Bitwarden kondigt authenticatieapp aan voor Apple Watch

Bitwarden kondigt zijn authenticatieapp aan voor de Apple Watch en stelt een bètaversie beschikbaar via het TestFlight-programma van Apple. Met de app kunnen Premium-gebruikers inlogcodes opvragen voor tweestapsverificatie.

Het is nog niet bekend wanneer de app officieel verschijnt voor de Apple Watch. Bitwarden wil de app eerst testen en feedback verzamelen van bètatesters, schrijft het bedrijf. Om de app te kunnen bètatesten, hebben gebruikers naast een Apple Watch en de TestFlight-app ook een Premium-account nodig bij Bitwarden. De authenticatieapp is namelijk onderdeel van het betaalde abonnement van de wachtwoordmanager.

Met de authenticatieapp op de Apple Watch kunnen time based one-time passwords voor tweestapsverificatie opgevraagd worden. In plaats van dat gebruikers de app op hun telefoon moeten openen, kunnen ze de totp-codes direct aflezen vanaf hun smartwatch.

Op Reddit schrijft een Bitwarden-medewerker dat het de authenticatieapp in de toekomst ook naar andere smartwatches wil brengen. Onder andere Googles Wear OS wordt genoemd als mogelijk platform voor Bitwarden Authenticator.

Bitwarden is niet de eerste die een authenticatieapp naar de Apple Watch brengt. Microsoft heeft zijn Authenticator ook uitgebracht voor de Apple Watch, maar heeft besloten om deze begin deze maand stop te zetten.

Door Robert Zomers

Redacteur

Feedback • 22-12-2022 11:14
54 • submitter: TheVivaldi

22-12-2022 • 11:14

54 Linkedin

Submitter: TheVivaldi

Lees meer

Bitwarden neemt Zweedse start-up voor wachtwoordloos inloggen over Nieuws van 19 januari 2023
Microsoft stopt ondersteuning Authenticator-apps voor Apple Watch Nieuws van 9 december 2022
Apple brengt Oceanic+-duikcomputerapp uit voor Watch Ultra Nieuws van 28 november 2022
Spotify voert wijzigingen door aan interface Apple Watch-app Nieuws van 10 november 2022
KPN kondigt Multisim aan voor ondersteuning van 4G-versies van Apple Watch Nieuws van 31 oktober 2022
Meer producten en artikelen
Smartwatches Apple

Reacties (54)

-Moderatie-faq
54
54
28
2
0
26
Wijzig sortering
MrManuel
22 december 2022 11:17
Hier zat ik op te wachten! :)
Toppie, nu nog pushnotificatie waarbij ik akkoord kan klikken en het zou helemaal mooi zijn.
Eärendil
@MrManuel22 december 2022 11:29
Dat gaat niet werken met TOTP.
Bij TOTP hebben de server en de authenticatieapp allebei een geheime code opgeslagen (die staat in de QR-code), en wordt er op basis van de huidige tijd en die geheime code een getal gegenereerd. Er is geen communicatie tussen de server en de authenticatieapp.
MrManuel
@Eärendil22 december 2022 11:31
Voor mij zou het dan ook gaan om het automatisch invullen van TOTP tokens door bv de browser addon/app op je telefoon wanneer je accepteren klikt.

Mogelijk dat ik me nu een nieuwe feature heb verzonnen en dat ik dit niet eerder heb gebruikt bij LastPass en dat het bij LastPass inderdaad een andere manier dan TOTP was eerder.
hasseroderman
@MrManuel22 december 2022 14:35
https://2fas.com/ biedt wat jij zoekt.
guysp
@MrManuel22 december 2022 14:58
Je kunt in 1password je OTP opslaan bij je login en vult deze dan automatisch voor je in de browser als je wilt. Of kopieert ze bij een autofill op je telefoon naar het clipboard.
MrManuel
@guysp22 december 2022 14:58
Ik blijf graag bij BitWarden.
Rembert
@guysp22 december 2022 15:18
In Bitwarden kun je een gebruikersnaam en wachtwoord laten invullen door deze aan te klikken in Bitwarden. Bitwarden plaatst de TOTP code dan in de scrap, kortom je kunt dan meteen plakken.

