Proton brengt eigen wachtwoordmanager Proton Pass in gesloten bèta uit

Proton heeft een wachtwoordmanager uitgebracht. Proton Pass is een wachtwoordmanager die naast credentials en totp-codes ook notities en aliassen kan opslaan. Een volledige kluis wordt vervolgens met end-to-endencryptie versleuteld. De functie komt eerst in een gesloten bèta uit.

Proton noemt de wachtwoordkluis Proton Pass. Dat wordt een feature die binnen de pakketten van Proton wordt aangeboden, maar het bedrijf zegt niet of er ook een gratis variant beschikbaar komt. gebruikers kunnen in de wachtwoordmanager wachtwoorden en gebruikersnamen opslaan, maar ook Time-based One-Time Passwords en notities. Daarnaast is het mogelijk om Aliases op te slaan. Dat is een feature die Proton vorig jaar introduceerde, waarbij gebruikers een alternatief e-mailadres kunnen gebruiken om hun oorspronkelijke adres te verbergen.

Opvallend aan de wachtwoordmanager is vooral dat de hele kluis met end-to-endencryptie is versleuteld, in plaats van alleen de wachtwoorden, zoals bij de meeste wachtwoordmanagers het geval is. Wat dat voor gebruikers in de praktijk zal betekenen, is moeilijk te zeggen. Mogelijk wordt de wachtwoordmanager daardoor trager. Bovendien betekent het dat de kluizen op één plek moeten worden opgeslagen, wat het aanvalsoppervlak kan vergroten. Volgens Proton betekent die versleuteling dat een aanvaller geen metadata kan achterhalen, zoals op welke sites een gebruiker een account heeft.

Proton Pass gebruikt bcrypt als hashalgoritme en gebruikt de Secure Remote Password-standaard voor authenticatie. Proton schrijft in een blogpost dat individuele items ook nog versleuteld worden met een extra sleutel, waardoor een potentiële aanvaller met de masterkey niet in alle gevallen alle wachtwoorden kan achterhalen tijdens een man-in-the-middleaanval. Het bedrijf geeft voor nu weinig details over de versleuteling, maar zegt dat de code later wel open source beschikbaar wordt gesteld. Bovendien valt de wachtwoordmanager onder het bugbountyprogramma van Proton.

De dienst is voor nu alleen te gebruiken als gesloten bèta. Daar wordt een willekeurig aantal gebruikers voor uitgekozen. 'Later dit jaar' moet de dienst publiek beschikbaar komen. De manager is beschikbaar voor iOS en Android en als browserextensie voor Chrome en Chromium-browsers. Een Firefox-extensie is er momenteel nog niet, omdat Mozilla die volgens Proton nog niet heeft goedgekeurd.

Proton Pass

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 20-04-2023 17:01
23 • submitter: Munchie

20-04-2023 • 17:01

23

Submitter: Munchie

Lees meer

'Ons doel is een privacyecosysteem'

4 nov 2022

'Ons doel is een privacyecosysteem'

Proton-ceo Andy Yen over privacy en big tech

71
Proton stelt eigen wachtwoordmanager beschikbaar via F-Droid-appwinkel
Proton stelt eigen wachtwoordmanager beschikbaar via F-Droid-appwinkel Nieuws van 22 april 2024
Proton Mail gaat betalende klanten waarschuwen voor datalekken op het darkweb
Proton Mail gaat betalende klanten waarschuwen voor datalekken op het darkweb Nieuws van 22 april 2024
Proton maakt Proton Pass-wachtwoordmanager beschikbaar voor Windows
Proton maakt Proton Pass-wachtwoordmanager beschikbaar voor Windows Nieuws van 1 maart 2024
Proton introduceert Proton Mail-desktopapp voor Windows en macOS
Proton introduceert Proton Mail-desktopapp voor Windows en macOS Nieuws van 14 december 2023
Proton Drive krijgt functie om back-ups van foto's te maken in Android-app
Proton Drive krijgt functie om back-ups van foto's te maken in Android-app Nieuws van 7 december 2023
Proton introduceert macOS-app voor versleutelde Proton Drive-cloudopslagdienst
Proton introduceert macOS-app voor versleutelde Proton Drive-cloudopslagdienst Nieuws van 23 november 2023
Proton begint securityprogramma voor accounts die meer beveiliging willen
Proton begint securityprogramma voor accounts die meer beveiliging willen Nieuws van 17 augustus 2023
Proton brengt Windows-app voor versleuteldecloudopslagdienst Proton Drive uit
Proton brengt Windows-app voor versleuteldecloudopslagdienst Proton Drive uit Nieuws van 12 juli 2023
Proton maakt wachtwoordmanager Proton Pass beschikbaar voor alle gebruikers
Proton maakt wachtwoordmanager Proton Pass beschikbaar voor alle gebruikers Nieuws van 28 juni 2023
Wachtwoordmanager in Chrome krijgt ondersteuning voor notities
Wachtwoordmanager in Chrome krijgt ondersteuning voor notities Nieuws van 9 juni 2023
Proton voegt ondersteuning voor beveiligingssleutels toe als extra 2fa-optie
Proton voegt ondersteuning voor beveiligingssleutels toe als extra 2fa-optie Nieuws van 14 oktober 2022
Protonmail verstrekt IP-adres van activist na bevel Zwitserse autoriteiten
Protonmail verstrekt IP-adres van activist na bevel Zwitserse autoriteiten Nieuws van 6 september 2021
Meer producten en artikelen
Beveiliging en antivirus Privacy Proton Proton Drive ProtonMail

Reacties (23)

-Moderatie-faq
23
23
10
1
0
10
Wijzig sortering
vespino 20 april 2023 17:25
Wil je dat eigenlijk, je wachtwoord én TOTP in één systeem? Ik dacht dat het altijd was "something you are", "something you know", "something you have".
AuteurTijsZonderH Nieuwscoördinator @vespino20 april 2023 17:32
De winst van überhaupt geen 2fa hebben naar welke vorm dan 2fa dan ook is al 95%. Die overige 5% zit dan in waar je je totp-token opslaat, of je sms of een yubikey gebruikt etc. Best practice is om het natuurlijk te scheiden maar ik zou het altijd nog aanraden boven helemaal geen 2fa te gebruiken.
- peter - @vespino20 april 2023 17:27
Idd, ik gebruik altijd een aparte app op mijn mobiel naast 1Password. Snap ook niet dat ze dat promoten.
BlaDeKke @- peter -20 april 2023 19:04
Je kan toch enkel in 1pass op een vertrouwd apparaat. Je moet anders heel die grote key + je hoofdwachtwoord + je email opgeven. Als je zorgvuldig omgaat met die grote key moet men toegang hebben tot je apparaten. Of ze moeten binnenbreken in je woning om die afgedrukte key te bemachtigen.
Ferruginous Hwk @- peter -20 april 2023 19:24
Dus nog steeds alles op hetzelfde device? Dat is ook niet scheiden.
Ik gebruik voor het meeste gewoon de totp in mijn passwordmanager. De belangrijke accounts gebruiken een yubikey.
- peter - @Ferruginous Hwk20 april 2023 19:30
Ik gebruik 1password vooral op desktop, en dan tokens mobiel.
Sublimity @vespino20 april 2023 17:29
Nee, dit komt de security van je accounts niet per se ten goede. De "something you know" en "something you have" factoren worden gecombineerd; met alleen een wachtwoord heb je toegang tot beide.

Overigens: als jouw wachtwoord kluis beveiligd is met TOTP, dan heeft een aanvaller die in jouw kluis kan komen hoogstwaarschijnlijk ook toegang tot de andere TOTP codes voor je individuele account. Heeft je kluis geen TOTP of MFA, dan moet je sowieso even evalueren of dat zo handig is ;)
nandervv @Sublimity20 april 2023 17:40
Niet alleen een wachtwoord, je moet een wachtwoord hebben + toegang tot iemands laptop. Dat is in principe een vorm van 2fa. Net als je met een bankpas je pasje + pincode nodig hebt.

Een wachtwoordmanager op zichzelf is dat nog niet, omdat je het wachtwoord zou kunnen overtypen, en dan kan iemand erin.
Baardmeester @vespino20 april 2023 20:58
Ja, maar het is altijd beter dan geen 2fa. Een aanvaller die een account van je wilt kraken zal toch zowel aan je wachtwoord als je totp moeten komen ook al staan die in dezelfde kluis. In het geval dat ze je kluis kraken ben je natuurlijk wel de sjaak. Ik zou zeggen zet in ieder geval bij je belangrijkste accounts zoals bank en email de seed niet in dezelfde kluis.
Polderviking @vespino20 april 2023 23:29
Je wil het eigenlijk apart. Maar ik werd dusdanig wous van de hoeveelheid totp tokens in mijn app dat ik die milde hit in security voor lief neem.
CyBeR @vespino21 april 2023 05:17
Zoals gezegd: voor optimale beveiliging wil je het apart. Als je het samen doet kan iemand die achter jouw computer zit inloggen (als je ww manager ontsleuteld is, of als die persoon daar het ww van weet). Of je daar een probleem mee hebt moet je zelf afwegen.

Maar zelfs je ww en TOTP codes bij elkaar bewaren heeft wel degelijk nog gewoon zin voor het grootste gevaar, namelijk dat je ww uitlekt (vanwege een lek bij de dienst bijvoorbeeld, of succesvolle phishing) en dat iemand anders remote, zonder jouw medeweten, kan inloggen. Die komt dan de 2fa-vereiste tegen en komt dan niet verder.
MartSB @vespino21 april 2023 08:33
Het is inderdaad niet ideaal, maar het is zeker fijn dat de gebruiker al gewoon de keuze krijgt om óf wachtwoorden óf TOTP-codes op te slaan bij Proton. Niemand is verplicht beide in te voeren in de manager...

Keepass heeft ook de optie om wachtwoorden en TOTP-codes op te slaan. Heb al meermaals gelezen dat er mensen zijn die twee kluizen aanmaken, één voor de wachtwoorden, één voor TOTP. Ook niet perfect, aangezien de 'what you know' nog steeds een 'what you have' is.

Security is als een ajuin: wachtwoorden en TOTP-codes gescheiden houden is gewoon een extra laagje.
Cyb 20 april 2023 17:33
Opvallend aan de wachtwoordmanager is vooral dat de hele kluis met end-to-endencryptie is versleuteld, in plaats van alleen de wachtwoorden, zoals bij de meeste wachtwoordmanagers het geval is.
"Opvallend" is datgene wat juist niet opvallend zou moeten zijn, maar juist vanzelfsprekend zou moeten zijn. Online wachtwoordmanager die metadata niet end-to-end encrypten, zou je zowel qua privacy als security moeten wantrouwen, vooral bij een product als een wachtwoordmanager, waar encryptie vanzelfsprekend is. Het feit dat sommige wachtwoordmanagers (zoals Lastpass) dat niet doen, wekt de suggestie dat ze bepaalde interesses hebben in je metadata.

Mooi dat Proton ook in deze markt stapt.
supersnathan94 @Cyb20 april 2023 17:58
Ja! Dat viel mij dus ook direct op. Like what? Dat is nieuw? Hoe dan?
jcbvm @supersnathan9420 april 2023 18:27
Inderdaad.. en zo nieuw is het niet. Bitwarden encrypt ook alles
memsys @Cyb20 april 2023 19:51
Precies dit! Het is eerder opvallend dat het NIET de standaard is ondanks dat het dat wel zou moeten zijn.
BiaggioLuciano 20 april 2023 18:52
Uhm ik gebruik nu gewoon de standaard Apple versie, want die werkt wel prima. Misschien dat ik super-cruciale wachtwoorden back-up, maar ik kan eigenlijk geen reden zien om over te stappen denk ik. Die kluis encryptie klinkt leuk, maar het lijkt me meer dubbel dan efficiënt.

Wat ik niet goed begrepen heb, en excuseert mij als ik het fout heb, maar is de one-time password een vervanging voor Authy of is dat alleen voor de wachtwoorden in de kluis? Want als TFA systeem lijkt me dit wel mooi.
TuxDePinguïn @BiaggioLuciano21 april 2023 11:49
Je zal niet de eerste zijn die toegang tot z’n account van een big tech bedrijft verliest, en zeker ook niet de laatste.

Daarnaast werkt Apple Keychain voor zover ik weet alleen op Apple apparaten en alleen als je met je iCloud account bent ingelogd op dat apparaat.

Ook ondersteunt Apple Keychain geen TOTP (of andere vorm van 2fa).
OttoRocketman 20 april 2023 17:31
Fijn dat niet alleen de wachtwoorden geëncrypt worden maar de hele kluis. Sinds het LastPass fiasco ben ik erg op m'n hoede, daar werden website URL’s bijvoorbeeld niet geëncrypt. Ook mooi dat de code open source beschikbaar wordt gesteld, geeft weer extra vertrouwen.
Blacklight447 20 april 2023 18:19
Eerste indruk is positief.
maevian 21 april 2023 11:51
heb ook een betaald account bij proton en heel erg fan van hun diensten, maar heb toch graag een aantal dingen gescheiden te houden
Khalid!! 21 april 2023 16:14
Ik gebruik Samsung Pass en dat is perfect
Kvibe 21 april 2023 19:52
Voor mij niks beters dan Bitwarden. Al jaren zeer tevreden.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq