Wachtwoordmanagers met eigen wachtwoordencheckers

Titel

Als er één advies is op beveiligingsgebied dat je hopelijk in de afgelopen jaren hebt opgevolgd, is het wel dat je een uniek wachtwoord moet gebruiken. De reden is inmiddels wel bekend; het grootste gevaar als een account gehackt wordt, is dat het wachtwoord in datadumps terechtkomt die inmiddels voor luttele euro's online te koop zijn en die criminelen gebruiken bij een spray-aanval. Dat ene wachtwoord dat je gebruikt voor de webwinkel van lokale slager Het Gespeende Varken, wordt dan ook gebruikt voor veel belangrijkere accounts, et voilà: je hebt ineens een groter probleem dan dat iemand ziet hoeveel karbonaadjes je in het afgelopen jaar hebt gekocht.

Wachtwoordmanagers zijn de ideale manier om verschillende wachtwoorden te beheren. Het is voor gebruikers soms moeilijk om de keus voor een wachtwoordmanager te maken, maar dat is in de afgelopen jaren makkelijker geworden door een belangrijke ontwikkeling: wachtwoordmanagers in de browser. Die zijn rudimentair, maar gratis en makkelijk beschikbaar. In de afgelopen weken hebben de grootste browsers daar een extra functie bijgekregen. Google, Microsoft en Mozilla helpen gebruikers niet alleen met het beheren van wachtwoorden, maar waarschuwen hen ook als ze wachtwoorden gebruiken waarvan bekend is dat ze gestolen zijn. Dat is moeilijk, want daarvoor moeten ze inloggegevens opslaan en dat wil je natuurlijk niet in plaintext doen. Er wordt daarom gebruik gemaakt van 'homomorfische encryptie', een proces waarbij versleutelde datasets met elkaar kunnen worden vergeleken. Die functies zitten inmiddels in Chrome en Edge. Mozilla gebruikt sinds een paar jaar juist een andere implementatie. Maar welke er ook gebruikt wordt, het maakt wachtwoordbeheer een stukje veiliger.

Chrome Security Check

Keuzestress

Vragen welke wachtwoordmanager de beste is, is een beetje hetzelfde als vragen welke auto het beste is. Het antwoord is volledig afhankelijk van je gebruik, je budget en je eisen. Een eis overheerst alle anderen: dat je er überhaupt een gebruikt. Het is moeilijk genoeg om gebruikers richting de software te krijgen, al stijgt het aantal gebruikers van wachtwoordmanagers in de laatste jaren snel. De voordelen van in de browser ingebouwde wachtwoordmanagers liggen vooral in het gemak ervan. Gebruikers hoeven geen functies te vergelijken, niets te installeren op verschillende apparaten en niets te betalen.

Daar staan voor de hand liggende nadelen tegenover. Dat zijn vooral praktische: vendor lock-in is bijvoorbeeld een risico. Een gebruiker zit dan namelijk vast in één ecosysteem en moet zowel op de desktop als op mobiel die browser gebruiken. Switchen naar een alternatief kan doorgaans wel door te im- en exporteren, maar wie gaat die moeite nemen? Andere praktische nadelen zijn de vaak gebrekkige opties. Dedicated wachtwoordmanagers zoals LastPass of Bitwarden hebben veel opties om wachtwoorden aan te maken. Gebruikers kunnen kiezen hoe lang een wachtwoord moet zijn of welke tekens het wel of juist niet moet bevatten. Browsermanagers kunnen dat meestal niet en dat maakt ze voor sommige websites die eisen stellen aan wachtwoorden, vaak onpraktisch.

Veiligheid

Bij dat laatste obstakel kom je ook al meer terecht bij het securityvraagstuk, want zijn wachtwoordmanagers in de browser wel veilig? Verschillende browsers gebruiken verschillende methodes om wachtwoorden op te slaan. Bij Safari worden wachtwoorden bijvoorbeeld opgeslagen in de Keychain van iCloud, een afgesloten container met AES-256-GCM-encryptie waarvan de veiligheid goed gedocumenteerd is. Firefox gebruikt sinds 2019 Lockwise, wat eigenlijk een samenvoeging is van eerdere tools voor iOS en Android die toen nog Lockbox heetten. Lockwise heeft goede documentatie. Maar of dat automatisch betekent dat de managers veilig zijn?

Je kunt stellen dat specifieke wachtwoordmanagers hun bestaansrecht ontlenen aan het beveiligen van hun software. Dat is bij een browsermaker als Mozilla of Opera minder het geval, maar eerlijk is eerlijk, ook bij dedicated wachtwoordmanagers zijn weleens incidenten. Zo waarschuwde beveiligingsonderzoekers van Googles Project Zero vorig jaar voor een kwetsbaarheid in LastPass waarmee het theoretisch mogelijk was om credentials via de browserplug-in te stelen. Dat was wel heel moeilijk praktisch uit te buiten; een aanvaller moest via phishing zorgen dat een gebruiker meerdere keren klikt op een geïnfecteerde website en dan nog werd alleen het laatstgebruikte wachtwoord weergegeven. Vergelijk dat met het incident bij Opera; daarbij werden inlognamen én wachtwoorden gestolen, weliswaar gehasht en met salts uitgebreid.

Er is niet veel onafhankelijk onderzoek gedaan naar de veiligheid van ingebouwde browserwachtwoordmanagers, maar er zijn her en der wel signalen te vinden dat de veiligheid ervan niet optimaal is voor iedere gebruiker. In 2019 deed bijvoorbeeld het Duitse Bundesamt für Sicherheit in der Informationstechnik, zeg maar de Duitse NCSC, onderzoek naar browsergebruik bij de overheid. Het bestudeerde daarbij de veiligheid van Firefox, Chrome, IE en Edge, en concludeerde dat die eerste de veiligste was op de meeste gebieden. In de lange lijst met beveiligingsmaatregelen stonden onder andere eisen voor de ingebouwde wachtwoordmanagers die veelzeggend waren. De BSI vond dat die minimaal wachtwoorden versleuteld moesten opslaan, dat gebruikers hun wachtwoorden moesten kunnen verwijderen en dat de wachtwoorden waren afgesloten met een masterwachtwoord. Dat laatste ontbreekt bij Google en Microsoft. Die hebben hun wachtwoordmanagers immers gekoppeld aan de accounts die gebruikers bij de dienst nodig hebben en daarvan is de beveiliging doorgaans op orde. Voor de wachtwoordmanagers betekent dat volgens de BSI echter dat toegang tot een systeem potentieel gevaarlijk is.

Je kunt daarbij optellen dat browsers in het geheel een veel aantrekkelijker doelwit zijn voor aanvallers. Dat geldt niet alleen specifiek voor wachtwoorden, maar voor eigenlijk alles. Browsers zijn zo'n integraal onderdeel van computersystemen en hebben daarin veel toegang en rechten, en dat leidt tot een cocktail van beveiligingsproblemen. Ze zijn aantrekkelijk voor bugbountyhunters die op zoek gaan naar specifieke problemen, en door de complexiteit van de codebase van browsers is de kans groter dat lekken worden ontdekt en dat die toevallig ook nog betrekking hebben op wachtwoordbeveiliging.

Sinds vrij recent hebben wachtwoordmanagers zowel in de browser als losstaand een nieuwe functie die ze nog een stuk handiger maakt. Ze controleren in steeds meer gevallen of een wachtwoord niet al eerder gebruikt is. Sinds Firefox 70 krijgen gebruikers van de Lockwise-wachtwoordmanager bijvoorbeeld een waarschuwing als het wachtwoord dat ze gebruiken, bekend is bij een datalek. Dat doen inmiddels ook Microsofts Edge en Google Chrome.

Have I Been Pwned

De manier waarop browsers gestolen wachtwoorden checken, verschilt. Mozilla maakt gebruik van de api van Have I Been Pwned, de databreachzoekmachine van Troy Hunt met wie Tweakers in januari een interview had. Voor als je er nog nooit van hebt gehoord: Have I Been Pwned is een database waarin gehackte en gestolen datasets worden verzameld, en die vervolgens een notificatie stuurt naar aangemelde gebruikers met de waarschuwing dat hun credentials op straat liggen. Have I Been Pwned, afgekort HIBP, bestaat al sinds 2013 en is inmiddels veruit de grootste van deze soort diensten. HIBP heeft een eigen api waarmee ontwikkelaars toegang kunnen krijgen tot de database, maar in het geval van Firefox heeft Mozilla samengewerkt met de website.