En nee, ik wil zeker niet terug naar 1Password.
Masoud85
@Rembert22 december 2022 18:07
Wat is mis met 1password?
Ik gebruik het al jaren en ben er enorm tevreden over.
MischaBoender
@Masoud8522 december 2022 20:15
Mijn vermoeden is dat diverse mensen die hier een reactie plaatsen zelf BitWarden hosten. Dan ben je dus minder afhankelijk van een Saas dienst.
nehal3m
@Rembert22 december 2022 18:21
Dit is wel een betaalde feature geloof ik. Maar daar betaal ik met plezier die paar euro voor. :)
teek2
@Eärendil22 december 2022 14:07
BitWarden kan ook de TOTP tokens opslaan en automatisch invoeren. Of het dan not mulitfactor is is de volgende vraag natuurlijk.
Bonthouse
@MrManuel22 december 2022 11:23
Is dat niet een beetje de doodsteek van 2FA, de 2FA-moeheid?
Dan wordt het net als de cookiewall, iedereen die klakkeloos zonder goed te lezen maar op JA drukt.
Ik hoop dat dit niet zo'n gevalletje gaan worden waarbij gemak ten alle kosten van veiligheid moet winnen.
ExNomenDei
@Bonthouse22 december 2022 11:27
Als ik ineens een 2FA verzoek krijg zonder dat ik zelf ergens probeer in te loggen gaat er wel een belletje rinkelen. Je bent alleen met 2FA bezig tijdens een inlogactie zover ik weet. Dus ik denk dat dat niet vna toepassing zou moeten zijn.

Maar ja, misschien schat ik nu de gemiddeld persoon te hoog in, en is 'ja' drukken het enige wat in men op komt...
JDFS
@ExNomenDei22 december 2022 11:34
Helaas is dit bij het bedrijf gebeurd waar ik werk (is tijdje terug ook in het nieuws geweest). Iemand heeft op "Akkoord" geklikt bij een push-bericht van DUO en zo kon een kwaadwillende inloggen in alle cruciale systemen.

En we praten hier over mensen die een WO-papiertje hebben... Helaas schat jij de gemiddelde persoon te hoog in (ik heb hetzelfde) en nu zijn 'we' weer over naar handmatig 6 cijfers invullen.
darkpluisje
@JDFS22 december 2022 11:40
Hier hetzelfde, er zijn lastpass accounts waarbij er een aantal standaard gedeeld worden met meerdere medewerkers (die allemaal dezelfde toegang nodig hebben). Had iemand ook vrolijk zijn persoonlijke mail en duo login in gezet. Konden tientallen medewerkers (potentieel) bij al die persoon zijn gegevens. 8)7
hexeye
@darkpluisje22 december 2022 19:18
ik zou kijken of je een bedrijfsccount kan nemen zodat iedereen gewoon z’n eigen login heeft en je tussen die logins bepaalde wachtwoordcollecties deelt maar verder je eigen privé-collectie hebt. Dit soort accounts delen is vragen om ongelukken.
darkpluisje
@hexeye22 december 2022 22:39
Er zijn bedrijfsaccounts beschikbaar voor vaste medewerkers. Flexwerkers delen een aantal accounts met verder vrij onbelangrijke logins. Het is alleen niet de bedoeling dat ze daar zelf hun prive wachtwoorden in gaan opslaan natuurlijk ;)
RoRoo
@JDFS22 december 2022 12:13
Het is een nieuwe techniek inderdaad. MFA Bashing..
Er is altijd wel iemand die 's nachts wakker wordt van het gepingel van die telefoon en dan uit frustratie op akkoord drukt.
Daarom heeft bijv. MS nu toch die challenge er in gedaan dat je het getal op scherm op je toestel moet intypen. Werkt natuurlijk weer niet op mijn Apple Watch, maar is wel een flink stuk veiliger.
The Zep Man
@JDFS22 december 2022 13:46
En we praten hier over mensen die een WO-papiertje hebben... Helaas schat jij de gemiddelde persoon te hoog in (ik heb hetzelfde) en nu zijn 'we' weer over naar handmatig 6 cijfers invullen.
Als je duizenden werknemers tegelijkertijd aanvalt (bijv. via gelekte e-mailadressen) en je doet dat op maandagochtend 09:00 (iedereen druk-druk-druk bezig met inloggen), dan heb je altijd wel één of twee succesvolle logins.

