Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 51 reacties

Twitter heeft het bedrijf achter de password-manager Mitro overgenomen. Het bedrijf staakt de ontwikkeling van de password-manager, maar samen met de Electronic Frontier Foundation maakt de Amerikaanse onderneming de broncode openbaar.

Het team achter de password-manager gaat aan de slag in het 'locatie-team' van Twitter; daarmee lijkt de overname een zogenoemde acqui-hire te zijn, waarbij een bedrijf wordt overgenomen om de mensen die er werken in dienst te kunnen nemen. Vaak staakt het bedrijf dat het kleinere bedrijf overneemt de dienstverlening. Dat is in dit geval ook zo, maar Mitro heeft de broncode van het project openbaar gemaakt.

De Electronic Frontier Foundation, een burgerrechtenorganisatie die vergelijkbaar is met het Nederlandse Bits of Freedom, gaat Mitro helpen om van de software een succesvol opensource-project te maken. Zowel de broncode van de client als van de server is openbaar gemaakt. Mitro zal de servers nog tot in ieder geval eind dit jaar in de lucht houden; hoe het daarna zit, is nog onbekend.

Mitro is een relatief nieuwe en kleine password-manager. De software biedt onder meer de mogelijkheid om wachtwoorden te delen met anderen en automatisch in te loggen via een extensie.

Mitro

Moderatie-faq Wijzig weergave

Reacties (51)

De software biedt onder meer de mogelijkheid om wachtwoorden te delen met anderen; functionaliteit die grotere password-managers nog niet hebben ingebouwd.
LastPass kan dit anders al heel erg lang :)
Dashlane en Passwordbox ook. Dit is een feature die inderdaad al lang geïmplementeerd is.

[Reactie gewijzigd door MoonRaven op 1 augustus 2014 11:52]

Ook 1Password kan dit al lang, ook op mobiele devices.

Zo hebben we volgens mij alle grote password managers wel te pakken, behalve KeePass.

[Reactie gewijzigd door Remz op 1 augustus 2014 12:33]

Keepass en niet te vergeten KeepassX en KeepassDroid en MiniKeepass iOS doen dit al jaren, zijn open source en multiplatform.

Edit: Remz, je edit was tijdens mijn typewerk :)

[Reactie gewijzigd door [Yellow] op 1 augustus 2014 15:50]

Als je echt wachtwoorden wil delen met een group mensen en/of in een professionele situatie, dan is Teampass echt een aanrader. De tool heeft echt veel functionaliteit en rechten kunnen tot in het detail worden ingesteld en beheerd.

Volgens mij krijgt deze tool niet de aandacht die het verdient wat ook voor een deel komt door de chaotische website.

http://www.teampass.net/
Github: https://github.com/nilsteampassnet/TeamPass
Helaas zijn er onlangs wat SQL injections gevonden in de source (versie: 2.1.20).
Dus wel oppassen als je teampass direct aan het internet hangt


Passman (ww manager voor ownCloud, krijgt binnenkort ook pw sharing

[Reactie gewijzigd door Brantje op 1 augustus 2014 14:31]

Helaas zijn er onlangs wat SQL injections gevonden in de source (versie: 2.1.20).
Dus wel oppassen als je teampass direct aan het internet hangt
Ik denk dat je redelijk zot bent als je je centrale password manager van je bedrijf aan het internet hangt. :)
Inmiddels verbaas ik me al niet eens meer als bedrijven dit soort dingen toch doen, omwille van 'handig' kan tegenwoordig elke policy om zeep geholpen worden door figuren die zichzelf manager noemen en voelen maar vaak hun eigen veters amper kunnen strikken.

Overigens vind ik passwords delen zowieso al een minder fijne gedachte, soms zal het niet anders kunnen maar ik heb dan toch liever dat er gebruik gemaakt wordt van een centrale identity provider en dat alle logins daarlangs lopen, bijvoorbeeld door gebruik te maken van SAML 2.0. Voorbeeld van zo'n implementatie is ADFS 2.0 als we het over Microsoft hebben maar er zijn diverse andere varianten mogelijk.

Ik snap dat dat slecht werkt voor logins bij leveranciers en dergelijke, zeker als het op kleine schaal gebruikt wordt. Alhoewel het de voorkeur zou hebben dat een zakelijk account bij een leverancier meerdere logins kan hebben, een voor elke persoon die er in moet. Het delen van passwords levert zo'n enorm gedoe op als er iemand weg gaat, op een vriendelijke of onvriendelijke manier... Het is een enorm werk om dan weer alles te gaan resetten.

[Reactie gewijzigd door mxcreep op 1 augustus 2014 14:17]

Hoe dan ook is dit gewoon heel slecht. Die code is een perfect voorbeeld van hoe je database-code niet moet schrijven.
Overigens kan 1Password dit ook door middel van Shared Vaults. Zo ver ik weet is 1Password een vrij populaire password manager voor de Mac, al is het op verschillende platforms beschikbaar.

[Reactie gewijzigd door eThomas op 1 augustus 2014 12:32]

Heb net een account gemaakt en wat wachtwoorden ingezet. En nu wordt het grappig: probeer er maar 's vanaf te komen! Je kunt gewoon nooit meer je Mitro account verwijderen?!???!??
Ik ben geen beveiliging expert, maar toch komt het vreemd op me over om iets als een password manager opensource te maken en de broncode vrij te geven. Is dit niet vragen om hacks?
Edit: *OFFTOPIC* Ik snap niet waarom dit offtopic zou zijn maar goed, zo te zien wordt er hard bijgedragen om ook tweakers de mond te snoeren?

[Reactie gewijzigd door crazylemon op 1 augustus 2014 21:37]

Niet per se, als de broncode online staat dan kan iedereen ook bijdragen aan de code. Problemen in de code kunnen op die manier opgelost worden. De broncode van Firefox is bijvoorbeeld ook opensource en dit is juist een van de veiligste browsers.
Je hebt gelijk als je zegt dat open source software even veilig of zelfs veiliger kan zijn, maar Firefox is een slecht voorbeeld.

In hackingcompetities als Pwn2Own is Firefox de afgelopen jaren altijd de eerste browser geweest om te sneuvelen, en ook diegenen met de meeste exploits. Daarnaast heeft het minder bescherming tegen onveilige downloads dan Chrome en IE (die allebei een ingebouwde scanner hebben).

Firefox is ook de enige grote browser zonder sandboxing. Dat maakt hem ietsje zuiniger met geheugen, maar veel minder veilig.
In eerste instantie na het publiekelijk vrijgeven van de broncode is het inderdaad vatbaarder, gezien het feit dat hackers precies weten hoe de applicatie in elkaar zit en zo makkelijker exploits kunnen vinden. Maar het zorgt er ook voor dat iedereen actief kan bijdragen aan de source, waardoor exploits en dergelijke sneller verholpen kunnen worden, en dat geldt al helemaal wanneer kwetsbaarheden gevonden worden door een niet-kwaadwillende. Ook kan niemand, en dan met name de developers, een backdoor in de software bouwen, omdat de source openbaar is en iedereen kan zien wanneer het gebeurd.

Zolang er genoeg mensen zijn die actief de source lezen en eventuele kwetsbaarheden fixen, dan is het tamelijk veilig om een applicatie open-source te maken. Maar wanneer er veel gebruik van wordt gemaakt, terwijl eigenlijk niemand daarin bijdraagt aan de source, dan brengt het wel een risico met zich mee; mochten er toch kwetsbaarheden zijn waarvan de developers niet op de hoogte zijn, dan kunnen deze makkelijker te vinden zijn voor hackers en een lange tijd blootliggen.
Dat is een bekend misverstand. Je hebt de broncode niet nodig om fouten te vinden. Het kost misschien wat meer moeite maar het is goed te doen. Er zijn zelfs allerlei semi-automatische tools om problemen te zoeken en er misbruik van te maken. Wie bereid is om moeite te doen, omdat er geld mee valt te verdienen, laat zich dus niet tegenhouden door een gebrek aan broncode.

Problemen oplossen zonder de broncode is vaak wel heel moeilijk. Daarnaast geeft de broncode je de mogelijkheid om problemen zelf op te (laten) lossen als de auteur dat niet kan of niet wil.
Ja idd dacht ik ook al,
Maar aan de ander kant is het ook een manier om het te laten verbeteren , hierdoor is het ook makkelijker om bug's te ontdekken.
Als er een zwak punt in de beveiliging zit, dan is dit ook voor iedereen zichtbaar en zal het probleem wel snel gemeld (en hopelijk ook gefixt) worden. Bij closed source weet je niet of er zwakke punten inzitten en of er misbruik kan van gemaakt worden.
Hacks zijn niet afhankelijk van open of gesloten broncode. Beide vormen geven geen garantie op veiligere software. Fouten in code en slechte beveiliging kunnen leiden in hacks. Open Source wordt vaak veiliger geacht omdat de code door meerdere mensen ingezien kan worden. Maar als de code niet goed doorgelicht wordt, kunnen er fouten in sluipen. Kijk bijvoorbeeld maar naar de Heartbleed bug in OpenSSL. Het voordeel van open code is wel dat iemand die een fout vindt, deze ook makkelijker kan verbeteren, zodat die sneller opgenomen kan worden in de software. Bij gesloten software is dat een stuk lastiger. Bovendien ben je bij gesloten software afhankelijk van de ontwikkelaar: als daar een fout in zit, moet je wachten totdat die het verbeterd.
Mooi dat het open source wordt, heb net even gekeken en je kan je zelfs nog registreren op de site.

Werkt allemaal heel makkelijk, een stuk handiger dan bijvoorbeeld KeyPass. Als je dan binnenkort ook nog je eigen server kan hosten zou het helemaal mooi zijn en ga ik het zeker actief gebruiken.

LastPass heb ik ook een poosje gebruikt maar toch vind ik dit prettiger werken. Het ziet er beter uit, werkt gewoon simpel en je kan ook hier random password generen.

Kortom: gewoon wat de gemiddelde gebruiker nodig heeft, niet te veel features maar ook niet te weinig.

[Reactie gewijzigd door Naxiz op 1 augustus 2014 11:50]

Als ik zo even snel kijk dan wil je Mitro ook niet vergelijken met KeyPass KeePass. Het is veel logischer om deze te vergelijken met LastPass. Waarom? Omdat KeePass juist de mogelijkheid biedt om niet via de cloud paswoorden op te slaan. Iets waar ik veel waarde aan hecht.
kijk eens naar roboform dan, stukje professioneler dan keepass en heeft wat je zoekt en meer.
Waaruit blijkt dat RoboForm professioneler is dan?
oh, zoveel zaken, maar dat kan je toch zelf opzoeken? Ik noem er eentje: ios app die goed werkt.

Keepass is leuk als je iets gratis zoekt en zweert bij open source. Roboform en last pass zijn in mijn ogen betere passwordmanagers.

[Reactie gewijzigd door Dikkiedikdik op 1 augustus 2014 12:22]

Ondersteuning voor meerdere platformen maakt het niet professioneler, het maakt het breder ondersteund. Battlefield 4, of Office zijn niet onprofessioneel omdat ze niet op iOs draaien...

RoboForm zei je hè?
In het geval van LastPass kon de bookmarklet eenvoudig worden misbruikt door de website waarop een gebruiker de bookmarklet gebruikte. De website kan de sleutels die worden gebruikt om de wachtwoorden te beschermen uitlezen en vervolgens de hele wachtwoord-database van de gebruiker uitlezen. RoboForm en My1login hadden vergelijkbare kwetsbaarheden.
bron

Duidelijk stukje professioneler inderdaad.
Je conclusie is een beetje kort door de bocht. Het is een test uit 2013, waar de getestte producten/bedrijven op één na, hun fouten hebben hersteld. Wat je hier schrijft was de status van begin 2013 en is al lang niet meer van toepassing.

Kwetsbaarheden zullen altijd in deze type applicaties aan het licht komen. Wat ik belangrijker vind is dat deze applicaties in het licht blijven staan en regelmatig goed onderzocht worden. Ik sta dus helemaal achter deze wijze van onderzoeken.
Wat je hier schrijft was de status van begin 2013 en is al lang niet meer van toepassing.
Kwetsbaarheden zullen altijd in deze type applicaties aan het licht komen.
Het is een kwestie van tijd totdat het zich weer voordoet.

Zulk soort onderzoek kan ik overigens ook alleen maar toejuichen, maar persoonlijk snap ik niet dat mensen het geen enkel probleem vinden om dergelijke risico's te lopen met hun (hele) wachtwoorden(bibliotheek).
Ongelukkig voorbeeld. Office draait wel op iOS.
(Maar je bedoeling is duidelijk.)
Roboform slaat de wachtwoorden online op zodat het kan syncen? Tenminste dat is wat ik zie in de instructievideo. Dat is nou iets wat ik niet wil!

Ik gebruik KeePass zodat ik de belangrijkste wachtwoorden lokaal op kan slaan. Dat kan een USB stick zijn of een HDD maar in mijn geval een map die synct met Tresorit (secure dropbox alternatief). Deze versleutelt mijn al versleutelde database. Tresorit servers staan bovendien in het neutrale Zwitserland en vallen niet onder de patriot-act.

PS. Ik heb KeePassX, werkt gewoon voor OSX en bovendien straalt die website van RoboForm allesbehalve professionaliteit uit. Daar ga ik echt geen geld aan uitgeven.
Je mening in de eerste alinea kan ik inkomen, maar zoals je in de 2e alinea zegt, dat iets in het "neutrale Zwitserland" veilig is, vind ik wat subjectief. Alsof de Amerikanen geen data kunnen onderscheppen en de-encrypten.

KeePass is een leuke applicatie, maar ook Roboform werkt ook perfect, al hebben beiden, hun eigen kenmerken en eigenaardigheden.
Niet veilig maar veiliger.

*conspiracy modus*
Als ik mijn database bestand in Dropbox/Drive heb staan hoeft de NSA/Boef alleen te zoeken op keepass database extensies. Ze hebben immers directe toegang tot de servers. In mijn geval met Tresorit moeten ze de encrypted data onderscheppen (lijkt me sterk dat ze alle data ter wereld onderscheppen of specifiek mij) en dan de-encrypten en zoeken naar de databases. Welke optie lijkt je dan veiliger?

Het beste zou zijn als de database niet in contact komt met het wereld wijde web maar ik zie niks in een HDD of USB stick die ik altijd aangesloten moet hebben om te zorgen voor een backup.

Mijn combinatie is voor mij op dit moment de ideale veiligheid/praktisch combinatie.
Dat begrijp ik, maar toch is hebben ze allebei het doel om wachtwoorden op te slaan.

KeePass is dan offline, wat je een veiliger gevoel geeft, maar alles kost meer "moeite" dan met LastPass of Mitro: je moet voor elke registratie allemaal klikken doen en tussen schermpjes wisselen waardoor ik er al snel mee gestopt ben. Of is er ook een browser extensie voor KeePass?

Ook het inloggen met KeePass werkt niet altijd soepel, je wachtwoord staat maar een paar seconden op je klembord dus als je per ongeluk verkeerd klikt kan je vaak opnieuw beginnen. De auto login functie werkt ook niet perfect (soms wordt het verkeerde scherm, tab of veld geselecteerd waardoor je er van alles aangeklikt wordt).
Bij Keepass kun je het aantal seconden instellen voor je klembord, het zelfs uit schakelbaar...
Tja, je reactie laat duidelijk zien dat jij liever gemakzuchtig bent dan je data veilig hebt. Het automatisch vergeten van data in je klembord is met nadruk een uiterst goede toevoeging om er voor te zorgen dat wachtwoorden/etc niet zomaar ergens per ongeluk geplakt (kunnen) worden.

En zo heel veel meer moeite is het niet met KeePass. Als ik een wachtwoord wil hebben open ik KeePass (met wachtwoord) en vervolgens kan ik met rechts klikken makkelijk de username en password kopiëren om in te loggen. Het klopt dat je standaard "maar" 12 seconde (als ik me niet vergis) hebt om te plakken, maar normaal kost een alt-tab en een ctrl+v mij niet meer dan 12 seconde...

Een wachtwoord manager met browser plugin is riskant, zoals onlangs ook duidelijk bericht is.

Een quote ter illustratie:
In het geval van LastPass kon de bookmarklet eenvoudig worden misbruikt door de website waarop een gebruiker de bookmarklet gebruikte. De website kan de sleutels die worden gebruikt om de wachtwoorden te beschermen uitlezen en vervolgens de hele wachtwoord-database van de gebruiker uitlezen. RoboForm en My1login hadden vergelijkbare kwetsbaarheden.
Hoewel ik het met je eens ben dat plugins een bepaald beveiliginsrisico met zich meedragen, is je quote voor een bookmarklet. Deze is expliciet voor mensen die (tijdelijk) zonder de plugin zitten van LastPass, de plugin zelf bevatte deze kwetsbaarheid niet.
Dat klopt. Voor de minder belangrijke websites genereer ik een random password. Deze wil ik gewoon makkelijk kunnen toevoegen en weer ophalen (het liefst nog automatisch).

Voor de rest verzin ik zelf wel een goed wachtwoord en onthou ik die zelf. Samen met two-factor authentication lijkt me dit meer dan voldoende. :)

Dat je wachtwoord met KeePass na een paar seconden van je klembord gewist wordt snap ik helemaal, ik wist nog niet dat je dat kan instellen maar dat is natuurlijk ook wel logisch. Het gaat soms fout met alt + tab, soms zit er dan een ander scherm tussen waar je niet snel weer uit komt.
Ja hoor, je kan het op je eigen server draaien.
Repository for all Mitro client & server code
De buildinstructies staan op GitHub.

[Reactie gewijzigd door OrangeTux op 1 augustus 2014 11:54]

Ik zat er al naar te kijken, dankje! Ik kan alleen niet zo snel vinden hoe je dan de browser extensie met je eigen server koppelt. :| Zal wel heel simpel zijn, misschien moet ik gewoon even wat beter kijken. :P
Even vlug rondkijken en dan kom ik uit bij de config-directory binnen browser-ext, waarin o.a. MITRO_HOST gedefinieerd staat. Deze zie ik op andere plekken weer terugkomen als host waarmee gecommuniceerd wordt.
Klinkt toch verdacht veel als de features van LastPass. ;)
Dat klopt, als ik snel even kijk heeft LastPass volgens mij zelfs meer features.

Mitro ziet er alleen een stuk beter uit (vind ik zelf) en werkt veel simpeler (waarschijnlijk door het kleinere aantal features). Met LastPass kan je wel 20 velden invullen, hier heb je alleen naam, URL, gebruikersnaam, wachtwoord en notitie.

Samen met een random password generator is dit gewoon alles wat ik nodig heb, in 1 klein simpel menu.

Ook kan je Mitro dus zelf hosten, wat weer een iets "veiliger" gevoel geeft (ook al hoeft dit natuurlijk niet zo te zijn, er kan van alles in de code staan).

[Reactie gewijzigd door Naxiz op 1 augustus 2014 12:09]

Ik vraag me af hoe mensen denken veilig te zijn als ze een password manager via het internet kan benaderen. Oke, het is handig maar als iemand daarop toegang krijgt, dan hebben ze toegang op alle websites, emails enzovoort.

Kunnen ze het niet beter op een lokaal houden? Via het internet benaderen is een slecht idee, misschien is dat wel handig als je toegang kan geven op IP basis, anders dan dat. Vind ik het een No-Go. Vind het helemaal raar dat er mensen zijn die hun password op een gehost omgeving doen, en hun wachtwoorden in de handen van iemand onbekends geven, niet alleen dat, het is mogelijk ook een doelwit voor hackers. tja, het is meer het definitie wat iemand 'veilig' vindt.
Die vraag heb ik mijzelf ook vaak gesteld, collega's claimen bijvoorbeeld dat LastPass met two factor authenticatie super veilig is er zit immers een echt bedrijf achter met eigen developers dus de implementatie zal best wel in orde zijn, ik ben dus een beetje huiverig voor dergelijke aannames.
Mijn grootste zorg is echter dat de schaalgrootte en bekendheid van lastpass er echter ook voor zorgt dat het een interessant doel kan zijn om aan te vallen.
Zelf gebruik ik lastpass wel voor minder belangrijke accounts zoals webshops en dergelijke want het is wel vreselijk handig als je niet thuis bent en toch even snel iets op een forum wil posten.

Het zelf hosten van een password manager heb ik ook wel eens bekeken zodat ik al mijn wachtwoorden in eigen beheer kon houden echter vertrouwde ik de programma niet genoeg om er al mijn wachtwoorden aan toe te kennen. Een applicatie zoals teampass kan van zichzelf best veilig zijn als ik echter mijn server fout configureer dan kan ik zomaar een onnodig risico introduceren.
Waarom zou je voor niet kritische wachtwoorden zelf de zorgen over security van de password vault op je nemen, je introduceert toch weer een potentieel aanvalsdoel in je netwerk.
Mitro al een keer gebruikt en lastpass ook.
Maar toch kan ik niet wennen aan het hele systeem.

Prima voor thuis enzo.
Maar als ik dan een keer bij iemand anders thuis ben en ik wil even snel ergens inloggen moet ik gelijk moeilijk gaan zitten doen omdat ik die random wachtwoorden niet uit me hoofd ken.
Dat klopt. Het is soms onhandig. Maar als het alternatief is om dan maar overal hetzelfde wachtwoord te gebruiken dan kies ik toch voor een passwordmanager. Realiseer je ook dat een wachtwoord wat je bij iemand ander invult onderschept of opgeslagen kan worden. Juist dan is het fijn als je voor elke dienst een uniek wachtwoord gebruikt hebt.

In mijn praktijksituatie komt het weinig voor dat ik bij iemand anders moet inloggen. Meestal heb ik mijn eigen computer thuis of op het werk, of heb ik mijn laptop, iPad of iPhone bij me. Moet het echt op een vreemde pc, dan zoek ik ze op in de iOS app. Het geeft me veel rust in mijn hoofd dat ik ze niet meer allemaal hoef te onthouden.
Het is sowieso geen goed idee om bij iemand anders thuis je wachtwoorden te gebruiken.
Maar als dan toch: Heb je een smartphone en is er geen smartphone versie van het programma dat je gebruitkt?

Bijvoorbeeld 1Password op Windows / MAC / iPhone, deze kun je met elkaar syncen, werkt heel goed.
je kan via lastpass.com met je master password inloggen (juist via een browser zonder lastpass extentie) en dus toegang tot al je lastpass data. Persoonlijk zou ik dit niet doen op een onbekende computer, maar het kan.
Dit klinkt behoorlijk vreemd: "random wachtwoorden" die je uit je hoofd zou moeten kennen. Dat zou mij ook niet lukken. Ik onthoud mijn eigen, ooit weliswaar random gekozen, wachtwoorden niet eens.

Daarom gebruik ik 1Password, gesynchroniseerd op computer, iPad en iPhone. Destijds stond de container op Dropbox zodat deze ook geopend kon worden met een browser maar nu heb ik deze in iCloud staan. Liever zou ik deze in mijn private cloud op de Synology plaatsen maar dat wordt helaas (nog?) niet ondersteund.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True