Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Door Sander van Voorst

Nieuwsredacteur

Datalekkenjaar 2016

Kiezen uit wachtwoordmanagers

Tot slot

Als je eenmaal hebt besloten je wachtwoorden in een centrale database te stoppen en het bedenken ervan over te laten aan software, hangt de uiteindelijke keuze voor een wachtwoordmanager in feite af van gemak, prijs en vertrouwen. Vrijwel alle besproken managers hebben alle belangrijke functies aan boord, zoals het genereren, invullen en opslaan van wachtwoorden, tweetrapsauthenticatie en degelijke encryptie, maar wat gemak betreft zijn er hier en daar verschillen. Vertrouwen speelt een rol, omdat je in het geval van commerciële producten die geen publieke broncode hebben, er zeker van wil zijn dat jouw gegevens in veilige handen zijn. Bij opensourcesoftware kan dit ook spelen, bijvoorbeeld omdat er nog geen audit van de broncode heeft plaatsgevonden. Daarnaast zijn sommige wachtwoordmanagers gratis, wat eveneens een aantrekkelijke factor kan zijn.

Ga je vooral voor gemak en prijs, dan is LastPass een goede keuze. De software biedt veel mogelijkheden en is beschikbaar op een groot aantal platforms. Daar komt bij dat het synchroniseren van de wachtwoorden op verschillende apparaten sinds kort gratis is, waardoor LastPass in feite volledige functionaliteit voor niets biedt. De software heeft een bètafunctie waarmee gebruikers hun wachtwoorden op een Europese server kunnen opslaan. Dit kan voor sommigen aantrekkelijk zijn. Op het gebied van vertrouwen is LastPass dan weer een lastige. Het bedrijf is overgenomen door LogMeIn, wat voor sommige gebruikers een reden was om op zoek te gaan naar een alternatief. Hoewel LastPass over het algemeen snel reageert op meldingen van kwetsbaarheden, is dit geen garantie dat de software daadwerkelijk veilig is. Wel kunnen gebruikers een aantal maatregelen nemen om hun account aanvullend te beveiligen.

Holly Victoria Norval, 'Safe and Sound', CC BY 2.0

In dezelfde hoek zitten 1Password en Dashlane, die naast uitgebreide mogelijkheden ondersteuning bieden voor verschillende platforms en een rijpe indruk maken. Eerstgenoemde wachtwoordmanager is met omwegen gratis te gebruiken, waarbij je zelf het synchroniseren van de wachtwoordendatabase moet regelen. 1Password kan deze taak overnemen, maar daarvoor is een 'premium'-account nodig, die iets minder dan 3 euro per maand kost. In het geval van Dashlane ontbreekt synchronisatie in de gratis versie volledig, wat enigszins afbreuk doet aan het gebruiksgemak.

Gratis synchronisatie is wel een eigenschap van Enpass, dat wordt aangeboden door een bedrijf uit India. Gebruikers die dat geen probleem vinden, kunnen deze software gratis gebruiken en zelf de synchronisatie regelen. Met een prijs van eenmalig 10 euro per apparaat is Enpass een vrij goedkope optie onder de commerciële wachtwoordmanagers. Wie wil vertrouwen op een bekende naam, kan kiezen voor True Key van Intel, dat een scala aan authenticatiemogelijkheden biedt.

Wie vertrouwen belangrijk vindt en bereid is om daarvoor wat gemak in te leveren, kan kiezen voor de opensourcevarianten van KeePass of Password Safe. Het voordeel van deze software is dat de broncode openbaar is, waardoor deze te inspecteren is. Het goede nieuws voor KeePass is dat de Europese Unie een audit heeft laten uitvoeren, waarbij geen ernstige kwetsbaarheden werden gevonden. KeePassX en Password Safe bieden vergelijkbare mogelijkheden en beschikken over de belangrijkste functies voor wachtwoordmanagers. Gebruikers kunnen ervoor kiezen om hun wachtwoordendatabase zelf te synchroniseren op andere apparaten, waarvoor verschillende apps te downloaden zijn. Daardoor kunnen gebruikers hun wachtwoordendatabase desgewenst in eigen beheer houden, in ruil voor net iets meer moeite. Onder de opensourcevarianten maakt de tweede versie van KeePass een goede indruk, door de verschillende functies en plug-ins.

Wie open source wil in combinatie met automatische synchronisatie, kan altijd nog voor Padlock kiezen. Gebruik van de synchronisatie is dan niet gratis.

Wachtwoordmanager Positief Negatief
KeePass
  • Veel functies
  • Plug-in-ondersteuning
  • Heeft een audit gehad
  • Open source
  • Mogelijkheid om zelf te synchroniseren
  • Geen automatische synchronisatie
  • Minder toegankelijk
  • Geen waarschuwing bij lekken
KeePassX
  • Open source
  • Belangrijkste functies aan boord
  • Mogelijkheid om zelf te synchroniseren
  • Geen automatische synchronisatie
  • Minder toegankelijk
  • Geen audit
  • Geen waarschuwing bij lekken
LastPass
  • Uitgebreide gratis versie
  • Serverkeuze
  • Eenvoudig te gebruiken
  • Tweetrapsauthenticatie
  • Invullen wachtwoorden desktopapps
  • Waarschuwing bij lekken
  • Gesloten broncode
  • Wachtwoordherstel mogelijk
  • Geen waarschuwing bij zwak hoofdwachtwoord
1Password
  • Heldere interface
  • Veel documentatie
  • Security Whitepaper
  • Waarschuwing bij lekken


  • Geen duidelijke indicatie van sterkte hoofdwachtwoord
  • Geen gratis versie
  • Geen tweetrapsauthenticatie
  • Gesloten broncode
Dashlane
  • Tweetrapsauthenticatie
  • Security Whitepaper
  • Gestroomlijnde interface en eenvoudig gebruik
  • Waarschuwing bij lekken

  • Gratis versie te beperkt voor normaal gebruik
  • Geen duidelijke indicatie van sterkte hoofdwachtwoord
  • Dashlane Browser
  • Gesloten broncode



Password Safe
  • Open source
  • Belangrijkste functies aan boord
  • Gerenommeerde ontwikkelaar
  • Geen functies buiten het allernodigste
  • Geen automatische synchronisatie
  • Minder toegankelijk
  • Geen waarschuwing bij lekken
True Key
  • Intel is een bekende naam
  • Veel authenticatiemogelijkheden
  • Security Whitepaper
  • Gesloten broncode
  • Wachtwoordherstel mogelijk
  • Gratis versie te beperkt voor normaal gebruik
Enpass
  • Mogelijkheid om zelf te synchroniseren
  • Ondersteuning voor veel platforms
  • Gratis mobiele versie te beperkt voor normaal gebruik
  • Onbekend bedrijf
  • Gesloten broncode
  • Geen automatische synchronisatie
Padlock
  • Zeer eenvoudig
  • Automatische synchronisatie
  • Heeft een audit gehad
  • Open source


  • Weinig documentatie
  • Hoge kosten voor automatische synchronisatie zonder aanvullende functies
  • Weinig platforms

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Reacties (220)

Wijzig sortering
Op het forum loopt al tijden een topic over password managers waar o.a. ervaringen in worden gedeeld. Erg interessant om eens door te nemen om persoonlijke ervaringen te lezen evenals voor- en nadelen van bepaalde oplossingen.

Het topic vind je hier: [Password Managers] Discussie- en reviewtopic
Misschien interessant om KeyPass van Dobysoft eraan toe te voegen ? Zie ook mijn post van daarnet.
Ik mis ook Kaspersky Password Manager
Brr closed source... Nee dank u.
Het stuk over 1Password komt slordig over. Ik denk dat er veel duidelijker onderscheid gemaakt moet worden tussen de 1Password-apps en de online-dienst. Een deel van de uitleg is namelijk niet op beide van toepassing (e.g. tweestapsverificatie).

1Password is altijd al een betaald programma geweest dat je voor elke platform moest aanschaffen, e.g. macOS en iOS. Ik vermoed dat de verwarring optreedt door het feit dat de apps nu ‘gratis’ worden aangeboden. Het zijn freemium-apps. Op iOS/Android gebruikt AgileBits een betaalmodel met eenmalige in-app-aankoop. Als je daar geen gebruik van maakt, is de app inderdaad alleen een beperkte ‘viewer’. Sinds kort heeft AgileBits ook een online-dienst van 1Password met een abonnementsmodel. Als je dat gebruikt, krijg je de apps er namelijk bij.

Verder is het ook van belang om te begrijpen dat 1Password van begin aan als een offline-programma werd ontwikkeld. Het programma bewaart de databank in een bestand op de harde schijf. Het synchroniseren van dit bestand met andere toestellen is een extra dienst die je moet opzetten. Je kunt kiezen voor Dropbox en iCloud, waarbij een kopie van het bestand op de virtuele schijf wordt geplaatst. Je kunt dit bestand ook elders plaatsen, zoals een flash-drive of NAS. Je kunt 1Password ook via Wi-Fi synchroniseren. De online-versie van AgileBits verschilt hier enorm, omdat de databank primair op een server ligt. De apps zijn dan alleen clients waarmee je toegang krijgt tot de server en je moet natuurlijk een account beheren en beveiligen.

Het zijn dus twee aparte dienstverleningen.

Twee voordelen van 1Password: (1) De iOS-app heeft een extensie die door andere apps kan worden geïntegreerd. Zo kun je in bepaalde apps direct met 1Password inloggen. (2) Het synchroniseren via Wi-Fi. Het is bijna net zo comfortabel als een online-synchronisatie en er komt geen server aan te pas.
Hoi Eitot, thanks voor de opmerking. Ik zal kijken of ik het onderscheid duidelijker kan maken in de tekst.
Op zich een goed artikel. Fijn om te zien dat er weer 's een vergelijkend onderzoek is gedaan ipv zomaar willekeurig wat producten te reviewen.
Wat ik alleen nog mis: Je hebt het over vertrouwen als belangrijk onderdeel, maar je geeft verder vrij weinig informatie over de voorwaarden die de software stellen. Juist daarin kun je vaak al lezen wat men met je data gaat / mag / kan doen. De kleine regeltjes zegmaar. Er is nu geen enkele reden om vertrouwen te kweken uit dit soort applicaties, ook niet na 't lezen van je artikel.

Bovendien is niks zo veilig als gewoon je hersens gebruiken. En laten we eerlijk zijn, ook vanuit gemak oogpunt. Je hoeft geen software op al je devices te installeren (cross-platform, cross-os) en met een beetje logisch nadenken en een slim eigen algoritme heb je nagenoeg instant je wachtwoord beschikbaar. Alleen de auto-fill is super handig. Dat is een goed punt, maar waarom die van je browser dan niet gebruiken die al cross-platform / os beschikbaar is? Dat is net zo (on)veilig.

[Reactie gewijzigd door xs4me op 24 november 2016 10:43]

Bovendien is niks zo veilig als gewoon je hersens gebruiken. En laten we eerlijk zijn, ook vanuit gemak oogpunt. Je hoeft geen software op al je devices te installeren (cross-platform, cross-os) en met een beetje logisch nadenken en een slim eigen algoritme heb je nagenoeg instant je wachtwoord beschikbaar. Alleen de auto-fill is super handig. Dat is een goed punt, maar waarom die van je browser dan niet gebruiken die al cross-platform / os beschikbaar is? Dat is net zo (on)veilig.
Onze hersens zijn helemaal niet zo geschikt om veilige wachtwoorden te onthouden of te genereren. Daarmee is de verleiding dan ook veel te groot om overal hetzelfde wachtwoord te gebruiken, ofwel een basis-wachtwoord te gebruiken en die met een doorzichtig algoritme om te vormen voor een specifieke andere sites. Goede wachtwoorden hebben onderling geen enkele relatie en zijn op geen enkele wijze voorspelbaar. Dat redt je gewoon niet met je hersens.

De auto-fill van je browser heeft dan ook nog het nadeel dat, zelfs als je een master password instelt, je deze niet hoeft in te voeren voor welk wachtwoord, maar alleen bij de eerste. Je apparaat onbeheerd achterlaten geeft daarmee iedereen direct toegang tot jouw wachtwoorden. De losse password manager die blokkeert zodra hij geen focus meer heeft is daarmee een stuk veiliger.
En waar baseer je dat op? Ik denk dat je dan onderschat wat je met je hersens kunt, als je ze gebruikt. De pest is dat we onze hersenen zo "lui" hebben gemaakt, dat de meesten het niet meer kunnen inderdaad. Net als dat we niet meer kunnen hoofdrekenen omdat we rekenmachines zijn gaan gebruiken.

Natuurlijk gebruik je algoritmes om het makkelijker voor je te maken. De sleutel hiervan heb je echter alleen zelf in bezit. Het vinden van die sleutel is toch echt wel een bak ingewikkelder dan 1 master password voor alles, want analoog is veiliger dan digitaal.
Je zou kunnen zeggen als een bedrijf meerdere accounts van je hackt, deze opzoekt in hun databases en naast elkaar legt en er dan iemand of een team over laat buigen dat ze 't algoritme kunnen achterhalen.

Bovendien vergeet je dat er maar, laten we zeggen, +- 5 tot 10 wachtwoorden "echt" belangrijk zijn. Als ze accounts van webshops hacken om maar wat te noemen waar verder 0,0 betaal gegevens in staan, dan vinden ze alleen m'n bestel historie. Nou, lekker boeiend.

Laten we 't eens op een rijtje zetten:
Veiligheid
Je geeft al je wachtwoorden in wezen aan een 3e partij waarvan je niet weet wat ze met die gegevens doen. Je gebruikt 1 master password voor al je andere passwords, dus het is zo veilig als je master password. Die sleutel is denk ik net zo veilig als dat algoritme in je hersenen (mits je die niet te simpel maakt). Waarom zou je dan het risico nemen om al die informatie bij een 3e partij te leggen?
Enige wat ik me hierbij kan voorstellen is dat als je ww van andere moet gaan beheren, dat kun je inderdaad niet helemaal met je eigen hersenen. Of dat dan bij een 3e partij moet liggen betwijfel ik nog steeds, het zijn toch klant gegevens.

Gemak
Ik pak m'n iPad er even bij. O crap, m'n pw manager staat er niet op, of nog erger, wordt niet ondersteund op een ander OS, ik weet m'n passwords dus niet, ik moet de app eerst installeren en master inloggen. Ik help een vriend even met wat problemen oplossen. O crap, die heeft die pw manager weer niet, ik kan niet inloggen zonder ook hier die software te installeren.
Dus het wordt pas gemak als je overal die software hebt. Inmiddles heb je dus op al die apparaten ook een 3e partij toegelaten waarvan je geen idee hebt wat die ermee doen, want ik weet niet of je die algemene voorwaarden weleens hebt gelezen, maar na een paar kopjes gaan bij mij de haren toch al overeind staan. Dan kun je ook net zo goed gewoon Chrome gebruiken als password manager trouwens, als je gemak wilt en nagenoeg overal is geinstalleerd.

Er zijn bedrijven die de meesten niet kennen, dat is hier ook weleens aan bod geweest, die nog meer van je weten dan Google, FB en Twitter bij elkaar. Hoe komen ze aan die informatie? Zouden al die "zogenaamde" gratis apps daar misschien iets te maken mee kunnen hebben?
Anyway, we komen op 't vlak conspiracy theorie. Misschien ben ik panisch, maar ik denk niet zo gek ver van de realiteit af.

Ik zie de meerwaarde niet zo van dit soort tools. Het draagt alleen maar bij aan zoals ze dat zo mooi noemen tegenwoordig "the internet of things".
Mijn filosofie is hoe minder je met het internet of instanties deelt, hoe veiliger je bent.

[Reactie gewijzigd door xs4me op 24 november 2016 12:47]

Nouja, die derde partij zie ik ook niet zitten hoor. Ik gebruik FOSS KeePassX waarbij ik zelf mijn password databases volledig in beheer heb. Qua gemak wil ik best wat inleveren voor veiligheid - als ik op een andere PC moet inloggen zoek ik het wachtwoord op mijn telefoon op waar ik de client wel geïnstalleerd heb, en type ik hem over. Gebeurt toch zelden. En op al mijn eigen apparaten heb ik een KeePassX client geïnstalleerd en kan ik mijn databases benaderen.

Daarbij komt het gemak dat ik altijd overal veilig toegang heb tot mijn authenticatie die ik écht niet kan onthouden. Mijn privé SSH- en GPG-sleutels bijvoorbeeld. Nu kan dat om het even met wat voor encrypted container natuurlijk, maar vind het wel prettig om daar één systeem voor te hebben (verspreid over meerdere databases).
En waar baseer je dat op? Ik denk dat je dan onderschat wat je met je hersens kunt, als je ze gebruikt. De pest is dat we onze hersenen zo "lui" hebben gemaakt, dat de meesten het niet meer kunnen inderdaad. Net als dat we niet meer kunnen hoofdrekenen omdat we rekenmachines zijn gaan gebruiken.
Ik ben redelijk goed in complexe wachtwoorden onthouden maar bij ongeveer 12 karakters wordt het toch wel erg vervelend. Zodra daar leestekens bijkomen op niet voorspelbare posities wordt het helemaal lastig. Hoofdrekenen gaat mij overigens prima af ;) Via KeePassX heb ik overal (waar het ondersteund wordt) wachtwoorden van 32 karakters waaronder ook leestekens. En voor elke site anders. Wellicht dat er een enkeling is waarbij je dat gemakkelijk afgaat maar voor het over over overgrote deel van de bevolking kun je dat gewoon niét voor elkaar krijgen met je hersenen.

Dat er wel een aantal echt belangrijke wachtwoorden zijn ben ik met je eens, maar ook die wil je flink complex en onafhankelijk maken. Daarbij zijn sommigen wél erg belangrijk maar gebruik je niet regelmatig. Mijn DigiD bijvoorbeeld. Gebruik ik 1 a 2 keer per jaar, maar is wel erg gevoelig. Ik ben blij dat ik het wachtwoord daarvan in KeePassX heb staan, want anders zou ik hem elke keer dat ik hem nodig heb blokkeren door drie verkeerde pogingen te doen.

[Reactie gewijzigd door MadEgg op 24 november 2016 12:56]

Ok, dat is alweer een ander verhaal inderdaad. Zo ben het helemaal met je eens.

Ik zie alleen om me heen mensen die PW managers gebruiken (ook op de verkeerde manier en redenen) omdat het denk leuk is ofzo, weer een app waar je mee kunt spelen. Ze staan geen moment stil bij wat ze doen.
"Zonder betaling is het in de app niet mogelijk om onderdelen aan een kluis toe te voegen of bestaande onderdelen te bewerken."

Je zou dit op kunnen vatten als dat je onderdelen (logins) altijd in een kluis (set logins) moet bewaren. In werkelijkheid hoef je kluizen niet eens te gebruiken.
Ik heb er veel uitgeprobeerd en mijn favoriet is KeePassX. Vind het namelijk vrij onzinnig om te moeten betalen voor zoiets eenvoudigs als "een password database manager". Meer is het immers niet. KeePass2 had ook gekund alleen heeft dat het grote nadeel dat je de Mono-libraries moet installeren onder Linux wat weer een veiligheidsrisico meebrengt.

Al je wachtwoorden in de cloud opslaan bij een password provider zoals LastPass is een beetje dom. Die database is met alleen maar wachtwoorden is natuurlijk de grootste target om te gaan lopen hacken. Een nachtmerrie scenario. Bijzonder dat tweakers dat hier loopt te promoten op die wachtwoord bewust site.

[Reactie gewijzigd door CR2032 op 24 november 2016 07:35]

Ik denk dat je nog even moet nalezen hoe LastPass werkt...zij hebben namelijk helemaal geen toegang tot je wachtwoorden maar slaan enkel een encrypted file op met een wachtwoord dat je alleen als gebruiker hebt.
Ik betaal juist graag voor een goed werkend systeem dat mij ontlast van dat gedoe met wachtwoorden. En doordat ik ervoor betaal kunnen zij de kwaliteit en veiligheid in stand houden en hebben ze daar ook belang bij. Hoe kan ik daar bij een gratis tool op vertrouwen?

Zonder een vorm van synchronisatie zou het voor mij zinloos zijn. Ik heb dan ook geen bezwaar met het opslaan in de cloud, zolang dit veilig kan. Waarom zou het syncen van de database via mijn Dropbox of Google Drive veiliger zijn dan een server van een ander? Dropbox staat bijv. ook niet bekend om hun goede beveiliging.

Zolang ik die database kan versleutelen met een sterk wachtwoord en sterke encryptie en ik een fysieke tweede factor kan gebruiken ben ik tevreden.
Moet je even vermelden wat voor 2FA, want de meeste (momenteel gangbare) 2FA mogelijkheden kunnen alleen voor authenticatie en niet voor de encryptie van je database gebruikt worden.

Met een smartcard kan het bijv. wel.

Zit ook een nadeel aan gezien je geen backup kan maken van dergelijke smartcards. Gaat ie kapot of raak je em kwijt is het einde password database.
Waarom zou het syncen van de database via mijn Dropbox of Google Drive veiliger zijn dan een server van een ander? Dropbox staat bijv. ook niet bekend om hun goede beveiliging.
Nou simpelweg, omdat de zaak encrypted is voor het jouw systeem verlaat!
Dus de Keepass of 1Password lokale file is al encrypted, en zonder master password heeft iemand er niks aan.
Dat is bij LastPass ook het geval. De database wordt lokaal versleuteld en in zijn geheel geupload naar hun sync server. Oftewel dat is geen onderscheidend verschil.
Nou in die zin dat er op enig moment een 'economy of scale' afweging gaat plaatsvinden: Het is vele malen aantrekkelijker om om een lastpass server te gaan grasduinen, dan tig miljoen dropbox accounts gaan hacken en naspeuren op kbdx filetjes bijvoorbeeld. (Het zelfde geldt eigenlijk óók voor alle andere grote IT systemen: Het is véél handiger om 1 systeem te hacken waar alles in zit dan duizenden losse, dus ceteris paribus geldt dit ook voor bijvoorbeeld het EPD: Ook daar is het minder werk en inspanning om 1 database te hacken dan duizenden huisartsen)
Dus de moeite en inspanning die iemand moet doen om specifiek jouw gegevens te krijgen is wellicht gelijk, maar het gaat er om dat het onverlaten om meer gaat dat specifiek jouw gegevens.
Natuurlijk wordt dat anders als je een crimineel of terrorist bent en er inderdaad mensen specifiek achter jou aanzitten, maar daar ga ik maar even niet van uit... 8)7
Ergens voor betalen biedt geen enkele garantie dat een product hierdoor kwalitatief beter en/of veiliger is dan gratis alternatieven
Nee dat besef ik, garanties heb je nooit, maar als ik een bedrijf betaal dan is de kans denk ik groter dat ze goede ontwikkelaars kunnen inhuren en dat ze geen alternatieve inkomstenbron (reclame of verkoop metadata) hoeven te zoeken. Dat je geen garantie krijgt wil ook niet zeggen dat het omgekeerde waar is.
Vind het namelijk vrij onzinnig om te moeten betalen voor zoiets eenvoudigs als "een password database manager"
Imo kun je zo ICT "manager" worden, die worden ook altijd beschuldigt van te weinig investeren in veiligheid :P
Hoewel je opmerking wat betreft geld wel hout snijdt gaat de vergelijking niet helemaal op volgens mij.
Je betaalt toch ook niet voor een browser omdat deze HTTPS ondersteunt?
Ook niet zo'n sterke vergelijking aangezien alle browsers gratis zijn en ze allemaal https ondersteunen.

Hoewel gratis natuurlijk nog steeds niet bestaat. Browsers zijn doorgaans betaalt door de eigenaar (belanghebbende) van een platform of worden op andere wijze gefinancierd, moeten het bv deels hebben van donaties.
Je master password is je encryptie sleutel dus ook al krijgt men de database kunnen ze die niet zonder jouw sleutel je wachtwoorden decrypten.
Mja dat vraag ik me bij een aantal van die commerciële dingen dus af. Ze kunnen vaak ook met one time passwords, oudere wachtwoorden en nog een paar anderen overweg. Blijkbaar is het wachtwoord zelf dus niet master key en zijn er meerdere mogelijkheden om bij die master key te komen.
LastPass heeft er zelf eens over geschreven. Zoek het dus gerust eens op ;) Ik ben in ieder geval tevreden gebruiker en werkt prima.
De OTP die je van LastPass krijgt kun je alleen gebruiken naast je master wachtwoord en niet in plaats van.
Dat iets het "grootste target" is in mijn ogen geeft enkel aan dat Lastpass ook meer zijn best zal doen om de kiet te beveiligen. Hun business staat of valt met het veilig houden van mijn gegevens dus ze zullen er daar allicht meer tijd in steken dan dat ikzelf als particulier hierin zou steken.

Vanuit die redenatie durf ik dan ook wel te beweren dat mijn gegevens daar veiliger zullen staan dan dat ze op een eigen servertje in mijn of jouw meterkast.
Ben je de lekker bij grote "national security" instanties als de NSA vergeten? Daar behandelen ze gevoelige gegevens van miljoenen mensen en alsnog lekken daar gegevens. Juist die kritieke punten bezwijken uiteindelijk wel een keer onder de druk dat duizenden aanvallen per dag met zich mee brengt. Een bedrijf als Dropbox heeft ook een enorm imagoverlies opgelopen door de accounts van miljoenen gebruikers te lekken, denk je dat zij security niet hoog op de prioriteitenlijst hebben staan?
Lastpass werd in 2015 gekraakt en daarna ook meerdere keren. Heeft ze een flinke reputatieschade opgeleverd. Niet alles werd buitgemaakt maar wel alle email adressen, password reminders en authenticatie hashes. Genoeg hierover te vinden op internet.

Lastpass of iedere cloud based password manager site is een grote honingpot met wachtwoorden van miljoenen users.

Het eigen servertje in de meterkast of een enkel opgeslagen encrypted wachtwoordbestand van een paar gebruikers is vele malen minder interessant om te kraken.
Ik heb verschillende passwordmanagers gebruikt en het is erg handig, echter voor mij is het risico te groot dit bij een ander bedrijf buiten mijn bereik te houden. Als je in het overzicht kijkt kleurt de pagina rood van de negatieve punten, dit weegt mij niet op tegen de voordelen en ik kan hier dus ook geen keuze maken.

Mijn meest gebruikte wachtwoorden onthoud ik, en de rest schrijf ik ouderwets cryptisch op in een schrift en dit werkt prima voor mij. Ik acht de kans kleiner dat er een inbreker bij mij thuis op zoek gaat dit schriftje en dit ook daadwerkelijk vind, dan dat er een database ergens op de wereld gehackt wordt. Bovendien heb ik er dan geen weet van en kan ik er niet snel genoeg op reageren.
Ik kan alleen maar reageren op het stuk software wat ik zelf gebruik, keepass:

Geen automatische synchronisatie is juist geen probleem, je hebt het helemaal zelf onder controle.
Minder toegankelijk, is erg persoonlijk, eenmaal ingericht kan ik er prima mee uit de voeten.
Geen waarschuwing bij lekken, keepass heeft geen kopie van mijn database en/of keyfile. Lekken van gegevens in de lettelijke zin van het woord is dus uitgesloten.

Al met al voor mij persoonlijk dus helemaal geen tekortkomingen.
Ik snapte die punten persoonlijk zelf ook niet helemaal.
Ik heb juist gekozen voor KeePass omdat hij offline was en open source.
Als je als nog een lek heb van je database is het toch echt je eigen schuld.
Zoals ik het gelezen hebt gaat de "waarschuwing bij lekken" functionaliteit niet over je eigen password database, maar over de websites waar je een account bij hebt, zodat je op de hoogte wordt gehouden wanneer je het wachtwoord van dat account moet veranderen en updaten in je password manager.
Ik heb juist gekozen voor KeePass omdat hij offline was en open source.
Idem ditto, KeepassX wel omdat ik mono liever niet hier zie draaien.
Als je als nog een lek heb van je database is het toch echt je eigen schuld.
Een lek van de database of een lek van de data in de database ? Ook je database zelf kan je eigenlijk niet voor 100% vertrouwen (https://www.cs.ox.ac.uk/files/6487/pwvault.pdf).
Nou zoals met meer dingen in de computer business moet je niet te lang vertrouwen op dergelijke papers. Het lijkt er op dat deze attack inmiddels niet meer mogelijk is voor keepass:

http://keepass.info/help/kb/db_headerauth_upg.html
KeePass 1.24 and 2.20 introduced authentication of header data in KDB and KDBX database files. This is a security improvement for the file formats to prevent silent data removal/corruption attacks.

The feature has been designed and implemented in a forward-compatible way for both formats. KeePass 1.23 and 2.19 can still open KDB and KDBX files created by KeePass 1.24 and 2.20. Obviously, KeePass 1.23 and 2.19 do not know anything about the header authentication yet and thus do not detect tampered headers; the newer KeePass versions are required for this.

However, some KeePass ports (like KeePassBB2 2.0.1527) check compatibility incorrectly or perform non-standard validations, resulting in the inability to open KDB and KDBX files created by KeePass 1.24 and 2.20. These ports must be updated in order to be able to open the newer file formats.
Inderdaad, ik gebruik keepass nu al dik een jaar op mijn zelfbouw nas en het werkt tot de volle tevredenheid, ik vind de android app zelfs nog beter werken dan de windowd versie. Keepass is inderdaad wat minder toegankelijk omdat je er veel zelf voor in moet richten maar dat vind ik wel fijn.
Het stuk van "Geen waarschuwing bij lekken" moet je denk ik iets anders interpreteren. Ik heb onlangs ook wat onderzoek gedaan naar password managers. Je moet deze functionaliteit zien zoals bij https://haveibeenpwned.com/

De software checkt alle bestaande lekken en daarbij behorende data op de door jouw ingegeven gebruikersnaam. Wanneer je gebruikersnaam voorkomt zal het software pakket je vragen om je wachtwoord te veranderen.

Ik gebruik inmiddels zelf keepass + https://haveibeenpwned.com/
Zo weet ik wanneer ik een wachtwoord dien te veranderen.
De bedrijven kunnen ook niet bij je wachtwoorden, ja bij de database maar zonder hoofdwachtwoord valt er gewoon niks te openen, gewoon een sterk wachtwoord kiezen en veel iteraties instellen. Er wordt door de meeste gebruik gemaakt van 256bit AES encryptie, en als je dat niet vertrouwd neem je icm een premium account een yubikey of maak je gebruik van dropbox+ keepass met een key file in de vorm van een foto of word documentje.
Als die bedrijven worden gehackt en de database lekt, dan kunnen hackers die masterkey brute force vinden. Tja, dat lukt niet als jij een heel moeilijk wachtwoord hebt, maar er zijn vast mensen die een makkelijk wachtwoord hebben.

En geen broncode beschikbaar, wie weet zit er een backdoor in.

[Reactie gewijzigd door Brontosaurus1 op 24 november 2016 08:53]

Inderdaad! Closed-source + amerikaans bedrijf = ga ik echt niet gebruiken om al mijn wachtwoorden op te slaan!
YubiKey werkt prima met LastPass. Helaas is dat niet zo praktisch met mobiele devices zoals telefoons. Er is een NFC versie van YubiKey NEO (v3), maar dat is niet zo praktisch. Het komt er op neer dat je dus een mobiele device in je mobiele devices lijst zet, en deze met een PIN kunt unlocken (je complexe wachtwoord wil je niet in de publieke omgeving moeten gebruiken).

Als je argumentatie is "Amerikaans bedrijf" neem ik aan dat je adversary de NSA is. Dan moet je er al van uit gaan dat men je database heeft. Een sterk wachtwoord gebruiken wordt dan ook aangeraden.

Je database wordt in de cloud in de VS opgeslagen, maar wordt altijd lokaal gedecrypt (in je browser of je app). Nooit remote.

Bovendien kun je Android apps decompilen. en analyseren.

PS: Er is ook een CLI password manager: https://www.passwordstore.org/
Maar wat doe je dan als je het schriftje kwijtraakt? Of je huis brandt (deels) af?

Ik heb voor mn werk honderden logins van klanten en mezelf. Een schriftje is echt niet handig hiervoor.

Als ik bij een klant werk, zoek ik de logins op de 1Password smart phone app op. Klant zijn computer komt er dus niet eens aan te pas.
Ik vraag me af wat er mis is met de standaard oplossing die Chrome, IE of Firefox bied voor het opslaan van wachtwoorden? Ik zie deze eerste keuze niet terug.
Je wachtwoord opslaan in je browser is niet echt veilig, als iemand toegang heeft tot je computer(s) kan hij overal inloggen zonder de wachtwoorden te hoeven kennen en kan hij je wachtwoord wijzigen.
Het zijn geen password managers, het zijn veredelde auto invul tools.
Ik zie fysieke toegang toch als een ander risico, evt. af te schermen met een goed OS wachtwoord. Slechte wachtwoorden zijn een onzichtbaar risico. Is een wachtwoord in je eigen (goed beschermde, twee traps authentificatie) Google account niet veilig dan?
Dat is niet veilig als je toegang tot de laptop hebt aangezien ik het OS account zou kunnen resetten om vervolgens dezelfde user te gebruiken, dan word er niet om 2factor auth gevraagd omdat het een 'bekende' browser is en kan ik alsnog alle wachtwoorden verkrijgen.

Bovenstaande werkt uiteraard niet als er sprake van disk encryptie is, maar dat zie ik buurvrouw Hannie niet doen.
In je browser kan je doorgaans een master password instellen. Als je dat niet doet heb je gelijk. En dat zou eigenlijk verplicht moeten zijn. Maar het kan wel!
Dat werkt sowieso alleen in de browser natuurlijk. In KeePassX sla ik SSH private keys, GPG keys, decryptiesleutels op, maar ook MySQL wachtwoorden, pincodes, shell accounts. Geheime vragen en hun random antwoorden. En meerdere accounts voor eenzelfde dienst. Dat is allemaal niet mogelijk met een browser-gebaseerd systeem. Daarnaast is synchronisatie tussen verschillende browsers daarmee onmogelijk en kun je niet eenvoudig je gegevens spreiden over meerdere databases.

[Reactie gewijzigd door MadEgg op 24 november 2016 08:15]

In jou situatie snap ik het helemaal. Maar voor 'Jan met de pet'? Is het dan niet beter dan een te eenvoudig password?
Beter dan een te eenvoudig wachtwoord, dat wel. Maar het wachtwoord-systeem in browsers genereert doorgaans ook nog niet eens wachtwoorden en daarmee sluit je onveilige wachtwoorden dus niet uit. Als je gedwongen een master password moet gebruiken en soort-van verplicht wordt om de wachtwoordgenerator te gebruiken dan is het voor casual gebruikers die alleen in de browser werken een prima alternatief denk ik.

Al moet ik eerlijk bekennen dat ik niet weet welke versleuteling op deze database toegepast wordt in Chrome of Firefox bijvoorbeeld.
De wachtwoordgenerator is dan idd wel een goede toevoeging. Qua versleuteling heb ik geen idee, mag aannemen dat het van een zeker niveau is :/
Blijft als gevaar dat hackers juist uit zijn op de wachtwoorden in de browsers. In principe zijn de wachtwoorden in firefox gewoon beschikbaar als je firefox gebruikt. Dus voor een potentiele aanvaller maak je het wel relatief gemakkelijk.
Jan met de pet wil ook overal kunnen inloggen.

Je hele browser meenemen is dan lastig.
Jan heeft tegenwoordig ook tig logins te onthouden. Ga maar na: Voor de bank, wifi, codes van mobieltjes, app stores, email, social media sites, digid etc.

Het is gewoon te link om overal hetzelfde ww te gebruiken en dan nog, hoe onthou je gebruikersnamen, url's en aanvullende info zoals controlevragen?
Werken niet zo goed op android en ios. ;)
Als je een cross platform keuze maakt voor één browser dan syc-t dat best fijn. Voor mij werkt het feilloos.
Ik gebruik de synced Chrome oplossing al jaren, met zijn eigen passphrase. Het begint volgens mij een beetje te groot te worden want als ik een wachtwoord opvraag via de settings duurt het ruim anderhalve minuut voor het venstertje iets toont.

Ik geloof dat ik maar eens op zoek ga naar een betere oplossing. Dit artikel komt eigenlijk als geroepen om me over de streep te trekken.
Jemig dat duurt lang. En dat terwijl het plaintext is. :/

[Reactie gewijzigd door Blizz op 24 november 2016 13:26]

Hoe kom je daarbij? Chrome versleutelt middels een master password alle syncbare settings van de browser, inclusief de wachtwoorden. (Dit is niet hetzelfde als je google wachtwoord trouwens. Als ik inlog op m'n Google account heb ik nog geen toegang tot mijn favorieten en wachtwoorden.)

Daar bovenop dien je voor elk wachtwoord dat je wilt zien ook nog even de login gegevens van de Windows gebruiker te voorzien, dus iemand die eventjes naar je pc grabbelt terwijl je koffie bent gaan halen zonder je scherm te locken komt ook bedrogen uit.

[Reactie gewijzigd door KaiZas op 24 november 2016 12:27]

Heb het even geprobeerd en je kunt niet meer de wachtwoorden bekijken zonder je OS-wachtwoord in te voeren, een half jaartje geleden kon dat nog wel. Mooi dat ze dat hebben verbeterd! Misschien was ik een half jaar geleden niet ingelogd, desondanks kon je toen zonder wachtwoordbevestiging alle wachtwoorden aflezen. Daarom nam ik ook aan dat het plaintext was.
Ik was net bezig met de installatie van LastPass. Deze vroeg me Chrome af te sluiten om verder te gaan. Daarna werd er een lijstje van alle Chrome wachtwoorden gepresenteerd zonder boe of ba. Dus zo secure is het wellicht ook weer niet, misschien had je gelijk. (Of LastPass gebruikt m'n lokale login ook om daar aan te kunnen, maar er werd in ieder geval niet geprompt om een wachtwoord langs mijn kant.)
Ah, dus toch. Dat is weer jammer. Google heeft dus één slot geplaatst op een kluis met twee deuren.

Nou lijkt het me ook belangrijk te vermelden dat je met Chrome geen wachtwoorden kunt genereren, noch handmatig een entry toevoegen in de lijst. Alleen als je succesvol inlogt, krijg je het aanbod. Ik zou oplossingen zoals Chrome vermelden in het artikel, maar dan onder het kopje van onveilige diensten die je niet moet gebruiken.
Dat een stuk software om iets vraagt voor het iets laat zien zegt opzich niks over de opslag daarvan.
Het had de Chrome passphrase niet nodig om het te tonen, zoveel is zeker.

[Reactie gewijzigd door KaiZas op 25 november 2016 07:33]

Da's niet veilig, je klikt op bekijken en je kunt gelijk elk wachtwoord inzien. Nee, dan kun je beter in het OS gebouwde opties bekijken.

Waarom bijvoorbeeld iCloud Keychain ontbreekt begrijp ik écht niet. Ontzettend veel mensen gebruiken iOS of macOS. 1Password is altijd al duur geweest en heeft altijd al een fatsoenlijke macOS app gehad, omdat daar de gebruikers zaten. Nou is dat wel enigszins een kip en ei situatie, want 1Password's sterkste punt is de UX en daarom zijn ze altijd gefocust geweest op macOS; op Windows was dat met name in het verleden geen prioriteit voor devs. Die doelgroep bezit een Mac, dus waarom zou je dan de ingebouwde optie weglaten die juist geschikt is voor gebruikers die willen dat 'het gewoon werkt'?

Edit: mijn kennis over Chrome's beleid omtrent wachtwoorden inzien was (gelukkig) outdated. :)

[Reactie gewijzigd door Blizz op 24 november 2016 12:34]

Deze zijn totaal niet veilig. In Firefox wordt bijvoorbeeld standaard geen master password vereist, waardoor je eenvoudig op de knop 'Toon wachtwoorden' kunt klikken. Dit geld volgens mij voor alle populaire browsers op dit moment.

Beter zou zijn als het OS een veilige manier van wachtwoord management had. Zie o.a. gnome-keyring, KDE-Wallet. Allemaal mooie oplossingen (werken o.a. in browsers), alleen niet erg vriendelijk in gebruik (o.a. opzetten is voor beginners vrij onduidelijk, geen handige GUI als Keepass, sync moeilijk tot niet ..). Ik laat iCloud hier even buiten, geen idee hoe veilig deze is en welke encryptie wordt gebruikt. De Windows password manager (o.a. voor SMB) is volgens mij ook in plain.

[Reactie gewijzigd door foxgamer2019 op 24 november 2016 13:06]

Mooi artikel, ik ga het vanmiddag even helemaal lezen!

Is er ook een single sign on password programma waarbij je een Windows Hello Bio-Key vingerafdruk scanner kan gebruiken voor de authenticatie?
Met Enpass kan ik op mijn telefoon (Lumia 950xl) met mijn iris inloggen, dus met Windows Hello. Vingerafdruk zou dus in principe ook mogelijk moeten zijn.

Overigens lijkt Enpass verdomd veel op 1Password qua interface. Enpass heb ik destijds gekocht op Windows Phone 8 en daarop gebruikt. Toen overgestapt op een iPhone 5S en daar ook gekocht. De switch ging zonder enige problemen omdat de database op OneDrive stond. Eind 2015 weer terug gegaan van iOS naar Windows 10 Mobile en ook die switch ging zonder problemen. Synchronisatie via de cloud werkt prima met Enpass....
Enpass is heerlijk in gebruik en enorm ondergewaardeerd in vergelijkingen tussen pw-managers.
Het uiterlijk is modern, de functionaliteit is soepel en alles dat een gemiddeld persoon nodig heeft zit er op. Daarnaast is het online opslaan van je wachtwoorden een keuze, en geen verplichting zoals bij vele andere managers. Ten slotte nog het eenmalige bedrag van slechts €10 per platform en dus géén abonnementskosten. Ik ben al twee jaar tevreden gebruiker van Enpass. Ik ben ondertussen overgestapt van WP naar Android, en zoals gezegd ging dat vlekkeloos.

[Ervaringen] Enpass wachtwoordmanager
met lastpass premium kan je met een yubikey inloggen, die schijnen ook windows hello te ondersteunen
met Keepass kan je ook yubikey gebruiken met een plug-in.
Lastpass gebruikt om in te loggen op de mobiele app de vingerafdrukscanner van mijn gsm, dus ook op Windows Hello moeten ze kunnen inhaken. Geen idee of dat er nu al in zit though.
Als je volledig in het apple eco systeem zit, werkt keychain erg prettig. Waarom staat die optie niet in het artikel?
Omdat de keuze daar erg beperkt is. Werkt alleen onder Safari, werkt alleen op OSX en iOS, geeft niet aan of een wachtwoord sterk genoeg is, geen 2FA... ow, en er is ook geen toegang vanaf een andere computer, tenzij een Mac en tenzij je de hele database meeneemt op USB-stick.

Toch ben ik zelf wel blij met Keychain/Sleutelhangertoegang.
Deels juist, de voorgestelde wachtwoorden van Safari zijn allemaal redelijk sterk. Dat gezegd hebbende zit je wel in het Apple ecosysteem. Als fervent Apple gebruiker én fervent Windows gebruiker heb ik daar inderdaad wel eens last van. Voornamelijk bij sites / fora waar je niet regelmatig komt.

Aan de andere kant werkt 1Password voor mij redelijk maar ik ga eens wat anders de kans geven op basis van dit artikel :).
Als je manueel een wachtwoord op de Mac in Keychain stopt vermeld hij wel de sterkte. De gegenereerde wachtwoorden lijken mij wel sterk van zichzelf.
Inderdaad, ik werk er ook al een tijdje mee en bevalt goed. Nadeel is natuurlijk wel weer dat je afhankelijk bent van een commercieel bedrijf (Apple).

Een van de belangrijkste punten vind ik de synchronisatie tussen apparaten. Als ik op een desktop een wachtwoord genereer, dan wil ik niet dat ik die moet overtikken om mijn telefoon.

Een nadeel van de wachtwoordmanagers vind ik dat je niet zomaar even kunt inloggen op een onbekende pc/telefoon. Dat geeft toch een gevoel dat je niet overal bij kunt buitenshuis (tenzij je je telefoon altijd bij de hand hebt).
En dat gevoel vind ik juist heerlijk. Als je bij mijn wachtwoorden database wilt komen moet je of toegang hebben tot een van mijn encrypted hardeschijven, de encrypted cache op mijn telefoon of mijn Dropbox account. En dan pas heb je de database, dan moet die ook nog gekraakt worden.

Op Android is er een KeePass tool die rechtstreeks uit Dropbox leest, wat ideaal is om altijd de laatste versie bij mij te hebben. Dan op mijn prive systemen een Bitlocker encrypted schijf met de Dropbox folder en op mijn werk systeem een Bitlocker encrypted schijf met daarin een Veracrypt container voor documenten/bestanden en daarin mijn Dropbox folder.
Volgens mij is het al uitdaging genoeg om bij de database zelf te komen, het kraken wordt helemaal lastig.
Inderdaad, ik werk er ook al een tijdje mee en bevalt goed. Nadeel is natuurlijk wel weer dat je afhankelijk bent van een commercieel bedrijf (Apple).
Als je een betaalde password manager gebruikt ben je dat ook. En gebruik je een gratis versie.. tja.. je wachtwoorden bij een bedrijf onderbrengen die dit kosteloos doen? Voor niets gaat de zon op? Het gebruiksgemak van de keychain (en de sleutelhanger in MacOS zelf, zojuist een wachtwoord teruggehaald die ik straal vergeten was....) is wel heel erg groot. Mits je alleen Apple spul gebruikt.
Wat denken jullie van een eenvoudig Excel-bestand waar je een (sterk) wachtwoord op zet? (op het
bestand zelf, niet op een werkblad)

Zet vervolgens je Excel-bestand in een Google Drive/OneDrive omgeving en je hebt op al je apparaten (waar een Office op staat uiteraard :) ) je wachtwoorden bij de hand.

Ik ben hier waarschijnlijk aan het vloeken in de kerk, maar ik zie niet direct zware argumenten tegen. Buiten dat als je je bestand opent dat alle pw's in plain text zichtbaar zijn, maar daar kan je ook iets aan doen.

Van Wikipedia: "Office 2013 uses 128-bit AES, however hash algorithm has been updated to SHA-2 class, and it is SHA-512 by default." en "Office 2013 introduces SHA-512 hashes in the encryption algorithm, making brute-force attacks nearly impossible."
Geen browserintegratie en geen mogelijkheid tot het genereren van wachtwoorden.
Het is Excel, dus je kan perfect random wachtwoorden laten genereren: https://ficility.net/2013...based-password-generator/ :)

Geen browserintegratie klopt wel.
Pas ik inderdaad toe op mijn professionele pc. Mijn werkgever laat de installatie van eigen software niet toe en een password manager staat niet in het lijstje van goedgekeurede programma's. Dan blijft een Excel met wachtwoord inderdaad de laatste oplossing, uiteraard met nadelen zoals Ramon aanhaalt.
Dat zou ik aankaarten bij mijn werkgever. Er moet toch wel een goede case te maken zijn voor een passwordmanager boven Excel.
Er is inderdaad geen enkele goede reden om geen passwordmanager te gebruiken. Sterker nog: officieel wordt het zelfs aangeraden, maar IT heeft er geen ter beschikking in de software bibliotheek.
Gaat het om de installatie (letterlijk) van software of het gebruik van eigen software?

In het laatste geval:
KeePass heeft ook een portable versie, waarbij dus niks geïnstalleerd hoeft te worden.
(De alternatieve produkten mogelijk ook, maar dat weet ik niet)
voor keypass heb je zelfs een webversie.
https://app.keeweb.info/
Wist ik niet. Thx voor de tip.
Ik heb trouwens net ontdekt dat LastPass ook een webversie heeft... 8)7

[Reactie gewijzigd door Superbra op 30 november 2016 09:12]

Het gaat zowel over installatie (wij kunnen zelf geen software installeren) als gebruik. Software die niet in de bibliotheek staat, kan niet aangevraagd worden. Ook portable software is geen optie want usb-poorten zijn uitgeschakeld. Webprogramma's worden in veel gevallen simpelweg geblokkeerd. IT heeft de mogelijkheden goed dichtgetimmerd...
Als je dan vraagt bij Security of er een passwordmanager toegevoegd kan worden, is de commentaar laconiek: "Voorlopig niet. De meeste collega's zetten hun wachtwoorden in een email (!?) of schrijven die op een briefje (!!!). Resultaat: zowat iedereen gebruikt hetzelfde wachtwoord voor alle toegangen...
Wat denken jullie van een eenvoudig Excel-bestand waar je een (sterk) wachtwoord op zet? (op het
bestand zelf, niet op een werkblad)

Zet vervolgens je Excel-bestand in een Google Drive/OneDrive omgeving en je hebt op al je apparaten (waar een Office op staat uiteraard :) ) je wachtwoorden bij de hand.

Ik ben hier waarschijnlijk aan het vloeken in de kerk, maar ik zie niet direct zware argumenten tegen. Buiten dat als je je bestand opent dat alle pw's in plain text zichtbaar zijn, maar daar kan je ook iets aan doen.

Van Wikipedia: "Office 2013 uses 128-bit AES, however hash algorithm has been updated to SHA-2 class, and it is SHA-512 by default." en "Office 2013 introduces SHA-512 hashes in the encryption algorithm, making brute-force attacks nearly impossible."
En wat als Microsoft een password recovery tool of iets dergelijks heeft, weg security.
Zelf gebruik ik KeePass 2. De database staat op mijn sftp server waardoor ik er vanaf elk apparaat waar dan ook erbij kan. Ook mijn andoid applicatie kan bij de ftpsite komen. Een ideale combinatie!
Ook mijn andoid applicatie kan bij de ftpsite komen. Een ideale combinatie!
Wat gebruik jij dan op je smartphone wat overweg kan met de databases van KeePass? Is KeePassDroid aan te raden? Ik wil dat het net zo veilig is als KeePass.

[Reactie gewijzigd door AnonymousWP op 24 november 2016 08:08]

Ik ben niet rolfkunst maar ik gebruik Keepass2android, werkt erg fijn doordat de app native is gebouwd en functies als copy-paste via de notificatiebalk en quickunlock bevallen mij goed, keepass2android biedt ook veel synchronisatie opties aan.
Hmm.. ik vertrouw KeePassDroid meer dan KeePass2Android op de een of andere manier. Copy-paste is inderdaad handig, maar niet veilig. Stel dat jij het wachtwoord nog op je klembord hebt staan, dan kan iemand met jouw telefoon gewoon dat wachtwoord ergens op plakken, waardoor het wachtwoord zo te zien is.

Synchronisatie hoef ik niet, want dat doe ik handmatig :).

[Reactie gewijzigd door AnonymousWP op 24 november 2016 09:38]

zodra je de database sluit, wat bij mij na een minuutje gebeurt, word het klembord ook gewist, maar je hoeft zon feature natuurlijk niet te gebuiken, en voor vraagtekens kun je gewoon de broncode bekijken
Ik twijfel nog steeds. Wat is veiliger/beter? :p

Lastig.. lastig..

[Reactie gewijzigd door AnonymousWP op 24 november 2016 10:19]

yup, keepass2android is de beste versie.
Ik gebruik Keepass2Android Offline maar heb ook KeePassDroid wel gebruikt. Beiden werken prima, maar de keyboard-feature van de eerste is heel fijn.

Beiden zijn opensource en offline (geen netwerk-permissies). Beiden zijn niet officieel van KeePass maar dat is KeePassX ook niet. In principe word de veiligheid deels gedicteerd door de compatibiliteit onderling (zelfde crypto) maar deels ook weer niet (implementatiedetails), maar ik zie geen reden om aan te nemen dat deze twee apps minder veilig zijn dan de desktop-apps.
Hoe bedoel je "keyboard feature"? Dat copy-paste mechanisme?

Dat ze compatible zijn, geeft wel een goed gevoel. En dat het door KeePass zelf aangeprezen wordt op hun website bij "downloads" zegt ook wel wat. Ik wil graag een offline oplossing, want online, dat vind ik maar niks.
Dat idee had ik ook, daarom gebruik ik KeePass op mijn Windows 7/8/10 PC's/tablets, KeePassDroid op mijn Android en 7Pass op mijn W10M.
+1Anoniem: 210193
24 november 2016 06:27
Er zijn er wellicht nog zoveel meer...
Na 1Password, LastPass en Keepass bij Bitwarden terecht gekomen. Simpel, makkelijk en niet te veel overlast van.
Van Lastpass werd ik gek in m'n browser.
1Password heel lang heel tevreden mee geweest. Recent alle wachtwoorden gewijzigd en op alle accounts een sterk wachtwoord gekozen, verschillend voor elke account. Daarmee kwam de nood tot synchronisatie en dat werd helaas betalend bij 1Password.
1Password heel lang heel tevreden mee geweest. Recent alle wachtwoorden gewijzigd en op alle accounts een sterk wachtwoord gekozen, verschillend voor elke account. Daarmee kwam de nood tot synchronisatie en dat werd helaas betalend bij 1Password.
Dit begrijp ik niet. 1Password is altijd al een betaald programma geweest. Naast de eenmalige aanschafprijs voor de apps zijn er geen extra kosten.
+1Anoniem: 210193
@Eitot24 november 2016 07:58
Dat is het hem net. Ooit $79 betaald voor 1Password en dan kan je niet eens synchroniseren.
Ik snap totaal niet waar je het over hebt. Wat werkt er dan niet?
+1Anoniem: 210193
@Eitot24 november 2016 08:24
Synchroniseren van Mac naar een Windows computer en terug. Is eenrichtingssync.
Als je dat nou meteen had gezegd. Zoals in het artikel wordt vermeld is de Windows-app nog steeds erg beperkt. Ik ben het met je eens dat het erg vervelend is. Als er een ding is waar ik mij bij 1Password enorm aan erger is het de inconsequente en trage ontwikkeling van de apps, met rare prioriteitsstelling. Dat ze nu zo veel aandacht geven aan 1Password.com valt mij zwaar tegen, vooral als ze dat als excuus gebruiken om functies beschikbaar te stellen die ze eigenlijk al lang in de apps hadden moeten integreren.

AgileBits is voornamelijk een Mac/iOS-ontwikkelaar en dat merk je ook. Dat wat ze op Android en Windows aanbieden is waarschijnlijk primair bedoeld voor Mac/iOS-gebruikers (al geven ze dat niet toe). Ook op Mac/iOS valt er genoeg te klagen. Je kunt eenmaal aangemaakte kluizen niet beheren (naam of kleur wijzigen). Op iOS kun je geen kluizen aanmaken.
Ik gebruik al jaren tot volle tevredenheid 1Password en sync de database met Dropbox, werkt perfect! Eenvoudig tussen OSX, Windows, IOS en twee Android devices.
https://support.1password.com/sync-with-dropbox/

You won’t be able to create or edit items in a Dropbox vault, but you can move your existing 1Password data to your 1Password account where you can.
Je hebt gelijk, in Windows is de sync idd beperkt. Gelukkig gebruik ik voornamelijk OSX :)
Ik snap blijkbaar niet goed wat jullie bedoelen. :?

Ca. eenmaal per maand synchroniseer ik via 'WLAN Sync' mijn Windows computer met onze iPad en iPhones. Dat werkt gewoon perfect.
Je houd alles lokaal zonder Cloudopslag. Het enige is dat je de discipline moet hebben om af ten toe te syncen.
Op vrijwel alle platforms buiten iOS kan je ook gebruik maken van bittorrent sync: is gratis, encrypted transfer en en je data ligt voor de verandering eens niet bij een externe partij. Voordeel voor 1password is dat in tegenstelling tot de dropbox sync hiermee alle apparaten two way syncs kunnen doen.
Ik ben sinds kort ook overgestapt van Lastpass naar Bitwarden. Gratis, open source, en werkt heel fijn en snel.

Er loopt momenteel ook een Kickstarter campagne voor het toevoegen van meer features: https://www.kickstarter.c...ss-platform-password-mana
1 2 3 ... 8

Op dit item kan niet meer gereageerd worden.


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True