Europees ogende wachtwoordmanager lijkt Russisch te zijn

De Europees ogende wachtwoordmanager Passwork lijkt Russisch te zijn, blijkt uit onderzoek van meerdere Nederlandse media. Onder meer Europese overheden, havens en een Nederlandse zonneparkbeheerder gebruiken de software.

Dat blijkt uit onderzoek van Investico, samen met NU.nl en De Groene Amsterdammer. Ook het Belgische De Tijd deed mee aan het onderzoek. Dit onderzoek richtte zich op Passwork, een wachtwoordmanager die zich presenteert als Europees en gevestigd is in Spanje.

Hoewel Passwork zich als Europees presenteert, lijkt het bedrijf Russisch te zijn. Het bedrijf werd in 2014 opgericht in Rusland, maar nadat Rusland Oekraïne binnenviel, werd het ondergebracht bij een brievenbusmaatschappij in Spanje. Het bedrijf is daarnaast ook in Rusland actief en wordt onder meer gebruikt door de geheime dienst FSB en door het ministerie van Defensie.

Een onderzoeker van Instituut Clingendael zegt dat Rusland daarmee veel inzicht heeft in de software. Om in Rusland een licentie te krijgen voor gebruik in de militaire sector, moeten bedrijven veel inzage geven in hun werking.

Geen bewijs van misbruik

Er zijn geen aanwijzingen dat Passwork gecompromitteerd is of dat Rusland toegang heeft tot wachtwoorden of andere data. Wel waarschuwen verschillende experts voor de risico's. Wachtwoorden kunnen in theorie worden gestolen doordat de makers een achterdeur moeten inbouwen. Ook als klanten de dienst zelf hosten, moet de software toch verbinding maken met servers van Passwork.

Het is ook onduidelijk hoe groot Passwork precies is. De media ontdekten dat onder andere een Nederlandse beheerder van zonneparken de software gebruikt. Daarnaast bleken ook Franse havens, Ierse en Duitse overheidsorganisaties en universiteiten er gebruik van te maken.

Door Tijs Hofmans

Nieuwscoördinator

17-07-2026 • 08:43

165

Submitter: Vuur Draak

Reacties (134)

Sorteer op:

Weergave:

Jurisdictie van bedrijven (en uiteindelijke eigenaar, de "UBO") wordt steeds belangrijker om te checken.

Voor wachtwoorden is het misschien goed om te weten dat 1Password een Canadees bedrijf is. Zelf zou ik als je het niet lokaal/zelf wilt hosten vooral naar Proton kijken, maar ik heb geen ervaring met hun passwordmanager
Ik mag toch hopen dat de controles iets verder gaan dan kijken wie op papier de ubo van Passwork in Spanje is. Is een kwestie van een stroman zeerzetten.
Eigenlijk kan het niet alleen UBO checken, je moet dat ook bijhouden immers. Men zal moeten gaan samenwerken, het is duidelijk dat dit probleem anders de kop zal blijven opsteken. Misschien prima voor sommige organisaties zonder groot risico profiel voor de maatschappij, zoals een bakkerij op de hoek, maar met gemeenten is het al een stuk minder grappig.
UBO kan, mits goed onderzocht en geregistreerd, juist niet een stroman zijn ;)
Dat zit hem een beetje in de U.
Het UBO register is (niet meer) openbaar (gelukkig zou ik zeggen).

Proton Pass werkt fijn, ik gebruik het nu ongeveer een half jaartje (n=1). Stelt bij nieuwe aanmeldingen automatisch een email alias voor en uiteraard een sterk wachtwoord. Je kunt een alias naar verschillende (of meerdere) eigen emailadressen sturen. 2FA en passkeys zijn ook geintegreerd.

[Reactie gewijzigd door wjn op 17 juli 2026 09:03]

Dat heb ik met Bitwarden; ik heb een betaald abonnement, maar draai het binnen de .eu omgeving. Voor nu is dat "goed genoeg" voor privézaken. Ik heb een dienst die automatisch mailadressen kan maken maar ben de naam even vergeten en ik kan het in de instellingen zo gauw niet terugvinden :(

EDIT: SimpleLogin ! Dat was het.

[Reactie gewijzigd door DigitalExorcist op 17 juli 2026 09:25]

Vaultwarden kan je op je eigen omgeving hosten. Dat kan al op een goedkope thin client van een paar tientjes. Maak je backups naar een externe (EU) storage locatie voor 3 euro per maand en je hebt volledig controle over je eigen data/wachtwoordkluis.

Als er iets is dat je in eigen beheer moet houden is het je wachtwoordenbeheer.
Ja leuk maar ik heb geen zin meer in gehannes met self hosted meuk. Dat moet ik óók weer onderhouden allemaal. OS, applicatie, firewall, dat heb ik een tijd lang gedaan met VaultWarden (op een Raspberry Pi) in combinatie met een ZeroTier (vxlan) oplossing. Hoop gedoe, om de haverklap werkte het syncen niet meer, nah ik geloof het wel.

Zakelijk? Ja prima. Maar privé vindt ik het wel even best. Op mijn leeftijd wil ik vooral gemak hebben en als dat wat geld kost, prima.
Ik draai al jaren Vaultwarden in Home Assistant wat in een vm in Proxmox draait op een simpele Dell micro pc. Nog nooit een probleem mee gehad, draait retestabiel. Ook met de extensies en div clients en OS' en
Ja maar ik heb die toegang altijd overengineered - alleen toegang als ik met ZeroTier verbonden ben. Geen poorten van buiten naar binnen open, werkt over het algemeen prima maar een mini-PC onderhouden (incl. stroomkosten en alles), ik heb er gewoon geen zin meer in. Ja, HomeAssistant draait op m'n Synology NAS maar ook daar doe ik veel te weinig mee eigenlijk. Je moet zo'n berg aan software onderhouden, als ik naast het OS dan ook HA moet onderhouden, ZeroTier, de firewall, firmware van die mini-PC, álles, daar heb ik een dagtaak aan zowat.

[Reactie gewijzigd door DigitalExorcist op 17 juli 2026 10:06]

daar heb je inderdaad een punt, ik heb ook geen poorten open maar gebruik Pangolin als reverse proxy en toegang. Het klopt dat je er allemaal werk aan hebt. Ik gebruik het ook als leer project en hobby ondanks dat ik overdag als werk een eind hetzelfde doe. Soms kan ik de kennis aan beide kanten gebruiken, ik blijf graag bij met kennis.
Ja ik ook, maar op een gegeven moment was ik er klaar mee dat "soms dingen wel en soms ook niet" werkten. Het automatisch syncen van m'n iPhone met Vaultwarden werkte dan niet omdat ZeroTier niet direct aan stond, dan zit je weer als je live onderweg ergens een accountje moet aanmaken, dat gedoe allemaal. Zwaar irritant. Op een gegeven moment voor gemak gekozen en 'gewoon' Bitwarden hosted genomen.

Maar Proton Pass lijkt me ook wel wat. En anders kan ik gewoon de Apple Wachtwoorden app nog nemen (die was er nog niet voor Windows toen ik overstape naar Bitwarden anders had ik dat denk ik wel gedaan).
Ik heb pangolin zowel intern als extern draaien en beide bedienen hetzelfde domain (home.example.com). Via de publieke DNS ga je naar de externe Pangolin instantie, als je intern zit, krijg je via dhcp een adguard home DNS server toegewezen welke een override is van home.example.com. Hierdoor kan ik immich.home.example.com ook delen met familie, terwijl andere services alleen intern blijven zoals netbird.
Vaultwarden, in HA, in Proxmox (met interne en externe backup neem ik aan?), een goed idee! Zal dit aanraden aan al mijn familie als ze me om advies vragen.
inderdaad. PBS server op een 2e host (ik heb er 3) en op mijn werk draait Proxmox op een afgeschreven Dell Poweredge met daarin ook een PBS backup server. Wireguard aan op mij Fritzbox, de PBS server heeft de Wireguard client en zo backup ik via internet alle vm's naar de 2e locatie op het werk.

HA wordt ook nog eens incl add-ons gebackupped naar mijn Onedrive.

[Reactie gewijzigd door tvtech op 17 juli 2026 11:25]

Als je een betaald abonnement hebt bij SimpleLogin, heb je volgens mij automatisch ook Proton Pass Plus. Dat scheelt weer de kosten van een password manager.

https://simplelogin.io/blog/sl-premium-including-pass-plus/
Ja klopt; ik heb de gratis versie nog, maar die koppeling is inderdaad handig!
Werkt de auto email alias functie ook met een eigen domeinnaam?
Ik heb proton pass, na een overstap van Bitwarden. Wel de betaalde versie, inclusief mail, drive enzo. Ik vind het een groot voordeel dat je met Proton Pass ook aliassen kunt aanmaken voor email-adressen. Maakt je accounts nog lastiger te hacken :-)
Ik ben wel een beetje teruggekomen van al die aliassen. Gebruik nu weer grotendeels een email adres op een eigen domein. Ben nu 55+ en wil vooral gemak. Je gegevens komen uiteindelijk toch op straat te liggen, alias of niet. Met een goed spamfilter, een goede wachtwoordmanager met sterke wachtwoorden, 2FA en passkeys kom ik zo een heel eind.
Ik ben overgestapt van 1Password naar ProtonPass. Nog geen seconde spijt van.
ik gebruik prive ook Protonpass, gebruikte in het verleden keepass en diens forken. Maar omdat ik op een gegevenmoment op elk systeem een eigen database had staan, en dus nooit precies up to date kon blijven of het dan synchroniseren via bijv. onedrive dmv thirdparty pluggins. is het gebruikers gemak van Protonpass voor mij prima.

Alleen blijft het een kwestie van vertrouwen. dat Proton echt zo beveiligd en encrypted is als ze zelf beweren.

En misschien nog net zo belangrijk als mensen (al is het met behulp van hulpmiddelen zoals computer rekenkracht) de ultieme beveilig kunnen bouwen dan kunnen mensen tegelijkertijd (al is het met behulp van hulpmiddelen....) die zelfde ultieme beveiliging kunnen kraken / naar binnen komen.

Het is volgens mij niks meer dan een kat en muisspel.

Ik heb alleen voor mijn zakelijke apparaten een offline password manager.

Het voordeel van offline opslaan is, dat de kans dat ik als gewone simpele jan lul bewust aangevallen wordt door hackers is vele malen lager, dan dat Proton wordt aangevallen.

[Reactie gewijzigd door korenpc op 17 juli 2026 10:31]

Had proton tot ik er achter kwam dat Proton user friendliness voor veiligheid plaatst. Ik ben er weg gegaan

Geen fatsoenlijk snelle veilig unlock van je database op windows.

[Reactie gewijzigd door amigob2 op 17 juli 2026 09:16]

Denk dat dit nu precies een zaak is voor bijv. het AIVD, dat die dienstverleners en softwareboeren doorlichten om te kijken of ze koppelingen hebben met mogelijk vijandige partijen, of dat ze liegen over hun afkomst. En vervolgens adviezen geven aan bedrijven.

Ik wil niet zeggen dat ze een veilige lijst ofzo moeten maken, de vrije markt is namelijk ook belangrijk. Maar het moet wel eerlijk en veilig zijn.
Proton heeft weer innige banden (gehad) met TesoNet. Bedrijf dat onder andere datamining als service aanbiedt :+

1Password zijn echt al sinds de Roboform dagen in de markt, er is nog nooit een vuiltje aan de lucht geweest en ze doen elke paar jaar wel een audit. En deels dankzij hun doen zoveel sites nu aan passkeys. Hun vault format is ook open spec, dus als ze failliet gaan kun je die gewoon decrypten.

Al heb je 1Password natuurlijk vooral omdat de UX en UI met kop en schouders boven de rest uitsteekt (ook bv de SSH en CLI integratie). Als het je echt om maximale veiligheid gaat dan zit je bij Bitwarden of lokaal.
Ik vind het altijd wel bijzonder hoe overheidsinstanties bij dit soort partijen terecht komen. Waarom niet een bekende grote (europese) naam pakken zoals Proton of desnoods gewoon KeePass waar je de code van kunt inzien?
dat is toch niet alleen een probleem van overheden zoals je in het artikel zelf kan lezen? Waarom zou een overheid en private partij hierin heel anders zijn? Het blijft mensenwerk..
Bij een overheid verwacht ik toch wel iets meer initiatief met betrekking tot veiligheid dan een private partij. Ik kan me niet voorstellen dat bij overheden dit soort software niet getoetst wordt door een aantal afdelingen voordat het ingezet wordt.
Die zal vast getoetst moeten worden, echter snap ik dat verschil niet. Waarom zou dat bij een private partij NIET moeten dan? De impact is er toch niet minder perse?
Omdat je bij een private partij (in veel gevallen, niet altijd) er zelf voor kiest om je gegevens er mee te delen. Bij een overheid ben je verplicht om bepaalde gegevens te delen, sterker nog je kunt het vaak niet eens voorkomen.
ah, eigen verantwoordelijkheid.. Sorry, als ik daar zelf voor kies is dat niet hetzelfde als dat ik weet wat er met die gegevens gebeurt. Ik koos er zelf voor om bepaalde dingen bij Odido achter te laten toen ik een abbo afsloot. Waar ik niet voor koos was dat ze vervolgens jaren later alles op straat hadden liggen.
Dat is een heel ander probleem qua oorzaak en vooral de risico's. Dan waar Anihilism het over had hierboven.

Als een (semi-)overheids organisatie haar toegang uit handen geeft tot systemen die ze gebruiken dan zijn de mogelijke gevolgen enorm.
Ik zou denken dat een overheid impact kan hebben op heel het land en alle gegevens van de inwoners, terwijl het kan zijn dat een privaat bedrijf een "beperktere" impact zal hebben (enkel hun (klant-) gegevens).

De interne impact zal hetzelfde zijn.

Dat de verantwoordelijkheid hetzelfde moet zijn is correct. De ene partij mag hierin niet lichter over gaan dan de andere partij. Maar het wilt niet zeggen dat de impact ook hetzelfde zal zijn.

[Reactie gewijzigd door MattiVM op 17 juli 2026 09:41]

Indien de waarde van een opdracht boven bepaalde aanbestedingsdrempels komen (hoogte afhankelijk van sector en omstandigheden), dan komt er een aanbestedingsprocedure en in die context wordt er vaak wel redelijk wat getoetst. Ook verlangt men dan dat bepaalde papieren overlegd worden. In die context is er vaak sprake van een projectteam bij een overheid wat dan ook goed na gaat denken over de eisen die van toepassing moeten zijn. Uit mijn hoofd is die aanbestedingsdrempel iets van €448.000 voor vier jaar, maar pin me er niet op vast. (Voor bijv. Speciale sector bedrijven. )

Onder de aanbestedingsdrempel is het vaak anders. Sommige bedrijven hebben intern beleid waardoor bijvoorbeeld meerdere offertes uitgevraagd moeten worden, maar in deze context is vaak geen sprake van een heel projectteam of uitgebreide eisen. Des te kleiner het bedrag, des te groter de kans dat 1 persoon "effe snel iets regelt", zeg maar. Nu kan ik me voorstellen dat bij kleinere organisaties de gemoeide bedragen kleiner zijn en bovendien minder mensen beschikbaar zijn om mee te kijken.

[Reactie gewijzigd door Lodd op 17 juli 2026 09:55]

Ik werk semi-overheid. En ken mensen binnen overheid. Het toetsen en ketenbeheer kennen ze meestal niet, of niet goed.

Of denk je werkelijk dat een gemeente iemand naar Barcelona gaat sturen om te kijken of het geen brievenbusfirma is? (Dat vinden ze al gauw te duur) :X

Terwijl de Russen waarschijnlijk wel iemand hebben die zijn diensten aanbied om te kijken of het een brievenbus firma is. En die kun je als gemeente zeer goedkoop wel weer inhuren }>
Dit moeten ze ook gewoon samen doen. Waarom werken ze niet samen met hun collega's? Er zijn (als het goed gedaan word) overal mensen met deze problemen bezig bij onze (semi-)publieke organisaties. Laat ze een keer contactgegevens uitwisselen.
Hebben wij nu niets geleerd dat sinds mensenheugenis het extern beïnvloeden van politici door lobbyisten die niet het algemeen belang in gedachte hebben. Als je dus een zeer effectieve lobby hebt betaald door Rusland, die als core business lijkt te hebben wereldpolitiek in chaos te houden (en met behoorlijk succes) dan verbaast dit mij helemaal niets.
Je bedoelt diezelfde overheden die onze hele Domain Infrastructuur wilde weggeven aan AWS, en toen pas bij commentaar er iets aan ging doen?

Verder is er bij ons in Nederland ook vriendjespolitiek. De man die klokkenluider was bij de DigiD affaire (noem het maar even zo), is ontslagen en mag dit nu gaan aanvechten.

Dus m.a.w. het verbaast mij niets. Er gebeuren veel schimmige zaken daar, en tegengeluiden worden niet gewaardeerd. Het komt ook niet in de media, wel dagelijks van actiegroepen over conflicten kilometers hier vandaan.

[Reactie gewijzigd door HollowGamer op 17 juli 2026 10:49]

Waarom het anders moet zijn?
De overheid draagt een verantwoordelijkheid voor de hele maatschappij met daarbij een voorbeeldfunctie.
dat is helemaal waar. Echter een bedrijf heeft klanten, contactpersonen etc etc. Daar moet ook verantwoordelijk mee om worden gesprongen. Ook al heb je geen voorbeeld functie. Dat verschil moeten we eens een keer niet willen maken anders staat de deur open voor 'ja de overheid doet het niet dus waarom zou ik het doen'. Dat is een gevaarlijke instelling

[Reactie gewijzigd door Webgnome op 17 juli 2026 10:51]

De ironie is dat de overheid zoveel regels heeft dat men er in de dagelijkse praktijk niet aan toe komt ze allemaal uit te voeren. Wat ook niet helpt is dat de overheid zelf het echte werk vaak uitbesteedt, zoals het maken van een wachtwoordmanager ;) waardoor alsnog het risico naar het bedrijfsleven wordt verplaatst.

Andersom heeft het bedrijfsleven de neiging de regels bewuster te negeren, ontwijken, vrijer te interpreteren, want anders doet de concurrentie het wel en blijft er geen winst over.

Overigens zijn er zoveel regels dat niemand nog het overzicht heeft. Bedrijven bijvoorbeeld moeten zelf jaarlijks melden hoeveel en welke schadelijke stoffen ze uitstoten. Als ik dat tegen een ondernemer zeg, kijkt die je schaapachtig aan, alsof je een grap maakt. Andersom hebben bijvoorbeeld politieagenten geen flauw idee wat er in de jachtwet staat.
Los van of het voor een overheid anders zou moeten zijn, als je ooit met overheid als opdrachtgever gewerkt hebt zou je weten dat ze echt extreem veeleisend kunnen zijn (niet dat dat per se een slecht iets is)... Het probleem is dat het ook vaak wat ongecoördineerd en soms (of vaak) niet zo consequent kan zijn. Heel veel eisen, maar dan alsnog allemaal gaten open laten. Daarom zie je ook vaak dat ze dan met een of andere grote partij in zee gaan die het administratief aankan om aan alle eisen te voldoen en de loopholes kan vinden om het goedkoper te doen dan een ander (en waardoor het vaak toch mis gaat).

Maar ja dan is het inderdaad wel apart dat er een partij gekozen is waar ze blijkbaar niet eens van weten wie er achter zit.
Dat heeft met de aanbestedingswet te maken, wanneer aanschaf van een pakket boven een x-bedrag komt moet deze (Europees) worden aanbesteed.

Hierbij moet de overheid meerdere partijen een offerte laten maken waarbij deze op vooraf gestelde criteria moet voldoen.

Ik heb een blauwe maandag bij een overheidsinstantie gewerkt waarbij ze ontzettend graag in zee wilde met leverancier X. Helaas waren de criteria vooraf niet goed toegespitst op hun pakket, waarna de blinde evaluatie uitkwam op leverancier Y. Dit was een draak van een applicatie waar ze tot ontzet de komende jaren mee moesten werken, tot ze weer opnieuw mogen aanbesteden.

Het werkt bij overheden niet zo dat ze mogen cherry picken welk pakket ze gaan gebruiken.
Het belangrijkste criterium, namelijk of er simpelweg vertrouwen is in een bepaalde partij op basis van het verleden, mag dus niet worden meegewogen? Als er al 20 jaar naar volle tevredenheid wordt gewerkt met leverancier X, is het logisch om daar als eerste te kijken als er een nieuw product aangeschaft moet worden en niet voor een paar centen minder bij beunhaas Y die zegt hetzelfde te kunnen bieden. Dat is gezond verstand, wat heel wat ellende kan voorkomen.
Vaak is 'goede ervaringen' geen geldig criterium omdat dat vriendjespolitiek in de hand werkt. Bedenk dat de aanbestedingswet gemaakt is om corruptie tegen te gaan en dat je niet de vrije hand hebt om bepaalde criteria te bedenken, omdat een bedrijf te vage criteria of criteria in strijd met handelsakkoorden kan aanvechten voor de rechter, waarna je de hele aanbesteding opnieuw mag doen.

Gezien aanbestedingen al lang duren wordt er dus veel moeite gestopt in het opstellen van veilige criteria die 3x door legal gecheckt zijn, en worden ze verafschuwd door iedereen die bij de overheid werkt omdat het ongelooflijk ingewikkeld kan zijn om een goede uitkomst te krijgen.

Een goede uitkomst kan wel maar vereist: legal expertise om te weten wat je wel en niet mag vragen, een scherpe eisenlijst die alles (echt alles!) bevat wat je nodig hebt en wat je niet wilt en een verificatieronde die ook controleert of de leverancier niet gewoon heeft staan bullshitten toen ie zich inschreef op de aanbesteding (gebeurt vaker dan je denkt). Bij de meeste aanbestedingen gaat 1 van deze 3 dingen mis.
Nee, vertrouwen en resultaten uit het verleden zijn geen criteria in europese aanbestedingsregels die in Nederland vertaald zijn in de aanbestedingswet en aanbestedingsbesluit.

Zie 2.114 en 2.115 uit de aanbestedingswet 2012.
https://wetten.overheid.nl/BWBR0032203/2026-04-30#Deel2_Hoofdstuk2.3_Afdeling2.3.8_Paragraaf2.3.8.4_Artikel2.114

[Reactie gewijzigd door AceAceAce op 17 juli 2026 10:33]

Ook geen slechte ervaringen in het verleden. We hadden er eentje die makkelijk 40 A4tjes per jaar haalden aan wat er niet goed ging. Kon zich gewoon weer de volgende ronde inschrijven en werd het weer omdat die geschiedenis niet bij een neutrale beoordeling past.
Al vijftig jaar Oracle, zeer betrouwbaar, we zijn tevreden. Wel een beetje duur, maar ja, zo hebben we het altijd gedaan.
De NS moest de Fyra hoge snelheidstrein aanbesteden en moest toen de Ansaldo Breda treinen aanschaffen, wat een groot fiasco werd.
Dat kwam door het eisenpakket dat de NS had. Ze wouden bv een trein die sneller dan de TGV kon, waardoor die fabrikanten afvielen. Ze schoten zichzelf in de voeten daarmee.
De term Europees wordt op verschillende manieren gebruikt. Europees kan betekenen 'In de EU' of Geografisch Europa. In de praktijk niet inclusief EFTA. (EFTA omvat op het moment van schrijven Noorwegen, Zwitserland, IJsland en Lichtenstein.))

Geografisch Europa ligt 'grofweg' ten westen van het Oeral gebergte en ten oosten van de Atlantische Oceaan. (en ten noorden van de Middellandse zee). Dit is dus 'ook' inclusief een deel van Rusland. (Moskou ligt dus ruimschoots in geografisch Europa.)

Europees in dit geval betekend 'EU', en daarmee zou Proton dus afvallen. (N.B. Er is natuurlijk niets mis met Proton.)
In dit geval betreft het het continent Europa, voor zover het niet Rusland betreft. De nieuwe wereldorde is toe aan nieuwe geografische duidingen.
Zelf ben ik niet zo'n fan van online opgeslagen wachtwoorden. Ik sla mijn wachtwoorden lokaal op met Password Safe (open source). Ik heb wel een kopie van de kluis op mijn Onedrive staan.

De herkomst van software in niet altijd gemakkelijk te achterhalen. Password had zich verscholen achter een Spaanse brievenbus en leek daardoor Europees. Open Source is ook geen garantie tegen misbruik door hackers of schurkenstaten. Ook die kunnen immers updates doen waarin dodgy code zit verscholen.

Wil Europa echt veilige software gaan gebruiken, dan zal men een eigen software industrie moeten creëren. Dat kan door een aantal bedrijven aan te wijzen die men vertrouwt en die uitsluitend in Europa gecreëerde code gebruiken, eventueel met gebruik van een Europese AI assistent. Eventueel kan men dat uitbreiden met Australië en Nieuw Zeeland die min of meer hetzelfde probleem hebben.

Eigenlijk is het gewoon triest dat we andere landen niet meer kunnen vertrouwen en de wereld in blokken uiteenvalt. Zo krijgen we Amerika en China als machtige blokken en Rusland, Europa en Australië / Nieuw Zeeland die zich van die machten proberen los te maken.
Of de Australische Passwordstate. Kan je prima lokaal hosten (zonder problemen zelfs op Windows).

Of Vaultwarden, als lokale installatie van Bitwarden.
Omdat de overheid niet zomaar een partij mag kiezen omdat het een bekend naam heeft. Veel aankopen boven een bepaald bedrag moeten via een aabesteding zodat alle bedrijfen dezelfde kansen krijgen.
Zo'n password tooltje zal die grens wellicht niet halen.
Zo'n passwoordtoolje is geen specialistisch software dat maar door paar man in een organisatie gebruikt wordt. Vooral als je aan bepaalde standaarden rond security moet voldoen heb je al snel dat een groot deel van je personeel geacht wordt een passwordmanager te gebruiken. Daardoor telt het snel op kwa kosten. Aanbesteding is meestal voor een periode voor x aantal jaar, zoals 4. 1Password is 8 euro p.p.p.m, dat is 380 euro per persoon over zo'n periode. Dan ben je met 500 medewerkers al over zo'n grens heen.
Grotere organisaties waar ik voor of met heb samengewerkt, deden vroeger meestal gewoon gnupg met shellscripts voor het delen van een gemeenschappelijke pw database via rcs en later cvs. Dat werd door developers en systeembeheerders dan gebruikt. Dat kost ook niets. Maar voor kantoor personeel is dat inderdaad misschien niet praktisch, die werken vaak sowieso niet op een unix-achtig systeem. Mijn reactie is meer voor de meer technisch onderlegde afdelingen wellicht een optie die overwogen kan worden, al kan men ook natuurlijk zelf iets doen met shell scripts.

Misschien moet de overheid zelf een keer een goede password manager maken (en zelf hosten!) met diverse nivo's qua beveiliging. Is wat werk maar dan ben je van dit probleem af, laten we het in elk geval niet weer alleen proberen, werk samen in EU+-verband, anders krijg je weer onzinnige issues over een tijdje. En als de overheid dit doet, maak het dan meteen beschikbaar voor lagere overheden en andere semi-publieke organisaties, anders blijven die weer hangen. Er is nog heel veel werk te verzetten en het probleem negeren werkt dus niet gezien de infiltratie van deze tool.
Überhaupt zo iets in de cloud hosten, dan heb je toch de begin les cybersecurity gemist...
Überhaupt zo iets in de cloud hosten, dan heb je toch de begin les cybersecurity gemist...
Jij denkt dat iedereen de kennis heeft om dit zelf te hosten en tweevoudig te backuppen?
Daarom moet je ook samenwerken met andere organisaties. Samen sta je sterker en weet je meer. Voor het bedrijfsleven is dat natuurlijk soms wat lastiger, wellicht dat de diverse bedrijfsorganisaties ook meer op dit soort gebieden moeten doen. Bijv. de notarissen doen wel al heel veel via hun beroepsorganisatie op dit soort gebieden, in elk geval in NL, geen idee hoe dat zit in andere EU landen zoals BE.
Ja, en alle gemeenten moeten alles zelf maar regelen i.p.v. centraliseren. Foute boel als je het mij vraagt. Regel het centraal en bied het gratis aan voor gemeenten. Als ze vervolgens elders in zee willen gaan, op eigen kosten (en niet daarover zeiken).
Om te huilen als je er over nadenkt, er is zo veel kennis in die gemeenten aanwezig, zelfs nu al, maar volledig onbenut, want versnipperd. En dan heb je nog EU-breed een potentie... Als je er over na gaat denken, dan springen de tranen in je ogen.

En dan laten we ze nog niet eens samenwerken met de mensen die beschikbaar zijn voor provincies of de centrale overheid of zelfs EU...

Het zal vast gebeuren op bepaalde onderwerpen (parkeren bijv.), maar voor security/software/hosting/netwerken en dergelijke is het eigenlijk een must.
Misschien kan het via VNG, maar het is hoe dan ook een investering die ergens vandaan moet komen (en die schaalbaar zich terug zou verdienen waardoor gemeenten geld kunnen besparen).

Denk je groter, kom je uit bij EU. Qua EU moeten we m.i. vooral van te voren nadenken over locales. Bij moderne software is dat allemaal eenvoudig.

Maatwerk leveren op basis van FOSS kan, blijft wel veel bij consultants hangen dan (lekker parasitair), en geld komt dan niet waar het eigenlijk hoort (de devs). Daarom ben ik van mening dat je FOSS moet financieren als overheid (EU) zijnde. Daar zijn wel mooie initiatieven voor (NLnet bijvoorbeeld). Vanaf dat punt kun je altijd nog voor maatwerk gaan, maar je zou dat maatwerk doorgaans ook in de software zelf kunnen stoppen.
Gelukkig doet de nederlamdse overheid dit dan weer wel goed

Het stukje is wel een beetje propaganda/stemmingmakerij. De software is russisch, ok. Maar er is geen misbruik aangetoond. Dus eigenlijk is er (nog) niets aan de hand maar is het vooral 'eng' ?
Het stukje is wel een beetje propaganda/stemmingmakerij. De software is russisch, ok. Maar er is geen misbruik aangetoond. Dus eigenlijk is er (nog) niets aan de hand maar is het vooral 'eng' ?
Mmm, ja.

Zou jij ervoor kiezen om een password manager te gebruiken die Russisch is en door de Russische overheid wordt gebruikt? Ik niet omdat ik dat 'eng' vind. Als jij daar niets engs aan vindt, dan lijkt het me een duidelijk afwijkende mening. Niets mis mee, hoor, maar feiten feitelijk weergeven zoals hier is gedaan kan naar mijn mening prima door de bocht.
In de (professionele) IT ben je niet alleen maar bezig met happy flow.

Ik heb genoeg servers beheerd, die tijdens hun hele jarenlange levensduur nooit een bestand van backup terugzetten nodig hebben gehad. Maar ja, je maakt backups, niet omdat je ze nu nodig hebt, maar omdat je de kans ziet dat je ze in de toekomst nodig hebt.

Op dit moment wordt de IT-wereld wakker geschud door geo-politiek en zien we dat er meer dingen "happy flow" zijn, waar je vraagtekens bij kunt zetten. In een wereld waarin de President van de VS expliciet zegt geen militaire opties uit te sluiten bij het willen inlijven van het grondgebied van een Europese bondgenoot (Groenland/Denemarken), dan moet je ook gaan nadenken over wat betekent voor je online diensten.

Rusland is ook een geopolitieke tegenstander. We zijn niet direct in oorlog, maar het scheelt niet veel. In ieder geval zijn er constante cyberaanvallen en staats-gesponsorde hacks. Is het dan verstandig om je sleutels tot je systemen te bewaren bij een bedrijf waar de Russische overheid de controle over heeft?
Voor mij is het echt heel simpel, elke wachtwoordmanager die mijn wachtwoorden op een server op slaat vertrouw ik niet! Ik wil mijn eigen beheer kunnen hebben over mijn wachtwoorden en me zelf enigsinds kunnen verzekeren dat mijn wachtwoorden veilig zijn. Ik heb zelf Enpass waarvan ik mijn database wel in een cloud heb staan (OneDrive). Maar hierin heb ik wel een beetje dat als ik Microsoft in dit geval niet genoeg hier voor kan vertrouwen ik veel grotere issues heb, heb immers een Microsoft email :) .

Voor de rest maakt het me weinig uit of het Russisch is of welk ander land dan ook. Als het op een server staat kan dat bedrijf gehackt worden en kunnen mijn wachtwoorden op straat liggen!
Zo simpel is het niet. Wanneer je de code van de client niet zelf controleert (lokaal, niet op GitHub) en dat na elke update herhaalt, weet je nooit zeker of je 'lokale password manager' niet stiekem een ontsleutelde kopie naar een server stuurt.
Niet geheel waar natuurlijk, je kan op operating system niveau gewoon blokkeren dat die applicatie überhaupt het internet op mag :). Dan kan die hoog springen of laag springen, hij krijgt zn data gewoon niet naar huis
Op het nivo waartegen overheids en semi-publieke organisaties zich moeten kunnen verdedigen tegen RU, is dit onvoldoende helaas. Als je eenmaal software uitvoert op een machine is het eigenlijk al einde verhaal hoe goed je je netwerk ook beveiligd, je kunt lezen wat een overheidsorganisatie allemaal kan met bijna geen access in diverse boeken, bijv. Stuxnet is een aardig boek en een bekende case.
Zo simpel is het niet. Wanneer je de code van de client niet zelf controleert (lokaal, niet op GitHub) en dat na elke update herhaalt, weet je nooit zeker of je 'lokale password manager' niet stiekem een ontsleutelde kopie naar een server stuurt.
Absolute zekerheid bestaat niet, het gaat altijd om kansen. Zelfs als je de password manager helemaal vertrouwt moet je ook nog het OS vertrouwen, alle firmware, de hardware, crypto libraries, etc.
Door steekproefsgewijs code te controleren kun je vertrouwen opbouwen. Dat is geen absolute zekerheid maar beter dan niks, zoals wanneer alles extern draait of closed source is.
Daarvoor hebben we net een cybercycurity team dat dit zou moeten controleren.

Maar he je het draait of keert een lokale pswdmgr is altijd minder inbraakgevoelig dan een online versie. Het zijn allemaal verschillende databases op verschillende locaties, waar een cloud variant slechts 1 database (en misschien een lokale sync per user) met gegeven van alle gebruikers. Dus veel interessanter om daar te gaan vissen.
Lokaal moeten ze eerst toegang tot elke pc aparte hebben , kijken of er een dergelijke applicatie is en dan nog eens die proberen te hacken, elk kan nog verschillende firewalls en zelfs OS hebben. En een gehackte lokale database bevat ook minder gegevens.
Op zich een goed uitgangspunt, maar dat je het dan op onedrive zet is wel weer interessant. Hoe is dat anders dan sommige wachtwoordbedrijven?

Bijvoorbeeld de setup van 1password met end-to-end encryption is dusdanig dat als hackers de data al hebben het ze nog steeds met een top tier quantum of supercomputer langer duurt dan de aarde zal bestaan. Er zijn eenvoudigere manieren om die wachtwoorden van mij te krijgen, waaronder ontvoering en marteling. Als ik al ooit zo belangrijk wordt heb ik meer problemen.
Als je op linux/freebsd/openbsd zit is pass wel een redelijke oplossing. Maar nog steeds opletten op wat je doet, als je je private key gaat lekken of ongemerkt en onbewust bloot stelt is alles natuurlijk weer voor niets. Goed beveiligen is moeilijk.

Bruce Schneier heeft ook zich ingezet, heb dit zelf niet gebruikt, maar qua reputatie is hij wel iemand om te overwegen als bron voor goede oplossingen.

[Reactie gewijzigd door demianmonteverd op 17 juli 2026 10:41]

Paar jaar terug even in onze SIEM gekeken naar certificaten van binaries die gesigned zijn door Russische rechtsvormen(OOO,ZAO,AO etc) en dat waren er stiekem toch best een aantal.

Nu ga ik er van uit dat "Passwork" misschien niet eens gesigned is, en als het dat wel is misschien door een spaanse rechtsvorm.

Maar in ieder geval een idee om te kijken of er Russische software binnen je bedrijf gebruikt wordt. Je vindt in ieder geval het laaghangende fruit.
Veeam is er ook zo eentje met een Russische bodem.. Kan je wel niet zomaar veranderen want, is er wel iets wat minstens even goed is?
Hornetsecurity (Altaro) is met gemak minimaal even goed en zelf beter imo. Acronis en Bacula zijn ook prima alternatieven.
Kort antwoord: Ja, Rubrik is beter dan Veeam.
Het gaat niet om consumentjes. Gaat om Bedrijven/ instellingen die van deze software gebruik maken. Dat is gezien de politieke ontwikkelingen zeer onwenselijk. Daarom is het een goede wake up call.
Er zijn overigens geen aanwijzingen dat Passwork gecompromitteerd is of dat Rusland toegang heeft tot wachtwoorden of andere data. Wel waarschuwen verschillende experts voor de risico's.
Een in het artikel niet genoemd risico is mogelijke boetes als een bedrijf onder de huidige sancties gebruik blijft maken van Passwork. Een migratie is nodig om dit te voorkomen.
Op hun website staat letterlijk als eerste feature die ze benoemen "auditable source code". Nou, de enige source code die ik kan vinden is een aantal deprecated repo's en een command-line interface, niet de server of andere client software.

Ze hebben het ook over self-hosted, maar ik zie nergens een server download oid. Ook al logen ze niet over hun afkomst, klinkt dit wel heel vaag. De "on-premise solution" link in hun footer redirect gewoon naar de homepagina.

Als alles gewoon open-source geweest was, met een verifieerbare build pipeline, zou het in principe geen enkel probleem hoeven zijn dat deze partij Russisch is. Maargoed zoals het nu is zou ik het sowieso niet vertrouwen.
Wat is dit:
ik type een reactie op de reactie van ene Kaasdipje en bij het plaatsen krijg ik een unauthorized action?
Na het refreshen van de pagina blijkt de betreffende post met alle (10tallen) posts eronder, verdwenen te zijn.

Hoe kan dat? Worden reacties gemoderate?
Ik draai toevallig een instance van Passwork on-premise. De code is inderdaad gewoon in te zien, het is een docker install in ons geval op Linux. Zie de manuals voor installatie:

Standard Passwork installation on Linux | Passwork

Erg fijne password manager met enterprise functionaliteit, zoals SSO via Azure, SCIM via Azure, rollen die toe te kennen zijn aan gebruikers (wij hebben 30 gebruikers van ons IT team hier in hangen) waarmee je vaults kunt afschermen. Wachtwoorden die niet zichtbaar zijn voor anderen kunnen eenmalig of tijdelijk zichtbaar gemaakt worden.

Ook uiteraard een browser plugin en desktop app.

Uiteraard mag deze instance niet het internet op (althans, behalve de update repos voor Alma dan). Updates gebeurt door een ZIP te downloaden en deze via een udpate script uit te rollen. Dus ik maak mezelf absoluut geen zorgen over deze software.

[Reactie gewijzigd door vtsalf op 17 juli 2026 11:35]

Het is goed dat we een MIVD, AIVD, team High Crime, hebben die er boven op zitten. Oh, wacht, het waren journalisten die dat ontdekten.

Ik denk overigens dat de angst voor achterdeurtjes die ingebouwd moeten worden ook voor andere landen gelden. In Amerika waren ze er ook niet vies van om dat zelf te doen (die 3 letter club die routers aanpasten) of om een bedrijf het op te leggen (Verizon die een soort t-splitsing moest maken op hun glasvezel).

Als oude vent die iets te veel info is kwijt geraakt in zijn digitale leven ben ik een KISS fan en staan mijn wachtwoorden in een TXT bestand op VeraCrypt. Het is wat lastig maar ik controleer het in eigen beheer.
Dat werkt prima voor een (tech-savvy) individu, maar binnen een bedrijf of andere grotere organisatie schaalt dat niet op. Je hebt daar gewoon complexere eisen:
* gedeelde wachtwoorden
* rotatie-beleid
* toegang intrekken / verlenen
* audits
Dat het voor een bedrijf lastig is erken ik. Je zou het maar moeten regelen als je tientallen medewerkers hebben die op allerlei functies en werkniveaus werken.

Er is wel een fundamenteel verschil. Als het je eigen leven betreft kan dat er flink inhakken. Als het je werkgever betreft is dat in principe zijn/haar probleem. Het kan ook jouw probleem worden als de klanten wegblijven na een incident en jij daardoor je baan verliest.
Het is goed dat we een MIVD, AIVD, team High Crime, hebben die er boven op zitten. Oh, wacht, het waren journalisten die dat ontdekten.
ik denk niet dat het helemaal fair is om te verwachten dat de Nederlandse politie wereldwijd alle achtergronden van alle bedrijven van alle software gaat onderzoeken om te kijken of daar wellicht iets niet klopt.
Ik verwacht ook niet dat de Politie het wereldwijd bijhoudt. Ze kunnen het nu amper aan als iemand aangifte wil doen. In zekere zin doet de gemiddelde politiemedewerker ook maar zijn best met wat hij heeft en mag doen.

Om te kunnen reageren moet je ingelogd zijn