Van alle beveiligingsmaatregelen die je kunt nemen voor je digitale leven, is een wachtwoordmanager gebruiken zonder twijfel een van de belangrijkste. Je voorkomt er een van de grootste risico's mee waardoor je slachtoffer van een hack kunt worden: hergebruik. Voor ieder account dat je hebt, een uniek, zelfs kort wachtwoord werkt veel beter dan één wachtwoord voor alles, hoe lang dat ook is. Wachtwoordmanagers helpen je die wachtwoorden te onthouden. Of juist niet, want ze nemen je het meeste werk uit handen.
In dit artikel kijken we naar vijf verschillende populaire wachtwoordmanagers en halen ze helemaal uit elkaar op het gebied van niet alleen functionaliteit, maar ook veiligheid. De ene encryptie is immers de andere niet, maar bij welke zit je nou het veiligst? Dit artikel is nadrukkelijk geen review of vergelijkende test, al zijn er her en der wel functies waarvan we durven zeggen dat ze goed of juist minder goed zijn.
Vijf diensten
Deze vergelijking is verre van compleet; er zijn honderden of zelfs duizenden wachtwoordmanagers te vinden die in de basis grotendeels hetzelfde doen. De vijf managers die we hier bekijken, 1Password, LastPass, Dashlane, Bitwarden en KeePass, hebben we gekozen omdat ze bekend zijn of uniek in hun gebruik of beveiliging.
We kijken in het artikel specifiek naar de consumentenversies van de wachtwoordmanagers. De meeste wachtwoordmanagers hebben een enterpriseplan, waarbij bedrijven per gebruiker betalen. Doorgaans is de veiligheid daarvan hetzelfde, maar wat functionaliteit betreft zit er vaak veel verschil in de mogelijkheden die gebruikers hebben. Die functies komen in dit verhaal dus niet aan bod.
Vergelijking
In de vergelijkingen hebben we het eerst over functionele aspecten: welke apps zijn er beschikbaar, hoe kun je databases im- en exporteren, hoe deel je wachtwoorden met anderen en hoe vergrendel je de apps? Daarna gaan we door over de beveiliging. We kijken daarbij niet alleen naar de gebruikte encryptie en je opties om die te veranderen, maar ook naar bijvoorbeeld de opties voor tweetrapsverificatie.
Er komen een paar begrippen aan bod waarvan het goed is die nu al kort te behandelen en wat context of een beschrijving ervan te geven.
Tweetrapsverificatie via totp en hotp
Als we het over wachtwoorden hebben, komt onvermijdelijk ook tweetrapsverificatie aan bod. Ook in dit artikel hebben we het daar regelmatig over. Daarbij komen een paar begrippen aan de orde die we hier willen uitleggen. Tweetrapsverificatie kan op een aantal manieren worden geregeld: via hotp, totp, sms of FIDO2. Als uitgebreide achtergrond over die authenticatiemethodes dient het stuk over de toekomst van authenticatie dat we vorig jaar hebben gepubliceerd, maar er zijn twee belangrijke begrippen om te onthouden.
Hotp staat voor hmac-based one-time passwords. Dat zijn tweetrapsverificatiecodes die je meestal ontvangt als sms'je of via e-mail. Het zijn tijdelijke inlogcodes die je naast je gewone wachtwoord gebruikt als tweede verificatiemethode. In tegenstelling tot totp-codes zijn hotp-codes iets langer geldig. Daarmee zijn ze, in theorie, iets onveiliger. Een aanvaller heeft immers iets langer de kans er een te raden of te onderscheppen, al is dat in de praktijk nog steeds een lastig proces.
Totp staat voor time-based one-time passwords. Dat zijn ook tijdelijke inlogcodes, maar ze zijn slechts beperkt geldig. Meestal worden ze gegenereerd in een authenticatieapp, zoals Google Authenticator of Authy. Ze bestaan doorgaans uit zes cijfers en zijn beperkte tijd, bijvoorbeeld dertig seconden, geldig. Veel wachtwoordmanagers bieden op de een of andere manier ondersteuning voor totp aan. LastPass heeft er bijvoorbeeld een aparte app voor en Bitwarden ondersteunt het in de mobiele app zelf.
Checksum
Bij sommige softwarepakketten wil je zeker weten dat je het juiste programma downloadt. Zeker bij software die met privacy of beveiliging te maken heeft, wil je de integriteit van de download kunnen checken. Dat kan met pgp of een andere signature. Door de checksum daarvan te vergelijken met de sleutel op de website, kun je zeker weten dat er niet met de download is geknoeid. Knoeien is niet ondenkbaar; kijk maar naar deze recente hack.
Audits en pentests
Veel wachtwoordmanagers laten zichzelf controleren door derde partijen. Ze laten bijvoorbeeld de broncode, de beveiliging of de interne processen doorlichten op eventuele kwetsbaarheden. De meeste wachtwoordmanagers schermen daarom ook met audits en rapporten, maar laat je door de vele keurmerken en sexy marketingnamen niet meteen overtuigen dat een audit per definitie veiligheid betekent.
Er is een verschil tussen een audit en een penetratietest, of pentest, al kun je de termen wat losjes definiëren en zijn er geen harde grenzen. Een pentest kan worden uitgevoerd door een beveiligingsbedrijf om specifiek te zoeken naar kwetsbaarheden in de software. Een pentest is slechts zo goed als de scope ervan. Het bedrijf geeft vooraf aan welke onderdelen wel of niet kunnen worden gecontroleerd en soms vallen belangrijke onderdelen buiten de scope.
Bij een audit worden de code of de bedrijfsprocessen tegen een vooraf vastgestelde standaard afgezet. Er zijn standaarden, zoals Hipaa of PCI, die richtlijnen hebben die door overheden en organisaties worden erkend. De meest voorkomende securityaudit, in ieder geval bij wachtwoordmanagers, is een SOC 1, 2 of 3, van Type I of Type II.
Die afkortingen hebben uiteraard wat uitleg nodig. SOC staat voor System and Organization Controls. Het is een standaard die is opgezet door het American Institute of Certified Public Accountants of Aicpa, waarmee diensten op vijf kenmerken worden beoordeeld: beveiliging, beschikbaarheid, procesintegriteit, geheimhouding en privacy. Er zijn drie SOC-niveaus: 1, 2 en 3. De eerste daarvan zegt niet zoveel; die gaat vooral over de financiën binnen een bedrijf. SOC 2 en 3 zijn voor wachtwoordmanagers interessanter. SOC 2 kan worden getoetst aan die eerdere vijf kenmerken, maar beveiliging is de enige die verplicht móét worden meegenomen in een SOC 2-audit. Het enige verschil tussen een SOC 2- en een SOC 3-audit is de beschikbaarheid ervan; SOC 3-audits zijn meestal openbaar beschikbaar, SOC 2-audits niet. Dat betekent dat een bedrijf er zelf voor kan kiezen of het die openbaart, of alleen de conclusie en het keurmerk ervan publiceert.
Van de honderden of duizenden wachtwoordmanagers die er bestaan, is LastPass waarschijnlijk de bekendste. Het is overzichtelijk, is logisch in gebruik en werkt goed samen met browsers en mobiele telefoons. Vooral het gemak heeft LastPass populair gemaakt, maar de laatste jaren verschijnen er steeds meer verhalen over LastPass die de dienst minder populair maken. Na een commerciële overname in 2015 werd de dienst eerst gratis, maar sinds februari is de gratis versie flink beperkt. Ook werden levenslange abonnementen ooit stopgezet en zijn er in het verleden wat beveiligingsincidenten geweest.
Prijzen
LastPass werkt op basis van een freemiummodel. Er is een gratis versie beschikbaar die beperkingen kent, en een betaalde versie die ze opheft. De belangrijkste beperking ontstond onlangs. Sinds februari 2021 is het met een gratis abonnement alleen nog mogelijk LastPass op desktops en browsers óf op mobiele telefoons te gebruiken. Dat betekent dat je op Android en iOS die lange reeks tekens zelf moet overtikken: niet handig.
Dit zijn de prijzen en beperkingen van LastPass:
Welke apps?
LastPass is alleen te gebruiken in de browser en op telefoons; er is zelfs een Windows Phone-app. Er bestaat geen desktop-app. LastPass verwijst je daarvoor door naar de browserextensies. Er is zelfs een msi-bestand waarmee je de extensie in alle browsers op je systeem installeert.
De browserversie van LastPass is vrij eenvoudig te gebruiken. Als je erop inlogt, kom je direct uit bij een lijst wachtwoorden die je via de balk bovenin meteen kunt opzoeken. Links staat een sidebar met daarin verschillende soorten wachtwoorden, die je in mappen kunt verdelen. Je vindt daar ook accountinstellingen.
Opvallende features in de instellingen zijn dat je regels kunt instellen voor specifieke domeinen. Je kunt instellen dat bepaalde diensten met verschillende URL's hetzelfde wachtwoord gebruiken - denk bijvoorbeeld aan Gmail, YouTube en Google Drive - zodat je niet drie verschillende credentials hoeft aan te maken in LastPass. Voor extra beveiliging is het ook mogelijk om per URL in te geven of die exact moet matchen met de host, maar dat is een waarschijnlijk weinig gebruikte functie.
Premium-gebruikers krijgen ook toegang tot een Security Dashboard. Daar krijgen ze te zien hoe veilig hun gegevens zijn, bijvoorbeeld door te analyseren of er onveilige wachtwoorden tussen zitten (waarover later meer), hoeveel vertrouwde apparaten zijn aangemeld en of tweetrapsverificatie aanstaat.
De browseradd-on werkt vrij eenvoudig. Als je ergens voor het eerst inlogt, vraagt LastPass je via een kleine pop-up of je het wachtwoord wilt opslaan. Je kunt meteen op Toevoegen of op opties drukken, maar bij dat laatste heb je niet veel mogelijkheden. Het is bijvoorbeeld niet mogelijk de naam van een dienst op te slaan of om een entry in een map te plaatsen.
Als je ergens inlogt, kun je direct in het invulveld op het LastPass-icoon klikken om het wachtwoord aan te vullen. Je kunt via de add-on dan ook extra opties oproepen, zoals het automatisch genereren van een wachtwoord. Irritant is wel dat voor gratis gebruikers de helft van de pop-up gereserveerd is voor een advertentie om naar LastPass Premium over te stappen.
Hoe kun je de software beveiligen?
De extensie is standaard niet afgesloten. Iemand met toegang tot de browser kan dus meteen gebruikmaken van LastPass-credentials. Wel is het mogelijk dat in de instellingen van de extensie te wijzigen. Je kunt dan instellen dat je automatisch uitgelogd wordt als de browser wordt afgesloten of na een bepaalde tijd. Ook is het mogelijk de extensie te verbergen in de taakbalk van de browser, maar ook dat is niet de standaard.
De LastPass-app kun je op zowel Android als iOS beveiligen met een pincode en met een vingerafdruk.
Kun je LastPass zelf hosten?
Het is als individu niet mogelijk LastPass zelf te hosten. Je kunt een kluis lokaal gebruiken, maar daarvoor moet je minimaal een keer zijn ingelogd zodat je de kluis kunt cachen in de browser of op je desktop.
Wat voor wachtwoorden kun je aanmaken?
LastPass heeft een wachtwoordgenerator in zowel de add-on als de browser-app. Bij die laatste is hij wel erg goed verstopt op een weinig logische plek in de 'Geavanceerde instellingen' en niet bij het handmatig invoeren van een nieuwe entry. De generator maakt standaard een wachtwoord van 12 tekens aan met vier karakteristieken: uppercase, lowercase, cijfers, en symbolen. Dat is een vrij gemiddeld sterk wachtwoord. De meeste andere wachtwoordmanagers doen iets soortgelijks.
Het wachtwoord kan worden uitgebreid tot maximaal 99 tekens. Je kunt ook instellen of je een wachtwoord wil dat 'makkelijk te lezen' is. Letters zoals de hoofdletter i en de kleine L, en de o en 0, worden dan weggelaten.
Kun je naast wachtwoorden ook extra velden opslaan?
Het is mogelijk extra notities te maken bij een wachtwoord en om die in mappen op te delen. Het is ook mogelijk om naast wachtwoorden de gegevens van creditcards en andere betaalkaarten op te slaan. Daarvoor heeft LastPass een aparte sectie. Die is er ook voor bankrekeningnummers, waarbij je ook bijvoorbeeld een pincode kunt opslaan. Tot slot biedt LastPass de mogelijkheid om adresgegevens op te slaan. Die functie is redelijk rudimentair; het is bijvoorbeeld niet mogelijk om csv's te uploaden.
Kun je wachtwoorden makkelijk delen?
Het is mogelijk om wachtwoorden te delen. Optioneel kan daarbij worden ingesteld dat de gebruiker het wachtwoord ook echt kan zien. Delen kan alleen met andere, bestaande LastPass-gebruikers.
Kun je wachtwoorden im- en exporteren?
LastPass biedt de mogelijkheid om wachtwoorden te importeren vanuit 32 specifieke diensten. Dat kan bijvoorbeeld vanuit grote namen zoals 1Password en KeePass, maar ook vanuit obscure producten als Clipperz. Het is ook mogelijk om simpelweg csv-bestanden te uploaden. Je kunt een bestand exporteren uit LastPass. Dat verschijnt dan niet in een csv-bestand, maar als platte tekst in een browserscherm die je vervolgens zelf kunt importeren bij andere diensten.
Zijn er audits beschikbaar en wat weten we daarvan?
LastPass heeft een aantal audits laten doen op zijn diensten. Of beter gezegd, moederbedrijf LogMeIn heeft dat laten doen op al zijn diensten en daarmee zijn certificeringen ook op LastPass van toepassing. LastPass heeft drie certificeringen gekregen die opvallen: SOC 2 Type II, SOC 3 Type II en C5. Daarvan is er maar één openbaar: SOC 3 Type II, die hier te vinden is. De rapporten voor SOC 2 Type II en C5 zijn niet openbaar 'vanwege non-disclosureregelingen', zegt LastPass in een reactie. Een SOC 3-rapport is vooral een openbare versie van SOC 2 voor het grote publiek.
Die moeilijke termen doen het vast goed in PowerPoint-presentaties, maar wat zeggen ze nou over de veiligheid van LastPass? In ieder geval is relevant dat de tests voor softwarebegrippen relatief oud zijn. SOC 3 volgde na een audit tussen september 2018 en augustus 2019, en geldt voor alle Identity and Access Management Provider-producten van LogMeIn. Veel technische informatie staat er niet in het rapport, laat staan specifiek over LastPass. De audit gaat vooral over zaken die LogMeIn heeft geregeld. Zo voldoen de gebruikte datacenters aan de juiste certificeringen, gebruikt het bedrijf fysieke en digitale toegangscontroles inclusief goede logging, wordt de gebruikte software met netwerksegmentatie gescheiden en krijgen werknemers van het bedrijf een grondige screening. Een controle van de technische systemen van LastPass, zoals de encryptie of een code-audit, ontbreekt echter. Daardoor is moeilijk te zeggen hoe veilig de software exact is.
Welke vormen van tweetrapsverificatie zijn mogelijk?
De gratis versie van LastPass maakt tweetrapsverificatie mogelijk via time-based one-time passwords, of totp. Dat gaat met authenticatieapps, zoals LastPass' eigen Authenticator. Die ondersteunt naast totp ook inloggen met één klik en hotp-codes via sms. LastPass noemt daarnaast Google Authenticator en Microsoft Authenticator als opties, maar je kunt ook andere authenticatieapps zoals Authy gebruiken. LastPass geeft handleidingen voor die apps. Ook ondersteunt de dienst de pushnotificatieapps van Toopher en Duo. Daarnaast is het mogelijk om een grid te tonen waarin verschillende tekens staan die gebruikers kunnen printen om te gebruiken als statische inlogmethode.
Een grid met tekens die je voor tweetrapsverificatie kunt gebruiken
Die opties zijn gratis. Het is ook mogelijk om multifactorauthenticatie via een Yubikey in te stellen. Alléén Yubikeys worden ondersteund; andere securitysleutels, zoals Googles Titan Key of de SoloKey, werken niet met LastPass. Het is ook mogelijk een vingerafdruk of Smart Card in te stellen met een betaald abonnement.
Het is in de instellingen van LastPass mogelijk om in te stellen hoelang je een apparaat vertrouwt voordat je opnieuw tweetrapsverificatie moet inzetten.
Heeft LastPass een bugbountyprogramma?
LastPass heeft inmiddels drie jaar een extern bugbountyprogramma via Bug Crowd. De scope geldt voor zowel de gewone als de enterpriseversie van LastPass, voor website, browserextensies, lokale software voor Windows, met name de UWP en msi-installer, de iOS- en Android-apps, en de Authenticator-apps voor Android en iOS. De aparte app, LastPass MFA voor enterpriseomgevingen, valt buiten de scope.
LastPass deelt beloningen uit in vier tiers: 0-100 dollar, 150-500 dollar, 600-2000 dollar en 2200-5000 dollar. Tier 5-meldingen krijgen geen beloning. In totaal zijn er 352 kwetsbaarheden gerepareerd vanuit het bugbountyprogramma. Daarvan kregen er 291 een beloning.
Hoe worden de wachtwoorden versleuteld?
LastPass voegt eerst een salt toe aan het masterwachtwoord. Die salt is gebaseerd op de gebruikersnaam. Vervolgens wordt het wachtwoord met de salt gehasht met Pbkdf-SHA-256. Dat Password-Based Key Derivation Function 2 gebruikt 100.100 iteraties. Het aantal iteraties is te kiezen in de instellingen.
Pgp-checksum
Er is geen signature beschikbaar voor als je LastPass veilig wilt downloaden.
Is sleutelrotatie mogelijk?
Het is mogelijk sleutelrotatie in te schakelen. Standaard staat dat uit; gebruikers kunnen hun masterwachtwoord vervangen zonder dat de encryptiesleutels worden gewijzigd. Ze kunnen daarmee ook een wachtwoordwijziging terugdraaien.
Kun je zelf de vorm van versleuteling kiezen?
De versleuteling is AES-256 en kan niet worden aangepast. Wel is het mogelijk het aantal wachtwoorditeraties voor Pbkdf2-hashes handmatig te wijzigen.
Controleert LastPass op zwakke of gestolen wachtwoorden?
LastPass ondersteunt sinds 2018breach alerts waarbij gebruikers kunnen zien of hun opgeslagen wachtwoorden zijn gestolen in een datalek. LastPass werkt daarvoor samen met Enzoic, een commercieel bedrijf dat een database van uitgelekte en gestolen wachtwoorden bijhoudt. Voor het checken van de wachtwoorden in de database van Enzoic hasht LastPass alleen credentials voor LastPass zelf en de e-mailadressen in de kluis. Dat gebeurt met SHA-256. De wachtwoorden in de kluis worden niet gehasht. Een gebruiker krijgt dus alleen een waarschuwing als een bepaald e-mailadres in een breach voorkomt, maar er wordt niet gecontroleerd of de wachtwoorden daarbij overeenkomen.
Die passwordcheck geldt voor zowel de credentials van het LastPass-account van een gebruiker als credentials die in de wachtwoordkluis worden opgeslagen. Gebruikers kunnen in LastPass zelf een check doen of een e-mail ontvangen als hun wachtwoord ergens in een breach is opgedoken.
De wachtwoordchecker geldt alleen voor klanten met een Premium-abonnement. Tijdens de introductie was dat nog gratis voor alle gebruikers, maar inmiddels niet meer.
Wat is het verdienmodel van LastPass?
LastPass is zoals hierboven vermeld onderdeel van LogMeIn Inc, een Hongaars bedrijf met een Amerikaans hoofdkwartier dat software-as-a-service aanbiedt. Dat zijn vooral cloudbased communicatietools en 'Identity & Access Management'-tools. Daar past LastPass uiteraard goed in, maar het bedrijf heeft ook apps om apparaten te beheren, en vpn- en back-updiensten.
LastPass' moederbedrijf LogMeIn heeft veel meer securitysoftware dan alleen de wachtwoordmanager.
LogMeIn zegt zelf dat het een freemiummodel aanhoudt voor LastPass. "We komen uit een enterprise software-as-a-service-markt", schrijft het bedrijf. "Ons freemiummodel maakt het mogelijk dat gebruikers upgraden voor extra features en voordelen." Daarnaast zegt LogMeIn dat het advertenties in LastPass zet, maar dat lijkt verouderde informatie te zijn, aangezien er anno 2021 geen reclame te zien is.
LastPass gebruikt dus een model waarbij het gratis gebruikers beperkte functionaliteit aanbiedt, in de hoop dat ze upgraden naar een betaald abonnement. Bij het enterpriseabonnement geldt het freemiummodel niet; daar is geen gratis versie van verkrijgbaar.
Welke data verzamelt LastPass?
LastPass verwijst naar de privacyvoorwaarden van moederbedrijf LogMeIn. Bij het gebruiken van de dienst verzamelt LastPass de sessieduur, het aantal verbindingen, de gebruikte hardware, ip-adressen, locatiegegevens, taalinstellingen, het besturingssysteem, unieke identifiers en 'andere diagnostische data'.
In februari van dit jaar kwam LastPass, samen met een aantal andere wachtwoordmanagers, in het nieuws omdat de Android-app van LastPass verschillende trackers bevatte van Google en externe marketingdiensten. Die worden volgens het bedrijf gebruikt voor het verzamelen van statistische data over hoe het gebruikt wordt en 'voor productprestaties'. LastPass is niet de enige app die die trackers bevat, maar de onderzoekers die naar verschillende wachtwoordmanagers keken, concluderen wel dat LastPass de meeste gebruikt.
Incidenten in het verleden
LastPass is in het verleden om verschillende redenen in het nieuws gekomen. In sommige gevallen, enkele jaren geleden, ging het om beveiligingsincidenten. In 2015 is LastPass gehackt en werden er gegevens van gebruikers buitgemaakt. Het ging niet om kluisdata met wachtwoorden, maar wel om een authenticatiehash en salts voor gebruikers, en om e-mailadressen. Hetzelfde was gebeurd in 2011.
De grootste ophef rond LastPass betreft het veranderde prijsmodel eerder dit jaarDe grootste ophef rondom de manager lijkt vooral te gaan over het veranderen van het verdienmodel. LastPass besloot jaren geleden de dienst gratis te maken voor mobiele apparaten, maar draaide dat in 2021 terug. Tussendoor is in 2017 ook de prijs van de dienst verdubbeld, dus gebruikers zijn inmiddels, terecht, sceptisch over de mate waarin ze in de toekomst nog van hun betaalde abonnement gebruik kunnen maken.
Waar wordt data opgeslagen?
LastPass slaat twee soorten data op: de 'vault data', dus data in de kluis zoals gebruikersnamen en wachtwoorden, en accountdata zoals welk abonnement een gebruiker heeft en welke instellingen hij in zijn profiel opslaat.
LastPass heeft servers in de Verenigde Staten, Europa, Australië en Singapore staan. Vault data wordt standaard opgeslagen in de Verenigde Staten. Het is weliswaar mogelijk om data te verplaatsen naar een Europese server, maar die optie is moeilijk te vinden. Wij vonden die alleen door de klantenservice te benaderen. Ook kunnen alleen Premium-klanten gebruikmaken van de optie. Vault data kan volgens LastPass op slechts één locatie worden opgeslagen. Als klanten data migreren van Europese naar Australische of Singaporese servers, dan gaat dat via een 'migratiepad' dat eerst via de VS loopt.
Accountdata wordt standaard opgeslagen in zowel de VS als Europa. Dat geldt voor iedere klant, ongeacht uit welk land die komt. Het is niet mogelijk data op Australische of Singaporese servers te zetten en het is niet mogelijk data van Europese óf Amerikaanse servers te verwijderen. Metadata over gebruik, zoals inlogsessies, blijft dus altijd op Amerikaanse servers staan.
Een klein uitstapje: LastPass biedt beheerders van enterprisepakketten wel auditrapporten aan van zijn eigen gebruik.
Dashlane
Dashlane is een veelgenoemde en populaire wachtwoordmanager die weliswaar aan de dure kant is, maar een troef heeft: een vpn. Via de Dashlane-app kun je naast je wachtwoorden opslaan ook een virtual private network opzetten, en gezien de prijs van een los vpn lijkt dat een prima deal. Dan heb je wel een vpn dat je niet kunt integreren in Windows of je smartphone en de keus aan bijvoorbeeld servers is beperkt, maar als je op zoek bent naar beide diensten, is de combinatieprijs laag.
Prijzen en pakketten
Dashlane hanteert een freemiummodel dat gebruikers feitelijk dwingt een betaald abonnement te nemen. De gratis versie is maar op één apparaat bruikbaar en dat is echt onvoldoende. Zelfs diensten als LastPass beperken de gratis versie tenminste nog tot een type apparaat, bijvoorbeeld 'alleen desktops', of maken een beperkt aantal apparaten mogelijk. Ondersteuning voor slechts één apparaat, dat is onacceptabel.
Tot een paar weken geleden had Dashlane slechts een enkele Premium-versie, die erg duur was: 3,99 euro per maand of 39,99 euro per jaar. Dat is veel duurder dan alle concurrenten, op 1Password na.
Vpn Dat prijsverschil heeft te maken met de vpn-dienst die je bij Dashlane Premium krijgt. Onlangs is het prijsmodel wel veranderd; er is nu ook een abonnement voor 2,49 euro per maand of 23,99 euro per jaar zonder vpn. Bij dat goedkopere abonnement krijg je geen toegang tot darkwebmonitoring voor onveilige wachtwoorden, waarover later meer. Ook kun je Dashlane met het Essentials-abonnement slechts op twee apparaten gebruiken, nog steeds erg weinig.
Op de werking van het vpn gaan we niet te diep in, want dit artikel gaat over wachtwoordmanagers. Wel kunnen we zeggen dat Dashlane gebruikmaakt van de technologie van Hotspot Shield en je daarbij kunt kiezen uit een handvol servers. Het vpn werkt alleen als de app geïnstalleerd is; het is dus niet mogelijk zelf instellingen in je OS aan te passen om er gebruik van te maken. Ook opvallend: Dashlane heeft het op zijn website nog steeds over 'Hotspot Shield van Anchorfree', maar inmiddels is dat vpn van Pango en dat biedt tegenwoordig een deal aan waarbij je een vpn- én 1Password-abonnement krijgt.
Als je Dashlane alleen als wachtwoordmanager wilt gebruiken, is het een prijzige deal. Als je er óók een vpn bij zoekt, kom je financieel wel prima uit. Voor de meeste vpn's betaal je al snel 40 euro per jaar.
Welke apps?
Dashlane wil héél graag dat je vooral de browseradd-on gebruikt. Het bedrijf kondigde eind januari aan dat het gaat stoppen met de desktop-apps. Dat zou volgens het bedrijf betere kwaliteit, maar ook betere beveiliging opleveren. Door alleen nog de web-app te gebruiken kijken namelijk ook Google en Microsoft mee naar de beveiliging van de app, schrijft het bedrijf. Gebruikers zijn daar overigens niet even blij mee.
Voorlopig is het nog wel mogelijk de desktop-apps te gebruiken. Dat moet ook wel, want sommige functies, zoals het instellen van tweetrapsverificatie, zijn simpelweg niet beschikbaar in de web-app. Het is trouwens moeilijk die apps te vinden. Vanaf de site van Dashlane lukt het niet; het kan alleen als je in je kluis bent ingelogd.
Dat maakt Dashlane vooralsnog niet erg aantrekkelijk voor Linux- en ChromeOS-gebruikers, en gebruikers van alternatieve besturingssystemen. Die missen simpelweg een flink aantal vrij essentiële functies. Voorlopig mist de web-extensie veel functies die wel in de desktop-app te vinden zijn. Die worden in de komende weken toegevoegd, maar op het moment van schrijven gaat het om:
tweetrapsverificatie instellen
wachtwoorden exporteren
gedeelde wachtwoorden inzien
wachtwoordgenerator (alleen de extensies)
indelen in categorieën
Zo werkt Dashlane
Dashlane werkt vrij rechttoe rechtaan; je krijgt een webkluis en wat desktop- of browsersoftware waarin je een nagenoeg onbeperkt aantal wachtwoorden kunt opslaan. Opvallend is de vpn-dienst die in Dashlane is ingebakken, maar ook daar steekt weer het probleem op van de web- versus desktop-applicatie. Het vpn is namelijk alleen te gebruiken in de Windows-app of via de mobiele apps.
De web-app is simpel, met een lange lijst met al je wachtwoorden die je helaas niet kunt indelen in mappen. Je kunt de wachtwoorden in een 'categorie' zetten, maar die vervolgens niet zomaar selecteren. Dat wordt ingewikkeld als je veel wachtwoorden hebt.
De extensie zorgt ervoor dat je op vrijwel alle inlogpagina's naast het inlogveld een Dashlane-icoon ziet waarmee je meteen je informatie automatisch kunt aanvullen. Dashlane is opvallend goed in het automatisch aanvullen, veel beter dan bijvoorbeeld Bitwarden, zelfs bij dubbele inlogpagina's.
Hoe kun je de software beveiligen?
Je kunt de desktop-app zo instellen dat hij zich automatisch na een bepaalde tijd vergrendelt, maar dat is opt-in. Ook is het mogelijk om in te stellen dat je het wachtwoord niet nodig hebt voor bepaalde zaken, zoals het bekijken van wachtwoorden of juist creditcardgegevens die je hebt opgeslagen. Functies om het wachtwoord te veranderen in bijvoorbeeld een pincode, of om Windows Hello of TouchID te gebruiken, zijn er echter niet.
Je kunt de Android- en iOS-apps beveiligen met zowel biometrie als een pincode van maximaal vier cijfers. De app vergrendelt zich automatisch na maximaal vijftien minuten, maar dat kun je uitschakelen of instellen op bijvoorbeeld een halve minuut. Ook is er de optie om automatisch te vergrendelen bij het afsluiten.
De browserextensie is rudimentair en bevat weinig opties. Je kunt de extensie niet makkelijk vergrendelen. Ze vergrendelt zich automatisch als je de browser sluit, maar Dashlane biedt de optie aan om na veertien dagen te vergrendelen. Je kunt de vergrendeltijd niet korter maken, bijvoorbeeld naar een uur, en dat doet een beetje af aan de beveiliging. Ook is het vervelend dat je de extensie alleen kunt ontgrendelen met een wachtwoord en niet met een pincode, zoals dat bij Bitwarden bijvoorbeeld wel kan.
Je kunt Dashlane niet zelf hosten.
Wat voor wachtwoorden kun je aanmaken?
Dashlanes wachtwoordgenerator zit alleen in de add-on voor de browser, maar niet in de web-app. Ook heeft Dashlane een online wachtwoordgenerator, maar die wachtwoorden kun je dan niet direct aan je account koppelen. Als je een account registreert bij een nieuwe dienst, suggereert Dashlane in het invulveld een gegenereerd wachtwoord. Dat kun je bekijken en gebruiken, en je kunt een nieuw wachtwoord genereren, maar je kunt hier niets veranderen aan de wachtwoordeisen. Dat moet vanuit de add-on zelf.
De add-on suggereert automatisch een wachtwoord van 16 tekens met zowel letters als cijfers en symbolen. Je kunt een wachtwoord maken van tussen de 4 en maximaal 40 tekens. Dat laatste is wat aan de lage kant. De meeste wachtwoordmanagers kunnen langere wachtwoorden aanmaken. In de praktijk is een wachtwoord van 99 tekens niet heel veel veiliger dan een van 40 tekens, dus het is zeker meer dan genoeg. Je kunt hier een voorkeur opslaan voor de lengte en het type tekens dat een wachtwoord standaard moet krijgen. Standaard gebruikt Dashlane geen i en L of o en 0, maar je kunt dat handmatig inschakelen.
Kun je naast wachtwoorden ook extra velden opslaan?
Dashlane biedt ondersteuning voor het opslaan van notities, die je vervolgens kunt delen met anderen. De ontvangers moeten wel een Dashlane-account hebben. Notities zijn basaal. Je kunt er letterlijk alleen tekst in opslaan en ze een titel geven, maar opmaken is niet mogelijk.
Naast notities is het mogelijk om persoonsgegevens op te slaan in Dashlane, zoals contactpersonen, adressen en telefoonnummers. Ook is er een optie om bankpassen in de kluis op te slaan. Anders dan bij veel andere wachtwoordmanagers kun je niets aan de namen of de waarden van die invulvelden veranderen.
Kun je wachtwoorden makkelijk delen?
Dashlane maakt het mogelijk om wachtwoorden te delen met andere gebruikers. Die moeten wel een Dashlane-account hebben. Het is mogelijk andere gebruikers limited rechten te geven, waarbij ze alleen het wachtwoord kunnen zien of gebruiken via Dashlane. Met volledige rechten kunnen ze die ook wijzigen, delen en de toegang intrekken. In dat laatste geval kunnen gebruikers ook de toegang intrekken van degene die het wachtwoord oorspronkelijk heeft gedeeld. In de gratis versie is het mogelijk wachtwoorden met maximaal vijf gebruikers te delen. Bij een betaald account kan dat met een onbeperkt aantal mensen.
Kun je wachtwoorden im- en exporteren?
Wachtwoorden kunnen makkelijk in Dashlane worden geïmporteerd door een csv-bestand te uploaden. Andere formaten worden niet ondersteund. Browsermanagers van Chrome, Firefox en Edge, en van LastPass en 1Password exporteren wachtwoorden direct in het juiste formaat. Voor export vanuit andere wachtwoordmanagers moeten Dashlane-gebruikers een specifieke template aanhouden. Het kan dus zijn dat je na het exporteren vanuit een andere manager hier en daar wat moet pielen in een spreadsheet voordat de csv compatibel is met Dashlane. Dashlane kan namen, URL's, gebruikersnamen en wachtwoorden importeren. De categorieën worden niet geïmporteerd. Ook andere gegevens zoals notities worden niet geïmporteerd.
Exporteren kan alleen vanuit de desktop-apps: sorry Linux-gebruikers. Je kunt wachtwoorden exporteren in csv-, json- en xls-formaat. In dat geval zijn de wachtwoorden in plaintext in te zien. Je kunt wachtwoorden ook exporteren naar een Dashlane Secure Archive, waarbij de wachtwoorden versleuteld worden en weer in een andere Dashlane-account kunnen worden geïmporteerd.
Wat weten we over de beveiliging van Dashlane?
Vrijwel alle informatie over Dashlanes beveiliging is te vinden in een whitepaper die het bedrijf in maart van dit jaar voor het laatst heeft bijgewerkt. Daarin wordt beschreven welke verbindingen er worden gelegd tussen apps en servers, maar de informatie voelt wat achterhaald aan, omdat Dashlane wil overstappen naar enkel nog de browserplug-in.
Van de wachtwoordmanagers die we hebben getest, is Dashlane een van de weinige die minimumeisen stellen aan het masterwachtwoord. Dat moet minimaal 8 tekens zijn en een cijfer, een lowercase- en een uppercaseteken bevatten.
Wat beveiliging betreft valt Dashlane op door te pronken met een 'patent op de securityarchitectuur'. In een blogpost schrijft Dashlane dat het in 2012 een patent heeft vastgelegd bij de Amerikaanse autoriteiten voor een 'cloud-based data backup and sync with secure local storage of access keys'. Centraal in het patent staat dat Dashlane het masterwachtwoord nooit opslaat op zijn servers, maar alleen een cipher dat daarvan is afgeleid. Daarbovenop komt het one-time password dat via e-mail wordt verstuurd als een gebruiker voor het eerst op een nieuw apparaat inlogt, waarmee een User Device Key wordt gegenereerd. Die twee aspecten vormen samen het patent van Dashlane.
Zijn er audits beschikbaar en wat weten we daarvan?
Dashlane zegt in een faq dat het 'regelmatig audits laat doen door verschillende auditors'. Op de website zijn die audits echter niet te vinden. Evenmin is bekend wat voor audits het zijn, door wie die zijn uitgevoerd en wanneer. Bij navraag zegt Dashlane daar ook niets over. Kortgezegd: het is niet bekend hoe het zit met de securityaudits van Dashlanes software.
Is de code openbaar?
De code van Dashlane is niet open source. Wel heeft Dashlane als onderdeel van de OpenID Foundation gewerkt aan een api voor Android, waarmee apps de wachtwoorden uit datamanagers kunnen uitlezen. Sommige apps, zoals Bitwarden, moeten daarvoor bijvoorbeeld toegang krijgen tot de Toegankelijkheidsinstellingen en dat voelt een beetje tricky. Dashlane is dus een van de initiatiefnemers van de Open YOLO-api, waarbij YOLO staat voor You Only Login Once. Hoewel de api in 2016 al werd aangekondigd, wordt er niet hard aan gewerkt. De laatste commits zijn alweer van vier jaar geleden en de makers waarschuwen dat de code 'zich nog in de testfase bevindt'.
Welke vormen van tweetrapsverificatie zijn mogelijk?
Zoals we eerder al schreven, is inloggen bij Dashlane standaard al voorzien van tweetrapsverificatie via een hotp-code die via e-mail wordt verzonden. Het is ook mogelijk om tweetrapsverificatie via totp of een fysieke sleutel in te schakelen, maar dat kan alleen via de desktop-app voor Windows en macOS. In de browser kan het niet. Als je 2fa via totp hebt ingesteld, krijg je geen e-mailcode meer. Je kunt instellen dat je 2fa altijd moet gebruiken als je inlogt op een nieuw apparaat of gewoon elke keer als je inlogt.
2fa werkt standaard met totp via een authenticatieapp zoals Authy of Google Authenticator. Je kunt kiezen voor een totp-code van maximaal zes cijfers.
Je bent bij Dashlane verplicht een telefoonnummer op te geven om tweetrapsverificatie in te schakelenOpvallend is dat je verplicht bent een telefoonnummer op te geven nadat je de code hebt gescand. Dat is een groot beveiligingsrisico boven totp. Tweetrapsverificatie via sms is namelijk relatief eenvoudig te onderscheppen met sim-swapping. Sms-codes zijn bovendien hmac-based one-time passwords, en dat betekent dat ze, in tegenstelling tot authenticatieapps, langer dan dertig seconden ingevuld kunnen worden.
Nog opvallender is echter dat je dat telefoonnummer nergens kunt invoeren als back-up. Als je inlogt en je hebt je telefoon met totp-app niet bij de hand, dan kun je niet kiezen om alsnog een code via sms te krijgen. Het is daarnaast niet mogelijk de back-upcodes die je hebt gekregen bij het opzetten van 2fa, in te voeren.
Betalende gebruikers van Dashlane kunnen een fysieke beveiligingssleutel gebruiken om in te loggen. Dat kan met alle U2F-sleutels, bijvoorbeeld Yubikeys, maar ook SoloKeys en Googles beveiligingssleutels.
Heeft Dashlane een bugbountyprogramma?
Dashlane heeft een bugbountyprogramma. Beveiligingsonderzoekers kunnen direct naar Dashlane zelf mailen, maar daaraan zit geen beloning vast. Daarvoor moeten onderzoekers naar HackerOne; dat programma bestaat sinds juni 2015. Via HackerOne deelt Dashlane verschillende beloningen uit voor Low, Medium, High en Critical bugs. Het gaat om bedragen van respectievelijk 200, 500, 1000 en 3000 dollar. Dashlane heeft 205 reports opgelost via HackerOne, met een gemiddelde bounty van tussen de 150 en 200 dollar, voornamelijk kleine bugs dus.
De scope van het bugbountyprogramma omvat de Chrome- en Edge-extensies; Firefox staat er niet tussen. Ook de Windows- en macOS, en Android- en iOS-apps vallen binnen de scope, net als verschillende domeinen waarop de website in de browser te gebruiken is. Er valt relatief veel buiten de scope, zoals aanvallen waarbij al toegang is tot het hostsysteem, verlopen certificaten, manieren waarop een aanvaller kan leren of iemand een Dashlane-account heeft en zelfs cross-site scriptings.
Hoe worden de wachtwoorden versleuteld?
Dashlane maakt een masterwachtwoord aan dat vervolgens wordt versleuteld met een AES-256-sleutel. Over hoe dat masterwachtwoord wordt gegenereerd, staat niet veel in de whitepaper. Naast het masterwachtwoord wordt er een 'Intermediate Key' met 32 willekeurige bytes aangemaakt op basis van het masterwachtwoord, dat wordt gebruikt voor lokale opslag.
Veel crypto in Dashlane werkt op basis van OpenSSL. Dat wordt bijvoorbeeld gebruikt voor data die via de Windows- en macOS-apps lopen, en via de browserplug-in. Die hebben dezelfde encryptie voor het masterwachtwoord, wat goed is omdat de desktop-apps op termijn uitgefaseerd worden. Wachtwoorden die in de app worden verzameld, krijgen eerst een salt van 40 willekeurige bytes via de OpenSSL-functie RAND_byte. Vervolgens wordt een privésleutel gemaakt met AES-256-encryptie. Daarvoor wordt standaard Argon2d gebruikt met drie iteraties en 32MB.
Voor de authenticatie van nieuwe apparaten maakt Dashlane een nieuwe User Device Key. Dat staat dus los van het masterwachtwoord. Die key bestaat uit veertig random bytes, opnieuw via RAND_byte. Https-verbindingen gaan clientside via OpenSSL, maar serverside met een High Assurance CA3-certificaat van DigiCert.
Kun je de software met een pgp-checksum downloaden?
Er zit geen pgp-checksum op de software. Dat is inmiddels ook niet meer zo relevant, aangezien Dashlane toe wil naar alleen gebruik van de browseradd-on.
Kun je zelf de vorm van versleuteling kiezen?
Aan de versleuteling van het masterwachtwoord kun je niets veranderen, aan de hash van opgeslagen wachtwoorden in je kluis wel. Standaard is die ingesteld op Argon2d, maar het is ook mogelijk in de instellingen te wisselen naar Pbkdf2 met 200.000 iteraties en Pbkdf2 met 10.204 iteraties, al raadt Dashlane dat zelf af voor gebruikers die niet op oude apparaten zitten.
Dat kan overigens opnieuw alleen in de desktop-apps van Dashlane en op het moment van schrijven nog niet in de browserplug-in. Jammer voor Linux- en Chromebook-gebruikers dus.
Controleert Dashlane op zwakke of gestolen wachtwoorden?
Dashlane heeft een feature waarmee gestolen credentials kunnen worden opgespoord. Die kan alleen worden gebruikt door Premium-abonnees. Dashlane verzamelt zelf databases met gestolen wachtwoorden. Dat is anders dan bijvoorbeeld LastPass of 1Password, die gebruikmaken van commerciële bedrijven of van de bekende, gratis database Have I Been Pwned. Het Dashlane Breach Center bevat 'miljoenen' wachtwoorden, zegt de dienst. Er ontbreken wel grote databreaches: LinkedIn, Adobe en Myspace staan er bijvoorbeeld niet tussen.
In zijn securitywhitepaper beschrijft Dashlane kort het proces waarmee wachtwoorden worden gecheckt. Van de Argon2d-hashes worden de eerste drie bytes naar een server van Dashlane gestuurd. Alle wachtwoorden in die database waarvan die drie bytes overeenkomen met die van de gebruiker, worden vervolgens gecontroleerd en afgezet tegen de hele hash. Dashlane kan zo aangeven of een wachtwoord gestolen is.
Wat is het verdienmodel van Dashlane?
Dashlane is de enige software die wordt gebouwd door Dashlane Incorporated. Dat is een Amerikaans privaat bedrijf dat het alleen moet hebben van de wachtwoordmanager.
