1Password start in de zomer met passkeys voor wachtwoordloze authenticatie

1Password gaat vanaf de zomer van dit jaar passkeys ondersteunen om wachtwoordloze authenticatie mogelijk te maken. Het bedrijf achter de wachtwoordmanager gaf vorig jaar nog aan dat deze ondersteuning 'begin 2023' beschikbaar zou komen.

1Password stelt dat de komende ondersteuning van passkeys niet op een beter moment kan komen, waarbij het bedrijf aanstipt dat aanvallen op basis van iemands credentials alleen maar vaker voorkomen en dat het in 2022 zeldzaam was dat er een maand voorbij ging zonder dat een bekende dienst of identiteit te maken had met een geslaagde aanval. In november vorig jaar zei het bedrijf nog dat de ondersteuning voor passkeys begin dit jaar zou volgen; het bedrijf zegt niet waarom dat kennelijk is uitgesteld tot de zomer.

Passkeys kunnen het gebruik van wachtwoorden vervangen, doordat ze werken met unieke digitale keys die lokaal op een apparaat worden opgeslagen. 1Password zegt dat de passkeys uitgaan van dezelfde beveiligingsbasis als de Secret Key, zonder dat een wachtwoord nodig is. De functie wordt ondersteund op meerdere platforms, waartussen passkeys gesynchroniseerd kunnen worden.

In mei vorig jaar werden passkeys geïntroduceerd door de FIDO Alliance. De feature moet wachtwoorden vervangen door de authenticatie van een apparaat zelf, zoals Face ID op iPhones of het scannen van vingerafdrukken.

Reacties (95)

wootah

10 februari 2023 09:16

Zoals de video het laat zien lijkt het bijna alsof er een gegenereerd wachtwoord/cryptografisch ID wordt opgeslagen in de apple keychain (of hoe ze het daar ook noemen)
Dus iedere keer dat je een moet inloggen gebruik je eigenlijk nog steeds een "wachtwoord". Apple cloud is wel eens eerder "gehackt", wat maakt dit nou dat het veiliger is, los van een heel slecht hoofdwachtwoord hebben?

MischaBoender @wootah • 10 februari 2023 09:38

Je slaat inderdaad een key op op je device, maar deze wordt nooit verstuurd naar de website / app waar je wil inloggen. Je krijgt per website / app 2 keys, 1 die geheime is en 1 die publiek is. Als je wil inloggen krijg je van de website / app een code die je moet versleutelen met jouw geheime key en met de publieke key kan worden gecontroleerd of jij die code hebt versleuteld. Daarmee bewijs je dus jouw identiteit zonder je "wachtwoord" in te geven.

The Third Man @wootah • 10 februari 2023 09:30

Dat men niet meer per dienst een eenvoudig wachtwoord heeft, of nog erger een standaardwachtwoord hergebruikt, Straatnaam75 of iets dergelijks. Dit is eigenlijk de vebeterde versie van met een keymanager per dienst een 20+ karakter random wachtwoord gebruiken. Het lost niet het risico op van de aanval op de keystore op, maar wel de zwakte van kortere zelfgekozen wachtwoorden per dienst.

kuurtjes @The Third Man • 10 februari 2023 12:08

Nu is het gewoon een veel langer random wachtwoord.

Raphire @kuurtjes • 10 februari 2023 14:23

Niet helemaal, websites hoeven met passkeys alleen een public key op te slaan. Dus zelfs als die gehackt worden is je passkey niet in gevaar, wat wel het geval is met wachtwoorden.

Verwijderd @Raphire • 10 februari 2023 15:54

Door Raphire:

Niet helemaal, websites hoeven met passkeys alleen een public key op te slaan. Dus zelfs als die gehackt worden is je passkey niet in gevaar, wat wel het geval is met wachtwoorden.

Als je, per webaccount, een uniek random gegenereerd wachtwoord uit een betrouwbare wachtwoordmanager gebruikt, en een website met jouw wachtwoord wordt gehacked, is dat wachtwoord jouw kleinste zorg.

De hackers hebben dan hoogstwaarschijnlijk gegevens van jou die je niet eenvoudig kunt veranderen, zoals jouw identificerende gegevens en wellicht andere vertrouwelijke data op die website.

Een enkel gecompromiteerd wachtwoord is zo gewijzigd.

En dat zou ik sowieso maar doen, want zoals ook bij MFA verwacht ik dat veel van de websites die (hopelijk) passkeys gaan ondersteunen, een zwakkere, alternatieve inlogmogelijkheid zullen bieden - nl. voor het geval dat jouw MFA code of Passkey om de een of andere niet (meer) werkt, door Microsoft (archief):

In Azure AD, a password is often one of the primary authentication methods. You can't disable the password authentication method. If you use a password as the primary authentication factor, increase the security of sign-in events using Azure AD Multi-Factor Authentication.

Zelfs als je CBA (Certificate Based Authentication) (archief) gebruikt, kunnen aanvallers alsnog met een good old password CBA bypassen:

• Password as an authentication method cannot be disabled and the option to sign in using a password is displayed even with Azure AD CBA method available to the user.

[Reactie gewijzigd door Verwijderd op 26 juli 2024 21:51]

Raphire @Verwijderd • 10 februari 2023 16:55

Als je, per webaccount, een uniek random gegenereerd wachtwoord uit een betrouwbare wachtwoordmanager gebruikt, en een website met jouw wachtwoord wordt gehacked, is dat wachtwoord jouw kleinste zorg.

De hackers hebben dan hoogstwaarschijnlijk gegevens van jou die je niet eenvoudig kunt veranderen, zoals jouw identificerende gegevens en wellicht andere vertrouwelijke data op die website.

Een enkel gecompromiteerd wachtwoord is zo gewijzigd.

Daar ga je wel uit van het feit dat men een wachtwoordmanager gebruikt en die ook daadwerkelijk de wachtwoorden laat genereren, helaas doet een grote groep mensen dat niet.

Daarom is (de belofte van) passkeys zo mooi: het systeem maakt de sleutels en slaat die op. De gebruiker kan geen slecht wachtwoord kiezen, en hoeft die ook niet te onthouden, die hoeft enkel op een knop te drukken en de rest gebeurt op de achtergrond.

Daarnaast kan je het wachtwoord ook niet meer perongeluk invullen op een phishing site o.i.d. Ook is een passkey voor toepassingen als encryptie (wat bij 1password het geval is) veel sterker dan de unieke wachtwoorden die wachtwoordmanagers genereren.

Dat alles is niet een enorm grote verbetering voor een oplettende tweaker die goede wachtwoorden laat genereren en die veilig opslaat. Maar het merendeel van de mensen zal er enorm van profiteren, omdat de ervaring leert dat veel mensen dat niet (goed genoeg) doen.

Hopelijk zien we een goede adoptie van passkeys die het makkelijk maakt om te gebruiken. Want mijn inziens dat is het grootste voordeel van passkeys: gemak en veiligheid.

En dat zou ik sowieso maar doen, want zoals ook bij MFA verwacht ik dat veel van de websites die (hopelijk) passkeys gaan ondersteunen, een zwakkere, alternatieve inlogmogelijkheid zullen bieden - nl. voor het geval dat jouw MFA code of Passkey om de een of andere niet (meer) werkt,

Zeker een goed punt, passkeys staat echter nog in de kinderschoenen. Zodra het breder beschikbaar is zullen we hopelijk het verdwijnen van wachtwoorden in ieder geval als optie zien.

[Reactie gewijzigd door Raphire op 26 juli 2024 21:51]

Verwijderd @Raphire • 10 februari 2023 17:15

Door Raphire:

Daar ga je wel uit van het feit dat men een wachtwoordmanager gebruikt en die ook daadwerkelijk de wachtwoorden laat genereren, helaas doet een grote groep mensen dat niet. Ook is een passkey voor toepassingen als encryptie (wat bij 1password het geval is) veel sterker dan de unieke wachtwoorden die wachtwoordmanagers genereren. En hoef je het niet eens te onthouden.

Dat zijn idd allemaal voordelen van passkeys.

Hopelijk zien we een goede adoptie van passkeys die het makkelijk maakt om te gebruiken. Want mijn inziens dat is het grootste voordeel van passkeys: gemak en veiligheid.

Bij elke nieuwe technologie zie ik uitsluitend voordelen opgenoemd worden, en later blijkt er toch vanalles tegen te vallen (zoals bij MFA middels TOTP apps).

Passkeys zijn niet altijd veilig en vendor lock-in ligt op de loer.

Door Raphire:

Zodra het breder beschikbaar is zullen we hopelijk het verdwijnen van wachtwoorden in ieder geval als optie zien.

Een probleem blijft altijd wat @Kampfimann als voorbeeld gaf. Of als werknemers hun smartphone thuis hebben laten liggen en "quick hacks" daarvoor een vereiste zijn.

Nb. ik ben gematigd positief over passkeys, maar "eerst zien" (ook de server-implementaties moeten grotendeels foutloos zijn, en het is best lastige materie). En Microsoft lijkt er nog weinig zin in te hebben.

Edit: typo in link gecorrigeerd

[Reactie gewijzigd door Verwijderd op 26 juli 2024 21:51]

Martin.Air @kuurtjes • 10 februari 2023 15:09

Helaas zijn er nog te veel plekken waar wachtwoorden niet te lang mogen zijn. Regelmatig zie je een limiet van 16 of 20 karakters.

Ik gebruik al jaren 'random' wachtwoorden die zo lang mogelijk en ingewikkeld mogelijk zijn, maar dit is zeker een beperking bij het gebruik van veel sites en diensten.

Zackito @The Third Man • 10 februari 2023 12:45

Voor webshops en andere sites die mij niks interesseren gebruik ik vaak een zelfde wachtwoord. Accounts die wel belangrijk zijn vrij uniek en hebben OTP.

Ik gebruik geen online password manager daar voel ik me gewoon niet veilig bij.

The Third Man @Zackito • 10 februari 2023 15:21

Tja is het dan wijs om op je gevoel af te gaan? Dat blijkbaar hergebruik van wachtwoorden geen probleem vindt zolang de sites je niet interesseren, maar een password manager onveilig vindt? Ik vind zelf better safe than sorry een beter principe.

Zackito @The Third Man • 10 februari 2023 15:59

Online passwordmanager*, kijk naar lastpass bijvoorbeeld, die zijn recent niet goed in het nieuws.

[Reactie gewijzigd door Zackito op 26 juli 2024 21:51]

The Third Man @Zackito • 10 februari 2023 20:18

Er zijn ook onveilige fietssloten, dat betekent niet dat alle fietssloten onveilig zijn. Of dat dan maar geen fietsslot gebruiken een beter idee is.

[Reactie gewijzigd door The Third Man op 26 juli 2024 21:51]

Zackito @The Third Man • 10 februari 2023 23:28

Je vergelijking klopt alleen niet, jij geeft je sleutel van het slot aan iemand die je niet kent maar er vanuit gaat dat zij de zaken op orde hebben en de sleutel veilig is.

trisje @The Third Man • 11 februari 2023 10:24

Paswoordmanager lijken idiaal maar zijn tegelijkertijd ook een doelwit van alle paswoorden onderscheppen.
Je hoeft immers maar een manier te vinden om de paswoordmanager uit te lezen met een virusje of script. Bovendien moet je die manager altijd paraat hebben. Op je mobiel, op je computer. Dat paswoorden geraden worden uit datebase lekken is waar. Dus gebruik gewoon verschillende paswoorden voor echt belangrijke site. Dat iemand paswoord van tweakers weet boeit me eigenlijk niet zoveel bv. Bank paswoord is wat erger maar ook niet zo heel erg, want die is ook weer gekoppeld aan een mfa en codes. Dus daar kom je ook niet zo maar in. Wat het meest irritante is van wachtwoorden is dat ze regelmatig veranderd moeten worden op sommige site. Want dat zou veiliger zijn.
Wat het juist onveiliger maakt. Omdat mensen makkelijker pEnaswoorden gaan verzinnen. Zeg nu zelf hoe lang denk je dat een hacker zal wachten als hij/zei het paswoord heeft. Een week, een maand ? 3 maanden. Je paswoord veranderen voegt in het geheel niets toe.