Have I Been Pwned ontvangt datalekken uit verschillende bronnen. Gebruikers van de site wijzen de eigenaar bijvoorbeeld op het bestaan van datasets die her en der op het web worden verhandeld. In de beginjaren van de site sloeg HIBP alleen nog e-mailadressen op waarmee je alleen kon zien waar en wanneer een adres in een database zat. Sinds 2017 heeft de dienst een aparte service voor het checken van wachtwoorden. Die worden volgens de maker apart van de bijbehorende e-mailadressen opgeslagen, zodat als HIBP wordt aangevallen, de gegevens nooit gezamenlijk worden buitgemaakt.

De browsers waar HIBP-integratie nu in zit, zoals Mozilla met Lockwise, kunnen dus alleen zien of een specifiek wachtwoord in een datalek voorkomt. Het gaat dus nadrukkelijk niet om accounts met een e-mailadres+wachtwoord-combinatie. Als je wachtwoord 123456 gebruikt, krijg je hoe dan ook een waarschuwing te zien. Omdat de credentials niet samen worden opgeslagen, is de beveiliging minder sterk dan grote bedrijven die zouden inzetten. De wachtwoorden worden op een losse server opgeslagen en hoewel HIBP-oprichter Troy Hunt niet te veel kwijt wil over zijn beveiligingsaanpak, schreef hij in 2017 wel dat de wachtwoorden in sha1 worden gehasht. Dat was destijds nog een prima algoritme, maar inmiddels verschijnen er steeds meer scheurtjes in sha-1.

Eigen aggregatie

Have I Been Pwned is slechts één manier om te controleren op gestolen wachtwoorden. Grotere clubs zoals Microsoft en Google hebben daar hun eigen methodes voor. Google begon in 2019 met Password Checkup, aanvankelijk als een Chrome-extensie, maar sinds begin dit jaar ook geïntegreerd in Chrome zelf. Google maakt geen gebruik van externe bronnen voor gestolen wachtwoorden, maar controleert tegen een lijst van bekende databreaches. Dat zijn bijvoorbeeld de datalekken van Imgur of Dropbox die ook in Have I Been Pwned zijn opgenomen. Ook zit daar een geaggregeerde lijst van 1,4 miljard wachtwoorden bij, die openbaar beschikbaar is. Google waarschuwt zelf al dat die lijst waarschijnlijk niet compleet is. Google noemt dertig bronnen van databreaches en hoewel het erkent dat er meer bronnen zijn, zegt het bedrijf niet welke dat zijn. Volgens Google heeft het bedrijf op het moment meer dan vier miljard records opgenomen in die database. Ter vergelijking: Have I Been Pwned bevat meer dan 10,5 miljard accounts verdeeld over 505 websites en 114.000 pastes, ofwel credentiallijsten die op bijvoorbeeld Pastebin worden gezet.

Have I Been Pwned

Anders dan de integratie met Have I Been Pwned is het bij Google wel mogelijk om te zien of een account is gehackt in plaats van alleen een wachtwoord. Dat is omdat de data niet alleen gehasht is, maar daadwerkelijk versleuteld. Google werkt samen met cryptografen van de Stanford Universiteit om dat te doen. Het bedrijf zegt voor de cryptografie verschillende hashingrondes uit te voeren op de data, en k-anonimiteit toe te passen. Dat is een discipline binnen de cryptografie waarbij een bepaald aantal gebruikers, de K, altijd dezelfde uitkomst krijgt na het de-identificeren. Binnen een bepaalde groep komt er altijd een K-aantal gebruikers met dezelfde output naar voren, waardoor een output nooit terug te voeren is naar een enkele persoon.

Googles aanpak werkt daarmee anders die van van Have I Been Pwned, waarvan de api alleen een sha1-hash vrijgeeft die kan worden afgezet tegen een in de browser opgeslagen wachtwoord. Dat moet ook wel, omdat Google van de gestolen credentials een combinatie van e-mail+wachtwoord opslaat op zijn eigen servers. Die combinatie wordt eerst met Argon2 gehasht. Vervolgens wordt die hash met elliptic curve-encryptie versleuteld. Voorafgaand aan het versleutelen wordt ook nog een onversleutelde hashprefix van twee bytes aan de hash toegevoegd. Die is nodig om in de enorme database van vier miljard records structuur aan te kunnen brengen; Google gebruikt die prefix om alleen een beperkte dataset te kunnen controleren.

Homomorfische encryptie

Tot dusver werkt de versleuteling van Google nog vrij logisch, maar het wordt lastiger. Er wordt boven op deze voorgaande encryptie gebruikgemaakt van homomorfische encryptie. Dat is een vorm van versleuteling waarbij er met versleutelde data kan worden gewerkt zonder dat dat eerst ontsleuteld moet worden. Diezelfde methode gebruikt ook Microsoft sinds Edge 88. Daarin heeft ook dat techbedrijf een eigen wachtwoordchecker gezet op basis van homomorfische encryptie. Het bedrijf doet daar in het algemeen veel onderzoek naar.

Private Set Intersection

Homomorfische encryptie is geschikt voor de manier waarop Google en Microsoft willen waarschuwen voor gestolen wachtwoorden. Gebruikers willen immers niet dat hun credentials op een of andere manier ontsleuteld moeten worden. De beide bedrijven gebruiken een ongeveer gelijke methode met enigszins verschillende implementaties. De hash die van een wachtwoord wordt gemaakt, wordt bij het inloggen naar een server van Google of Microsoft gestuurd. Die hash wordt versleuteld met een secret key die de gebruiker weet, zoals het wachtwoord. Vervolgens moeten Google en Microsoft die versleutelde en gehashte data afzetten tegen de versleutelde en gehashte data die het uit databreaches heeft geaggregeerd om te controleren of dat overeenkomt.

Die check is dus homomorfisch; er worden twee versleutelde datasets met elkaar vergeleken om overeenkomsten te vinden zonder dat de data eerst moet worden ontsleuteld. Dat wordt gedaan met private set intersection, waar met name Stanford-wetenschappers veel onderzoek naar hebben gedaan. Dat PSI kreeg in het afgelopen jaar wat bekendheid toen de techniek werd gebruikt bij contacttracing in corona-apps. Via private set intersections is het mogelijk om de persoonlijke identifier in een corona-app af te zetten tegen een centrale dataset van mensen die positief zijn getest op het coronavirus, zonder dat de originele identiteit van die beide partijen bekend hoeft te worden gemaakt. Dat werkt dus ook bij wachtwoorden.

In die intersection wordt de versleutelde e-mail+wachtwoord-combinatie van de gebruiker eerst nog een keer versleuteld met de secret key van Google, en daarna als een ware encryptie-ception weer lokaal ontsleuteld met de eigen secret key. Toegegeven, het is een ingewikkeld proces, dat Google hier enigszins inzichtelijk heeft geprobeerd te maken.

Google Homomorphic Encryption

Losse wachtwoordmanagers

Google en Microsoft zijn met hun browserwachtwoordmanagers zeker niet de enige partijen die controleren op datalekken en uitgelekte wachtwoorden. Losstaande wachtwoordmanagers bieden die mogelijk in recente jaren steeds vaker aan. LastPass doet dat sinds de zomer, maar wel alleen voor betalende klanten. De dienst gebruikt daar Enzoic voor, een alternatieve wachtwoordchecker die 'miljarden' records checkt en die vooral op bedrijven gericht is. Ook Dashlane biedt zo'n dienst aan, eveneens voor betalende klanten. Voor KeePass is er een Have I Been Pwned-plug-in beschikbaar. Maar in tegenstelling tot veel anderen zijn wachtwoordchecks in de browser dus gratis en toegankelijk, terwijl ze ook nog eens goede versleuteling bieden.