Incidenten in het verleden
Er zijn weinig echt grote schandalen waar Dashlane mee te maken heeft gekregen. Af en toe komt er nieuws of onderzoek naar buiten waarin onderzoekers kwetsbaarheden hebben gevonden in meestal verschillende wachtwoordmanagers tegelijk, maar die zijn nooit voortijdig online gekomen. Wel werd Dashlane in 2020 verwijderd uit de Chrome Store omdat de extensie te veel privacygevoelige informatie van gebruikers zou verzamelen. Later zei Dashlane zelf dat het ging om 'een bot die te snel had gehandeld' en dat het probleem na een gesprek met een Google-medewerker was verholpen.
Waar wordt data opgeslagen?
Het is niet duidelijk in welk land je Dashlane-data wordt opgeslagenDashlane is niet erg transparant over waar data wordt opgeslagen. Het bedrijf wijst er wel keer op keer op dat het masterwachtwoord alleen lokaal wordt opgeslagen, maar in welke landen de datakluizen zijn opgeslagen, is moeilijk te vinden. Het staat bijvoorbeeld niet in een faq over security.
We hebben Dashlane op verschillende manieren proberen te benaderen, maar nooit antwoord gekregen. We weten daarom niet waar de servers van het bedrijf staan.
Is het AVG-compliant?
Dashlanes recentste privacybeleid op het moment van schrijven is van 10 februari 2021. Het heeft een speciale pagina over gebruikersrechten onder de AVG. Daarin wordt verwezen naar het recht op dataportabiliteit en het recht om informatie te laten verwijderen.
De dienst heeft zelfs een aparte pagina waarop gebruikers zogenaamd in één keer een verzoek kunnen doen. In de praktijk bestaat dat gewoon uit acht verschillende mailto:-buttons met alleen een onderwerpregel die naar het algemene supportadres gaat en dat voelt een beetje aan als een wassen neus. Gebruikers kunnen hun AVG-rechten alleen uitoefenen via een e-mail en niet in hun accountinstellingen. Bij een test duurde het zeker twee weken en kostte het twee e-mails heen en weer voordat onze gegevens echt verwijderd waren.
Bitwarden
Bitwarden is een wachtwoordmanager zonder veel poespas en wint mede daarom de laatste tijd aan populariteit, zeker onder tweakers. Er zijn twee dingen waarmee Bitwarden zich onder die doelgroep onderscheidt: het is open source en het is mogelijk om het zelf te hosten.
Prijzen en pakketten
Bitwarden werkt met een freemiummodel en heeft zowel persoonlijke als zakelijke pakketten. Het is een goedkope manager die voor een enkele gebruiker slechts 8,85 euro per jaar kost. Dat is een stuk minder dan LastPass en zeker 1Password. Bij de gratis versie worden je bovendien weinig beperkingen opgelegd. Gratis gebruikers kunnen alle basisfuncties gebruiken, maar met een betaald pakket is het ook mogelijk om bestanden te versturen via Bitwarden, om tweetrapsverificatie met een securitysleutel in te stellen en een totp-app te gebruiken, en om noodtoegang te krijgen.
Bitwarden heeft ook een Family-pakket waaraan maximaal zes gebruikers kunnen deelnemen. Dat kost 40 euro per jaar.
Welke apps?
Bitwarden kan behalve in iOS en Android ook in de browser worden gebruikt, maar er zijn ook apps beschikbaar voor Windows, macOS en, redelijk uniek, Linux. De AppImage is geschikt voor 'de meeste distributies', stelt Bitwarden. Ook zijn er veel extensies beschikbaar. Die zijn er niet alleen voor Chrome, Firefox en Safari, maar ook voor Opera, Brave, Vivaldi en zelfs de Tor-browser.
Uniek aan Bitwarden is dat er zelfs een cli of commandline-interface beschikbaar is. Daarmee kunnen gebruikers de dienst via een terminal bedienen, bijvoorbeeld om wachtwoorden te bewerken of te synchroniseren. De cli kan ook worden ingezet om wachtwoorden te genereren en simpelweg een wachtwoord uit een kluis te halen. Hij kan zowel native worden geïnstalleerd als via npm, mits een gebruiker Node.js heeft geïnstalleerd. De cli is zowel bruikbaar met de cloud- als met de zelfgehoste versie.
Bitwarden is een populaire wachtwoordmanager onder tweakers, onder andere vanwege de lage prijs en het feit dat de broncode openbaar is. Wie een gratis account of een individueel betaald abonnement neemt, ziet een vrij standaard wachtwoordmanager waarbij je gegevens over verschillende apparaten worden gesynchroniseerd. De software werkt zoals je zou verwachten, met een lijst met al je credentials en de mogelijkheid om die in mappen onder te verdelen. Het enige dat je kunt aanmerken op de basisfunctionaliteit van Bitwarden, is dat de browseradd-on meer moeite heeft om sommige inlogpagina's te herkennen, zeker als het om multipage-inlogs gaat.
Voor de wat meer technisch onderlegde gebruikers is Bitwarden vooral interessant vanwege de mogelijkheid om het zelf te hosten via Docker. Dat is wel iets ingewikkelder dan gewoon een bestand kopiëren en plakken zoals je dat doet bij KeePass, maar je hebt het snel genoeg aan de gang.
Hoe kun je de software beveiligen?
Het masterwachtwoord van Bitwarden is in principe de standaardbeveiliging van de software. De desktop-app wordt standaard vergrendeld na een herstart. Dat geldt in ieder geval voor de desktop-apps als de browserextensie. De eerste keer dat je daarop inlogt, wordt gevraagd naar de tweetrapsverificatiecode als je 2fa hebt ingesteld, maar daarna niet meer. Je kunt in de instellingen van zowel de desktopsoftware als de browserextensie instellen hoe vaak je wilt dat de Vault weer wordt vergrendeld. Je kunt verschillende periodes kiezen tot maximaal vier uur, maar ook bij een herstart van de software of van de browser, of na het ontwaken uit de slaapstand van de pc.
De instellingen worden niet met de data tussen verschillende apparaten gesynchroniseerd Het is ook mogelijk om inloggen met het masterwachtwoord te vervangen door een pincode. De apps op iOS en Android zijn te beveiligen met biometrische inlogmethodes, waaronder een vingerafdruk en FaceID.
Een klein irritant punt is dat de instellingen van Bitwarden niet worden gesynchroniseerd. Je moet voor iedere aparte installatie opnieuw instellen dat je daar liever een pincode voor wilt gebruiken. Ook instellingen zoals de automatische time-out worden niet gesynchroniseerd tussen bijvoorbeeld de desktop-app en de wachtwoordmanager, en er is geen optie om dat te doen.
Kun je Bitwarden zelf hosten?
Met de mogelijkheid om het zelf te hosten onderscheidt Bitwarden zich het meest van de meeste wachtwoordmanagers. Voor sommige gebruikers is het fijn dat je Bitwarden zelf kunt hosten, omdat je zo niet afhankelijk bent van een clouddienst, maar uiteraard heeft het handmatig hosten van zulke gevoelige gegevens ook de nodige risico's. Het hosten van Bitwarden gaat via Docker. Gebruikers kunnen een Docker-installatie op hun eigen server draaien en kunnen daar op afstand toegang toe krijgen via het aanpassen van de dns-instellingen. Dat vergt wat moeite voor de gemiddelde gebruiker, meer dan bijvoorbeeld bij KeePass, waarbij je simpelweg een bestand krijgt dat je zelf kunt bewaren waar je wilt.
Je kunt Bitwarden zelf hosten via Docker.
Wat voor wachtwoorden kun je aanmaken?
Wachtwoorden in Bitwardens generator kunnen van 5 tot 128 tekens lang zijn. Daarmee is de maximale wachtwoordlengte een stuk groter dan die van andere diensten, die vaak maar tot 50 tekens gaan. De extra sprong in beveiliging die dat oplevert, is overigens minimaal, maar het valt wel op. De wachtwoordgenerator van Bitwarden doet verder grotendeels hetzelfde als de meeste managers. Het is mogelijk in te stellen of hoofdletters of kleine letters gebruikt worden, of cijfers en speciale tekens. Bitwarden gebruikt automatisch geen gelijke tekens zoals de hoofdletter i of een kleine L, of een o en 0, maar je kunt ervoor kiezen dat de generator die wel meeneemt. Uniek aan Bitwarden is ook dat je het minimale aantal cijfers en het minimale aantal speciale tekens kunt aanpassen. Voor beide geldt een maximum van 9 tekens.
Een andere optie die je niet vaak ziet, is dat Bitwarden wachtwoordzinnen kan maken. In plaats van een lange reeks tekens is het mogelijk een aantal woorden achter elkaar te gebruiken, die makkelijker te onthouden zijn. Het gaat om maximaal twintig woorden, waarbij je zelf kunt bepalen met welk teken die moeten worden gescheiden. Het is mogelijk woorden van hoofdletters en cijfers te voorzien. Bitwarden genereert alleen Engelstalige woorden.
Kun je naast wachtwoorden ook extra velden opslaan?
Naast wachtwoorden kun je in Bitwarden drie verschillende extra zaken opslaan: 'kaarten', 'identiteiten', en beveiligde notities. Bij kaarten gaat het om bankpassen of creditcards, bij identiteiten om persoonsgegevens, zoals je bsn. Die bevatten vooraf ingevulde velden die je niet kunt wijzigen. Wel kun je extra velden toevoegen, die je alsnog een unieke naam en waarde kunt geven. Je kunt ook een beveiligde notitie maken met tekst erin, maar zonder bijlagen.
Sinds begin 2021 heeft Bitwarden een eigen dienst om bestanden beveiligd te versturen. Bitwarden Send maakt het mogelijk om stukken tekst te versturen, maar betalende gebruikers kunnen ook bestanden versturen van maximaal 100MB. Send heeft de mogelijkheid om bestanden na een bepaalde periode automatisch te laten verwijderen of er een wachtwoord aan toe te voegen. De bestanden worden in 'een send' geplaatst en kunnen vervolgens via een link worden gedeeld. Dat kan met iedere gebruiker en niet alleen met andere Bitwarden-gebruikers.
Kun je wachtwoorden makkelijk delen?
Het delen van wachtwoorden is het voornaamste minpunt van Bitwarden. Het is het enige onderdeel waarin de dienst significant minder goed is dan andere wachtwoordmanagers. Individuele gebruikers kunnen hun wachtwoorden met precies één andere gebruiker delen, ook als ze een betaald Premium-abonnement hebben. Dat werkt bovendien omslachtig. Gebruikers kunnen een wachtwoord alleen delen met een 'Organisatie'. Zakelijke gebruikers vallen binnen zo'n organisatie, maar ook gebruikers met een betaald Familie-abonnement kunnen een organisatie aanmaken. Binnen een organisatie moeten gebruikers dan weer een 'Collectie' aanmaken. In zo'n collectie kunnen wachtwoorden worden gedeeld, maar ook notities.
Voor individuele gebruikers is het mogelijk een organisatie te maken, maar daarin kunnen maximaal twee leden worden gezet, inclusief de gebruiker zelf. Bovendien kunnen er in een gratis organisatie maximaal twee collecties worden gedeeld. Daar komt bij dat als een item eenmaal tot een collectie behoort, de originele uploader die permissie niet meer kan intrekken of veranderen. Als je veel wachtwoorden deelt met anderen, zit je bij Bitwarden niet goed.
Kun je wachtwoorden im- en exporteren?
Je kunt wachtwoorden uit Bitwarden exporteren in csv- en in json-formaat. In dat laatste geval is het ook mogelijk een versleutelde export te maken die je later weer in een andere Bitwarden-software kunt importeren. Aan die export heb je trouwens niet altijd evenveel; bij het importeren in verschillende managers, zoals LastPass, herkende de nieuwe dienst verschillende records niet om onbekende reden en werden dus niet alle wachtwoorden geïmporteerd.
Vanuit LastPass of een andere dienst overstappen naar Bitwarden is dan weer wel erg makkelijk. Bitwarden biedt voor het importeren een lange lijst met de meestgebruikte wachtwoordmanagers. Daarbij gaat het importeren dan weer elke keer goed. Het is ook mogelijk om platte tekst te importeren. Importeren lukt alleen in de browserkluis en niet in de desktop-app.
Zijn er audits beschikbaar en wat weten we daarvan?
Eigenlijk gaat het in dit geval niet zozeer om een audit, maar om een pentest. In dat laatste geval krijgen de testers alleen de opdracht om te kijken of ze het systeem kunnen binnenkomen. De manier waarop maakt, tot op beperkte hoogte, niet uit. Bij een securityaudit wordt vooral getoetst aan bepaalde industriestandaarden, maar in dit geval heeft het bedrijf alles geprobeerd wat mogelijk was om bij Bitwarden in te breken.
Bitwarden heeft verschillende auditrapporten online staanIn de audit werd gekeken naar de wachtwoordenkluis, serverinfrastructuur, database en hostinginfrastructuur. Ook werd de website bekeken. Volgens de samenvatting van de audit werden er twee potentieel gevaarlijke kwetsbaarheden gevonden. Zo was er een probleem waarbij de Cross Origin Resources Sharing-configuratie in de server-api kon worden uitgebuit. Met die functie kunnen zelf-gehoste Bitwarden-bestanden de api aanspreken. Bij een phishingaanval kon een aanvaller via de api toegang krijgen tot een kluis. Een tweede kwetsbaarheid zat in de Content Security Policy, die het mogelijk maakte de css van een online kluis aan te passen. Een aanvaller kon daarmee een gebruiker in theorie ergens anders op laten klikken dan de bedoeling was. Beide kwetsbaarheden kregen de classificatie 'severe' mee, maar zijn inmiddels opgelost.
Welke vormen van tweetrapsverificatie zijn mogelijk?
Bitwarden ondersteunt verschillende vormen van tweetrapsverificatie. Totp via een authenticatieapp is natuurlijk een optie, maar het is ook mogelijk om codes via e-mail te krijgen. Dat is uiteraard iets minder veilig. Bitwarden ondersteunt ook beveiliging via Duo, een securityproduct waaronder weer verschillende beveiligingsopties vallen. Tweetrapsverificatie via sms is native geen optie bij Bitwarden, al kan dat wel via Duo. Daar moet je wel voor betalen. Tot slot is het mogelijk een account te beveiligen met een fysieke beveiligingssleutel, maar ook dat is een Premium-feature. Bitwarden heeft een menu om direct een Yubikey in te stellen, maar toont even verderop dat alle Fido2 U2F-sleutels worden ondersteund. Ook met je SoloKey zit je bij Bitwarden dus goed, mits je betaalt.
Bitwarden heeft een ingebouwde totp-authenticator
Bitwarden heeft ook een eigen authenticator ingebouwd in de mobiele apps. Die is alleen beschikbaar voor betalende gebruikers. Het is daarmee mogelijk de Bitwarden-app als vervanger van bijvoorbeeld Google Authenticator te gebruiken. Daarmee leg je het risico wel bij één app, dus pas daarmee op!
Heeft Bitwarden een bugbountyprogramma?
Omdat Bitwarden open source is, kun je het bugbountyprogramma als overbodig beschouwen. Er is een programma op HackerOne, maar whitehathackers krijgen niet betaald voor vondsten. Ook is er weinig activiteit; gemiddeld komt er iedere tien dagen een melding binnen en de meeste daarvan vallen buiten de scope.
Bitwarden verwijst ook liever naar de specifieke issuetrackers op GitHub voor het melden van bugs. De meeste beveiligingsproblemen zijn daar wel onzichtbaar gemaakt en ook achteraf niet te tracken. Op GitHub staat hetzelfde bugbountybeleid als op HackerOne. Er zijn daar weinig opvallende zaken die buiten de scope vallen, al kun je beargumenteren dat social engineering van werknemers daar in zou moeten vallen als daarmee persoonlijke data kan worden gestolen.
Hoe worden de wachtwoorden versleuteld?
Bitwarden versleutelt de data in de kluis met AES-256-encryptie waarop Cipher Block Chaining wordt toegepast. De encryptiesleutel die daarvan wordt afgeleid, heeft twee salts. De eerste salt is het e-mailadres van de gebruiker. Vervolgens wordt SHA-256 met Pbkdf2 gebruikt om een hash te maken. Dat gebeurt met 100.000 iteraties, maar gebruikers kunnen dat handmatig verhogen. Na het client side-hashen wordt server side nog een salt toegevoegd met een willekeurige waarde en daarna nogmaals met 100.000 iteraties gehasht.
Bitwarden maakt er ook een punt van dat het zelf geen cryptografie schrijft, maar dat het alleen bestaande cryptografische libraries gebruikt. Dat zijn voor de browser specifiek Web Crypto van de W3C, de library van Node.js, en de tls-implementatie Forge. Voor de mobiele apps gaat het om Apples CommonCrypto, Oracles javax.crypto, en Bouncy Castle voor Android.
Kun je de software met een pgp-checksum downloaden?
In de installer van Bitwarden zit een checksum waarmee je de integriteit van de download kunt controleren.
Kun je zelf de vorm van versleuteling kiezen?
Van het masterwachtwoord kun je bij Bitwarden alleen het aantal iteraties van de key derivation function of kdf veranderen. Standaard is dat Pbkdf2 met 100.000 iteraties. Hoewel Bitwarden met een dropdownmenu lijkt te suggereren dat je Pbkdf2 kunt wijzigen, is dat niet het geval. Het gaat nadrukkelijk alléén om het aantal iteraties. Er lijkt geen minimum of maximum te zitten aan het aantal iteraties dat je kunt instellen.
Controleert Bitwarden op zwakke of gestolen wachtwoorden?
Bitwarden heeft een ingebouwde wachtwoordenchecker die het 'Vault Health' noemt. Dat maakt gebruik van de api van Have I Been Pwned van Troy Hunt. Daarmee zijn de resultaten wat beperkt. Vault Health geeft een paar verschillende conclusies; het controleert of wachtwoorden zijn gestolen, hergebruikt of zwak zijn. Bij dat eerste wordt alleen gekeken of een wachtwoord in een datalek voorkomt, maar niet bij welk datalek. Hetzelfde geldt voor hergebruik. Have I Been Pwned slaat namelijk niet op bij welke dienst een uitgelekt wachtwoord hoort. De sterktecheck controleert gewoon hoelang een wachtwoord is en hoeveel speciale tekens het bevat.
Bitwarden controleert ook of een e-mailadres in een datalek voorkomt, maar de gebruiker moet zijn e-mailadres zelf invullen en kan daardoor net zo goed direct naar Have I Been Pwned gaan.
Ook controleren andere wachtwoordmanagers op websites die in de kluis zijn opgeslagen en die geen https-verbinding hebben, én op websites waar tweetrapsverificatie kan worden ingeschakeld. Bitwarden is de enige manager in deze test die dat niet doet.
Wat is het verdienmodel van Bitwarden?
Bitwarden is het enige product van Bitwarden Incorporated. Dat is een Amerikaans bedrijf dat de wachtwoordmanager als enig product heeft. De makers hebben in het verleden gezegd dat het bedrijf leeft van het freemium-model, zonder dat het funding hoeft te vragen.
Welke data verzamelt Bitwarden?
Bitwarden maakt onderscheid tussen twee soorten data. Kluisdata zijn de versleutelde gegevens in de kluis, waar het bedrijf zelf niet bij kan. 'Administratieve data' zijn gebruikersgegevens. Die worden uiteraard alleen verzameld als je Bitwarden als clouddienst gebruikt en niet als je het lokaal host. De administratieve data bestaat onder andere uit gebruikersgegevens van de app, maar Bitwarden maakt niet erg duidelijk waar het precies om gaat. Die data wordt verzameld omdat het bedrijf 'een gerechtvaardigd belang' heeft en wordt onder andere gebruikt om de dienst te verbeteren.
Niet essentieel, maar wel prettig om te noemen is dat bij een eerste bezoek op de website geen cookies worden verzameld. Je moet met een opt-in toegang geven, zelfs voor analytische cookies.
Incidenten in het verleden
Bitwarden heeft geen noemenswaardige beveiligingsincidenten gehad. De meest nieuwswaardige gebeurtenis was juist toen LastPass naar een freemiummodel overstapte en Bitwarden er veel nieuwe gebruikers bij kreeg.
Waar wordt data opgeslagen?
Bitwarden is kort over de servers die het gebruikt. Het bedrijf zegt dat de gebruikersdata wordt opgeslagen op Amerikaanse servers die op Azure draaien. Het lijkt ook te gaan om Europese gebruikers. Bitwarden zegt ook letterlijk dat als gebruikers dat niet willen, ze de dienst zelf kunnen hosten.
Is het AVG-compliant?
Bitwarden zegt in het privacybeleid dat het aan de AVG voldoet, maar verwijst voor privacyonderdelen voornamelijk naar de uitwisseling van gegevens via Privacy Shield en de standaardclausules waarmee data van Europese gebruikers mag worden uitgewisseld met Amerika.
1Password
1Password is een veelgenoemde en populaire wachtwoordmanager die er vooral gelikt uitziet. De dienst is relatief prijzig en heeft als enige clouddienst geen freemiummodel. Hoewel 1Password wat beveiliging betreft een goede wachtwoordmanager is, ben je in je opties nogal beperkt, zowel wat praktische elementen zoals het delen van wachtwoorden betreft als binnen je beveiliging. Je kunt deze wachtwoordmanager het best gebruiken als je niet te veel poespas wilt en iets wilt gebruiken dat gewoon werkt, of als je erg houdt van de esthetiek van Apple.
Update, dinsdag 29-06: Volgens gebruikerF.West98 zijn enkele opties, waaronder die van de desktop-app hier niet genoemd. Dit artikel wordt eventueel aangevuld na verificatie hiervan.
Prijzen en pakketten
1Password is de enige wachtwoordmanager zonder echt freemiummodel. Je kunt de dienst offline gebruiken door de app te downloaden, maar dan kun je je wachtwoorden niet synchroniseren. Er is ook geen manier om de app zelf te hosten, dus op een paar specifieke use cases na kun je 1Password alleen gebruiken als je betaalt. De manager kost 2,99 euro per maand of 36 euro per jaar. Er is ook geen optie om korting te krijgen bij een abonnement dat langer loopt.
Die 2,99 euro is de prijs voor individuele gebruikers. Het is daarnaast mogelijk om een Familie-abonnement te nemen voor vijf gezinsleden, die daar 5,99 euro per maand of 72,- euro per jaar voor betalen. Je kunt daar extra leden aan toevoegen voor een euro per lid per maand.
1Password heeft dus een rechttoe rechtaan prijsbeleid. Dat is makkelijk, maar veel keus biedt het niet. Dat is niet voor iedereen geschikt.
Welke apps?
1Password heeft een uitgebreid pakket aan software, waaronder sinds april van dit jaar een Linux-client. Die bevindt zich nog wel in bèta. Hij kan worden geïnstalleerd op Debian of Ubuntu, CentOS, Fedora of Red Hat, of via een AppImage op andere distro's. Op de desktop zijn verder apps beschikbaar voor niet alleen Windows en macOS, maar ook voor Chrome OS, en net als Bitwarden kan 1Password via de command line interface worden gebruikt. Uiteraard zijn er ook mobiele apps voor Android en iOS.
De browserextensie werkt behalve op Chrome en Firefox ook op Edge en Brave. Gebruikers van macOS kunnen de app daarvoor downloaden om 1Password in Safari te gebruiken.
1Password is ook een van de enige wachtwoordmanagers waarvan je actief bèta's kunt proberen voor Windows of de browser. Daarnaast biedt 1Password een oude versie aan voor oude versies van Windows en macOS, zodat je ook op een XP-pc nog je wachtwoorden kunt beheren, met alle risico's van dien natuurlijk.
Je kunt in 1Password verschillende kluizen aanmaken voor verschillende doelen. Dat maakt het onderscheiden van verschillende soorten wachtwoorden makkelijk. Je kunt ook een totaaloverzicht maken van al je wachtwoorden die in verschillende kluizen staan.
De software van 1Password ziet er wat UI betreft strak uit, met grote witruimtes en sjieke iconen, zeker in de webkluis. Tegelijk maakt dat de UI ook wat onoverzichtelijk. Knoppen om een nieuwe entry toe te voegen of er een te wijzigen, zijn zo klein dat ze al snel wegvallen in de witruimtes.
Wat vooral tegenvalt in 1Password, is het gebrek aan opties, vooral op het gebied van beveiliging. Je kunt bij 1Password bijvoorbeeld geen domeinregels instellen en als het gaat om automatische vergrendeling, zijn je opties beperkt tot het kiezen na hoeveel minuten de browserextensie wordt vergrendeld. Bij andere wachtwoordmanagers kun je bepalen wat er gebeurt als je je computer vergrendelt of je browser afsluit, en of je een pincode, biometrie of juist het complete wachtwoord nodig hebt. Bij de desktop-apps van 1Password is het aantal opties niet veel uitgebreider; je kunt hooguit instellen of wachtwoorden na negentig seconden wel of niet van je klembord moeten verdwijnen. Dat is een schoolvoorbeeld van de beperking; in 1Password kun je niet eens instellen hoe lang die periode moet zijn. Een ander voorbeeld zijn de 'geavanceerde instellingen' in de desktop-app. Daar staat alleen maar de optie om diagnostische data door te sturen.
1Password heeft wel een zogenaamde Travel Mode. Je kunt die inschakelen als je gaat reizen en je bang bent dat iemand onderweg je harde schijf kopieert of doorleest. Je kunt van verschillende kluizen instellen of ze wel of niet veilig zijn om mee te reizen. Kluizen die als onveilig zijn aangemerkt, worden dan verwijderd van het apparaat waarop je werkt. Die kunnen dan dus niet worden ingezien. Travel Mode is onderdeel van ieder betaald abonnement.
Hoe kun je de software beveiligen?
Net als veel andere functies ben je in 1Password relatief beperkt in je opties. Je kunt de 1Password-apps alleen beveiligen met een wachtwoord, maar niet met een pincode. Wel is het sinds deze maand mogelijk de apps biometrisch te ontgrendelen. Gebruikers kunnen Windows Hello gebruiken of TouchID op macOS. Het is ook mogelijk de browserextensie met biometrie te ontgrendelen, maar daarvoor moeten gebruikers wel verplicht ook de desktop-app hebben.
Kun je 1Password zelf hosten?
Je kunt 1Password hosten op lokale netwerken, maar andere diensten zoals KeePass zijn daar makkelijker voorEr is een dienst, Wlan Server, waarmee je 1Password op lokale netwerken kunt gebruiken. Dat kan alleen met macOS en niet met Windows of de recente Linux-client. Met Wlan Server kun je de desktopsoftware normaal gebruiken, en tussen een Mac en een Android- of iOS-smartphone, maar niet tussen verschillende telefoons tegelijk en ook niet tussen verschillende computers. Bovendien zijn de wachtwoorden dan niet meer online bereikbaar. Als je dat wil, dan raden we eerder Bitwarden of KeePass aan.
Wat voor wachtwoorden kun je aanmaken?
Standaard maakt 1Password nieuwe wachtwoorden aan van twintig letters en cijfers. Symbolen kun je er optioneel aan toevoegen. De maximale lengte van een wachtwoord is 64 tekens. Dat is korter dan sommige andere wachtwoordmanagers, maar nog steeds meer dan lang genoeg. In tegenstelling tot veel andere managers heeft 1Password geen mogelijkheid om onderscheid te maken tussen een kleine L of hoofdletter i, of tussen o en 0. Al die tekens komen regelmatig in wachtwoorden voor, al zijn ze door 1Passwords font wel makkelijk te onderscheiden. Het is ook mogelijk om wachtwoordzinnen te maken van minimaal drie en maximaal tien woorden, maar dat zijn wel alleen Engelse woorden en ook nog eens opvallend ingewikkelde, zoals 'muezzin' of 'jalousie'.
Kun je naast wachtwoorden ook extra velden opslaan?
Wie een nieuwe entry aanmaakt in een kluis, zou bijna denken dat wachtwoorden maar een beperkt onderdeel zijn van 1Password. Je kunt er veel verschillende soorten dingen in opslaan, van zowel de veelvoorkomende creditcardnotitie als een medisch dossier, softwarelicenties, routerinloggegevens en, om onverklaarbare redenen, een vislicentie. Dat is in de praktijk minder ingewikkeld dan het lijkt. Je kunt in een entry zelf aangeven welke velden je er wilt opslaan. Je kunt velden toevoegen en dan vervolgens bepalen in welk formaat dat is: platte tekst, alfanumeriek, een datum of een adres. De categorieën die 1Password zelf voorstelt, zijn een combinatie van veelgebruikte voorbeelden daarvan.
Achter de schermen is het dus niet zo spannend als je zou denken, maar het maakt 1Password wel heel divers en uitgebreid en dat is een goede zaak. Het geeft je bijvoorbeeld de vrijheid om zelf een privésleutel toe te voegen aan een entry zonder dat je al die info in losse notities hoeft te zetten. Uiteindelijk is het eindresultaat hetzelfde, maar het voelt allemaal net wat subtieler aan.
Kun je wachtwoorden makkelijk delen?
Je kunt als individuele gebruiker met 1Password geen wachtwoorden delen met anderen en dat is best een minpunt. Gebruikers met een zakelijk of een Familie-abonnement kunnen onderling wel wachtwoorden met elkaar delen. Die kunnen ook eigen kluizen maken en alle wachtwoorden daarin met elkaar delen.
Kun je wachtwoorden im- en exporteren?
1Password heeft een eigen bestandsformaat als het gaat om het exporteren van entries in de kluis. Met een .1pif-formaat maak je een bestand aan dat je direct in een andere 1Password-kluis kunt importeren. Het is ook mogelijk iets in platte tekst en in csv-formaat op te slaan. Dat moet wel via het pop-updownloadscherm en dat moet je net even weten. Opvallend is dat er geen manier is om een versleutelde back-up te maken. Veel andere wachtwoordmanagers zoals Bitwarden bieden wel een eigen formaat aan waarbij de data wel degelijk versleuteld is, maar bij 1Password is dat niet mogelijk. Ook enigszins irritant is dat je een complete kluis niet in één keer vanuit het menu kunt exporteren. Je moet alle entries in een kluis dan aanvinken, en hoewel dat gewoon kan met ctrl+A is dat niet heel logisch. Handig om te weten is dat je data ook nog tot zes maanden nadat je je betaalde account hebt opgezegd, kunt exporteren.
Wat weten we over de beveiliging van 1Password?
1Password is erg open over de beveiliging van de app. Zo is er een uitbreide whitepaper waarin het bedrijf zijn beveiligingspraktijken beschrijft. Ook heeft het bedrijf verschillende pentests en audits uitgevoerd, en de transparantie daarover doet goed. Het is ook positief dat 1Password geen beperkingen oplegt aan de beveiliging.
Een opvallend ding waarmee 1Password zich onderscheidt, is het gebruik van een secret key die je nodig hebt om in te loggen op een nieuw apparaat. Die lokaal gegenereerde sleutel van zo'n 40 tekens bestaat naast je masterwachtwoord en die twee dingen samen worden door 1Password 'two-secret key derivation' of 2skd genoemd. Daarin is 1Password uniek.
Bij het inloggen maakt 1Password een 'noodkit' aan, een pdf met daarin het e-mailadres dat je gebruikt en een plek om je wachtwoord op te schrijven. Daarin staat ook de Secret Key. De Secret Key kun je ook achterhalen door te kijken in je account op een ander apparaat dan waarmee je ingelogd bent, maar als je de key niet opschrijft, is er geen manier om erachter te komen wat die sleutel ook alweer was en dat kan heel vervelend zijn. In de praktijk hoef je de Secret Key ook niet altijd in te vullen op een nieuw apparaat, want op telefoons kan dat gewoon met een QR-code.
Zijn er audits beschikbaar en wat weten we daarvan?
1Password heeft verrassend veel securityaudits en is daar ook nog eens vrij open over. De eerste audit vond plaats in oktober 2015, vlak voordat 1Password met een publieke bèta begon. De eerste rapporten uit die periode zijn niet openbaar, alleen de korte conclusies staan op de website. Latere versies zijn dat wel. De securityaudits van 1Password zijn:
De recentste audit is uitgevoerd door Cure53, dat ook audits doet voor Bitwarden en chat-apps als Threema. Het volledige rapport staat online. In de audit kwamen tien verschillende kwetsbaarheden naar boven, met als ernstigste een mogelijkheid voor uitgenodigde gasten om data uit een persoonlijke kluis te achterhalen. Daarvoor is wel toegang tot een kluis nodig en enige medewerking van het slachtoffer. Alle andere kwetsbaarheden hebben een Lage of Medium veiligheidsscore.
1Password heeft ook een SOC 2 Type II-certificering. Dat betekent dat er in een onafhankelijke audit is gekeken naar de processen die een bedrijf voert én dat die ook effectief blijken te zijn. Een SOC 2-certificering is doorgaans niet openbaar, maar zakelijke klanten kunnen het rapport opvragen.
Welke vormen van tweetrapsverificatie zijn mogelijk?
Veel wachtwoordmanagers gebruiken tweetrapsverificatie in het freemiummodel, bijvoorbeeld door ondersteuning voor beveiligingssleutels als extraatje aan te bieden. 1Password heeft echter geen freemiummodel en dat betekent in dit geval dat alle vormen van tweetrapsverificatie gewoon worden ondersteund. Dat zijn ook beveiligingssleutels. 1Password accepteert die allemaal, niet alleen de populaire Yubikeys, maar ook bijvoorbeeld de SoloKey.
Er zitten wel een paar grote kanttekeningen aan de tweetrapsverificatie. Zo kun je niet alléén een beveiligingssleutel gebruiken, je moet er altijd een totp-app naast hebben. Dat betekent dat een aanvaller altijd gewoon op Cancel kan klikken om alsnog een inbraakpoging via het iets onveiligere totp te doen. We beschreven dat probleem vorig jaar al tijdens een vergelijking van fysieke securitykeys.
Je kunt tweetrapsverificatie uitschakelen vanuit een ingelogd accountEen tweede potentiële kwetsbaarheid is dat je tweetrapsverificatie vanuit ieder ingelogd account kunt uitschakelen. Je hoeft daarvoor alleen het wachtwoord op te geven. Dat is volgens 1Password handig als je je totp-authenticator kwijtraakt, maar het levert wel een risico op.
Heeft 1Password een bugbountyprogramma?
1Password heeft een bugbountyprogramma via BugCrowd, een privaat platform. In het programma is bijna alles in scope, behalve de website van moederbedrijf Agilebits zelf. De bugbounties van 1Password lopen uiteen van 300 tot 30.000 dollar. Het bedrijf heeft 91 kwetsbaarheden gerepareerd via het platform, met een gemiddelde uitbetaling van 962,50 dollar. Het merendeel van de kwetsbaarheden wordt binnen drie dagen gevalideerd.
Het bugbountyprogramma is geen moetje. Agilebits roept hackers bewust om te proberen de dienst te kraken en waarschuwt dat dat lastig is. Om meer whitehats te stimuleren, heeft het bedrijf zelfs een Capture The Flag-wedstrijd uitgeschreven. Hackers die een haiku kunnen vinden in een verborgen kluis, kunnen daarmee 100.000 dollar winnen. Daarnaast heeft het bedrijf een eigen tool op GitHub gezet waarmee het voor beveiligingsonderzoekers makkelijker is om onderzoek te doen naar de dienst. Met die tool, Burp, kunnen onderzoekers obfuscated blobs in de code omzeilen.
Hoe worden de wachtwoorden versleuteld?
Wachtwoorden in kluizen worden versleuteld met AES-256-encryptie. Het masterwachtwoord voor de kluis krijgt eerst een 32-byte-salt op basis van het e-mailadres van de gebruiker en dat wordt vervolgens gehasht met Pbkdf2-hmac-SHA-256 met 100.000 iteraties.
Kun je zelf de vorm van versleuteling kiezen?
Anders dan bij de meeste andere wachtwoordmanagers heb je bij 1Password weinig controle over je beveiliging. De hashes die met 100.000 iteraties worden aangemaakt, zijn waar je het mee moet doen. Je kunt dat, in tegenstelling tot bij vrijwel alle andere wachtwoordmanagers, niet zomaar veranderen.
Kun je de software met een pgp-checksum downloaden?
De download van de desktopsoftware is niet te verifiëren met een pgp-checksum, maar de cli-versie wel. De commandlinedownload kan zowel op Linux als op Windows en macOS worden geverifieerd.
Is sleutelrotatie mogelijk?
Sleutelrotatie is een handige feature mocht je een hack vermoeden, maar ook op dit gebied is 1Password beperkt; je kunt je sleutels niet roteren. 1Password schrijft er weinig officieels over, maar eind 2018 noemden medewerkers dat nog 'securitytheater'.
Controleert 1Password op zwakke of gestolen wachtwoorden?
Net als veel andere wachtwoordmanagers heeft 1Password een functie om te checken op datalekken: Watchtower. De functie maakt gebruik van de api van Have I Been Pwned om te kijken of een e-mailadres of wachtwoord in een eerder datalek terecht is gekomen. De HIBP-integratie maakt de functie wat rudimentair; 1Password controleert bijvoorbeeld niet op gestolen credentials, maar alleen of een wachtwoord voorkomt in de grote database van Troy Hunt. Dat is anders dan sommige diensten, waarbij je die combinatie wel te zien krijgt. WatchTower is als aparte functie in 1Password beschikbaar, maar werkt ook proactief. Zo kun je notificaties krijgen als een datalek met een uitgelekt wachtwoord wordt toegevoegd aan Have I Been Pwned.
Daarnaast biedt WatchTower een overzicht van verschillende wachtwoordbeveiligingsinstellingen. Je kunt dan zien dan of een wachtwoord zwak is of wanneer wachtwoorden zijn hergebruikt. Ook toont WatchTower aan op welke websites je tweetrapsverificatie kunt instellen en welke sites een onbeveiligde verbinding gebruiken.
Wat is het verdienmodel van 1Password?
1Password is onderdeel van het Canadese bedrijf AgileBits Inc. Er is niet veel over dat bedrijf te vertellen, want het enige dat het doet, is 1Password maken. AgileBits is een zelfstandig, niet-beursgenoteerd bedrijf en 1Password is de enige manier waarop het geld verdient. Dat verklaart ook het betaalmodel. Wel haalde 1Password in 2019 voor het eerst privékapitaal op voor uitbreiding. Dat gebeurde door een samenwerking met Accel, een investeringsmaatschappij die ook onder andere investeerde in StackOverflow, beveiligingsbedrijf Lookout en andere techstart-ups. Het bedrijf zegt niet wat de specifieke plannen zijn met 1Password, maar alleen dat er als het aan AgileBits ligt, weinig verandert in de bedrijfsvoering.
Welke data verzamelt 1Password?
De apps van 1Password verzamelen standaard zowel 'beveiligde data' als 'servicedata', waarvan die laatste gegevens door medewerkers van AgileBits kunnen worden ingezien. Het gaat om het IP-adres en het e-mailadres van de gebruiker, en betaalgegevens bij een betaald account, maar ook om het aantal kluizen, hoeveel items er in die kluis staan en de naam van een bedrijf of gezin als gebruikers zo'n account hebben. Die data is niet optioneel.
Je kunt instellen dat 1Password diagnostische gegevens verzamelt, maar dat is altijd opt-in, ook tijdens het troubleshooten door de helpdesk. Om welke informatie het precies gaat, is niet duidelijk. Dat wordt niet beschreven in de privacyverklaring.
Waar wordt data opgeslagen?
Het verplaatsen van data van Amerikaanse naar Europese servers is ingewikkeldDe serverlocatie is bij 1Password weliswaar flexibel, maar het proces om data te verplaatsen is vreemd geregeld. 1Password slaat data in drie regio's op: de Verenigde Staten, Canada en de Europese Unie. De locatie die daadwerkelijk wordt gebruikt, wordt gekozen op basis van de regio waarin je een account aanmaakt. Als je een 'Europees account' wilt aanmaken, moet je naar 1password.eu gaan. Wie, veel logischer, gewoon naar 1password.com gaat, maakt een Amerikaans account aan en laat zijn data in Amerika bewaren.
1Password kent geen geolocatie en geeft je deze informatie nergens tijdens het aanmeldproces. Sterker nog, het is niet eens mogelijk om van de .com-site naar de .eu-versie te gaan. Zelfs het veranderen van de taal in Duits of Frans verandert daar niets aan. Als klap op de vuurpijl is het niet zomaar mogelijk om data te verplaatsen naar een andere server. Als je dat wilt, raadt 1Password je aan een nieuw account aan te maken en je kluizen vervolgens naar het nieuwe account te kopiëren.
Is het AVG-compliant?
1Password zegt om onduidelijke redenen dat het valt onder de Duitse privacytoezichthouder voor het voldoen aan de AVG. Het bedrijf heeft een recent en duidelijk privacybeleid, en heeft een Canadees hoofdkantoor.
KeePass
Op het gebied van wachtwoordmanagers is Keepass de vreemdste eend in de bijt. In tegenstelling tot de andere software die we hier behandelen, is Keepass per definitie geen clouddienst met een freemiummodel eraan. Het is losstaande software, waarvan het de bedoeling is dat je het zelf host als je het op verschillende apparaten wilt gebruiken. Keepass heeft veel uitbreidingsmogelijkheden via plug-ins, maar het is wel typische tweakerssoftware: veel opties en veel zelf knutselen, maar weinig ondersteuning en een wat archaïsche gebruikerservaring. Niet gek dat Keepass veel genoemd wordt in reacties en op het forum als het over de voorkeuren gaat, en reden genoeg om ernaar te kijken.
KeePass is er in veel verschillende varianten. Er zijn bijvoorbeeld ook KeePassX en KeePassXC, en er zijn tientallen forks gemaakt voor Android, iOS, macOS en Linux. Voor deze vergelijking kijken we alleen naar KeePass zelf, waarvan veel onderdelen in de forks zijn overgenomen. Dat maakt deze bespreking ook een klein beetje anders dan die van de andere wachtwoordmanagers. Veel zaken, zoals de prijs of de hosting, zijn immers irrelevant bij KeePass. Desondanks is er genoeg over de software te vertellen.
Prijzen en pakketten
KeePass is eenvoudigweg gratis. Het is een opensourcetool die wordt gebouwd met behulp van donaties en het gebruik ervan kost niets. Bovendien is de code openbaar en kan vrijwel iedereen er gewoon een fork van maken.
Welke apps?
De 'officiële' variant van KeePass is op het moment van schrijven KeePass 2.48. Die is er in principe alleen voor Windows, zowel in een exe- als een msi-bestand dat heel retro vanaf SourceForge moet worden gedownload. Een macOS- en Linux-versie ontbreken, maar de makers hebben wel instructies voor als je de software via Mono of WINE wilt draaien. Er is ook een oudere variant, 1.13, maar die bespreken we hier niet. Afhankelijk van je use case kun je ook een van de vele ports en forks downloaden voor alternatieve besturingssystemen, mocht je daar behoefte aan hebben.
Het irritantste aan het praktische gebruik van KeePass is dat er geen goede browser-add-ons zijn, terwijl je uiteindelijk toch het leeuwendeel van je wachtwoorden in de browser nodig hebt.
Software
KeePass voelt ondanks zijn vele mogelijkheid wat ouderwets aan. Het ziet eruit als een rudimentaire tool met weinig opsmuk, maar daar staat tegenover dat je al snel diep in menu's met veel opties zit. In tegenstelling tot de meeste andere wachtwoordmanagers maak je bij KeePass geen account aan, maar alleen een lokale kluis. Die wordt in een kdbx-bestand lokaal op je pc opgeslagen. Kdbx is een bestandsformaat dat specifiek door en voor KeePass is gemaakt. Dat bestand wordt met een masterwachtwoord versleuteld en bevat vervolgens alle wachtwoorden die je kunt opslaan.
KeePass barst verder van de opties, vooral op het gebied van beveiliging. Zo kun je alleen al bij het aanmaken van een database een Windows-account koppelen en een keyfile maken. Daarover later meer.
Zo werkt KeePass
Je moet KeePass simpelweg als exe-bestand downloaden. Vervolgens moet je een KeePass-databasebestand aanmaken, de versleutelde kluis waarin je wachtwoorden staan. Die sla je ergens op je harde schijf op en vanaf dat moment kun je met het bestand doen wat je wilt. Je maakt dus, in tegenstelling tot bij vrijwel andere wachtwoordmanagers, geen account aan bij een clouddienst. Dat betekent ook dat je zelf verantwoordelijk bent voor de beveiliging.
Hoe kun je de software beveiligen?
KeePass heeft een vrij prominente knop waarmee je de software in één keer kunt vergrendelen. Dat werkt ook met een sneltoets. Ook kun je in de instellingen instellen hoe vaak en wanneer je je wachtwoord opnieuw moet invoeren.
Het is op verschillende manieren mogelijk om het bestand te openen. De meest voor de hand liggende manier is om een wachtwoord te nemen, maar het kan ook met alleen een keyfile. Dat is een willekeurig bestand dat je dan gebruikt, bijvoorbeeld een tekstbestand met wat willekeurige woorden erin. Dat is wat KeePass standaard voor je doet als je het handmatig doet.
Er is de optie om KeePass te ontgrendelen met dezelfde gegevens als je Windows-account op je desktop. Dat is veiliger, maar ook risicovoller. Als je de toegang tot een Windows-account kwijtraakt, ben je de sjaak. Als je alleen een lokaal account gebruikt, moet je bovendien opletten dat je harde schijf niet stukgaat, want ook dan kun je niet meer inloggen. Wel kun je, zolang KeePass aan je Windows-account is gekoppeld, je wachtwoord gewoon veranderen.
Kun je KeePass zelf hosten?
Uiteraard, dit is juist dé essentie van KeePass. Omdat je KeePass-kluis een simpel bestand is, kun je daarmee doen wat je wilt. Dat kan zo simpel en moeilijk als je wilt: gewoon naar jezelf mailen of het juist in een Docker-container op een nas zetten. Doe jezelf wel een lol en mail je wachtwoorden niet écht naar jezelf. Zelf KeePass hosten via een clouddienst als Dropbox is een logische optie, maar als je ook dat iets te ingewikkeld vindt, zijn er diensten als KeeWeb die dat voor je uit handen nemen. Al dan niet betaald, maar voor wat hoort wat.
Wat voor wachtwoorden kun je aanmaken?
Ook op het gebied van wachtwoorden heb je bij KeePass veel opties. Standaard maakt de software een wachtwoord aan van 20 tekens, of 116bit zoals het er mooi bij vertelt. De wachtwoorden kunnen maximaal 30.000 tekens bevatten, mocht je de noodzaak voelen om de integrale tekst van Oorlog en Vrede als wachtwoord te nemen.
Dat is met kleine letters, hoofdletters en cijfers, maar de opties zijn eindeloos. Opties zoals het gebruik van tekens als - of ( ) zijn allemaal los van elkaar aan te vinken, net als verschillende soorten brackets zoals > { ( of [. Je kunt zelfs je eigen tekens invoeren om mee te nemen, voor de zeldzame keer dat je cyrillische tekens wil gebruiken. Je moet dan wel hopen dat websites dat ondersteunen en onder de streep voelen sommige van die opties misschien wat overbodig aan. Je hebt zelfs de keus je eigen permutatiealgoritme in te stellen en bepaalde tekens uit te sluiten of juist verplicht in een wachtwoord te laten zetten.
Wat dan weer wel ontbreekt, zijn wachtwoordzinnen. Die kun je via een plug-in wel laten aanmaken, maar niet standaard. Dat voelt aan als een gemiste kans.
KeePass maakt het als een van de weinige managers ook mogelijk om een verlooptijd aan een wachtwoord te koppelen.
Kun je naast wachtwoorden ook extra velden opslaan?
In principe is KeePass vooral bedoeld voor wachtwoorden. Je kunt weliswaar via de geavanceerde instellingen custom velden aanmaken en zelfs bijlages toevoegen, maar dat voelt een beetje hacky aan en werkt niet handig. Met add-ons is dit wel makkelijker.
Kun je wachtwoorden makkelijk delen?
KeePass is van nature een wachtwoordmanager die gedeeld moet worden. Desondanks zit er geen goede manier in om wachtwoorden met andere gebruikers te delen zonder terug te vallen op archaïsche methoden, zoals het databasebestand naar anderen mailen en dan vervolgens het wachtwoord of de keyfile op een of andere manier veilig bij hen krijgen. Als je wachtwoorden delen met je gezinsleden belangrijk vindt, zijn er betere diensten om dat mee te doen dan KeePass.
Kun je wachtwoorden im- en exporteren?
Het exporteren van wachtwoorden kan in een csv-formaat dat KeePass goed kan lezen, maar ook in verschillende soorten alternatieve KeePass-bestanden. Het gaat bijvoorbeeld om het oudere kdb-formaat, het tegenwoordig meestgebruikte kdbx-formaat, maar ook het verouderde kdbx-formaat dat in iets eerdere functies wordt gebruikt. Je krijgt daardoor niet het idee dat KeePass erg schaalbaar werkt. Bestanden kun je ook exporteren in XML-formaat en naar een HTML-bestand.
Als je wachtwoorden wilt importeren, biedt KeePass een lange lijst aan met opties om vanuit grote diensten zoals Dashlane, Enpass of Bitwarden te importeren in dat formaat, en zelfs om iets te importeren vanuit de wachtwoordmanagers in Mozilla en Chrome.
Zijn er audits beschikbaar en wat weten we daarvan?
Als je populair bent, dan mag je dat best laten weten. KeePass heeft een complete pagina met awards en goede reviews online staan en dat zegt natuurlijk niet alles, maar wel iets. Vooral de aanbevelingen van overheidsinstellingen zoals het Duitse en Franse cybersecuritycentrum vallen op.
KeePass heeft veel aanbevelingen, maar weinig auditsOp het gebied van officiële audits valt KeePass dan weer een beetje tegen. Op de site wordt welgeteld één audit gelinkt die is uitgevoerd door het FOSSA-project van de Europese Commissie. Daarvan is het rapport openbaar, maar de audit stamt alweer uit oktober 2016. De audit keek dan ook naar een 1.x-versie van de software en er is geen audit voor de modernere 2.x-versies.
In plaats van de audits leunt KeePass liever op zijn status als opensourcesoftware. Omdat de software volledig openbaar is, kan iedereen potentiële beveiligingsproblemen aandragen. In theorie werkt dat natuurlijk goed, maar wat de praktijk doet, is minder bekend. KeePass is 'meer dan 60 miljoen keer gedownload en het is waarschijnlijk dat een paar gebruikers ontwikkelaars zijn die ook de broncode hebben bekeken', zegt de site. Dat moeten we dan maar geloven van KeePass. Er zijn ook geen officiële repo's waar je pullrequests kunt bekijken rondom securityonderwerpen.
Welke vormen van tweetrapsverificatie zijn mogelijk?
KeePass gebruikt een vrij unieke methode van tweetrapsverificatie, die helemaal in stijl is met hoe de software eruitziet. In plaats van een fancy authenticator-app te gebruiken maak je bij KeePass naast je wachtwoord een key file aan, een sleutelpaar waarvan de privésleutel als apart XML-bestand wordt opgeslagen. Daarmee heb je, zoals KeePass ook zelf beschrijft, naast het masterwachtwoord dat je 'weet', een bestand dat je 'hebt'. Dat is een goede beveiligingspraktijk, zoals we eerder beschreven in een achtergrondartikel over de toekomst van het wachtwoord. Je kunt je alleen afvragen of een gewone authenticator-app niet makkelijker zou zijn dan weer een los bestand. Je moet dat immers ook weer ergens veilig - en afzonderlijk! - opslaan en beheren.
Gelukkig bestaat er ook een mogelijkheid om totp-codes te gebruiken als tweetrapsverificatiemethode. Er is een officiële plug-in genaamd OtpKeyProv beschikbaar, maar op GitHub zijn ook andere te vinden.
Tweetrapsverificatie via U2F-sleutels is niet mogelijk, maar KeePass heeft wel instructies online staan over hoe je een Yubikey een masterwachtwoord kunt laten genereren, zodat je een sleutel als gewone authenticatiemethode kunt inzetten.
Heeft KeePass een bugbountyprogramma?
Vooral vanwege het opensourcekarakter heeft KeePass geen openbaar bugbountyprogramma. In het verleden is er een programma geweest via een Europees project, maar dat is inmiddels stopgezet.
Kun je de software met een pgp-checksum downloaden?
Op de site wordt bij KeePass standaard niet verwezen naar een checksum, maar als je weet waar je moet zoeken, is er een pagina met hashes die je kunt gebruiken om de integriteit van de download te verifiëren. Daar staat ook een publieke sleutel voor een pgp-checksum.
Kun je zelf de vorm van versleuteling kiezen?
Je kunt niet alleen je eigen versleuteling kiezen, maar die ook uitbreiden via plug-insJe kunt bij KeePass zelf kiezen welke key-derivatie je kiest, niet alleen voor wachtwoorden in je kluis, maar zelfs voor je masterwachtwoord. Standaard gebeurt dat met AES-KDF met 60.000 iteraties, maar je kunt ook kiezen voor Argon2d en Argon2id met maximaal 4.294.967.295 iteraties; soms gaat dergelijke security misschien een tikkeltje te ver.
Je kunt in KeePass ook je eigen versleutelingsalgoritme kiezen, al zijn je keuzes beperkt tot het standaard AES-256 en ChaCha20-256bit. Er zijn wel plug-ins beschikbaar om verschillende andere algoritmes te gebruiken, zoals GOST, Salsa20, Twofish en Serpent, en plug-ins zoals MultiCipher om verschillende encryptiealgoritmes tegelijk te gebruiken.
Controleert KeePass op zwakke of gestolen wachtwoorden?
KeePass vertelt je standaard wat de 'kwaliteit' van een wachtwoord is, al is dat in de praktijk het aantal bits van een wachtwoord en dat is een vage kwalificatie. Het aantal tekens in een wachtwoord telt mee, maar ook hoe ingewikkeld het is. De bits worden met een kleurcodering weergegeven: rood is weinig, groen is veel.
De manager checkt ook op dubbele wachtwoorden en hoeveel verschillende wachtwoorden op elkaar lijken. Standaard checkt KeePass niet of wachtwoorden zijn gestolen in eerdere datalekken, maar, verrassing: dat kun je met plug-ins wel regelen. De enige officiële plug-ins daarvoor zijn voor een check in de Have I Been Pwned-database.
Wat is het verdienmodel van KeePass?
KeePass bestaat al sinds 2003 en is gemaakt door Dominik Reichl, die tot op de dag van vandaag een van de hoofdontwikkelaars is van de software. KeePass draait alleen op donaties, maar met miljoenen dagelijkse gebruikers en een opensourcegemeenschap van duizenden is er geen ingewikkeld verdienmodel nodig.
Welke data verzamelt KeePass?
KeePass verzamelt geen data en als je het lokaal draait, is er geen verbinding die data waar dan ook naartoe kan wegsluizen.
Waar wordt data opgeslagen?
Data wordt opgelagen op je computer of waar je het zelf wilt. Als je het op een onbeveiligde open AWS S3-bucket wilt zetten, is er niemand die je tegenhoudt.
Het nadeel van bovenstaande is dat ze alleen in de eigen browser werken. Dacht ik, maar volgens @Tomas Hochstenbach werkt de Micosoft versie ook als een extensie in Chrome.
Volgens mij werkt Google alleen onder Android. De Firefox en Microsoft wachtwoordmanagers werken zowel in IOS als in Android.
Het gebruik is wel erg eenvoudig.
[Reactie gewijzigd door NIMIC op 22 juli 2024 13:35]
Die heb ik bewust niet meegenomen. Als je van geen wachtwoordmanager naar wel een wachtwoordmanager gaat dan zijn die ingebouwde managers prima - de winst is dan net zo groot als overstappen naar een van de vijf in dit artikel. Maar als je echt waarde hecht aan het verschil tussen de verschillende managers wil je er vooral een met opties, dan wil je een afgewogen keuze kunnen maken in hoe je die beveiligt, hoeveel hash-iteraties je kunt doen etc, en dat kan grotendeels niet bij de browsermanagers. Ze doen goed wat ze moeten doen, maar omdat ze zo weinig functionaliteit hebben leek het me meer waard managers te vergelijken die je wel goed kunt vergelijken en die wel veel opties hebben.
Ik denk dat je verkeerd inschat dat de meesten wel weten hoe die werken en wat die doen. Vrijwel iedereen gebruikt nu Chrome of Keychain. Het is een bijna nutteloze vergelijking als je de browsers en keychain niet meeneemt.
Tussen Chrome en keychain zit wel een verschil. keychain werkt als aparte third party app en is meer een certificaat manager dan paswoord manager en verschaft toegang toegang op basis van certificaten niet op paswoorden.
Browser/Chrome paswoord opslaan is juist heel onverstandig. Omdat het ook je mailbox is en daar gaan phishers , hackers en hijackers. Of simple oeps ik laat me browser ergens open staan. Waneer iemand toegang heeft tot je Gmail heeft gelijk ook al je wachtwoorden en Chrome. Log met iemand anders Gmail in op eigen browser en je hebt als zijn wachtwoord op je pc staan.
[Reactie gewijzigd door xbeam op 22 juli 2024 13:35]
Veel tweakers raden een passwordmanager ook aan bij niet tweakers. In dat geval zou ik gewoon 1 van bovenstaande aanraden.
Ik ben overgens ook overgestapt van lastpass naar een van bovenstaande om de simpele reden dat ze gewoon werken, gratis zijn en ik misschien onterecht er iets meer vertrouwen in heb.
Ik zelf gebruik de password manager van ESET die bij de premium licentie van het internet security pakket erbij komt.
Die zie ik ook niet meegenomen.
Aangezien dat Eset door de consumentenbond als beste beveiligingspakket er uit komt is het wellicht handig deze ook te beoordelen... of niet?
Als je zo redeneert zou je tientallen managers kunnen meenemen in dit overzicht.
Ik ken ESETs manager niet maar ik zou me voor een wachtwoordmanager niet laten vendor-lock-in'en. Misschien dat je makkelijk kunt overstappen maar ik vind dat idee persoonlijk niet fijn.
Daar heb je een goed punt.
Natuurlijk is het onmogelijk om alles te reviewen.
Maar ik kies er bewust voor.
Vooral omdat ik met Keepass een keer alles ben verloren.
De Eset passwordmanager is zowel een losse app als een intergratie in browsers en of ik nu op mijn pc op telefoon zit...alles zit achter een app en is overal te benaderen als je maar een verbinding hebt.
Ik ken ESETs manager niet maar ik zou me voor een wachtwoordmanager niet laten vendor-lock-in'en.
Eens, daarom is het fijn dat het in de wereld van de wachtwoordmanagers doorgaans niet zo werkt. Over het algemeen kun je van oudsher importeren en exporteren naar CSV. Tegenwoordig ook andere formaten zoals JSON. Dan heb je dus relatief weinig (lees: niet) last van vendor lock-in. Je moet natuurlijk wel migreren en dat kost tijd/geld/moeite. Eigenlijk is het dusdanig normaal dat het niet hebben van deze functie een nadeel is ipv dat het wel hebben een voordeel is. Hoe Firefox en Keychain en Chrome en ESET dat doen weet ik overigens niet maar dat zie ik ook niet als wachtwoordmanagers. Want wachtwoorden manage je niet alleen voor de browser. Daar kun je ook dingen als je CC of een licentie in zetten. Het is meer een secret manager. Denk hierbij ook aan de vraag/discussie of je TOTP in de wachtwoordmanager hebt of wilt hebben of niet.
Ik ben recent van lastpass (premium) overgestapt naar Microsoft Authenticator. Ik denk oprecht dat je het tekort doet. Syncronisatie across devices is prima geregeld, het kan 2fa regelen, maakt backups in de cloud etc.
Het gebruik is erg eenvoudig, maar ook erg onveilig. Alles is relatief natuurlijk, maar als iemand toegang heeft tot je systeem hebben ze toegang tot al je wachtwoorden. Ik heb zelf liever dat er nog een stap tussen zit waarbij je wachtwoorden achter nog een slot zitten.
En je krijgt een lijst te zien met alle URL's, gebruikersnamen en wachtwoorden, van zowel Chrome/Edge en Firefox. Dat gezegd hebbende gebruik ik het wel voor een paar dingen, wetende dat het niet veilig is.
Het nadeel van bovenstaande is dat ze alleen in de eigen browser werken. Dacht ik, maar volgens @Tomas Hochstenbach werkt de Micosoft versie ook als een extensie in Chrome.
Dan nog zit je je te beperken tot paswoorden die je ergens op een website wil ingeven.
Ik vind de term 'wachtwoordmanager' dan ook nogal beperkend. Ik gebruik zelf Keepass en daar zitten gewoon al mijn 'secrets' in. Dat gaat bvb ook over pin-codes van apps, betaalkaarten, parental controls, etc... Maar bvb ook license codes van software stop ik in mijn Keepass. Eigenlijk zo een beetje alles dat ik niet zomaar clear-text in een bestandje wil stoppen.
Als je dan ook nog eens Keepass op IOS en Android hebt, heb je ook codes of wachtwoorden voor al je apps bij de hand. En dat is verdraaid handig, zeker met apps die niet zo vaak gebruikt worden en vaak opnieuw authenticatie vereisen omdat je de app al lang niet meer gebruikt hebt.
CT magazine (mag ik dat noemen hier?) heeft wat maanden geleden een uitvoerige review gedaan van wachtwoord managers qua privacy.
De enige die er boven uitkwam was KeePass die nul data deelt met derde partijen tijdens gebruik ervan.
KeePass was de enige van alle wachtwoord managers die geen Facebook framework, Google framework of ander soort gelijk framework had. Alle andere wachtwoord managers die ook hier in het artikel genoemd worden delen data met derden, van gebruik van de interface tot de keyboard aanslagen tot waar de muis zich bevind bij gebruik van de software.
CT magazine ving de netwerk traffic af op het moment dat de diverse wachtwoord managers aanstonden en zo kon men inzage krijgen met wat er allemaal verbinding werd gemaakt tijdens het gebruik van de diverse programma's.
Je zou juist een "veilig" gevoel moeten hebben bij het gebruik van een wachtwoord manager. Maar helaas, alle commerciële betaalde wachtwoord managers zijn vaak wel heel veilig maar qua privacy totaal niet.
Jammer dat dit aspect niet aanbod kwam in het artikel
Eigenlijk vind ik het best irritant om op zoveel plekken te lezen dat een applicatie "ouderwets" of "retro" is als die niet een interface heeft zoals Teams en in een of andere betaalde third-party clouddienst hangt.
Ten eerste: een "nieuwe" interface zoals die van Teams is ontiegelijk irritant omdat al je controls verspreid zitten over het hele venster, en zich soms 2, 3, of zelfs 4 "..." menu's in één venster bevinden. Bij een "ouderwetse" applicatie zoals Keepass weet je altijd waar je moet zijn: in het menu.
Ten tweede: als je met je wachtwoordmanager in een third-party cloud gaat hangen, dan ben je afhankelijk van de grillen van de eigenaar van die cloud. Wie was het pasgeleden (LastPass of 1Pass?) die opeens besloot dat je hun programma niet meer kon gebruiken op meer dan 2 devices tegelijk of zoiets, als je niet een premium account had?
Abusrd om 5-10 euro per maand te betalen om mijn wachtwoorden te beheren, als er gewoon een "ouderwetse" applicatie voor is. Ik gooi het kdbx-bestand in een cloud-drive zoals OneDrive of whatever, zet het Key-bestand op het apparaat waar een Keepass client op staat, en gaan met die banaan. Het enige dat ik even moet onthouden is dat ik niet 2 wijzigingen in de database aanmaak op twee verschillende apparaten tegelijk. Als dat het enige is, dan heb ik dat wel over voor de onafhankelijkheid.
Ten tweede: als je met je wachtwoordmanager in een third-party cloud gaat hangen, dan ben je afhankelijk van de grillen van de eigenaar van die cloud. Wie was het pasgeleden (LastPass of 1Pass?) die opeens besloot dat je hun programma niet meer kon gebruiken op meer dan 2 devices tegelijk of zoiets, als je niet een premium account had?
Dit was lastpass. Voor de mensen die alleen maar gratis willen, is er een beperking tot 1 apparaat.
1 *type* apparaat. Je kan het nog altijd op je desktop thuis, op je werk en je laptop draaien zonder te betalen. Maar niet op je laptop en je telefoon bvb.
Ja dat kan, iedereen heeft zo zijn voorkeuren. Betalen voor een dienst is niks verkeerds aan, uiteindelijk moeten de gratis diensten toch ook iets om geld te verdienen. Advertenties, data delen met derden. Is maar net waar jezelf voorkeur voor hebt.
Dat kun je met Keepass ook doen.
Trouwens best een goede en handige optie; zet je wachtwoordbestand op dropbox (of concurrent) en je kan er overal bij.
Vooralsnog is er de grote uitdaging om "het gemiddelde publiek" aan de wachtwoord managers te krijgen. Realistisch gezien zijn de standaard browser of OS oplossingen dan het meest eenvoudige en voor de hand liggende. Een Keepass is qua gebruiksgemak toch echt wel even een paar stappen terug van iets als Lastpass met integraties en cross-platform synchronisatie. Zelfs een minder goede wachtwoord manager is beter dan geen wachtwoord manager.
Ik ben over gegaan van Keepass naar Bitwarden. Niet zelf hosten, want die beveiliging ga ik nooit zo goed krijgen als dat ze het zelf hebben.
Ik zie het probleem echt niet met Keepass. Ik heb met de anderen geen ervaring, behalve dat ik steeds lees dat Keepass moeilijker is. Hoe dan? Ik gebruk KeepassXC en ~XD op m'n mobiel. Één bestand om te syncen via een cloud en klaar. Er is een browserplugin. Er is een android app. Wat doen die andere apps zoveel beter?
Je hebt verschillende programma's nodig, je noemt er zelf al 3 (Keepass XC, ~XD en een browser plugin). Je moet zelf een cloud dienst hebben waar je je bestand neerzet, en hier moet je ook al je apps naartoe wijzen. Dit zijn voor een leek al best wat settings en stappen. Gebruik je een van de genoemde tools kun je alles op dezelfde plek downloaden en installeren, en het werkt allemaal met hetzelfde account. Je logged in en alles is geregeld. Dus dat is echt even die stap terug nemen van power user naar een oma die net weet hoe ze moet internet bankieren icm een notitie boek met stappen.
Tja, zo bezien... Die drie zijn het ook wel overigens en volgens mij komt bitwarden ook met een browserplugin (en een mobiele app). Dus wat overblijft is een bestand in een cloud opslaan en die op je mobiel openen. Echt ingewikkeld is het nog niet.
Dan heb je dus enkel Firefox en kan je niet overschakelen naar een andere browser. Ook werkt die niet voor wachtwoorden van apps. Heel beperkte dienst dus die amper te vergelijken is met de veelzijdige wachtwoordmanagers die hier besproken worden
Je kan met de aparte Lockwise app ook wachtwoorden voor andere apps of browsers opslaan.
Bij een andere browser moet je dan natuurlijk wel goed opletten dat je niet per ongeluk ook ja antwoord op de vraag dan die browser om het account nog een keer op te slaan.
Ik heb ervaring met deze app op een Android toestel en dat werkt prima.
Unlocken van lockwise bv met je vingerafdruk. Ook vraagt lockwise om het opslaan van accounts in andere apps. Je kan het weer makkelijk beheren vanuit Firefox. https://www.mozilla.org/en-US/firefox/lockwise/
Klopt dat het beperkt is. Maar ik heb geen behoefte aaneen andere browser (anders dan voor zaken waar ik toch geen wachtwoord nodig heb) en werk al zo min mogelijk met apps op de mobiel.
Maar ook voor onvermijdelijke apps is het prima met de wachtwoord manager in Firefox. Meestal werkt het al met een pincode of biometrisch en een wachtwoord is dan eigenlijk alleen nodig om een app te (her)installeren.
Ik bedoelde maar dat dat waarschijnlijk de reden is die optie mist in dit artikel.
Voor veel mensen zal het inderdaad een goed, gratis, alternatief zijn. Voor mij niet want ik wissel regelmatig van browser. En zijn steeds websites die niet goed werken in een bepaalde en dan verander ik.
Ja inderdaad, verschillende gebruikers en verschillende wensen...
En ik kom inderdaad een enkele keer een site tegen die geoptimaliseerd is voor Chrome. Er zijn een paar sites waarvan ik ook het wachtwoord heb opgeslagen in Edge en als ik die wijzig pas ik het meteen handmatig aan in FF.
Eigenlijk vind ik het best irritant om op zoveel plekken te lezen dat een applicatie "ouderwets" of "retro" is als die niet een interface heeft zoals Teams en in een of andere betaalde third-party clouddienst hangt.
Het blijft in de ogen van velen ontzettend ouderwetse interface, vooral in 2021. Van de gebruikte fonts, tot hoe de windows eruit zien, het oogt allemaal erg 2006.
Het hoeft er nu ook niet zoals Teams uit te zien nee, daar ben ik ook geen fan van, maar vergelijk het eens met bijvoorbeeld de UI van Bitwarden (fotolinkje). Daar zitten ook niet bijzonder veel toeters en bellen aan, maar het is gewoon simpel en ziet er goed uit, zelfs met optionele darkmode.
en in een of andere betaalde third-party clouddienst hangt.
Als je wilt host je het bovendien zelf, tegen betaling of gratis via Bitwarden_rs (heeft nu een nieuwe naam)
[Reactie gewijzigd door saren op 22 juli 2024 13:35]
Abusrd om 5-10 euro per maand te betalen om mijn wachtwoorden te beheren
Zeker, Bitwarden zelf hosten kost niets, en Bitwarden plus 2FA (via YubiKey) kost 10 USD per jaar. Niks 5-10 EUR per maand.
Ten tweede: als je met je wachtwoordmanager in een third-party cloud gaat hangen, dan ben je afhankelijk van de grillen van de eigenaar van die cloud. Wie was het pasgeleden (LastPass of 1Pass?) die opeens besloot dat je hun programma niet meer kon gebruiken op meer dan 2 devices tegelijk of zoiets, als je niet een premium account had?
Dat was LastPass, en het was 'soorten devices' waarbij je moest kiezen tussen smartphone of PC. Voor mij is een computer een computer (een smartphone is dus ook een computer maar dan met een touchscreen).
1Password heeft de prijs van hun product verhoogd van 'pay once' naar een abonnement. En daar heb ik geen zin in. Ik wil graag betalen voor software die ik dan X jaar kan gebruiken. Dan weet ik waar ik aan toe ben. En vervolgens wil ik die versie ook mogen blijven gebruiken. O.a. Sublime Text maakt gebruik van dat model. Het argument van 1Password was tja klein bedrijf, ons enige product, blabla. Sublime heeft ook niet veel producten, is ook hun core business, en ook Australisch bedrijf.
[Reactie gewijzigd door Jerie op 22 juli 2024 13:35]
Het enige dat ik even moet onthouden is dat ik niet 2 wijzigingen in de database aanmaak op twee verschillende apparaten tegelijk. Als dat het enige is, dan heb ik dat wel over voor de onafhankelijkheid.
Hoef je niet te onthouden, kan je gerust doen. Gewoon de 2 bestanden even synchroniseren met File > Synchronize > Synchronize with file, en je hebt weer 1 masterfile met alle wijzigingen erin.
Je kunt bij alle genoemde wachtwoordmanagers prima je wachtwoorden exporteren en naadloos overstappen op een andere aanbieder. Daarmee schieten deze bedrijven in de eigen voet als ze opeens abonnementen gaan verhogen of het serviceniveau verlagen.
Dat heet dataportabiliteit en dat is een wettelijke recht met dank aan de AVG.
Geldt overigens alleen voor verwerkingen op grond van toestemming en op grond van een overeenkomst.
Dat je opeens moet betalen, of betalen überhaupt vind ik niet eens zo erg.
Wat als ze opeens de stekker eruit trekken?
Nee, ik beheer lekker mijn bestanden lokaal en pleur de kdbx zelf wel op verschillende online diensten zodat ik ook niet afhankelijk bent van één online aanbieder.
Klopt, en 'jammer' dat Keepass gepakt is en niet, het ondertussen veel populairdere, KeepassXC.
KeepassXC is namelijk veel meer multiplatform en ondersteund ook (zonder extra plugins) Yubikey.
Ik heb dit toevallig van het weekend werkend gekregen en zelfs mijn S.O. zover gekregen dat ze het gebruikt.
Gebruik zelf op Windows en Linux KeepassXC en voor Android Keepass2Android. S.O. heeft Apple dus die gebruikt Keepassium wat native integreerd in iOS en net zo gebruiksvriendelijk werkt als de Apple Keychain (of hoe die ook heet).
Alle bovenstaande clients ondersteunen 2FA via Yubikey via USB (Windows/Linux) of NFC (Android/iOS).
Als je je ,kdbx database op een centrale plek zet zoals STACK, OneDrive, Dropbox, Gdrive, Apple cloud of whatever (wat gezien dat de database encrypted is veilig is) heb je (bijna) hetzelfde gebruiksgemak als de cloud oplossingen maar wel veel meer controle over je data.
Voor mij werkt het in elk geval super.
[Reactie gewijzigd door GG85 op 22 juli 2024 13:35]
Daarnaast; als je Keepass zakelijk gebruikt, dan is het denk ik in geval van disaster recovery slimmer om een file te hebben dan een mfa partij, waarbij je afhankelijk bent van je verbinding naar buiten toe. Stel je krijgt ransomware binnen en je kunt niet meer bij je wachtwoordmanager omdat je mfa partij eruit ligt, dan kun je geen kant op.
Met een eventueel gebackupte file op een beveiligd extern medium heb je toch "offline" mfa.
In keepass kun je voor zakelijk gebruik geen folders/vaults of wachtwoorden delen. Je deelt de hele bak met wachtwoorden met het bijbehorende masterpassword van die file. Dat zijn voor mij feature blokkers. 1Password, Lastpass, Dashlane (beperkt) hebben wel de mogelijkheid om wachtwoord directories of (vaults) te delen met anderen.
Volgens mij is dit niet correct, het lijkt erop dat je hiervoor keeshare kunt gebruiken. Ik heb er zelf alleen geen ervaring mee, dus weet niet 100% zeker of dit exact de door jou omschreven usecase covert. https://keepassxc.org/doc...ase_sharing_with_keeshare
[Reactie gewijzigd door aaahaaap op 22 juli 2024 13:35]
die van je clouddienst hoeft dan weer (niet per sé) niet super lang- of veilig te zijn want die cloud is vermodelijk gewoon een gratis versie van dropbox, onedrive, box, of wat dan ook.. persoonlijk zou ik die dan alleen gebruiken:
A: als ik een bestand met mensen wil delen (gemak)
en B om dit soort configuraties te verspreiden, de encryptie op de documenten zelf is dan je beveiliging en dus niet zozeer het password van de share-dienst.
zelf gebruik ik nu nog lastpass omdat dit noodtoegang tot mijn kluis goed heeft geregeld, maar ik ben steeds vaker geneigd om na te denken over BitWarden. want die is aanzienlijk goedkoper, en werkt veelal net zo goed, het enige nadeel is dus die nood-toegang daar baal ik wel van.
zelfhosten via bijv bitwardenRS zie ik niet als geldige optie, mijn indernetverbinding is daar gewoon niet goed genoeg voor, en als je een VM huurt dan worden de kosten al snel hoger dan gewoon via de dienst zelf betalen.
Met Gdrive heb ik bijvoorbeeld wel problemen onder Linux, omdat daar de sync niet makkelijk voor te regelen is. Het is bijna de enige reden voor mij om Dropbox te blijven gebruiken.
Ik werk ook met de combi KeespassXC, KKeepass2Android en de NFC Yubikeys. Door in Onedrive "lokaal houden" voor het kdbx-bestand te kiezen heb ik overal op alle devices de laatste versie. Ideaal!
Even ter aanvulling over Yubikeys en KeepassXC, het is geen echte MFA wat je toepast: https://keepassxc.org/docs/#faq-yubikey-2fa Q. Does KeePassXC support two-factor authentication (2FA) with YubiKeys or OnlyKeys?
A. Yes and no. KeePassXC supports YubiKeys for securing a database, but strictly speaking, it's not two-factor authentication. KeePassXC generates a challenge and uses the YubiKey's response to this challenge to enhance the encryption key of your database. So in a sense, it makes your password stronger, but technically it doesn't qualify as a separate second factor, since the expected response doesn't change every time you try to decrypt your database. It does, however, change every time you save your database.
Daarnaast heeft KeepassXC nog nooit een audit ondergaan.
Verder mooi stukje software. Ik gebruik het zelf ook dagelijks.
Uit de opmerkingen op het Bitwarden forum lees ik toch dat de soep niet zo heet gegeten wordt gelukkig.
Men zegt dat de libraries alleen worden gebruikt voor push-notificaties, crash reports en betalingen. De F-Droid app heeft geen 3rd party communicatie en met een self-hosted server kun je ook nog het eea uitzetten.
Probleem bij o.a. Bitwarden is ook de favicons die worden binnengehengeld. Daaraan zou men kunnen zien welke websites je passwords van hebt. Hoewel een afweging en punt van aandacht, heb je hetzelfde probleem bij gebrek aan ESNI. Plus, een nation state weet dat ook zo wel.
Als je bezorgd bent om je privacy is dat toch de perfecte oplossing? Je draagt een probleem aan, en vervolgend wordt er een oplossing gegeven. Die icoontjes hebben zonder dat ze worden 'binnengehengeld' is natuurlijk geen doen.
Wat je zou kunnen doen is een database met 'alle favicons' distribueren. De vraag is tov wie je bezorgd bent over je privacy. Ik zie daar namelijk geen concrete dreiging in.
Voor mij persoonlijk niet nee. Misschien in een of ander onvrij land waar de overheid zonder goede reden dat soort informatie van je profiled, maar dat kunnen ze ook zonder die data wel.
Dat doen sommige apps ook zoals AndOTP maar daarmee heb je er toch altijd weer een hoop die je mist. Ze kunnen niet elke obscure site er in zetten. Tweakers vind je er bijvoorbeeld niet terug. Dat is het probleem.
Precies daarom overweeg ik dit soort apps niet eens en gebruik ik Keychain, ondanks dat dat enorm beperkend is als ik even niet in het Apple ecosysteem zit (bijvoorbeeld met mijn werklaptop, of Brave browser).
Ik vind bedrijven ook veel te intransparant over met wie ze data delen.
Maar dat is toch ook een app en leg je je vertrouwen bij Apple neer? Je hebt dan net zo goed een keuze gemaakt voor een andere partij.
Ikzelf gebruik keychain ook wel. Echter niet voor mijn belangrijke wachtwoorden, daarvoor gebruik ik KeePass.
Ik geloof dat Keychain geen data deelt met partijen anders dan Apple (en natuurlijk de websites waarvoor ik toestemming geef om daat mn wachtwoord in te vullen). Apple heeft dan weer een verdienmodel waarin privacygevoelige info niet echt relevant is.
Google en Facebook hebben verdienmodellen waarbij het voor een heel groot deel draait om wie ik ben zodat zij gerichte ads kunnen tonen.
Daardoor vertrouw ik Apple (en Microsoft mogelijk ook) wel met dit soort gegeves maar Google en Facebook niet.
Dat ligt er helemaal aan hoe je KeyChain van Apple gebruikt. Je hebt de keuze om het in de cloud te zetten of lokaal te behouden. Als je het laatste kiest wordt er niks gedeeld.
Hoe dan? Want je key chain bevat bijv ook je bekende WiFi Netwerken die bijv je watch of andere devices gebruiken te verbinden en te synchroniseren. Zonder cloud gebruik kan je niet zo met Apple
Waarschijnlijk heb dan alleen een iPhone en gebruiken geen rand apparatuur of je voldoet aan de minimaal beveiliging
Als u iCloud-sleutelhanger na het volgen van deze stappen niet kunt inschakelen, controleert u of uw apparaat voldoet aan de minimale systeemvereisten voor iCloud-sleutelhanger
[Reactie gewijzigd door xbeam op 22 juli 2024 13:35]
Onder systeemvoorkeuren > Apple ID > iCloud > vinkje voor Keychain uitzetten. Dan worden ze niet meer gesynchroniseerd. Ook wifi-netwerken niet meer. Je dient dan dus op je iPhone je wachtwoord opnieuw in te vullen en deze zal het synchroniseren met je Apple Watch.
Wanneer geen iCloud Keychain gebruikt beperk je zelf heel erg val je weer terug op het juist onveilige wachtwoord gebruik terwijl je juist een versie van veilige certificaat gebaseerde (SAML ) login en identity management wil zoals iCloud Keychain en het betaalde Sisco DUO of watchguard Authpoint.
Voor mij is iCloud ideaal omdat ik dan een KeyChain heb die ik op mijn MacBook, iPad en iPhone kan gebruiken en alles in realtime up-to-date gehouden wordt. Kan me niet voorstellen dat als je meerdere Apple devices hebt je dit niet via iCloud zou doen. Lijkt me een hel om dat te managen.
Als het ergens in een 'cloud' staat, dan is er ook het risico dat iemand deze data in kan zien (zoals Apple zelf). Ik wil niet beweren dat Apple dit doet maar het risico is altijd daar dat het kan (zoals snowden heeft laten zien).
Het is een klein ongemak om een keepass database ernaast te houden dus ik laat mijn belangrijkste wachtwoorden niet naar een cloud uploaden.
Je kunt de apple keychain ook in Brave gebruiken.
Daarvoor moet je Icloud voor windows installeren, en de icloud wachtwoord extentie voor Chrome.
Werkt prima, alleen de wachtwoord suggesties ontbreken.
Na lang zoeken naar een goed passwordmanager ben ik uiteindelijk toch ook bij Keychain uitgekomen / gebleven. Sinds de browser extensies er zijn was het belangrijkste nadeel (alleen ondersteuning in Safari / Apple OS'en) opgelost. Een ander probleem is het delen van wachtwoorden binnen mijn gezin (bijvoorbeeld Netflix, Disneyplus e.d.), hier is nog geen family oplossing voor, maar je kan vanuit keychain gewoon via Airdrop (en volgens mij ook op andere wijze) een login met wachtwoord delen. Niet ideaal, maar wel hanidiger dan voor mijn hele familie over te stappen op een nieuwe password manager.
Ik kon het moeilijk geloven dat er gevonden is dat de 1Password app data deelt met derden. Dus ik heb het artikel er even bijgepakt via PressReader en gelukkig meldt het artikel correct dat de 1Password alleen verbindt met services die nodig zijn voor het functioneren van de applicatie.
Disclaimer: ik werk voor 1Password.
[Reactie gewijzigd door Joris op 22 juli 2024 13:35]
Gebruik Keypass al jaren en raadt het ook al jaren aan iedereen die een keymanager zoekt. Het klopt dat het heel veel mogelijkheden heeft, maar in de kern is het ook eenvoudig in gebruik.
Wil je wat meer geliktere versie, dan is KeypassXC een goed alternatief.
Ook al heel lang een Keepass gebruiker op 2 PC's.. Keepass heeft heel veel opties die je niet hoeft te gebruiken . In de basis is Keepass heel eenvoudig in het gebruik.. Discipline in het gebruik is altijd en overal nodig. Heb je de database lokaal op de PC's opgeslagen, moet je er voor zorgen dat de databases op de PC's ook gelijk blijven. Tijdje Bitwarden gebruikt, maar blijf met Keepass een beter gevoel hebben dat je zelf alles onder contrôle hebt. Dat Keepass een z.g.n. old school/ retro programma is, is toch bijzaak en bovendien erg persoonlijk.
Het is voor mij altijd een reden geweest om Keepass te gebruiken, geen cloud/verbinding met wat dan ook. Dat is voor mij 574582485 extra bonuspunten. Desalniettemin mis ik wat gebruikersgemak wat betreft het automatisch invullen van gegevens. Omdat veiligheid de absolute prioriteit is, ga ik ook geen plugins installeren ofzo voor Keepass in de browser of whatever. Ik heb het nu dan zo gedaan dat de accounts die ik echt belangrijk vind (DigiD, m'n e-mail, internetbankieren, dat soort zaken) staan in KeePass. Accounts waarvan ik denk "als die gehackt worden doe ik eenmaal een poging om toegang terug te krijgen en daarna neem ik zonder tranen afscheid" zitten bij mij in de Firefox wachtwoordmanager in combinatie met Firefox Sync. Daar heb ik ook net iets meer vertrouwen in dan al die derde partijen met diverse software en plugins. Maar goed, ik kan dat niet met hard onderzoek onderbouwen. En omdat het minder belangrijke accounts betreft neem ik dat risico gewoon.
Het eindresultaat is dus ook dat al mijn accounts een ander willekeurig wachtwoord hebben waarbij de belangrijke accounts nog een heel stukje veiliger, wat minder gebruikersvriendelijk, staan opgeslagen.
Wat interessant kan zijn is WebAutoType. Die leest de URL in vanuit de accessibility interface, en die kun je koppelen in je (nu uitgebreidere) Auto-type tab.
In de browser ga ik in het wachtwoord-veld staan, Ctrl+Alt+A en als er een match is, typt KeePass de credentials in.
[Reactie gewijzigd door curkey op 22 juli 2024 13:35]
Auto type is inderdaad beter geworden, in combinatie met "URL in title" extensies in de browser, is bijna alles met (voor mij) ctrl-Z username password ctrl-X password in te vullen.
Voor SSH gebruik ik https://keepass.info/plugins.html#keeagent .
In combinatie met https://keepass.info/plugins.html#ioprotocolext kan ik mijn keepass file syncen met de file op de linux machines in de .ssh directory. (wederom eigen keuze)
Ik gebruik dus ook nog een losse keyfile in combinatie met password.
[Reactie gewijzigd door xats6nl op 22 juli 2024 13:35]
Bitwarden maakt onderscheid tussen twee soorten data. Kluisdata zijn de versleutelde gegevens in de kluis, waar het bedrijf zelf niet bij kan. 'Administratieve data' zijn gebruikersgegevens. Die worden uiteraard alleen verzameld als je Bitwarden als clouddienst gebruikt en niet als je het lokaal host"
De reden waarom ik Bitwarden gebruik. Super makkelijk zelf op te zetten op een eigen server of cloud account. In geval van dat laatste als je het co-housed met andere diensten die je eventueel gebruikt komt het goedkoper uit dan bv. lastpass. Ik ervaar hetzelfde gebruiksgemak als met lastpass dat ik ervoor gebruikte, maar waar ik zo goed als verplicht moest gaan migreren wilde ik het nog op alle apparaten gebruiken of 40€/year neertellen, waar ik niet aan mee doe voor één domme service. Volgend jaar komt er weer een verhoging enz
Precies de reden waarom ik mijn wachtwoorden niet aan een andere partij toevertrouw. Ik host ze zelf op mijn eigen VPS in mijn eigen wachtwoordmanager. Voor de geinteresseerden: https://gitlab.com/hsleisink/password
Privacytools.io heeft er wel voor gekozen om BitWarden aan te raden, naast KeePassXC en LessPass. Nu ben ik wel benieuwd wat de argumenten daarbij zijn.
Het is opensource, in tegenstelling tot de meeste andere commerciële opties, en ze hebben meerdere security audits laten doen. Dus qua veiligheid zit je wel goed. Als je bang bent voor privacy kun je zelf hosten.
Maar het belangrijkste is denk ik vooral dat het de meest gebruiksvriendelijke is van de opensource varianten. Want uiteindelijk gaat het er om dat je er gebruik van maakt, en dat je andere mensen kunt overtuigen over te stappen. Als ik mijn moeder zou moeten uitleggen dat ze keepassxc moet gebruiken, en dat ze dan het bestandje van dropbox moet gaan syncen dan gaat dat gegarandeerd fout.
Direct link naar deze review?
Want dit is wel een extreme claim zeker over BitWarden heb ik dit nooit gezien.
Bitwarden heeft of had wel 2 trackers maar een keylogger? I call BS on that.
1Password is ook zonder abonnement te gebruiken (standalone). Dat promoten ze alleen niet, dus die optie is lastig te vinden (kan volgen mij alleen rechtstreeks vanuit de desktop app)
Ik heb de vault in Dropbox staan, die ik dan weer kan oppakken met de 1Password app op iOS.
Dit is veel goedkoper dan een abonnement en werkt prima.
Bedoel je hier Wlan Server mee? Dat stip ik wel aan maar ik vond het zo onpraktisch dat ik daar verder niet echt dieper op in ging, het is ook vrij beperkt verder.
Volgens mij wel. Het verschil zit hem in dat je in het oude model de apps koopt (eenmalig) en niet de web variant kunt gebruiken alsook niet de passwords met de 1pw servers synchroniseert. Je houdt via iCloud/Dropbox (derde partij dus en niet alles services worden ondersteunt) je vault op meerdere devices in sync. Ook kun je geloof ik niet gebruik maken van de web extensies zoals Password X die het juist makkelijk maken om een mix van Windows, Mac, iOS te gebruiken.
Ik gebruik ook nog de stand alone versie ipv het subscription model. Alle gebruikers van versie 4,5 en 6 konden bij de upgrade naar 7 kiezen voor een standalone versie of een subscription. Het verschil is dus niet online je wachtwoorden via 1Password bewaren. Via Wanserver of ICloud kun je dan synchroniseren tussen je apparaten Ik gebruik zelf Wanserver.
De stand alone versie was daarbij 2 x zo duur maar kun je dus altijd blijven gebruiken. Bij al mijn software koop ik liever standalone versies ipv het leasen van software.
Nee, ze hadden altijd een optie om een losse licentie aan te schaffen vanuit de 1password 7 for windows app (via FastSpring).
Ik zie nu dat ze dit eruit hebben gehaald.
Excuses voor de verwarring.
Wel jammer, want dat betekent voor mij dat dit de laatste versie van 1password is die ik gekocht heb.
Als ik het goed heb begrepen is deze optie inmiddels niet meer beschikbaar. In de nieuwste versie van 1Password (7.8.6) is de optie om losse kluizen (“standalone vaults”) aan te maken met de de losse versie van 1Password (dus de versie zonder abonnement) verdwenen.
In ieder geval heeft AgileBits al aangekondigd in toekomst volledig op abonnementen over te gaan.
Bedankt voor de bron vermelding. Ik vind het een slechte argumentatie van Agilebits dat 97% van de gebruikers een online subscription model gebruikt en dat de standalone versie afgeschaft kan worden. Ik heb mij rot gezocht op de site om de standalone versie te vinden. Die zit ergens verstopt op de site bij support. Wanneer je de software download wordt er steeds verwezen naar de pagina voor de online abonnementen.
Dus als dat straks niet meer kan om een losse versie te kopen, is dat weer een klant minder.
Gebruik deze samen met mijn iPhone. Werkt prima via iCloud.
Verder heb ik een life-time licentie gekocht voor Enpass.
Deze werkt ook prima, synchronisatie via de bekende cloud diensten en platform onafhankelijk.
Het valt me op dat hun support er wel actief op wijst bij klanten die online aangeven niet aan de subscriptie te willen. Maar je hebt inderdaad gelijk dat hun marketing gericht is op abonnementen.
Fijn artikel! Wat ik nog even mis en waarom ik van 1Password ben afgestapt (naar Bitwarden): de URL-detectie schiet te kort. Bij Bitwarden kan ik op poort-niveau een wachtwoord aanmaken. Zo zit op mijn http://local:80 mijn Unraid server en op :6789 bijv. SABnzbd. Met Bitwarden krijg je dan per poort het juiste wachtwoord voorgeschoteld. Bij 1Password krijg je bij elke poort elk wachtwoord.
Je zou eventueel ook je HOST file kunnen aanpassen met verschillende domeinen. Voor mijn werk ontwikkel ik met verschillende apps die localhost draaien en daar heb ik ook diverse accounts voor. In mijn host file plaats ik dan, bwv, app1.local:8100 en app2.local:8200 en Chrome/1P ziet dat als aparte domeinen. Dat werkt top.
Ah, inderdaad een manier maar een gedoe en omdat ik Mac / Windows / iOS thuis draai, zou ik dan toch ten minste drie verschillende host files moeten aanpassen? Of zie ik het verkeerd?
Ik heb 6 jaar lang 1Password met plezier gedraaid, maar sinds ik over ben op Bitwarden (selfhosted met heel veel encrypted backups) op mijn eigen domein wil ik niet meer terug.
Je zou host files kunnen syncen, bijv met Git of etcd. Maar je kunt ook gewoon intern een DNS draaien. Ik gebruik ook gewoon deze feature van Bitwarden, en vind het fantastisch. Zou niet zonder willen.
Dat is vervelend als je met je mobiel of een ander computer er ook op wilt. Dan moet je host overal hetzelfde zijn. Of je moet de host instellen op de router.
Ik ben ook overgestapt van 1P naar Bitwarden, maar mijn ervaring is juist dat de URL detectie van 1P out of the box beter is. Zo moet ik bij Bitwarden handmatig op elk device in de settings de URI match detection op host zetten (standaard op base domain) anders matched ie geen enkel wachtwoord op alle subdomeinen. Maargoed dat is een eenmalige actie en dan werkt het verder perfect.
Het irritantste aan het praktische gebruik van KeePass is dat er geen goede browser-add-ons zijn, terwijl je uiteindelijk toch het leeuwendeel van je wachtwoorden in de browser nodig hebt.
Ik gebruik Keepass al jaren en heb dit echt nog nooit ervaren... ik kan gewoon met autotype of op Android en iOS met autofill super snel en eenvoudig inloggen op elke willekeurige website, wat mij betreft klopt deze alinea dan ook niet over Keepass.
Tips:
Voor Android = keepass2android
Voor iOS = Kypass
Eenvoudig wachtwoorden ingeven op "een vreemde computer/device met USB keyboard ondersteuning" = inputstick.
[Reactie gewijzigd door MrBreaker op 22 juli 2024 13:35]
Ik heb ook lang KeePass gebruikt vooral omdat het door en door getest-, en geaudit is. En ook ik liep aan tegen het feit dat, tenzij je Windows gebruikt, je allerlei alternatieve apps moet gaan installeren op je mobieltje en/of desktop. Maar eigenlijk zodra je dat doet is het voordeel van KeePass al teniet gedaan, sterker nog dan wordt het best een risico. Want neem Kypass. Ik zie zo gauw niet of dit open source is... Ik vermoed closed source. Door een ongetwijfeld goedwillende developer. Maar geen idee wat de kwaliteit van zijn software is. En zo heb je meer van dat soort appjes voor .kdb met wisselend resultaat waarvan niemand een idee heeft of het wel goede software is.
Behalve dat Strongbox gewoon belachelijk duur is als je TouchID of FaceID wil gebruiken. Ik meen me te herinneren dat het iets van een €50 was voor de betalende versie. En ja, je kan ook de gratis versie gebruiken, maar dan moet je telkens opnieuw je master passphrase ingeven, wat je op een mobiel device echt niet lang volhoudt.
Nu tevreden gebruiker van KeePassium.
Heb inderdaad 45 dollar betaald voor een lifetime licentie, vond ik prersoonlijk niet duur voor zo een goede app die ik dagelijks gebruik, open source is, 0 advertenties heeft evoorbeeld je cadans zien bij het hardlopen. Ook worden veel verschillende sportprofielen ondersteund. Verder zijn n niet aan tracking doet.
Ik kon eerst gratis van de premium functies met een 90 dagen trail subscription, wat voor mij voldoende was om te bepalen dat ik deze app persoonlijk wel zijn geld waard vond.
Keepassium pro versie is trouwens even duur en zou toch voor pro gaan aangezien ik mijn database beveilig met een yubikey
Zit zeker een kern van waarheid in, Kypass staat in de Apple store en voldoet daarmee in ieder geval aan Apple's kwaliteitscontrole. Maar welke garantie heb je van de alternatieven? Ik weet van tenminste twee andere password managers dat die in het verleden lekken en/of kwetsbaarheden hebben gekend. 100% veilig is een utopie, dat wil niet zeggen dat je er niet mee bezig moet zijn of alles maar voor lief moet nemen...
[Reactie gewijzigd door MrBreaker op 22 juli 2024 13:35]
Ik gebruik momenteel Bitwarden op zowel macos, windows als iOS en iPadOS.
Als ik nu keepass eens zou willen testen, welke varianten moet ik dan allemaal installeren (of raden jullie aan om te installeren) op bovenvermelde gebruikers omgevingen?
Ik vind het persoonlijk nogal onoverzichtelijk om te zien/weten welke KeePass variant je waar moet/kan gebruiken.
[Reactie gewijzigd door Redondo77 op 22 juli 2024 13:35]
Enige tijd geleden ben ik van lastpass overgestap op KeePassXC op windows en KeePassDX op Android gesynchroniseerd via nextcloud en dat werkt tot nu toe vrij goed. Ik moet wel toegeven dat het meer werk is dan simpelweg een cloud dienst gebruiken maar dat is het wat mij betreft wel waard.
Die addon gebruik ik ook in FF. Werkt prima.
Ik ben jaren geleden overgestapt van Lastpass naar KeepassXC, juist vanwege ik mijn wachtwoorden niet 'in the cloud' wilde hebben.
Overigens heb ik mijn database in een veracrypt container als extra veiligheid. Deze container wordt dan weer gesynced naar mijn zelf gehoste Nextcloud instance.
Ja het is wat extra werk om eerst de container te mounten. Maar ik voel me er een stuk veiliger door.
Dank, allebei, voor de tips, die ga ik proberen. Onze security gast heeft ontdekt dat we in marketing onze wachtwoorden in een tekst bestand delen dus we moeten aan een pw manager ;-)
Ik gebruik op de desktop (Windows 10) in Firefox de plugin Kee. Die werkt ook uitstekend om de wachtwoorden automatisch in te vullen, en nieuwe accounts/wachtwoorden toe te voegen/te updaten in de database.
Deze snap ik ook echt niet. Ik gebruik KeePass al jaren, met Chrome, Firefox en nu Edge gebruikt met de Kee plugin. Werkt echt perfect en na eenmaal instellen nooit gedoe. Dus een beetje een gekke opmerking.
In het verleden had ik Keepass. Zo had ik Keepass XC als client, met een browser plugin. Werkte nogal gammel. Tevens iedere keer keepass met de hand opnenen en master password invoeren was omslachtig.
Op Android ging dit wel goed met keepass2android. Zo had ik mijn kdbx op google drive staan en ging het syncen prima. In de browser deed het zijn werk ook goed.
Integratie met apps was er alleen niet. Dat was wel vervelend.
Sinds bijna 2 jaar op een iPhone 11, en daar was de enige manier om Keepass te gebruiken door Strongbox te nemen, die wel Google drive ondersteunde. Echter koste mij dat meer geld per maand dan een Lastpass abonnementje. Probleem van IOS is dat ze buiten iCloud geen andere cloud drive integratie aanbieden.
Ik zit dus de afgelopen 2 jaar op Lastpass en het is een verademing hoe naadloos alles werkt. Dat gekut met keepass was ik ook een beetje klaar mee.
1) Kypass downloaden uit de Appstore.
2) Keepass database hosten op Synology NAS via Webdav, maar anders b.v. (S)FTP kan natuurlijk ook of schrijfruimte van je/een provider...
Ik gebruik Keepass al jaren en heb dit echt nog nooit ervaren... ik kan gewoon met autotype of op Android en iOS met autofill super snel en eenvoudig inloggen op elke willekeurige website, wat mij betreft klopt deze alinea dan ook niet over Keepass.
Inderdaad, de autotype methode is super.
Wat ik ook een meerwaarde vind: documenten als scan van ID, DigiD etc. opnemen in de data.
Ik werk al jaren met KeePass op Windows, IOS en Android. Het bestand staat op OneDrive. Terwijl veel technische info in het artikel en comments voor mij algebra zijn, dus zo technisch moeilijk is het nu ook weer niet.
Ondergewaardeerd dit, erg jammer dat dat niet naar voren is gekomen in de Keepass-review. Het is zelfs een pluspunt te noemen dat Keepass gewoon autotype heeft. Het werkt op basis van venstertitel waardoor het ook in andere applicaties (games/launchers, office/adobe/etc, SSH) werkt die geen browsers zijn. Bovendien kan je daar nog bepaalde keypresses mee automatiseren. De enige plek waar dat niet goed werkt is op crappy websites die het niet nodig achten de naam van de site in de titel te hebben, maar dan is er alsnog een global hotkey (als je dat wilt) om zelf te zoeken en alsnog met auto-type in te vullen. Je hoeft dus nooit zelf te copy/pasten.
En laten we wel wezen, PKDF2 is nou niet echt meer een serieuze manier van versleutelen, en dat is nog steeds de standaard bij alles behalve KeePass. Argon2 is zeker in deze tijd van crypto-farms wat je minimaal wilt hebben.
Ook is KeePass nog steeds de enige waar je ChaCha20 kan selecteren, en ja, AES256, als je teminste geen PKDF2 combi erbij gebruikt ;-) is nog best prima, alleen gebruikt niet alleen de NSA 't maar ook nu bijna ALLE passwordmanagers.. de attack surface is zo groot dat je bijna gek bent al je niet kiest voor ChaCha20..
In alle gevallen zou ik op dit moment echt alleen KeePass vertrouwen met m'n wachtwoorden.
Kwa clients heb je natuurlijk hele mooie oplossingen zoals KeePassDX voor Android en Keepassium voor iOS en macpass voor je macbookje etc.etc.
Ja snap ik, ik dacht er wel over dat te doen maar wist niet zo goed hoe ik dat moest weergeven. De meeste opties laten zich niet een-op-een vergelijken dus dat kun je niet in een grafiek zetten. Als je zegt "kun je dit zelf hosten" zeg je bij sommige "nee", bij KeePass "ja, alleen maar", bij Bitwarden "ja, maar alleen in Docker", bij 1Password "ja, maar beperkt". Ik heb het geprobeerd maar kon dat niet overzichtelijk doen, vandaar.
Nee, maar je hebt met al deze password managers ervaring opgedaan, wat zou je zelf gaan gebruiken na deze periode (als je niet al geïnvesteerd zou zijn in een manager). Of misschien beter: wat is voor bepaalde doelgroepen een goede PW manager? Ik gebruik zelf Bitwarden, maar weet niet zeker of dit voor mijn ouders ook de beste zou zijn. LastPass was wat gebruiksvriendelijker, maar toen ze op freemium overgingen, was ik er klaar mee.
Gewoon een korte samenvatting / conclusie met de hoofdlijnen, dat is wat hier mist.
Ja eens wel, ik snap je punt, dat is iets waar ik volgende keer ook wel iets mee zou doen.
Even voor mezelf, ik ben van de nieuwsredactie en niet van de reviewredactie en heb daarom ook niet veel ervaring met reviews schrijven (vandaar dit ook geen echte review is). Ik denk dat het lastig is een objectieve conclusie te geven over wat het 'beste' is zonder teveel mijn mening te geven. Maar om het algemeen te houden, dat is wel iets om volgende keer te proberen.
Ik vind je artikel een goed inhoudelijk artikel, met genoeg diepgang en eigenlijk op een kwalitatief niveau die ik soms juist mis.
Mijn complimenten hiervoor!
Ik zie graag een volgend artikel van je tegemoet.
Off-topic idee:
misschien is het een idee om te experimenteren op het forum, om feedback te krijgen op een overzicht zodat je deze kan aanpassen op de feedback maar wel binnen je eigen stijl blijft.
Het forum is tenslotte een plek waar tweakers groots geworden is, en je niet direct aangevallen wordt als iets niet helemaal naar wens is.
Voor een Plus-artikel verwacht ik dat je zo’n vraag aan je collega’s stelt vóór je het artikel publiceert. Ik begrijp je twijfel, maar zoals Grrrrrene al aangeeft zijn er voldoende mogelijkheden om vergelijkingen en misschien zelfs conclusies te delen.
Prijzen, beschikbaarheid desktop-app, plugins voor welke browsers, tweetraps-opties, gebruikte algoritmes, etc.
Verder een zeer uitgebreide beschrijving van alle vijf de producten. Netjes gedaan 👍🏻
[Reactie gewijzigd door Gody op 22 juli 2024 13:35]
Eens dat een scoring of vergelijking lastig is. Het is een beetje appels en peren, Apple en Android, Windows en Linux discussie. Ik denk na het lezen een soort van "tot slot" wel prettig was, zo van alle wachtwoord managers hebben zo hun voor- en nadelen. Als je niet wilt betalen, zou je je wellicht prima kunnen redden met x en y maar dan heb je wel berkingen z en zz. Persoonlijk gebruik ik xyz, omdat ... of, zou ik nu zelf een wachtwoordmanager kiezen, kies ik voor abc, omdat...
Ik vond het een prima artikel. Goed uiteengezet wat de verschillen zijn, daar kan ik prima mijn eigen keuzes door maken (al was het maar bevestigen dat KeePass de juiste keuze is).
Wat ik mis is onder elk artikel een samenvatting met de plus- en minpunten. Ik hoef geen matrix met een vergelijking en met allerlei sterretjes (rommeltje), ik hoef ook geen cijfers (want subjectieve BS). Maar onderaan elke pagina even opsomming van de plus- en minpunten, dat was wel netjes geweest. En als jij niet vaak reviews schrijft, dan hoeft dat ook niet in 1x perfect. Dan mag je best fouten maken bij zo'n opsomming. Die dan misschien wel op gelost kunnen worden adhv de wisdom of the crowd (die weten het altijd beter ). Behalve dit vond ik het een prima artikel btw, zeker als je zegt dat je weinig ervaring hebt met reviews.
Ik ben wel benieuwd, uiteraard los van het artikel hier in de vrije comments, of je 1 van deze zelf gebruikt Ik vind het overigens een mooi en duidelijk en objectief artikel, goed gedaan!
Goed artikel. Een opmerking, bij lastpass leest het nu alsof jeYubikey ook in het freemium pakket zou kunnen gebruiken, maar die is alleen beschikbaar in de betaalde versie.
Wat mogelijk nog toegevoegd had kunnen worden is de mogelijkheden om de cloud toegang vd. password store te beperken. Bij LP heb je in ieder geval een geoblok en de mogelijkheid om Tor toegang te blokkeren. Maar mooi overzicht zo!
Je zou wat belangrijke criteria kunnen bedenken, die een gewicht mee kunnen geven en daaruit een score kunnen laten berekenen. Dan krijg je iig een top 5. Het is allemaal heel subjectief en persoonlijk natuurlijk, maar ik denk dat een heleboel mensen wel zouden willen weten welke 'de beste' is of op zijn minst welke raad jij aan en welke raad jij af en waarom.
[Reactie gewijzigd door warrior7 op 22 juli 2024 13:35]
Scores heb ik ook overwogen, via zo'n scorekaart die we ook bij reviews gebruiken, maar dat vond ik toch te subjectief. Voor de een is het heel belangrijk een U2F-key te kunnen gebruiken terwijl de ander daar weinig waarde aan hecht, en idem met bijvoorbeeld zelf hosting of hash-iteraties kiezen. Op basis daarvan is het eigenlijk niet mogelijk om objectief aan te raden wat het 'beste' is.
Allereerst, het is een "plus"-artikel, dus ik zou dat juist wél een duidelijke conclusie verwachten.
Daarnaast is de ondertitel "waarin verschillen ze?". Dat wordt nu wel heel omslachtig weergegeven in dit artikel.
Als je alle kopjes die per wachtwoordmanager worden besproken in een tabel zet en daarin per kolom met vinkjes/kruisjes en in 3-5 woorden aangeeft hoe/wat, dan ben je al een heel eind.
Daarnaast vind ik ook dat je prima een advies zou kunnen geven voor verschillende scenario's:
- budget
- techsavvy
- poweruser
- supertweaker
- * ** *** is een prima manier om wat meer flexibiliteit in een kleine score te zetten. Verder denk ik dat het bij de meesten vooral gaat of het überhaupt mogelijk is of niet.
Verder vind ik het een gebrek om ook niet nog de overige managers even voorbij te laten komen en waarom ze wel of niet opgenomen zijn in de grote vergelijking. Maar vooral als je van deze iets moet kiezen als beste van dit moment (desnoods ga je de redactie rond en turven), dan geef je toch net wat meer info.
Er zit wel veel informatie per manager en dat is zeker lovenswaardig (veel uitzoekwerk ook).
[Reactie gewijzigd door Martinspire op 22 juli 2024 13:35]
Ik zou in dit soort vergelijkingen de password manager MYKI eens terug willen zien. Die de basis van de password database altijd lokaal (op je mobiel) heeft maar een sync relatie kan opzetten naar je desktop of andere devices. Kan deze ook eens aan de vergelijking worden toegevoegd c.q. onder de loep worden genomen?
Het gave, en mogelijk niet unieke, is dat MYKI ook zelf TOTP tokens kan opslaan en autofill ervoor kan verzorgen.
[Reactie gewijzigd door laurensdekoning op 22 juli 2024 13:35]
TOTP support in een password manager is niet een unieke feature en ondersteunen de meeste wel. De vraag is alleen of je dat wilt doen. Immers is TOTP een vorm van 2FA, en juist door de 2FA token te laten genereren door je password manager ga je terug naar 1FA. Heeft een aanvaller toegang tot je password manager kan die immers overal inloggen doordat ze zowel de credentials als 2FA token uit één systeem kunnen halen.
Bedoel je daarmee dat het eigenlijk niet handig is om bijvoorbeeld LastPass te gebruiken icm hun eigen Authenticator applicatie voor 2FA? Dit doe ik nu namelijk. Of bedoel je iets anders?
Neen, een losse authenticator app (ook al is die van dezelfde maker) is uiteraard geen probleem. Maar een authenticator functionaliteit in de password app is dat wel, aangezien inloggen in die ene app dan wil zeggen dat je toegang hebt tot zowel de wachtwoorden als de 2FA codes. Je valt dan terug op 1 factor (het kunnen inloggen in de app).
Neen, een losse authenticator app (ook al is die van dezelfde maker) is uiteraard geen probleem. Maar een authenticator functionaliteit in de password app is dat wel, aangezien inloggen in die ene app dan wil zeggen dat je toegang hebt tot zowel de wachtwoorden als de 2FA codes. Je valt dan terug op 1 factor (het kunnen inloggen in de app).
Wat ik eigenlijk wil is een password-manager met verschillende interne compartimenten waar die je een eigen policy kan geven.
Dat je bijvoorbeeld een compartiment hebt voor "wachtwoorden" en eentje voor "HOTP/TOTP".
Het moet dan zo werken dat die twee compartimenten elkaar niet beinvloeden zodat je niet al je factoren in één keer unlocked.
Sommige passwordmanagers beiden de mogelijkheid om ook de 2FA op te slaan in dezelfde applicatie. IMHO is dat dan geen echte 2FA meer, je bewaart immers alles op dezelfde plek. Zelf gebruik ik 1Password en genereer ik alle 2FA tokens op mijn telefoon, in een andere app.
Als die Lastpass Authenticator echt een aparte app is, zou je die gewoon kunnen gebruiken en het dus gescheiden houden.
[Reactie gewijzigd door voipmeister op 22 juli 2024 13:35]
Niet mee eens. Als mensen toegang hebben tot je WW manager, ben je toch al fucked. Dat is ook niet het doel van 2FA. Het is bedoeld dat mensen van een andere locatie niet kunnen inloggen zonder een éénmalig wachtwoord.
Daarnaast is het gemakkelijk. Gebruiksgemak is één van de meest belangrijke beveiligingen.
Uhm als iemand toegang heeft tot je wachtwoordmanager, hebben ze geen toegang tot je account als je 2FA ergens anders hebt, snap niet waarom je dat zelf zou denken
Nee, het doel van 2FA is dat als je wachtwoord op straat ligt, er niet ingelogd kan worden door iemand anders omdat die persoon wel weet wat jij weet (het wachtwoord), maar niet heeft wat jij hebt (een geldig OTP), tenzij je beide op 1 plek bewaart natuurlijk...
Gebruiksgemak is geen beveiliging. Gebruiksgemak helpt bij de acceptatie van beveiligingsmaatregelen door gebruikers.
Nee, het doel van 2FA is dat als je wachtwoord op straat ligt, er niet ingelogd kan worden door iemand anders omdat die persoon wel weet wat jij weet (het wachtwoord), maar niet heeft wat jij hebt (een geldig OTP), tenzij je beide op 1 plek bewaart natuurlijk...
Gebruiksgemak is geen beveiliging. Gebruiksgemak helpt bij de acceptatie van beveiligingsmaatregelen door gebruikers.
Je eerste opmerking klopt. Ben ik ook mee eens. Je tweede opmerking: acceptatie van beveiligingsmaatregelen is wel degelijk een onderdeel van de beveiliging. Anders gaan gebruikers minder veilige trukjes gebruiken. Ik doe het ook op mijn werk. Het moet werkbaar blijven.
Het is prima te gebruiken en ook gemakkelijk. 1Password heeft deze optie ook en het is super handig. Het enige veiligheidsrisico is als mensen in je wachtwoord manager komt. Die kans is extreem klein, tenzij ze in je device komen, daarna in je wachtwoordmanager. Dus, als je een heel gemakkelijk wachtwoord gebruikt als je Master.
Voor de rest doet het zijn werk, namelijk dat anderen niet kunnen inloggen ook al hebben ze je wachtwoord en loginnaam.
Sommige mensen zijn extreem voorzichtig. Die zullen een wachtwoordmanager en 2AF op verschillende devices hebben. Ik vind dat te omslachtig. Beveiliging moet ook gebruiksvriendelijk zijn.
1Password heeft als enige van de geteste managers, staat in de tekst, naast het masterpassword een 2e wachtwoord. Waarmee je 1Password op een nieuw device eerst moet koppelen, samen met je emailadres en je masterpassword.
Daarmee heb je bij 1Password altijd al 2 dingen nodig. Je masterpassword en 1 van je geautoriseerde apparaten. Of je masterpassword en je 2e wachtwoord om een device te kunnen koppelen.
Aan je masterpassword heeft een hacker dus niets, tenzij ze ook je device hebben (en daar nog eens op in kunnen loggen). Of je 2e wachtwoord, welke je uiteraard niet op dezelfde plek bewaard.
Om van daaruit voor je andere accounts de 2FA automatisch te laten gaan lijkt me een prima optie.
Alhoewel je helemaal gelijk hebt, is de kans dat je wachtwoord van een platform ergens voor het grijpen ligt waarschijnlijk groter dan die van je kluis. Daarom is 2FA gewoon op veel plekken een must. Maar omdat je kluis dus hopelijk een stuk veiliger is, is de noodzaak voor gescheiden 2FA kleiner vind ik persoonlijk. Daarbij vind ik dat je ook zelf een risico analyse moet doen waar gescheiden noodzakelijk is. Voor een simpele webshop interesseert het mij niet, maar mijn email bv. wel.
Alhoewel je helemaal gelijk hebt, is de kans dat je wachtwoord van een platform ergens voor het grijpen ligt waarschijnlijk groter dan die van je kluis. Daarom is 2FA gewoon op veel plekken een must. Maar omdat je kluis dus hopelijk een stuk veiliger is, is de noodzaak voor gescheiden 2FA kleiner vind ik persoonlijk. Daarbij vind ik dat je ook zelf een risico analyse moet doen waar gescheiden noodzakelijk is. Voor een simpele webshop interesseert het mij niet, maar mijn email bv. wel.
Een belangrijke vraag bij 2FA is wie er nu eigenlijk wat probeert te bereiken.
Is 2FA er om jou te beschermen of is het er om de leverancier te beschermen?
Tegen wie bescherm je? Tegen aanvallers van buiten? Tegen nieuwsgierige collega's? Tegen misstanden bij de leverancier?
Is 2FA er bijvoorbeeld om te voorkomen dat jij een rekening krijgt omdat een oplichter jouw account heeft misbruikt? Of is het er om te voorkomen dat de webshop met spookorders blijft zitten?
Ik merk dat er eigenlijk niet wordt nagedacht over dit soort doelen. 2FA is een doel op zich geworden zodat er een item van de securitychecklist kan worden afgestreept.
Omdat ik merk dat er vaak niet goed over nagedacht wordt ga ik maar uit van het slechtste geval. Daarom adviseer ik om tweede factoren helemaal gescheiden te houden en op een andere manier te beveiligen. Bijvoorbeeld een wachtwoord om je password-manager te unlocken en een pincode om je 2fa-applicatie te unlocken.
Mja 1 systeem is misschien niet heel handig, maar het kan op zich wel als je geen rare dingen doet en niet zo'n doelwit bent op internet. Ik vind het vooral bij de meeste apps een omweg en niet prettig werken dat ik hem net zo goed uit een andere app kan halen, dan dezelfde waar het wachtwoord in zit.
Waarom zoveel 2FA apps alleen niet op desktop werken, is me nog steeds niet duidelijk. Ja ik heb ook mn telefoon bij, maar mn handen zitten bij het toetsenbord en muis. Of ik nou extra autoriseer op mn pc of mobiel, maakt voor 99% van Nederland geen reet uit. En ook voor de meeste diensten niet (behalve dan je bank, provider of mail)
In dit soort vergelijkingen mis ik altijd Enpass. Ik gebruik hem al wat jaartjes en vond het destijds vooral fijn dat je je bestanden in een standaard cloud dienst kunt plaatsen. Maar Enpass is kennelijk niet zo populair meer?
Ik gebruik vanaf de lancering dit geweldig stukje software. Je kon toen voor € 25.00 een Enpass lifetime-license kopen. Dat is nu € 71,19 wat ik nog steeds redelijk vind. Het mooie van Enpass is dat je alles zelf in de hand hebt. Het is daarom ook vrijwel uitgesloten dat ooit de wachtwoorden op straat komen te liggen want jij bepaalt waar de database wordt opgeslagen.
Ik heb hem een paar maanden geleden gekocht voor 30 dollar. (een coupon zoeken op internet)
Ik heb heel lang Keepass gebruikt, maar ik vind Enpass toch een stuk fijner werken. (puur persoonlijk natuurlijk)
Ik vind voornamelijk het werken op een telefoon (zowel Android als iPhone) met Keepass het 'net niet'. Maar goed. Wat ik al schreef. Dat is natuurlijk puur persoonlijk
Mja, een tweaker komt waarschijnlijk uit op Keepass. Maar voor minder technisch aangelegde gebruikers is Enpass veel eenvoudiger en gebruiksvriendelijker.
En bij Keepass ontbreken natuurlijk officiele apps voor Android en iOS. Heb al eens moeten overstappen omdat dan plotseling ontwikkelaar x gestopt is met doorontwikkelen.
[Reactie gewijzigd door PrinsPace op 22 juli 2024 13:35]
Het is daarom ook vrijwel uitgesloten dat ooit de wachtwoorden op straat komen te liggen want jij bepaalt waar de database wordt opgeslagen.
Tenzij waar je dat regelt niet meer veilig is. En nee, jij kunt dat niet beter dan bedrijven die daarin gespecialiseerd zijn, plus de mankracht en hardware om dit zo te houden.
[Reactie gewijzigd door Martinspire op 22 juli 2024 13:35]
Ik dacht ook dat mijn mail niet interessant genoeg was, maar toch zijn er dagelijks pogingen gedaan. Als je om wat voor reden doelwit wordt, dan gaat het snel.
Ik gebruik ook Enpass. Ik vind de tool heel fijn, vooral omdat alleen voor de mobiele apps een eenmalig bedrag betaalde voor volledige functionaliteit. Ik meen dat ze nu op een model met recurring payments zijn overgestapt overigens.
Ik gebruik ook Enpass en kan het iedereen aanraden, maar inderdaad zijn ze van een eenmalige betaling naar een (nogal prijzige) abonnementsvorm overgestapt.
Ik zie dat het op zich wel meevalt, paar euro per maand. Als je de 'one time' versie koopt van 71,19 is het wel prijzig maar ben je er verder vanaf. Wel een heel ander verhaal van die ene 10 euro die ik eraan heb uitgegeven overigens, dat moet ik toegeven.
Je kan her-en-der op internet wat 'lifetime coupons' vinden met 40-60% korting. Gewoon even rondzoeken. Ik heb hem toentertijd voor ongeveer 30 dollar gekocht en dat vond ik op dat moment een goed prijs voor zo'n fijne tool.
Same ik heb meerdere password managers gebruikt, waaronder lastpass en bitwarden, maar de interface, zelf per login kan instellen welke velden je nodig hebt, totp intergratie, het feit dat je passwords in je google drive of iets anders kan plaatsen werkt goed en fijn de rest heeft dat gewoon niet zo goed voor elkaar.
Je kan trouwens periodiek betalen of eenmalig en dan lifetime support krijgen vond ik ook erg fijn.
[Reactie gewijzigd door REDSD op 22 juli 2024 13:35]
Ik gebruik inderdaad ook al een tijdje Enpass i.c.m. een opgeslagen password database in een "private" cloud storage dienst. Dit werkt prima en qua functionaliteit doet Enpass niet onder voor bovengenoemde password managers. Hoewel niets veilig is (zolang het via internet bereikbaar is) moeten ze eerst de storage dienst hacken en daarna nog de database ontsleutelen. Bij die password managers cloud diensten lijkt me dat risico toch iets groter.
Kan me wel voorstellen dat je als minder technische gebruiker beter af bent bij één van de bovenstaande (m.u.v. Keepass) omdat alles dan voor je geregeld wordt.
Hier nog een Enpass gebruiker. Nog niet zo heel lang, sinds ergens 2019 of zo. Wel weet ik dat ik het een flinke verademing vond toen ik het ben gaan gebruiken. Had toen ook de lifetime supscription genomen, die was namelijk in de aanbieding.
En ja, ook ik mis eigenlijk Enpass in de vergelijking.
Ik heb hem wel geprobeerd maar viel bij mij eigenlijk al snel af vanwege het gebrek aan bepaalde functies, de ongemak in gebruik en de ouderwetse interface. Ik heb begrepen dat ie inmiddels wel beter is, met name op mobiel, maar vond het nog steeds niet heel denderend eigenlijk. Hij is gewoon ingehaald door de concurrentie.
Ik gebruik zelf de standaard google passwords in de chrome browser. Ik begrijp dat deze password managers veel meer opties bieden, maar is google nou echt veel onveiliger? Voor mij doet het wat het moet doen.
Nee, dat is zeker niet onveiliger. De winst die je maakt door uberhaupt een wachtwoordmanager te gebruiken is al enorm dus dat is zeker goed! Maar gebruikers willen vaak ook opties in hun wachtwoordmanager, bijvoorbeeld portabiliteit, offline hosting, een uitgebreide wachtwoordgenerator etc. Daarin is Google helaas wat beperkt, maar het is dus maar hoeveel waarde je daaraan hecht.
Misschien is het inmiddels verbeterd, maar wat ik me herinner van de Chrome password manager is dat deze de optie heeft om al je wachtwoorden onversleuteld als .txt te exporteren. Er staat mij een middelgroot MKB bedrijf bij waar ik inhuur beheerder was. Er werd van Chrome (en dus ook de pwd manager) veelvuldig gebruik gemaakt, al was het inloggen op Chrome met een Google account onmogelijk gemaakt. Alle wachtwoorden stonden dus per definitie lokaal, en je raadt het al, toen er een werkplekmigratie aankwam was het advies om je wachtwoorden uit Chrome te exporteren naar een persoonlijke netwerklocatie. Alle wachtwoorden van de gebruikers van dat bedrijf stonden dus in plaintext files op het netwerk voor iedereen met beheerdersrechten. Brrrr.
Heb je dan niet regelmatig gedoe als je een wachtwoord moet invullen in een app, dus buiten de browser? Een losse wachtwoordmanager werkt in apps én de browser, wat betreft automatisch invullen. Nu hoef je in apps niet vaak in te loggen (wordt meestal lang onthouden), maar toch vind ik het prettig dat ik ook in mobiele apps makkelijk mijn wachtwoord kan invoeren zonder handmatig kopiëren-plakken (ik gebruik Dashlane).
Gedoe is een groot woord. Voor sommige apps werkt het gewoon. Voor anderen moet ik hem even opzoeken en handmatig kopiëren. Dit hoeft echter maar één keer per app, dus daar heb ik geen problemen mee.
/i/2004429696.png?f=imagenormal)
:strip_exif()/i/2003142850.jpeg?f=imagenormal)
/i/2004429694.png?f=imagenormal)
/i/2004423946.png?f=imagegallery)
LastPass heeft een wachtwoordgenerator in zowel de add-on als de browser-app. Bij die laatste is hij wel erg goed verstopt op een weinig logische plek in de 'Geavanceerde instellingen' en niet bij het handmatig invoeren van een nieuwe entry. De generator maakt standaard een wachtwoord van 12 tekens aan met vier karakteristieken: uppercase, lowercase, cijfers, en symbolen. Dat is een vrij gemiddeld sterk wachtwoord. De meeste andere wachtwoordmanagers doen iets soortgelijks.
/i/2004423984.png?f=imagegallery)
/i/2004423986.png?f=imagegallery)
/i/2004423988.png?f=imagegallery)
/i/2004423990.png?f=imagenormal)
/i/2004424046.png?f=imagenormal)
/i/2004424070.png?f=imagegallery)
/i/2004424246.png?f=imagenormal)
/i/2004424248.png?f=imagegallery)
Een andere optie die je niet vaak ziet, is dat Bitwarden wachtwoordzinnen kan maken. In plaats van een lange reeks tekens is het mogelijk een aantal woorden achter elkaar te gebruiken, die makkelijker te onthouden zijn. Het gaat om maximaal twintig woorden, waarbij je zelf kunt bepalen met welk teken die moeten worden gescheiden. Het is mogelijk woorden van hoofdletters en cijfers te voorzien. Bitwarden genereert alleen Engelstalige woorden.
/i/2004424298.png?f=imagenormal)
/i/2004424336.png?f=imagegallery)
/i/2004429368.png?f=imagenormal)
/i/2004429388.png?f=imagegallery)
:strip_icc():strip_exif()/i/2004530670.jpeg?f=fpa_thumb)
/i/2003839830.png?f=fpa_thumb)
:strip_icc():strip_exif()/i/2003681392.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2003142940.jpeg?f=fpa_thumb)
/i/2006258950.png?f=fpa)
/i/2005284546.png?f=fpa)
:strip_exif()/i/2004648164.jpeg?f=fpa)
/i/2004857332.png?f=fpa)
/i/2004646818.png?f=fpa)
/i/2004761386.png?f=fpa)
:strip_exif()/u/42444/nimic_icon60.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/448966/crop62a741840cd69_cropped.jpg?f=community){kind=small}
/u/136180/crop5a4f46fb91881_cropped.png?f=community){kind=small}
/u/217510/crop660db19c1cf7b_cropped.png?f=community){kind=small}
/u/141998/crop57f8cd396d9ce_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/287731/crop6270fa65746ea_cropped.jpg?f=community){kind=small}
/u/391848/crop5ef36561339f1_cropped.png?f=community){kind=small}
/u/10060/m5logo.png?f=community){kind=small}
/u/486492/crop570394e125bb4_cropped.png?f=community){kind=small}
:strip_exif()/u/130235/balance.gif?f=community){kind=small}
/u/458362/crop5613baee7db11_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/344098/crop59b5b18a8bce3_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/295699/crop609bc9a510a14_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/220376/twitchy_ava60.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/205740/crop58fdd01054c58_cropped.jpeg?f=community){kind=small}
:strip_exif()/u/45517/GG85Logo.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/78771/sluuut.jpg?f=community){kind=small}
:strip_exif()/u/1820/GoTicon.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/140051/BSOD.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/474290/crop5612d647692a7.jpeg?f=community){kind=small}
:strip_exif()/u/119419/candc-60px.gif?f=community){kind=small}
/u/237889/46868ba031aa397c332dfe65c1d8ff7cd8f9959b_full.PNG?f=community){kind=small}
/u/644454/crop55c1ad5e79c27_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/480245/profile%2520small.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/88719/crop624ccd84437db_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/15049/DC2-icon-klein.jpg?f=community){kind=icon}
/u/103686/crop5a5de7c001264_cropped.png?f=community){kind=small}
:strip_exif()/u/29265/kampvuur.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/470876/crop586a1086d6669_cropped.jpeg?f=community){kind=small}
/u/168807/crop64be8029a8530_cropped.png?f=community){kind=small}
/u/75699/crop589c831f323d7_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/505858/crop5fb1656f91714_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/345834/crop659102bd4439a_cropped.jpg?f=community){kind=small}
/u/1579560/crop61642a358930b_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/328632/crop5bfe58e928887_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/76569/garfield14.jpg?f=community){kind=small}
:strip_exif()/u/172393/crop671a552786579_cropped.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/358483/Mr%2520Breaker%2520avatar%252060%2520x%252060.jpg?f=community){kind=avatar}
:strip_exif()/u/37585/gif_60x60_b816cf.gif?f=community){kind=small}
/u/313564/crop6177ba5336d16_cropped.png?f=community){kind=small}
/u/48718/crop619e5ed546e66_cropped.png?f=community){kind=small}
:strip_exif()/u/1231784/crop5dbadd4473f9b_cropped.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/81611/headcrop.jpg?f=community){kind=small}
Wie heeft ooit bedacht dat dat een goed idee is? Goden, wat een bizarre streek. En wie krijgt nu de douw?
/u/40371/pino.JPG?f=community){kind=small}
:strip_icc():strip_exif()/u/361612/Untitled-1.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/91018/dgtw.jpg?f=community){kind=small}
/u/35916/crop5bd9a0086d0e1.png?f=community){kind=small}
:strip_icc():strip_exif()/u/329820/crop6278b73bd15c2_cropped.jpg?f=community){kind=small}
:strip_exif()/u/7013/spunky_main.gif?f=community){kind=small}
/u/1231/crop67444c3dedc86_cropped.png?f=community){kind=small}
Ik vind het overigens een mooi en duidelijk en objectief artikel, goed gedaan!
/u/254707/avatar-smile.png?f=community){kind=avatar}
:strip_icc():strip_exif()/u/395014/crop611ce15ab5fac_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/49308/crop645cc5dfc148d_cropped.jpg?f=community){kind=small}
/u/200296/upyoursthumb60.png?f=community){kind=small}
:strip_icc():strip_exif()/u/220675/crop57972592cf9a0_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/513333/crop58b92df12af71_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/79614/Family-Guy-Victory-is-Ours.jpg?f=community){kind=small}
/u/225781/crop623788092b330_cropped.png?f=community){kind=small}
/u/28892/flo.png?f=community){kind=small}
:strip_icc():strip_exif()/u/216576/AlfaGT.jpg?f=community){kind=small}
/u/28836/crop61ee9dac0811d_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/461359/crop60b1261820cf1_cropped.jpg?f=community){kind=small}
/u/176086/crop5f0823fa5e8d6_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/108031/crop632ac8e142f9e_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/109036/crop580efea56f6f9_cropped.jpeg?f=community){kind=small}
:strip_exif()/u/53522/crop583d477015a24.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/247454/crop67054448c4665.jpg?f=community){kind=small}