[Reactie gewijzigd door The Zep Man op 22 december 2022 13:56]

PageFault
@JDFS22 december 2022 12:18
Dat gebeurde ook bij de belastingdienst: .geek: Tweaker ontdekte admingegevens Azure-ontwikkelomgeving Belastingdienst...
jcbvm
@JDFS22 december 2022 20:40
Dit is precies de reden waarom Microsoft nu een 2 cijferige code laat zien bij inloggen die je in de Authenticator moet intypen ipv alleen op akkoord te klikken. Vind ik op zich best een nette oplossing.
Blokker_1999
@ExNomenDei22 december 2022 11:35
En toch kan het gebeuren. Dat noemt men een MFA Fatigue attack. Als je bestookt blijft worden met die proimpts moet je maar 1 keer foutief klikken en de aanvaller is binnen. Daarom ook dat MS net gaat afstappen van de simpele pushnotificatie waarbij je enkel maar op goedkeuren moet klikken.
Zer0
@ExNomenDei22 december 2022 11:39
Uber: https://www.bleepingcompu...nerability-reports-stolen
Cisco: https://thestack.technolo...ice-phishing-mfa-fatigue/
Lampiz
@ExNomenDei22 december 2022 11:41
Number matching is hierbij een goede aanvulling. Hierbij moet je het nummer in het inlogverzoek bevestigen op je MFA-device.
Wat ook gaat meehelpen is dat ze bij Microsoft aan de Azure AD kant (eindelijk net als bij Google en Apple) nu meer data laten zien over het inlogverzoek (locatie en client). Number matching wordt volgens mij zelfs de default vanaf februari 2023: https://www.reddit.com/r/..._new_default_mfa_setting/
MrManuel
@Bonthouse22 december 2022 11:24
Het bevestigen op mijn telefoon als extra stap zie ik nog steeds als even veilig als een code overtypen die op mijn telefoon te lezen is. Althans dat is mijn idee erbij.
thijsjek
@MrManuel22 december 2022 11:33
Nou, ik meen me te herinneren dat een white hat hacker(Nederlandse tweaker) op GitHub ncredentials vond van iets met 2fa push. De betreffende medewerker accepteerde die push notificatie omdat hij dacht dat een collega die bezig was.

Moraal van het verhaal: 2fa push voor thuis gebruik prima, voor op het werk niet.

[Reactie gewijzigd door thijsjek op 22 december 2022 11:33]

MrManuel
@thijsjek22 december 2022 11:34
2FA delen voor op het werk lijkt me sowieso onwenselijk in wat voor situatie dan ook.
Shared admin accounts b.v. is sowieso af te raden om meerdere security redenen.
Carlos0_0
@thijsjek22 december 2022 11:56
Voor het werk is 2fa ook helemaal prima, je moet gewoon niet zomaar wat accepteren.
Als jij een melding krijgt iemand probeert in te loggen dus op jou werk account, moet je gewoon drukken op weigeren. het is jou account heeft de collega niks te zoeken.
Eagle Creek
@MrManuel22 december 2022 11:38
Het is een klein beetje theoretische discussie maar het "is" niet even veilig. Simpelweg omdat je bij het overtypen van de code actiever/bewuster een handeling uitvoert.

De evolutie van MFA is (en dan doe ik het kort door de bocht) gegaan van een challenge-response overtypen (denk ook aan de Rabobank/ABN Amro kastjes), naar een app waarbij je toestemming geeft om dit voor je te doen, naar een extra nummer in de app.

[Reactie gewijzigd door Eagle Creek op 22 december 2022 11:39]

MrManuel
@Eagle Creek22 december 2022 11:40
Mee eens dat het overtypen van een code een bewustere actie kan zijn dan het accepteren van een inlog melding. Maar omdat er mensen zijn die klakkeloos 'Accept' klikken bij een duidelijke inlog poging de feature maar verbannen lijkt mij ook niet wenselijk. Voor mij persoonlijk als gebruiker zou ik het fijner vinden en is het voor mijzelf even veilig, alleen wat gebruiksvriendelijker.
copi
@MrManuel22 december 2022 11:43
Misschien zit het hem meer in het pushen waardoor het risico bestaat dat men domweg authenticeert, op welke manier dan ook. Als je zelf de authenticate app moet openen dan doe je dat alleen als je zelf bezig bent met inloggen en er ws om gevraagd wordt. Volgens mij helpt dat meer dan om cijfers vragen, want mensen kloppen ook klakkeloos hun wachtwoord in op dubieuze websites of links.
bython
@Bonthouse22 december 2022 11:36
Klopt, dit kan ik alleen maar beamen.
Mijn ervaring met eindgebruikers is dat ze te makkelijk op Ja drukken zonder te beseffen wat ze goedkeuren.
Ik volg Microsoft vooral in het opzicht dat er op Ja gedrukt kan worden met een bijkomende verificatie nummer of symbool, en locatie waaruit dit werd aangevraagd etc.
Al is het zeker nog niet waterdicht, social engineering kan bepaalde gebruikers beïnvloeden om alsnog de stappen uit te voeren, denk aan een scam call bijvoorbeeld.