BasZer @trisje • 12 februari 2023 18:01

2 weg verificatie erop

blorf @wootah • 10 februari 2023 10:17

Het is ook zo. De andere optie is een fysieke "token" die je identiteit garandeert. Digitale beveiliging zonder wachtwoord vereist altijd een controlerende tak..

Verwijderd @wootah • 10 februari 2023 10:48

Dus iedere keer dat je een moet inloggen gebruik je eigenlijk nog steeds een "wachtwoord".
Zoals @MischaBoender uitlegt moet je het niet direct zien als 'wachtwoord' maar eerder uitwisseling van 'keys'. Dat is veiliger want je geeft dus niet direct je wachtwoord in plaintext aan de server. Verder is de 'key' gekoppeld aan een domein (correct me if im wrong) dus zal je niet eens een passkey aanvraag krijgen op een phishing site.

Apple cloud is wel eens eerder "gehackt", wat maakt dit nou dat het veiliger is, los van een heel slecht hoofdwachtwoord hebben?
iCloud dwingt volgens mij tegenwoordig MFA af en deze sleutels kan je niet zomaar van iCloud downloaden. Ze worden enkel gesynced tussen de secure enclave van je apparaten.

Dat gezegd, het is wel degelijk een zwakke schakel. Een die wel bewust is gekozen ten behoeve van gebruikersgemak.

Verwijderd @Verwijderd • 10 februari 2023 12:31

dycell schreef o.a.:

Apple cloud is wel eens eerder "gehackt", wat maakt dit nou dat het veiliger is, los van een heel slecht hoofdwachtwoord hebben?
iCloud dwingt volgens mij tegenwoordig MFA af en deze sleutels kan je niet zomaar van iCloud downloaden. Ze worden enkel gesynced tussen de secure enclave van je apparaten.

Dat gezegd, het is wel degelijk een zwakke schakel. Een die wel bewust is gekozen ten behoeve van gebruikersgemak.

Zeker, echter ook kunnen syncen naar devices van andere fabrikanten, zoals 1Password mogelijk wil maken, verkleint vendor-lock-in (je zit wel aan 1Password vast) maar vergroot de kans dat een aanvaller jouw database met private keys in handen krijgt - zodanig dat deze te misbruiken zijn.

Verwijderd @Verwijderd • 10 februari 2023 13:56

Het m.i. grootste risico hier is dat een aanvaller jou zodanig voor de gek weet te houden dat die aanvaller haar of zijn apparaat aan jouw iCloud-account weet te koppelen, en jouw keychain (o.a. wachtwoorden en private keys van passkeys) naar haar of zijn apparaat worden gesynchroniseerd.

Daar had ik nog helemaal niet aan gedacht en dat ligt ook helemaal in lijn van hoe ze nu phishingaanvallen uitvoeren. Daarna direct alle andere apparaten uit het iCloud account verwijderen en je komt nergens meer bij.....

Verwijderd @Verwijderd • 10 februari 2023 15:19

Het m.i. grootste risico hier is dat een aanvaller jou zodanig voor de gek weet te houden dat die aanvaller haar of zijn apparaat aan jouw iCloud-account weet te koppelen, en jouw keychain (o.a. wachtwoorden en private keys van passkeys) naar haar of zijn apparaat worden gesynchroniseerd.

Daar had ik nog helemaal niet aan gedacht en dat ligt ook helemaal in lijn van hoe ze nu phishingaanvallen uitvoeren. Daarna direct alle andere apparaten uit het iCloud account verwijderen en je komt nergens meer bij.....

Dat hoeft niet onmiddelijk.

Scenario: iemand staat "met pech" langs de weg en jij stopt, of op een parkeerplaats komt iemand naar je toe, of er belt iemand aan bij je voordeur:

Mijn auto is stuk en ik heb mijn telefoon thuis laten liggen, mag ik uw telefoon lenen om de ANWB te bellen?

De bedrieger loopt met jouw (ontgrendelde) telefoon naar zijn auto en belt met zijn kop onder de motorkap. Even later komt hij terug:

Sorry de verbinding viel weg en uw telefoon is weer gelocked, mag ik nog even bellen en wilt u deze svp ontgendelen?

Je ziet wat lijkt op jouw vergrendelde scherm en ontgrendelt opnieuw met jouw vingerafdruk of Face-ID.

De man gaat weer bellen bij zijn auto en geeft even later jouw telefoon terug (of rijdt ermee weg in zijn auto met gestolen kentekenplaten).

Als jij je smartphone hebt teruggekregen en meteen nergens meer bij kunt, moet de bedrieger zich haasten. De kans dat jij meteen gaat kijken of er mogelijk een extra device is gekoppeld, is zeer klein. Waarom zou je, die man zei toch geen telefoon bij zich te hebben?

M.i. zien maar weinigen in wat de risico's zijn van steeds meer authenticerende- (ook "absoluut") en betaalmogelijkheden in één multifunctioneel apparaat te stoppen.

Edits 15:24: diverse; ik had te snel op plaatsen gedrukt (op security.nl zit daar een -handige- preview knop)

[Reactie gewijzigd door Verwijderd op 26 juli 2024 21:51]

Verwijderd @Verwijderd • 10 februari 2023 19:34

Haha, ik zag het iets meer High-Tech voor me.
Een phishing link waarbij een onbewuste gebruiker op klikt, gepresenteerd wordt een apple inlogscherm en deze invult en redirect waar de pagina waar men dacht uit te zou komen (om geen verdenkingen te genereren). Dit scherm was eigenlijk om een nieuw apparaat te autoriseren.

Een voorbeeld van deze aanval wordt hier beschreven:
https://www.netskope.com/...e-middle-phishing-attacks

De toegevoegde telefoon wordt gevuld met gebruikers credentials (en passkeys) en ge-harvest. Dit kan tegenwoordig ook geautomatiseerd met open-source security toolkits.

Verwijderd @Verwijderd • 10 februari 2023 22:08

Een phishing link waarbij een onbewuste gebruiker op klikt, gepresenteerd wordt een apple inlogscherm en deze invult en redirect waar de pagina waar men dacht uit te zou komen (om geen verdenkingen te genereren). Dit scherm was eigenlijk om een nieuw apparaat te autoriseren.

Een voorbeeld van deze aanval wordt hier beschreven:
https://www.netskope.com/...e-middle-phishing-attacks

Dat noem ik een "evil proxy" aanval (dat doe ik sinds deze writeup - bron).

Een voordeel van passkeys is dat, indien er met een passkey wordt ingelogd (en de WebAuthn checks goed worden uitgevoerd), het voor aanvallers zeer lastig is om zo'n "evil proxy" aanval uit te voeren.

Maar je hebt zeker een punt: in het Apple "ecosysteem" kun je (als het goed is) geen passkey (noch een in de keychain opgeslagen wachtwoord) gebruiken om op jouw iCloud account in te loggen.

Immers, als je maar één Apple device hebt, en dat irreparabel stuk gaat en je een nieuw Apple device koopt, moet je de versleutelde back-up vanuit de iCloud op dat nieuwe device kunnen terugzetten (Apple probeert dat wel steeds beter te beveiligen, maar de eenvoud van de maatregelen spat er niet vanaf).

Ik betwijfel of Passkeys op Apple verstandig zijn als je maar één Apple device hebt (waarbij ik andere EOL Apple devices niet zou meerekenen). Want keychain back-ups zijn al geruime tijd E2EE, terwijl sinds kort alle data met E2EE geback-upped kan worden - iets wat niet eenvoudig te configureren lijkt.

Vergelijkbaar: ook op een Authy webaccount kan géén TOTP MFA gebruikt worden vanwege het probleem met de kip en het ei.

Details: in tegenstelling tot bij Google Authenticator worden er van de TOTP secrets van Authy wél back-ups gemaakt - naar servers van Authy. Zoals ik al vermoedde in de post waar die laatste link naar verwijst: authenticatie middels SMS volstaat om zo'n back-up in handen te krijgen.

Dus kan een SIM-swap aanval (bron) rampzalig verlopen voor een slachtoffer (zie ook deze subthread). De aanvaller kon zo de deels (met zwakke KDF) versleutelde TOTP database van het slachtoffer in handen krijgen - domino day dus.

Maar je hebt absoluut een punt; er zijn meerdere mogelijkheden voor aanvallers om hun device vanuit jouw iCloud-account met jouw secret credentials te laten vullen. En online kan grootschaliger dan in de fysieke wereld.

Verwijderd @wootah • 10 februari 2023 11:56

Apple cloud is wel eens eerder "gehackt", wat maakt dit nou dat het veiliger is, los van een heel slecht hoofdwachtwoord hebben?

Als je, per account, een lang random gegenereerd wachtwoord gebruikt, is een Passkey nauwelijks veiliger zolang je op de juiste website inlogt.

De m.i. belangrijkste reden om, per webaccount, een passkey (of ander WebAuth mechanisme, zoals een FIDO2 hardware key - met diens eigen nadelen) i.p.v. een sterk uniek wachtwoord te gebruiken, is dat je eenvoudig verleid kunt worden om jouw wachtwoord op een nepwebsite in te voeren, wat een passkey in de meeste gevallen onmogelijk maakt (zie ook de discussie direct daaronder).

[Reactie gewijzigd door Verwijderd op 26 juli 2024 21:51]

laptopleon @wootah • 11 februari 2023 19:16

Overigens,

Apple cloud is wel eens eerder "gehackt"

Wat ik er van begreep, is dat niet iCloud gehackt was, maar de ‘hacker’ de login te pakken had gekregen, door social engineering oftewel babbeltrucks. Toch echt iets heel anders.

Als ik me goed herinner was dit in de tijd dat je nog kon inloggen zonder mfa, of toen dat in ieder nog niet de default was; ik weet niet of je mfa uit kunt zetten bij iCloud toegang.

Verwijderd @wootah • 10 februari 2023 15:33

Dus iedere keer dat je een moet inloggen gebruik je eigenlijk nog steeds een "wachtwoord". Apple cloud is wel eens eerder "gehackt", wat maakt dit nou dat het veiliger is, los van een heel slecht hoofdwachtwoord hebben?

Passkeys worden niet in je keychain opgeslagen en dus ook niet in iCloud, maar op je apparaat.

stormbyte 10 februari 2023 11:58

It’s impossible to compute `Squirrel!` from `7Fb/z9cqyMwjysyTodjbec/` and the salt.

Het is heel lastig om te doen en het gaat best lang duren maar zeker niet onmogelijk.
En hoe meer data je hebt hoe beter de kansen.

Zou graag zien dat password manager stoppen met het zeggen dat iets onmogelijk is.
Het duurt gewoon te lang om rendabel te zijn om te kraken.

Berichten zoals hieronder zijn dan ( of het waar is of niet ) indicaties dat ze de tijd die het nodig heeft om encryptie te kraken nog steeds aan het verkorten zijn.

chinese_researchers_claimed_quantum_encryption

Voor nu zal het wel veilig genoeg zijn om dit te gebruiken.

biteMark @stormbyte • 10 februari 2023 17:07

In 2019, researchers published a paper [PDF] claiming that 2048-bit RSA integers could be factored in about eight hours … given a quantum computer with 20 million noisy qubits (meaning without the overhead of error correction and the like).

Als ik het artikel goed begrijp is het dus vooralsnog niet op grote schaal in te zetten en niet door amateur-hackers. Dit zal dan dus alleen door de staat en op beperkte schaal kunnen worden toegepast - alleen doelgericht op bepaalde personen/instanties dus. Niet dat dat nou minder zorgwekkend is op wereldniveau maar voor ons simpletons valt er voor nu nog niet zoveel te vrezen.

Verwijderd @stormbyte • 10 februari 2023 16:40

stormbyte schreef onder meer:

Berichten zoals hieronder zijn dan ( of het waar is of niet ) indicaties dat ze de tijd die het nodig heeft om encryptie te kraken nog steeds aan het verkorten zijn.

chinese_researchers_claimed_quantum_encryption

Voor nu zal het wel veilig genoeg zijn om dit te gebruiken.

Als aanvallers uit de public key van een Passkey de private key kunnen achterhalen, is de betrouwbaarheid van die passkey "gedaald" tot het niveau van een lang random gegenereerd (dus hoogstwaarschijnlijk uniek) wachtwoord.

Maar als dat lukt heb je waarschijnlijk grotere problemen.

911GT2 10 februari 2023 09:15

Edit: blijkbaar gebruik ik het niet goed of zijn de alternatieven nog erger. In ieder geval lijkt mijn eerdere kritiek niet terecht. Reactie is daarom aangepast.

[Reactie gewijzigd door 911GT2 op 26 juli 2024 21:51]

iRinze @911GT2 • 10 februari 2023 09:27

Waarom vind je het een draak van een programma?

zipb @iRinze • 10 februari 2023 10:07

https://1password.communi...61/secret-key-compromised

Een hele berg gecompromiteerde wachtwoorden wijzigen is een enorm gedoe, want het automatisch invullen op een webpagina werkt heel vaak niet, of half, afhankelijk van browser en site.

En dan het gezeur van dit karakter mag/wel niet, hoofdletters, minimaal dit etc.

Niet helemaal de schuld van 1password, maar erg vervelend voor de gebruiker.

[Reactie gewijzigd door zipb op 26 juli 2024 21:51]

Verwijderd @zipb • 10 februari 2023 11:15

https://1password.communi...61/secret-key-compromised

Dank voor die link! Duidelijk verhaal over lock-out t.g.v. beveiliging.

Een sterk punt van 1Password is dat er, naast jouw "master password", tevens van een -random gegenereerde- secret key op jouw device(s) gebruik gemaakt wordt.

Zels als je een wachtwoord gebruikt dat vóórkomt in password dictionaries (lijsten met gelekte of verwachte typisch door mensen gekozen wachtwoorden) is de kans verwaarloosbaar dat een aanvaller die jouw versleutelde database in handen krijgt, deze kan ontsleutelen - zoals recentelijk bij Lastpass breach wel het geval was (deze blogger, Wladimir Palant, heeft ook info over Bitwarden).

Een nadeel van zo'n "Device secret" is dat het lastig veilig uit te wisselen valt met andere devices (net zoals de private keys van passkeys, en dat je een vet probleem hebt als zo'n device secret in verkeerde handen valt (of een aanvaller haar/zijn device aan jouw cloud-account weet te koppelen waarna bijvoorbeeld jouw passkey-secrets en "key-chain" wachtwoorden automatisch naar haar/zijn device worden gesynchroniseerd).

Bovenstaande problemen zijn vergelijkbaar met TOTP-2FA middels o.a. Google Authenticator (zo'n 1Password "device secret" is effectief een soort tweede factor) indien je plotseling de toegang tot je (mobiele) device verliest en geen betrouwbare back-up van die extra factor(s) blijkt te hebben.

[Reactie gewijzigd door Verwijderd op 26 juli 2024 21:51]

911GT2 @iRinze • 10 februari 2023 09:29

Omdat de zoekfunctie niet lekker werkt onder andere maar ook de integratie met verschillende browsers is matig. waardoor je eigenlijk altijd zit te switchen tussen het programma en je browser.

Crack_david @911GT2 • 10 februari 2023 09:45

Ik heb problemen met de integratie met firefox, daar werkt de sneltoets niet, verder werkt het voor mij (mac en iphone) perfect. Ik ben na afgelopen jaar erg blij dat ik ooit overgestapt ben van lastpass naar 1password

Caelorum @Crack_david • 10 februari 2023 11:25

Ik had dat in firefox ook, maar je kan in firefox zelf de sneltoets veranderen (https://support.mozilla.o...tension-shortcuts-firefox). Bij mij conflicteerde die met die van de container extensie en van dat ding dus ook de sneltoets verandert.

Huppol @Crack_david • 10 februari 2023 13:42

Wat is voor jou een reden om 1password te gebruiken ipv icloud keychain? Ik vind persoonlijk keychain erg fijn werken, totdat je een andere browser dan Safari gebruikt.

Crack_david @Huppol • 11 februari 2023 11:48

Om het ook buiten de browser te gebruiken, andere dingen op te slaan dan alleen website accounts en gebruik over meerdere devices

laptopleon @Huppol • 11 februari 2023 19:23

Voordeel van wachtwoordmanagers, niet speciaal of alleen met 1PW, vind ik, dat je een veldje voor opmerkingen hebt. Ook is het veel makkelijker zoeken, groeperen, aparte kluizen maken, delen met anderen, meerdere url’s koppelen aan een login, wachtwoorden aanmaken met een randomiser-met-opties zoals laat /\€ weg.

Stukfruit @911GT2 • 10 februari 2023 09:44

waardoor je eigenlijk altijd zit te switchen tussen het programma en je browser.

Maar hoe voorkomt het gebruik van een
.txt-bestandje dat je niet hoeft te switchen?

Op een Mac is 1Password trouwens makkelijk te gebruiken via de zoekfunctie onder Cmd + Shift + Spatie. Dan hoef je niet tussen vensters te wisselen. Misschien is er voor de versie onder Windows ook zo'n shortcut beschikbaar?

[Reactie gewijzigd door Stukfruit op 26 juli 2024 21:51]

911GT2 @Stukfruit • 10 februari 2023 09:46

Ik heb een Mac, ik weet hoe het werkt (en hoe een Mac werkt) maar ik zal wel de enige zijn als ik de reacties zo lees.

Dus moet ik even zelfreflectie pakken hier.

Asitis @911GT2 • 10 februari 2023 09:52

Ik snap je frustratie wel, ik gebruik het ook al jaren als sysadmin en heb het ook voor al m'n collega's op hun machines geconfigureerd; het kan _heel_ frustrerend werken. Heb ook wel een paar pissige tickets hun kant op gestuurd, maar die worden altijd snel en goed afgehandeld.
Mijn eigen problemen met de browserextensie heb ik eigenlijk opgelost door enkel de webinterface en de browserextensies te gebruiken, en juist niet de desktop app. Die mist functionaliteit die de webinterface wel heeft en er gaat nog wel wat mis met de verwijzing van extensie naar app en terug..

biteMark @Stukfruit • 10 februari 2023 09:47

Ctrl + \

Caelorum @biteMark • 10 februari 2023 10:22

Dat is auto-fill. ctrl+shift+space is de quick access waarbij je snel kan zoeken in 1password.

en heel eerlijk gezegd denk ik dat @911GT2 zijn entries beter moet invullen in het programma als hij dingen niet kan vinden met bijv. quick access. De titels fatsoenlijk inrichten zal al helpen.

biteMark @Caelorum • 10 februari 2023 13:18

Ah dank, I stand corrected

readefries

@911GT2 • 10 februari 2023 09:40

Op welk platform zit je? Ik gebruik 1pw al jaren op Mac, Linux, Android en iOS en ik ervaar jou problemen helemaal niet.

nzall

@911GT2 • 10 februari 2023 10:22

Er is een browser extensie waarmee je je wachtwoorden kunt invullen. Het enige waar die extensie niet goed mee om kan is slecht ontworpen sites die de credentials vragen in een pop-up venster dat niet openblijft als je de extensie opent.

NoTimeRemains @911GT2 • 10 februari 2023 11:24

ik werk echt al jaren met 1password en ik herken me echt helemaal niet in jouw verhaal. Verschillende apparaten, Windows en Apple.

AddictIT @911GT2 • 10 februari 2023 09:32

Ik heb zelf over de jaren heen KeePass, LastPass, Enpass en 1Password gebruikt.
Zelfs even BitWarden, maar had geen zin om zelf de hosting te gaan verzorgen.

Ik vond 1Password veruit het beste werken, ook cross-platform (van iPhone/Mac tot Windows en nu zelfs op de CLI). Ook bij onafhankelijke tests kwam deze als een van de beste naar voor.

Nu begrijp ik dat veel van deze tests een subjectief kantje hebben, maar ik vraag me nu wel af wat je er zo slecht aan vindt dat je het zelfs een draak noemt?

La1974 @AddictIT • 10 februari 2023 10:36

Bitwarden kan je zelf hosten maar hoeft niet.

Ik heb jaren 1Password gebruikt maar ben overgestapt naar Bitwarden. Bevalt prima!

JDFS @La1974 • 10 februari 2023 10:37

Precies, na 2 jaar van self-hosting ben ik overgestapt terug naar Bitwarden Premium voor een tientje per jaar omdat ik niet puur op de server wil vertrouwen voor mijn backups.

xFeverr @JDFS • 10 februari 2023 11:17

Ik draai het op mijn NAS. Tijdens de verhuizing mijn NAS in mijn nieuwe woning gezet, maar die heeft daar een aantal dagen uit gestaan (de stroom moest er steeds af voor werkzaamheden aan de elektra). Ik kwam er pas achter dat mijn NAS uit stond toen ik een wachtwoord op wou slaan voor een webwinkel waar ik een toiletpot had besteld. Al die tijd bleef Bitwarden gewoon werken op al mijn apparaten en kon ik overal bij. Het werd pas een probleem als ik wijzigingen moest gaan doen.

Hoewel het niet expres was dat ik mijn NAS uit liet staan, heeft mij toch wel gerust gesteld. Ik heb mijn backups wel geregeld. Maar zelfs als alles fout gaat, kan ik nog bij de wachtwoorden op mijn telefoon, tablet en laptop.

- peter -

@AddictIT • 10 februari 2023 10:03

Ja idd, Ik gebruik 1Password op Mac, Ubuntu en Android, en t werkt zeer prettig. Enigste programma dat vrij consistent de wachtwoorden velden verrijkt met een suggestie.

laptopleon @AddictIT • 11 februari 2023 19:37

Heb er ook al diverse gebruikt door de jaren heen en 1PW is wel het meest gepolijst, maar ook een van de duurdere, € 36 / jaar voor een enkele gebruiker. Uiteindelijk gebruik ik het op de Mac ook weer niet voor heel veel méér dan sleutelhanger kan. Als die een veldje voor opmerkingen krijgt, hoef ik geen aparte ww-manager meer. Nu gebruik ik een ‘levenslang’ afgekochte versie van Enpass.

juakali @911GT2 • 10 februari 2023 09:28

Als je in mijn team zou zitten zou je een serieuze uitbrander krijgen.
Als je in information security zit weet je dat wat jouw acties de bron van hacks zijn.

Pasteis @juakali • 10 februari 2023 09:52

Als je in mijn team zou zitten zou je een serieuze uitbrander krijgen.
Als je in information security zit weet je dat wat jouw acties de bron van hacks zijn.

Ik ben het helemaal met je eens hoor, maar het is wel zo de realiteit dat wat 911GT2 zegt niet onderschat moet worden. Als het dusdanig belemmerend is voor je werkzaamheden zijn werknemers creatief om het te omzeilen.

Je kan hier twee dingen aan doen:
- Actief werknemers bewust laten maken van de gevolgen van hun acties (+ testen)
- Luisteren naar de signalen van de ongebruiksvriendelijkheid en dit prioriteit geven. (hoe kan je balanceren tussen veiligheid en gemak?)

Het is de natuur van de mens, de weg van de minste weerstand te zoeken. Dat het veiligheidsconsequenties heeft is natuurlijk niet de bedoeling, jij en ik snappen waarom je het nite moet doen. Maar een over grote deel van werknemers bij organisaties is daar misschien minder bewust mee bezig.

Frame164 @Pasteis • 10 februari 2023 10:07

Hoe onhandig het ook is, het rechtvaardigt nooit om op eigen houtje alternatieve oplossingen te gaan zoeken. Zelfs andere passwordmanagers die niet door IT worden ondersteund in een organisatie zouden not done moeten zijn.

Als je dat binnen een organisatie wel doet is er een nog een flinke professionaliseringsslag nodig.

vgroenewold @Frame164 • 11 februari 2023 08:35

En dat is, denk ik, hetzelfde als water naar de zee dragen. Dat heeft in mijn ervaring nog nooit echt wat teweeg gebracht, als het echt vervelend is voor een werknemer dan wordt het omzeilt. Dan werkt de uitstekende beveiliging juist niet dus.

Bender @911GT2 • 10 februari 2023 09:31

Ik ben ook geen fan van 1password, maar waarom gebruik je dan een txt bestand en niet een andere password manager? Dan is het in ieder geval geen nalatigheid.

911GT2 @Bender • 10 februari 2023 09:39

Ja goed punt. Ga ik doen.

Bender @911GT2 • 10 februari 2023 09:49

Ik had lastpass maar ben overgestapt naar Bitwarden, die kan ik je ook wel aanraden.

AB-Testing

@911GT2 • 10 februari 2023 09:25

Probeer eens om Hardware Acceleration uit te schakelen.
Aangezien dit ook electron is zal dat wel een groot verschil maken op devices zonder grafische power.

MischaBoender @911GT2 • 10 februari 2023 09:32

Draak van een programma? Ik ben benieuwd wat voor problemen je er dan mee ervaart.

Uchy @911GT2 • 10 februari 2023 09:33

Op mijn werk gebruik ik de zip-versie van keepassxc, doet het prima.
Firefox installeert ook met heel weinig rechten, dat werkt zo best prima.

Aganim

@911GT2 • 10 februari 2023 09:37

Wij zijn net van LastPass naar 1Password gemigreerd. Ik zie zeker wat nadelen: als je hun website gebruikt moet je om de haverklap opnieuw inloggen en het geknoei met secret keys maakt het instellen op meerdere apparaten bewerkelijk.

Maar op die twee na kan ik alleen maar zeggen: wat een verademing. Een bruikbare browserplugin, een API, Ansible modules en een CLI client die niet in de vergetelheid is geraakt maken mijn werk een stuk makkelijker.

Probeer te waarderen wat je hebt, want het kan altijd nog vele malen erger.

[Reactie gewijzigd door Aganim op 26 juli 2024 21:51]

m3gA @911GT2 • 10 februari 2023 09:59

Ik gebruik 1password en het is de meest gebruiksvriendelijke password manager die ik ken. Bijna alles gaat vanzelf.

ETH0.1 @911GT2 • 10 februari 2023 09:17

Wacht maar tot ze je overzetten naar Azure Key Vault, dat is pas echt om te huilen

Remc0_ @ETH0.1 • 10 februari 2023 09:29

En waarom gebruiken jullie Key Vault als Password manager? Normaal gesproken is dat om application secrets op te slaan zodat ze niet overal rondslingeren in config files etc.

iqcgubon @Remc0_ • 10 februari 2023 09:32

"Het zit toch in het abonnement en kinda-sorta werkt voor die use-case". -De gemiddelde architect hier bij ons.

!GN!T!ON @iqcgubon • 10 februari 2023 11:00

Ai, lijkt mij heel vervelend, klinkt als totale misbruik van Key Vault... Sterkte...

Yzord 10 februari 2023 08:56

Ok, en zonder biometrische tools? Yubikey?

Verwijderd @Yzord • 10 februari 2023 09:08

Ok, en zonder biometrische tools? Yubikey?

Yubikey is, vziw, geen biometrische tool.

Biometrische authenticatie zit steeds vaker in apparaten ingebouwd (met niet altijd hoge betrouwbaarheid).

Het dilemma is dat een gebruiker op een apparaat (met een OS en applicatiesoftware) indirecte toegang tot private keys moet hebben om van WebAuthn (FIDO2) gebruik te kunnen maken. Als een gebruiker dat kan, kan de software die zij of hij gebruikt dat ook - tenzij biometrie dat verhindert. Probleem: als software kwaadaardig is kan de gebruiker om de tuin worden geleid om de aithenticeren voor een ander doel.

Tweede dilemma: passkeys zoals van Apple zijn vendor lock-in, maar de kans dat private keys gekopiejat worden is grotere naarmate uitwisseling met meerdere (vooral verschillende) apparaten wordt ondersteund.

Gemak en security bijten elkaar vaak.

Edit 09:20: typo-fix en link toegevoegd

[Reactie gewijzigd door Verwijderd op 26 juli 2024 21:51]

Luchtbakker @Verwijderd • 10 februari 2023 09:27

[...]

Yubikey is, vziw, geen biometrische tool.

Biometrische authenticatie zit steeds vaker in apparaten ingebouwd (met niet altijd hoge betrouwbaarheid).

Zeker wel

https://www.yubico.com/products/yubikey-bio-series/

Verwijderd @Luchtbakker • 10 februari 2023 09:59

> Yubikey is, vziw, geen
> biometrische tool.

Zeker wel

https://www.yubico.com/products/yubikey-bio-series/

Je hebt gelijk, ze bestaan ook

Desondanks jammer:

using a fingerprint, with a PIN as a fallback.

Een PIN-code is zwak in de praktijk omdat mensen vaak hun postcode o.i.d. kiezen.

Bovendien wordt de sterkte van authenticatie ingebouwd in kleine devices vaak overschat (ik hoop dat deze Yubikeys een uitzondering vormen), Google maar eens naar:
site:syss.de usb
om te zien hoe o.a. Matthias Deeg allerlei biometrisch en met pincode beveiligde devices weet te hacken.

Aanvulling 10:05: en ook zo'n Yubikey helpt niet als software op jouw apparaat-met-scherm jou voor een ander doel laat authenticeren dan jij denkt (zie ook de recente KeePass discussie).

[Reactie gewijzigd door Verwijderd op 26 juli 2024 21:51]

niqck @Yzord • 10 februari 2023 09:05

Heb me opgegeven voor de beta dus hoop binnenkort meer te weten.

Om toegang te krijgen tot 1Password heb je sowieso al je username en "Secret Key" nodig samen met je paswoord en eventueel een 2FA optie (zoals een Yubikey). Om je keychain te unlock kan je afhankelijk van toestel biometrische opties gebruiken.
Handig lijkt me wel dat ik 1PW op al mijn toestellen heb dus alles (hopelijk) gesynct wordt.

.SnifraM @Yzord • 10 februari 2023 09:07

00:56 doet vermoeden dat een Yubikey ook mogelijk is. "External security key or built-in sensor"

[Reactie gewijzigd door .SnifraM op 26 juli 2024 21:51]

gielie 10 februari 2023 11:58

Leuk dat passkey maar er zijn nog verdomd weinig sites die dit gebruiken, ikzelf heb er nog geen 1 kunnen vinden die voor mij bruikbaar is, weet iemand hier een paar voorbeelden te noemen?

jicho @gielie • 10 februari 2023 12:59

Hier kun je wat vinden (lijstje bijgehouden door 1Password):
https://passkeys.directory/

En deze lijst schijnt ook te werken met passkeys (bron):

Best Buy
CardPointers
Carnival
Dashlane
eBay
GoDaddy
Google
Kayak
Nvidia.com
PayPal
Safari
WordPress

En... heb ergens gezien dat eBay en GitHub login ook zou werken.

Heb geen van allen kunnen testen, 'k wacht nog op de 1PW passkey ondersteuning. Beetje een kip-ei probleempje

[Reactie gewijzigd door jicho op 26 juli 2024 21:51]

gielie @jicho • 10 februari 2023 18:46

Helaas niks waar ik het kan gebruiken, Google is alleen op Android, eBay en Paypal is usa only. Ik wacht rustig af tot de mainstream dit gaat over nemen.

Gerard001a 10 februari 2023 11:42

Blijft mijn paswoordkluis van Keepass maar trouw .
Prima stukje software en zelf vind ik het heel fijn dat ze niet mee doen met het constant veranderen van het uiterlijk 👍of de basis om er mee te werken.
Mijn paswoorden staan gewoon als versleuteld bestand op mijn PC of of een stick om mobiel te zijn en ik vertrouw volledig op de encryptie van Keepass.
En met autotype zet Keepass, zowel mijn inlognaam alsook mijn wachtwoord neer op elke site waar ik wil inloggen.
En dat allemaal gratis ( donatie is vrijwillig) en dat al jaren.
Ben een tevreden gebruiker 👍😊 van Keepass en zie zelf geen meerwaarde van al die andere passwordmanagers.

oscarkortekaas 10 februari 2023 17:19

Wachtwoordloos is leuk maar let op als je op 1password 8 zit en IOS gebruikt, dat je niet je telefoon opnieuw instelt anders kan je FaceID niet meer gebruiken. Ben noodgedwongen terug gegaan naar versie 7 waarop het nog wel werkt. De onwtikkelaars geven aan dat het een bekend probleem is wat zover ik begreep in versie 8.9.8 opgelost zou moeten zijn.

https://1password.communi...ers-are-working-to-fix/p8

Martijntjeh 10 februari 2023 20:19

Goede zaak. Nu maar hopen dat websites passkeys massaal gaan ondersteunen.

mutley69 10 februari 2023 20:40

Hoe dikwijls moet ik nu nog herhalen dat biometrische eigenschappen een veel slechter idee zijn als basis voor de vervanging van wachtwoorden dan wachtwoorden zelf. Zo heel af en toe duiken er al drama's op - en het zal alsmaar toenemen. Blijf hier van weg.

Kampfimann 10 februari 2023 09:07

En als je nou je hand verliest?

memphis @Kampfimann • 10 februari 2023 09:17

Klonen? Nee, er zal naar mijn idee altijd een 2e optie mogelijk zijn. Sinds het bestaan van de vingerprint als bv Windows login weten we dat je je vinger kan beschadigen/verbranden en was er altijd al een normale password optie mogelijk.

Uchy @memphis • 10 februari 2023 09:32

maar ondermijnt die andere ww optie niet juist de 'extra veiligheid' van het vingerafdruk-inloggen? Nu kan je nog steeds gehackt worden als iemand het achterliggende ww weet.

TgR_KILLER @Uchy • 10 februari 2023 09:39

Neem aan dat die andere optie ook MFA heeft, dus wachtwoord + app goedkeuring of wachtwoord + mail link of wachtwoord + SMS code

Je kan alles 1000% veilig maken maar ja als je je vingers verbrand, of een sneetje hebt en een pleister dan kan je niet meer bij je eigen stuff, dat werkt ook niet natuurlijk.

Gewoon briefjes onder je toestenbord werken nog het beste vind ik

. Geen hacker die dat digitaal kan zien!

SirJesse93 @TgR_KILLER • 10 februari 2023 09:56

Wat fijn dat jij je collega's zo goed vertrouwd! Gebruik je dan ook overal dat ene wachtwoord dat onder je toetsenbord is opgeschreven, of heb je een stapel plaknotities onder je polsen?

memphis @SirJesse93 • 10 februari 2023 10:02

Je moest eens weten..... Heb jaren IMAC support gedaan en heb echt toetsenborden en randen van monitoren met post-it's volgeplakt gezien met wachtwoorden.

biteMark @Uchy • 10 februari 2023 09:55

Het mooie van inloggen met vingerafdruk of gezichtsscan is dat het de drempel verlaagd om je gegevens te beschermen. Neem bijvoorbeeld smartphones die je alleen kon beveiligen met een PIN-code: in die tijd waren er tal van mensen die hun telefoon dan maar gewoon niet vergrendelden, want irritant.

Raphire @Kampfimann • 10 februari 2023 11:42

De passkey zijn beveiligd met biometrische authenticatie, dat is echter niet perse de enige optie om erbij te komen. Zo ondersteunen fysieke yubikeys ook passkeys.

[Reactie gewijzigd door Raphire op 26 juli 2024 21:51]

Verwijderd @Kampfimann • 10 februari 2023 16:56

Door Kampfimann:

En als je nou je hand verliest?

Ik begrijp niet waarom jouw bijdrage als irrelevant of als ongewenst wordt gemod, want account-lock-out is een onderschat en groeiend probleem dat vaak extreem frustrerend is voor de mensen die ermee te maken krijgen.

Zie bijv. de bijdrage van @zipb elders op deze pagina (klik op de link naar 1Password die zij of hij geeft).

Of lees hier hoe je kunt worden buitengesloten van jouw met Google Authenticator beveiligde accounts, nadat je jouw smartphone op jouw auto heb laten liggen, deze eraf viel toen je wegreed en er een vrachtauto overheen reed - en je erachter komt dat geen van jouw MFA-secrets is geback-upped.

Daarnaast: hoeveel veiliger zijn passkeys dan wachtwoorden als je sowieso ook met een veel zwakkere authenticatiemethode kunt inloggen?

[Reactie gewijzigd door Verwijderd op 26 juli 2024 21:51]

Op dit item kan niet meer gereageerd worden.

1Password start in de zomer met passkeys voor wachtwoordloze authenticatie

Lees meer

Sterven wachtwoorden uit?

Reacties (95)

Lees meer

Sterven wachtwoorden uit?

Reacties (95)

Sorteer op:

Weergave: