[Password Managers] Discussie- en reviewtopic

mramazing schreef op woensdag 8 september 2021 @ 18:13:
Wat die backups betreft, is het dan beter om deze te spreiden over verschillende usb sticks? ingeval dat mocht er 1 kwijt of stuk geraken.

Ik denk dat je hier zelf al het antwoord geeft.

Ik heb zelf mijn wachtwoordenbestand op mijn NAS staan die ik alleen lokaal (thuis) op verschillende computers kan benaderen. Deze NAS heeft zijn disken in RAID5 waardoor er een van de vier disken kapot kan gaan zonder gegevensverlies.
Daarnaast heb ik een USB stick met een backup erop die ik bijv. ook meeneem als ik een weekendje weg ga en ik van te voren weet dat ik wachtwoorden nodig ga hebben. Zo paranoïde dat ik ben, heb ik het wachtwoordenbestand in een VeraCrypt container op die USB stick geplaatst. Dus om überhaupt bij het bestand op de stick te komen moet je eerst het wachtwoord van de VeraCrypt container weten en dan nog eens het wachtwoord van je bestand. Beschermt ook net even wat beter bij verlies van je stick. Maar misschien ben ik gewoon iets te paranoïde.

SebasFM schreef op donderdag 9 september 2021 @ 10:48:
[...]

Ik denk dat je hier zelf al het antwoord geeft.

Ik heb zelf mijn wachtwoordenbestand op mijn NAS staan die ik alleen lokaal (thuis) op verschillende computers kan benaderen. Deze NAS heeft zijn disken in RAID5 waardoor er een van de vier disken kapot kan gaan zonder gegevensverlies.
Daarnaast heb ik een USB stick met een backup erop die ik bijv. ook meeneem als ik een weekendje weg ga en ik van te voren weet dat ik wachtwoorden nodig ga hebben. Zo paranoïde dat ik ben, heb ik het wachtwoordenbestand in een VeraCrypt container op die USB stick geplaatst. Dus om überhaupt bij het bestand op de stick te komen moet je eerst het wachtwoord van de VeraCrypt container weten en dan nog eens het wachtwoord van je bestand. Beschermt ook net even wat beter bij verlies van je stick. Maar misschien ben ik gewoon iets te paranoïde.

Inderdaad nu ik mijn eigen vraag nog eens doorneem, geef ik zelf al het antwoord.

Veracrypt ga ik eventueel ook eens bekijken, ben zelf qua beveiliging aan de paranoide kant.

Bedankt voor de hulp!

@SebasFM @mramazing Gewoon een balletje opwerpen, maar als je een USB stick meeslepen met een kopie er op, naast een kopie op je thuis NAS, acceptabel vind. Waarom niet een wachtwoord beveiligd bestand, in een Veracrypt container op een cloud opslag plaatsen welke je dan naast gebruiker + wachtwoord met 2FA beveiligd? Denk dat het risico daarvan net zo groot, of kleiner is als dat je de USB kwijt raakt of iemand die kopieert.

Dat heb ik vroeger gedaan, maar dan zonder een VeraCrypt container. Was daar toen nog niet mee bekend.
Laatste tijd hoor je zo nu en dan dat mensen hun cloud-account kwijt raken omdat er zogenaamd iets in dat account zit wat tegen de regels zou zijn (false positive). Dan zeul ik toch liever zo nu en dan een USB stick mee.

SebasFM schreef op zaterdag 11 september 2021 @ 22:16:
Laatste tijd hoor je zo nu en dan dat mensen hun cloud-account kwijt raken omdat er zogenaamd iets in dat account zit wat tegen de regels zou zijn (false positive).

Naar aanleiding van het verhaal hier op tweakers daarover ben ik begonnen met het spreiden van mijn gegevens, data backups / e-mails / foto backups / inlogs / 2fa allemaal bij verschillende aanbieders opgeslagen.

Dat is meteen de reden dat ik hier even kwam kijken, ik ben namelijk BitWarden gaan gebruiken en dat bevalt best goed. Echter krijg ik bijna nooit de vraag om een wachtwoord te onthouden, vooral als ik op Windows in Edge inlog. Alles moet handmatig toegevoegd worden. Ik ben uiteraard zelf al instellingen nagelopen en heb even op de BW help gekeken maar dan lijkt alles gewoon goed te staan. Heeft iemand toevallig een snel idee waar ik kan kijken?

SirLenncelot schreef op zondag 12 september 2021 @ 08:22:
[...]

Dat is meteen de reden dat ik hier even kwam kijken, ik ben namelijk BitWarden gaan gebruiken en dat bevalt best goed. Echter krijg ik bijna nooit de vraag om een wachtwoord te onthouden, vooral als ik op Windows in Edge inlog.

Onder "settings >> options" bestaat de optie "Disable add login notification".
Staat die misschien aangevinkt?
Longshot - maar voor de zekerheid: heb je nog iets gedaan met contentscreening van webpagina's waardoor javascript geheel of gedeeltelijk uitgeschakeld is?

Ik en mijn vrouw gebruiken 1Password al een aantal jaren.
Nu wilde ik deze ook voor mijn zoontje gaan gebruiken ivm school.
Maar je kan geen gratis account gebruiken.
Ik zou nu best een familie account willen aanschaffen, maar heb het idee dat dit alleen met een creditcard kan.
Weet iemand of dit ook mogelijk is om dat via in-app aankopen kan op IOS?

Of wat is een goed alternatief?
Liefst ook met familie beheer.

Self hosted Bitwarden met "organisaties". Maar weet niet of je al meer dingen zelf host.

Crxtreem schreef op zondag 12 september 2021 @ 11:37:
Ik zou nu best een familie account willen aanschaffen, maar heb het idee dat dit alleen met een creditcard kan.
Weet iemand of dit ook mogelijk is om dat via in-app aankopen kan op IOS?

Of wat is een goed alternatief?
Liefst ook met familie beheer.

Van degene die wij bekeken hebben werd er gebruik gemaakt van een creditcard of Paypal.
Een in-app aankoop maakt het voor die partijen doorgaans niet rendabel vanwege de hoge afdrachten aan Apple of Google.

Wij maken gebruik van Bitwarden met betaling via Paypal.
Ik kan er overheen gekeken hebben; maar bij de Bitwarden app heb ik tot nu toe geen mogelijkheid gezien voor een in-app aankoop.

Crxtreem schreef op zondag 12 september 2021 @ 11:37:
Ik en mijn vrouw gebruiken 1Password al een aantal jaren.
Nu wilde ik deze ook voor mijn zoontje gaan gebruiken ivm school.
Maar je kan geen gratis account gebruiken.
Ik zou nu best een familie account willen aanschaffen, maar heb het idee dat dit alleen met een creditcard kan.
Weet iemand of dit ook mogelijk is om dat via in-app aankopen kan op IOS?

Of wat is een goed alternatief?
Liefst ook met familie beheer.

1Password is één van de gebruiksvriendelijke password managers voor gezinnen dus echt alternatieven zijn er niet. Bitwarden biedt wel iets aan wat er op lijkt maar het is veel meer gericht op de zakelijke markt met het opzetten van organisaties.
Begrijp me goed, Bitwarden is verre van slecht en een goed alternatief alleen niet specifiek gericht op gezinnen.

Bij 1Password kon je vroeger geen in-app aankopen doen als je ooit eens je account had opgezet met een CC. Ik heb echter geen idee of dat nu nog steeds zo geldt. Anders kun je bij praktisch iedere grote supermarkt een tijdelijke CC aanschaffen die je kunt opwaarderen. Je vindt ze naast alle andere cadeau kaarten.

Ik ben dus op zoek naar nieuwe passwoordmanager voor een team. (wachtwoorden/gegevens van klanten zullen hierin bijgehouden worden, serverlogins, office365 logins, backupgegevens etc).

Met meerdere gebruikers mogelijkheid om in te loggen, met een instelbaar gebruikersbeheer wie welke klanten kan zien etc
.
En stel dat er een medewerker het bedrijf verlaat dat er kan opgevraagd worden welke gegevens eventueel moeten aangepast worden etc.

Voor persoonlijk/eenvoudig gebruik zie ik in deze thread er al heleboel, maar ben op zoek naar de business versie die toch wat mogelijkheden heeft. Ik heb wel niet de volledige thread doorgenomen, dus mijn excuses als die vraag hieral inzit, al gezocht, maar nog niet tegengekomen.


Heb al wat gezocht en kom bij volgende uit:
- passportal (
- passcamp
- Bitwarden
- Teampassword

zijn er met ervaringen als bedrijf met een van bovenstaande? Of andere waar jullie heel tevreden van zijn?

ITS PLUS schreef op maandag 13 september 2021 @ 19:05:
Ik ben dus op zoek naar nieuwe passwoordmanager voor een team. (wachtwoorden/gegevens van klanten zullen hierin bijgehouden worden, serverlogins, office365 logins, backupgegevens etc).

Met meerdere gebruikers mogelijkheid om in te loggen, met een instelbaar gebruikersbeheer wie welke klanten kan zien etc
.
En stel dat er een medewerker het bedrijf verlaat dat er kan opgevraagd worden welke gegevens eventueel moeten aangepast worden etc.

Voor persoonlijk/eenvoudig gebruik zie ik in deze thread er al heleboel, maar ben op zoek naar de business versie die toch wat mogelijkheden heeft. Ik heb wel niet de volledige thread doorgenomen, dus mijn excuses als die vraag hieral inzit, al gezocht, maar nog niet tegengekomen.


Heb al wat gezocht en kom bij volgende uit:
- passportal (
- passcamp
- Bitwarden
- Teampassword

zijn er met ervaringen als bedrijf met een van bovenstaande? Of andere waar jullie heel tevreden van zijn?

Wij maken gebruik van Bitwarden - de andere 3 ken ik niet.

Wat voor business-functies zoek je precies?

Zoals je het nu beschrijft kan je met Bitwarden Teams prima uit de voeten.
Zowel voor eigen gebruik als een dienst voor je klanten (in de MSP-uitvoering).
In het laatste geval ben je uiteraard klant bij jezelf...

Voor eigen gebruik maak je per klant een zogenaamde collectie aan.
Met hierin alle gegevens voor die ene klant.
Vervolgens maak je gebruikers aan en koppel je een of meer collecties aan een of meer gebruikers.

Gaat er iemand weg. Dan hoef je binnen een collectie niet perse iets aan te passen.
Gewoon het account van de betreffende ex-medewerker verwijderen en klaar.

Maar het kan zijn dat je daar anders over denkt => ik hoor graag hoe of wat.

Ja ik zoek ook 1 manager die ik kan beheren als Admin, en dan ook voor meerdere gebruikers, maar ook met een optie dat het paswoord niet getoond kan worden aan de gebruikers in hun pw-manager account, ook niet als ze inloggen op een site/app.

Airw0lf schreef op maandag 13 september 2021 @ 22:15:
[...]


Wij maken gebruik van Bitwarden - de andere 3 ken ik niet.

Wat voor business-functies zoek je precies?

Zoals je het nu beschrijft kan je met Bitwarden Teams prima uit de voeten.
Zowel voor eigen gebruik als een dienst voor je klanten (in de MSP-uitvoering).
In het laatste geval ben je uiteraard klant bij jezelf...

Voor eigen gebruik maak je per klant een zogenaamde collectie aan.
Met hierin alle gegevens voor die ene klant.
Vervolgens maak je gebruikers aan en koppel je een of meer collecties aan een of meer gebruikers.

Gaat er iemand weg. Dan hoef je binnen een collectie niet perse iets aan te passen.
Gewoon het account van de betreffende ex-medewerker verwijderen en klaar.

Maar het kan zijn dat je daar anders over denkt => ik hoor graag hoe of wat.

Ivm het weggaan van personeel bedoel ik dat ze bvb in het slechtste geval foto's hebben genomen van de wachtwoorden en om te vermijden dat ze nadien nog toegang zouden hebben pas je die wachtwoorden nadien aan (dat is nu wel in een extreem geval, maar dat is blijkbaar wel functie die je bij passportal wel hebt (al betaal je hier wel 20€/gebruiker/maand, dus die is wel in de duurdere klasse.

Qua businessfuncties lijkt het me idd makkelijks om "klantfiches" aan te maken, met hierin per klant hun uiteindelijke gegevens (office, msp, beveiligingssoftware, serverlogin, ...)

Mel33 schreef op dinsdag 14 september 2021 @ 00:10:
Ja ik zoek ook 1 manager die ik kan beheren als Admin, en dan ook voor meerdere gebruikers, maar ook met een optie dat het paswoord niet getoond kan worden aan de gebruikers in hun pw-manager account, ook niet als ze inloggen op een site/app.

Wat is precies de reden dat je dit niet wilt?
Dat ze het niet kunnen aanpassen snap ik nog, maar als je een gegenereerd wachtwoord hebt van 64 tekens, dan doet niemand daar wat mee toch?

Ik vraag me überhaupt af of het mogelijk is, je kopieert en plakt immers 'text'.

Ik gebruik overigens voorwaarden RS en deel wachtwoorden met meerdere vrienden en familieleden. Werkt top.

[ Voor 7% gewijzigd door Wachten... op 17-09-2021 16:51 ]

Vraagje: kan iemand uit ervaring vertellen hoe ik van google authenticator overschakel naar Authy voor 2FA op 1 en dezelfde mobiel?

Als ik voor elke entry in mijn google authenticator inlog op de website en achtereenvolgens 2FA afzet, terug aanzet en dan de QR code scan met Authy en de entry uit de google authenticator app verwijder.... werkt dit?

Is dit de aangeraden manier om dit te doen?

Je kunt bij Authy een QR code scannen of een lange code invoeren. Alleen hebben de meeste sites met 2FA geen mogelijkheid om nogmaals de (QR) code op te vragen. Uitzetten en weer aanzetten en dan scannen werkt dan meestal wel.

Even een vraagje. Ik overweeg dit ook te gaan aanschaffen maar zit met 1 vraag. Ik probeer het al te googelen maar hoe werken dit soort online-systemen met een app op je tv zoals Netflix. Moet je dan het lange genereerde wachtwoord daar handmatig invullen?

Edit: Inmiddels alsnog antwoord gevonden. Antwoord is ja tenzij je via Apple TV kijkt.

[ Voor 14% gewijzigd door martwoutnl op 03-10-2021 10:50 ]

martwoutnl schreef op zondag 3 oktober 2021 @ 10:46:
Even een vraagje. Ik overweeg dit ook te gaan aanschaffen maar zit met 1 vraag. Ik probeer het al te googelen maar hoe werken dit soort online-systemen met een app op je tv zoals Netflix. Moet je dan het lange genereerde wachtwoord daar handmatig invullen?

Dat kan, maar meestal kun je met die apps inloggen met je mobiel. Je scant dan een code en regelt het koppelen met je mobiel

Hoe gaan jullie om met een Password-manager in combinatie met alle devices tegenwoordig? Denk aan: zakelijke telefoon, prive-telefoon, zakelijke laptop, Ipad, desktop-PC. Moet je overal dan een app installeren van de Pass-word manager die je gebruikt, en de website waar je inlogt herkent?

of hoe werkt dit precies?

Ik wil graag overstappen naar een Password-manager, maar nog zoekende naar het beste en meest werkzame

En raden jullie een specifieke Password-manager aan om mee te starten? Bitwarden / 1Password / Keepass?

[ Voor 11% gewijzigd door MaStar op 08-10-2021 22:28 ]

SebasFM schreef op woensdag 8 september 2021 @ 16:51:
[...]

De Windows versie installeer je op je computer.

Om misverstanden te voorkomen, begrijp ik het dan verkeerd met dat installeren? Altijd gedacht dat dit standaard in Windows 10 zit, omdat de automatisch opgeslagen wachtwoorden daar gewoon worden getoond. Natuurlijk beveiligd met het wachtwoord van je Windows account. Overigens, als je dat account achteloos achterwege laat, staan ze er als je er niets tegen doet gewoon open en bloot voor een "grapjas" die ongemerkt even in je computer kijkt. Maar dat even terzijde, je hoeft het toch niet nog eens te installeren? Het is er immers al.
Wellicht dat een andere passwordmanager, ook op je desktop, wat meer kan, maar dan nog blijft het fijt dat Windows (10) het ook beschikbaar stelt, het lijkt me dat het niet onverstandig zou zijn om dit te verwijderen. Maar ik zie in deze hele discussie niets daarover. Lijdt mij toch tot de eerdere conclusie dat je, als je alleen maar werkt op je thuiscomputer, een wachtwoordmanager niet zoveel toevoegt.

Techneut schreef op zaterdag 9 oktober 2021 @ 12:48:
[...]
Om misverstanden te voorkomen, begrijp ik het dan verkeerd met dat installeren? Altijd gedacht dat dit standaard in Windows 10 zit, omdat de automatisch opgeslagen wachtwoorden daar gewoon worden getoond.

Ik gebruik toch al heel wat jaren Windows 10 (en Linux en Mac) maar ik heb dat nog nooit gezien dat Windows 10 dat ingebouwd heeft. Bedoel je toevallig dat je wachtwoorden in de browser worden opgeslagen?
Soms wil je ook andere zaken bewaren, zoals Serial Numbers van verschillende software pakketten of logins van servers etc. Die kan je niet in de browser bewaren.

MaStar schreef op vrijdag 8 oktober 2021 @ 22:27:
Hoe gaan jullie om met een Password-manager in combinatie met alle devices tegenwoordig? Denk aan: zakelijke telefoon, prive-telefoon, zakelijke laptop, Ipad, desktop-PC. Moet je overal dan een app installeren van de Pass-word manager die je gebruikt, en de website waar je inlogt herkent?

of hoe werkt dit precies?

Ik wil graag overstappen naar een Password-manager, maar nog zoekende naar het beste en meest werkzame

En raden jullie een specifieke Password-manager aan om mee te starten? Bitwarden / 1Password / Keepass?

Ik doe dit ook zo inderdaad. Heb mijn PW manager op mijn FreeBSD desktop, mijn Windows Game PC, diverse telefoons en tablets enz... Is inderdaad het voordeel.

Werk en prive combineren doe ik alleen niet meer. Voor werk gebruik ik nu keepass omdat dit verplicht is bij ons. En mijn PW manager gebruikte SSH om te syncen (git protocol) en dat was verrekte lastig om bij ons door de firewall te krijgen. Keepass syncen is weer super omslachtig maarja. Het zij zo.

