Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Sander van Voorst

Nieuwsredacteur

Datalekkenjaar 2016

Kiezen uit wachtwoordmanagers

Door , 220 reacties

Inleiding

2016 was zowel een goed als een slecht jaar voor wachtwoorden. Het was slecht omdat een groot aantal datalekken weer eens duidelijk maakte dat authenticatie op internet nog niet optimaal verloopt en dat veel bedrijven geen kaas hebben gegeten van degelijke beveiliging. Verschillende analyses van uitgelekte databases lieten bovendien keer op keer zien dat gebruikers steevast wachtwoorden als '123456' of 'password' blijven gebruiken. Menigeen moest zijn wachtwoorden veranderen en wie heeft niet iets beters te doen?

Het voortdurende nieuws over datalekken en hacks op grote websites als LinkedIn en Yahoo heeft ook een positief aspect. Zo dringt het hopelijk tot meer mensen door dat een wachtwoord waarde heeft en niet alleen toegang geeft tot hun gekraakte kattenforumaccount als ze het ook gebruiken voor online bankzaken. Dat het hergebruik van wachtwoorden bij iedereen voorkomt, is niet gek, want niet iedereen heeft zin om voor elk pietluttig accountje een apart wachtwoord aan te maken. En zolang hetzelfde wachtwoord alleen toegang geeft tot dezelfde categorie 'wegwerpsites', is er niet zoveel aan de hand.

Niet iedere site valt echter in die categorie en daarom hebben we in het kader van de campagne Wachtwoord Bewust een aantal wachtwoordmanagers op een rijtje gezet. We bespreken de voor- en nadelen van het gebruik van dergelijke software en gaan in op de functionaliteit van de verschillende varianten. Daarbij komen zowel commerciële als opensourcemanagers aan de orde. De software kan het probleem verhelpen dat de gebruiker voor elke site of dienst een nieuw wachtwoord moet bedenken. Uit onderzoek onder gebruikers blijkt bovendien dat het daadwerkelijke gebruik van wachtwoordmanagers zeer laag is.

Waarom een wachtwoordmanager?

Bij elke discussie over wachtwoorden is er altijd wel iemand die roept dat hij nergens last van heeft, omdat hij een wachtwoordmanager gebruikt. Het lijkt een voor de hand liggende oplossing: software die wachtwoorden voor je bijhoudt en ook nog eens invult, als je dat wil.

Toch gebruikt niet iedereen een wachtwoordmanager. Daar hebben mensen verschillende redenen voor; ze vinden bijvoorbeeld dat ze zelf goed zijn in het bedenken van unieke, sterke en makkelijk te onthouden wachtwoorden. Anderen, die daar minder goed in zijn, claimen bijvoorbeeld dat ze de bedrijven achter de commerciële wachtwoordmanagers niet vertrouwen. Dat is een geldig argument; commerciële software is immers doorgaans niet open source en dan moeten we het doen met de beloftes van de bedrijven erachter. Een ander veel gehoord argument is dat van de single point of failure. Door alle wachtwoorden op dezelfde plaats op te slaan, bestaat het risico dat ze allemaal in een keer in verkeerde handen vallen. Bijvoorbeeld als hackers de database in handen krijgen.

Voor de meeste bezwaren is er weer een tegenargument. Zo is het mogelijk om een opensourceversie van een wachtwoordmanager te gebruiken en zelf de synchronisatie op verschillende apparaten te verzorgen. Dit is misschien iets meer werk, maar heeft als voordeel dat er geen afhankelijkheid van een commerciële partij ontstaat.

Daarnaast hebben verschillende van dat soort partijen een uitgerijpt beveiligingsconcept. Doorgaans hebben ze zelf geen toegang tot het hoofdwachtwoord van de gebruiker, dat lokaal wordt ingevoerd en waarvan alleen een hash het internet over gaat. Door aanvullende maatregelen te nemen, is het hoofdwachtwoord bovendien lastig te brute forcen. Een veelvoorkomende encryptievariant voor wachtwoorddatabases is 256bit-aes. Deze standaard geldt als veilig en 'resistent' tegen aanvallen door quantumcomputers. Dan moet het wel om een correcte implementatie gaan, wat niet altijd na te gaan is.

De daadwerkelijke encryptie is dan ook vaak niet het probleem bij wachtwoordmanagers. Aanvallen richten zich doorgaans op de verschillende browseradd-ons die voor de verschillende varianten te verkrijgen zijn. Daarmee kan de software  bijvoorbeeld invulvelden detecteren en automatisch wachtwoorden invullen. Het is dan ook verstandig om deze functie uit te schakelen bij het gebruik van een wachtwoordmanager.


Charles Dyer, 'Combination', CC BY 2.0

Kortom, het gebruik van een wachtwoordmanager lost het probleem op dat voor elke site een apart wachtwoord moet worden bedacht en maakt het gemakkelijk om wachtwoorden te beheren, aan te maken en soms ook te wijzigen. In het overzicht op de volgende pagina zijn zowel opensourcevarianten als commerciële oplossingen te vinden, vanwege de zojuist besproken bezwaren. Het zal duidelijk zijn dat het gebruik van een wachtwoordmanager geen perfecte oplossing is, omdat er wel degelijk bezwaren zijn. Het staat wel vast dat het veiliger is dan hetzelfde wachtwoord gebruiken voor verschillende diensten, zoals recente datalekken hebben aangetoond.

Kies je voor het gebruik van een wachtwoordmanager, dan is één ding zeer belangrijk: het kiezen van een hoofdwachtwoord. In het overzicht komt naar voren dat verschillende producten hier niet genoeg nadruk op leggen en daarom noemen wij het hier. Het hoofdwachtwoord geeft toegang tot de database met wachtwoorden en is daarom belangrijk. Er zijn verschillende opvattingen over wat nu precies een sterk wachtwoord is.

Velen hebben de aanpak gekozen die door een stripje van xkcd populair is gemaakt, namelijk het kiezen van willekeurige woorden. Hoewel dit een lang en eenvoudig te onthouden wachtwoord oplevert, is beveiligingsexpert Bruce Schneier het niet eens met dit advies. Hij adviseert dan ook een eenvoudig te onthouden zin te gebruiken en deze om te zetten in een wachtwoord. Zo wordt bijvoorbeeld 'Until this very moment, these passwords were still secure' omgezet in 'uTVM,TPw55:utvm,tpwstillsecure' door de zin twee keer op een andere manier te herhalen. Bij voorkeur is dit wachtwoord bovendien van de nodige symbolen voorzien.

Er zijn natuurlijk eenvoudigere varianten te bedenken, waarbij het van persoon tot persoon verschilt welke het beste werkt. Omdat het hoofdwachtwoord onthouden moet worden, is het verstandig om zelf de tijd te nemen om een passende oplossing te vinden. Het is vervolgens aan te raden om het voor de wachtwoordmanager gekozen hoofdwachtwoord niet voor iets anders te gebruiken. Tot slot is het verstandig om het hoofdwachtwoord niet te vergeten; er is namelijk vaak geen andere manier om in de wachtwoordendatabase te komen.

Overzicht

Hieronder staat een overzicht van de besproken wachtwoordmanagers en hun verschillende eigenschappen. We hebben ervoor gekozen om vier varianten diepgaander te bespreken: de versies van KeePass, LastPass, 1Password en Dashlane. Dit is rijpe software, die door veel mensen wordt gebruikt. Daarnaast noemen we op het einde een aantal alternatieven, die door bepaalde eigenschappen opvallen en eveneens geschikte wachtwoordmanagers zijn.

Software Gratis versie Premium-prijs
individuele gebruiker
2FA Encryptie Automatische
synchronisatie 
Platforms Browsers
KeePass ja nvt ja, voor toegang tot database aes, Twofish, Serpent  nee Windows, Linux, macOS, iOs, Android, Windows Phone Chrome, Firefox, IE, Safari, Opera
KeePassX ja nvt ja, voor toegang tot database aes, Twofish  nee Windows, Linux, macOS, iOs, Android, Windows Phone Chrome, Firefox, IE, Safari, Opera
LastPass ja 0,94 euro per maand ja

aes + 
sha 256 en pbkdf2

 ja Windows, Linux, macOS, iOs, Android, Windows Phone Chrome, Firefox, IE, Safari, Opera, Edge
1Password nee 2,70 euro per maand nee aes + sha-512 en pbkdf2  ja Windows, Linux (Wine), macOS, iOs, Android, Windows Phone Chrome, Firefox, IE, Safari, Opera
Dashlane ja 3 euro per maand ja aes + sha-1 en pbkdf2  ja Windows, macOS, iOs, Android Chrome, Firefox, IE, Safari, Opera
Password Safe ja nvt nee Twofish + 
sha 256 en pbkdf2
 nee Windows, Linux, macOS, iOs, Android, Windows Phone geen
True Key ja 1,60 euro per maand ja aes + sha-512 en pbkdf2  ja Windows, macOS, iOs, Android IE, Chrome, Firefox
Enpass ja 10 euro per apparaat (eenmalig) ja, met totp aes + pbkdf2  ja Windows, Linux, macOS, iOs, Android, Windows Phone Chrome, Firefox, Safari, Opera
Padlock ja 3,70 euro per maand nee aes ja  macOS, iOs, Android  Chrome

KeePass en KeepassX

Van de software die de naam KeePass draagt, zijn verschillende versies beschikbaar. Dat kan de nodige verwarring opleveren, daarom hier een korte uitleg. De originele KeePass-software stamt uit 2003 en richtte zich aanvankelijk op Windows. De volledige naam is KeePass Password Safe. De opensourcesoftware ondersteunt inmiddels andere besturingssystemen met behulp van Mono. Er zijn twee versies van KeePass, versie 1.x en 2.x. De tweede versie is niet op de eerste gebaseerd, waardoor er essentiële verschillen zijn. Zo is de 1.x-versie alleen te gebruiken op Windows en op Linux via Wine. De 2.x-versie draait met behulp van het eerdergenoemde Mono behalve op Windows, op Linux en macOS. De tweede versie, ook bekend als KeePass2, beschikt over meer functies dan de eerste, bijvoorbeeld de mogelijkheid om van en naar een groter aantal bestandsindelingen te in- en exporteren.

KeePassX stond eerst bekend als  Keepass/L en was een Linux-port van de originele KeePass-software. Deze variant kreeg in 2006 ondersteuning voor meer platforms en heet sindsdien KeePassX. Het is opensourcesoftware die op Windows, Linux en macOS draait. KeePassX is in staat om zowel KeePass 1.x- als 2.x-databases te importeren.

Nu de verwarring hopelijk enigszins is opgeheven, is het tijd om naar de functies van de programma’s te kijken. Fundamenteel is er niet veel verschil. Beide programma’s stellen de gebruiker in staat om gegevens als wachtwoorden en gebruikersnamen in databases op te slaan. Ze kunnen deze databases vervolgens exporteren en importeren. Om de veiligheid van de database te garanderen, is het mogelijk om ze te versleutelen. Voor KeePass 1.x kan dat met aes en Twofish, hetzelfde geldt voor KeePassX. Voor KeePass 2.x kan dat standaard alleen met aes door middel van plug-ins ook met andere algoritmes, zoals Twofish en Serpent. Deze algoritmes staan bekend als veilig. De veiligheid van de software kan verder worden getest met een externe audit. Voor KeePassX heeft een dergelijk onderzoek van de broncode niet plaatsgevonden. Voor KeePass is heeft een audit plaatsgevonden, dankzij een initiatief van de Europese Commissie. Daarbij werden geen ernstige kwetsbaarheden ontdekt.

Andere functies liggen eveneens dicht bij elkaar. Zo kunnen beide programma’s wachtwoorden genereren en voorzien ze in de mogelijkheid om wachtwoorden in groepen in te delen. Verschillen zijn vooral op kleine onderdelen te zien. In KeepassX kunnen gebruikers bijvoorbeeld kiezen uit een wachtwoord of een sleutelbestand om hun wachtwoordendatabases te beveiligen. In KeePass2 komt daar de optie van de Windows-account bij, waardoor een gebruiker met het juiste account bij de database kan. In beide programma's zijn bijvoorbeeld een wachtwoord en een sleutelbestand te combineren voor aanvullende beveiliging. Daarnaast toont KeePass2 de sterkte van het gekozen wachtwoord, iets wat KeePassX niet doet. Verder bestaat in KeePass2 de mogelijkheid om wachtwoorden automatisch in te vullen in een actief venster, bij KeePassX is deze functie alleen aanwezig in de Linux-versie.

Beide programma's bieden geen native functie om wachtwoorden op andere apparaten op te slaan en zijn op zichzelf alleen geschikt om op een desktop of laptop te worden gebruikt. Het is natuurlijk wel mogelijk om de versleutelde database zelf te syncen met verschillende apparaten. Dat kan bijvoorbeeld via diensten als Google Drive, OneDrive en Dropbox. Het is bovendien mogelijk om dat via een eigen hosting- en synchronisatieconstructie te doen, zoals via OwnCloud. Zo is het mogelijk om de database op verschillende apparaten uit te lezen en zo de nodige wachtwoorden altijd bij de hand te hebben.

Er zijn verschillende apps die de databases van KeePassX en de verschillende versies van KeePass kunnen lezen. Voorbeelden zijn KeePassDroid, Keepass2Android en KeePass Touch voor iOS. Er zijn bovendien versies voor Windows Phone te vinden, zoals Winpass. De keuze tussen KeePass en KeePassX hangt af van eigen voorkeuren en apparaten. KeePass2 maakt een vrij complete indruk en heeft meer functies dan KeePassX door ondersteuning van verschillende plug-ins, bijvoorbeeld voor Chrome en andere browsers. Gebruikers die tussen de twee twijfelen, kunnen beter voor KeePass2 kiezen, vanwege de uitgebreidere functies en de aanstaande audit.

LastPass

In tegenstelling tot opensourcewachtwoordmanagers, zoals KeePass, stelt LastPass zijn broncode niet publiek beschikbaar. Toch is het een bruikbare tool, die gebruikers wachtwoorden op zijn eigen servers laat opslaan. Dit heeft als voordeel dat LastPass-gebruikers eenvoudig hun wachtwoorden op verschillende apparaten kunnen gebruiken. Het nadeel is dat de wachtwoorden op de server van een commercieel bedrijf staan en dat de gebruikers er maar op moeten vertrouwen dat ze degelijk zijn beveiligd. Zo komt het bij de keuze tussen opensourcesoftware en commerciële alternatieven, net als bij andere beveiligingsproducten, opnieuw neer op vertrouwen.

LastPass kwam in 2008 beschikbaar en in oktober 2015 nam het Amerikaanse LogMeIn het bedrijf over. Het gebruik van LastPass is gratis voor de belangrijkste functies. De betaalde versies bieden aanvullende mogelijkheden, zoals het delen van wachtwoorden met familieleden en 1GB aan versleutelde opslag. Een bijkomend voordeel van de 'premium'-versie is de functie voor het invullen van wachtwoorden bij desktopapplicaties. Lange tijd was het gebruik van LastPass op onder andere mobiele apparaten een betaalde functie, maar van dat beleid is het bedrijf onlangs afgestapt, waarmee een groot nadeel voor gebruikers van de gratis versie kwam te vervallen.

Sterke punten van de software zijn het gebruiksgemak en de beschikbaarheid voor een groot aantal verschillende platforms, waaronder Windows, macOS, Linux, Android en iOS. De software is beschikbaar als plug-in voor een groot aantal populaire browsers. Doordat LastPass de wachtwoorden op zijn eigen servers opslaat, hoeft de gebruiker het synchroniseren van zijn database niet zelf te regelen.

De software biedt functies die elke gebruiker van een volwassen wachtwoordmanager mag verwachten, zoals het automatisch genereren van wachtwoorden, tweetrapsauthenticatie via een app of hardwaresleutel, inloggen met vingerafdruk, het herkennen van invulvelden en het waarschuwen bij hergebruikte of zwakke wachtwoorden. De waarschuwingsfunctie strekt zich ook uit tot datalekken. Zo stuurde LastPass een waarschuwing naar gebruikers naar aanleiding van de Yahoo-hack. Daarnaast zijn er geavanceerde opties. Zo kunnen gebruikers ervoor kiezen om hun wachtwoorden op een Europese server te laten opslaan, in plaats van op een Amerikaanse. Het voordeel daarvan is bijvoorbeeld dat dan de Europese wetgeving van toepassing is. Deze functie bevindt zich op dit moment nog in de bètafase.

Met de geavanceerde functies van LastPass kunnen gebruikers hun wachtwoorden beter beveiligen door het aantal iteraties te verhogen. De software versleutelt de wachtwoorden lokaal en maakt daarbij gebruik van sha-256 in combinatie met pbkdf2 om het hoofdwachtwoord om te zetten in een encryptiesleutel. Een hoger aantal iteraties maakt het brute forcen van het hoofdwachtwoord moeilijker. LastPass raadt zelf 5000 iteraties aan en gebruikers kunnen kiezen voor maximaal 200.000 iteraties. Naarmate het aantal hoger is, duurt het langer om in te loggen, vooral op minder krachtige apparaten. Daar komt bij dat het verhogen van het aantal iteraties bij een zwak hoofdwachtwoord weinig toevoegt.

Met de lokale encryptie van LastPass heeft de dienst zelf geen inzicht in de wachtwoorden van gebruikers. De database met wachtwoorden is versleuteld met 256bit-aes. Naast de besproken mogelijkheden geeft LastPass nog andere suggesties voor het verhogen van de beveiliging van een account. Als je echter bij het aanmaken van een account een extreem slecht wachtwoord kiest, zoals 'Ilikebird5', wordt dit gezien als een goede keuze, met een groen balkje. Het zwakke wachtwoord komt evenmin terug in de Security Challenge, waarmee LastPass inzicht geeft in zwakke of hergebruikte wachtwoorden op verschillende sites.

Als de LastPass-diensten of de internetverbinding zelf niet beschikbaar zijn, is het mogelijk om de wachtwoorden offline in te zien. Dit kan door gebruik te maken van de app en te kiezen voor offline toegang bij het inloggen. De LastPass-browserextensie biedt dezelfde functie. In aanvulling daarop is er LastPass Pocket, waarmee gebruikers hun wachtwoordendatabase bijvoorbeeld op een usb-drive kunnen opslaan.

In tegenstelling tot Dashlane en 1Password biedt LastPass enkele herstelmogelijkheden voor als een gebruiker zijn hoofdwachtwoord vergeet. Dit kan een beveiligingsrisico zijn, zoals critici terecht opmerken. De software biedt bijvoorbeeld de mogelijkheid naar een oud hoofdwachtwoord terug te gaan of in te loggen met een 'one time password' op een apparaat waarmee de gebruiker eerder heeft ingelogd. Deze optie is uit te schakelen, maar staat standaard aan.

Door de gesloten broncode is niet met zekerheid te zeggen hoe veilig LastPass daadwerkelijk is. Het bedrijf zegt regelmatig audits uit te laten voeren, maar publiceert de bevindingen niet. Bovendien is de software niet vrij van bugs en kwetsbaarheden. In het verleden wisten hackers bijvoorbeeld gegevens van gebruikers te bemachtigen, maar daaronder waren geen databases met wachtwoorden. Ook de extensies zelf kunnen kwetsbaarheden bevatten, waardoor kwaadwillenden gegevens kunnen stelen. LastPass reageert doorgaans snel op meldingen van lekken in zijn software.

1Password

Een wachtwoordmanager die wat functionaliteit betreft veel op LastPass lijkt, is 1Password, dat wordt ontwikkeld door het Canadese AgileBits. Van de software bestaan verschillende applicaties. Die zijn er voor respectievelijk Windows, macOS, Android, iOS en alle populaire browsers, met een restrictie voor die van Windows. Gebruikers kunnen kiezen tussen een abonnement of een losse licentie. 1Password kan de synchronisatie van wachtwoorden zelf uitvoeren via AWS-servers, waarvoor een betaald account nodig is. Dit kost een individuele gebruiker 3 dollar per maand, omgerekend ongeveer 2,70 euro. Gebruikers kunnen daarnaast kiezen om eenmalig een licentie af te nemen voor de prijs van 65 dollar, voor een mobiele app is dat ongeveer 11 euro. Zonder betaling is het in de app niet mogelijk om onderdelen aan een kluis toe te voegen of bestaande onderdelen te bewerken. Onder de betaalde functies van een account valt verder toegang tot deze 'premium'-functies van de gratis apps, ondersteuning en 1GB opslag. 1Password biedt ook een familieabonnement dat 5 euro kost voor vijf gebruikers en bijvoorbeeld het delen van wachtwoorden mogelijk maakt.

Gebruikers die geen account willen gebruiken, kunnen zelf de synchronisatie van de wachtwoorddatabase regelen, bijvoorbeeld via Dropbox, iCloud of OneDrive. Daarnaast is het mogelijk om een lokale map aan te wijzen waarin de database staat. In dat geval is de gebruiker zelf verantwoordelijk voor de synchronisatie van die map, bijvoorbeeld met BitTorrent Sync of een alternatief. Er is bovendien een mogelijkheid voor synchroniseren via een lokaal wifi-netwerk. Zonder account is er geen toegang tot de webinterface van 1Password.

Veel functies die in LastPass te vinden zijn, zitten ook in 1Password. Daaronder zitten integratie met de browser, het aanmaken en invullen van wachtwoorden, offline toegang, het waarschuwen bij datalekken, encryptie met 256bit-aes en bescherming tegen brute-forceaanvallen met pbkdf2 en hmac-sha-512. Bovendien is het mogelijk om logins automatisch in apps en browsers in te vullen in de mobiele app. Een optie voor tweetrapsauthenticatie ontbreekt, wat een nadeel is. 1Password claimt dat zijn encryptiemodel beter werkt dan een authenticatiemodel en dat er daarom geen noodzaak is voor tweetrapsauthenticatie.

Dat wil niet zeggen dat 1Password helemaal geen tweede factor gebruikt. Voor betalende gebruikers met accounts maakt de software gebruik van een zogeheten Account Key van 128bit, die gecombineerd wordt met het hoofdwachtwoord en dient om een nieuw apparaat te authenticeren. Deze sleutel is lokaal opgeslagen en wordt nooit via internet verstuurd. Voor decryptie is zowel het hoofdwachtwoord als de accountsleutel vereist. In tegenstelling tot LastPass laat 1Password de gebruiker niet zelf het aantal pbkdf2-interaties bepalen. AgileBits rechtvaardigt dit door te stellen dat dit vaak maar weinig toevoegt vanwege diminishing returns. Het zou bijvoorbeeld veel beter zijn om het hoofdwachtwoord met een paar karakters te verlengen. Voor degenen die alle details van het beveiligingsmodel van 1Password willen weten, heeft het bedrijf een whitepaper gepubliceerd.

Los van de functies is de interface van 1Password duidelijk en overzichtelijk. Gebruikers kunnen hun wachtwoorden in verschillende categorieën onderbrengen, bijvoorbeeld logins of creditcardinformatie. Daarmee is de software ook geschikt om andere informatie dan wachtwoorden op te slaan. Om eenvoudig toegang te krijgen tot de wachtwoordendatabase op mobiele apparaten is het mogelijk om gebruik te maken van een vingerafdruk. Dat scheelt veel tijd als het hoofdwachtwoord lang of complex is. Een opvallend detail bij 1Password is dat de software bij het aanmaken van een hoofdwachtwoord geen duidelijke indicatie geeft van de sterkte ervan. Daardoor zou een gebruiker geneigd kunnen zijn om een zwak hoofdwachtwoord te kiezen, waardoor een beveiligingsrisico kan ontstaan. De software biedt wel de optie om een generator te gebruiken.

Dashlane

In het rijtje van LastPass en 1Password hoort ook wachtwoordmanager Dashlane thuis. Het gelijknamige bedrijf achter de software is gevestigd in de VS en maakt de broncode van de software niet openbaar. Op het gebied van functionaliteit is er niet veel verschil met de voorgaande twee wachtwoordmanagers. De software is beschikbaar in een gratis variant, die voorziet in basisfuncties als het opslaan en invullen van wachtwoorden, waarschuwingen bij datalekken en ondersteuning voor Windows, macOS, Android en iOS. Automatische synchronisatie tussen apparaten is alleen mogelijk met een betaald account. De kosten voor een 'premium'-account zijn 40 dollar per jaar, omgerekend ongeveer 36,20 euro. Daarnaast zijn er pakketten van 100 dollar voor drie jaar en 150 dollar voor vijf jaar.

Wat bij de installatie en het gebruik van Dashlane meteen in het oog springt, is de goed doordachte vormgeving van processen en de interface zelf. Bij de installatie kiest de gebruiker een hoofdwachtwoord en geeft de software uitleg over de werking van de wachtwoordmanager. Vervolgens voegt Dashlane automatisch de nodige browserplug-ins toe, waardoor de gebruiker hier niet zelf achteraan hoeft te gaan. De app van Dashlane werkt eenvoudig en kan gebruikmaken van een vingerafdruk om toegang te geven tot de wachtwoordendatabase. Bij de installatie van de app wordt automatisch de Dashlane-browser geïnstalleerd, waarmee de software wachtwoorden op websites kan invullen en aanmaken. Hoewel dit een nuttige functie is, lijkt het gebruiken van een aparte browser voor alleen het beheren van wachtwoorden onnodig en onveilig.

Op het gebied van beveiliging heeft Dashlane, net als 1Password, een whitepaper gepubliceerd. Daaruit blijkt dat de software eveneens de wachtwoorden versleutelt met 256bit-aes. Ook hier komt het gebruik van pbkdf2 terug, in dit geval met 10.000 iteraties. Op dit aantal heeft de gebruiker geen invloed. Als hashing-algoritme gebruikt Dashlane sha-1. Hoewel dit inmiddels niet meer als veilig wordt gezien, kan het in dit geval nog wel ingezet worden om een veilige sleutel aan te maken.

Zoals gezegd, hangt de beveiliging van een wachtwoordmanager voor een groot deel af van de sterkte van het hoofdwachtwoord. Op dit punt schiet Dashlane tekort in het voorlichten van de gebruiker bij het aanmaken van het hoofdwachtwoord. De software vraagt alleen om minimaal acht karakters, waarin een hoofd- en een kleine letter in combinatie met een cijfer moeten voorkomen. Na de installatie geeft de software door middel van het Security Dashboard wel aan dat bijvoorbeeld het hoofdwachtwoord 'Ilikebird5' extreem zwak is, maar klik je vervolgens op 'aanpassen', dan lukt dit niet, doordat de 'site' waar het wachtwoord bijhoort, naar localhost verwijst.

Tweetrapsauthenticatie is mogelijk met Dashlane. Daarvoor kan de gebruiker een externe app inzetten, zoals Google Authenticator, of een U2F-sleutel gebruiken. Dashlane host de wachtwoorden op AWS-servers, daarop heeft de gebruiker verder geen invloed.

Andere keuzes

Password Safe

Password Safe werd ontwikkeld door de bekende beveiligingsexpert Bruce Schneier. Hij bracht in 2002 de eerste versie van deze opensourcesoftware uit. Zijn programma biedt ongeveer dezelfde functionaliteit als KeePassX en is oorspronkelijk geschreven voor Windows. Er is in de loop van de tijd een groot aantal ports ontwikkeld die het databaseformaat van Password Safe ondersteunen. Bekende versies zijn PasswdSafe voor Android, en pwSafe voor iOS en macOS. Hoewel Schneier voor de veiligheid van zijn eigen Windows-applicatie instaat, geeft hij terecht aan geen oordeel te kunnen vellen over de veiligheid van de andere versies.

De functies omvatten een goed werkende wachtwoordgenerator, de mogelijkheid voor het exporteren en importen van databases, en het automatisch typen van wachtwoorden. Schneier heeft er expres niet voor gekozen om de software automatisch wachtwoorden te laten invullen, omdat dit volgens hem een beveiligingsrisico is. Er is geen mogelijkheid voor het automatisch synchroniseren van de database, maar daarvoor is dezelfde oplossing mogelijk als voor de KeePass-varianten. De beveiliging van de database berust op het Twofish-algoritme en voor het afleiden van een sleutel past de software pbkdf2 toe met sha-256- en -2048-iteraties.

True Key

Intel heeft inmiddels de markt voor wachtwoordmanagers betreden met zijn eigen product True Key. De software is beschikbaar voor Windows, macOS, Android en iOS. Daarnaast is er ondersteuning voor Internet Explorer, Chrome en Firefox. Er is een gratis versie beschikbaar, met de beperking dat de gebruiker maximaal vijftien wachtwoorden kan opslaan. Voor de betaalde versie moet 20 euro per jaar betaald worden. Deze versie kan maximaal tweeduizend logins opslaan.

Een in het oog springende eigenschap van de Intel-software is het grote aantal authenticatiemogelijkheden. Dit kan bijvoorbeeld met een hoofdwachtwoord, gezichtsherkenning, vingerafdruk of een tweede apparaat. Daarbij combineert Intel unieke identificatiemiddelen, zoals het gezicht, met contextgebonden middelen, zoals het gebruikte apparaat. De mogelijkheden verschillen per platform. Zo is het op Android niet mogelijk om met een vingerafdruk in te loggen. Toegang met een hardwaresleutel behoort niet tot de beschikbare opties.

De beveiligingsaspecten zijn beschreven in een whitepaper. Daarin staat onder andere dat de software gebruikmaakt van 256bit-aes voor het versleutelen van databases en van pbkdf2 in combinatie met hmac-sha-512 voor het genereren van een sleutel. Een tweede opvallende aspect is dat True Key het herstellen van het hoofdwachtwoord toelaat. Deze functie is uit te schakelen, maar staat standaard aan. Veel andere producten bieden deze functie uit veiligheidsoverwegingen niet of in een aangepaste vorm. De manier van Intel werkt alleen als de gebruiker een van zijn 'trusted devices' bezit en zich kan authenticeren bij de True Key-servers.

Enpass

Een andere, vrij complete wachtwoordmanager is Enpass. Dit is commerciële software van het Indiase bedrijf Sinew Software Systems. Er zijn desktopversies voor Windows, macOS en Linux, naast mobiele versies voor iOS, Android, Windows Phone en BlackBerry. Browserextensies zijn er voor alle populaire browsers, inclusief Vivaldi. De desktopversie is gratis en is in eerste instantie bedoeld voor offline gebruik. De mobiele versie is eveneens gratis, maar heeft een beperking van maximaal twintig opgeslagen wachtwoorden of andere zaken. Daardoor is het voor serieus gebruik toch al snel nodig om naar de betaalde versie over te gaan. Die kost gebruikers 10 dollar per platform voor een levenslange licentie.

Volgens de makers is Enpass bedoeld als offline wachtwoordmanager, maar is er wel ondersteuning voor 'cloud sync'. Daarmee biedt de software de gebruiker de optie om zelf de synchronisatie tussen zijn apparaten te regelen, net als bij de gratis versie van 1Password. Er zijn verschillende opties. Zo is het onder andere mogelijk te kiezen voor Google Drive, iCloud, Dropbox, OneDrive of ownCloud. Op die manier is het toch mogelijk om op verschillende apparaten toegang te hebben tot de wachtwoordendatabase. De database is ook hier weer versleuteld met 256bit-aes en Enpass past 24.000 pbkdf2-iteraties toe. Hiervoor maakt de software gebruik van de opensourcesoftware SQLCipher.

Op het gebied van functionaliteit biedt Enpass geen unieke mogelijkheden, maar er ontbreekt ook niet veel. Het opslaan van wachtwoorden en andere zaken, het genereren en invullen van wachtwoorden, toegang met vingerafdruk, en in- en exportfuncties zijn allemaal aanwezig. Windows-gebruikers kunnen daarnaast gebruikmaken van de UWP-app en van de ondersteuning voor Windows Hello. Er is geen tweetrapsauthenticatie, omdat Enpass geen eigen servers gebruikt om wachtwoorden op te slaan. De software kreeg begin dit jaar wel ondersteuning voor totp.

Padlock

Padlock bevindt zich in het niemandsland van betaalde versies van opensourcewachtwoordmanagers. De filosofie van het bedrijf achter de software, het Duitse MaKleSoft, is een minimalistische aanpak, zonder alle toeters en bellen van andere wachtwoordmanagers. Op dit moment bestaan er alleen versies voor iOS, Android en Chrome. Versies voor Windows en Linux hebben de status 'coming soon'.

De functies beperken zich tot de bare necessities: het importeren, exporten, opslaan en genereren van wachtwoorden. Het verschil met de andere opensourceprogramma's is dat Padlock een synchronisatiefunctie aanbiedt, waarvoor gebruikers vier dollar per maand moeten betalen, omgerekend ongeveer 3,70 euro. Dat is vrij fors voor alleen de basisfunctionaliteit, maar het maakt het gebruik van de manager een stuk eenvoudiger. Er is weinig informatie over de wachtwoordmanager te vinden, wat past bij de filosofie, maar niet handig is voor de gebruiker met vragen.

Een voordeel van Padlock is dat de broncode van de apps, browserextensie en 'Padlock cloud' een audit heeft gehad van Cure53. Daarbij werden geen kritieke kwetsbaarheden vastgesteld. Bovendien kan er verbinding worden gemaakt met een aangepaste synchronisatieserver, waardoor het mogelijk lijkt om er zelf een op te zetten. Encryptie van de wachtwoordendatabase gebeurt lokaal. Voor gebruikers die wel een opensourcevariant willen gebruiken en die het gemak van automatische synchronisatie willen, is Padlock een optie. De prijs maakt het echter aantrekkelijk om toch voor een programma met meer mogelijkheden te kiezen.

Tot slot

Als je eenmaal hebt besloten je wachtwoorden in een centrale database te stoppen en het bedenken ervan over te laten aan software, hangt de uiteindelijke keuze voor een wachtwoordmanager in feite af van gemak, prijs en vertrouwen. Vrijwel alle besproken managers hebben alle belangrijke functies aan boord, zoals het genereren, invullen en opslaan van wachtwoorden, tweetrapsauthenticatie en degelijke encryptie, maar wat gemak betreft zijn er hier en daar verschillen. Vertrouwen speelt een rol, omdat je in het geval van commerciële producten die geen publieke broncode hebben, er zeker van wil zijn dat jouw gegevens in veilige handen zijn. Bij opensourcesoftware kan dit ook spelen, bijvoorbeeld omdat er nog geen audit van de broncode heeft plaatsgevonden. Daarnaast zijn sommige wachtwoordmanagers gratis, wat eveneens een aantrekkelijke factor kan zijn.

Ga je vooral voor gemak en prijs, dan is LastPass een goede keuze. De software biedt veel mogelijkheden en is beschikbaar op een groot aantal platforms. Daar komt bij dat het synchroniseren van de wachtwoorden op verschillende apparaten sinds kort gratis is, waardoor LastPass in feite volledige functionaliteit voor niets biedt. De software heeft een bètafunctie waarmee gebruikers hun wachtwoorden op een Europese server kunnen opslaan. Dit kan voor sommigen aantrekkelijk zijn. Op het gebied van vertrouwen is LastPass dan weer een lastige. Het bedrijf is overgenomen door LogMeIn, wat voor sommige gebruikers een reden was om op zoek te gaan naar een alternatief. Hoewel LastPass over het algemeen snel reageert op meldingen van kwetsbaarheden, is dit geen garantie dat de software daadwerkelijk veilig is. Wel kunnen gebruikers een aantal maatregelen nemen om hun account aanvullend te beveiligen.

Holly Victoria Norval, 'Safe and Sound', CC BY 2.0

In dezelfde hoek zitten 1Password en Dashlane, die naast uitgebreide mogelijkheden ondersteuning bieden voor verschillende platforms en een rijpe indruk maken. Eerstgenoemde wachtwoordmanager is met omwegen gratis te gebruiken, waarbij je zelf het synchroniseren van de wachtwoordendatabase moet regelen. 1Password kan deze taak overnemen, maar daarvoor is een 'premium'-account nodig, die iets minder dan 3 euro per maand kost. In het geval van Dashlane ontbreekt synchronisatie in de gratis versie volledig, wat enigszins afbreuk doet aan het gebruiksgemak.

Gratis synchronisatie is wel een eigenschap van Enpass, dat wordt aangeboden door een bedrijf uit India. Gebruikers die dat geen probleem vinden, kunnen deze software gratis gebruiken en zelf de synchronisatie regelen. Met een prijs van eenmalig 10 euro per apparaat is Enpass een vrij goedkope optie onder de commerciële wachtwoordmanagers. Wie wil vertrouwen op een bekende naam, kan kiezen voor True Key van Intel, dat een scala aan authenticatiemogelijkheden biedt.

Wie vertrouwen belangrijk vindt en bereid is om daarvoor wat gemak in te leveren, kan kiezen voor de opensourcevarianten van KeePass of Password Safe. Het voordeel van deze software is dat de broncode openbaar is, waardoor deze te inspecteren is. Het goede nieuws voor KeePass is dat de Europese Unie een audit heeft laten uitvoeren, waarbij geen ernstige kwetsbaarheden werden gevonden. KeePassX en Password Safe bieden vergelijkbare mogelijkheden en beschikken over de belangrijkste functies voor wachtwoordmanagers. Gebruikers kunnen ervoor kiezen om hun wachtwoordendatabase zelf te synchroniseren op andere apparaten, waarvoor verschillende apps te downloaden zijn. Daardoor kunnen gebruikers hun wachtwoordendatabase desgewenst in eigen beheer houden, in ruil voor net iets meer moeite. Onder de opensourcevarianten maakt de tweede versie van KeePass een goede indruk, door de verschillende functies en plug-ins.

Wie open source wil in combinatie met automatische synchronisatie, kan altijd nog voor Padlock kiezen. Gebruik van de synchronisatie is dan niet gratis.

Wachtwoordmanager Positief Negatief
KeePass
  • Veel functies
  • Plug-in-ondersteuning
  • Heeft een audit gehad
  • Open source
  • Mogelijkheid om zelf te synchroniseren
  • Geen automatische synchronisatie
  • Minder toegankelijk
  • Geen waarschuwing bij lekken
KeePassX
  • Open source
  • Belangrijkste functies aan boord
  • Mogelijkheid om zelf te synchroniseren
  • Geen automatische synchronisatie
  • Minder toegankelijk
  • Geen audit
  • Geen waarschuwing bij lekken
LastPass
  • Uitgebreide gratis versie
  • Serverkeuze
  • Eenvoudig te gebruiken
  • Tweetrapsauthenticatie
  • Invullen wachtwoorden desktopapps
  • Waarschuwing bij lekken
  • Gesloten broncode
  • Wachtwoordherstel mogelijk
  • Geen waarschuwing bij zwak hoofdwachtwoord
1Password
  • Heldere interface
  • Veel documentatie
  • Security Whitepaper
  • Waarschuwing bij lekken


  • Geen duidelijke indicatie van sterkte hoofdwachtwoord
  • Geen gratis versie
  • Geen tweetrapsauthenticatie
  • Gesloten broncode
Dashlane
  • Tweetrapsauthenticatie
  • Security Whitepaper
  • Gestroomlijnde interface en eenvoudig gebruik
  • Waarschuwing bij lekken

  • Gratis versie te beperkt voor normaal gebruik
  • Geen duidelijke indicatie van sterkte hoofdwachtwoord
  • Dashlane Browser
  • Gesloten broncode



Password Safe
  • Open source
  • Belangrijkste functies aan boord
  • Gerenommeerde ontwikkelaar
  • Geen functies buiten het allernodigste
  • Geen automatische synchronisatie
  • Minder toegankelijk
  • Geen waarschuwing bij lekken
True Key
  • Intel is een bekende naam
  • Veel authenticatiemogelijkheden
  • Security Whitepaper
  • Gesloten broncode
  • Wachtwoordherstel mogelijk
  • Gratis versie te beperkt voor normaal gebruik
Enpass
  • Mogelijkheid om zelf te synchroniseren
  • Ondersteuning voor veel platforms
  • Gratis mobiele versie te beperkt voor normaal gebruik
  • Onbekend bedrijf
  • Gesloten broncode
  • Geen automatische synchronisatie
Padlock
  • Zeer eenvoudig
  • Automatische synchronisatie
  • Heeft een audit gehad
  • Open source


  • Weinig documentatie
  • Hoge kosten voor automatische synchronisatie zonder aanvullende functies
  • Weinig platforms

Reacties (220)

Wijzig sortering
Op het forum loopt al tijden een topic over password managers waar o.a. ervaringen in worden gedeeld. Erg interessant om eens door te nemen om persoonlijke ervaringen te lezen evenals voor- en nadelen van bepaalde oplossingen.

Het topic vind je hier: [Password Managers] Discussie- en reviewtopic
Misschien interessant om KeyPass van Dobysoft eraan toe te voegen ? Zie ook mijn post van daarnet.
Ik mis ook Kaspersky Password Manager
Brr closed source... Nee dank u.
Het stuk over 1Password komt slordig over. Ik denk dat er veel duidelijker onderscheid gemaakt moet worden tussen de 1Password-apps en de online-dienst. Een deel van de uitleg is namelijk niet op beide van toepassing (e.g. tweestapsverificatie).

1Password is altijd al een betaald programma geweest dat je voor elke platform moest aanschaffen, e.g. macOS en iOS. Ik vermoed dat de verwarring optreedt door het feit dat de apps nu ‘gratis’ worden aangeboden. Het zijn freemium-apps. Op iOS/Android gebruikt AgileBits een betaalmodel met eenmalige in-app-aankoop. Als je daar geen gebruik van maakt, is de app inderdaad alleen een beperkte ‘viewer’. Sinds kort heeft AgileBits ook een online-dienst van 1Password met een abonnementsmodel. Als je dat gebruikt, krijg je de apps er namelijk bij.

Verder is het ook van belang om te begrijpen dat 1Password van begin aan als een offline-programma werd ontwikkeld. Het programma bewaart de databank in een bestand op de harde schijf. Het synchroniseren van dit bestand met andere toestellen is een extra dienst die je moet opzetten. Je kunt kiezen voor Dropbox en iCloud, waarbij een kopie van het bestand op de virtuele schijf wordt geplaatst. Je kunt dit bestand ook elders plaatsen, zoals een flash-drive of NAS. Je kunt 1Password ook via Wi-Fi synchroniseren. De online-versie van AgileBits verschilt hier enorm, omdat de databank primair op een server ligt. De apps zijn dan alleen clients waarmee je toegang krijgt tot de server en je moet natuurlijk een account beheren en beveiligen.

Het zijn dus twee aparte dienstverleningen.

Twee voordelen van 1Password: (1) De iOS-app heeft een extensie die door andere apps kan worden geïntegreerd. Zo kun je in bepaalde apps direct met 1Password inloggen. (2) Het synchroniseren via Wi-Fi. Het is bijna net zo comfortabel als een online-synchronisatie en er komt geen server aan te pas.
Hoi Eitot, thanks voor de opmerking. Ik zal kijken of ik het onderscheid duidelijker kan maken in de tekst.
Op zich een goed artikel. Fijn om te zien dat er weer 's een vergelijkend onderzoek is gedaan ipv zomaar willekeurig wat producten te reviewen.
Wat ik alleen nog mis: Je hebt het over vertrouwen als belangrijk onderdeel, maar je geeft verder vrij weinig informatie over de voorwaarden die de software stellen. Juist daarin kun je vaak al lezen wat men met je data gaat / mag / kan doen. De kleine regeltjes zegmaar. Er is nu geen enkele reden om vertrouwen te kweken uit dit soort applicaties, ook niet na 't lezen van je artikel.

Bovendien is niks zo veilig als gewoon je hersens gebruiken. En laten we eerlijk zijn, ook vanuit gemak oogpunt. Je hoeft geen software op al je devices te installeren (cross-platform, cross-os) en met een beetje logisch nadenken en een slim eigen algoritme heb je nagenoeg instant je wachtwoord beschikbaar. Alleen de auto-fill is super handig. Dat is een goed punt, maar waarom die van je browser dan niet gebruiken die al cross-platform / os beschikbaar is? Dat is net zo (on)veilig.

[Reactie gewijzigd door xs4me op 24 november 2016 10:43]

Bovendien is niks zo veilig als gewoon je hersens gebruiken. En laten we eerlijk zijn, ook vanuit gemak oogpunt. Je hoeft geen software op al je devices te installeren (cross-platform, cross-os) en met een beetje logisch nadenken en een slim eigen algoritme heb je nagenoeg instant je wachtwoord beschikbaar. Alleen de auto-fill is super handig. Dat is een goed punt, maar waarom die van je browser dan niet gebruiken die al cross-platform / os beschikbaar is? Dat is net zo (on)veilig.
Onze hersens zijn helemaal niet zo geschikt om veilige wachtwoorden te onthouden of te genereren. Daarmee is de verleiding dan ook veel te groot om overal hetzelfde wachtwoord te gebruiken, ofwel een basis-wachtwoord te gebruiken en die met een doorzichtig algoritme om te vormen voor een specifieke andere sites. Goede wachtwoorden hebben onderling geen enkele relatie en zijn op geen enkele wijze voorspelbaar. Dat redt je gewoon niet met je hersens.

De auto-fill van je browser heeft dan ook nog het nadeel dat, zelfs als je een master password instelt, je deze niet hoeft in te voeren voor welk wachtwoord, maar alleen bij de eerste. Je apparaat onbeheerd achterlaten geeft daarmee iedereen direct toegang tot jouw wachtwoorden. De losse password manager die blokkeert zodra hij geen focus meer heeft is daarmee een stuk veiliger.
En waar baseer je dat op? Ik denk dat je dan onderschat wat je met je hersens kunt, als je ze gebruikt. De pest is dat we onze hersenen zo "lui" hebben gemaakt, dat de meesten het niet meer kunnen inderdaad. Net als dat we niet meer kunnen hoofdrekenen omdat we rekenmachines zijn gaan gebruiken.

Natuurlijk gebruik je algoritmes om het makkelijker voor je te maken. De sleutel hiervan heb je echter alleen zelf in bezit. Het vinden van die sleutel is toch echt wel een bak ingewikkelder dan 1 master password voor alles, want analoog is veiliger dan digitaal.
Je zou kunnen zeggen als een bedrijf meerdere accounts van je hackt, deze opzoekt in hun databases en naast elkaar legt en er dan iemand of een team over laat buigen dat ze 't algoritme kunnen achterhalen.

Bovendien vergeet je dat er maar, laten we zeggen, +- 5 tot 10 wachtwoorden "echt" belangrijk zijn. Als ze accounts van webshops hacken om maar wat te noemen waar verder 0,0 betaal gegevens in staan, dan vinden ze alleen m'n bestel historie. Nou, lekker boeiend.

Laten we 't eens op een rijtje zetten:
Veiligheid
Je geeft al je wachtwoorden in wezen aan een 3e partij waarvan je niet weet wat ze met die gegevens doen. Je gebruikt 1 master password voor al je andere passwords, dus het is zo veilig als je master password. Die sleutel is denk ik net zo veilig als dat algoritme in je hersenen (mits je die niet te simpel maakt). Waarom zou je dan het risico nemen om al die informatie bij een 3e partij te leggen?
Enige wat ik me hierbij kan voorstellen is dat als je ww van andere moet gaan beheren, dat kun je inderdaad niet helemaal met je eigen hersenen. Of dat dan bij een 3e partij moet liggen betwijfel ik nog steeds, het zijn toch klant gegevens.

Gemak
Ik pak m'n iPad er even bij. O crap, m'n pw manager staat er niet op, of nog erger, wordt niet ondersteund op een ander OS, ik weet m'n passwords dus niet, ik moet de app eerst installeren en master inloggen. Ik help een vriend even met wat problemen oplossen. O crap, die heeft die pw manager weer niet, ik kan niet inloggen zonder ook hier die software te installeren.
Dus het wordt pas gemak als je overal die software hebt. Inmiddles heb je dus op al die apparaten ook een 3e partij toegelaten waarvan je geen idee hebt wat die ermee doen, want ik weet niet of je die algemene voorwaarden weleens hebt gelezen, maar na een paar kopjes gaan bij mij de haren toch al overeind staan. Dan kun je ook net zo goed gewoon Chrome gebruiken als password manager trouwens, als je gemak wilt en nagenoeg overal is geinstalleerd.

Er zijn bedrijven die de meesten niet kennen, dat is hier ook weleens aan bod geweest, die nog meer van je weten dan Google, FB en Twitter bij elkaar. Hoe komen ze aan die informatie? Zouden al die "zogenaamde" gratis apps daar misschien iets te maken mee kunnen hebben?
Anyway, we komen op 't vlak conspiracy theorie. Misschien ben ik panisch, maar ik denk niet zo gek ver van de realiteit af.

Ik zie de meerwaarde niet zo van dit soort tools. Het draagt alleen maar bij aan zoals ze dat zo mooi noemen tegenwoordig "the internet of things".
Mijn filosofie is hoe minder je met het internet of instanties deelt, hoe veiliger je bent.

[Reactie gewijzigd door xs4me op 24 november 2016 12:47]

Nouja, die derde partij zie ik ook niet zitten hoor. Ik gebruik FOSS KeePassX waarbij ik zelf mijn password databases volledig in beheer heb. Qua gemak wil ik best wat inleveren voor veiligheid - als ik op een andere PC moet inloggen zoek ik het wachtwoord op mijn telefoon op waar ik de client wel geïnstalleerd heb, en type ik hem over. Gebeurt toch zelden. En op al mijn eigen apparaten heb ik een KeePassX client geïnstalleerd en kan ik mijn databases benaderen.

Daarbij komt het gemak dat ik altijd overal veilig toegang heb tot mijn authenticatie die ik écht niet kan onthouden. Mijn privé SSH- en GPG-sleutels bijvoorbeeld. Nu kan dat om het even met wat voor encrypted container natuurlijk, maar vind het wel prettig om daar één systeem voor te hebben (verspreid over meerdere databases).
En waar baseer je dat op? Ik denk dat je dan onderschat wat je met je hersens kunt, als je ze gebruikt. De pest is dat we onze hersenen zo "lui" hebben gemaakt, dat de meesten het niet meer kunnen inderdaad. Net als dat we niet meer kunnen hoofdrekenen omdat we rekenmachines zijn gaan gebruiken.
Ik ben redelijk goed in complexe wachtwoorden onthouden maar bij ongeveer 12 karakters wordt het toch wel erg vervelend. Zodra daar leestekens bijkomen op niet voorspelbare posities wordt het helemaal lastig. Hoofdrekenen gaat mij overigens prima af ;) Via KeePassX heb ik overal (waar het ondersteund wordt) wachtwoorden van 32 karakters waaronder ook leestekens. En voor elke site anders. Wellicht dat er een enkeling is waarbij je dat gemakkelijk afgaat maar voor het over over overgrote deel van de bevolking kun je dat gewoon niét voor elkaar krijgen met je hersenen.

Dat er wel een aantal echt belangrijke wachtwoorden zijn ben ik met je eens, maar ook die wil je flink complex en onafhankelijk maken. Daarbij zijn sommigen wél erg belangrijk maar gebruik je niet regelmatig. Mijn DigiD bijvoorbeeld. Gebruik ik 1 a 2 keer per jaar, maar is wel erg gevoelig. Ik ben blij dat ik het wachtwoord daarvan in KeePassX heb staan, want anders zou ik hem elke keer dat ik hem nodig heb blokkeren door drie verkeerde pogingen te doen.

[Reactie gewijzigd door MadEgg op 24 november 2016 12:56]

Ok, dat is alweer een ander verhaal inderdaad. Zo ben het helemaal met je eens.

Ik zie alleen om me heen mensen die PW managers gebruiken (ook op de verkeerde manier en redenen) omdat het denk leuk is ofzo, weer een app waar je mee kunt spelen. Ze staan geen moment stil bij wat ze doen.
"Zonder betaling is het in de app niet mogelijk om onderdelen aan een kluis toe te voegen of bestaande onderdelen te bewerken."

Je zou dit op kunnen vatten als dat je onderdelen (logins) altijd in een kluis (set logins) moet bewaren. In werkelijkheid hoef je kluizen niet eens te gebruiken.
Ik heb er veel uitgeprobeerd en mijn favoriet is KeePassX. Vind het namelijk vrij onzinnig om te moeten betalen voor zoiets eenvoudigs als "een password database manager". Meer is het immers niet. KeePass2 had ook gekund alleen heeft dat het grote nadeel dat je de Mono-libraries moet installeren onder Linux wat weer een veiligheidsrisico meebrengt.

Al je wachtwoorden in de cloud opslaan bij een password provider zoals LastPass is een beetje dom. Die database is met alleen maar wachtwoorden is natuurlijk de grootste target om te gaan lopen hacken. Een nachtmerrie scenario. Bijzonder dat tweakers dat hier loopt te promoten op die wachtwoord bewust site.

[Reactie gewijzigd door CR2032 op 24 november 2016 07:35]

Ik denk dat je nog even moet nalezen hoe LastPass werkt...zij hebben namelijk helemaal geen toegang tot je wachtwoorden maar slaan enkel een encrypted file op met een wachtwoord dat je alleen als gebruiker hebt.
Ik betaal juist graag voor een goed werkend systeem dat mij ontlast van dat gedoe met wachtwoorden. En doordat ik ervoor betaal kunnen zij de kwaliteit en veiligheid in stand houden en hebben ze daar ook belang bij. Hoe kan ik daar bij een gratis tool op vertrouwen?

Zonder een vorm van synchronisatie zou het voor mij zinloos zijn. Ik heb dan ook geen bezwaar met het opslaan in de cloud, zolang dit veilig kan. Waarom zou het syncen van de database via mijn Dropbox of Google Drive veiliger zijn dan een server van een ander? Dropbox staat bijv. ook niet bekend om hun goede beveiliging.

Zolang ik die database kan versleutelen met een sterk wachtwoord en sterke encryptie en ik een fysieke tweede factor kan gebruiken ben ik tevreden.
Moet je even vermelden wat voor 2FA, want de meeste (momenteel gangbare) 2FA mogelijkheden kunnen alleen voor authenticatie en niet voor de encryptie van je database gebruikt worden.

Met een smartcard kan het bijv. wel.

Zit ook een nadeel aan gezien je geen backup kan maken van dergelijke smartcards. Gaat ie kapot of raak je em kwijt is het einde password database.
Waarom zou het syncen van de database via mijn Dropbox of Google Drive veiliger zijn dan een server van een ander? Dropbox staat bijv. ook niet bekend om hun goede beveiliging.
Nou simpelweg, omdat de zaak encrypted is voor het jouw systeem verlaat!
Dus de Keepass of 1Password lokale file is al encrypted, en zonder master password heeft iemand er niks aan.
Dat is bij LastPass ook het geval. De database wordt lokaal versleuteld en in zijn geheel geupload naar hun sync server. Oftewel dat is geen onderscheidend verschil.
Nou in die zin dat er op enig moment een 'economy of scale' afweging gaat plaatsvinden: Het is vele malen aantrekkelijker om om een lastpass server te gaan grasduinen, dan tig miljoen dropbox accounts gaan hacken en naspeuren op kbdx filetjes bijvoorbeeld. (Het zelfde geldt eigenlijk óók voor alle andere grote IT systemen: Het is véél handiger om 1 systeem te hacken waar alles in zit dan duizenden losse, dus ceteris paribus geldt dit ook voor bijvoorbeeld het EPD: Ook daar is het minder werk en inspanning om 1 database te hacken dan duizenden huisartsen)
Dus de moeite en inspanning die iemand moet doen om specifiek jouw gegevens te krijgen is wellicht gelijk, maar het gaat er om dat het onverlaten om meer gaat dat specifiek jouw gegevens.
Natuurlijk wordt dat anders als je een crimineel of terrorist bent en er inderdaad mensen specifiek achter jou aanzitten, maar daar ga ik maar even niet van uit... 8)7
Ergens voor betalen biedt geen enkele garantie dat een product hierdoor kwalitatief beter en/of veiliger is dan gratis alternatieven
Nee dat besef ik, garanties heb je nooit, maar als ik een bedrijf betaal dan is de kans denk ik groter dat ze goede ontwikkelaars kunnen inhuren en dat ze geen alternatieve inkomstenbron (reclame of verkoop metadata) hoeven te zoeken. Dat je geen garantie krijgt wil ook niet zeggen dat het omgekeerde waar is.
Vind het namelijk vrij onzinnig om te moeten betalen voor zoiets eenvoudigs als "een password database manager"
Imo kun je zo ICT "manager" worden, die worden ook altijd beschuldigt van te weinig investeren in veiligheid :P
Hoewel je opmerking wat betreft geld wel hout snijdt gaat de vergelijking niet helemaal op volgens mij.
Je betaalt toch ook niet voor een browser omdat deze HTTPS ondersteunt?
Ook niet zo'n sterke vergelijking aangezien alle browsers gratis zijn en ze allemaal https ondersteunen.

Hoewel gratis natuurlijk nog steeds niet bestaat. Browsers zijn doorgaans betaalt door de eigenaar (belanghebbende) van een platform of worden op andere wijze gefinancierd, moeten het bv deels hebben van donaties.
Je master password is je encryptie sleutel dus ook al krijgt men de database kunnen ze die niet zonder jouw sleutel je wachtwoorden decrypten.
Mja dat vraag ik me bij een aantal van die commerciële dingen dus af. Ze kunnen vaak ook met one time passwords, oudere wachtwoorden en nog een paar anderen overweg. Blijkbaar is het wachtwoord zelf dus niet master key en zijn er meerdere mogelijkheden om bij die master key te komen.
LastPass heeft er zelf eens over geschreven. Zoek het dus gerust eens op ;) Ik ben in ieder geval tevreden gebruiker en werkt prima.
De OTP die je van LastPass krijgt kun je alleen gebruiken naast je master wachtwoord en niet in plaats van.
Dat iets het "grootste target" is in mijn ogen geeft enkel aan dat Lastpass ook meer zijn best zal doen om de kiet te beveiligen. Hun business staat of valt met het veilig houden van mijn gegevens dus ze zullen er daar allicht meer tijd in steken dan dat ikzelf als particulier hierin zou steken.

Vanuit die redenatie durf ik dan ook wel te beweren dat mijn gegevens daar veiliger zullen staan dan dat ze op een eigen servertje in mijn of jouw meterkast.
Ben je de lekker bij grote "national security" instanties als de NSA vergeten? Daar behandelen ze gevoelige gegevens van miljoenen mensen en alsnog lekken daar gegevens. Juist die kritieke punten bezwijken uiteindelijk wel een keer onder de druk dat duizenden aanvallen per dag met zich mee brengt. Een bedrijf als Dropbox heeft ook een enorm imagoverlies opgelopen door de accounts van miljoenen gebruikers te lekken, denk je dat zij security niet hoog op de prioriteitenlijst hebben staan?
Lastpass werd in 2015 gekraakt en daarna ook meerdere keren. Heeft ze een flinke reputatieschade opgeleverd. Niet alles werd buitgemaakt maar wel alle email adressen, password reminders en authenticatie hashes. Genoeg hierover te vinden op internet.

Lastpass of iedere cloud based password manager site is een grote honingpot met wachtwoorden van miljoenen users.

Het eigen servertje in de meterkast of een enkel opgeslagen encrypted wachtwoordbestand van een paar gebruikers is vele malen minder interessant om te kraken.
Ik heb verschillende passwordmanagers gebruikt en het is erg handig, echter voor mij is het risico te groot dit bij een ander bedrijf buiten mijn bereik te houden. Als je in het overzicht kijkt kleurt de pagina rood van de negatieve punten, dit weegt mij niet op tegen de voordelen en ik kan hier dus ook geen keuze maken.

Mijn meest gebruikte wachtwoorden onthoud ik, en de rest schrijf ik ouderwets cryptisch op in een schrift en dit werkt prima voor mij. Ik acht de kans kleiner dat er een inbreker bij mij thuis op zoek gaat dit schriftje en dit ook daadwerkelijk vind, dan dat er een database ergens op de wereld gehackt wordt. Bovendien heb ik er dan geen weet van en kan ik er niet snel genoeg op reageren.
Ik kan alleen maar reageren op het stuk software wat ik zelf gebruik, keepass:

Geen automatische synchronisatie is juist geen probleem, je hebt het helemaal zelf onder controle.
Minder toegankelijk, is erg persoonlijk, eenmaal ingericht kan ik er prima mee uit de voeten.
Geen waarschuwing bij lekken, keepass heeft geen kopie van mijn database en/of keyfile. Lekken van gegevens in de lettelijke zin van het woord is dus uitgesloten.

Al met al voor mij persoonlijk dus helemaal geen tekortkomingen.
Ik snapte die punten persoonlijk zelf ook niet helemaal.
Ik heb juist gekozen voor KeePass omdat hij offline was en open source.
Als je als nog een lek heb van je database is het toch echt je eigen schuld.
Zoals ik het gelezen hebt gaat de "waarschuwing bij lekken" functionaliteit niet over je eigen password database, maar over de websites waar je een account bij hebt, zodat je op de hoogte wordt gehouden wanneer je het wachtwoord van dat account moet veranderen en updaten in je password manager.
Ik heb juist gekozen voor KeePass omdat hij offline was en open source.
Idem ditto, KeepassX wel omdat ik mono liever niet hier zie draaien.
Als je als nog een lek heb van je database is het toch echt je eigen schuld.
Een lek van de database of een lek van de data in de database ? Ook je database zelf kan je eigenlijk niet voor 100% vertrouwen (https://www.cs.ox.ac.uk/files/6487/pwvault.pdf).
Nou zoals met meer dingen in de computer business moet je niet te lang vertrouwen op dergelijke papers. Het lijkt er op dat deze attack inmiddels niet meer mogelijk is voor keepass:

http://keepass.info/help/kb/db_headerauth_upg.html
KeePass 1.24 and 2.20 introduced authentication of header data in KDB and KDBX database files. This is a security improvement for the file formats to prevent silent data removal/corruption attacks.

The feature has been designed and implemented in a forward-compatible way for both formats. KeePass 1.23 and 2.19 can still open KDB and KDBX files created by KeePass 1.24 and 2.20. Obviously, KeePass 1.23 and 2.19 do not know anything about the header authentication yet and thus do not detect tampered headers; the newer KeePass versions are required for this.

However, some KeePass ports (like KeePassBB2 2.0.1527) check compatibility incorrectly or perform non-standard validations, resulting in the inability to open KDB and KDBX files created by KeePass 1.24 and 2.20. These ports must be updated in order to be able to open the newer file formats.
Inderdaad, ik gebruik keepass nu al dik een jaar op mijn zelfbouw nas en het werkt tot de volle tevredenheid, ik vind de android app zelfs nog beter werken dan de windowd versie. Keepass is inderdaad wat minder toegankelijk omdat je er veel zelf voor in moet richten maar dat vind ik wel fijn.
Het stuk van "Geen waarschuwing bij lekken" moet je denk ik iets anders interpreteren. Ik heb onlangs ook wat onderzoek gedaan naar password managers. Je moet deze functionaliteit zien zoals bij https://haveibeenpwned.com/

De software checkt alle bestaande lekken en daarbij behorende data op de door jouw ingegeven gebruikersnaam. Wanneer je gebruikersnaam voorkomt zal het software pakket je vragen om je wachtwoord te veranderen.

Ik gebruik inmiddels zelf keepass + https://haveibeenpwned.com/
Zo weet ik wanneer ik een wachtwoord dien te veranderen.
De bedrijven kunnen ook niet bij je wachtwoorden, ja bij de database maar zonder hoofdwachtwoord valt er gewoon niks te openen, gewoon een sterk wachtwoord kiezen en veel iteraties instellen. Er wordt door de meeste gebruik gemaakt van 256bit AES encryptie, en als je dat niet vertrouwd neem je icm een premium account een yubikey of maak je gebruik van dropbox+ keepass met een key file in de vorm van een foto of word documentje.
Als die bedrijven worden gehackt en de database lekt, dan kunnen hackers die masterkey brute force vinden. Tja, dat lukt niet als jij een heel moeilijk wachtwoord hebt, maar er zijn vast mensen die een makkelijk wachtwoord hebben.

En geen broncode beschikbaar, wie weet zit er een backdoor in.

[Reactie gewijzigd door Brontosaurus1 op 24 november 2016 08:53]

Inderdaad! Closed-source + amerikaans bedrijf = ga ik echt niet gebruiken om al mijn wachtwoorden op te slaan!
YubiKey werkt prima met LastPass. Helaas is dat niet zo praktisch met mobiele devices zoals telefoons. Er is een NFC versie van YubiKey NEO (v3), maar dat is niet zo praktisch. Het komt er op neer dat je dus een mobiele device in je mobiele devices lijst zet, en deze met een PIN kunt unlocken (je complexe wachtwoord wil je niet in de publieke omgeving moeten gebruiken).

Als je argumentatie is "Amerikaans bedrijf" neem ik aan dat je adversary de NSA is. Dan moet je er al van uit gaan dat men je database heeft. Een sterk wachtwoord gebruiken wordt dan ook aangeraden.

Je database wordt in de cloud in de VS opgeslagen, maar wordt altijd lokaal gedecrypt (in je browser of je app). Nooit remote.

Bovendien kun je Android apps decompilen. en analyseren.

PS: Er is ook een CLI password manager: https://www.passwordstore.org/
Maar wat doe je dan als je het schriftje kwijtraakt? Of je huis brandt (deels) af?

Ik heb voor mn werk honderden logins van klanten en mezelf. Een schriftje is echt niet handig hiervoor.

Als ik bij een klant werk, zoek ik de logins op de 1Password smart phone app op. Klant zijn computer komt er dus niet eens aan te pas.
Ik vraag me af wat er mis is met de standaard oplossing die Chrome, IE of Firefox bied voor het opslaan van wachtwoorden? Ik zie deze eerste keuze niet terug.
Je wachtwoord opslaan in je browser is niet echt veilig, als iemand toegang heeft tot je computer(s) kan hij overal inloggen zonder de wachtwoorden te hoeven kennen en kan hij je wachtwoord wijzigen.
Het zijn geen password managers, het zijn veredelde auto invul tools.
Ik zie fysieke toegang toch als een ander risico, evt. af te schermen met een goed OS wachtwoord. Slechte wachtwoorden zijn een onzichtbaar risico. Is een wachtwoord in je eigen (goed beschermde, twee traps authentificatie) Google account niet veilig dan?
Dat is niet veilig als je toegang tot de laptop hebt aangezien ik het OS account zou kunnen resetten om vervolgens dezelfde user te gebruiken, dan word er niet om 2factor auth gevraagd omdat het een 'bekende' browser is en kan ik alsnog alle wachtwoorden verkrijgen.

Bovenstaande werkt uiteraard niet als er sprake van disk encryptie is, maar dat zie ik buurvrouw Hannie niet doen.
In je browser kan je doorgaans een master password instellen. Als je dat niet doet heb je gelijk. En dat zou eigenlijk verplicht moeten zijn. Maar het kan wel!
Dat werkt sowieso alleen in de browser natuurlijk. In KeePassX sla ik SSH private keys, GPG keys, decryptiesleutels op, maar ook MySQL wachtwoorden, pincodes, shell accounts. Geheime vragen en hun random antwoorden. En meerdere accounts voor eenzelfde dienst. Dat is allemaal niet mogelijk met een browser-gebaseerd systeem. Daarnaast is synchronisatie tussen verschillende browsers daarmee onmogelijk en kun je niet eenvoudig je gegevens spreiden over meerdere databases.

[Reactie gewijzigd door MadEgg op 24 november 2016 08:15]

In jou situatie snap ik het helemaal. Maar voor 'Jan met de pet'? Is het dan niet beter dan een te eenvoudig password?
Beter dan een te eenvoudig wachtwoord, dat wel. Maar het wachtwoord-systeem in browsers genereert doorgaans ook nog niet eens wachtwoorden en daarmee sluit je onveilige wachtwoorden dus niet uit. Als je gedwongen een master password moet gebruiken en soort-van verplicht wordt om de wachtwoordgenerator te gebruiken dan is het voor casual gebruikers die alleen in de browser werken een prima alternatief denk ik.

Al moet ik eerlijk bekennen dat ik niet weet welke versleuteling op deze database toegepast wordt in Chrome of Firefox bijvoorbeeld.
De wachtwoordgenerator is dan idd wel een goede toevoeging. Qua versleuteling heb ik geen idee, mag aannemen dat het van een zeker niveau is :/
Blijft als gevaar dat hackers juist uit zijn op de wachtwoorden in de browsers. In principe zijn de wachtwoorden in firefox gewoon beschikbaar als je firefox gebruikt. Dus voor een potentiele aanvaller maak je het wel relatief gemakkelijk.
Jan met de pet wil ook overal kunnen inloggen.

Je hele browser meenemen is dan lastig.
Jan heeft tegenwoordig ook tig logins te onthouden. Ga maar na: Voor de bank, wifi, codes van mobieltjes, app stores, email, social media sites, digid etc.

Het is gewoon te link om overal hetzelfde ww te gebruiken en dan nog, hoe onthou je gebruikersnamen, url's en aanvullende info zoals controlevragen?
Werken niet zo goed op android en ios. ;)
Als je een cross platform keuze maakt voor één browser dan syc-t dat best fijn. Voor mij werkt het feilloos.
Ik gebruik de synced Chrome oplossing al jaren, met zijn eigen passphrase. Het begint volgens mij een beetje te groot te worden want als ik een wachtwoord opvraag via de settings duurt het ruim anderhalve minuut voor het venstertje iets toont.

Ik geloof dat ik maar eens op zoek ga naar een betere oplossing. Dit artikel komt eigenlijk als geroepen om me over de streep te trekken.
Jemig dat duurt lang. En dat terwijl het plaintext is. :/

[Reactie gewijzigd door Blizz op 24 november 2016 13:26]

Hoe kom je daarbij? Chrome versleutelt middels een master password alle syncbare settings van de browser, inclusief de wachtwoorden. (Dit is niet hetzelfde als je google wachtwoord trouwens. Als ik inlog op m'n Google account heb ik nog geen toegang tot mijn favorieten en wachtwoorden.)

Daar bovenop dien je voor elk wachtwoord dat je wilt zien ook nog even de login gegevens van de Windows gebruiker te voorzien, dus iemand die eventjes naar je pc grabbelt terwijl je koffie bent gaan halen zonder je scherm te locken komt ook bedrogen uit.

[Reactie gewijzigd door KaiZas op 24 november 2016 12:27]

Heb het even geprobeerd en je kunt niet meer de wachtwoorden bekijken zonder je OS-wachtwoord in te voeren, een half jaartje geleden kon dat nog wel. Mooi dat ze dat hebben verbeterd! Misschien was ik een half jaar geleden niet ingelogd, desondanks kon je toen zonder wachtwoordbevestiging alle wachtwoorden aflezen. Daarom nam ik ook aan dat het plaintext was.
Ik was net bezig met de installatie van LastPass. Deze vroeg me Chrome af te sluiten om verder te gaan. Daarna werd er een lijstje van alle Chrome wachtwoorden gepresenteerd zonder boe of ba. Dus zo secure is het wellicht ook weer niet, misschien had je gelijk. (Of LastPass gebruikt m'n lokale login ook om daar aan te kunnen, maar er werd in ieder geval niet geprompt om een wachtwoord langs mijn kant.)
Ah, dus toch. Dat is weer jammer. Google heeft dus één slot geplaatst op een kluis met twee deuren.

Nou lijkt het me ook belangrijk te vermelden dat je met Chrome geen wachtwoorden kunt genereren, noch handmatig een entry toevoegen in de lijst. Alleen als je succesvol inlogt, krijg je het aanbod. Ik zou oplossingen zoals Chrome vermelden in het artikel, maar dan onder het kopje van onveilige diensten die je niet moet gebruiken.
Dat een stuk software om iets vraagt voor het iets laat zien zegt opzich niks over de opslag daarvan.
Het had de Chrome passphrase niet nodig om het te tonen, zoveel is zeker.

[Reactie gewijzigd door KaiZas op 25 november 2016 07:33]

Da's niet veilig, je klikt op bekijken en je kunt gelijk elk wachtwoord inzien. Nee, dan kun je beter in het OS gebouwde opties bekijken.

Waarom bijvoorbeeld iCloud Keychain ontbreekt begrijp ik écht niet. Ontzettend veel mensen gebruiken iOS of macOS. 1Password is altijd al duur geweest en heeft altijd al een fatsoenlijke macOS app gehad, omdat daar de gebruikers zaten. Nou is dat wel enigszins een kip en ei situatie, want 1Password's sterkste punt is de UX en daarom zijn ze altijd gefocust geweest op macOS; op Windows was dat met name in het verleden geen prioriteit voor devs. Die doelgroep bezit een Mac, dus waarom zou je dan de ingebouwde optie weglaten die juist geschikt is voor gebruikers die willen dat 'het gewoon werkt'?

Edit: mijn kennis over Chrome's beleid omtrent wachtwoorden inzien was (gelukkig) outdated. :)

[Reactie gewijzigd door Blizz op 24 november 2016 12:34]

Deze zijn totaal niet veilig. In Firefox wordt bijvoorbeeld standaard geen master password vereist, waardoor je eenvoudig op de knop 'Toon wachtwoorden' kunt klikken. Dit geld volgens mij voor alle populaire browsers op dit moment.

Beter zou zijn als het OS een veilige manier van wachtwoord management had. Zie o.a. gnome-keyring, KDE-Wallet. Allemaal mooie oplossingen (werken o.a. in browsers), alleen niet erg vriendelijk in gebruik (o.a. opzetten is voor beginners vrij onduidelijk, geen handige GUI als Keepass, sync moeilijk tot niet ..). Ik laat iCloud hier even buiten, geen idee hoe veilig deze is en welke encryptie wordt gebruikt. De Windows password manager (o.a. voor SMB) is volgens mij ook in plain.

[Reactie gewijzigd door archie2012 op 24 november 2016 13:06]

Mooi artikel, ik ga het vanmiddag even helemaal lezen!

Is er ook een single sign on password programma waarbij je een Windows Hello Bio-Key vingerafdruk scanner kan gebruiken voor de authenticatie?
Met Enpass kan ik op mijn telefoon (Lumia 950xl) met mijn iris inloggen, dus met Windows Hello. Vingerafdruk zou dus in principe ook mogelijk moeten zijn.

Overigens lijkt Enpass verdomd veel op 1Password qua interface. Enpass heb ik destijds gekocht op Windows Phone 8 en daarop gebruikt. Toen overgestapt op een iPhone 5S en daar ook gekocht. De switch ging zonder enige problemen omdat de database op OneDrive stond. Eind 2015 weer terug gegaan van iOS naar Windows 10 Mobile en ook die switch ging zonder problemen. Synchronisatie via de cloud werkt prima met Enpass....
Enpass is heerlijk in gebruik en enorm ondergewaardeerd in vergelijkingen tussen pw-managers.
Het uiterlijk is modern, de functionaliteit is soepel en alles dat een gemiddeld persoon nodig heeft zit er op. Daarnaast is het online opslaan van je wachtwoorden een keuze, en geen verplichting zoals bij vele andere managers. Ten slotte nog het eenmalige bedrag van slechts ¤10 per platform en dus géén abonnementskosten. Ik ben al twee jaar tevreden gebruiker van Enpass. Ik ben ondertussen overgestapt van WP naar Android, en zoals gezegd ging dat vlekkeloos.

[Ervaringen] Enpass wachtwoordmanager
met lastpass premium kan je met een yubikey inloggen, die schijnen ook windows hello te ondersteunen
met Keepass kan je ook yubikey gebruiken met een plug-in.
Lastpass gebruikt om in te loggen op de mobiele app de vingerafdrukscanner van mijn gsm, dus ook op Windows Hello moeten ze kunnen inhaken. Geen idee of dat er nu al in zit though.
Als je volledig in het apple eco systeem zit, werkt keychain erg prettig. Waarom staat die optie niet in het artikel?
Omdat de keuze daar erg beperkt is. Werkt alleen onder Safari, werkt alleen op OSX en iOS, geeft niet aan of een wachtwoord sterk genoeg is, geen 2FA... ow, en er is ook geen toegang vanaf een andere computer, tenzij een Mac en tenzij je de hele database meeneemt op USB-stick.

Toch ben ik zelf wel blij met Keychain/Sleutelhangertoegang.
Deels juist, de voorgestelde wachtwoorden van Safari zijn allemaal redelijk sterk. Dat gezegd hebbende zit je wel in het Apple ecosysteem. Als fervent Apple gebruiker én fervent Windows gebruiker heb ik daar inderdaad wel eens last van. Voornamelijk bij sites / fora waar je niet regelmatig komt.

Aan de andere kant werkt 1Password voor mij redelijk maar ik ga eens wat anders de kans geven op basis van dit artikel :).
Als je manueel een wachtwoord op de Mac in Keychain stopt vermeld hij wel de sterkte. De gegenereerde wachtwoorden lijken mij wel sterk van zichzelf.
Inderdaad, ik werk er ook al een tijdje mee en bevalt goed. Nadeel is natuurlijk wel weer dat je afhankelijk bent van een commercieel bedrijf (Apple).

Een van de belangrijkste punten vind ik de synchronisatie tussen apparaten. Als ik op een desktop een wachtwoord genereer, dan wil ik niet dat ik die moet overtikken om mijn telefoon.

Een nadeel van de wachtwoordmanagers vind ik dat je niet zomaar even kunt inloggen op een onbekende pc/telefoon. Dat geeft toch een gevoel dat je niet overal bij kunt buitenshuis (tenzij je je telefoon altijd bij de hand hebt).
En dat gevoel vind ik juist heerlijk. Als je bij mijn wachtwoorden database wilt komen moet je of toegang hebben tot een van mijn encrypted hardeschijven, de encrypted cache op mijn telefoon of mijn Dropbox account. En dan pas heb je de database, dan moet die ook nog gekraakt worden.

Op Android is er een KeePass tool die rechtstreeks uit Dropbox leest, wat ideaal is om altijd de laatste versie bij mij te hebben. Dan op mijn prive systemen een Bitlocker encrypted schijf met de Dropbox folder en op mijn werk systeem een Bitlocker encrypted schijf met daarin een Veracrypt container voor documenten/bestanden en daarin mijn Dropbox folder.
Volgens mij is het al uitdaging genoeg om bij de database zelf te komen, het kraken wordt helemaal lastig.
Inderdaad, ik werk er ook al een tijdje mee en bevalt goed. Nadeel is natuurlijk wel weer dat je afhankelijk bent van een commercieel bedrijf (Apple).
Als je een betaalde password manager gebruikt ben je dat ook. En gebruik je een gratis versie.. tja.. je wachtwoorden bij een bedrijf onderbrengen die dit kosteloos doen? Voor niets gaat de zon op? Het gebruiksgemak van de keychain (en de sleutelhanger in MacOS zelf, zojuist een wachtwoord teruggehaald die ik straal vergeten was....) is wel heel erg groot. Mits je alleen Apple spul gebruikt.
Wat denken jullie van een eenvoudig Excel-bestand waar je een (sterk) wachtwoord op zet? (op het
bestand zelf, niet op een werkblad)

Zet vervolgens je Excel-bestand in een Google Drive/OneDrive omgeving en je hebt op al je apparaten (waar een Office op staat uiteraard :) ) je wachtwoorden bij de hand.

Ik ben hier waarschijnlijk aan het vloeken in de kerk, maar ik zie niet direct zware argumenten tegen. Buiten dat als je je bestand opent dat alle pw's in plain text zichtbaar zijn, maar daar kan je ook iets aan doen.

Van Wikipedia: "Office 2013 uses 128-bit AES, however hash algorithm has been updated to SHA-2 class, and it is SHA-512 by default." en "Office 2013 introduces SHA-512 hashes in the encryption algorithm, making brute-force attacks nearly impossible."
Geen browserintegratie en geen mogelijkheid tot het genereren van wachtwoorden.
Het is Excel, dus je kan perfect random wachtwoorden laten genereren: https://ficility.net/2013...based-password-generator/ :)

Geen browserintegratie klopt wel.
Pas ik inderdaad toe op mijn professionele pc. Mijn werkgever laat de installatie van eigen software niet toe en een password manager staat niet in het lijstje van goedgekeurede programma's. Dan blijft een Excel met wachtwoord inderdaad de laatste oplossing, uiteraard met nadelen zoals Ramon aanhaalt.
Dat zou ik aankaarten bij mijn werkgever. Er moet toch wel een goede case te maken zijn voor een passwordmanager boven Excel.
Er is inderdaad geen enkele goede reden om geen passwordmanager te gebruiken. Sterker nog: officieel wordt het zelfs aangeraden, maar IT heeft er geen ter beschikking in de software bibliotheek.
Gaat het om de installatie (letterlijk) van software of het gebruik van eigen software?

In het laatste geval:
KeePass heeft ook een portable versie, waarbij dus niks geïnstalleerd hoeft te worden.
(De alternatieve produkten mogelijk ook, maar dat weet ik niet)
voor keypass heb je zelfs een webversie.
https://app.keeweb.info/
Wist ik niet. Thx voor de tip.
Ik heb trouwens net ontdekt dat LastPass ook een webversie heeft... 8)7

[Reactie gewijzigd door Superbra op 30 november 2016 09:12]

Het gaat zowel over installatie (wij kunnen zelf geen software installeren) als gebruik. Software die niet in de bibliotheek staat, kan niet aangevraagd worden. Ook portable software is geen optie want usb-poorten zijn uitgeschakeld. Webprogramma's worden in veel gevallen simpelweg geblokkeerd. IT heeft de mogelijkheden goed dichtgetimmerd...
Als je dan vraagt bij Security of er een passwordmanager toegevoegd kan worden, is de commentaar laconiek: "Voorlopig niet. De meeste collega's zetten hun wachtwoorden in een email (!?) of schrijven die op een briefje (!!!). Resultaat: zowat iedereen gebruikt hetzelfde wachtwoord voor alle toegangen...
Wat denken jullie van een eenvoudig Excel-bestand waar je een (sterk) wachtwoord op zet? (op het
bestand zelf, niet op een werkblad)

Zet vervolgens je Excel-bestand in een Google Drive/OneDrive omgeving en je hebt op al je apparaten (waar een Office op staat uiteraard :) ) je wachtwoorden bij de hand.

Ik ben hier waarschijnlijk aan het vloeken in de kerk, maar ik zie niet direct zware argumenten tegen. Buiten dat als je je bestand opent dat alle pw's in plain text zichtbaar zijn, maar daar kan je ook iets aan doen.

Van Wikipedia: "Office 2013 uses 128-bit AES, however hash algorithm has been updated to SHA-2 class, and it is SHA-512 by default." en "Office 2013 introduces SHA-512 hashes in the encryption algorithm, making brute-force attacks nearly impossible."
En wat als Microsoft een password recovery tool of iets dergelijks heeft, weg security.
Zelf gebruik ik KeePass 2. De database staat op mijn sftp server waardoor ik er vanaf elk apparaat waar dan ook erbij kan. Ook mijn andoid applicatie kan bij de ftpsite komen. Een ideale combinatie!
Ook mijn andoid applicatie kan bij de ftpsite komen. Een ideale combinatie!
Wat gebruik jij dan op je smartphone wat overweg kan met de databases van KeePass? Is KeePassDroid aan te raden? Ik wil dat het net zo veilig is als KeePass.

[Reactie gewijzigd door AnonymousWP op 24 november 2016 08:08]

Ik ben niet rolfkunst maar ik gebruik Keepass2android, werkt erg fijn doordat de app native is gebouwd en functies als copy-paste via de notificatiebalk en quickunlock bevallen mij goed, keepass2android biedt ook veel synchronisatie opties aan.
Hmm.. ik vertrouw KeePassDroid meer dan KeePass2Android op de een of andere manier. Copy-paste is inderdaad handig, maar niet veilig. Stel dat jij het wachtwoord nog op je klembord hebt staan, dan kan iemand met jouw telefoon gewoon dat wachtwoord ergens op plakken, waardoor het wachtwoord zo te zien is.

Synchronisatie hoef ik niet, want dat doe ik handmatig :).

[Reactie gewijzigd door AnonymousWP op 24 november 2016 09:38]

zodra je de database sluit, wat bij mij na een minuutje gebeurt, word het klembord ook gewist, maar je hoeft zon feature natuurlijk niet te gebuiken, en voor vraagtekens kun je gewoon de broncode bekijken
Ik twijfel nog steeds. Wat is veiliger/beter? :p

Lastig.. lastig..

[Reactie gewijzigd door AnonymousWP op 24 november 2016 10:19]

yup, keepass2android is de beste versie.
Ik gebruik Keepass2Android Offline maar heb ook KeePassDroid wel gebruikt. Beiden werken prima, maar de keyboard-feature van de eerste is heel fijn.

Beiden zijn opensource en offline (geen netwerk-permissies). Beiden zijn niet officieel van KeePass maar dat is KeePassX ook niet. In principe word de veiligheid deels gedicteerd door de compatibiliteit onderling (zelfde crypto) maar deels ook weer niet (implementatiedetails), maar ik zie geen reden om aan te nemen dat deze twee apps minder veilig zijn dan de desktop-apps.
Hoe bedoel je "keyboard feature"? Dat copy-paste mechanisme?

Dat ze compatible zijn, geeft wel een goed gevoel. En dat het door KeePass zelf aangeprezen wordt op hun website bij "downloads" zegt ook wel wat. Ik wil graag een offline oplossing, want online, dat vind ik maar niks.
Dat idee had ik ook, daarom gebruik ik KeePass op mijn Windows 7/8/10 PC's/tablets, KeePassDroid op mijn Android en 7Pass op mijn W10M.
Er zijn er wellicht nog zoveel meer...
Na 1Password, LastPass en Keepass bij Bitwarden terecht gekomen. Simpel, makkelijk en niet te veel overlast van.
Van Lastpass werd ik gek in m'n browser.
1Password heel lang heel tevreden mee geweest. Recent alle wachtwoorden gewijzigd en op alle accounts een sterk wachtwoord gekozen, verschillend voor elke account. Daarmee kwam de nood tot synchronisatie en dat werd helaas betalend bij 1Password.
1Password heel lang heel tevreden mee geweest. Recent alle wachtwoorden gewijzigd en op alle accounts een sterk wachtwoord gekozen, verschillend voor elke account. Daarmee kwam de nood tot synchronisatie en dat werd helaas betalend bij 1Password.
Dit begrijp ik niet. 1Password is altijd al een betaald programma geweest. Naast de eenmalige aanschafprijs voor de apps zijn er geen extra kosten.
Dat is het hem net. Ooit $79 betaald voor 1Password en dan kan je niet eens synchroniseren.
Ik snap totaal niet waar je het over hebt. Wat werkt er dan niet?
Synchroniseren van Mac naar een Windows computer en terug. Is eenrichtingssync.
Als je dat nou meteen had gezegd. Zoals in het artikel wordt vermeld is de Windows-app nog steeds erg beperkt. Ik ben het met je eens dat het erg vervelend is. Als er een ding is waar ik mij bij 1Password enorm aan erger is het de inconsequente en trage ontwikkeling van de apps, met rare prioriteitsstelling. Dat ze nu zo veel aandacht geven aan 1Password.com valt mij zwaar tegen, vooral als ze dat als excuus gebruiken om functies beschikbaar te stellen die ze eigenlijk al lang in de apps hadden moeten integreren.

AgileBits is voornamelijk een Mac/iOS-ontwikkelaar en dat merk je ook. Dat wat ze op Android en Windows aanbieden is waarschijnlijk primair bedoeld voor Mac/iOS-gebruikers (al geven ze dat niet toe). Ook op Mac/iOS valt er genoeg te klagen. Je kunt eenmaal aangemaakte kluizen niet beheren (naam of kleur wijzigen). Op iOS kun je geen kluizen aanmaken.
Ik gebruik al jaren tot volle tevredenheid 1Password en sync de database met Dropbox, werkt perfect! Eenvoudig tussen OSX, Windows, IOS en twee Android devices.
https://support.1password.com/sync-with-dropbox/

You won’t be able to create or edit items in a Dropbox vault, but you can move your existing 1Password data to your 1Password account where you can.
Je hebt gelijk, in Windows is de sync idd beperkt. Gelukkig gebruik ik voornamelijk OSX :)
Ik snap blijkbaar niet goed wat jullie bedoelen. :?

Ca. eenmaal per maand synchroniseer ik via 'WLAN Sync' mijn Windows computer met onze iPad en iPhones. Dat werkt gewoon perfect.
Je houd alles lokaal zonder Cloudopslag. Het enige is dat je de discipline moet hebben om af ten toe te syncen.
Op vrijwel alle platforms buiten iOS kan je ook gebruik maken van bittorrent sync: is gratis, encrypted transfer en en je data ligt voor de verandering eens niet bij een externe partij. Voordeel voor 1password is dat in tegenstelling tot de dropbox sync hiermee alle apparaten two way syncs kunnen doen.
Ik ben sinds kort ook overgestapt van Lastpass naar Bitwarden. Gratis, open source, en werkt heel fijn en snel.

Er loopt momenteel ook een Kickstarter campagne voor het toevoegen van meer features: https://www.kickstarter.c...ss-platform-password-mana
1 2 3 ... 8

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*