Wachtwoorden zijn anno 2021 een doos van Pandora die niet meer dicht kan. Ze zijn eigenlijk achterhaald, omdat ze niet geschikt zijn om te worden beheerd in de grote hoeveelheden die we er tegenwoordig op na houden. Grote internetbedrijven proberen langzaam maar zeker te sturen richting een wereld zonder wachtwoorden, maar wachtwoordmanagers met checks voor gestolen credentials lijken als oplossing tot die tijd een goede stap vooruit.

Reacties (142)

Yariva Moderator internet & netwerken 16 februari 2021 07:12

Tja persoonlijk is er voor mij maar 1 winnaar. Zelf gebruik ik Bitwarden omdat:
- Ik niet afhankelijk wil zijn van mijn browserkeuze voor wachtwoord beheer.
- Bitwarden open source is
- Mogelijkheid tot zelf hosten
- Ruime mogelijkheden tot 2FA (in mijn geval Yubikey)
- Veel apps en plugins op meerdere platformen, o.a. Autofill werkt top
- Erg nette encryptie op de achtergrond
- Dit alles is geverifieerd door een externe audit
- Prima UI, ouders en vriendin gebruikt het ook
- wachtwoorden delen door het gezin (a.k.a. Family abonnement) is erg redelijk geprijsd. Het zelfde geld voor premium.
Ook rollen er rapportje uit zoals of een wachtwoord gelekt is, of een wachtwoord op meerdere plekken wordt gebruikt etc

Edit: Lol na het bericht van vanmiddag (nieuws: LastPass beperkt gratis abonnement tot één soort apparaat) je kan Bitwarden gewoon gebruiken waar je maar wilt. Geen platform beperkingen a.d.v. het abonnement

[Reactie gewijzigd door Yariva op 23 juli 2024 02:20]

GertMenkel

Google Chrome
Google
Beveiliging en antivirus

@Yariva • 16 februari 2021 07:49

Ik heb zelf ook Bitwarden in gebruik, maar er is wel een onderliggend probleem met de versleuteling. Als je het wachtwoord van je kluis aanpast edit: en de rotatie niet inschakelt, waarvoor door de interface met een popup tegen wordt geadviseerd, wordt de sleutel waarmee de kluis versleuteld is niet gewisseld.

Dit betekent dat als een aanvaller ooit je wachtwoord en kluis heeft kunnen stelen (malware gestolen laptop die ontgrendeld kon worden, etc.), het veranderen van het wachtwoord niet zoveel doet als bij andere wachtwoordmanagers. Eenmaal het wachtwoord goed geraden kan iedere versie van de kluis worden ontsleuteld.

Dit komt omdat je wachtwoord geen goede sleutel is om bestanden mee te versleutelen, en daarom een goede sleutel wordt versleuteld met gegevens die uit je wachtwoord worden gegenereerd. In feite werk je dus met dubbele versleuteling (niet op de Grapperhaus-manier) waar alleen de eerste sleutel veranderd kan worden.

De sleutel voor gedeelde groepen wachtwoorden is al helemaal praktisch onmogelijk te rouleren, dus als iemand uit een groep met wachtwoorden wordt gegooid, kan die relatief eenvoudig (voor een wachtwoordmanager dan)
op andermans laptop alsnog de wachtwoorden ontsleutelen.

Dit maakt het veranderen van wachtwoord sneller en efficiënter maar het kan ook een risico betekenen voor jou als klant. In een persoonlijke setting lijkt het me geen enorm probleem, maar in een bedrijfssetting wordt het al wel een grotere uitdaging.

Ik geloof persoonlijk dat de versleuteling van bijvoorbeeld Passbolt of Keepass beter zijn, maar dat gast natuurlijk ten koste van features. Daar is Bitwarden nagenoeg ongeëvenaard, zelfs als je kijkt naar het populairdere alternatief LastPass.

De algoritmes van Lastpass heb ik nog niet bekeken, die zijn voor zover ik weet ook niet zo openbaar als die van Bitwarden en daarnaast hebben alle lekken die over de jaren heen in Lastpass gezeten hebben een nare smaak in mijn mond achtergelaten als het op dat bedrijf aankomt. Verder heb je bepaalde features van Bitwarden, zoals het toevoegen van arbitraire tekst of een arbitrair aantal leesbare of onleesbare velden, gewoon niet. Wil je dus bijvoorbeeld een SSH-wachtwoord, een webinterface-wachtwoord en een schijfversleutelingswachtwoord van dezelfde server opslaan, moet je dus verschillende kaarten maken, terwijl dit in Bitwarden gewoon boven elkaar te zetten is. Dat zorgt er helaas voor dat het meest voor de hand liggende alternatief voor Bitwarden voor mij meteen afvalt. Erg jammer dat er geen goed alternatief is.

Voor de selfhosting-Tweakers onder ons, is het natuurlijk ook goed om te weten dat Bitwarden zelf gehost kan worden. Daar zijn zelfs twee backendimplementaties voor, de officiële dit ook door het bedrijf wordt gedraaid en bitwarden_rs die veel lichter is en ook de betaalde features voor je ontgrendeld. Ik gebruik de laatste (ben geswitcht toen ik erachter kwam dat het zo'n 2GiB aan RAM scheelde op de server) en ben tot nu toe zeer tevreden over de performance. Instellen van je eigen server in de extensies en apps is triviaal en hoeft maar één keer per apparaat.

[Reactie gewijzigd door GertMenkel op 23 juli 2024 02:20]

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Wachtwoord

@GertMenkel • 16 februari 2021 07:59

Ik heb zelf ook Bitwarden in gebruik, maar er is wel een onderliggend probleem met de versleuteling. Als je het wachtwoord van je kluis aanpast, wordt de sleutel waarmee de kluis versleuteld is niet gewisseld.

Is dat nog steeds zo? Heb je een bron welke dit bevestigd wellicht?

Uit een audit rapport uit 2018:

Changing the master password does not change encryption keys

Multiple keys are involved with a user’s Bitwarden account:
1.A “public key” and “private key” is used for the purposes of sharing protected information with other Bitwarden users (via organizations).
2.An“encryption key” and “mac key” is used to encrypt all data in a Bitwarden user’s vault.These keys also protect the user’s private key (from #1 above).
3.A “master key” is derived from a Bitwarden user’s master password. The master key is used to protect and unlock the encryption key and mac key(from #2above).

During a password change operation, only the master key is changed which results in re-encrypting the encryption key and mac key. Since the encryption key and mac key do not change, no other data in the user’s vault is re-encryptedand decrypting existing and new data uses the same encryption key.

Impact
If a user’s encryption key isstolenby an attacker via malware on the user’s device or other means, changing the master password will not change that attacker’s ability to decrypt any new data created under the user’s accountsince the same key is still being used.Since remote access to encrypted vault data requires authenticating with a master password (which can be changed), maliciously gaining access to any new data under a user’s Bitwarden account would require that the user still have a compromised device. Therefore, even if the encryption key and mac key were rotated on a master password change, it should be assumed that the same attacker could also obtain the new encryption key and thus still decrypt old and new vault data from that user’s account.

Resolution
An option to rotate the encryption key and mac keyhas been added to the change password operation.Rotating the keyswill generate new, random key values and re-encrypt all vault data with these new keys.

GertMenkel

Google Chrome
Google
Beveiliging en antivirus

@Bor • 16 februari 2021 08:20

Mogelijk is het sindsdien veranderd, maar als de rotatie niet de default is die wordt afgedwongen zit het lek er in mijn ogen nog steeds in. De laatste keer dat ik ernaar keek was de rotatie een work in progress, maar het lijkt erop dat het er gelukkig wel in zit tegenwoordig.

De interface waarschuwt zelfs als je de optie inschakelt dat dit mogelijk destructief is. Voor de meeste mensen lijkt mij dit de perfecte reden om het vinkje maar uit te zetten, want wie gaat er bij het veranderen van zijn wachtwoord nou een hele pagina lezen over versleuteling om de afweging te maken of dit een goede keus is. Op wat Tweakers na, niemand natuurlijk.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Wachtwoord

@GertMenkel • 16 februari 2021 08:22

Mogelijk is het sindsdien veranderd, maar als de rotatie niet de default is die wordt afgedwongen zit het lek er in mijn ogen nog steeds in.

Ik heb net even gekeken; het is inderdaad nog steeds optioneel helaas. Ik zie niet helemaal in waarom men dit aan de gebruiker overlaat.

[Reactie gewijzigd door Bor op 23 juli 2024 02:20]

GertMenkel

Google Chrome
Google
Beveiliging en antivirus

@Bor • 16 februari 2021 08:32

Desondanks goed dat je het opmerkt, ik heb mijn originele comment aangepast.

Jazco2nd

Mozilla Firefox

@GertMenkel • 16 februari 2021 09:07

Ik heb een jaar geleden de keuze tussen Keepass (DX op Ubuntu, Keepass2Android op telefoons) en Bitwarden gemaakt en kwam op Keepass uit omdat het 0 resources kost voor selfhosting: je synced gewoon het database bestand.

En aangezien ik al Syncthing-fork gebruik op meer zaken op m'n telefoon voor backup doeleinden te syncen was de keuze gauw gemaakt.

Bitwarden kwam met een mega 'architectuur', puur om eea te syncen? Dat snapte ik nooit.
Maar dat van Bitwarden_rs wist ik niet. Wat zijn de systeemeisen daarvan dan?

GertMenkel

Google Chrome
Google
Beveiliging en antivirus

@Jazco2nd • 16 februari 2021 09:25

De systeemeisen van bitwarden_rs zijn relatief laag, ik draai het in een VM met zo'n 500MB RAM en afgerond een kwart CPU core. Ik denk dat het proces zelf zo'n 200-300MB inneemt puur omdat de ruimte er is. Voorheen, met de officiële server, kostte dat samen 3GiB aan RAM, vooral vanwege de MSSQL-database, maar bitwarden_rs kan gewoon met sqlite werken (wat snel zat is voor maar één gebruiker) dus dat scheelt een hoop. Met goedkope serverboeren als Contabo is dat natuurlijk allemaal prima zelf te hosten als je er de tijd voor hebt en bereid bent de moeite erin te steken. Ik snap wel dat mensen Keepass gebruiken om hun eigen systeem op te zetten, scheelt een hoop gezeik in onderhoud.

Ik heb zelf naar Keepass gekeken maar ik was niet overtuigd door de conflict-resistentie als je zelf met je eigen cloudoplossing sync doet. Het komt jnog wwel eens voor dat ik op een device een wijziging doe terwijl dat slecht bereik heeft, en dan ga je race conditions krijgen met de synchronisatie. Daar kan Keepass natuurlijk niks aan doen, is gewoon een consequentie van cloud opslag, maar dat is wel de reden geweest dat ik het heb overgeslagen.

MartenBE @GertMenkel • 16 februari 2021 13:15

KeepassXC heeft conflict resolutie, zelf al meerdere malen (positief) gemerkt.

bart.koppers @Jazco2nd • 16 februari 2021 17:52

Maar dat van Bitwarden_rs wist ik niet. Wat zijn de systeemeisen daarvan dan?

RS is prima te draaien als (docker)container, bv op een NAS.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Wachtwoord

@Yariva • 16 februari 2021 07:56

- Dit alles is geverifieerd door een externe audit

Het nadeel aan dit soort audits is dat je eigenlijk alleen een idee hebt van de veiligheid van een oudere versie. De laatste source code audit die ik kon vinden was in 2018; niet dezelfde source als waar vandaag mee wordt gewerkt.

Wat veel mensen ook niet vermelden is dat er tijdens deze audit wel degelijk issues zijn gevonden, namelijk:

- Browser extension autofill only checks top-level website address
- Desktop RCE and web vault XSSvia login URI when “launched”
- Weak master passwords are allowed
- Malicious API server could steal organization encryption keys
- Changing the master password does not change encryption keys

Verder wordt melding gemaakt van een aantal niet openbare "Miscellaneous Issues".

De publieke versie van het audit rapport maakt geen duidelijke vermelding van de scope waardoor het niet goed te bepalen is of er delen niet bekeken zijn. Zijn bijvoorbeeld eventueel gebruikte libraries van derden ook geaudit?

In November, 2018, Bitwarden successfully completed a source code audit and cryptographic analysis by security firm Cure53.

Eigenlijk zou je dit soort audit's op elke versie van de software willen laten doen. In de praktijk gebeurt dat helaas nauwelijks gezien dit een erg intensieve en hiermee dure procedure is welke zeer specialistische kennis vereist.

Darkstriker @Bor • 16 februari 2021 08:51

- Weak master passwords are allowed

Dit soort gebrek aan handholding is echt geen issue van de software. Je mag er best op wijzen dat het wachtwoord te kort of wat dan ook is, of dat het al in een database staat, maar het verbieden is niet een feature. Wie is de wachtwoordmanager om mij te vertellen hoe sterk ik mijn kluis wil beveiligen. Misschien is het wel mijn tweede kluis met wachtwoorden die ik niet veilig hoef te houden maar alleen makkelijk op een plek wil hebben of mijn plausible deniability kluis. Dan wil ik misschien helemaal geen superzwaar wachtwoord omdat ik het anders vergeet als ik het niet vaak gebruik. En een beetje eigen verantwoordelijkheid voor de gebruiker mag ook echt wel.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Wachtwoord

@Darkstriker • 16 februari 2021 09:06

Een weak password is in geen enkel geval een goed idee wat mij betreft. Het lijkt mij een zeer terechte bevinding, juist in het geval van een applicatie / dienst welke zorgvuldig met wachtwoorden om dient te gaan. Niet alleen voor de gebruiker maar ook voor Bitwarden zelf. De kans op imago schade en daarmee een behoorlijk verlies aan gebruikers en inkomsten is behoorlijk groot wanneer weak passwords worden toegestaan en een kwaadwillende op deze manier binnen komt bij een klant. Bitwarden zou hier op zijn minst een zeer duidelijke waarschuwing moeten tonen: "weet u echt zeker dat..".

Dekar @Darkstriker • 16 februari 2021 12:47

Totale vrijheid voor passwordkeuze samen met 2FA is wat mij betreft prima.
Mijn bitwarden pw is > 20 characters. Als iemand 1234 wil instellen zal die waarschijnlijk Bitwarden sowieso niet installeren.
Btw Google PW oplossing is ook erg prettig. Misschien dat ik Bitwarden binnenkort er uit gooi.

Stpan @Darkstriker • 16 februari 2021 16:48

Ik denk dat een wachtwoordmanager wel aan de poort mag selecteren.

Men zal het beste met zijn klant voor hebben (je maakt niet een product om dat door eindgebruikers door foutief gebruik nutteloos te laten zijn) en als uitlekt dat product X vaak 'gehackt' wordt (door een simpel en/of hergebruikt master wachtwoord te kiezen) zorgt dat voor negatieve publiciteit.

Oon

@Yariva • 16 februari 2021 08:25

Ik vond Bitwarden helemaal niks. Heb het een tijdje geprobeerd, maar kon er niet aan wennen, het werkt gewoon lang niet zo soepel als LastPass

Yariva Moderator internet & netwerken @Oon • 16 februari 2021 08:35

Voornamelijk UI gerelateerd neem ik aan? Persoonlijk deel ik de mening niet maar als LastPass goed in je workflow past waarom niet! Zolang je de wachtwoorden maar niet op een post-it onder je toetsenbord bewaard

Blokker_1999

Beveiliging en antivirus
Wachtwoord
Google Chrome
Google

@Yariva • 16 februari 2021 08:45

Nee hoor, ze liggen ernaast, anders kan ik ze niet overypen

. En probeer dat maar eens te kraken via het internet.

SoloH @Blokker_1999 • 16 februari 2021 09:54

Keyboard logger?

JayPe @Blokker_1999 • 16 februari 2021 13:12

Als al je wachtwoorden op één post-it naast je toetsenbord passen, dan heb je waarschijnlijk veelvuldig hetzeflde wachtwoord in gebruik, toch? Dan is één aanval op de server van de lokale slager Het Gespeende Varken voldoende: Via internet dus, niet aan jouw toetsenbord kant, maar aan die van de andere kant.

#Flauw #WelDeWaarheid #InZekereZin #DatIsNouJuistDeEssentie #IkSnapOokWelDatJeEenGrapjeMaakte

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Wachtwoord

@Yariva • 16 februari 2021 08:27

Welke van bovenstaande punten gelden puur voor Bitwarden? Ik zie opties genoemd worden die ook voor alternatieven als bv LastPass opgaan.

Yariva Moderator internet & netwerken @Bor • 16 februari 2021 08:34

Goede vraag

Ik weet dat LastPass niet open source is en Bitwarden iets goedkoper is. Verder is het redelijk nek-aan-nek.

Verder host ik het lokaal en zijn de telefoons met app's etc ten alle tijden verbonden middels een VPN naar het thuis front om de DB in sync te houden. Maar dat is wel een erg hoog Tweak gehalte en niet representatief voor de gemiddelde gebruiker. Echter is het wel weer een unieke feature van Bitwarden.

Blokker_1999

Beveiliging en antivirus
Wachtwoord
Google Chrome
Google

@Yariva • 16 februari 2021 08:47

Ik heb nog nooit een cent betaald voor LastPass en gebruik het al jaren naar volle tevredenheid. Het enige voordeel van BitWarden is dus dat het open source is en je het bijgevolg zelf kunt hosten.

Yariva Moderator internet & netwerken @Blokker_1999 • 16 februari 2021 17:22

Misschien dan nu toch eens tijd om te kijken naar de concurrentie.. Of een abonnement bij Lastpass

nieuws: LastPass beperkt gratis abonnement tot één soort apparaat

Kjoe_Ljan @Yariva • 16 februari 2021 09:44

Mocht je iets minder willen tweaken en minder aangewezen willen zijn op de stabiliteit van je thuisnetwerk, dan kun je Bitwarden op een redelijk simpele manier installeren bij Digital Ocean.

Het nadeel daarvan is natuurlijk de prijs. Omdat Bitwarden 2GB RAM vraagt, heb je wel een 'Droplet' (VM) nodig van $10/maand. En voor usability zou je een (sub)domein moeten laten verwijzen naar die Droplet.

Kjoe_Ljan @Bor • 16 februari 2021 09:20

Kun je LastPass zelf hosten?

Dat is voor mij hét argument geweest om Bitwarden te gebruiken. Zelfs als (of wanneer?) de grote Bitwarden kluis wordt aangevallen, lopen mijn wachtwoorden geen gevaar. En een servertje met slechts ~200 wachtwoorden zal niet snel aantrekkelijk zijn voor hackers, tenzij ze het echt op mij voorzien hebben. En die kans acht ik behoorlijk klein

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Wachtwoord

@Yariva • 16 februari 2021 08:34

Prima UI, ouders en vriendin gebruikt het ook

Ik vind de UI persoonlijk redelijk spartaans en simpel to be honest en dit juist een nadeel i.p.v. een voordeel. Met veel wachtwoorden wordt het al snel onoverzichtelijk en daardoor onhandig. De interface lijkt vooral ontworpen voor een doorsnede consument ipv de power user. Voor de doorsnede consument geldt weer dat sommige opties niet heel duidelijk zijn uitgelegd.

Yariva Moderator internet & netwerken @Bor • 16 februari 2021 08:41

Mwah simpel vind ik in deze niet slecht. Ik open de app en na mijn vingerafdruk krijg ik meteen het menu "mijn kluis" te zien met een mappenstructuur. Daarin zijn al mijn logins keurig gesorteerd, website icoontje erbij. Zoek icoontje rechts bovenin waar de gemiddelde gebruiker deze verwacht. Juist deze simpelheid zorgde er bij mijn familie voor dat iedereen snel en zelfstandig aan de slag kon gaan.

Maar juist voor de power user is dan bijvoorbeeld de API weer handig om je password manager te verwerken in mooie workflows.

Daarnaast kan je je afvragen hoe vaak je gebruik maakt van de UI. Naast wat basis folder structuren opzetten werk ik voornamelijk met de Browser plugin welke nieuwe wachtwoorden detecteert en automatisch in Bitwarden plaatst met corresponderende URL.

Dennisb1 @Yariva • 16 februari 2021 09:54

Sinds wanneer is bitwarden open source? Alleen het alternatief bitwarden-rs is open source toch die handig gebruikt maakt van bitwarden applicatie?

mdgf @Dennisb1 • 16 februari 2021 10:25

Ik ken het niet, maar bitwarden-rs lijkt mij gewoon een alternatieve server voor https://github.com/bitwarden/server (die mij dus ook open source lijkt)?

GG85 @Yariva • 16 februari 2021 10:44

Ik gebruik al jaren Keepass en kijk af en toe naar Bitwarden.

Idee van Bitwarden spreekt me wel aan maar man man wat een gedoe met Dockers en Containers en weet ik veel wat niet meer. Heb een PiHole draaien dus prima als ik een simpele server dmv een service moet draaien waardoor alles bereikbaar is maar allerlei Docker instanties en weet ik veel wat houdt me tegen om het echt te gaan proberen. Knal dan net zo lief mijn Keepass database op de PiHole (kan daar toch via WireGuard bij) en doe het dan zo.
Of mis ik nu wat?

delphium

@GG85 • 16 februari 2021 11:11

Dat gedoe is alleen van toepassing als je zelf wilt hosten. Als je gebruik maakt van de servers van Bitwarden, werkt het out of the box.

Joydashy @Yariva • 16 februari 2021 11:22

Fijn om deze post bovenaan te zien, ik ben ook groot fan en gebruiker van BitWarden. Ik betaal er met liefde voor.

xiphoid 16 februari 2021 11:34

Ik gebruik al jaren 1Password, jammer dat het niet even gemeld is in het artikel. Het is toch al jaren een app met diensten zoals Watchtower voor compromised sites, weak passwords, re-used passwords, etc.

4Lph4Num3r1c @xiphoid • 16 februari 2021 23:52

Helemaal mee eens. Ze waren jaren terug al de eerste partij die samen ging werken met Have I Been P0wned

En het product werkt erg prettig, zeker ook in teamverband een aanrader. (Met gratis losstaande family versions voor iedereen die zakelijk een account heeft).

Ook een super handige optie, is de ondersteuning voor 2FA vanuit de app. Waardoor hij meteen het 2FA stukje voor je regelt.

[Reactie gewijzigd door 4Lph4Num3r1c op 23 juli 2024 02:20]

AlainG

16 februari 2021 10:10

Ik gebruik al jaar en dag Enpass op Mac en iOS apparaten. Open source en heel tevreden van. Ze hebben nu ook een betalende versie met audit mogelijkheden.

Shayen @AlainG • 16 februari 2021 14:02

Ook lange gebruiker van enpass. Helaas kan ik deze niet meer aanraden. Heb destijds lifetime pass gekocht met de belofte dat we niks meer moesten betalen. Daarna veranderde hun systeem en werd ons nogmaals belooft dat we alle features gewoon zouden krijgen. Nu paar maand later is deze belofte gebroken en vragen ze ons opnieuw een nieuwe lifetime pass te kopen met dezelfde belofte. Dit geloof je toch zelf niet meer.

MoonRaven

@Shayen • 16 februari 2021 15:20

Tja, of je kan het jaarabonnement nemen en omdat je zo'n trouwe supporter bent, is het het eerste jaar 7,99 en daarna krijg je een geweldige 50 cent korting op je jaarabonnement...

AlainG

@Shayen • 16 februari 2021 15:29

Ah inderdaad ik heb me daar nog niet in verdiept ;-) Struisvogel reactie denkelijk.... Wat gebruik je nu ?

Shayen @AlainG • 16 februari 2021 21:45

Ik ben momenteel nog wat op zoek naar een vervangende software. Ik heb al die nieuwe features per se niet nodig. Bitwarden lijkt wel een mooi product aan de andere kant lijkt microsoft authenticator ook wel interessant deze heeft een addons voor de meeste browsers (microsoft autofill voor chrome) nu en misschien komt er nog een app voor windows (nu enkel voor ios en android). Kern van het verhaal is dus dat ik er nog niet uit ben

omnislash @AlainG • 16 februari 2021 10:27

Same here. En de password vault host ik zelf via Webdav.

MoonRaven

@AlainG • 16 februari 2021 15:26

Enpass is niet open source. Het is altijd closed source freemium software geweest.

Verder hebben ze hun belofte gebroken met de lifetime subscriptie. Iedereen die de pro lifetime subscriptie had gekocht zou alle features krijgen, nu hebben ze de premium versie en daar zitten nieuwe functies in, zoals de audit mogelijkheid.

De reden van het uitsluiten van features is "omdat de audit functie continu geld kost en dat niet onder de lifetime subscriptie zou kunnen". Toch bieden ze voor premium WEL een lifetime versie aan die dus volgens hun WEL kostendekkend zou zijn.

Goed, dan zou je verwachten als gebruiker dat je een goede korting krijgt, wellicht een upgrade voor 15 euro naar de nieuwe tier levenslang? Nee, je krijgt een korting op een jaarabonnement, het eerste jaar 13.50 korting, elk opvolgend jaar 50 cent.

Wat het EXTRA zuur maakt is dat premium lifetime een paar maanden geleden voor $25 te koop was via stacksocial. Dat is dan ook nog eens een prijs die niet aangeboden wordt aan de mensen die het al jaren gebruiken EN het in vele gevallen ook aanraden aan anderen.

AlainG

@MoonRaven • 16 februari 2021 15:31

Goede punten. Bij open source ben ik denkelijk te snel op hun marketing ingegaan. Gebruik je iets anders nu ?

MoonRaven

@AlainG • 16 februari 2021 16:15

In hun marketing heb ik open source voor Enpass nooit gevonden. Er is wel een keer een audit gedaan in hun code, maar goed.

Ik ben zelf over gegaan op Bitwarden, zoals velen hier.

ChrisM 16 februari 2021 07:18

Ik mis de iCloud Keychain in dit verhaal. Toch ook wel een grote speler? Volgens mij checkt die ook regelmatig of een wachtwoord is gehackt, naast of je wachtwoorden dubbel gebruikt of ze te simpel zijn. Voldoet voor mij prima.. en binnenkort ook ondersteuning voor Chrome op Windows.

DigitalExorcist @ChrisM • 16 februari 2021 07:23

Klopt. Dat werkt ook echt ideaal. Probleem is met name dat het niet cross-platform is (dat wil zeggen, buiten het MacOS ecosysteem).

Voor m’n werk gebruik ik Windows, op m’n Mac vooral Safari, op m’n telefoon iOS maar op m’n Flight Sim PC weer Edge.

Sinds deze week host ik zelf Bitwarden RS via HomeAssistant. Ideaal.. heb de cliënt al wel bij vrouwlief geïnstalleerd maar moet nog even laten zien hoe ‘t werkt, en bij de kinderen ook maar eens gaan doen. (iPhones en 1 iMac en oudste dochter weer een Windows laptop...)

Banix @DigitalExorcist • 16 februari 2021 09:13

Sindskort is er een chromeplugin dus het is welzeker crossplatform: https://tweakers.net/nieu...-icloud-wachtwoorden.html

DigitalExorcist @Banix • 16 februari 2021 10:29

Ja, ik vind het privacy-vriendelijke van Apple een goed plan, dus ga ik m'n Macbook downgraden met Google (!) Chrome.

Ok dan.

Dat ik MS Edge 'mag' gebruiken voor m'n werk is al genoeg belediging

[Reactie gewijzigd door DigitalExorcist op 23 juli 2024 02:20]

TheMaxMan @DigitalExorcist • 16 februari 2021 10:49

Hij bedoelt dat je Apple Keychain nu ook op Windows (Edge en Chrome) kan gebruiken, da’s iets anders dan adviseren om Chrome op macOS te draaien.

[Reactie gewijzigd door TheMaxMan op 23 juli 2024 02:20]

DigitalExorcist @TheMaxMan • 16 februari 2021 10:52

Maar *is* dat wel zo? Ik las het als "je kunt via een browser als Chrome je wachtwoorden uit je Keychain inlezen" ... Maar wel alleen zolang je Chrome op macOS draait!

TheMaxMan @DigitalExorcist • 16 februari 2021 10:57

Ja, dat is zo 😉 iCloud for Windows versie 12 heeft Keychain ondersteuning die je via de Chrome extensie kunt gebruiken in Chrome en Edge.

Bronnen:
https://appleinsider.com/...ain-for-chrome-on-windows

https://www.macrumors.com...tension-icloud-passwords/

[Reactie gewijzigd door TheMaxMan op 23 juli 2024 02:20]

Banix @DigitalExorcist • 16 februari 2021 14:18

Ik gebruik zelf alleen Safari en soms Firefox dus zou het verder niet weten. Geef alleen aan dat de mogelijkheid er is om op Windows gebruik te maken van Keychain?

[Reactie gewijzigd door Banix op 23 juli 2024 02:20]

GertMenkel

Google Chrome
Google
Beveiliging en antivirus

@ChrisM • 16 februari 2021 07:58

Ik zie de iCloud keychain gewoon in het verhaal voorbij komen? Staat vlak onder het kopje "veiligheid".

ChrisM @GertMenkel • 16 februari 2021 08:00

Ja, maar niks over de mogelijkheden om wachtwoorden te vergelijken met databases etc, terwijl dat toch ook zeker in Keychain is ingebouwd.

GertMenkel

Google Chrome
Google
Beveiliging en antivirus

@ChrisM • 16 februari 2021 08:30

Daar heb je op zich gelijk in, maar de feature zit in zo'n beetje iedere wachtwoordmanager. De integratie van Firefox met HIBP wordt als voorbeeld genoemd, maar iedere degelijke password manager die ik ken heeft de feature ook. Dat is wellicht ook het beste voorbeeld, omdat browserwachtwoordbeheerders heel populair zijn en bij Firefox de frontend en backend van de wachtwoordbeheerder open source is.

Misschien dat een featuretabel die dit soort dingen vergelijkt in een overzicht een mooie toevoeging was geweest, maar ik denk niet dat dat het hoofddoel van het artikel zou ondersteunen. Ik lees het artikel meer als "dit is hoe password managers" werken dan als "dit is wat de features van de verschillende password managers" zijn.

Ik denk niet dat de databasevergelijking voor iedere manager uitzoeken veel had bijgedragen aan het artikel, ik vind het voorbeeld van HIBP + Lockbox eigenlijk wel voldoende om de algemene strekking aan te geven.

sypie @ChrisM • 16 februari 2021 08:33

Herkent iCloud ook domeinen die bij dezelfde dienst horen maar een andere URL hebben? Envato.com en Themeforest.com is bijvoorbeeld zo'n dienst. Bij een aantal wachtwoordmanagers kun je dat aanpassen zodat die dat als een unieke sleutel gaan behandelen.

Zo heb ik al mijn Ubiquiti apparatuur en accounts voorzien van hetzelfde wachtwoord. Dus die van mijn CloudKey is hetzelfde als mijn account online. Dat zijn heel andere domeinen en door dit éénmalig in te stellen herkent LastPass het als één sleutel. Dit zie ik iCloud nog niet doen. (en ja, als Apple gegbruiker gebruik ik het deels)

field33P @ChrisM • 16 februari 2021 22:50

en binnenkort ook ondersteuning voor Chrome op Windows

Die ondersteuning is er nu al, maar Apple moest het zo nodig koppelen aan Google Chrome in plaats van alle Chromium-gebaseerde browsers (waaronder dus Edge) waardoor ik er helaas vrij weinig aan heb.

Dreambox1964 16 februari 2021 06:03

Zal mooi zijn als de banken en bepaalde website's ook een login maken met Fingerprint.

Edit,
Nee Vingerafdruk is toch niet een goeie login,

[Reactie gewijzigd door Dreambox1964 op 23 juli 2024 02:20]

RobertMe @Dreambox1964 • 16 februari 2021 06:25

Fingerprint heeft ook weer zijn nadelen. Alles wat je aanraakt laat je immers je vingerafdruk op achter, terwijl je een wachtwoord uiteraard niet overal op achter laat.
Daarnaast is het bij mijn weten zo dat opsporingsdiensten je niet kunnen dwingen een wachtwoord af te staan. Voor vingerafdrukken is dat wel zo, en anders halen ze hem zo van een glas af waaruit je gedronken hebt op het bureau.

page404 @RobertMe • 16 februari 2021 07:24

Het zou wel een slechte vingerafdrukscanner zijn als hij letterlijk je vingerafdruk neemt. Wat ik weet van Touch ID op Apple apparaten, dat er niet of nauwelijks naar je "fingerprint" gekeken wordt. Je hebt echt een levende vinger nodig om te ontgrendelen en dat maakt het al een stuk veiliger.

Thasaidon @page404 • 16 februari 2021 08:04

Een vingerafdruk is tegenwoordig ook niet veilig meer.
(voor criminelen dan

)

nieuws: Hoge Raad: politie mag telefoon onder dwang ontgrendelen met vingeraf...

PGR @page404 • 16 februari 2021 08:36

Er wordt natuurlijk niet door de 'scanner' een vingerafdruk 'afgenomen', maar je laat wel je vingerafdruk achter op het glas/materiaal van de vingerafdrukscanner. Daarnaast laat je je vingerafdruk overal achter zoals RobertMe aangeeft. Op glazen, deuren, etc. Dat doe je (als het goed is) met je wachtwoord niet...

XephireUK @PGR • 16 februari 2021 13:06

Volgens mij kijkt het systeem niet naar de "ridges" die op je vingertoppen zitten, maar naar de bloedvaten eronder. Het klonen van je afdruk van glas heeft dan niet veel nut.

Blokker_1999

Beveiliging en antivirus
Wachtwoord
Google Chrome
Google

@RobertMe • 16 februari 2021 08:48

Tsjah, ik wil je gerust een glas geven met alle 10 mijn vingers op en mijn telefoon. Benieuwd hoe lang het gaat duren voordat je deze ontgrendeld hebt.

Ja, het is een mogelijke aanvalsvector, neen, praktisch is het niet tenzij je echt een goede reden hebt om in die telefoon in te breken.

wifikabelhuren @Blokker_1999 • 16 februari 2021 09:22

Je vergeet dat de techniek snel gaat. En als iemand je vingerafdruk heeft, kan hij in principe overal gebruik van maken waar jij je vingerafdruk voor gebruikt. Het is niet dat je je vingerafdruk kunt resetten zodat je een nieuwe hebt.

GertJan2012 @Dreambox1964 • 16 februari 2021 06:16

Dat is er in feite al toch? Als je de apps van de Rabobank of Abn Amro hebt , kun je toch gebruik maken van Touch ID of Face ID op IOS apparaten?

RobertMe @GertJan2012 • 16 februari 2021 06:28

Dat geldt natuurlijk alleen voor de apps, en niet voor de website. Daarnaast is werken via de app sowieso ook nog eens een vorm van 2FA omdat je op een eerder moment het account aan de app hebt gekoppeld. Je kunt immers niet een willekeurige telefoon pakken en bij de bank inloggen via je vingerafdruk.

ptap480 @Dreambox1964 • 16 februari 2021 06:46

Als je denkt dat een vingerafdruk veiliger is dan een goed wachtwoord dan moet je maar eens nadenken over waar je die elke dag wel niet laat slingeren (de beker waaruit je nu koffie of thee zit te drinken bijvoorbeeld) en het het aantal keren dat je 'm zou kunnen wijzigen.

Ook iris/gezichtsscans zijn beter maar zijn irisscans zijn ook ooit al gefopt.

Voor elke login een ander wachtwoord van voldoen lengte (vooral) en complexiteit is voor nu de beste optie. Een wachtwoord hoeft helemaal niet uniek te zijn voor jou of mij. Al leid ik uit het verhaal een risico af dat ik niet helemaal vat en dus nog eens moet bestuderen. Zolang wij niet weten dat we hetzelfde wachtwoord ergens voor gebruiken is het ok als het bovendien maar voor 1 toegang gebruikt wordt. In combinatie met 2FA/1TP is dat waar ik het momenteel mee doe.

Voor mij zijn de Keepass varianten de password managers die ik gebruik.

Blacklight447 @ptap480 • 16 februari 2021 07:35

Ik denk dat hiet wel plek is voor nuance.

Het ligt helemaal aan wanneer en waar het word gebruikt.

Ik zou zeggen dat het beter is als je in alledaagse gesprekken je vingerprint gebruikt, hierdoor kunnen mensen door shoulder surfing je wachtwoord niet zien. Ook cameras kunnen niet zien wat je wachtwoord is.

En dan wanneer je denkt dat je telefoon in gevaar is, gebruik je gewoonde de lockdown modus van ios of android.

Omdat je ook niet altijd je wachtwoord hoeft in te typen, kun je dus nu ook een langer wachtwoord kiezen, wat de beveiliging bevorderd, zonder dat de usability teveel word geschaad.

Skywalker27 @Dreambox1964 • 16 februari 2021 07:45

Dat is niet mooi je uitgelekte ww kan je vervangen je Fingerprint niet.

Elidibus @Dreambox1964 • 16 februari 2021 08:47

Niet om vervelend te doen, ik snap het comfort van een fingerprint lock, ik gebruik het zelf ook maar al te graag. Alleen is het grootste risico van biometricscans dat je ze niet kan veranderen. Als je vingerafdruk eenmaal is gelekt, kan je deze nooit meer aanpassen. Als een wachtwoord lekt, is het een stuk eenvoudiger om deze te veranderen.

Veiligheid is altijd een wisselwerking tussen veiligheid en comfort. Dus iedereen moet voor zichzelf bepalen of ze een fingerprint scanner gebruiken of niet, het is alleen wel belangrijk dat je weet wat de consequenties zijn.

Zebby @Dreambox1964 • 16 februari 2021 09:15

Zal mooi zijn als ING eindelijk eens die achterhaalde wachtwoord policy aanpast, wat een draak is dat voor een bank van dat formaat.

lucatoni 16 februari 2021 06:18

Gebruik al jaren met groot genoegen Lastpass. Ik hoop daarmee op een goede combi tussen gebruikersgemak en veiligheid. Eens in de zoveel tijd voer ik de security check uit en pas ik wachtwoorden aan. Het enige wat mij aan het denken zet is dat ik al jaren de gratis variant gebruik. Niet omdat ik er niet voor wil betalen, maar omdat ik de betaalde versie niet veel voordelen heeft waar ik behoefte aan heb. Hoe kan zo'n dergelijke dienst gratis aangeboden worden? Waar halen ze inkomsten vandaan om de service veilig te houden?

Blommie01 @lucatoni • 16 februari 2021 06:23

Enterprise licenties.

Heel veel bedrijven gebruiken het... Ik heb naast mijn gratis privé account ook een enterprise licentie vanuit het werk.

[Reactie gewijzigd door Blommie01 op 23 juli 2024 02:20]

Elephtera @lucatoni • 16 februari 2021 06:26

Ze hanteren het Microsoft model. Zorg dat iedereen je pakket gebruikt, zodat ze het zakelijk ook willen gebruiken. Een zakelijk vraag je vervolgens een uitstekend tarief.

Voorheen moest je voor de mobiele variant van Lastpass wel betalen, maar sinds de enterprise versie er is, is dus ook gratis.

Ik gebruik trouwens Lastpass family, daarmee krijg je wat enterprise functies binnen je gezin. Daar betaal ik met als liefde voor.

Verwijderd @Elephtera • 16 februari 2021 08:51

Tja, of ze gaan ineens geld vragen, als je eigenlijk niet meer zonder kunt, is die paar euro per jaar het ineens wel waard.

sypie @lucatoni • 16 februari 2021 08:30

Een poos geleden kon je in de gratis versie nog een "Veiligheidscheck" uitvoeren. Dit ging kijken hoe oud wachtwoorden waren, of ze dubbel gebruikt werden en nog een paar dingetjes. Er werd daar een percentage aan gekoppeld aan jouw online veiligheid. Die mogelijkheid is nu verplaatst naar Premium. En ja, daar moet je geld voor neertellen. Uiteraard krijg je daar meer voor terug dan wat ik hierboven opnoem.

Net even gekeken een Premium abonnement kost $3 per maand. Voor $4 heb je een familie-account waar je met 5 gebruikers zaken met elkaar kunt delen. Op zich zijn dat de kosten ook niet. Misschien maar eens wat verder naar kijken.

I5413 @lucatoni • 16 februari 2021 08:57

Ik heb ook de betaalde versie. Ben overgestapt in de tijd dat het nog 1€ om kosten. Niet omdat ik het nodig had, maar omdat ik ze wou steunen en zodat ze geld verdienen aan mij, niet aan mijn data.

AutCha @lucatoni • 16 februari 2021 09:29

Wij hebben een betaald Family Account. Beste 3 euro die ik elke maand betaal: kinderen en vrouw die nooit meer hun wachtwoord kwijt zijn geeft me zoveel nachtrust. Daarnaast kan ik heel eenvoudig wachtwoorden delen: Netflix, Disney+ etc: die mag iedereen inzien. Webwinkels, die deel ik met mijn vrouw. Minecraft account dat ik voor een kind heb aangeschaft: alleen delen met dat kind.

Verder altijd sterke wachtwoorden, geen herbruik en het gebruiksgemak voor mezelf met alle sites die ik bezoek; Ideaal.

Ik ben namelijk meer bezorgd om mijn gezinsleden en wat ze uitspoken dan om m'n eigen account beheer. Daarom had ik een ww manager nodig met zoveel mogelijk gebruiksgemak (anders wordt het niet gebruikt). Lastpass heeft dat alles.

HeelErgEdwin 16 februari 2021 07:22

Ik ben vooral benieuwd naar de veiligheidsrisico’s van door de browser gegenereerde wachtwoorden. Safari doet dat altijd volgens hetzelfde stramien: xxxxxx-xxxxxx-xxxxxx-xxxxxx

tomskio @HeelErgEdwin • 16 februari 2021 07:32

Dat zijn nog altijd 24 characters. Dat is toch niet slecht.

GertMenkel

Google Chrome
Google
Beveiliging en antivirus

@HeelErgEdwin • 16 februari 2021 08:14

De streepjes moet je eigenlijk niet tellen als het neerkomt op de veiligheid van die wachtwoorden. Die zijn er puur zodat je het wachtwoord zelf beter kan onthouden of overtypen als dat nodig is. Het aantal karakters en het aantal vormen dat die karakters aan kunnen nemen tussen de streepjes is wat de wachtwoorden veilig maakt.

Over het algemeen zijn wachtwoorden die door een (goede pseudo) random generator worden gegenereerd beter dan wachtwoorden die mensen bedenken. Als je een mens vraagt om een random string, zit er doorgaans alsnog een bepaald patroon in omdat mensen nu eenmaal niet zo geëvolueerd zijn om willekeurige dingen te doen.

Met vier groepen van zes tekens, dus 26 tekens, met ieder zo'n 60 opties (kleine letters, hoofdletters, paar leestekens) zijn zulke wachtwoorden heel erg sterk. Je moet ongeveer 0,5*60^26 wachtwoorden proberen om zo'n wachtwoord te raden, als Safari zijn wachtwoorden goed genereert. Omgerekend is dat meer dan 2^91 aan mogelijkheden, zo onvoorspelbaar is een mensgemaakt wachtwoord over het algemeen niet. Zelfs met de rekentijd voor simpele hashing zoals MD5 of SHA1 die op vage websites nog wel eens voorkomt, duurt het nog wel even voordat zo'n wachtwoord gevonden is. Omdat criminelen vaak alleen de eerste x% verkopen die ze uit een dataset kunnen reversen, zit je zelfs met slechte websites nog relatief veilig in vergelijking met de rest van de slachtoffers. Natuurlijk zijn dat soort hashingalgoritmes nog steeds slecht en mogen ze niet meer gebruikt worden als de website geeft om jouw veiligheid, maar toch help je jezelf hiermee.

Veel mensen zetten bijvoorbeeld een of twee speciale tekens in elk wachtwoord, doorgaand aan het begin, in het midden of op het einde. Cijfergroepen zijn vaak jaartallen, hoofdletter zit vaak aan het begin, etcetera. Een menselijk wachtwoord van 24 tekens is daarom vaak niet zo goed als een computergegeneerd wachtwoord.

Een ander veiligheidsvoordeel is dat met dit soort tools de kans dat je valt voor credential stuffing een stuk lager. Als je iedere keer toch een nieuwe genereert, ga je geen wachtwoorden hergebruiken. Dat hergebruiken is een van de redenen dat mensen vaak "gehackt" worden op zaken als Facebook en Google; de dienst is nooit gelekt, maar email en wachtwoord zijn hergebruikt voor LinkedIn of Adobe of vaaghobbyforum.biz die wel een keer gehackt zijn en dan zitten ze alsnog in je mail.

Daar staat tegenover dat zulke goede wachtwoorden onmogelijk zijn te onthouden. Als schijfversleutelingswachtwoord is zoiets daarom al snel onbruikbaar. Maar, aangezien je alleen maar het wachtwoord voor je onlinekluis hoeft te onthouden, hoef je er op zich niks mee. Dat is precies de kracht van het geheel natuurlijk.

GeroldM @GertMenkel • 16 februari 2021 13:31

Wat jij denkt dat een random gegenereerd stukje tekst is en als wachtwoord accepteert, hoe random is dat? En in hoeverre zit ook daar geen patroon in?

Wachtwoord lengte is daarbij de oplossing. Normaal gesproken is het menselijk brein niet goed in het onthouden van die random tekst, maar een rare term weer wel.

Blijft het probleem van wachtwoord invoer over. Nog steeds vervelend als het niet gaat om een website of software die geen gebruik mag/kan maken van de API van je favoriete wachtwoord generator.

Ook daar is een oplossing voor. "Conditionele wachtwoorden".

Er word dan een soort van digitale "vingerafdruk" van je systemen/omgeving gemaakt, met toegangstijden, goedgekeurde locaties enz. daarmee vermengt. Dat maakt het gebruik van zelf simpele wachtwoorden een flink stuk veiliger, terwijl het de gebruiker veel gemak oplevert.

Dat wachtwoorden verre van ideaal zijn voor beveiliging, dat betwist ik niet. Maar dat deze niet slim genoeg zijn/worden gebruikt, zelfs als er sprake is van managers en 2FA, dat wel.

Mushroomician 16 februari 2021 08:47

Wat is er mis met een .txt en die versleuteld bewaren met gpg? Werkt ook op android met Termux.

En kan je het ook uitbreiden met sync script. Aangezien je sterk AES gebruikt kan je de inhoud zelfs op je facebookpagina hosten, maar dan weet je in iedergeval dat de broncode te vertrouwen is.

[Reactie gewijzigd door Mushroomician op 23 juli 2024 02:20]

Zebby @Mushroomician • 16 februari 2021 09:14

Je mist een sloot aan opties en integraties, plus gebruiksvriendelijkheid.
Omslachtig, maar als het voor jou werkt.

curkey @Mushroomician • 16 februari 2021 09:30

De additionele usability. Wat ik bijvoorbeeld fijn vind aan Keepass, is dat je het automatisch invullen van user / password en andere zaken kunt scripten (Auto Type). Ook toont hij bij het openen van je app (na inloggen) niet automatisch al je wachtwoorden, wat parktisch is als er soms mensen met je meekijken.

BENx1996 16 februari 2021 08:17

Grappig, net nu ik enorm bezig ben met inlezen over Password Managers.
Zelf ben ik na veel lezen uitgekomen op 1Password en Bitwarden. Bitwarden voornamelijk voor de prijs en het feit dat het open-source is, 1Password voornamelijk voor het gebruiksgemak en extra beveiliging.

Uiteindelijk ervoor gekozen om voor (het veel duurdere) 1Password te gaan. Bitwarden heeft toch een aantal nét-niet puntjes voor mij. (O.a. het niet verschijnen van een icoontje bij het invulvak, geen mogelijkheid om je account te recoveren mocht het ooit kwijtraken, authenticatie enkel met een password ipv de secret key van 1Password).

Maar zo zullen er ook veel voordelen zijn van Bitwarden over 1Password die ik wellicht door mijn persoonlijk gebruik niet ben tegengekomen. Ik kan het in ieder geval iedereen aanraden, zo'n password manager!