Dus nu doe ik het maar zoals het moet. Ik vind het nu ook wel fijn om prive en zakelijk helemaal gesplitst te hebben. Ik had wel vaak dat ik op de werk laptop zat en een kennis als grap een linkje stuurde via whatsapp, en ik er op klikte en de website geblokkeerd werd ivm geblokkeerde content... Dan zit ik me toch altijd af te vragen wie naar die logs kijkt

Dus nu heb ik mijn werk spul alleen op werk hardware. Met uitzondering van mijn telefoon waar het werkgebeuren in een work profile draait (een soort container binnen je telefoon).

SebasFM schreef op zaterdag 9 oktober 2021 @ 13:01:
[...]


Ik gebruik toch al heel wat jaren Windows 10 (en Linux en Mac) maar ik heb dat nog nooit gezien dat Windows 10 dat ingebouwd heeft. Bedoel je toevallig dat je wachtwoorden in de browser worden opgeslagen?
Soms wil je ook andere zaken bewaren, zoals Serial Numbers van verschillende software pakketten of logins van servers etc. Die kan je niet in de browser bewaren.

Inderdaad bedoel ik de browsers, ik begrijp nu pas dat voor de Windows-versie aparte actie is vereist. En als je het echt goed zou willen doen moet je na het installeren van welke passwordmanager dan ook dit het in alle browsers die je aan boord hebt disabelen. Doe je dat niet, dan staan ze in die browsers gewoon standaard beschikbaar.

In mijn beleving komt dat nagenoeg op hetzelfde neer als een echte manager. Vooropgesteld dat er behalve mijn vrouw, nooit iemand over m'n schouders meekijkt. Die andere zaken zoals Serial Numbers etc. heb ik weinig tot geen interesse in, die bewaar ik als het nodig is toch apart. Het leidt me dan ook opnieuw tot de vraag wat, voorop gesteld dat ik het alleen maar thuis op m'n desktop gebruik, welke toegevoegde waarde het voor me heeft. Immers die browsers onthouden gewoon alles wat ik wil, behalve m'n bank en DIGID. Maar die onthoud ik zelf wel. Zelf of eventueel op een andere manier onthouden is toch ook nodig met het wachtwoord van die passwordmanager en een paar andere zaken.

Bij die eerdere discussie hier gaf ik toe dat er zeker enkele aspecten pleiten voor toch voor een paswordmanager te kiezen. Dat geef ik nog steeds toe, versta me niet verkeerd, Maar niet bij iedereen spelen die aspecten echt een rol. Bij ons volstaat gewoon het afsluiten van Windows bij even afwezig zijn.

raidlabs schreef op zaterdag 9 oktober 2021 @ 01:20:
[...]


Klopt, tenzij je TV het toestaat om de input te doen middels een telefoon (als het ware een afstandsbediening). Bij ATV kan dit inderdaad en dat werkt erg prettig. Mogelijk kunnen Android gedreven TVs dit ook met Google apparaten of middels een third party app op iOS ook.

Ik heb een recente Samsung TV (QE55QN95).

MaStar schreef op zaterdag 9 oktober 2021 @ 21:55:
[...]


Maar hoe werkt dat dan precies

Je installeert de app dan op alle devices die je gebruikt? En als je op een device wilt inloggen waar die PM niet op staat?

Nou gewoon.. Dan installeer je de app, of je vraagt het wachtwoord op op een andere computer/telefoon en tikt hem over

MaStar schreef op zondag 10 oktober 2021 @ 11:43:
Bitwarden nu geïnstalleerd en eerate test op Tweakers gedaan. Nog zoekende naar de meest effectieve werking.

Zit er vanuit Bitwarden app ook automatische koppeling naar zo'n inlog website?

Nu open ik eerst de Bitwarden app, ga naar de betreffende website, kopieer het wachtwoord, ga terug naar Tweakers en log zo in. Beetje omslachtig.

Daar is de browser plugin voor:

Firefox: https://addons.mozilla.or...ferral&utm_content=search

Chrome: https://chrome.google.com...bapebfimnlniiiahkandclblb

MaStar schreef op zondag 10 oktober 2021 @ 11:43:
Ja, maar als je onderweg bent en die app staat op de Desktop is dat natuurlijk super onhandig

Ja in dat geval dus gewoon de app installeren op je telefoon. Overtikken is omslachtig ja, vooral voor het geval je het niet kan/mag installeren (werk apparatuur bijv.) of het niet praktisch is omdat je het maar eenmalig doet.

[ Voor 18% gewijzigd door GekkePrutser op 10-10-2021 13:01 ]

GekkePrutser schreef op zondag 10 oktober 2021 @ 12:59:
[...]


Daar is de browser plugin voor:

Firefox: https://addons.mozilla.or...ferral&utm_content=search

Chrome: https://chrome.google.com...bapebfimnlniiiahkandclblb


[...]


Ja in dat geval dus gewoon de app installeren op je telefoon. Overtikken is omslachtig ja, vooral voor het geval je het niet kan/mag installeren (werk apparatuur bijv.) of het niet praktisch is omdat je het maar eenmalig doet.

Browser extensie lijkt niet te werken op telefoon. Althans. Zie niets verschijnen in mijn login pad.

MaStar schreef op zondag 10 oktober 2021 @ 13:27:
[...]


Browser extensie lijkt niet te werken op telefoon. Althans. Zie niets verschijnen in mijn login pad.

Ahaa, ik dacht dat je op de desktop bedoelde.

Op de telefoon heb je op Android "AutoFill". Dat herkent invoervelden en koppelt met de wachtwoordmanager die je gebruikt. Dat werkt heel handig omdat het niet alleen binnen websites werkt maar ook andere apps. Ik gebruik zelf geen BitWarden maar in mijn wachtwoordmanager moest ik de autofill optie handmatig aanzetten.

Op iOS weet ik niet hoe dat in zijn werk gaat.

[ Voor 7% gewijzigd door GekkePrutser op 10-10-2021 13:37 ]

Ja, ik geef je volledig gelijk, maar dat had ik een paar berichten terug allang uitgebreid becommentarieerd. Met o.a. het feit dat de browsers de meeste toegepaste wachtwoorden ook bewaren, zonder dat men er iets voor hoeft te installeren. Inclusief de nadelen ervan die ik beslist niet ontken, maar die door uiteenlopende niet nader te noemen omstandigheden waarin ze zich bevinden, voor de een zwaarder kunnen wegen dan voor de ander. Dat is wat ik bedoelde met dat al of niet iets van toegevoegde waarde ervan, Mogelijk zijn die berichten je ontgaan, maar even terugbladeren lijkt me niet zo'n probleem. Al die argumenten nogmaals te herhalen lijkt me dan ook vrij zinloos.

Boys ik ben pas van werk verandert en daar gebruiken ze https://passwork.me/
Even bekeken en ziet er wel ok uit.
Iemand ervaring mee ?

Techneut schreef op zondag 10 oktober 2021 @ 18:06:
Ja, ik geef je volledig gelijk, maar dat had ik een paar berichten terug allang uitgebreid becommentarieerd. Met o.a. het feit dat de browsers de meeste toegepaste wachtwoorden ook bewaren, zonder dat men er iets voor hoeft te installeren. Inclusief de nadelen ervan die ik beslist niet ontken, maar die door uiteenlopende niet nader te noemen omstandigheden waarin ze zich bevinden, voor de een zwaarder kunnen wegen dan voor de ander. Dat is wat ik bedoelde met dat al of niet iets van toegevoegde waarde ervan, Mogelijk zijn die berichten je ontgaan, maar even terugbladeren lijkt me niet zo'n probleem. Al die argumenten nogmaals te herhalen lijkt me dan ook vrij zinloos.

Evenals je reactie. Volgende keer gewoon even diep ademhalen en door! Wordt iedereen blijer van.

Ik wilde 1Password gaan proberen en dat beviel op zich goed. Toen kwam ik bij de betaalmethode: Creditcard vereist. De workaround die ik hier en daar las was het kopen van een giftcard en deze dan gebruiken om het abonnement te betalen. Dat werkte niet want ik had het regeltje 'werkt niet bij .eu accounts' over het hoofd gezien. Geen refund mogelijk, dus als iemand hier interesse heeft in een giftcard van €50 maar er geen €50 voor wil betalen, stuur mij maar een pb.

Inmiddels gebruik ik Bitwarden want daar kon ik wel enigszins normaal betalen.

leecher schreef op dinsdag 9 november 2021 @ 18:15:
Ik wilde 1Password gaan proberen en dat beviel op zich goed. Toen kwam ik bij de betaalmethode: Creditcard vereist. De workaround die ik hier en daar las was het kopen van een giftcard en deze dan gebruiken om het abonnement te betalen. Dat werkte niet want ik had het regeltje 'werkt niet bij .eu accounts' over het hoofd gezien. Geen refund mogelijk, dus als iemand hier interesse heeft in een giftcard van €50 maar er geen €50 voor wil betalen, stuur mij maar een pb.

Inmiddels gebruik ik Bitwarden want daar kon ik wel enigszins normaal betalen.

Betalen via de Apple/Google store?

@raidlabs

las ik ook ergens maar ik heb daar geen betaalgegevens gekoppeld en had geen zin om dat te doen. Bitwarden werkt ook prima, de interface is net wat minder gelikt maar de prijs is ook wel weer een stukje vriendelijker.

Ik gebruik momenteel een Excel file met een wachtwoord voor het opslaan van mijn wachtwoorden.
Nu zit ik te kijken naar een wachtwoord manager.

Ik twijffel over de volgende 2 opties:
1. Excel met mijn yubikey static password beveiligen
Het voordeel hiervan is dat alles lokaal is. Het static password is zo lang dat het kraken lang duurt.
2. Bitwarden
In combinatie met mijn yubikey erg sterk. Maar de cloud uitdagingen zorgen ervoor dat ik twijffel. Wat als ze over worden genomen, stoppen of worden gehackt. Etc. Dit is bij optie 1 geen probleem.

Lastig...

RedCellNL schreef op vrijdag 12 november 2021 @ 20:25:
Ik gebruik momenteel een Excel file met een wachtwoord voor het opslaan van mijn wachtwoorden.
Nu zit ik te kijken naar een wachtwoord manager.

Ik twijffel over de volgende 2 opties:
1. Excel met mijn yubikey static password beveiligen
Het voordeel hiervan is dat alles lokaal is. Het static password is zo lang dat het kraken lang duurt.
2. Bitwarden
In combinatie met mijn yubikey erg sterk. Maar de cloud uitdagingen zorgen ervoor dat ik twijffel. Wat als ze over worden genomen, stoppen of worden gehackt. Etc. Dit is bij optie 1 geen probleem.

Lastig...

Het risico van gehacked worden speelt in beide gevallen. Alleen zullen de gevolgen van een heel andere ordegrootte zijn.

Als Bitwarden gehacked wordt komen de hackers terecht in een omgeving waarin alles versleuteld is. De versleuteling is gekoppeld aan het hoofdwachtwoord van elk account. Tenzij de hacker alle hoofdwachtwoorden weet te achterhalen en in gaat voeren hebben ze eigenlijk niks gewonnen: https://bitwarden.com/help/article/account-encryption-key/

Als jouw systeem-met-Excel-sheet gehacked wordt is het meteen gedaan - eenmaal bij de Excel sheet heeft de hacker toegang tot al je gegevens. Een Excel-bestand wat met een wachtwoord beveiligd is doet daar weinig aan af - zo lijkt het in ieder geval: https://excel.wiki/werkblad-wachtwoord-beveiliging-kraken/ (nooit geprobeerd - ik gebruik geen Excel sheets met wachtwoorden)

Maar dit zijn slechts mijn € 0,10 - ik hoor graag als je het anders ziet.

Ik kreeg gisteren een e-mail mbt Lockwise

On December 13th 2021, the Firefox browser will be officially "resorbing" Firefox Lockwise. Don't worry, all your saved Lockwise passwords will still be available through the Firefox browser using a Firefox account.

What happens to Lockwise?

The Firefox Lockwise app will no longer be updated and supported by Mozilla and will not be available in the Apple App and Google Play Stores. After that date, current Lockwise users can continue to access their saved passwords and their password management in the Firefox desktop and mobile browsers.

Ik had alles goed voor mekaar, sinds ruim een jaar passwords op een privacy vriendelijke platform wat ook op iOS devices werkt, krijg je dit weer.....

Hebben jullie tips voor een (nog) privacyvriendelijk password management platform?
Hoe verhouden die suggesties zich tot de iCloud password manager?

Mijn enige extra voorwaarde is een (nagenoeg) naadloze integratie in mijn webbrowser (Firefox)

[ Voor 1% gewijzigd door jeffrodo op 24-11-2021 12:12 . Reden: typos ]

Bitwarden.

jeffrodo schreef op woensdag 24 november 2021 @ 12:11:
Ik kreeg gisteren een e-mail mbt Lockwise


[...]

Ik had alles goed voor mekaar, sinds ruim een jaar passwords op een privacy vriendelijke platform wat ook op iOS devices werkt, krijg je dit weer.....

Hebben jullie tips voor een (nog) privacyvriendelijk password management platform?
Hoe verhouden die suggesties zich tot de iCloud password manager?

Mijn enige extra voorwaarde is een (nagenoeg) naadloze integratie in mijn webbrowser (Firefox)

Bitwarden misschien?

Omdat ik hoofdzakelijk gebruik maak van Windows en Linux Mint heb ik Bitwarden ingezet als password manager. Ik heb geen iOS apparaten en maak beperkt gebruik van macOS => geen noemenswaardige ervaring met iCloud.

[ Voor 5% gewijzigd door Airw0lf op 24-11-2021 12:22 ]

jeffrodo schreef op woensdag 24 november 2021 @ 12:11:
Ik kreeg gisteren een e-mail mbt Lockwise


[...]


Ik had alles goed voor mekaar, sinds ruim een jaar passwords op een privacy vriendelijke platform wat ook op iOS devices werkt, krijg je dit weer.....

Hebben jullie tips voor een (nog) privacyvriendelijk password management platform?
Hoe verhouden die suggesties zich tot de iCloud password manager?

Mijn enige extra voorwaarde is een (nagenoeg) naadloze integratie in mijn webbrowser (Firefox)

Ik gebruik Enpass, daarbij kan je zelf bepalen waar je de database opslaat (lokaal of in je cloudopslag), en ze hebben apps voor iOs en Android. Ik gebruik geen Firefox, maar voor Chrome hebben ze een extensie, dus die hebben ze vast ook voor Firefox. Is wel betaald, en sinds ik lifetime kocht zo'n beetje verdubbeld in prijs. Maar ik gebruik hem inmiddels al meerdere jaren en ben er erg over te spreken.

Hier ook geen klachten over Enpass.
Vooral dat je je eigen database kunt hosten op nextcloud en wel nice features krijgen via een betaald pakket vind ik prima. Daar heb ik het geld wel voor over.

Okee, dank voor de reacties, ik ga bitwarden en enpass eens onderzoeken.

Eigen opslag/database in de cloud is mss de beste oplossing ivm privacy/veiligheid.

Maar als ik dan in het ziekenhuis beland of het loodje leg dan zijn ze hier thuis gelijk onthand als er iets niet werkt of aangepast moet worden…

jeffrodo schreef op vrijdag 26 november 2021 @ 08:57:

Eigen opslag/database in de cloud is mss de beste oplossing ivm privacy/veiligheid.

Wel een bijzondere stelling... die "eigen opslag in de cloud"... lijkt verdacht veel op een "contradictio-in-terminis"...

Maar ik hoor graag hoe je dat ziet?

Airw0lf schreef op vrijdag 26 november 2021 @ 09:57:
[...]


Wel een bijzondere stelling... die "eigen opslag in de cloud"... lijkt verdacht veel op een "contradictio-in-terminis"...

Maar ik hoor graag hoe je dat ziet?

De database wordt versleuteld, dus naast dat je een cloudoplossing kan kiezen die je vertrouwt, heb je ook aan het bestand niets zonder het wachtwoord(zin)

Zelf gebruik ik Stackstorage, wat in ieder geval op NL servers staat.

Daarnaast zou je een thuisserver met owncloud o.i.d. kunnen draaien. Dan heb je echt je eigen cloudserver. of je huurt ergens een VPS, dan heeft ook niemand anders toegang tot jouw server, mits je de boel versleutelt.

Wild Chocolate schreef op vrijdag 26 november 2021 @ 20:05:
[...]

De database wordt versleuteld, dus naast dat je een cloudoplossing kan kiezen die je vertrouwt, heb je ook aan het bestand niets zonder het wachtwoord(zin)

Zelf gebruik ik Stackstorage, wat in ieder geval op NL servers staat.

Daarnaast zou je een thuisserver met owncloud o.i.d. kunnen draaien. Dan heb je echt je eigen cloudserver. of je huurt ergens een VPS, dan heeft ook niemand anders toegang tot jouw server, mits je de boel versleutelt.

Die versleuteling heb je bij Bitwarden ook. Dat wil zeggen dat er per account een sleutel is die gekoppeld is aan je hoofdwachtwoord. Geen wachtwoord? Dan ook geen sleutel! En dus geen toegang. Een hacker die alle bij bestanden bij Bitwarden weghaalt kan er dus niks mee.
Een hacker die binnenkomt via een account heeft alleen toegang tot de gegevens van dat ene account.
https://bitwarden.com/help/article/what-encryption-is-used/

Niet genoeg? Dan kan je Bitwarden zelf hosten met opslag en versleuteling naar keuze.
En omdat het open source is kan je zelf ook nog eens de code tjekke op "rariteiten".

Ik raad zeker Bitwarden aan.

Enpass raadde ik vroeger altijd aan, ik had meerdere professional lifetime licenties echter hebben ze extra functies achter een nieuwe premium licentie geplaatst. Er stond ook bij Enpass PRO All Access (lifetime) wat ze later hebben veranderd naar Enpass PRO Pro features. Zelfs hun eigen blog meldde dat alle nieuwe pro features erin zouden zitten, maar goed, dat telt natuurlijk niet als je een nieuwe tier maakt (en waarom zouden ze dat over een jaar niet weer doen? Enpass Plus, Enpass Diamond, etc.)

Het mooie aanbod voor de levenslange premium licenties was een korting van 50 cent per jaar. Na geklaag op hun forum was het aanbod 40% korting op een levenslange licentie (dus 43 euro) terwijl een paar maanden daarvoor de levenslange premium licentie nog 25 dollar was (15 met een coupon).

Hun beredenering was dat de breach detectie constant geld kost en dus niet rendabel is. Toch gek dat ze alsnog levenslange licenties uitgeven en het zelfs verkochten voor minder dan ze daarna konden aanbieden.

Oh en die nieuwe feature die de pro licentie niet had, daar hadden wij een grote rode banner bovenaan in de password manager voor die meer dan 3 maanden niet weg geklikt kon worden.

Just my 2 cents.

[ Voor 7% gewijzigd door MoonRaven op 27-11-2021 16:57 ]

@MoonRaven

Ik zag je prijs-hint in het Black Friday / Cyber Monday draadje en volgde je link naar hier.

Ik gebruik sinds maart dit jaar Enpass Family. Hiervoor gebruikte ik ± 3 jaar 1Password. Voorafgaand aan beide omschakelingen heb ik me aardig goed ingelezen in de mogelijkheden van dat moment.

Het probleem met passwordmanagers is, dat er altijd wel wat op af te dingen is. De ene zit de VS, waarvan sinds de openbaringen van Snowden eigenlijk niemand meer verbaasd zou zijn als ze bij elk it-bedrijf app een achterdeurtje hebben. Een ander werkt alleen met een server-side database model, wat imho verre van ideaal is. De volgende is zelfs al een keer gehackt..

Wat betreft de prijs. Toen ik begon met 1PW kocht ik een licentie. Als in: bleef altijd werken met je huidige os. Eens in de zoveel tijd moest je die hernieuwen, tegen een lagere update-prijs, als macOS een grote update kreeg. Op die manier kon je er ook voor kiezen niet elke betaalde update te kopen maar een grote macOS-update over te slaan.

Later dwong 1PassWord gebruikers tóch naar een abonnement, door updates alleen nog in abonnementsvorm aan te bieden. Dat terwijl ze eerder daar juist altijd tegen waren. Maar ja, ze waren overgenomen en dan gaat er vaak ineens een andere wind waaien.

Bij Enpass vind ik de documentatie nogal mager en onduidelijk, maar alles staat lokaal of in ieder geval je eigen cloud en ik nog geen bugs meegemaakt. En ze reageren wel binnen een redelijke termijn op vragen via het forum. En er zijn clients voor alle populaire platforms.

Terug naar het financiële aspect. Ik heb zoals gezegd nu een jaar Enpass Family.

(Bedrijven die) password managers maken — of welke andere bedrijven / software dan ook, kunnen het op lange termijn niet volhouden op levenslange licenties, met eenmalige betalingen. Dat lukt alleen zolang er genoeg nieuwe klanten 'instappen' maar zeker met de groeiende keus aan pw-managers en langzaamaan beter wordende standaard beschikbare mogelijkheden van os-en, droogt dat een keer op.


Ik zou een levenslange licentie van Enpass overwegen, als het ook bruikbaar was als Family, maar als ik het goed begrijp zijn er alleen persoonlijke levenslange licenties. Dus dan zou ik er voor mezelf en drie familieleden vier moeten kopen x € 53,39 (Black Friday 2021 prijs) = € 213,56.

Dat vind ik veel te gortig. Zelf heb ik honderden wachtwoorden, ook van klanten, maar mijn familie gebruikt maar een handjevol logins. Als ik ze niet achter hun broek zou zitten, en meestal het nog voor ze beheer ook, zouden ze al hun wachtwoorden op één A5-je bijhouden.

Ik zou nog liever hebben dat Enpass zou zeggen: Levenslang kan niet, maar als je het voor 5 jaar neemt, krijg je een fikse korting.


Ik zie dat ik het Family-abonnement in maart voor een jaar gekocht heb voor € 17,76. Dat was toen 50% korting op de volle Family-prijs van € 35,53. Inmiddels is de volle Family-prijs al € 42,99 per jaar.

Dit voelt net zo oneerlijk aan als bij 1PW: Met schappelijke prijzen wordt je binnengehaald en daarna gaat de prijs heel hard omhoog. Nogmaals, ik begrijp best dat levenslang niet realistisch is, maar dit is het andere uiterste.

RedCellNL schreef op vrijdag 12 november 2021 @ 20:25:
Ik gebruik momenteel een Excel file met een wachtwoord voor het opslaan van mijn wachtwoorden.
Nu zit ik te kijken naar een wachtwoord manager.

Ik twijffel over de volgende 2 opties:
1. Excel met mijn yubikey static password beveiligen
Het voordeel hiervan is dat alles lokaal is. Het static password is zo lang dat het kraken lang duurt.
2. Bitwarden
In combinatie met mijn yubikey erg sterk. Maar de cloud uitdagingen zorgen ervoor dat ik twijffel. Wat als ze over worden genomen, stoppen of worden gehackt. Etc. Dit is bij optie 1 geen probleem.

Lastig...

Het is een beetje oude post, maar ik wou nog toevoegen aan wat de anderen zeiden dat Excel ook niet bepaald goed is met het omgaan met beveiligd materiaal. Buiten dat het te bruteforcen is, zal het ook reservekopieen opslaan enzo.

Als je heel graai lokaal wil doen, zou ik gewoon KeePass of een alternatieve implementatie gebruiken. Ik gebruik zelf KeePassXC dat ook Yubikeys kan gebruiken. Dit is echt bedoeld om wachtwoorden te bewaren, en bovendien heb je dan ook de mogelijkheid voor browser plugins als je dat wil, zodat je niet steeds hoeft te knippen/plakken (buiten het extra werk, je klembord is ook heel makkelijk te sniffen voor malware).

Bij ons op het werk is KeePass onze officiele wachtwoordmanager, en het heeft ook ons interne certificatieproces goed doorlopen. Is niet echt een complete security audit maar er wordt wel gekeken naar bekende zwaktes.

[ Voor 11% gewijzigd door GekkePrutser op 27-11-2021 23:58 ]

Ah, nu is duidelijk waarom die free tier op de schop moest bij LastPass: LastPass wordt een eigen bedrijf en kan dan makkelijker verkocht worden omdat het meer waard is met meer betalende klanten

https://www.theverge.com/...dependent-company-logmein

Na een poosje gewerkt te hebben met KeePassXC wil ik eigenlijk wel de overstap maken naar Bitwarden.
Twijfel nog tussen simpelweg via bitwarden af te sluiten (maar dan moet ik weer paypal aanmaken, die ik net gesloten had ) of self-hosted.

Self-hosted zou ik dan bij een Nederlandse partij willen doen maar hoe kan ik dan goed zorgen voor de beveiliging? Zou dan natuurlijk ook een domeinnaam nodig hebben om overal toegang te kunnen hebben naar mijn bitwarden. Hebben jullie tips voor een veilige hosting en domeinnaam service?

[ Voor 6% gewijzigd door Cranzai op 18-12-2021 18:07 ]

@laptopleon
Ik heb enpass premium lifetime icm nextcloud voor de opslag van de vault, maar daar kan je dacht ik wel meerdere vaults aanmaken.
Kan je dat dan niet gebruiken bij meerdere familieleden?

Nee, want een Enpass-abonnement hangt aan een Apple ID en die familieleden hebben allemaal een eigen Apple ID.

Komt bij dat, zelfs als ze allemaal hetzelfde Apple ID zouden gebruiken, er maar één kluis per Apple ID per cloud gebruikt kan worden. Dus je zou één persoon een kluis in iCloud kunnen laten gebruiken en één persoon een kluis in nextcloud en één in Dropbox, één in Google Drive, OneDrive, Box en Webdav. Dus het kan wel maar het wordt wel een ratjetoe van accounts.

@rachez
Ik heb rond maart dit jaar voor mezelf en verschillende familieleden ieder Enpass vaults aangemaakt, voor ieder een eigen kluis in zijn of haar eigen iCloud.

Wil je dan nog een tweede kluis, een gedeelde, 'familiekluis' om wachtwoorden te delen, dan kan dat, maar niet via iCloud. Je kan namelijk maar één klus per cloudservice, per Enpass-account gebruiken.

Dat staat dus wel ergens op de site maar niet bij uitleg over hoe multiple vaults op te zetten. Dat doen ze wel vaker: Cruciale info weglaten of niet vermelden in de handleiding Staat dan vaak wel ergens in de FAQ of forum maar handig is anders.

Ik meen dat het een populaire feature request was om meerdere vaults per cloud te kunnen gebruiken en dat Enpass beloofde dit toe te voegen in de toekomst, maar zover ik kan zien is dat nog niet gebeurd. Misschien willen ze het wel mede niet omdat veel mensen met het hele huishouden een Apple ID delen en dan geen Family account meer hoeven kopen.

[ Voor 4% gewijzigd door laptopleon op 19-12-2021 22:15 ]

Check, dat wist ik niet.

Hoewel het bij Own/Nextcloud dan wel weer enigzinds lijkt te kunnen, maar goed dat is niet wat je zoekt.

But in case, if you are using the WebDAV/OwnCloud or Folder sync, then you can use the same cloud to sync different vaults by defining a separate path/folder for each vault.

Even een vraag over het zelfhosten van Bitwarden. Ik zie dat daar kosten aan zijn verbonden als je de premium opties wil, de vraag is of ik dan ook nodig heb:

Er moeten 2 accounts aangemaakt kunnen worden. Beiden met een aparte wachtwoord lijst. Daarnaast wil ik ook graag 1 lijst met gedeelde wachtwoorden.

Nu verwacht ik dus dat ik met een free org al klaar ben, 2 factor etc hoef ik nog niet.

Klopt dit?

Tribunus schreef op maandag 20 december 2021 @ 16:54:
Even een vraag over het zelfhosten van Bitwarden. Ik zie dat daar kosten aan zijn verbonden als je de premium opties wil, de vraag is of ik dan ook nodig heb:

Er moeten 2 accounts aangemaakt kunnen worden. Beiden met een aparte wachtwoord lijst. Daarnaast wil ik ook graag 1 lijst met gedeelde wachtwoorden.

Nu verwacht ik dus dat ik met een free org al klaar ben, 2 factor etc hoef ik nog niet.

Klopt dit?

Als je zelf gaat hostsen kan je ook vaultwarden hosten, das gratis.

rachez schreef op zondag 19 december 2021 @ 22:22:
Check, dat wist ik niet.

Kun je ook bijna niet weten zonder er tegenaan te lopen

Hoewel het bij Own/Nextcloud dan wel weer enigzinds lijkt te kunnen, maar goed dat is niet wat je zoekt.

Intussen met de familie over gehad en die gebruiken het hele Enpass toch niet. Ze gebruiken de iCloud Sleutelganger en de rest gaat ze boven de pet of ze vinden het wel prima..

Dus ik heb nu zelf een ‘levenslang’ Enpass licentie genomen, in de aanbieding, met Black Friday en het Family abonnement laat ik verlopen.

MerijnB schreef op maandag 20 december 2021 @ 17:07:
[...]


Als je zelf gaat hostsen kan je ook vaultwarden hosten, das gratis.

+1

Met het voordeel dat de vaultwarden implementatie veel lichter / kleiner is en dus makkelijker zelf te hosten. Staat je trouwens vervolgens niets in de weg om alsnog een bitwarden licentie te nemen om de ontwikkeling te steunen

LastPass master passwords zijn mogelijk gecompromitteerd:
https://www.bleepingcompu...asswords-are-compromised/

LastPass zelf doet het af als 'credential stuffing' (hergebruik van gebruiker/wachtwoord combinaties bij eerdere lekken) maar er worden ook meldingen gemaakt van inlogpogingen op unieke wachtwoorden of net gewijzigde wachtwoorden.

Je master password niet uniek maken zou ook niet erg handig zijn...


Zorg dat 2FA in orde is...

dutchgio schreef op dinsdag 28 december 2021 @ 19:52:
LastPass master passwords zijn mogelijk gecompromitteerd:
https://www.bleepingcompu...asswords-are-compromised/

LastPass zelf doet het af als 'credential stuffing' (hergebruik van gebruiker/wachtwoord combinaties bij eerdere lekken) maar er worden ook meldingen gemaakt van inlogpogingen op unieke wachtwoorden of net gewijzigde wachtwoorden.

Je master password niet uniek maken zou ook niet erg handig zijn...


Zorg dat 2FA in orde is...

Het lijkt me niet aannemelijk dat de servers van LP zijn gehacked. Mijn onderbuik zegt dat we het waarschijnlijk moeten zoeken in de browser hoek (Chrome extension) of een malicieuze Android app of ander soort malware.

Het gaat er bij mij niet in dat de masterkeys zomaar op straat liggen.

[ Voor 5% gewijzigd door Miki op 29-12-2021 11:44 ]

Miki schreef op dinsdag 28 december 2021 @ 22:06:
[...]

Het lijkt me niet aannemelijk dat de servers van LP zijn gehacked. Mijn onderbuik zegt dat we het waarschijnlijk moeten zoeken in de browser hoek (Chrome extension) of een malicieuze Android app of ander sportief malware.

Het gaat er bij mij niet in dat de masterkeys zomaar op straat liggen.

Denk ik ook, vraag is dan wel welke browser dat is, of mogelijk welke app versie op mobiele telefoon, genoeg mensen met root op hun telefoon of geen software updates aan.

dutchgio schreef op dinsdag 28 december 2021 @ 19:52:
Zorg dat 2FA in orde is...

Ik voel me heel dommig, maar ik had het voor m'n eigen 1Password ook nog niet gedaan.

We hadden 1P altijd self-hosted op iCloud, maar zijn overgegaan op hun Family plan dat door hun is gehost. Daarbij kwamen een berg extra secrets, die veilig zijn opgeslagen. Maar het kwam toentertijd niet bij me op even te kijken of MFA ook mogelijk was.

Net maar gauw ingeschakeld. En nee, geen rare unknown devices in de lijst

FP artikeltje over deze issue:

nieuws: LastPass-gebruikers krijgen melding van inlogpoging met master passwo...

Oh, en een relevante update: het was een bug.

nieuws: LastPass: meldingen van inlogpoging kwamen door fout in waarschuwings...

Raar verhaal vanuit LastPass weer.
Eerst wordt het afgedaan als bot activiteit en nu is het een bug in het waarschuwingssysteem.

dutchgio schreef op woensdag 29 december 2021 @ 20:31:
Raar verhaal vanuit LastPass weer.
Eerst wordt het afgedaan als bot activiteit en nu is het een bug in het waarschuwingssysteem.

In dit log4j-tijdperk is het commercieel gezien beter als het "bot-verhaal".
Immers, een "bug" als deze is te fixen door wat duck-tape over het betreffende dashboard lampje te plakken.
Bij een bot-activiteit is een duck-tape-achtige aanpak weer wat lastiger.

Nou ik ben ook eindelijk overgestapt naar een password manager

Het heeft even geduurd, maar ik kreeg toch steeds vaker mails van diensten dat er vage logins waren uit verre landen, aangezien ik volgens Google 900 keer wachtwoorden hergebruikte (en die ook allemaal uitgelekt waren) dacht ik, toch maar eens een wachtwoord manager gaan gebruiken.

Nu heb ik het als volgt aangepakt:
Vanuit Google Chrome een export gemaakt naar CSV bestand. Dat waren ruim 1200 regels.
Die ben ik één voor één doorgelopen. Daar ben ik wel een aantal dagen mee bezig geweest. Hier stond veel oude meuk in van websites die niet meer bestaan (bijvoorbeeld Hyves ). Die heb ik allemaal eruit gehaald. Van veel zaken waar ik geen gebruik meer van wilde maken heb ik mijn account verwijderd (indien mogelijk). In sommige situaties ben ik zo vrij geweest mezelf maar te anonimiseren door er random dingen in te vullen. Als laatste heb ik dan ook mijn e-mailadres en wachtwoord aangepast naar iets willekeurigs.

Toen ik daarmee klaar was had ik nog iets meer dan 400 regels over in mijn CSV bestand. Dit bestand heb ik vervolgens naar Bitwarden geüpload. Nu heb ik voor de belangrijkste diensten mijn wachtwoord al aangepast naar een sterk gegenereerd wachtwoord. Dit heb ik opgeslagen in Bitwarden. Bitwarden host ik zelf op mijn NAS.

Nu bekroop me toch het idee dat ik hiermee wel een single point of failure maak, namelijk: stel mijn nas gaat stuk dan ben ik al mijn wachtwoorden kwijt. Om dat te voorkomen heb ik de wachtwoorden toch ook maar weer opgeslagen in Chrome. Iets minder veilig misschien, omdat iemand die fysiek toegang heeft tot mijn computer enkel het Windows wachtwoord hoeft te weten om mijn wachtwoorden in Chrome in te zien, maar goed, hoe groot is die kans?

Daarbij heb ik voor de belangrijkste zaken (indien mogelijk) 2FA ingeschakeld.

Wat denken jullie, is dit een beetje veilig en goed geregeld, of zijn er nog zaken die beter kunnen?

miicker schreef op woensdag 5 januari 2022 @ 12:13:
Nu bekroop me toch het idee dat ik hiermee wel een single point of failure maak, namelijk: stel mijn nas gaat stuk dan ben ik al mijn wachtwoorden kwijt.

Wat voor NAS en software versie gebruik je?
Misschien van daaruit een backup maken naar een S3-clone zoals bijvoorbeeld Wasabi?
Idealiter in de vorm van een stukje immutable storage?

[ Voor 66% gewijzigd door Airw0lf op 05-01-2022 15:14 ]

Airw0lf schreef op woensdag 5 januari 2022 @ 15:13:
[...]


Wat voor NAS en software versie gebruik je?
Misschien van daaruit een backup maken naar een S3-clone zoals bijvoorbeeld Wasabi?
Idealiter in de vorm van een stukje immutable storage?

Ik gebruik een Synology NAS. Ik maak al backups van mijn data naar de cloud. Dat zou ik ook kunnen doen met de vault. Ik gebruik nu Dropbox.

miicker schreef op woensdag 5 januari 2022 @ 20:11:
[...]


Ik gebruik een Synology NAS. Ik maak al backups van mijn data naar de cloud. Dat zou ik ook kunnen doen met de vault. Ik gebruik nu Dropbox.

Dropbox is geen backup - tenminste niet als je belang hecht aan een herstel die een grote kans van slagen heeft bij malware/ransomware.

Bij een defecte NAS en zo - daarvoor werkt het prima.

miicker schreef op woensdag 5 januari 2022 @ 12:13:
Nu bekroop me toch het idee dat ik hiermee wel een single point of failure maak, namelijk: stel mijn nas gaat stuk dan ben ik al mijn wachtwoorden kwijt.

Aangezien je Bitwarden als Docker image draait en dan ook vast de config en database van buiten de Docker container hebt gemount, dan kun je eenvoudig de externe folder mee laten lopen in je backup. Dan geen enkel probleem.

Ze alsnog in Chrome zetten is heel gevaarlijk, er is voldoende malware die dat soort wachtwoorden gewoon kan uitlezen. Dat zal met Bitwarden niet snel gebeuren.

miicker schreef op woensdag 5 januari 2022 @ 12:13:
Bitwarden host ik zelf op mijn NAS.

Nu bekroop me toch het idee dat ik hiermee wel een single point of failure maak, namelijk: stel mijn nas gaat stuk dan ben ik al mijn wachtwoorden kwijt. Om dat te voorkomen heb ik de wachtwoorden toch ook maar weer opgeslagen in Chrome. Iets minder veilig misschien, omdat iemand die fysiek toegang heeft tot mijn computer enkel het Windows wachtwoord hoeft te weten om mijn wachtwoorden in Chrome in te zien, maar goed, hoe groot is die kans?

Daarbij heb ik voor de belangrijkste zaken (indien mogelijk) 2FA ingeschakeld.

Wat denken jullie, is dit een beetje veilig en goed geregeld, of zijn er nog zaken die beter kunnen?

De data van vaultwarden (voorheen bitwarden_rs) wordt opgeslagen in een SQLite databasebestandje, zie https://github.com/dani-g...iki/Backing-up-your-vault. Je kan het eenvoudig handmatig of via de taskscheduler van Synology backuppen.

Barkrukhenkie schreef op donderdag 6 januari 2022 @ 08:54:
[...]


De data van vaultwarden (voorheen bitwarden_rs) wordt opgeslagen in een SQLite databasebestandje, zie https://github.com/dani-g...iki/Backing-up-your-vault. Je kan het eenvoudig handmatig of via de taskscheduler van Synology backuppen.

Alleen... Ik denk niet dat je die data makkelijk even in kan zien?

Daarom heb ik 2 instanties van vaultwarden op 2 synology's gedockerd. 1 instantie staat uit en van de live instantie wordt de data dagelijks gekopieerd naar de data folder van de uitgeschakelde instantie.

Kostte me wel 2 NASsen, maar die had ik toch al.

Met dit project kan je een plain text backup laten maken https://github.com/0xERR0R/bitwarden-backup-docker

Die zou ik dan niet naar je Dropbox uploaden:

plain text (!) export of user passwords (as JSON) and attachments (multiple user supported)
NOTE: BE AWARE: You have to define username and password as environment variable -> all passwords will be exported as plain text. Backup file is protected by defined password (Zip) -> this is NOT secure. Use this backup only in protected local network!!!

@miicker Verwijder alles bij Chrome. Ik zou in plaats daarvan een gratis Bitwarden account aanmaken en daar om de zoveel maanden even (handmatig) de vault updaten met een export/import. Je kunt dan gelijk switchen in het geval je server noemenswaardige downtime heeft en het kost je slechts een paar minuten werk. Wel opletten dat je het bestand daarna echt verwijderd (shift+delete) van je pc.

Ik ben nu aan het testen met Zoho Vault ter vervanging van Lastpass premium. Zoho Vault heeft als nadeel dat je geen biometrische unlock kunt doen op Windows en Macos. Op Windows schijnen ze hier mee bezig te zijn, maar op Macos zal ik denk ik regelmatig het master password in moeten voeren. De enige andere manieren om dit gebruiksvriendelijker te maken zijn spelen met de time-out instellingen en het master password makkelijker maken om in te typen. Lijkt me allebei geen goed plan.

Ook wat betreft de MFA en dat met name Yubikeys (ter vervanging of aanvulling van Authy) ben ik er nog niet helemaal over uit welke oplossing het beste is. Als ze nou een product hadden dat biometrisch beveiligd is en daarnaast op zowel Windows/Macos (USB-C) als iOS (NFC) werkte, maar die functionaliteit is echter beperkt.

Daarnaast vraag ik me af hoe verstandig het is om 1 Yubikey te hebben waarmee je zowel je 2FA als password manager kan ontgrendelen. En ook al zou je 2 nemen, als ze toch aan dezelfde sleutelbos hangen....

Ik ben bereid best ver te gaan wat betreft kosten en het moeten onthouden van complexere wachtwoorden en pincodes, zolang het maar een beetje prettig werkt en veilig is. Maar er zit natuurlijk wel een grens aan. Als ik voor 250 euro klaar ben dan is dat nog tot daar aan toe, maar zoveel uitgeven om vervolgens overal nog compromissen te moeten sluiten... Ik kan er natuurlijk ook niet vanuit gaan dat m'n geheugen altijd zo goed blijft

[ Voor 23% gewijzigd door Qlimaxxx op 07-01-2022 15:34 ]

250 Euro uitgeven, dat is 7 jaar LastPass premium abonnement, waarom moeilijk doen? Of voldoet LP niet (meer) voor jou?

Qlimaxxx schreef op vrijdag 7 januari 2022 @ 15:21:
Ook wat betreft de MFA en dat met name Yubikeys (ter vervanging of aanvulling van Authy) ben ik er nog niet helemaal over uit welke oplossing het beste is. Als ze nou een product hadden dat biometrisch beveiligd is en daarnaast op zowel Windows/Macos (USB-C) als iOS (NFC) werkte, maar die functionaliteit is echter beperkt.

Daarnaast vraag ik me af hoe verstandig het is om 1 Yubikey te hebben waarmee je zowel je 2FA als password manager kan ontgrendelen. En ook al zou je 2 nemen, als ze toch aan dezelfde sleutelbos hangen....

Als je een yubikey wil gebruiken om je veiligheid te vergroten, dan is het idee erachter dat je alleen kan aanmelden met een yubikey en met niets anders. Anders kan een aanvaller de alternatieve methode alsnog misbruiken. Als je alleen toegang mogelijk maakt met een yubikey, dan is het verstandig er twee te hebben. Eentje die je gebruikt en eentje als backup die je veilig opbergt.

Dit was voor mij de reden om Bitwarden premium te nemen zodat ik het zo kon inregelen. En sinds kort kun je er ook op je telefoon met yubikey inloggen en heb ik alle alternatieven uitgeschakeld.

swhnld schreef op zondag 9 januari 2022 @ 22:51:
250 Euro uitgeven, dat is 7 jaar LastPass premium abonnement, waarom moeilijk doen? Of voldoet LP niet (meer) voor jou?

Dat bedrag is een beetje natte vinger werk, maar daarmee doelde ik op een hardware-key die biometrie met de functionaliteit van een normale Yubikey 5 met NFC combineert (en dan nog een backup-key).

LastPass voldoet wel, maar heeft nadelen. Geen biometrische unlock in de browser plug-in, geen U2F/Fido MFA. Zoho Vault biedt bijna al die functionaliteit gratis of voor een lager maandbedrag.

De vraag gaat ook meer over hoe je die passwordmanager beveiligt.

BytePhantomX schreef op maandag 10 januari 2022 @ 09:56:
[...]


Als je een yubikey wil gebruiken om je veiligheid te vergroten, dan is het idee erachter dat je alleen kan aanmelden met een yubikey en met niets anders. Anders kan een aanvaller de alternatieve methode alsnog misbruiken. Als je alleen toegang mogelijk maakt met een yubikey, dan is het verstandig er twee te hebben. Eentje die je gebruikt en eentje als backup die je veilig opbergt.

Dit was voor mij de reden om Bitwarden premium te nemen zodat ik het zo kon inregelen. En sinds kort kun je er ook op je telefoon met yubikey inloggen en heb ik alle alternatieven uitgeschakeld.

Het feit dat LP alleen TOTP ondersteunt is een van de redenen waarom ik naar alternatieven kijk. Ik was eigenlijk van plan naar Bitwarden over te stappen als mijn LP Premium verloopt. Ben echter sinds kort over gestapt op Zoho Desk en dat bevalt dusdanig goed dat ik Zoho Vault ook een kans geef. Ben nu nog ZZP-er, maar als ik groei wil ik dit goed geregeld hebben. Waar het delen van credentials niet te voorkomen is, vind ik samenwerking dan wel belangrijk.

Helaas is LP niet de enige service die enkel TOTP ondersteund. Ik ben het met je eens dat Fido/U2F de voorkeur heeft, maar veel services hebben die ondersteuning niet, of enkel Windows en macOS en niet op iOS/Android. Er is dus nog geen ontkomen aan TOTP of een backup-oplossing zodat ik ook op m’n telefoon in kan loggen. Als je dan toch TOTP doet, dan is het wel veiliger om dat op een Yubikey te doen in plaats van software. Echter ondersteunt de Yubikey Bio alleen Fido en geen smartphones. Een normale Yubikey is toch minder veilig zonder biometrische verificatie.

En wat is de meerwaarde van 2FA als je beide factoren in handen krijgt met 1 Yubikey?

In mijn geval heb ik Bitwarden met als enige optie het gebruik van de Yubikey. Dat betekent dat ik op elk apparaat de Yubikey nodig heb om in te kunnen loggen. Dat kan omdat ze het sinds kort ook in de Android app ondersteunen. Ik heb dan dus username/password en key nodig. Alleen de key is niet voldoende.

Mijn reden om het zo te doen, is dat er toch genoeg phishing naar credentials wordt gedaan en er malware rondgaat om TOTP codes af te lezen. Juist tegen die 'veelvoorkomende' gevallen wil ik mij beschermen.

Ik begrijp deze opmerking dan ook niet zo goed:

Qlimaxxx schreef op maandag 10 januari 2022 @ 11:00:
En wat is de meerwaarde van 2FA als je beide factoren in handen krijgt met 1 Yubikey?

BytePhantomX schreef op maandag 10 januari 2022 @ 12:20:
In mijn geval heb ik Bitwarden met als enige optie het gebruik van de Yubikey. Dat betekent dat ik op elk apparaat de Yubikey nodig heb om in te kunnen loggen. Dat kan omdat ze het sinds kort ook in de Android app ondersteunen. Ik heb dan dus username/password en key nodig. Alleen de key is niet voldoende.

Mijn reden om het zo te doen, is dat er toch genoeg phishing naar credentials wordt gedaan en er malware rondgaat om TOTP codes af te lezen. Juist tegen die 'veelvoorkomende' gevallen wil ik mij beschermen.

Ik ben geneigd om te denken dat iets dat zo belangrijk is als een Yubikey beter beveiligd zou moeten zijn dan fysiek bezit en een pincode. Wat dat betreft heb ik meer vertrouwen in biometrische beveiliging.

Daarnaast is m’n Ledger ook al beveiligd met een pincode. Zowel Windows Hello als mijn iPhone verplicht een pincode als backup. De apps van Rabobank, ING, SNS en Digid moeten ook beveiligd worden met een pincode.

Bij zo’n pincode wil je liever geen voorspelbare pincodes (datum, telefoonnummer) of patronen (veel herhalingen of op-/aflopend). Je wil ze liever ook niet hergebruiken, maar je kunt ook niet oneindig veel wachtwoorden en pincodes onthouden (of onthouden welke PIN je voor welke dienst gebruikt). Eigenlijk hetzelfde probleem als waarvoor nu juist een passwordmanager is bedacht, behalve dan dat pincodes vaak korter zijn en regelmatig alleen cijfers bevatten.

Biometrische beveiliging is niet alleen veiliger, ook veel praktischer.

Wat doe jij dan indien een dienst alleen TOTP ondersteunt? Geen MFA?

Ik begrijp deze opmerking dan ook niet zo goed

[...]

Zowel passwordmanagers als MFA-oplossingen (of dat nou software of hardware is met TOTP) wil je toch zo goed mogelijk beveiligen?

Als je ze allebei met eenzelfde Yubikey beveiligd dan creëer je toch een single point of failure. Indien die comprised raakt hebben ze toch beide factoren? En als je dan 2 Yubikeys neemt om dat te splitten heb je ze waarschijnlijk alsnog aan dezelfde sleutelbos hangen, dus dat zet ook geen zoden aan de dijk.

Denk bijvoorbeeld aan TOTP op een Yubikey die je ook gebruikt voor authenticatie met je passwordmanager. Nu ik dit zo schrijf lijkt het me bijna veiliger om TOTP juist niet op een Yubikey te zetten, want als je die kwijtraakt hebben ze bij veel diensten die niets passwordless werken nog steeds niks aan je wachtwoorden.

Note to self: misschien maak ik dit wel te ingewikkeld

[ Voor 3% gewijzigd door Qlimaxxx op 10-01-2022 15:34 ]

Ik ben bang dat ik je redenatie niet helemaal kan volgen.

De biometrische beveiliging / Window Hello en een Yubikey gebruiken mogelijk allemaal dezelfde standaard, namelijk FIDO2/WebAuthn.

In mijn geval gebruik ik een YubiKey als tweede factor, naast mijn wachtwoord. Dat betekent dat als iemand over mijn Yubikey beschikt, hij ook nog mijn wachtwoord nodig heeft. Ik ben er dus helemaal niet bang voor om dat ding te verliezen, dan kan iemand er nog niet bij. In sommige gevallen heb je ook nog een extra pincode nodig, dus dan is het Wachtwoord, YubiKey + Pincode.

Die YubiKey gebruik ik niet als TOTP. Ik weet dat je hem ook zo kan gebruiken, maar dat doe ik dus expliciet niet. Juist 1 van de redenen om te wisselen van Lastpass naar Bitwarden. Als je hem voor TOTP wil inzetten, dan voegt het weinig toe.

Als een dienst geen YubiKey ondersteunt, dan doe ik het beste wat mogelijk is, vaak TOTP met een authenticator app.

YubiKeys splitten, dat begrijp ik niet helemaal. Ik heb er 1 aan mijn sleutelbos en twee backups. Maar nooit meer dan 1 nodig om in te loggen.

Ik heb hier sinds een paar weken Passbolt draaien als self hosted passwordmanager, daarvoor had ik Keepass met het bestand op mijn fileserver maar het grote nadeel van die oplossing was dat het niet werkte met mobiele apparaten.

Nu dus Passbolt en met de recente toevoeging van officiële mobiele apps voor Android en iOS moet ik zeggen dat ik het een hele mooie oplossing vind. Heb er zelf wel voor gekozen om e.a. niet via internet beschikbaar te maken, ik moet dus eerst een VPN verbinding maken met mijn mobiele apparaten alvorens ik erbij kan.

Wat betreft de recente geïntroduceerde mobiele apps werken die over het algemeen goed. Op iOS werkt het zelfs echt super inclusief het automatisch invullen van inloggegevens in alle apps en browsers. Op Android werkt de app op zich goed maar moet ik vooralsnog wel handmatig de wachtwoorden kopiëren vanuit de passbolt app, ik krijg automatisch invullen daar nog niet werkend.

Keepass werkt prima met mobiele apparaten, ik gebruik het dagelijks op tablet en foon. Er zijn wat derde partij apps die het bestand kunnen oppakken vanaf bijvoorbeeld Dropbox of Onedrive.

Ik ben op mijn Synology via docker Vaultwarden aan het opzetten maar loop tegen een probleem aan.
Alles draait maar als ik een gebruiker heb aangemaakt en ik probeer in te loggen logt hij in en direct weer uit met de melding " uitgelogd je inlogsessie is verlopen "
Heb als test even op mijn andere docker server geprobeerd en daar precies hetzelfde.
Iemand hetzelfde probleem?

edit : stom ik had in Nginx proxy manager een acces list rule aangemaakt

[ Voor 9% gewijzigd door ComTech op 17-01-2022 20:30 ]

Ik gebruik sinds een jaartje dashlane en heb hier Dark Web monitoring op ingeschakeld voor wat mailadressen.

Nu krijg ik de volgende melding:

The following information may have been released without your permission or knowledge and is likely the result of a company's data being hacked or breached.

BREACH DATE
June 21, 2021

EMAIL AFFECTED
<mijn zakelijke mail>

DATA AFFECTED
personal information, email.

Er staat een website bij die mij niet bekend is. Wat is handig om te doen? Bedrijf een mailtje sturen? Ik vind het bijvoorbeeld gek dat het na een half jaar pas boven water komt. Vanuit Dashlane staat er verder geen informatie of vervolg bij. Als ik google op de site kom ik ook weinig tegen. Wellicht hen benaderen?

Iemand ervaring met een melding vanuit Dashlane en wat er mee te doen? Is de kwaliteit van meldingen wel goed/hoog?

Gooi je zakelijke adres eens door haveibeenpowned?

Hi allemaal,

Momenteel gebruik ik LastPass premium voor al mijn wachtwoorden. Ik twijfel om over te stappen. Ik gebruik eigenlijk alleen maar een paar echte functionaliteiten van Lastpass zoals de autofill op Windows & iPhone en de 2FA. Voor de rest heeft LastPass leuke functies zoals die veilige notities, dashboard etc. maar dat gebruik ik gewoon niet. Ik lees geregeld goeie verhalen over Bitwarden als alternatief voor LastPass. Ik krijg het gevoel dat LastPass een beetje aan het rommelen is. Bovendien vind ik betalen voor een service, waar een gratis alternatief is, niet altijd even handig.

Ik zat te kijken naar Keepass, maar daarover twijfel ik of dat wel lekker werkt met AutoFill in browser en iPhone. Bitwarden leek mij ook een mooi alternatief, maar daar heb ik zelf geen ervaring mee.

Zijn er échte voordelen t.o.v. Bitwarden & Lastpass?

Hmmbob schreef op vrijdag 21 januari 2022 @ 13:06:
Gooi je zakelijke adres eens door haveibeenpowned?

Die gaf geen lekken aan, dus mooi groen.

Heb de site gegoogled; geen belletje ging rinkelen. Daarna in m’n mailbox gezocht en blijk ooit via een aanbieder via deze club een demo-ongeving te hebben ontvangen. Inmiddels beide partijen ingelicht per telefoon en details per mail. Kreeg van de partij genoemd door Dashlane netjes een mailtje dat het maandag wordt. De andere partij (groot en internationaal) nam het ook serieus had ik het gevoel.

Mocht dit de aanleiding/lek zijn (lijkt me wel, behoorlijk specifiek) dan gaat het gelukkig enkel om mijn zakelijke mail en is er voor mij persoonlijk weinig aan de hand, buiten wellicht wat extra spam en phishing mijn kant op…