[Password Managers] Discussie- en reviewtopic

XeNeRgY schreef op woensdag 21 oktober 2020 @ 20:28:
[...]

Ik gebruik nog geen password manager om de reden die ik hierboven genoemd heb:

Het nadeel is dat er 1 bekende provider is die al mijn wachtwoorden kent en, belangrijker nog, een overzicht heeft van alle websites en accounts en dus op die manier overal in kan loggen. Als deze gehackt word ben ik mogelijk flink de sjaak.

Security wordt fors verhoogd maar je creëert een single point of failure dat er eerder niet was. Ik heb het dan overigens vooral over online oplossingen als Lastpass.

XeNeRgY schreef op woensdag 21 oktober 2020 @ 20:28:
[...]

Ik gebruik nog geen password manager om de reden die ik hierboven genoemd heb:

Het nadeel is dat er 1 bekende provider is die al mijn wachtwoorden kent en, belangrijker nog, een overzicht heeft van alle websites en accounts en dus op die manier overal in kan loggen. Als deze gehackt word ben ik mogelijk flink de sjaak.

Security wordt fors verhoogd maar je creëert een single point of failure dat er eerder niet was. Ik heb het dan overigens vooral over online oplossingen als Lastpass.

[ Voor 13% gewijzigd door GekkePrutser op 21-10-2020 21:09 ]

GekkePrutser schreef op woensdag 21 oktober 2020 @ 21:04:
[...]


Hier was ik ook bang voor, daarom heb ik zx2c4 pass. Het is nogal technisch allemaal, maar elk paswoord is afzonderlijk ge-encrypt met een public key die op een Yubikey staat (in mijn geval). Die ik ook nog eens moet aanraken voor elke actie.

Dus je hebt geen master paswoord waarmee iemand je hele database mee leeg kan melken. Tegen verlies heb ik meerdere Yubikeys en ook nog een gewone software private key die op een beveiligde USB stick staat en ik alleen in noodgevallen gebruik.

Tot die tijd deed ik het ook zo als jij. Met heel veel sites kan je eigenlijk niks met zo'n account (bestellen bij bol.com maar dan moeten ze zelf betalen want ik sla mijn creditcard nooit op). Maar paswoord lekken gebeuren gewoon te regelmatig nu, en het is stomvervelend om overal je paswoord te gaan veranderen. Daarom vond ik dat het zo niet meer kon.

Dus toen ben ik na gaan denken hoe ik het zelf idealiter wou hebben. Een master paswoord was meteen al van tafel exact om wat je hierboven zegt. Je kan het risico inperken door alles lokaal te draaien (in andermans cloud was voor mij sowieso een non starter). Maar dan nog kan malware je database stelen en je toetsenbord loggen. En van smartcards/yubikeys was ik altijd al fan (in plaats van paswoorden).

Dus ik ben hierop uitgekomen. Er was ook een hele goede Android app voor. En GUI clients voor Windows, Linux en Mac (ik gebruik alle platformen tegelijk dus bijvoorbeeld iCloud Keychain was sowieso geen optie). Ik ben er erg tevreden mee, behalve op het usability punt na. Je moet een git server draaien, en soms heb ik een sync conflict waardoor ik even moet prutsen met commits enzo. Maar qua beveiliging dekt het de scenarios waar ik bang voor was beter af dan een gewone paswoord manager zoals bitwarden (waar ik ook naar gekeken heb) ivm gebrek aan master paswoord.

Als er iets beters komt dat ook op deze manier werkt maar wat minder ingewikkeld is, ga ik daar meteen voor. Op de lange termijn hoop ik dat eindelijk Fido2 met passwordless mode eens van de grond komt. Ik kan nu al zo inloggen op Office 365. Key er in, pincode, yubikey aanraken en hij weet wie ik ben en ik ben ingelogd. Handig en super veilig, zo hoort het te zijn. Maar helaas ondersteunt verder nog niemand dit, en als ze al Fido ondersteunen dan is het alleen de oude U2F (MFA methode naast een gewoon paswoord) en daar heb ik geen interesse in.

XeNeRgY schreef op woensdag 21 oktober 2020 @ 21:24:
[...]

Thx voor je uitgebreide toelichting. Ik ga het eens onderzoeken. Het voelt voor mij vooralsnog niet comfortabel om mijn belangrijkste data in een cloud bij een onbekend bedrijf te plaatsen. De combi met een unieke, fysieke login spreekt mij erg aan.

[ Voor 37% gewijzigd door XeNeRgY op 22-10-2020 22:04 ]

[ Voor 3% gewijzigd door begintmeta op 23-10-2020 10:32 ]

begintmeta schreef op vrijdag 23 oktober 2020 @ 10:29:
@Bl4ckviper, (T)OTP werkt op basis van een shared secret. Een yubikey slaat dat op. Bij een backup key zal je dus diezelfde secret moeten invoeren (dus via de app voor beide keys het shared secret (de QR-code) invoeren bijvoorbeeld). Ik heb een backup-key en daarnaast papieren backup.

Voor het unlocked van keepass mbv een yubikey bestaan vziw meerdere mogelijkheden. Ik gebruik voor mijn passwordmanager de yubikey als een soort key file. Voor die methode zou je ook weer hetzelfde algoritme en secret (voor een challenge-response slot) in de backup key moeten invoeren, voor andere mogelijkheden zijn er eventueel andere vereisten.

Bl4ckviper schreef op vrijdag 23 oktober 2020 @ 10:55:
...

Het komt er dus op neer dat je beide keys direct moet syncen/instellingen aanpassen op het moment dat een nieuw OTP account toevoegt.

En persoonlijk zou ik de key alleen gebruiken als 2fa dus ook op de db icm root pw. Want als iemand als nog je key heeft is die zo binnen.

[ Voor 11% gewijzigd door begintmeta op 23-10-2020 13:23 ]

.SnifraM schreef op donderdag 22 oktober 2020 @ 11:27:
[...]


Je kunt je beter duizendmaal drukker maken dat 1 van de 400 websites waar je een account hebt een breach heeft waardoor je inloggegevens op straat komen te liggen (daarom unieke credentials + 2fa waar mogelijk gebruiken), dan dat de passwordmanager-dienst gehackt wordt. Dat risico is namelijk minimaal. En om dat minimale risico terug te dringen tot 0% kun je een yubikey op je password manager zetten. Ook al ligt dan jouw database op straat, dan is die encrypted en kan hij alleen geopend worden met de combinatie van jouw masterpassword + yubikey. Als je dat niet vertrouwd kun je beter van het internet wegblijven en een paar rollen extra alluminiumfolie in huis halen

begintmeta schreef op vrijdag 23 oktober 2020 @ 13:24:
@Bl4ckviper, ben nog benieuwd hoe je ze concreet gaat gebruiken.

Bl4ckviper schreef op vrijdag 23 oktober 2020 @ 13:30:
...
Als vervanger voor de google authenticator voor alle MFA's.
Verder dus om mijn keepass te unlocken kijk nog ff naar HMAC-SHA1 Challenge-Response of OATH-HOTP.

Tripl3 D schreef op vrijdag 23 oktober 2020 @ 07:40:
@XeNeRgY waarom overweg je Dashlane en Keeper niet? Als ik zo het internet afschuim dan worden die over het algemeen ook hoog gewaardeerd. Ik ben namelijk zelf ook in de oriënterende fase en met name Dashlane spreekt me aan ivm hoge gebruiksvriendelijkheid (wil dit voor het hele gezin) en de goed werkende Android app (krijgt een 4.6 in de Play Store)

XeNeRgY schreef op vrijdag 23 oktober 2020 @ 15:14:
Geen bewuste reden. Er is erg veel keuze. Met LastPass gratis zou ik er al zijn (sync over meerdere platformen is mijn enige echte eis) maar het voelt niet lekker om zelf het product te zijn.

XeNeRgY schreef op donderdag 22 oktober 2020 @ 21:26:
Ik denk dat ik het als volgt ga doen:

- 5 e-mailadressen met uniek wachtwoord + 2FA via iPhone: deze neem ik niet op in de PW-manager
- overige accounts in PW-manager met uniek wachtwoord
- deze accounts hebben als e-mailadres 1 van deze 5 adressen (wachtwoord vergeten is daarmee ook safe)
- het wachtwoord in de PW-manager is niet het wachtwoord waarmee ik in kan loggen, ik voeg achteraan het wachtwoord nog een los woord toe dat ik altijd zelf typ

Zo heb ik wel de voordelen van unieke wachtwoorden die ik zelf niet hoef te onthouden, zonder dat de PW-manager mijn daadwerkelijke wachtwoorden kent. Bij een eventuele hack ben ik dan alsnog safe.

Nu eens kijken welke PW-manager ik ga gebruiken. Lastpass vind ik prettig werken en de gratis variant biedt voldoende features. Maar bij iets dat gratis is ben ik zelf het product, ik kan ook niks over het gratis 'verdienmodel' vinden. 1Password voelt dan al beter omdat het betaald is, maar wel zonde als er een goed gratis alternatief is. Bitwarden vind ik gruwelijk glitchy, veel foutmeldingen alleen al bij registreren en inloggen. Keepass is een stuk complexer en ik betwijfel of de sync tusssen windows - iOS - Linux probleemloos gaat.

Edit:

Ik krijg Bitwarden echt niet aan de gang. Heb nu 2 accounts aangemaakt, inloggen op PC lukt prima maar op 2 iOS apparaten krijg ik continu 'user/password' incorrect als ik op de Bitwarden app wil inloggen Zo wordt het wel erg lastig gebruiken.

user109731 schreef op zondag 25 oktober 2020 @ 12:59:
Ik heb jarenlang Lastpass gebruikt maar ben vorig jaar overgestapt naar een concurrent, omdat Lastpass destijds geen U2F/FIDO2/WebAuthn ondersteunde. Volgens mij zit dat er nu een jaar later nog steeds niet in? Dit is echt wel een flink minpunt vind ik, juist voor een password manager wil je gewoon de sterkste 2FA optie hebben en om daar dan jaren mee te wachten komt totaal niet sterk over.

Bobbje schreef op woensdag 28 oktober 2020 @ 13:17:
Goedemiddag heren,

Na aanleiding van het boek van Daniel Verlaan wou ik ook beginnen met een password manager, namelijk KeepassXC, alleen een ding krijg ik niet voor elkaar. Volgens KeePassXC handleiding moet je meerdere URL's kunnen toevoegen, zie https://keepassxc.org/doc...uide.html#_advanced_usage. Alleen ik zie de optie "Browser Integration" niet in KeePassXC als ik een entry bewerk. Iemand enig idee wat ik fout doen of een work around hebt?

Want loop nu tegen het probleem aan dat ik de URL erbij zet en de gebruikersnaam goed overneemt, alleen dan gaat de sharepoint site verder naar een andere URL en kan daar het wachtwoord niet plakken.

Munchie schreef op woensdag 28 oktober 2020 @ 13:25:
[...]

In Tools > Settings > Browser Integration, Enable browser integration aanvinken. Daarna KeepassXC opnieuw opstarten, en als het goed is verschijnt het dan wel in de entry editor.

[ Voor 3% gewijzigd door Bobbje op 28-10-2020 14:07 ]

begintmeta schreef op vrijdag 23 oktober 2020 @ 14:02:
[...]

Zo gebruik ik de yubikey dus ook (met het HMAC-SHA1-mechanisme (en ik gebruik ook de PKI-functie)), volgens mij zijn de HMAC-SHA1 en OATH-HOTP-mechanismes conceptueel hetzelfde (dat laatste mechanisme gebruikt mijn passwordmanager niet), en het is in wezen geen 2FA, maar een verdeling van de sleutel over verschillende invoermechanismes. De afweging draait er dan denk ik om bij welk mechanisme de mastersleutel het veiligst wordt, en bij welk machanisme het onderscheppen van deelsleutels het minst oplevert.

chielmi schreef op dinsdag 17 november 2020 @ 14:16:
Prima toegankelijke software ook. Mijn vader van 65 had het na een korte uitleg rap door, en gebruikt Bitwarden nu ook!

sorry

• Firefox extensie werkt in zijn geheel niet in Private Mode. Een foutmelding (Unfortunately this window is not available in private mode for this browser.) verwijst naar de website van Bitwarden waar een "omweg" staat uitgelegd, maar ook die werkt niet. En het komt over op mij alsof ze Firefox de schuld daarvan geven, maar ik ken geen andere password manager met hetzelfde probleem? En dit is blijkbaar al héél lang een issue, maar daar wordt niks aan gedaan. Enige optie is dus vanuit een normaal venster of uit de Windows app gebruikersnaam én wachtwoord te copy/pasten.
• Firefox extensie heeft als enige niet de optie om te vergrendelen bij systeem vergrendeling.
• Extensies syncen niet qua settings / uiterlijk, dus elke browser extensie moet je opnieuw instellen.
• Elke extensie moet opnieuw worden ontgrendeld, ondanks aanwezigheid van de Bitwarden app op Windows zelf, die al unlockt is. Zou fijn zijn als je de extensie ook lokaal kon koppelen, zodat alle extensies vanuit de Windows app gecontroleerd/geregeld worden. Enpass doet het op die manier en dat werkt een stuk fijner als je regelmatig van browser wisselt.
• Bitwarden vraagt meer niet dan wel om een nieuwe login op te slaan (vb. Otto, Aliexpress - zowel met Edge als Firefox). Dat kan aan de site liggen, maar Enpass lukt het in al die gevallen dus wel.
• Aanmaken nieuw wachtwoord gaat wat omslachtig. Via de rechter muisklik of extensie waarbij je dan nog steeds daarna moet copy/pasten. Er ontbreekt een simpele autofill optie van een nieuw gegenereerd wachtwoord. Het maakt het dan des te vervelender wanneer je even in een andere browser werkt en deze weer opnieuw moet ontgrendelen.

Freakster86 schreef op maandag 23 november 2020 @ 12:07:

• Firefox extensie werkt in zijn geheel niet in Private Mode. Een foutmelding (Unfortunately this window is not available in private mode for this browser.) verwijst naar de website van Bitwarden waar een "omweg" staat uitgelegd, maar ook die werkt niet. En het komt over op mij alsof ze Firefox de schuld daarvan geven, maar ik ken geen andere password manager met hetzelfde probleem? En dit is blijkbaar al héél lang een issue, maar daar wordt niks aan gedaan. Enige optie is dus vanuit een normaal venster of uit de Windows app gebruikersnaam én wachtwoord te copy/pasten.
• Firefox extensie heeft als enige niet de optie om te vergrendelen bij systeem vergrendeling.
• Extensies syncen niet qua settings / uiterlijk, dus elke browser extensie moet je opnieuw instellen.
• Elke extensie moet opnieuw worden ontgrendeld, ondanks aanwezigheid van de Bitwarden app op Windows zelf, die al unlockt is. Zou fijn zijn als je de extensie ook lokaal kon koppelen, zodat alle extensies vanuit de Windows app gecontroleerd/geregeld worden. Enpass doet het op die manier en dat werkt een stuk fijner als je regelmatig van browser wisselt.
• Bitwarden vraagt meer niet dan wel om een nieuwe login op te slaan (vb. Otto, Aliexpress - zowel met Edge als Firefox). Dat kan aan de site liggen, maar Enpass lukt het in al die gevallen dus wel.
• Aanmaken nieuw wachtwoord gaat wat omslachtig. Via de rechter muisklik of extensie waarbij je dan nog steeds daarna moet copy/pasten. Er ontbreekt een simpele autofill optie van een nieuw gegenereerd wachtwoord. Het maakt het dan des te vervelender wanneer je even in een andere browser werkt en deze weer opnieuw moet ontgrendelen.

Philo Melos schreef op maandag 23 november 2020 @ 16:05:
[...]


Bitwarden werkt gewoon vanuit Firefox private-mode. Als ik de rechtermuisknop indruk verschijnt een menuutje met onderaan Bitwarden. Daar kun je auto-invul kiezen.

Wb vergrendelen: Ik heb ervoor gekozen om dit met een pincode te doen. Scheelt behoorlijk qua inloggen met het hoofdwachtwoord. Moet wel elke keer nadat ik de browser heb afgesloten en nadien weer opnieuw gebruik de pincode weer intoetsen. Maar dat ongemak neem ik voor lief.

Freakster86 schreef op maandag 23 november 2020 @ 16:24:
[...]


Dat heb ik ook ingesteld. Maar ik gebruik afwisselend Firefox, Edge en Chrome (zowel normaal als in private mode). Zodra je de browser sluit, moet je weer je wachtwoord opnieuw invoeren. Bij Enpass regelen ze dit vanuit de Windows app zelf. Dus de extensies zoeken telkens verbinding met die app en je hoeft slechts één keer je hoofdwachtwoord in te voeren bij het opstarten van je PC en vanaf dat moment alleen maar je pincode. Maakt niet uit welke browser je gebruikt of wanneer. Dat werkt echt een heel stuk simpeler.

[ Voor 17% gewijzigd door Stpan op 15-12-2020 15:45 ]

Stpan schreef op dinsdag 15 december 2020 @ 15:41:
Ik ben met mijn vriendin eindelijk aan de passwordmanager, en gekozen voor Dashlane vanwege de (volgens artikelen zoals Tweakers frontpage) gebruiksvriendelijkheid zodat mijn vriendin er ook mee om kan gaan.

Stpan schreef op dinsdag 15 december 2020 @ 15:41:
Ik ben met mijn vriendin eindelijk aan de passwordmanager, en gekozen voor Dashlane vanwege de (volgens artikelen zoals Tweakers frontpage) gebruiksvriendelijkheid zodat mijn vriendin er ook mee om kan gaan.

We gebruiken Windows/Android telefoon/iOS telefoon en een family membership. En goed, het werkt makkelijk.

Maar ik vind het synchroniseren tussen apparaten op hetzelfde account, of het delen met een account, toch een enorme lag hebben. Op je desktop een pw wijzigen en gelijk op je mobiele telefoon gebruiken is geen garantie. En sterker nog - voor 1 website (die van de school) merk ik dat de Edge Extension en de website doodleuk het oude password vasthouden - terwijl de Chrome Extension en de windows applicatie wel het nieuwste sterke password hebben gekoppeld. De wijziging is meer dan 24 uur oud.

Ik word een beetje zenuwachtig van dit soort synchronisatie perikelen, maar kan nergens vinden dat Dashlane hier een slechte reputatie in heeft. Misschien wat beginnerspech? Ik ben benieuwd.

Ik heb voor bovenstaande synchronisatiebug een ticket bij het support center gelogd, en de afhandeling daarvan gaat bepalen of Dashlane een blijvertje is.

marcel87 schreef op zaterdag 19 december 2020 @ 15:50:... Wat heeft het voor zin om 2FA aan te bieden of zelfs te verplichten om vervolgens een apparaat te whitelisten om daarna nooit meer 2FA te gebruiken? Gebruiksvriendelijkheid, maar verder... wtf. Soms in de snelheid vergeet ik het uit te vinken, kan je later weer zoeken om het "vertrouwde" apparaat te verwijderen. Onveilig en vervelend.
...

[ Voor 14% gewijzigd door begintmeta op 01-01-2021 09:43 ]

marcel87 schreef op zaterdag 19 december 2020 @ 15:50:
Ik heb al even gezocht en niet gevonden, maar hoe gaan jullie om met sites die bij inlog met 2FA standaard aanvinken: vraag voortaan niet meer, voeg toe aan vertrouwde apparaten, etc?

Vanuit beveiligingsoogpunt (waar je 2FA op voorhand al voor gebruikt) begrijp ik niet dat sites dit het standaard aangevinkt hebben staan, dus een opt-out ipv een opt-in. Wat heeft het voor zin om 2FA aan te bieden of zelfs te verplichten om vervolgens een apparaat te whitelisten om daarna nooit meer 2FA te gebruiken? Gebruiksvriendelijkheid, maar verder... wtf. Soms in de snelheid vergeet ik het uit te vinken, kan je later weer zoeken om het "vertrouwde" apparaat te verwijderen. Onveilig en vervelend.
Ik heb nog niet kunnen vinden of dit dus in zijn geheel uit te zetten is. Met doel dat je of die optie helemaal niet ziet of dat hij dus opt-in wordt en standaard uitgevinkt is. Ben daarom even nieuwsgierig hoe jullie daar mee omgaan en of het ergens een verborgen instelling is van bijv. outlook, gmail, facebook, etc?

(als de vraag hier niet hoort, aub verplaatsen)

Dacuuu schreef op vrijdag 1 januari 2021 @ 09:33:
[...]


Het whitelisten is iets minder veilig. Maar als iemand achter je wachtwoord is gekomen, moet die persoon nog steeds 2fa inloggen omdat die persoon niet gewhitelist is. Prima toch?

marcel87 schreef op vrijdag 1 januari 2021 @ 16:17:
[...]

Dat klopt, alleen niet als die persoon mijn computer of netwerk heeft gehackt lijkt me en remote toegang heeft. Ik weet niet hoe realistisch dat is, meestal zullen ze idd wel gegevens verzamelen en proberen in te loggen via hun eigen systemen. En dan hebben jullie, @begintmeta en jij gelijk.
Het inloggen via een hack op netwerk/computer/telefoon is dus waar ik enigszins vrees voor heb. Een remote toegang tot je pc of telefoon (maar onzichtbaar) en dan allerlei dingen doen... en dat kan dan omdat de pc/telefoon is gewhitelist. Ik denk op je telefoon een groter risico dan op pc. Als deze inlog elke keer opnieuw moet is kans op misbruik een heel stuk kleiner. Maar misschien kijk ik teveel scammer/hacking filmpjes op Youtube.

Ik begrijp uit jullie teksten dat er eigenlijk niet veel aan te doen is. Behalve dus regelmatig die whitelist controleren en wellicht alle sessies laten uitloggen.

Airw0lf schreef op zondag 20 december 2020 @ 12:28:
[...]


Heb je ook nog anderen geprobeerd/getest?
Indien ja: welke en waarom viel(en) die af?

D2FValinor schreef op vrijdag 1 januari 2021 @ 03:40:
[...]

Ik heb hetzelfde, voornamelijk met de browser extentie. Tussen de apps op mijn mobiele apparaten werkt het wel snel. Verder wel tevreden over. Met black friday weer verlengd voor 20 euro dus ik zit er weer een jaar aan vast

[ Voor 3% gewijzigd door Stpan op 04-01-2021 15:22 ]

Stpan schreef op maandag 4 januari 2021 @ 02:04:
[...]


Ik heb me er gemakkelijk vanaf gemaakt, en heb alleen Dashlane geprobeerd. Als de meest gebruiksvriendelijke Password Manager geen 'user acceptance' zou krijgen thuis, en is de rest bij voorbaat kansloos.


[...]


Ik heb inmiddels antwoord, Dashlane gooit het erop dat de browser extensie niet altijd goed werkt als je op een corporate netwerk zit, vanwege mogelijke

Nu heb ik gisteren prive een password aangemaakt, met behulp van de browser-extensie. En die staat dan 5 minuten later (als ik de app van de bijbehorende website op mijn telefoon installeer) nog niet in de Dashlane app. Toen ik de volgende ochtend checkte stond die er gewoon wel in.

Maar het blijft onhandig.

Mooie deal trouwens voor 20 euro!

[ Voor 16% gewijzigd door Stpan op 05-01-2021 13:16 ]

Milmoor schreef op maandag 4 januari 2021 @ 20:04:
Het nadeel van een Password Manager is dat je die of op het apparaat in kwestie moet openen of moet overtypen van een ander apparaat. Een fijn werkende workaround als je een USB apparaat kan aansluiten: Inputstick. Deze doet een toetsenbord na, en typt in wat je naar hem doorstuurt. Hiermee kan je op je mobiel je Password Manager openen, en deze typt je wachtwoord voor je in op het apparaat waar je deze nodig hebt. Kleine wachtwoorden typ ik nog over, maar ingewikkelde of lange wachtwoorden stuur ik door.
Zelf gebruik ik deze op iOS, samen met Keepass Touch, en mijn wachtwoordbestand met een stevig wachtwoord in Dropbox. Flexibel, en toch veilig. Ik had ook de Apple Password manager of iets anders kunnen gebruiken.

Milmoor schreef op dinsdag 5 januari 2021 @ 21:36:
@Stpan Ik gebruik Keepass Touch op mijn telefoon t.b.v. een wachtwoord manager direct op een computer waar ik het wachtwoord nodig heb. Dat kan trouwens ook met Dashlane i.p.v. Keepass Touch. Ik kan bijv. mijn telefoon om gebruiken om in te loggen op mijn werk PC, of op de laptop van pietje die ik even mag lenen om mijn mail te controleren. Dan hoef ik daar geen password manager te hebben. Een beschikbare USB poort is voldoende. Helpt dit?

Stpan schreef op woensdag 6 januari 2021 @ 04:11:
[...]
En voor die use case raad je aan om een wachtwoordmanager op een USB-stick te gebruiken.
En als dat niet kan, gebruik je een document die je op je Dropbox of andere online vault hebt staan om te kunnen pasten.

GekkePrutser schreef op woensdag 6 januari 2021 @ 04:27:
....

Ik zou eerlijk gezegd sowieso geen paswoorden intypen op een onbekende computer.

Als je dat vaak moet doen kan je beter Fido2 of zoiets gebruiken. Zelfs als je alles onderschept heb je niet genoeg om een nieuwe login te triggeren namelijk. Wat je met een onderschept paswoord natuurlijk wel hebt.

[ Voor 12% gewijzigd door begintmeta op 06-01-2021 08:33 ]

begintmeta schreef op woensdag 6 januari 2021 @ 08:31:
Over het algemeen wordt de login dan toch ook door iets getriggerd dat te onderscheppen is, zoals invoer van een gebruikersnaam of bezoeken van een bepaalde url? Of begrijp ik getriggerd verkeerd? Het is bij fido 2 of een otp- systeem natuurlijk niet mogelijk om door een opnieuw afspelen van een voorgaande procedure de login succesvol af te ronden, wat bij een simpel wachtwoord wel zo is.

GekkePrutser schreef op woensdag 6 januari 2021 @ 13:16:
[...]


Fido2 is niet zoals een OTP systeem, meer zoals een smartcard. De Fido key bevat een asymmetrische sleutel, je kan bewijzen dat je hem hebt, zonder de sleutel zelf af te geven. Een challenge-response systeem.
...

begintmeta schreef op woensdag 6 januari 2021 @ 14:28:
[...]

Denk dat ik “n” inderdaad anders begreep, het is op zich best te troggelen, maar het is lastig/in principe uitgesloten een goede respons te geven op de trigger.

Ik gebruik ook een aantal fido2-sleutels, is inderdaad een mooi systeem, als men het ondersteunt. Mijn yubikey gebruik ik daarnaast tegenwoordig ook als smartcard en gpg-container (en totp-secret-container). Vind dat heel handig moet ik zeggen.

Bij smart cards is het trouwens imho aan te raden een (liefst zelf-beheerste) lezer met geïntegreerd keypad te gebruiken, in verband met het keyloggen.

Stpan schreef op woensdag 6 januari 2021 @ 04:11:
[...]


Dus als ik het goed begrijp, in de gevallen dat je op een computer zit waar je niet jouw wachtwoord manager op kan/mag/wil installeren zou je handmatig een wachtwoord moeten intypen voor een website of een bestand.

En voor die use case raad je aan om een wachtwoordmanager op een USB-stick te gebruiken.

En als dat niet kan, gebruik je een document die je op je Dropbox of andere online vault hebt staan om te kunnen pasten.

Ik moet zeggen dat ik voor mezelf moeite heb om een goede use case te bedenken, want kom nooit in een positie dat ik vertrouwelijke/beveiligde websites bezoek op iemand anders computer. Maar er is een markt, en ik kan me bedenken dat als je een systeembeheerder bent dat dit handig kan zijn.

Overigens kun je Dashlane (en vast vele andere PW managers) altijd via het web bereiken om vanuit daar te copy-pasten, of nog beter: direct door Dashlane in te laten loggen (zodat er niets op het clipboard achterblijft). Dat ljikt me vele malen veiliger dan de Dropbox methode.

JDFS schreef op zondag 17 januari 2021 @ 11:44:
Gisteren met een vriend Bitwarden via de geweldige bitwarden_rs Docker image geïnstalleerd op mijn Synology. Ik ben al sinds 2015 een betalende 1Password-gebruiker, maar bloed kruipt waar het niet gaan kan en het DIY- en open source-gehalte van Bitwarden spreekt mij wel aan. Mijn vriend gebruikt het nu twee weken en is overgestapt van Lastpass, hij heeft nog even 1Password gebruikt maar was helemaal om met Bitwarden.

Ik nu, na 1 dag, ook! Wat een genot om het te draaien op je eigen server, dit via een reverse proxy te kunnen benaderen en het allemaal gewoon goed en strak werkt op verschillende devices (iOS, Windows, Mac in mijn geval).

Nu nog even uitvogelen hoe access lists werken in Nginx en dan is het helemaal dicht. Overigens via Nginx nu ook uitgevogeld de Plex Server open te zetten naar buiten, zonder port forwarding (alles loopt via 80 en 443). Ik ben een leek op het gebied van netwerken, maar toch mooi om te zien hoe dit gaat!

rachez schreef op maandag 18 januari 2021 @ 20:15:
[...]


Nice, wil hier ook eens naar gaan kijken. Heb je een specifieke handleiding op internet gevolgd om je docker container dmv een reverse proxy bereikbaar te krijgen?

[ Voor 16% gewijzigd door JDFS op 18-01-2021 23:15 ]

ndonkersloot schreef op woensdag 20 januari 2021 @ 14:25:
Ik gebruik nu Enpass maar stoor me eraan dat er steeds nieuwe dingen bij komen waar je 'weer' voor moet betalen. Ik heb enpass al langer en eenmalig betaald. Sync mijn DB nu via webdav en buitenhuis via een vpn.

Ik ga waarschijnlijk over op bitwarden, en richt het dan zoals onderstaand in. Zodat websockets werken en fail2ban en ga het dan wel open zetten (met een geoip filter alleen in NL)

https://github.com/sosand...twarden_rs-caddy-synology

docker run -d --name bitwarden -p 9999:80 bitwardenrs/server

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27

    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    server_name bw.xxxxxx.synology.me;
    ssl_certificate /usr/syno/etc/certificate/ReverseProxy/b5c8ee6e-6468-49ab-b480-ebe40c1b3beb/fullchain.pem;
    ssl_certificate_key /usr/syno/etc/certificate/ReverseProxy/b5c8ee6e-6468-49ab-b480-ebe40c1b3beb/privkey.pem;
    add_header Strict-Transport-Security "max-age=15768000; includeSubdomains; preload" always;
    location / {
        proxy_connect_timeout 60;
        proxy_read_timeout 60;
        proxy_send_timeout 60;
        proxy_intercept_errors off;
        proxy_http_version 1.1;
        proxy_set_header        Upgrade            $http_upgrade;
        proxy_set_header        Connection            $connection_upgrade;
        proxy_set_header        Host            $http_host;
        proxy_set_header        X-Real-IP            $remote_addr;
        proxy_set_header        X-Forwarded-For            $proxy_add_x_forwarded_for;
        proxy_set_header        X-Forwarded-Proto            $scheme;
        proxy_pass http://localhost:9999;
    }
    error_page 403 404 500 502 503 504 @error_page;
    location @error_page {
        root /usr/syno/share/nginx;
        rewrite (.*) /error.html break;
        allow all;
    }
}

[ Voor 79% gewijzigd door technorabilia op 20-01-2021 18:40 ]

[ Voor 4% gewijzigd door ndonkersloot op 20-01-2021 22:00 ]

ndonkersloot schreef op woensdag 20 januari 2021 @ 18:57:
En dat is niet zomaar vanuit de gui in te stellen op DSM. Waarschijnlijk wel door de nginx config op de backend aan te passen maar dat is dan weer niet future proof.

rachez schreef op dinsdag 19 januari 2021 @ 21:34:
Thx!

Gebruik je bitwarden buitenshuis dmv een VPN, zoals beschreven?
Lijkt me dan nog wel een dingetje qua gebruiksgemak.

Ik gebruik nu keepass2android icm nextcloud om passwords thuis op te halen, werkt best redelijk qua gebruiksgemak (merged bv nieuwe entries real time in de database thuis), maar moet wel altijd het password handmatig in de browser pasten.
Dus zoek eigenlijk wat beters..

[ Voor 16% gewijzigd door JDFS op 21-01-2021 15:00 ]

L0g0ff schreef op woensdag 27 januari 2021 @ 17:42:
Stel mijn nas fikt af, of ik heb geen internet connectie. Kan ik dan nog bij mijn wachtwoorden?

streamnl schreef op dinsdag 16 februari 2021 @ 09:07:
Door het nieuws op de frontpagina, weer aan het denken over mijn wachtwoord manager.

Ik neig naar (zoals velen) naar Bitwarden.
Ligt aan mijn 4 vragen of ik hiermee door wil gaan.

Als ik een familie account neem, dan kost dat mij $40 pj. Dit kan ik dan delen met 5 andere personen.

Begrijp ik het goed dat de andere in mijn groep alleen een (gratis) account hoeft aan te maken om deel te nemen?

Kan iedereen instellen wat je met wie deelt?
Mijn vrouw mag al mijn wachtwoorden weten (echt waar), maar mensen buiten haar om mag niets weten.

Ik verwacht dat ik (als “admin”) nooit iets kan veranderen bij de ander zijn account. Hooguit eruit gooien. Is dat echt zo?

Stel ik (als “admin”) raak de “admincode” kwijt, wat dan?

Alvast vriendelijk bedankt!

mithras schreef op dinsdag 16 februari 2021 @ 10:13:
[...]
Je hebt eigenlijk een "plan" waarin 5 "users" zitten. Toevallig is een user dan ook account holder, een soort van admin. Dus ja, je schaft een family plan aan en binnen dat plan kunnen 5 gebruikers zich ("gratis", je hebt er namelijk al voor betaald) registeren.

[...]
In de basis heeft iedereen een eigen kluis. Je kan wel een organisatie maken en daarin wachtwoorden stoppen (op eenzelfde manier georganiseerd met mappen en verzamelingen), die gedeeld worden in een groep.

Je kan dus zelf afspreken dat jij alleen maar wachtwoorden toevoegt in de organisatie die je deelt met je vrouw. En dat je niemand anders verder toevoegt in die organisatie. Let wel op dat de popup die Bitwarden toont bij het automatisch toevoegen na registratie, Bitwarden dit item opslaat in je eigen account. Je zal dus zelf altijd de procesafspraak moeten nakomen om vervolgens dat net-aangemaakte wachtwoord te delen in je gedeelde organisatie.


[...]
Je kan als organisatie-eigenaar mensen eruit gooien en een rol aanpassen (gebruiker/manager/beheerder/eigenaar). Je kan nooit van een andere user de persoonlijke wachtwoorden (dus, niet in de gedeelde organisatie) inzien.

[...]
Ik heb daarom 2 mensen eigenaar gemaakt van mijn gedeelde organisatie. Daardoor kunnen we elkaar helpen als het mis zou gaan.

Verder, als je je wachtwoord kwijt raakt, moet je opnieuw beginnen. Je wachtwoorden kan je dan niet meer vrijgeven namelijk. Zie ook https://bitwarden.com/hel...forgot-my-master-password

Hoe het exact zit met een organisatie, gedeelde wachtwoorden en je eigen account verwijderen & opnieuw aanmaken, daar heb ik geen idee over. Je zou daar beter de bitwarden support voor kunnen navragen. Aan jouw account zit namelijk ook het plan gekoppeld met de betalingen, dus ik weet niet welk effect dat heeft als je een recover-delete uitvoert

streamnl schreef op dinsdag 16 februari 2021 @ 10:26:
[...]

Bedankt voor je uitgebreide antwoord.
Het is al een stuk duidelijker. Al die wachtwoordmanagers is voor mij: hoe meer je weet, hoe meer vragen je krijgt

Ik zag net ook iets staan dat je als “organisatie “ met 2 man er gratis in kan zitten. Zoiets zou voor mij al ideaal zijn als ik dan alles kan delen.

Straks na het rennen even rustig op de Mac kijken wat dat precies inhoud. En/of ik dan nog een betaalde account nodig heb.

Nogmaals bedankt

Miki schreef op dinsdag 16 februari 2021 @ 10:34:
Het ligt er natuurlijk aan wat je in wachtwoord manager gaat opslaan maar beveiliging mag ook wat geld kosten. Daar help je tenslotte ook de ontwikkelaar mee om betere software te schrijven en het onderhoud mee te bekostigen.
Als ik zie hoeveel keer per dag ik mijn password manager app gebruik dan zijn de kosten relatief gering tegenover het gemak en het vertrouwen in beveiliging.

S1NN3D schreef op dinsdag 16 februari 2021 @ 14:29:
[Afbeelding]
Tot mij verrassing zag zojuist bovenstaande in Lastpass. In het Free-account is het binnenkort niet meer mogelijk om het zowel mobiel als op een vaste pc te gebruiken. Je moet kiezen voor 1 van de 2 of upgraden naar een betaald account. Dat wordt even afwegen wat handig is... upgraden of overstappen naar een alternatief.

S1NN3D schreef op dinsdag 16 februari 2021 @ 14:29:
[Afbeelding]
Tot mijn verrassing zag ik zojuist bovenstaande in Lastpass. In het Free-account is het binnenkort niet meer mogelijk om het zowel mobiel als op een vaste pc te gebruiken. Je moet kiezen voor 1 van de 2 of upgraden naar een betaald account. Dat wordt even afwegen wat handig is... upgraden of overstappen naar een alternatief.

AlxRoelofs schreef op dinsdag 16 februari 2021 @ 15:23:
[...]

Wellicht ligt het aan mij, maar waar zie je dit precies? Ik krijg deze melding namelijk nergens te zien.

S1NN3D schreef op dinsdag 16 februari 2021 @ 14:29:
[Afbeelding]
Tot mijn verrassing zag ik zojuist bovenstaande in Lastpass. In het Free-account is het binnenkort niet meer mogelijk om het zowel mobiel als op een vaste pc te gebruiken. Je moet kiezen voor 1 van de 2 of upgraden naar een betaald account. Dat wordt even afwegen wat handig is... upgraden of overstappen naar een alternatief.

Drardollan schreef op dinsdag 16 februari 2021 @ 15:47:
[...]


Lekker bezig daar bij LastPass...

Dan maar op zoek naar een alternatief wat gewoon werkt op de PC en iPad. Belangrijkste is dat ik op de iPad vanuit elke app toegang heb tot mijn wachtwoordkluis. Iets wat LastPass sinds enige tijd al kan, geen idee of andere software dit ook kan.

[ Voor 70% gewijzigd door Hmmbob op 16-02-2021 16:13 ]

Drardollan schreef op dinsdag 16 februari 2021 @ 16:09:
[...]

Gratis is niet het belangrijkste, heb jarenlang LastPass Premium gehad. Gestopt toen het duurder werd en nu ik zo beperkt wordt en gelijk €35 moet betalen ben ik er klaar mee

Dank voor de tip!