Het gebruiksgemak gaat enorm naar omhoog als je dit vanaf je watch kan aflezen, maar wat met een 'shouldersurfer'? Die kan je jouw wachtwoord zien ingeven en zou je watch 2FA inlogcode kunnen aflezen, uiteraard moet ie heel snel zijn, maar het is nog altijd een beperkte risicofactor. Voor de gemiddelde persoon zal het niet uitmaken, voor bedrijfskritische accounts of risico accounts zou ik persoonlijk zulke factors uitsluiten.
sOid
@Bonthouse22 december 2022 12:10
Ja, dat is een risico. Vandaar dat Microsoft ook number matching aan het invoeren is. nieuws: Microsoft breidt mfa-app Authenticator uit met number matching en mee...
SunnieNL
@Bonthouse22 december 2022 12:25
Nee, want in dit geval is het een TOTP code, geen popups.
Die 2FA moeheid ontstaat juist door popups die je krijgt waar je automatisch op JA gaat drukken. Bij TOTP tokens moet je de code overtypen. Die popups gaat microsoft dus uit de weg en eigenlijk draait Microsoft TOTP om. Zij gaan een code op het scherm tonen en die moet jij vervolgens overtypen op je apparaat. Dat laatste is op de Apple Watch niet mogelijk (blijkbaar), daarom trekken ze de app terug.

Ben benieuwd of Twilio Authy dit ook gaat overnemen van Bitwarden.
Polderviking
@MrManuel22 december 2022 11:59
Toppie, nu nog pushnotificatie waarbij ik akkoord kan klikken en het zou helemaal mooi zijn.
Dat veel van die autorisatie platformen dit ooit zo zijn gaan doen vind ik eerder een fout dan een verbetering. Gebruiksgemak krijgt daar toch wel erg veel gewicht tegenover veiligheid.
Het is veel te makkelijk om onbedoeld, in een vlaag van verstandsverbijstering of gewoon uit pure nalatigheid op JA te klikken bij die confirmation popups.

Stoor me er bij Google ook mateloos aan dat ze persé die popup pushen ipv dat ik gewoon voor TOTP kan kiezen.
Een code uit een app moeten halen en die ergens in moeten voeren is mijns inziens een vrij milde hoeveelheid extra werk en veel moeilijker te exploiteren.

[Reactie gewijzigd door Polderviking op 22 december 2022 12:22]

LightStar
@MrManuel22 december 2022 14:47
Geen iPhone toevallig ? Daar kan je ook totp tokens aan accounts hangen waardoor je in b.v. Safari enkel nog op het wachtwoord knopje hoeft te drukken en de rest gaat vanzelf ;)
MrManuel
@LightStar22 december 2022 14:55
Wel een iPhone :)
Maar gebruik het ook vooral op de browser/pc.
LightStar
@MrManuel22 december 2022 14:56
werkt het ook prima in met b.v. een chrome plugin.

Maar hier eigelijk enkel Apple zaken en dan werkt dat echt goed.
Djerro123
@MrManuel22 december 2022 14:51
WIj moeten voor een specifieke applicatie de app Duo gebruiken, en die biedt dat. ik gebruik het heel vaak.

Helaas heeft MSFT net besloten deze functionaliteit weer van hun Authenticator app te halen, ik vond het veel makkelijker dan telkens mn telefoon pakken, pincode in te toetsen, accepteren klikken etc de doen.
F-I-X
@MrManuel22 december 2022 18:00
Zelf gebruik ik de Lastpass authenticator.
Ideaal tegenwoordig, inloggen op je kluis zonder het masterpassword te moeten gebruiken.
Bij het openen van je kluis de pushmelding van de Authenticator app via mijn Samsung watch4 krijg en op de watch ook kan accepteren.
MrManuel
@F-I-X27 december 2022 15:24
Ja, ben van LastPass weg sinds de vorige breach, de laatste breach is nog erger, ook klantdata buit gemaakt.
jimzz
@MrManuel22 december 2022 20:06
Maar als je de TOTP functie van bitwarden gebruikt dan kun je ze gewoon automatisch laten plakken naar je klembord (dit kan nu al dus) even vinkje aanzetten en zodra je inlogt dan kopieert ie daarna gelijk je TOTP code naar t klembord, ctrl+v, cmd+v of whatever je plakken knop ook is. Werkt goed, ook op mijn telefoon. Ik weet niet of ie dat bij iOS ook kan, maar ik gok eigenlijk van wel!
DexterDee
22 december 2022 11:26
Ik ben benieuwd of dit ook gaat werken met Vaultwarden (het voormalige bitwarden_rs). Ik ben namelijk erg blij met Vaultwarden en zou voor deze feature zeker niet een premium abonnement willen afsluiten als 't niet hoeft. Het kunnen accepteren van 2FA challenges op je Apple Watch is wel heel handig, met DUO werkt 't in ieder geval lekker snel en gemakkelijk.
Yggdrasil
@DexterDee22 december 2022 11:54
Als je dit soort luxe features wilt denk ik toch dat je beter kunt betalen voor een Premium abo. De Bitwarden developers moeten ook hun brood verdienen en een Apple Watch applicatie aanbieden brengt ook extra kosten met zich mee.

Ik betaal zelf graag het vrij goedkope abonnement van Bitwarden om daarmee de ontwikkeling te steunen van een applicatie die voor mij zeer waardevolle gegevens bewaart.
Yucko
@DexterDee22 december 2022 13:34
werkt gewoon met vaultwarden hoor
brabbelaar
@DexterDee23 december 2022 13:47
Tot nu to is Bitwarden erg vriendschappelijk naar Vaultwarden. De apps laten toe naar je eigen server te wijzen en dan werkt het. Maar Vaultwarden implementeert zelf meen ik, het is niet 1 op 1 dezelfde code als Bitwarden.
stavius
22 december 2022 11:39
Blijf het op iOS storend vinden dat de app wel je wachtwoord autofillt met FaceID, maar 2FA nog niet. Zorgt er nu voor dat je alsnog Bitwarden op moet starten om de code te vinden, terwijl je effectief dezelfde veiligheidsstap doorloopt (FaceID). Weet niet of dit toch een veiligheidsoverweging is, of gewoon een ontwerpkeuze, vind het in ieder geval niet prettig werken.
ManiacScum
@stavius22 december 2022 11:45
Ik kan 2FA gewoon plakken, zonder dat ik Bitwarden apart moet openen op iOS (Ik gebruik welliswaar Vaultwarden maar dat zou het verschil niet moeten maken denk ik)

Dus bij een inlog geef ik aan dat ik Bitwarden wil gebruiken voor gebruikersnaam een wachtwoord, deze vult hij vervolgens, dan verschijnt 2FA en dan druk ik wat langer en kies 'plak' en daarmee plak hij de 2FA code.

[Reactie gewijzigd door ManiacScum op 22 december 2022 12:10]

stavius
@ManiacScum22 december 2022 12:00
Wauw, je hebt mij zojuist heel erg geholpen haha!
ManiacScum
@stavius22 december 2022 12:10
Graag gedaan ;)
DEVegg
@ManiacScum22 december 2022 14:20
En dat wist ik dus ook niet en vond het net als @ManiacScum strontvervelend. Dus ook van mij _/-\o_
Dennisb1
@ManiacScum22 december 2022 14:49
Ik kan dit inderdaad bevestigen, doe dit al tijden zo.
ErikvanStraten
22 december 2022 17:48
Cybercriminelen weten ondertussen precies hoe je accounts van mensen met gangbare MFA hackt, en bovendien hebben TOTP-apps (vaak onbekende) nadelen:

1) TOTP, ook met number matching, helpt niet tegen "evil proxy" phishing-aanvallen zoals afgelopen september op Github + CircleCi gebruikers.

2) Een viertal onderzoekers van de universiteit van Berkeley in Californië werken aan een publicatie getiteld "Security and Privacy Failures in Popular 2FA Apps" die al is geaccepteerd door de USENIX Security 2023 conferentie. De auteurs zijn Conor Gilsenan, Fuzail Shakir, Noura Alomar en Serge Egelman. Zij hebben 22 Android TOTP-apps aan de tand gevoeld, waaronder Google Authenticator, Microsoft Authenticator en Authy. In veel gevallen worden er géén back-ups gemaakt van de "shared secrets" (waardoor gebruikers niet meer kunnen inloggen na verlies van toegang tot hun smartphone), ofwel die belanden in een deel van de gevallen onversleuteld of zwak versleuteld op allerlei cloud-servers en deels zijn er andere privacy-issues.

Verwijzingen naar de laatste versie van die m.i. lezenswaardige publicatie, en mijn toevoeging dat TOTP niet helpt tegen "evil proxy" aanvallen, vind je in deze security.nl posting (van mij).

[Reactie gewijzigd door ErikvanStraten op 22 december 2022 17:49]

paradoXical
24 december 2022 01:27
Dankzij deze post mijn Windows VM met Bitwarden vanaf mijn desktop (virtualbox) verplaatst naar mijn 24/7 energiezuinige server. Bedankt, ga dit zo ook testen :)

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee