 19:00
Tja, het is een afweging. Over het algemeen werken al bekende wachtwoord kluizen met een encryptie waarbij de gebruiker zelf een stukje van de sleutel heeft in de form van een wachtwoord.

Aan de anderekant moet je je afvragen hoe veilig keeppas is. Zolang je zelf de broncode niet hebt gelezen en er vanuit gaan dat, omdat het ooensource is, andere dit wel voor je gedaan hebben. Waarom zou je keeppas dan vertrouwen boven een andere wachtwoord manager? Zeker als je je keeppass database op android gebruikt met de eerste keeppass android app die je tegenkomt.

Zoals andere al aangeven zit de zwake schakel vaak niet in de password database maar eerdsr in de manier dat de wachtwoorden gekopieerd worden naar de apps/browser waar je ze in moet geven.

In dat opzicht is de google/chrome wachtwoord manager misschien wel het veiligist omdat google het hele E2E proces beheerst.
batjes @codeneos25 oktober 2022 07:49
Keepass is o.a. geaudit door:

European Commission Free and Open Source Software
De Franse Network & Security agency

Keepass wordt gebruikt door (o.a) de Duitse en Zwitserse overheden.

Ja, je kan er dus bij Keepass echt wel vanuit gaan dat anderen de broncode ook doorgeneuzelt hebben. Dat kan je van de andere password managers niet zeggen. Bij Dashlane (en anderen) moet je ze op hun blauwe ogen vertrouwen of ze uberhaupt geaudit worden.

De Google Chrome wachtwoord manager als veiligste inschatten.... Zoals je zegt, ze hebben het hele E2E proces onder hun controle, dus het komt in zijn volledigheid aan op het vertrouwen van Google. Google, die keer op keer aantoont dat ze niet te vertrouwen zijn.
Yggdrasil @batjes25 oktober 2022 10:01
Dat kan je van de andere password managers niet zeggen.
Dat is wat kort door de bocht. Bitwarden bijv. laat ook regelmatig audits door derden doen.
https://bitwarden.com/hel...ird-party-security-audits
batjes @Yggdrasil25 oktober 2022 10:03
Zijn die verslagen ook bij de derde partijen openbaar inzichtelijk? Snel even zoeken laat zien dat deze alleen bij Bitwarden zelf te vinden zijn.

Komt dus ook bij Bitwarden aan op de blauwe ogen.
Z100 @codeneos25 oktober 2022 02:04
Alles wat je zegt, plus nog een reden om een cloud password manager te hebben t.o.v. KeepassXC: als je de wachtwoorden van digibeten moet beheren, is dat een cloud password manager toch echt de enige optie.

Als we van het gezeur van password managers af willen: mensen, roep webdiensten en website beheerders om FIDO2/WebAuthn wachtwoordloos-inloggen te ondersteunen.
cascer1 @Z10025 oktober 2022 07:49
Een collega van me heeft twee weken geleden een mooie presentatie gegeven over wat dat fido2 en webauthn gedoe is voor mensen die het niet weten. Beetje vanuit het perspectief van een developer maar niet heel moeilijk te volgen voor leken tot het laatste stukje: https://youtu.be/U9y4QN1Yv_U
Argantonis @codeneos25 oktober 2022 06:46
Ik gebruik ook Keepass in combinatie met Dropbox. Bij mij is het vertrouwen in Keepass niet zozeer omdat ik de cloud-varianten van wachtwoorddiensten niet vertrouw op hun éérlijkheid, maar op de implementatie en eventuele fouten daarin. Als je de software niet op éérlijkheid vertrouwt dan is er geen enkele veilige oplossing voor digitaal wachtwoordbeheer, maar bugs zijn denk ik waarschijnlijker.

Met cloud-diensten weet ik nooit zeker dat er niet per ongeluk net iets teveel wordt gelogd, of crashinformatie met daarin wat wachtwoorden wordt opgestuurd, of er iets mis gaat in de volgorde van encrypten en opsturen. Met Keepass weet ik dat wel want het is volledig offline en ik sync het zelf in een losse stap.

Maar zoals je zegt, het is een afweging en ik denk dat er meerdere prima oplossingen zijn die over 't algemeen goed genoeg zijn.
SMGGM @codeneos25 oktober 2022 07:53
Er zijn al controles geweest op Keepass vooral dan vanuit overheids instanties. https://keepass.info/help/kb/trust.html
DRaakje @codeneos25 oktober 2022 10:20
Volgens de keepass website:

- The European Commission has sponsored bounties for finding security vulnerabilities in KeePass 2.x (EU-FOSSA 2 project, details on the Intigriti page) in 2019-2020. A few minor issues were found and fixed.
- KeePass has been audited in the European Commission's Free and Open Source Software Auditing (EU-FOSSA 1) project. No security issues were found, see the Project Deliveries (KeePass Summary and the full Code Review Results Report).

Daarnaast aangeraden door de zwiters/duitsers en fransen.
-KeePass is the recommended password manager in the BSI Cyber Security Recommendations BSI-CS 003 2.0 German by the German Federal Office for Information Security (Bundesamt für Sicherheit in der Informationstechnik).
-KeePass is recommended Switzerland by the Swiss Federal Office of Information Technology, Systems and Telecommunication (FOITT/BIT) and the Federal IT Steering Unit (FITSU/ISB). It is installed by default on all PCs of the federal administration of Switzerland.
- KeePass has received the Certification de Sécurité de Premier Niveau (CSPN) French by the French Network and Information Security Agency (Agence Nationale de la Sécurité des Systèmes d'Information, ANSSI).

Furthermore, KeePass is on the list of recommended free software for the public sector of the French Etalab (public administration).


Allemaal onafhankelijk controles, en een stuk transparanter dan alle closed source commerciele oplossingen.
Cerberus_tm @Akamatsu24 oktober 2022 19:49
Je kunt ook een handjevol van je allerbelangrijkste wachtwoorden niet bij zo'n dienst opslaan, maar wel de rest, zoals webwinkels, Tweakers, Facebook, enz. enz., dingen waarbij het geen ramp is als je je account zou kwijtraken.

En je zou ook kunnen overwegen om diensten met multi-factor-authentificatie erin te zetten, want zelfs als die wachtwoorden gejat worden, kunnen ze er nog steeds niet in.

Een belangrijke om misschien NIET op te slaan is het wachtwoord van je mobiele provider. Want als boeven een nieuwe sim-kaart kunnen aanvragen of zo kun je al je alles kwijtraken dat van sms gebruikmaakt voor authentificatie.
Rockvee2 @Cerberus_tm24 oktober 2022 20:01
Als je account wordt gehackt van een webwinkel is dat zeer erg. Dan kan je bestellingen doen zonder te betalen via achteraf betalen.

De hacker veranderd dan gewoon zijn afleveradres maar het factuuradres op jou adres. Simpel.

De webwinkel stelt jou verantwoordelijk voor het beveiligen van je account.
Cerberus_tm @Rockvee224 oktober 2022 20:33
Tja, ik vraag me dat toch af. Ik kan toch ook makkelijk een account op jouw naam aanmaken, spullen naar mezelf laten bezorgen, en dan achteraf betalen kiezen? Hoe zou een winkel moeten bewijzen dat jij die bestelling dan zelf hebt gedaan? Wanneer je je registreert bij een webwinkel, hoef je immers niet te bewijzen dat je bent wie je zegt. Dus ik denk dat in principe het risico bij achteraf betalen bij die winkels zelf ligt. Het is gewoon een risico op wanbetaling dat ze incalculeren. En anders zullen eerder proberen hun geld te incasseren bij het adres waar de spullen bezorgd zijn.
xtlauke @Cerberus_tm24 oktober 2022 21:17
Je moet je toch eerst registreren (met je bankrekening gegevens, of misschien een PayPal of dergelijke) bij een achteraf-betaaldienst? Ik heb Klarna een keer geprobeerd en daar werkte dat zo. Lijkt me dat het ook zo werkt bij andere partijen.
Cerberus_tm @xtlauke25 oktober 2022 05:41
Tja, als een dienst je bankgegevens heeft, kan ik me voorstellen dat je er iets beter op let. Maar ik denk niet dat ik dat ooit heb gedaan? Klarna nooit geprobeerd.
Yannickto @Cerberus_tm24 oktober 2022 22:59
Hier speelt een betaaldienst als paypal mooi op in vind ik. Betaal je met paypal en verzend je naar een ander adres dan je paypal, dan mislukt dit... Handig in combinatie met alle andere zaken die dieven het laantje uitsturen... Antivirus met paysafe omgeving, weer iets dat toch ook omzeild moet worden, dan nog dat passwoord en dan paypall, en google passwords manager gebruiken en vertrouwen? Wat denk je dat er onder een zero day gebeurt ? Hebben er al 6 gehad
Cerberus_tm @Yannickto25 oktober 2022 05:41
Inderdaad nog een handige extra barrière, maar dat is alleen bij bestellingen van Ebay, denk ik?
lenwar
@Rockvee225 oktober 2022 01:09
Dan kan je bestellingen doen zonder te betalen via achteraf betalen.
Als die webwinkel dat al beschikbaar heeft (je ziet het wel, maar in de praktijk niet heel vaak, althans, het valt me niet veel op. Ik gebruik het zelf nooit). De webwinkel weet waar het naar toe gestuurd wordt. Dan zijn ze eigenlijk al klaar. Het is uiteindelijk aan de webwinkel of zij het risico accepteren van het achteraf betalen.
De webwinkel stelt jou verantwoordelijk voor het beveiligen van je account.
Dat mogen ze doen, maar daar zullen ze in de praktijk niets mee kunnen. Als ik nu bij 'ikhouvankantklossen.nl' een account maak met mijn huis als afleveradres en jouw huis als factuuradres, kom ik op hetzelfde 'probleem' uit. Jij gaat dan echt niet ineens een deurwaarder aan de deur krijgen, domweg omdat iemand ervoor heeft gekozen jouw adres als factuuradres op te geven.
Argantonis @Rockvee225 oktober 2022 06:49
En dan heb je hun adres, en kan de politie daar een onderzoek naar doen. Dit werkt echt niet zo.
loki504 @Argantonis25 oktober 2022 07:03
Daarom sturen ze het naar een PostNL. En sturen ze een Mule.

Dit werkt helaas echt zo. Als je pakketjes naar alle punten in het land stuurt en een Mule het laat ophalen zal de politie je echt niet vinden. Tenzij je zelf fouten maakt.
barbarbar @Cerberus_tm24 oktober 2022 20:28
De normale wachtwoorden zet ik altijd in bitwarden. De 2fa schakel ik op accounts zo veel mogelijk in met TOTP op de telefoon, en een backup van die aanmeldcode/secret gaat in een losse keepass kluis. Dus de 2fa en het wachtwoord staan nooit ergens in dezelfde kluis. Dus ook al wordt de kluis van bitwarden (die online toegankelijk is) ooit gekraakt op één of andere manier, dan nog zijn de meest belangrijke accounts veilig.
Cerberus_tm @barbarbar24 oktober 2022 20:36
Klinkt wel goed.
William_H @barbarbar24 oktober 2022 20:48
Je kunt inderdaadbeter de 2FA functionaliteit gebruiken van een andere app, dan die uit je wachtwoordmanager. Mocht het met die manager verkeerd gaan, dan houdt je de boeven op je belangrijke accounts nog tegen met de 2FA / TOTP app.
P_Tingen @barbarbar24 oktober 2022 22:02
Authy is een goede app om je totp codes mee te genereren, totp = totp en daar zijn er wel meer van, maar authy kan het ook backuppen en dat is verhipte makkelijk als je je telefoon een keer wil resetten
SirLenncelot @P_Tingen25 oktober 2022 06:46
Men is juist zeer kritisch op Authy omdat het de codes in de cloud opslaat. dat is wel makkelijk om de app op verschillende devices te gebruiken maar ook een risico voor eventuele lekken. Ik gebruik zelf daarom Raivo, die staat enkel op de telefoon maar kan wel een versleutelde backup maken.
Meessen @Akamatsu24 oktober 2022 19:11
Maar jij vertrouwt er dus op dat jouw netwerk beter beveiligd is dan die van een cloud wachtwoord manager.
Al ben je wel een kleiner/minder interessant doelwit.

[Reactie gewijzigd door Meessen op 22 juli 2024 15:04]

GekkePrutser
@Meessen24 oktober 2022 20:38
Met een cloud wachtwoord manager heb je er gewoon een extra 'attack surface' bij. Je eigen computer is immers ook nog steeds kwetsbaar (bijna alles heeft een lokale cache en je bent kwetsbaar voor bijv. keyloggers voor je master wachtwoord) maar de cloud is een extra plaats waar je data ook nog staat.

En ja die diensten zijn ook een groot doelwit inderdaad. Bovendien, buiten je wachtwoorden zelf kunnen ze aan datamining doen of gedwongen worden data af te staan door vijandige regimes waar ze opereren (denk aan China, Rusland). Of zelfs door westerse landen zoals Snowden heeft aangetoond.

Natuurlijk, tegen een nation state speler heb je als privepersoon geen afdoende beveiliging. Maar dit soort partijen gaat het ook meestal niet om jou als individu maar willen ze de data van iedereen als sleepnet hebben.
Blokker_1999
@Akamatsu24 oktober 2022 19:25
En noem nu eens 1 grote cloud based wachtwoordmanager waar het zo zwaar is misgegaan dat wachtwoorden van gebruikers gewoon op straat liggen?

Natuurlijk zijn er soms problemen gemeld, maar als je door de changelog van een Keepass gaat dan zie je daar evenzeer meldingen voorbij komen.

Zelf maak ik gebruik van bitwarden. Altijd mijn wachtwoorden bij de hand, ongeacht de PC waarop ik zit. Enkel toegankelijk met behulp van iets dat ik weet en iets dat ik heb, dus netjes met MFA. En als je het niet vertrouwt dan kan je het ook gewoon zelf draaien want de software is open source, net als keepass.
barbarbar @Blokker_199924 oktober 2022 20:24
Heb zelf bitwarden zelfs ingesteld met 3 factors, zonder ook maar ooit een wachtwoord te hoeven onthouden. Iets wat ik heb: usb-sleutel die een random lang ww in tikt. Iets wat ik weet: stukje wat ik aan dat wachtwoord moet toevoegen. Iets wat ik ben: 2de factor in bitwarden is een yubikey bio, dus sleutel ontgrendeld pas met vingerafdruk.

In dagelijks gebruik is het gelockt met windows hello, ook met 2fa ingeschakeld, op een laptop met bitlocker. Dus bij wachtwoord ergen ingeven of opzoeken is niks anders dan voor de windows hello webcam zitten en vinger op de scanner, beide in de laptop ingebouwd. En ik weet dat ik ten alle tijden overal bij de gegevens kan mocht het nodig zijn.
DaFeliX Developer @Akamatsu24 oktober 2022 20:44
Je kunt 't ook als onderdeel gebruiken, ipv het hele wachtwoord aan Dashlane toe te vertrouwen.

Als je een derde van 't wachtwoord in Dashlane zet, een derde in je eigen KeePass en en derde in je hoofd, ben je redelijk veilig. Iemand zal dan alle drie die zaken moeten kraken, voordat ze je wachtwoord hebben achterhaald, dat lijkt me best veilig :+
GekkePrutser
@Akamatsu24 oktober 2022 20:34
Voor mij ook, al gebruik ik geen KeePass (en ook geen BitWarden overigens). Helemaal self hosted.

[Reactie gewijzigd door GekkePrutser op 22 juli 2024 15:04]

Polderviking @Akamatsu25 oktober 2022 11:27
Je hebt gelijk hoor, maar Keepass ken je natuurlijk ook niet in absolute zin...
Het komt altijd neer op vertrouwen als je niet zelf de regels code maakt.
floppyhoesje @Akamatsu25 oktober 2022 12:55
Ik zou beginnen met het niet delen op het internet hoe jij je wachtwoorden "veilig" bewaard. Daarnaast is iets als een Yubikey een aanrader voor bv 2fa.
Arfman @Akamatsu25 oktober 2022 13:46
Bold of you to assume dat jouw beveiliging beter op orde is dan een bedrijf wiens core business het is om gegevens veilig ter beschikking te stellen ...
Rorymeijer 24 oktober 2022 18:37
Waarmee worden de kosten “verdiend” in dit “gratis” abonnement vraag ik me dan af.
Triblade_8472 @Rorymeijer24 oktober 2022 19:12
Is bij mij met Bitwarden ook zo gegaan. Eerst gratis om het uit te proberen.

Daarna betaald omdat ik er erg graag tokens in wilde hebben.

Het enige wat ik mis is het delen met mijn partner met een gratis account.
Blokker_1999
@Triblade_847224 oktober 2022 19:26
Tokens, als in MFA tokens?

Niet doen. Nooit je tokens en je wachtwoorden in dezelfde app zetten. Je haalt in 1 klap je MFA onderuit en zit in essentie terug op single factor authentication. Ja, die enkele factor is moeilijker om vast te krijgen, maar het blijft 1 enkele factor.
lenwar
@Blokker_199925 oktober 2022 00:45
Ik heb hier ook lang over nagedacht, maar ik ben toch echt tot de conclusie gekomen dat dit echt heel weinig uitmaakt. Ik ga nu even uit van TOTP-tokens.

Situatie 1:
Ik heb mijn wachtwoordkluis op m'n telefoon staan. Stel dat iemand die in handen krijgt, m'n telefoon weet te deblokkeren en toegang weet te krijgen tot die kluis, dan heeft die persoon zowel m'n wachtwoorden en m'n TOTP-tokens.

Situatie 2:
Ik heb m'n wachtwoordkluis op m'n telefoon staan. Ik heb ook m'n TOTP-app op m'n telefoon staan. Stel dat iemand m'n telefoon in handen krijgt, hem weet te deblokkeren en dan ook nog toegang weet te krijgen tot m'n kluis. Het enige dat dan nog nodig is, is toegang tot de TOTP-app. Als je al zo ver bent gekomen is het waarschijnlijk niet erg ingewikkeld meer om die te pakken.

En enige situatie waar 2 echt nog enige veiligheid toevoegt, is als wanneer je bijvoorbeeld alle biometrische verificatie van zowel m'n wachtwoordkluis als m'n TOTP-app uit heb staan. Maar laten de meeste mensen dat nou juist wel gebruiken.


Met situatie 1 heb je overigens wel degelijk meerdere factoren.

Factor 1. Het telefoontoestel zelf. Dit apparaat heeft componenten om 'geheimen' op te slaan. Je kan zonder het toestel te deblokkeren, redelijkerwijs niet bij de data op de telefoon *.
Factor 2: De PIN-code van het telefoontoestel (die de gelaatsscanner of vingerafdrukscanner deblokkeert)
Factor 3: Het wachtwoord op de wachtwoordkluis (en eventueel nog een key-file, maar die zal in de praktijk ook op de telefoon moeten staan). Iemand kan er voor kiezen om dit wachtwoord ook achter de gelaatsscan/vingerafdrukscan te zetten, en daarmee deze factor ongedaan te maken.


* Disclaimer bij Factor 1: Tenzij er een bug is die misbruikt wordt, maar als iemand al zo ver weet te komen, dan houdt niks die persoon tegen, want dan zijn ze echt HEEL veel moeite aan het doen om specifiek jouw accounts te achterhalen.


Op papier heb je gelijk dat het potentieel iets veiliger kan zijn om de TOTP-tokens in een gescheiden app te bewaren, maar dan moet je wel heel erg bewust andere toegangsmethoden gebruiken voor die betreffende app, en daarmee heel erg inleveren op gebruiksvriendelijkheid en onder aan de streep voegt het ook niet heel veel toe.

Zijnoot: Dit is ook de reden waarom banken hun internetbankieren app ook alleen maar laat beveiligen met een PIN (die later eventueel aan de gelaatsscanner of vingerafdrukscanner wordt gekoppeld). De installatie zelf is een geregistreerde installatie op een beveiligd geregistreerd platform. Ik kan niet een dump maken van app-installatie en die op een andere telefoon opstarten. Dat werkt niet. (als je een nieuwe telefoon krijgt, moet je een paar handelingen doen bij je internetbankieren-omgeving)
Triblade_8472 @Blokker_199924 oktober 2022 19:43
Ja en nee. Ik ben het met je eens, maar MFA is niet altijd een keuze. Dan maar zo. Hiernaast is het veiliger om het in 1 app te hebben, dan een publieke website met alleen username/password!

Trouwens, als MFA op je telefoon zit (als SMS of app) en je wachtwoord app zit daar ook dan heb je alsnog een single factor.

Er is altijd wel ergens iets op aan te merken.
MischaBoender @Blokker_199924 oktober 2022 23:27
Het is zeker niet single factor. Ook al weet iemand jouw verkeer af te luisteren of de website te hacken en jouw wachtwoord te achterhalen, dan nog kunnen ze er niet in als jouw MFA token in dezelfde password manager zit als jouw wachtwoord.

Echt voor zoveel mensen zou MFA zelfs met dezelfde password manager al zo'n enorm stap vooruit zijn in hun beveiliging.

Wil je het echt veilig doen dan moet je denk ik een losse telefoon 100% offline gebruiken voor alleen totp, waarvan je de codes op meerdere USB keys op slaat.
McBacon @Blokker_199925 oktober 2022 09:20
De login van een password manager kan zelf ook gewoon MFA hebben.
Herko_ter_Horst @Rorymeijer24 oktober 2022 18:44
Met de inkomsten van mensen die vanuit het gratis abonnement naar een betaalde variant overstappen. Dit is gewoon reclamebudget.
feuniks @Rorymeijer24 oktober 2022 19:23
Die worden verdient door mensen binnen te harken, omdat het gratis is. Dan zien ze (wellicht) dat het handig is en aangezien bijna iedereen meer dan een device heeft, willen ze dan dat ze de wachtwoorden tussen die devices kunnen synchroniseren. En dan komt dat betaalde abonnement vanzelf om de hoek kijken...
BramViking 24 oktober 2022 18:34
Fijn dat ze het gratis aanbieden. Blijf me er over verbazen hoevaak mensen dezelfde wachtwoorden gebruiken. Dan zegt men dat het anders moeilijk te onthouden wordt. Maar dat hoeft dus niet met dit soort software.
Littlemarc @BramViking24 oktober 2022 18:40
Klopt maar je maakt als het ware een nieuwe single point of failure.

Onderzoek na onderzoek toont aan dat gewoon een lang wachtwoord even moeilijk te kraken is als korte wachtwoorden met een leesteken, hoofdletter en cijfer maar IT blijft halsstarrig deze nare non-customer centric merkmethode toepassen. Dan krijg je dan zelfde WW voor alle applicaties of wachtwoorden opgeslagen in text op de desktop of de klassieke…op een post it naast het scherm 😉
Robbierut4 @Littlemarc24 oktober 2022 18:53
Klopt maar je maakt als het ware een nieuwe single point of failure.
Je gaat van 100 points of failure naar 1 point of failure. Lijkt mij nogal een vooruitgang. Tweakers staat vol met artikelen over datalekken en hacks. Allemaal een point of failure als je hetzelfde wachtwoord gebruikt.

Met een wachtwoord manager stap je over naar 1 (als het goed is zwaar beveiligd) point of failure.
zordaz @Robbierut424 oktober 2022 20:04
...en dat is in de meeste gevallen nog altijd vele malen beter als je gegenereerde wachtwoorden per site gebruikt dan het recyclen van wachtwoorden zonder een wachtwoord manager. Geloof me, dat laatste wordt nog altijd door velen gedaan.
lenwar
@zordaz25 oktober 2022 00:20
Sterker nog. Het is zelfs een beter idee om iedere keer een willekeurig wachtwoord voor een site te gebruiken en het wachtwoord überhaupt niet te onthouden, maar steeds de wachtwoordherstelfunctie te gebruiken.
(( en dan bedoel ik beter dan steeds het wachtwoord hergebruiken ))

Denk ook is aan hoe krachtig het wachtwoord van je e-mail adres is hiermee. Heel veel diensten hebben geen MFA van enige aard, maar hebben wel een geautomatiseerde wachtwoordherstelfunctie beschikbaar.
zordaz @lenwar25 oktober 2022 10:28
Interessante invalshoek :-)
Kan wel aardig bewerkelijk zijn, zeker omdat die herstelfunctie nogal verschillend kan zijn geimplementeerd.
lenwar
@zordaz25 oktober 2022 10:35
Vind ik ook, maar ik ken dus ook iemand die het op deze manier doet. Hij maakt bij iedere website gewoon een één of ander 'kat-over-toetsenbord'-wachtwoord maar slaat die vervolgens nooit op en neemt ook nooit de moeite om die te onthouden. Hij gebruikt "gewoon" altijd de herstelfunctie.

(( N.B. in de praktijk doet hij dit alleen voor sites die hij sporadisch gebruikt zoals kleine webwinkels, fora, enz. Z'n meestgebruikte wachtwoorden heeft hij in z'n hoofd zitten. Volgens mij gebruikte hij passphrases, maar dat weet ik niet zeker ))
Triblade_8472 @Littlemarc24 oktober 2022 19:08
Je moet naar sso e.d. toe.
Een goed wachtwoord met MFA voor alles. Kan je als beheerder ook in 1 klap alles dicht gooien indien nodig.
GekkePrutser
@Triblade_847224 oktober 2022 20:42
Ja maar hoe doe je zoiets in eigen beheer? Ik wil niet op elke website inloggen "Inloggen met Google" of Facebook, Microsoft, enz. Dat is gewoon absoluut geen optie. Ten eerste wil ik niet dat die diensten kunnen zien waar ik allemaal inlog. Ten tweede wil ik niet dat zij een achterdeurtje hebben tot mijn accounts.

Als er nu een federated identiteitsbeheer systeem was (waarbij je bijv. zelf een server kan hosten die voor jouw accounts aangeroepen wordt) dan zou dit wel kunnen maar technieken als OpenID zijn nooit echt van de grond gekomen.

Full passwordless webauthn met Yubikey + PIN is wellicht wel een optie maar de sites die dit ondersteunen zijn op de vingers van 1 hand te tellen en zelfs sommige browsers (Firefox bijv. op Linux en Mac) kunnen dit nog steeds niet, alleen op Windows.

[Reactie gewijzigd door GekkePrutser op 22 juli 2024 15:04]

lenwar
@GekkePrutser25 oktober 2022 00:28
Je haalt nu indirect een zeer belangrijk item aan, en dat is 'vertrouwen'. Wie vertrouw jij, met jouw accounts. Google/Microsoft/Facebook/wiedanook. Je geeft zelf aan een potentiele federated dienst. Maar welke provider vertrouw jij daar dan mee? Het is leuk dat het federated is, maar jij moet dan wel die softwareboer vertrouwen.
Je kan denken aan audits, maar die hebben Google/Microsoft/enz ook. Je kiest uiteindelijk je duivel met al dit soort systemen.

Ik denk zelf dat inderdaad webauthn met een Yubikey, of desnoods je telefoon als token dat dit wel een goede kans heeft. Dat is in de praktijk makkelijk te implementeren en makkelijk in gebruik. (ten slotte moet iedereen die snapt hoe je op een toetsenbord je naam kan schrijven het kunnen gebruiken). Het enige dat hier natuurlijk weer een zeer groot risico is, is dat wanneer die token stuk gaat. Dan hang je volledig. (en op het moment dat een dienst echt twee tokens accepteert ondermijnt dat natuurlijk heel erg de gebruiksvriendelijkheid en de veiligheid, want je zou die twee tokens nooit samen bij je moeten hebben, maar ze wel beiden continu in de gaten moeten houden, enz)
GekkePrutser
@lenwar25 oktober 2022 00:42
Je haalt nu indirect een zeer belangrijk item aan, en dat is 'vertrouwen'. Wie vertrouw jij, met jouw accounts. Google/Microsoft/Facebook/wiedanook. Je geeft zelf aan een potentiele federated dienst. Maar welke provider vertrouw jij daar dan mee? Het is leuk dat het federated is, maar jij moet dan wel die softwareboer vertrouwen.
Nee ik bedoel federated maar dan zelf de auth server voor mijn domein draaien. Ik wil geen enkele andere partij er bij betrekken.
Het enige dat hier natuurlijk weer een zeer groot risico is, is dat wanneer die token stuk gaat. Dan hang je volledig. (en op het moment dat een dienst echt twee tokens accepteert ondermijnt dat natuurlijk heel erg de gebruiksvriendelijkheid en de veiligheid, want je zou die twee tokens nooit samen bij je moeten hebben, maar ze wel beiden continu in de gaten moeten houden, enz)
Dat probleem zie ik niet zo eigenlijk. Ik heb meer dan twee tokens zelf, en dat ondermijnt helemaal geen veiligheid. Op sommige systemen heb ik wel 5 tokens aangemeld staan.

Vergeet niet: Er zit bij gebruik met Webauthn in volledige passwordless mode een PIN op, net zoals met je bankpas. Geef je die 3x verkeerd op dan wordt de token geblokkeerd. Zo onveilig is dat dus niet. Maar je hebt er wel meerdere nodig als backup.

Dit is even een heel ander verhaal dan als je Fido2 alleen als tweede factor gebruikt, wat de meeste sites doen, dan heb je inderdaad geen PIN nodig. Bij passwordless is de PIN dus zelf de tweede factor.

[Reactie gewijzigd door GekkePrutser op 22 juli 2024 15:04]

lenwar
@GekkePrutser25 oktober 2022 00:59
Ik wil geen enkele andere partij er bij betrekken.
Je moet de maker van die software toch vertrouwen? Open source en audits en dergelijke voegen niet veel meer toe dan audits van een derde partij. Sterker nog. Die derde partij zal in de praktijk veel meer know-how hebben dan jij en ik individueel of samen, om dit op een veilige goede manier te doen.
en dat ondermijnt helemaal geen veiligheid.
We hebben het hier over een generiek bruikbaar systeem dat voor iedereen, alle wachtwoorden zou moeten vervangen (dus van de minister-president tot juf Loes voor alle accounts, dus van je internetbankieren tot het forum voor kantkloshobbyisten of een één of ander lullig spelletje op je telefoon die perse een account wilt (even los van wat we daar van vinden) ).
Waar ik hier op doelde is dat je dan redelijkerwijs vaak al je tokens bij je moet hebben. Als je dat niet doet, dan heb je dus tijdelijk voor een bepaalde nieuwe dienst 'slechts' één token geregistreerd staan en dan moet je er thuis aan denken dat je je andere token ook nog moet registreren.

Dit is in de praktijk niet handig en domweg heel gebruiksonvriendelijk.

Uiteraard laat je idealiter je 'backup-token' altijd in een kluis liggen, enz, enz, enz, maar dat is niet praktisch als het echt voor al je dagelijkse dingen is.
GekkePrutser
@lenwar25 oktober 2022 01:04
Je moet de maker van die software toch vertrouwen? Open source en audits en dergelijke voegen niet veel meer toe dan audits van een derde partij. Sterker nog. Die derde partij zal in de praktijk veel meer know-how hebben dan jij en ik individueel of samen, om dit op een veilige goede manier te doen.
Software is een ding, een dienst is een tweede. Een dienst kan altijd aangepast worden zonder mijn toestemming. Ik draai veel liever software van iemand anders dan dat ik een dienst gebruik van iemand anders.
We hebben het hier over een generiek bruikbaar systeem dat voor iedereen, alle wachtwoorden zou moeten vervangen (dus van de minister-president tot juf Loes voor alle accounts, dus van je internetbankieren tot het forum voor kantkloshobbyisten of een één of ander lullig spelletje op je telefoon die perse een account wilt (even los van wat we daar van vinden) ).
Nou, voorlopig zijn we daar nog niet. Passwordless werkt nog op bijna geen enkele website. Voor mij is van de honderden sites Office 365 de enige die het kan. Laten we eerst beginnen met wat haalbare doelen ;)
Waar ik hier op doelde is dat je dan redelijkerwijs vaak al je tokens bij je moet hebben. Als je dat niet doet, dan heb je dus tijdelijk voor een bepaalde nieuwe dienst 'slechts' één token geregistreerd staan en dan moet je er thuis aan denken dat je je andere token ook nog moet registreren.
Daar hebben ze dus iets voor bedacht: Je kan die tokens laten syncen. https://fidoalliance.org/passkeys/ . Momenteel wordt dit vooral gepromoot door Apple. Dat vind ik prima, ik ga dat niet gebruiken (dan zit je weer aan een dienst vast) maar zolang ik zelf wel meerdere tokens aan kan maken dan vind ik het allemaal best. Of een software token op een andere manier syncen met mijn eigen systemen in plaats van die van Apple/Microsoft/Google enz. De mensen die big tech wel vertrouwen kunnen dan lekker gaan syncen en ik kan mijn eigen ding doen.

[Reactie gewijzigd door GekkePrutser op 22 juli 2024 15:04]

BramViking @Littlemarc24 oktober 2022 19:19
De single point of failure is de eindgebruiker. Als je al te laks bent om even een ander wachtwoord te verzinnen. Dan vraag je erom.
Skit3000 @BramViking24 oktober 2022 19:54
Dashlane zegt dat de meeste gebruikers gemiddeld zo'n 100 wachtwoorden hebben opgeslagen.
Dat zijn aantallen die je natuurlijk niet zelf kan onthouden, ongeacht hoe (niet) laks je bent.
BramViking @Skit300024 oktober 2022 19:57
Je haalt gebruikers van password managers met de mensen die daar geen gebruik van maken door elkaar, en dat laatste groepje maakt veel gebruik van dezelfde wachtwoorden. Dan ben je gewoon laks.
Littlemarc @BramViking24 oktober 2022 20:04
De gebruikers zijn nooit het probleem. Het probleem is dat IT geen customer centric oplossingen biedt. Mensen zoeken convenience en security….lever dat.
Skit3000 @BramViking24 oktober 2022 19:58
Die gewone gebruikers hebben dan toch ook zo'n honderd sites per persoon waar een wachtwoord nodig is?
jmvdkolk @Littlemarc24 oktober 2022 19:55
Helemaal waar. En toch, zelfs als IT het toestond om lange onthoudbare wachtwoorden te gebruiken, is een password manager een goed idee. Dit omdat het voor de meeste mensen ondoenlijk is om voor de 100-en accounts allemaal een lang wachtwoord te verzinnen, laat staan te onthouden.
GekkePrutser
@jmvdkolk24 oktober 2022 20:43
Precies en dan krijg je weer hergebruik... Wat weer een enorm probleem is met datalekken.
barbarbar @Littlemarc24 oktober 2022 20:33
Iets van 99,xxx% van de aanvallen kun je met een tweede factor oplossen. Op inmiddels de meest belangrijke accounts kun je wel TOTP inschakelen, daarvoor kun je vrijwel elke telefoon gebruiken. Op een aantal systemen in ons beheer hebben we wachtwoordeisen en reset eisen ook losgelaten (niet alle), omdat we met 2fa eigenlijk alle hackpogingen qua inloggen voorkomen.
Maverick2001 @BramViking25 oktober 2022 09:23
Het blijft een drama.. ik krijg altijd als reactie.. 'het is zoveel werk' of 'dat moeilijke gedoe heb ik geen zin in'. Mensen blijven stug hun vaste wachtwoord gebruiken en het lijkt ze allemaal niks uit te maken. Inmiddels zijn er ook prima browser oplossingen voor Chrome, Safari en Firefox (en veel meer) die het makkelijk maken om wachtwoorden op te slaan en zelfs dat slaan ze nog af. Het lijkt een heilloze missie.
Silent7 24 oktober 2022 18:25
Is het nou heel onverstandig om die (imho handige) chrome functie voor wachtwoorden te gebruiken voor niet kritieke dingen? Dat bevalt me uitstekend met een android telefoon en windows computers, heerlijk makkelijk bij bijna alles gelijk weer inloggen bij vervanging apparaat. Hoef alleen mn Google ww te onthouden en heb het idee dat het met de veiligheid wel goed zit met Google.
thierrybla @Silent724 oktober 2022 18:40
Ik weet niet hoe het vandaag de dag zit maar voorheen kon je wachtwoorden die in browsers opgeslagen waren heel makkelijk uitlezen (plain text). Hierdoor kon elke amateur met een basic virus al je wachtwoorden door sturen.
Silent7 @thierrybla24 oktober 2022 18:46
Ja dat had ik ook gehoord, daarom dat ik die vraag stelde, met zoveel experts hier op tweakers was dit nieuwsbericht de ideale kapstok om dat soort dingen boven water te krijgen.
thierrybla @Silent724 oktober 2022 18:48
Ah ja ik snap hem, Ik persoonlijk gebruik Vaultwarden op een Raspberry Pi (met encrypted cloud backup) alles lekker in huis, voelt een stuk veiliger.
Silent7 @thierrybla24 oktober 2022 18:51
:) ik houd van zinnen zo an "ZuchtABNmoetweer1wachtwoordstelletje!@#$%êrs" :D
lenwar
@thierrybla25 oktober 2022 11:49
voelt een stuk veiliger.
Maar 'is' het ook veiliger :) ? Vertrouw jij jezelf en je consumentenhardware in je consumentennetwerk (vertrouw jij al je apparaten die in je netwerk zitten bijvoorbeeld?) meer dan een bedrijf wiens bestaansrecht er van afhankelijk is om het veilig te houden.

Maar goed. Ik snap uiteraard je sentiment, maar ik zou oprecht niet weten wat nou echt de 'betere'/'veiligere' oplossing is. Er is denk ik niets algemeens over te zeggen.
thierrybla @lenwar25 oktober 2022 15:12
Ik persoonlijk vertrouw het. Maar ik snap dat niet iedereen de know-how heeft om dit te kunnen / om dit veilig te maken.

Wat wel een feit is dat ik als persoon veel minder een target ben dan deze grote bedrijven en dat opzichzelf is al gelijk wat veiliger.
chocomellover @thierrybla24 oktober 2022 21:04
Is vandaag de dag niet meer van toepassing voor Chrome / FireFox en Safari (Edge weet ik even niet)
Met die browsers is het veiliger om je wachtwoorden in de browser op te slaan dan een losse wachtwoordmanager te gebruiken, omdat een wachtwoordmanager altijd nog input moet leveren, terwijl de browser dit intern en beveiligd kan doen.

En eigenlijk is dit al een hele tijd zo.
De situatie die jij bedoelt is echt iets van 10 jaar geleden (of nog langer)
bjp @Silent724 oktober 2022 18:31
dan zit je ook aan Chrome vast.
sOid @Silent724 oktober 2022 18:31
Ik weet niet hoe dat met Android werkt, maar op iOS integreren 3rd party wachtwoordkluizen ook prima. Bitwarden/1Password kunnen prima automatisch de credentials invullen in Safari (en andere apps).
Silent7 @sOid24 oktober 2022 18:40
@bjp ja dat weet ik, maar die gebruik ik toch meestal al, merk dat ik zelfs libro office documenten langzaam in g-docs en g-sheets zet want het zoveel makkelijker om met een simpele login alles beschikbaar te hebben.
Dus @sOid voor niet kritieke dingen (bank etc) werkt chrome/google voor mij gewoon goed, wat is dan het oordeel an nog een extra account maken? De vrijheid een ander platform en/of browser te gebruiken waarschijnlijk.
lenwar
@Silent725 oktober 2022 00:17
De vrijheid een ander platform en/of browser te gebruiken waarschijnlijk.
Dat, maar dat ligt aan je gebruik natuurlijk. In de praktijk gebruikt (vrijwel) iedereen één browser op één platform per apparaat voor z'n dagelijkse ding.

Voor mij is het grootste voordeel van een 'externe kluis', dat ik al m'n 'geheimen' er in kan zetten. Ik gebruik zelf Enpass. Ik heb hier m'n wachtwoorden van websites in staan, maar ook licenties, een kopie van m'n zorgpas. M'n BSN, maar ook de BSNs van m'n kinderen, enz, enz, enz.
Die synchroniseer ik dan weer tussen m'n computer en m'n telefoon via m'n OneDrive en zo heb ik altijd al m'n data direct beschikbaar. Dit werkt voor mij ideaal.

Mijn vrouw heeft ook een Enpass kluis. Binnen enpass hebben we een vooraf gedeelde sleutel en we kunnen zo dus via onveilige methoden items heen en weer sturen, want Enpass versleuteld de data op een asynchrone manier. (ik kan dus zo'n item per Whatsapp/e-mail/airdrop/enz/enz versturen)
veltnet @lenwar25 oktober 2022 10:48
Het nadeel van een externe kluis met AL je geheimen: zodra hij gekraakt is ben de echt de pineut.
Persoonlijk ben ik van mening dat je een dergelijke kluis niet moet onderbrengen bij een bedrijf waarvan je d medewerkers niet kent. Het zou zomaar kunnen samenwerken met criminelen en/of foute overheden..
lenwar
@veltnet25 oktober 2022 11:00
Dat is zeker een ding.
Even los van het feit, dat als je een heel erg sterk wachtwoord op je kluis hebt en ook eventueel nog een key, die niet in de cloud staat (als je het goed doet ;) ) ze in de praktijk niet veel met de kluis zelf kunnen, en als ze echt HEEL graag jou willen hebben, dat daar makkelijkere manieren voor zijn te bedenken dan een brute-force proberen. Maar als ze eenmaal in die kluis zijn, dan ligt alles van jou als individu bij de betreffende kraker.

Zoals ik al elders in dit draadje heb gesponnen. Onder aan de streep is het 'vertrouwen'. Wie vertrouw jij met wat. Dit geldt zowel voor de software die je gebruikt als de apparaten die je in huis haalt en de externe diensten die jij gebruikt.

Onderstaande is even puur hypothetisch:
Stel dat je je wachtwoordkluis op een computer (van welke aard dan ook) hebt staan die aan het internet is verbonden, dan vertrouw jij er op dat het besturingssysteem niet eens in de zoveel tijd een kopie van jouw kluis opstuurt. In principe is alle communicatie van alle moderne besturingssystemen versleuteld. Het is voor jou vrijwel ondoenlijk om niet zeker te weten dat de wachtwoordenkluis van jouw telefoon/pc/enz niet eens in de zoveel tijd wordt geüpload naar weet ik veel wie. Vooral omdat die kluis slechts een paar MB is, en dat de apparaten die we gebruiken veelvouden hiervan op een ieder moment gebruiken.
Erik1337 @Silent725 oktober 2022 00:14
De Chrome functie is zeer veilig, E2E versleuteld met AES-256 encryptie en volledige eigen controle via elk apparaat.

https://support.google.com/chrome/answer/10311524?hl=en
mdoe 24 oktober 2022 19:28
Ben al jaren een tevreden gebruiker van Dashlane en heb sinds een jaar ook het Family abonnement. Dus op een kleine besparing na, zal ik weinig merken van van 6 naar 10 gebruikers. Vraag mij af of dat zo vaak gebruikt zal gaan worden.
gavinz 24 oktober 2022 21:43
Of je nou keepass lokaal heb of een wachtwoord manager beide brengt risico’s met zich mee. Een stukje gebruiks gemak speelt ook mee.

ik gebruik zelf c2 password i.c.m Apple’s ingebouwde wachtwoord manager. Overal waar het belangrijk is staat 2FA aan en een inlog melding.

Ook maak ik gebruik van verschillende mail adressen, webshops gebruik ik Gmail wat tegenwoordig de spam mail is, iets belangrijkere mail naar iCloud, en kritisch naar proton met daar ook nog login mail of contact mail.
Mausssie 25 oktober 2022 08:06
Vind het fijne software van Dashlane, maar snap niet waarom zij een tijdje terug de functie ‘Emergency Contact’ eruit hebben gesloopt.
Dit is wel iets wat ik echt mis.
Maverick2001 25 oktober 2022 09:15
Ik was tot 2 jaar terug heel enthousiast over Dashlane en gebruikte het zowel privé als zakelijk. Ze bleven echter maar rommelen aan de software en zeker op de Mac was de sotwarde niet meer stabiel, de browser plugin van Safari werkte op het laatst helemaal niet meer. Toen ze ook nog afscheid namen de Mac desktop software heb ik mijn Dashlane abonnement beëindigd. Na het testen van diverse password managers uiteindelijk gekozen voor Bitwarden. De UI van Bitwarden is misschien iets minder mooi maar qua functionaliteit ben ik nog geen betere tegengekomen.
Misschien wil Dashlane op deze manier weer meer klanten aan zich binden maar ik denk dat de concurrentie zoals o.a. 1Password en Bitwarden al veel verder zijn.

[Reactie gewijzigd door Maverick2001 op 22 juli 2024 15:04]

Martinus 25 oktober 2022 09:43
de klojo's gaan ze nu dit weer doen. Had ooit een abbo, life time pass for all (geen limiet aan app. of ww), om na 4 jaar te zeggen, nou we gaan je toch beperken... en toen was ik weg. Onbetrouwbaar wat dat betreft.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq