Bitwarden gaat tweetrapsauthenticatie via e-mail afdwingen

Bitwarden gaat tweetrapsauthenticatie afdwingen voor gebruikers die dat nog niet ingeschakeld hebben. Die moeten voortaan bij het inloggen op een nieuw apparaat ook hun login verifiëren via e-mail. Volgens het bedrijf achter de wachtwoordmanager is dat veiliger.

Bitwarden zegt in een blogpost dat het dat nieuwe beleid 'ergens in februari en maart' gaat invoeren. Het gaat om een beveiligingsmaatregel die geldt voor gebruikers die nog geen tweetrapsauthenticatie hebben ingeschakeld via bijvoorbeeld totp-apps of fysieke beveiligingssleutels.

Zij moeten zich in de toekomst extra authenticeren via e-mail. Dat gebeurt als ze inloggen op een nieuw apparaat. Daardoor zouden de meeste gebruikers weinig moeten merken van de verandering, zegt het bedrijf. De extra authenticatie gebeurt via een eenmalige code die gebruikers naast hun masterwachtwoord moeten invoeren.

De verandering geldt alleen bij de clouddienst en niet voor gebruikers die de dienst zelf hosten. Bitwarden waarschuwt gebruikers dat zij hun credentials voor e-mail het beste niet kunnen opslaan in hun Bitwarden-kluis als ze geen andere vorm van 2fa hebben ingevoerd. Er komt geen opt-out, waarschuwt de dienst.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 05-02-2025 20:20 70

05-02-2025 • 20:20

70

Lees meer

Google brengt Android-app als snelkoppeling voor Wachtwoordmanager uit
Google brengt Android-app als snelkoppeling voor Wachtwoordmanager uit Nieuws van 21 augustus 2025
KPN gaat sms-tweetrapsauthenticatie verplichten voor alle accounts
KPN gaat sms-tweetrapsauthenticatie verplichten voor alle accounts Nieuws van 24 juli 2025
Bitwarden heeft sdk-licentie weer aangepast naar publieke GPL 3.0-licentie
Bitwarden heeft sdk-licentie weer aangepast naar publieke GPL 3.0-licentie Nieuws van 25 oktober 2024
Bitwarden maakt gebruik van sdk met niet-vrije licentie in client - update
Bitwarden maakt gebruik van sdk met niet-vrije licentie in client - update Nieuws van 22 oktober 2024
Bitwarden brengt authenticatorapp voor 2fa uit
Bitwarden brengt authenticatorapp voor 2fa uit Nieuws van 2 mei 2024
Bitwarden laat gebruikers passkeys opslaan in zijn wachtwoordmanager
Bitwarden laat gebruikers passkeys opslaan in zijn wachtwoordmanager Nieuws van 2 november 2023
Bitwarden maakt gebruik van fysieke beveiligingssleutels niet langer betaald
Bitwarden maakt gebruik van fysieke beveiligingssleutels niet langer betaald Nieuws van 28 september 2023
Meer producten en artikelen
Beveiliging en antivirus Bitwarden

Reacties (70)

-Moderatie-faq
70
70
45
1
0
21
Wijzig sortering
theeck 5 februari 2025 20:42
Nou dan is het exit BW. Ik gebruik hem namelijk om in te loggen op mijn mail :-( Dus dat word een kip en ei probleem.
Blokker_1999
@theeck6 februari 2025 07:40
Bitwarden hoort ofwel je wachtwoordkluis te zijn ofwel je OTP kluis te zijn, niet alle twee tesamen, dan ben je namelijk al slecht bezig. Daarnaast kan je perfect goede recovery opzetten van je email adres zonder dat je daarvoor je bitwarden nodig hebt. Mijn primaire mailbox is zelfs volledig wachtwoordlood opgezet, maar als ik daar niet meer in kom heb ik recovery opties.
rjd22 @Blokker_19996 februari 2025 11:43
Dit is niet helemaal correct. Bitwarden kan zowel je wachtwoord en otp kluis zijn zolang je hem maar beschermt met een otp die je weer in je bitwarden kluis stop en netjes de recovery codes uitprint.

Doordat de bitwarden kluis zowel een wachtwoord als een otp vereist is dit gewoon veilig genoeg voor de meeste gebruikers maar nog steeds eenvoudig in gebruik wat heel erg belangrijk is voor security.

Het bewaren van je otp's op een enkel apparaat maakt het gebruik voor veel gebruikers te omslachtig waardoor ze otp's gaan vermijden. Terwijl die juist het meest belangrijk zijn. Je riskeert ook nog eens makkelijk alle otp's kwijt te raken. Wat heel vervelend kan zijn als je er meer dan 30 hebt (zoals ik).
carpcatcher @theeck6 februari 2025 08:23
Zo besefte ik na de branden in LA dat, als alles zou afbranden, al mijn wachtwoorden een vorm hadden zoals mX7@pLz#92!dQvY (voorbeeld). Dit is onmogelijk te onthouden. En met de verplichting om ook nog MFA toe te passen, zou ik feitelijk buitengesloten worden
Ghoelian @carpcatcher6 februari 2025 08:36
Je hebt toch gewoon een master password die je of uit je hoofd weet, of ergens veilig hebt opgeslagen (in een brandkluis bijvoorbeeld)? Als je dat niet hebt ben je al niet helemaal goed bezig.
CultFreak @Ghoelian6 februari 2025 09:24
Je kunt hem zelfs opgeven bij je uitvaartverzekering. En hopen dat die niet gehackt wordt.
daily.data.inj @carpcatcher6 februari 2025 10:36
Om die reden ben ik recent overgestapt naar passphrases i.p.v. dat soort wachtwoorden.

https://bitwarden.com/nl-...den-passphrase-generator/
PaulHelper @daily.data.inj6 februari 2025 16:26
Heeft het effectief veel nut en daarnaast kan het?
Zelf eerst met alle nieuwe inlog overgegaan op NHBbgeks83!)#+nsh. Maar zou toch liever wachtwoordzin en willen. Jammere is dat de meeste websites/services per se speciale tekens etc willen ipv rauwe entropy. Hierdoor moet ik wel zulke gekke of een wachtwoordzin met mijn eigen twist voor speciale karakters die ik dan toch weer niet onthoudt.
Voor sommige logins heb ik wel wachtwoordzinnen vooral die ik vaker nodig heb maar uit ervaring onthoud ik die toch niet. Als ik echt wil zou dat kunnen maar hiervoor heb ik mijn (externe) backups.
daily.data.inj @PaulHelper6 februari 2025 17:06
Waarom zou het niet kunnen? De passphrases worden opgebouwd uit:
- woorden (aantal zelf te kiezen)
- beginnend met een hoofdletter
- optioneel een cijfer toevoegen
- scheidingsteken selecteren

Dan krijg je dus dit bijvoorbeeld gegenereerd:
Crafty*Opal*Enviable*Borrower4.
(is niet het wachtwoord van mijn account :+)

Lijkt mij qua entropy aan de meeste/alle voorwaarden te voldoen, met het voordeel dat het enigzins te onthouden is of handmatig in te vullen.
PaulHelper @daily.data.inj6 februari 2025 18:11
Zeker qua entropy goed maar ik zou dit dus echt al zeer vervelend willen voor mij is dan het voordeel van zinnen een beetje weg want crazy met Hoofdletter C en sterretje... Is niet echt lekker.
Ik snap het idee maar zelf ga ik hier gewoon erg slecht op.
Als de services gewoon entropy vooraan zetten ipv een of ander kunstmatig idee doormiddel van afdwingen dan zou ik daadwerkelijk zinnen kunnen gebruiken die oke zijn. Hoe de services dat precies moeten doen durf ik niet te zeggen. Bijvoorbeeld als langer dan 18 tekens dan zal het en is 1 speciaal karakter of - genoeg samen met all lower case of wat voor variant je wil. Kun je dan 18 x dezelfde letter doen ja puur met dit wel dus daar moet je nog wel wat edge cases voor verzinnen maar met een beetje werk kun je dit wel werkbaar maken. En vaak hoeft een Library of achtergrond service het te doen en de bedrijven alleen maar die service gebruiken en dan mogelijk een vinkje aan of uit.
Jazco2nd @theeck5 februari 2025 20:45
Dit heeft vrijwel geen betrekking op jou als je al gewoon zoals elke BW gebruiker met gezond verstand gebruik maakt van een Authenticator app.
mbe81 @Jazco2nd5 februari 2025 22:13
Bitwarden is mijn Authenticator app. Ik vind het best onhandig dat ik speciaal voor toegang tot Bitwarden nog een andere Authenticator app heb…
Bartmanz @mbe815 februari 2025 23:15
Ik hoop dat je niet én je wachtwoord én je OTP’s in één kluis bewaart.

Dat is een beetje als je pincode op je pinpas schrijven. Zodra iemand toegang heeft tot je vault hebben ze alles om toegang te krijgen.
I5413 @Bartmanz6 februari 2025 10:07
Is het beter? Ja, dat is zeker beter. Maar het is niet per se een ramp om het wel in Bitwarden te hebben. Je OTP zorgt ervoor dat het raden van je wachtwoord vrijwel onmogelijk blijft en dat bij een datalek van wachtwoorden je wachtwoord alleen niet genoeg is. Ongeacht waar je hem bewaard.

Als je Bitwarden gehackt word, kunnen ze niet op je sites met OTP als je die ergens anders bewaard, maar eerlijk gezegd, als mijn Bitwarden gehackt wordt, heb ik grotere zorgen dan die paar (en voor mij onbelangrijke) websites met OTP.

[Reactie gewijzigd door I5413 op 6 februari 2025 10:29]

rjd22 @Bartmanz6 februari 2025 11:54
Dit is niet helemaal een correcte insteek omdat OTP's op een ander niveau werken. De eerste is user autentication en de andere is device authentication. Als je dus je OTP codes in bitwarden bewaard en je bitwarden kluis beveiligd met een OTP code die je ook in je kluis bewaard (en recovery codes uitprint) is dit voor de meeste gebruikers veilig genoeg.

Waar veel security minded mensen aan voorbij gaan is dat gemak van gebruik belangrijker is dan de meest sterke beveiliging. Als OTP codes makkelijk te gebruiken zijn zullen meer mensen ze gaan gebruiken. Wat uiteindelijk zal zorgen voor betere beveiliging.

Het verkrijgen van toegang tot je vault is namelijk al heel lastig als je hem met een OTP code en een wachtwoord beveiligd. Zelfs al zouden ze je vault bestanden hebben dan kunnen ze ze zonder deze gegevens niet makkelijk ontsleutelen.
Orogima @Bartmanz6 februari 2025 11:22
Ik doe dit. Ik zie er geen probleem mee. Ik moet toch verifiëren met een Yubi Key. Dus zonder die geraak je nooit in mijn bitwarden. En met enkel het wachtwoord ben je ook niets als je de OTP's niet hebt van m'n logins.
JanW @mbe815 februari 2025 22:49
Onhandig, maar wel secure. Ik zou als ik jou was overwegen om de rest ook uit Bitwarden te halen en onder te brengen in een andere app.
ibmpc @theeck5 februari 2025 22:50
Bitwarden ondersteunt gewoon FIDO2.
Rapedapeda @ibmpc6 februari 2025 08:59
Klopt. Gebruik ik ook al jaren. Wel zonde dat FIDO2 niet wordt ondersteunt door de apps op Unix en MacOS. Schijnt een Electron-ding te zijn. Gelukkig werkt het via de browser wel prima!
Bender @theeck6 februari 2025 10:35
Je wil al je wachtwoorden beschikbaar hebben zonder 2FA? Dat lijkt me heel ongewenst?
Tr1pke @theeck6 februari 2025 12:34
Dat is sowieso een slecht idee wat jij aan het doen bent.
Hero of Time Moderator LNX 5 februari 2025 20:27
2FA via email sturen vind ik geen handige zet. De MSP van werk gebruikt dat ook voor hun ticket systeem. Heb daar eens 3 dagen niet kunnen inloggen omdat de mails in een zwart gat verdwenen, kwamen gewoon niet aan. En de code die we krijgen is een paar minuten geldig, beetje vertraging in mail, wat niet ongewoon is met alles in de cloud, en de code werkt al niet meer wanneer je het eindelijk hebt ontvangen.

Waarom moeten bedrijven dit soort andere methodes gebruiken die ook nog eens foutgevoelig zijn, terwijl OTP een bewezen techniek is voor MFA? Mail is IMO te foutgevoelig en kan potentieel ook onderschept worden.
estej @Hero of Time5 februari 2025 20:34
In de blog post enemail verstuurd naar de gebruikers wordt ook vermeld dat als je niet email wilt gebruiken dat je ook een security key kan gebruiken, of standaard OTP (via een authenticaor app).

Ik vind het een slimme manier toch een vorm van mfa af te dwingen, ook voor gebruikers die geen actie ondernemen
Skit3000 @estej5 februari 2025 21:53
Aan de andere kant, als je Bitwarden gebruikt om je wachtwoorden op te slaan (waaronder dat van je email) en de (enige) telefoon waarop beide staan is kapot/kwijt/gestolen, dan zit je met een kip-eiverhaal. Je wilt in Bitwarden inloggen maar dat kan niet omdat de 2fa naar het emailadres gaat waarvan het wachtwoord in Bitwarden staat.

De oplossing is natuurlijk om je recovery codes er bij te pakken, maar wie even snel tussen neus en lippen 2fa accepteert omdat Bitwarden dat nu eenmaal eist zou dat zomaar kunnen missen.
FPSUsername @Skit30005 februari 2025 22:20
Dit is al het geval met een authenticator waar je accounts niet op de cloud opgeslagen zijn. Uiteraard minder veilig, maar beter dan al je gegevens kwijt zijn achter een slot die jij niet meer kunt openen. De reden waarom ik de google Authenticator direct de prullenbak in had gedaan toen ik eens mijn telefoon had gereset. Gelukkig had ik andere recovery manieren.

Gebruik al erg lang de matige twillio authy app, maar het doet wat het moet doen. Microsoft authenticator (voor werk) moet je weer achter een andere email bewaren zodat de accounts opgeslagen blijven. Ik riskeer niet mijn logins kwijt te raken door mijn telefoon de "master key" te maken.
PhilipsFan @FPSUsername5 februari 2025 22:36
Stiekum bewaar ik die qr-codes altijd waarmee je de authenticator inricht. Die staan in een versleuteld zipje op mijn harddisk. Ik vind het namelijk ook niet vertrouwd om 1 apparaat, wat by nature al gevoelig is voor verlies of diefstal, de poortwachter te maken voor al mijn accounts. Dus nu moet ik m'n telefoon, m'n iPad, m'n laptop EN de backupcodes die ik ergens in huis heb liggen (voor de belangrijkste accounts) allemaal kwijtraken.
Teun! @FPSUsername6 februari 2025 00:13
Ik wil je graag wijzen op Aegis voor 2FA met de mogelijkheid om je (encrypted) 2FA vault vrij te kunnen backupen en eventueel op andere vertrouwde plekken op te kunnen slaan, als je een Android telefoon hebt.
Friemel @Teun!6 februari 2025 18:25
Ik heb Aegis wel bekeken, maar 2FAS ziet er toch beter uit in mijn ogen.
Wellicht heb je die wel al met elkaar vergeleken?
De automatische backup naar google drive wordt versleuteld, en je kunt daarnaast ook een export maken om die op een tweede plek veilig te stellen.
Daarnaast zijn ook de iconen al aanwezig en zijn simpel aan te passen per token.
Teun! @Friemel7 februari 2025 10:38
Ik heb 2FAS eigenlijk nooit geprobeerd (ga deze wel even testen!). Ik gebruik zelf geen google drive, encrypted of niet. Verder zijn volgens mijn de icoontjes in Aegis ook aanwezig maar dat weet ik niet zeker (tijd geleden opgezet, als het eenmaal draait voeg ik er weinig meer aan toe). Zijn in elk geval ook aanpasbaar per token.
Skit3000 @FPSUsername6 februari 2025 10:01
Ik wil je niet terug naar de Google Authenticator krijgen, maar deze ondersteunt sinds 2023 (automatische) backups naar je Google-account:
nieuws: Google Authenticator gaat back-ups van tweestapsverificatiecodes onde...
Argantonis @Skit30006 februari 2025 05:24
Dit dus. Ik woon in Indonesië en reisde veel, al valt het tegenwoordig wel mee. Maar als ik op reis ben dan heb ik ook vaak gewoon al mijn devices bij me. Wat als die allemaal tegelijk gestolen worden? Dan had ik eerst altijd nog Bitwarden om wel nog bij essentiële services zoals mijn email te kunnen. Nu ben ik dan gewoon fucked. Mijn master password is meer dan sterk genoeg (en uiteraard uniek) om niet per se nog MFA nodig te hebben. Juist van een password vault service zou MFA absoluut NIET afgedwongen mogen worden.
Martijntjeh @Argantonis6 februari 2025 07:35
In jou geval zou het misschien een optie zijn een paar van die veiligheid sleutels zoals yubikey of titan te kopen. Leg je er 1 thuis neer, 1 in een bankkluis, 1 stop je in je koffer en 1 aan je sleutelbos. En al deze 4 sleutels gebruik je dan om extra veilig in te loggen op je belangrijkste accounts Bitwarden/Google/iCloud/Proton ik noem maar wat.
Ben je toch veilig online en dan moet het wel heel raar lopen als je niet meer in je accounts kan.
Skit3000 @Martijntjeh6 februari 2025 10:14
Zolang het mailadres waar Bitwarden de 2FA code naartoe stuurt, zelf geen 2FA vereist zou je het wachtwoord hiervan (gecodeerd) op een veilige locatie achter kunnen laten. Een extra beveiligingslaag hiervoor is om te zorgen dat dit wachtwoord voor het eerste deel uit willekeurige tekens bestaat (die je opschrijft) gevolgd door een zelfgekozen wachtwoord (dat je onthoudt en dus niet op hoeft te schrijven). Zelfs als iemand dan je gecodeerde wachtwoord vindt en weet te ontcijferen, dan nog moeten ze het deel weten dat je niet op hebt geschreven.

Versleutelen kan trouwens zo simpel zijn als elk teken iets opschuiven, de tekens achterstevoren invoeren, noem maar op.
Argantonis @Skit30006 februari 2025 10:49
Ja, maar dan ga je dus weer terug naar de tijd vóór password managers, en dat wil ik juist weer niet
Skit3000 @Argantonis6 februari 2025 11:16
Snap ik, maar tegelijkertijd is dat ook hoe de wereld is. Als je altijd met je pinpas betaalt en om een of andere reden werkt die niet, dan wil je ook een alternatief hebben als je in de winkel met je handen vol spullen staat.

Je woont in Indonesië dus het is daar vast anders, maar in Nederland zou in theorie je DigiD ook als 2FA kunnen werken. Raak je die kwijt (plus al je identiteitsbewijzen) dan kun je alsnog naar je gemeentehuis gaan en het hele riedeltje opnieuw aanvragen. Daar gaat natuurlijk wel (flink) wat tijd overheen, maar je hoeft dan zelf geen extra restore-mogelijkheid te bedenken.
Argantonis @Martijntjeh6 februari 2025 10:53
Sorry ik heb 't niet helemaal goed uitgelegd. Met reizen bedoelde ik echt dat ik letterlijk met al m'n spullen van de ene naar de andere plek ging, zonder überhaupt nog ergens een 'huis' te hebben. Veel van gemeubilairde kamer naar kamer verhuizen, maar dus niks waar ik nog terug zou komen.

Al heb ik nu wel een vaste stek, maar dan nog zou ik liever niet moeten hoeven terugkeren naar die plek alleen maar om ergens in te loggen. Juist in zo'n geval van diefstal kan je best ergens helemaal stranden, zonder geld of andere manier om te betalen, en dan hulp inroepen valt niet mee als je ook nog eens nergens bij kan (en niet in een land bent waarin je altijd wel even naar een officiele instantie kan in zo'n geval)
Martijntjeh @Argantonis6 februari 2025 12:04
Dan leidt je een avontuurlijk leven! Doe je goed.
Ik heb zelf vroeger gevaren en dus ook veel gereisd, maar had in Nederland wel mijn woning. Dus dat is sowieso een wat ander verhaal. Maar ik snap het dat als je in den vreemde bent je situatie totaal anders is.

Om toch nog even in het idee van een yubikey te blijven. ( En nee, ik heb geen aandelen.)
Je zou een yubikey in Nederland kunnen leggen in een bankkluisje. En twee stuks meenemen.
En dan eentje aan je sleutelbos en een in je tas met sokken.
Maar goed ik geef toe dat je die twee ook kwijt kan raken als je bijvoorbeeld beroofd wordt. En dan kan je er in Nederland nog wel een hebben liggen om bij tweakers.net in te loggen. Maar daar heb je weinig aan als je in Lagos op het vliegveld staat. Aan de andere kant in zo'n extreme situatie is er meestal toch iets van hulp vanuit het Nederlandse consulaat. Het blijft een keuze die je nu inderdaad ontnomen is door Bitwarden.
Argantonis @Martijntjeh7 februari 2025 06:56
Het zijn idd extreme situaties en daar is software en de maatschappij over het algemeen niet op ingericht. Begrijpelijk maar helaas. Maar ik had wel gehoopt dat ik hier mijn eigen verantwoording bij had kunnen blijven gebruiken.
En ja zo'n consulaat kan helpen, maar zie er eerst maar weer eens te komen :)
Hydranet @Skit30006 februari 2025 08:17
Als je inlogt op een apparaat waar je eerder bent inlgelogd en je wachwoorden gecachted staan op de client zelf heb je geen 2FA nodig. Ik gebruik in Firefox de Bitwarden extension en hoe daar altijd alleen mijn Bitwarden wachtwoord in te voeren omdat het een bekend apparaat is. Kan mij voorstellen dat het voor meer mensen het geval is en dat jou beschreven probleem alleen een probleem is wanneer je probeerd in te loggen vanaf een nieuw apparaat op Bitwarden.
mjtdevries @Skit30006 februari 2025 17:52
Bitwarden is een online tool. Dus je komt nooit in die situatie waarin de telefoon een single point of failure is.
Skit3000 @mjtdevries6 februari 2025 19:41
Wel als je online bij Bitwarden in wilt loggen en dan de 2FA-code die naar je mailadres is verzonden in moet geven, terwijl je geen toegang meer tot dat adres hebt omdat het wachtwoord in Bitwarden staat.

Mijn advies in een andere reactie is om het wachtwoord van je mailadres ergens (gecodeerd) te bewaren, maar het wordt nóg een stap lastiger als je emailprovider ook 2FA verplicht stelt en je gebruikt daar weer Bitwarden voor.

En zo blijft het cirkeltje dus zichzelf herhalen.
TheDeeGee @Hero of Time5 februari 2025 20:38
Met Epic Games ook last van gehad, die mails kwamen soms een uur later pas aan, heb dat veranderd naar Authy.
DikkieDick @TheDeeGee6 februari 2025 09:14
Authy is ook mijn 2FA-applicatie welke ik gebruik. Werd helemaal gek van Google Authenticator en Microsoft Authenticator. Authy synct ook netjes tussen mijn verschillende apparaten waar ik het heb draaien. En voor de wachtwoorden gebruik ik een lokaal opgeslagen vault via Vaultwarden in een dockercontainer.
StarSister @Hero of Time5 februari 2025 20:36
De 2FA via e-mail geldt alleen voor gebruikers die nog helemaal geen tweetrapsauthenticatie hebben ingeschakeld. TOTP of beveiligingssleutels worden gewoon ondersteund, als je die al ingesteld had worden die gebruikt in plaats van e-mail.
GertMenkel
@Hero of Time5 februari 2025 20:36
Zoals in het bericht staat:
voor gebruikers die dat nog niet ingeschakeld hebben
De e-mails gaan alleen standaard aan voor mensen die nog helemaal geen MFA hebben ingesteld. Als je TOTP instelt, wordt er dus niks afgedwongen. Moet je natuurlijk niet de TOTP van je Bitwarden in Bitwarden stoppen :+
Prx @Hero of Time5 februari 2025 20:36
Omdat het 'opdringen' van OTP via andere mechanismen gewoon heel wat voeten in aarde heeft.

Er staat ook aangegeven dat deze fallback naar het opdringen van e-mail gebaseerde OTP ook alleen wordt toegepast voor accounts waar nog geen andere vorm van 2FA aan gehangen is. Dus het staat iedereen vrij om voor deze wijziging dat netjes ingeregeld te hebben. Nu wordt een blogpost gequote, maar deze wijziging staat ook al even live als melding bij het inloggen en moet je verplicht aangeven dat je het gelezen hebt.
Jazco2nd @Hero of Time5 februari 2025 20:44
Het is juist bedoeld voor wie weigert MFA te activeren. Standaard heb je nu dus altijd MFA, zij het via email. Das beter dan helemaal niet.
Dus ik denk dat je dit juist wel een verbetering vind..
ibmpc @Hero of Time5 februari 2025 22:45
Ik juist wel. Die mensen hebben misschien iets in hun Bitwarden staan wat toegang geeft tot delen van jouw persoonsgegevens, zoals credentials van een Facebook account waar jij bevriend mee bent.

Ja, ik vind e-mail en OTP als MFA beiden erg slecht, maar het is beter dan niets. Wat mij betreft een goede keuze van Bitwarden.

[Reactie gewijzigd door ibmpc op 5 februari 2025 22:46]

Blokker_1999
@Hero of Time6 februari 2025 07:30
Als je eenmaal OTP instelt bij Bitwarden zal de email stoppen. Dit is dus expliciet voor mensen die nog niets hebben ingesteld om ook hen op MFA te zetten. Hoewel ik me af vraag of we hier wel over MFA mogen spreken want je loopt alsnog het risico dat de beveiliging 2x iets is dat je kent waardoor je maar 1 factor gebruikt.
shicomm 5 februari 2025 22:00
Rare move.. waarom zou deze geforceerde move boven passkeys gaan ?

De passkeys login zit nog altijd in beta , zodra dat 'mainstream' is haal je de "noodzaak" voor 2fa via mail er vrijwel helemaal uit imho.
Bor Coördinator Frontpage Admins / FP Powermod
@shicomm5 februari 2025 22:15
Passkey login is nog lang niet zo ingeburgerd en passkeys kennen eigen problemen. Lees bijvoorbeeld dit maar eens: I Stopped Using Passwords. It’s Great—and a Total Mess en dit: ‘Apple en Google gebruiken Passkeys om vendor lock-in te versterken’

E-mail is laagdremelig, behoeft (bijna) geen extra uitleg en is niet device gebonden.
RobVI @Bor5 februari 2025 23:21
Dat Wired artikel is van bijna een jaar geleden, Bitwarden op mijn iPhone biedt ondersteuning voor passkeys.

Dat ‘vendor lock-in’ verhaal doelt op tegenwerking van passkey adoptatie doordat Google en Apple hun eigen wachtwoord beheer systemen aanbieden. Daar gebruik van maken is een keuze, mensen die dat doen zullen sowieso niet zo snel op passkeys overstappen, want “het werkt toch goed?”.
Bor Coördinator Frontpage Admins / FP Powermod
@RobVI6 februari 2025 11:41
Dat wired artikel is inderdaad bijna een jaar oud. Het passkey landschap is echter in die tijd niet heel erg veranderd. Niet in de laatste plaats omdat ondersteuning hiervoor bij grote spelers als Microsoft tot voor kort nog altijd "preview" functionaliteit was.
Blokker_1999
@shicomm6 februari 2025 07:33
Een passkey is toestel gebonden, dan moet je altijd toegang hebben tot een toestel waarop de passkey reeds staat om een nieuw toestel te kunnen goedkeuren, dat is niet handig.

Passkeys kan je ook niet zomaar als dienst activeren in de achtergrond, dat vereist interactie met de gebruiker en kan je dus niet zomaar afdwingen.

Bij voorkeur stellen mensen zelf hun voorkeurs methode in voor MFA, maar als ze niets opgeven is een fallback naar e-mail nog altijd beter dan helemaal niets.
Bor Coördinator Frontpage Admins / FP Powermod
@Blokker_19996 februari 2025 11:51
Een passkey is toestel gebonden
Passkeys zijn er zowel device bound als syncable.

Een device-bound passkey is een FIDO2 Discoverable Credential die gebonden is aan één specifieke authenticator. Dit betekent dat de passkey niet overgedragen kan worden naar een ander apparaat of medium. Denk bijvoorbeeld aan een FIDO2-sleutel: deze bevat credentials die op het apparaat zelf blijven.

Een syncable passkey is ontworpen met gebruiksvriendelijkheid in gedachten. Deze passkey kan worden geback-upt en hersteld, waardoor het delen van de passkey tussen apparaten mogelijk is
B_FORCE 5 februari 2025 20:56
Waarom is het altijd weer "moeten" en niet de dienst by default instellen om vervolgens de gebruiker zelf laten kiezen met een opt-out?
bluescreen @B_FORCE5 februari 2025 21:00
Waarom zou je geen MFA gebruiken op je password manager als deze op een nieuw device gekoppeld wordt?
Robin94 @bluescreen5 februari 2025 21:52
Omdat je graag nog bij je account wil als 's nachts de boel afbrand en je je telefoon verliest.
Blokker_1999
@Robin946 februari 2025 07:36
Daarom dat je ook de recovery opties moet bekijken voor je belangrijke accounts. Als ik morgen alles verlies in een brand, dan is het even langs de winkel, nieuwe smartphone, nieuwe laptop en op een uurtje tijd, waarvan het meeste gewoon setup werk van de toestellen is, ben ik weer vertrokken met al mijn accounts.
bluescreen @Robin946 februari 2025 11:09
Snap ik , maar het gaat alleen om MFA bij het koppelen op een nieuw device. als je alle pech van de wereld tegelijk hebt dan heb je andere uitdagingen....
The Zep Man
@B_FORCE5 februari 2025 21:00
Die keuze heb je gewoon als je het zelf host. Je kan dan ook kiezen voor Vaultwarden, die compatibel is met Bitwarden clients.
MrMonkE @The Zep Man6 februari 2025 00:51
Dacht er een week of 2 geleden over na.
De kogel is door de kerk. Morgen even in regelen.
Blokker_1999
@B_FORCE6 februari 2025 07:38
Wanneer het om veiligheid gaat moet je niet alles aan de gebruiker overlaten, want de gebruiker kiest de weg van de minste weerstand en ziet liefs zo min mogelijk beperkingen. Gebruikers hebben al jaren de kans om MFA in te stellen en doen dat niet. Omdat dit een belangrijke stap voorwaarts is in het beveiligen van zo een belangrijk iets, verplicht Bitwarden nu om MFA te gaan gebruiken. En waarom niet? Zovele websites die het vandaag afdwingen die een stuk minder gevoelig zijn, zoals bijvoorbeeld Tweakers.
Jazco2nd 5 februari 2025 20:46
Het gaat om een beveiligingsmaatregel die geldt voor gebruikers die nog geen tweetrapsauthenticatie hebben ingeschakeld via bijvoorbeeld totp-apps of fysieke beveiligingssleutels.
Grappig hoeveel mensen alleen de kop lezen en negatief reageren. De inhoud compleet negeren. 8)7
StormRider 5 februari 2025 21:07
Laat ik hem nog anders stellen. Deze 2fa stap voegt niks extra toe aan het encrypten van je vault.
Het betreft enkel een extra verificatie ik de webservice waarmee je inlogt middels je browser plugin of de web vault.
Eigenlijk dient dit enkel om phishing tegen te gaan van je wachtwoord middels malware of keylogger.

Het is dus een extra bescherming vanuit bitwarden zelf. Deze 2fa is volgens mij niet e2ee encrypted maar een laatste redmiddel als je je wachtwoord verliest.

[Reactie gewijzigd door StormRider op 5 februari 2025 21:10]

ibmpc @StormRider5 februari 2025 22:49
OTP of e-mail MFA helpt niet tegen phishing middels malware. Alleen een FIDO2 sleutel of WHFB helpt tegen phishing.
StormRider @ibmpc6 februari 2025 00:11
Vertel, er wordt in beide gevallen een 'ok' cookie sessie gegenereerd.

Uitgaande dat je een otp gebruikt met een aparte applicatie

[Reactie gewijzigd door StormRider op 6 februari 2025 00:42]

Verwijderd @StormRider6 februari 2025 03:01
Fido2 helpt idd niet tegen bemachtigen van een sessie-koekje door malware.

Wel tegen de bekende link-naar-vervalsde-website truuk, wat nog steeds het grotere probleem is omdat het veel laagdrempeliger is dan malware.
Neggs 5 februari 2025 22:24
Zoveel mensen die nog geen MFA gebruiken. Prima ze te “helpen”.
Wat ik dan weer apart vind bij Bitwarden is dat je hierin ook MFA kunt instellen voor andere accounts. Handig voor je collega’s maar het gaat totaal voorbij aan de MFA filosofie m.i.
keverjeroen 5 februari 2025 21:39
Moet je wel het wachtwoord van je mail onthouden.. 😄😄

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq