Google Wachtwoordmanager kan wachtwoorden met partner of kinderen gaan delen

Erm... Een standaard 'kluis' is niet brand bestendig, dus mocht je wat overkomen door brand, zijn je papier ook het haasje (tenzij je de keys etst op metaal met een relatief hoge smelt temperatuur)...

Dat een bedrijf als bitwarden een gebruiker 'digitaal' als overleden wil kunnen verklaren

Ik ben klaarblijkelijk niet duidelijk, Bitwarden wil dit absoluut niet. Kun je mij vertellen hoe ik het kan verwoorden zodat dat duidelijk is?

Ik zou bij online diensten , zoals Bitwarden, willen instellen dat er na een paar maanden inactiviteit bepaalde acties ondernomen worden. E-mail vind ik prive, maar voor foto's heb ik bij Google ingesteld dat iemand anders er toegang toe krijgt als ik maandenlang niet actief ben. Dat is mij niet opgedrongen maar aangeboden en ik heb het met twee handen aangenomen.

[Reactie gewijzigd door 84hannes op 22 juli 2024 13:20]

Kan ik dat ergens terugvinden?

Nee, dat is mijn definitie. Op Facebook of een willekeurige webshop gebeurt het wel dat ik maanden niet inlog, maar als ik maandenlang niet bij Google of Bitwarden inlog dan ben ik met die dienst gestopt, bijvoorbeeld omdat ik hersendood ben.

Hoe sync je je passwords tussen VaultWarden/Bitwarden en Google dan?

Niet dat ik weet inderdaad, maar je kunt wel kopiëren en plakken natuurlijk.
Daar komt bij dat ik met meerdere browsers werk en Chrome niet de standaard is. Omdat ik wel in alle browsers Bitwarden heb draaien is dat dat altijd gesynchroniseerd.
Dat laatste de ik sowieso liever apart omdat browsers de neiging hebben om meteen alles te synchroniseren en dat wil ik dan weer niet.

Overigens kun je met KeePass(XC) dat wel met Auto-Type. In Bitwarden (nog) niet. Misschien hiermee, maar dat heb ik niet getest.

Ik snap je helemaal en ik ga ook niet mijn wachtwoorden in Google Password Manager zetten. Ik gebruik Bitwarden. Maar ook al is Google de grootste dataverzamelaar, zij hebben 0,0 belang bij jouw wachtwoorden. Dat is niet in lijn met hun businessmodel en ook niet met hun doelen als bedrijf. Je kunt daar een heel zwart doemscenario bij gaan bedenken, maar als je dat moet doen, snap je denk ik eigenlijk wel dat het inzinnig is. Ik denk dat Google er alles aan gelegen is dat die dienst zo veilig mogelijk is, want als daar een keer een breach is, zijn de rapen gaar.
En leuk dat en Luxemburgse overheid iets sponsort, maar je hebt natuurlijk net zoveel garantie op beveiliging als bij Google, Bitwarden en/of self-hosted oplossingen. Die laatste vind ik helemaal hilarisch, want je thuisnetwerk is natuurlijk zó gekraakt. Ik vertrouw het liever toe aan professionals dan dat ik het zelf ga doen. Als je eenmaal weet wat er allemaal mogelijk is...

en denk niet dat je geen target bent, want dat hoef je niet te zijn. Je werkgever kan dat zijn, een van je vrienden, een bedrijf waar je veel mee te maken hebt, noem maar op. Als ze de hele wereld kunnen besmetten met een virus om één Iraanse atoominstallatie plat te leggen, maak ik mij geen illusies over de beveiliging van mijn netwerk

Al die selfhosted opties zijn leuk zo op papier, maar als je hier niet in zit in technische zin in zit ga je hier gewoon niet aan beginnen en ik zou "gewone mensen" derhalve niet vermoeien met die optie.
Hell, ik heb een home server en zou dat in een handomdraai een docker kunnen opspinnen met bitwarden, en nog doe ik het niet. Terwijl ik het wel doe met bijvoorbeeld file en foto opslag. (nextcloud)

Er is geen enkele fundamentele reden tegen het gebruik van een cloud based password manager, die meuk staat allemaal versleuteld opgeslagen op die servers van ze. Het verdien model bij bijna grote providers zijn gewoon betalende klanten.
Zelfs als je vault uitlekt (hallo lastpass) is er niet direct stress omdat al die meuk client-side is versleuteld en je royaal te tijd hebt al je wachtwoorden aan te passen.

[Reactie gewijzigd door Polderviking op 22 juli 2024 13:20]

Ik wil bewust geen master keyfile -- een goede passphrase vind ik voldoende. En ik vind het prettig om de database vanaf Google Drive lokaal te hebben ergens zodat ik daar op terug kan vallen wanneer Google Drive for whatever reasons niet bereikbaar of beschikbaar is. Het is theoretisch mogelijk dat de lokale kopie van de database soms out of sync is met die van Google Drive, maar dat window is dermate klein dat het niet zo interessant is.

... en heeft het nog steeds voordeel om naar de bakker en slager te gaan, want groter assortiment en smaakt veel beter. En tegenwoordig ontlopen de prijzen elkaar ook niet heel erg om eerlijk te zijn.

Als op een dag de dienst waar je wachtwoorden opslaat niet meer bereikbaar is of je wachtwoorden niet (meer) exporteerbaar waardoor je niet kan overstappen, dan heeft dat er zeker mee te maken. Google is gewoon geen betrouwbare partner als je uitgaat van "het blijft wel werken".

[Reactie gewijzigd door The Zep Man op 22 juli 2024 13:20]

djwice schreef onder meer:

Dus ik denk dat een passkey ontsleutelen twee tokens nodig heeft: een lokaal (TPM) en een in Cloud.

Ik ga uit van één. Wat ik hieronder schrijf zijn sterke vermoedens, deze kunnen (deels) fout zijn: hang me er niet aan op.

Google bewaart per Android device een aantal secrets in wat zij, meen ik, hun HSM (Hardware Security Module) in de cloud noemen.

Ze zeggen daar zelf ook niet in te kunnen komen (dat geloof ik, maar niet dat ze die secrets niet op andere wijze kunnen achterhalen, want er zijn omstandigheden waarbij je zowel jouw Google cloud password als jouw device screen unlock key op één van hun websites moet invoeren - een beheerder kan daar dan in principe ook bij. En die beide secrets volstaan voor jou om passkeys en passwords naar een nieuw Android device te syncen, dus ook voor een Google medewerker).

Ik vermoed dat Google, per device, een (symmetrische) encryptiesleutel in hun "cloud-HSM" genereert en bewaart (ik heb bewijs dat deze sleutel zelf geheel onafhankelijk is van zowel jouw device unlock code(s) als jouw Gcloud wachtwoord).

Om die sleutel zelf veilig te kunnen transporteren, wordt deze versleuteld met jouw een tijdelijke sleutel afgeleid van jouw gcloud password en device unlock code. Daarmee kan deze, vanuit de cloud-HSM, naar een de "secure enclave" (TPM-achtig) worden getransporteerd, en daarin ontsleuteld en opgeslagen.

djwice schreef:

En dat synchroniseren dus ook alleen gebeurt als de device gekoppeld is aan internet.

Dat kan moeilijk op andere wijze

djwice schreef:

De lookup wordt wellicht op basis van domein+geldige response van de certificaat validatie? (staple?)

Het https servercert staat er los van. Vereenvoudigd:

• Als de domeinnaam in de adresbalk bijvoorbeeld exact google.com luidt of eindigt op .google.com, wordt op basis daarvan in de passkeydb gezocht of daarin een passkey voor google.com te vinden is.

• Zo ja dan stuurt de browser de bijbehorende user-ID naar de server (bij méér dan 1 krijg je eerst een keuze met welk account je wilt inloggen).

• Als er een passkey bestaat (public key in plaats van, of naast een wachtwoord, in de data van het account) op de server, stuurt de server een nonce (lang random getal) naar de browser.

• De browser neemt de volledige domeinnaam uit de adresbalk (zoals accounts.google.com) en pakt deze samen met de nonce en nog meer data in een record (of struct zo je wilt) en zet daar een digitale handtekening onder (gebruikmakend van de private key van de passkey). Dat ondertekende object stuurt de browser naar de server.

• De server checkt de digitale handtekening aan de hand van de public key. Als dat klopt checkt de server of er daadwerkelijk op de gegeven domeinnaam mag worden ingeogd: dat mag wel op accounts.google.com, maar niet op bijv. sites.google.com - waar (voorheen?) user pages op stonden.

• Als alles klopt stuurt de server een session token naar de browser waarmee de user is ingelogd "bij google" en vrijelijk naar bijv. "zijn of haar" passwords.google.com kan surfen.

djwice schreef:

Lastig wel dat je zelf geen backup kan maken, maar is inherent aan het model natuurlijk.

Ja, en dat betekent ook irritante vendor lock-in.

djwice schreef:

Maar uit GDPR heb je ook een inzage recht, dus theoretisch zou je kunnen vragen om de informatie.

Nee, want de secrets (private keys) zijn versleuteld met een sleutel waarvan Google claimt dat zij daar niet bij kunnen.

djwice schreef:

Anders wellicht dat team hierover informeren?

Dat users geen backups kunnen maken is by design (dit geldt ook voor iOS/iPadOS). Dat hoef ik hen niet te vertellen.

De bug die ik beschreef, en nog meer leed, is natuurlijk niet by design. De bug dat je na het drukken op Clear Data onderin https://chrome.google.com/sync heb ik "responsibly disclosed" aan Google op 11 juni 2023, met geen echte fix als gevolg - ook niet na meerdere keren navragen. Daarom bovenstaande opening van zaken, en zojuist heb ik ook een bericht op de Full Disclosure lijst gepost (dat bericht wacht op moderatie).

Ik vind het buitengewoon triest en amateuristisch hoe een partij als Google scheit heeft aan haar users (dit nadat zij aanvankelijk geen backups maakte van secrets in Google Authenticator - met als gevolg dat zeer veel gebruikers in de play store over account lockout klaagden na defect raken of verlies van hun smartphone).

Tenzij dus een groep mensen dat doet. En het gedrag van de school meldt bij de AP. Want je eigen persoonsgegevens matig beveiligen is tot daar aan toe, maar kinderen zijn nog niet beslissingsbevoegd en zouden dus extra moeten worden beschermd tegen fouten van anderen die gevolgen kunnen hebben voor hun toekomst.