[Password Managers] Discussie- en reviewtopic

Ik kan bevestigen dat MindYourPass een volledig zelfstandig bedrijf is.

*knip, geen reclame* Wachtwoorden worden berekend ipv opgeslagen. Hierdoor is er geen kluis nodig zoals bij traditionele wachtwoord managers. Jij hebt enkel nog 1, makkelijk te onthouden wachtwoord nodig (of biometrisch op je mobiel) en MindYourPass zorgt voor de *knip* wachtwoorden voor elk van je accounts. *knip* Bovendien is MindYourPass privacy-by-design. Hierdoor blijf jij volledig anoniem.

De MindYourPass wachtwoordoplossing is inderdaad gratis voor privé gebruik. Je ontvangt geen reclame of beperkingen op het product. MindYourPass heeft geen persoonsgegevens van je die het kan doorverkopen.

In een zakelijk abonnement wordt de wachtwoord oplossing gecombineerd met een product dat het gebruik van goede wachtwoorden kan meten en kan afdwingen.

*knip*

Airw0lf schreef op vrijdag 8 april 2022 @ 17:39:
[...]


Ik weet het niet - in de folder staat het volgende:

[...]


Moest het van Centric zijn, dan zou zoiets toch niet gepubliceerd worden?

Verder zijn er ook geen publicaties te vinden van een overname:
https://www.mindyourpass.io/about.html

Voorlopig is mijn conclusie dat Centric het verkoopt aan hun klanten.
Maar geen eigenaar is.

[ Voor 49% gewijzigd door F_J_K op 08-11-2022 08:28 . Reden: Forum is geen marketingkanaal. Ik laat de schijnbaar feitelijke delen vd post staan ]

Merijndj schreef op maandag 7 november 2022 @ 23:36:
Ik kan bevestigen dat MindYourPass een volledig zelfstandig bedrijf is.

MindYourPass is een revolutionair-nieuwe, Nederlandse cybersecurity oplossing voor wachtwoorden. Wachtwoorden worden berekend ipv opgeslagen. Hierdoor is er geen kluis nodig zoals bij traditionele wachtwoord managers. Jij hebt enkel nog 1, makkelijk te onthouden wachtwoord nodig (of biometrisch op je mobiel) en MindYourPass zorgt voor de sterkst-mogelijke wachtwoorden voor elk van je accounts. Super makkelijk en super veilig dus! Bovendien is MindYourPass privacy-by-design. Hierdoor blijf jij volledig anoniem.

De MindYourPass wachtwoordoplossing is inderdaad gratis voor privé gebruik. Je ontvangt geen reclame of beperkingen op het product. MindYourPass heeft geen persoonsgegevens van je die het kan doorverkopen.

In een zakelijk abonnement wordt de wachtwoord oplossing gecombineerd met een product dat het gebruik van goede wachtwoorden kan meten en kan afdwingen.

Neem gerust eens contact op bijvoorbeeld door een berichtje te sturen naar info@mindyourpass.com.


[...]

Maar zo te zien is jullie platform niet opensource. Dit valt dat direct af voor mij om er überhaupt naar te kijken.

Security/beveiliging en opensource is wat mij betreft een pre. Dus als je als bedrijf security/beveiliging hoog in het vaandel hebt, dan zou je (wat mij betreft) een opensource oplossing moeten aanbieden zoals bitwarden of KeePass.

Jammer dat je geen kennis wilt nemen van deze innovatie van Nederlandse bodem enkel omdat het geen Open Source is.

Er zijn meerdere manieren om veiligheid te kunnen garanderen zonder dat iets Open Source moet zijn. Onze techniek is gepatenteerd zodat je er van alles over kunt lezen. Daarnaast hebben we onafhankelijke partijen tot op broncode niveau naar ons product laten kijken en deze laten certificeren.

MindYourPass is een Nederlands product en wij staan altijd open om in gesprek te gaan over deze oplossing. Bel of mail dus gerust.

Ik ben een voorstander voor Nederlandse (of EU) producten. Goed bezig

Maar ik snap @Wachten... wel. Als ik de kennis zou hebben om iets te kunnen maken voor de privacy cq beveiliging, dan zou ik persoonlijk altijd voor open source kiezen.

Je speelt open kaart en dat vind ik (als gebruiker) een prettig idee. Niet dat ik er iets mee kan, maar mensen met kennis wel.

Merijndj schreef op dinsdag 8 november 2022 @ 22:30:
Jammer dat je geen kennis wilt nemen van deze innovatie van Nederlandse bodem enkel omdat het geen Open Source is.

Er zijn meerdere manieren om veiligheid te kunnen garanderen zonder dat iets Open Source moet zijn. Onze techniek is gepatenteerd zodat je er van alles over kunt lezen. Daarnaast hebben we onafhankelijke partijen tot op broncode niveau naar ons product laten kijken en deze laten certificeren.

Mijn vertrouwen in securityoplossingen staat of valt met "peer review". Open source maakt dit mogelijk maar het is inderdaad niet de enige bron hiervoor. Ook dingen als white papers die bij jullie niet zomaar te downloaden zijn maar "aangevraagd" moeten worden. Waarom zoiets achter een slotje zetten als jullie er vierkant achter staan?

Net als met cryptografie is het algoritmisch genereren van wachtwoorden iets dat met veel zorg moet gebeuren, anders krijg je problemen waarbij deze op basis van bekende gegevens achterhaald kunnen worden. Zoals bij deze reverse-engineering van het algoritme achter de WiFi wachtwoorden van UPC routers.

Voor mij biedt het feit dat het "van Nederlandse bodem" is geen inherent vertrouwen, dat iets door vele experts onder vuur genomen is en er geen gaten in zijn gevonden wel. En wat voor mij persoonlijk het meeste telt is die van de echte onafhankelijke slimmerds, niet de certificeringsorganisaties die vaak vooral bezig zijn hun eigen bullet point lijstjes af te strepen maar niet "out of the box" denken.

Dit is niet om het af te kraken hoor, en ik zie interessante punten op jullie website zoals deze:

"Het klinkt misschien raar, maar we bewaren jouw e-mailadres en hoofdwachtwoord niet. Dus, ook al heb je een account bij MindYourPass, toch weten we niet wie jij bent. Dat vinden we heel belangrijk. Lees hier waarom."

Het niet weten van het bijbehorende email adres en klantgegevens vind ik bijvoorbeeld een zeer interessante privacywaarborg. Maar ik zou graag meer willen lezen over hoe die info gebruikt wordt. En het roept ook vragen op, hoe werkt het "we weten niet wie jij bent" uitgangspunt bijvoorbeeld bij betalende klanten waar jullie meer gegevens van hebben?

Merijndj schreef op maandag 7 november 2022 @ 23:36:
Ik kan bevestigen dat MindYourPass een volledig zelfstandig bedrijf is.

Ah, jullie zijn een van de scaleups vanuit HightechXL, toch?

Jullie product is door John wel eens bij ons onder de aandacht gebracht en heb er toen even naar gekeken. Wat mij vooral opvalt.... De website is nogal één ronkende PR-machine (uiteraard, sales moet ook zijn werk doen) maar ik kan niet snel een uitleg vinden over hoe jullie invention nou werkt. Dat sluit denk ik aan bij de opmerking over Open-Source: je claimt een revolutionair nieuwe manier van wachtwoordmanagement te hebben, maar hoe dat precies revolutionair is, is voor mij tussen alle sales-talk niet duidelijk te vinden. Uit de FAQ lijk ik een soort algoritme based oplossing te lezen, mja, niet duidelijk genoemd dus.

#directfeedback, ik hoop dat je dit kan waarderen.

@Merijndj

Het komt misschien wat hard en kort door de bocht over, maar ik mijn antwoord nog wel even verder toelichten, zodat je er ook wat aan hebt.

Ik geef bijna altijd de voorkeur aan producten uit de EU en/of uit Nederland en ik waardeer het dus enorm dat je een probleem op wilt pakken. Dus sowieso bedankt dat je deze moeite wilt nemen en iets mooi op wilt zetten.

Nu komen echter wat feedback punten, waar je hopelijk wat aan hebt:
@streamnl en @GekkePrutser slaan de spijker op hun kop. Neem zoals eerder gezegd de voorbeelden zoals Bitwarden en Keepass. Deze zijn niet voor niets zo populair. Je geeft zelf in deze video met Fast moving targets aan dat wachtwoordmanagers vaak een drempel zijn voor de "normale mens" (geen exacte quote, maar zoiets zeg je ergens). Dus precies de mensen hebben verstand van zaken en die deze producten gebruiken willen het liefst open source producten. In de top tien tips op zo`n beetje alle privacy en security websites, wordt open source geadviseerd. Dit zou jij dan toch (met jouw ICT achtergrond) ook moeten weten. En ja het klopt dat het niet perse garant staat voor meer of minder privacy & security, maar je geeft wel openheid hierover. Als je echt "het probleem" voelt van mensen die hun wachtwoorden niet kunnen onthouden en hiervoor een oplossing aan wilt bieden, dan dien je dit (in mijn ogen) op en en transparant te doen, want je voelt mee met het probleem toch (empathie)? Dit kan overigens nog steeds met een verdienmodel, kijk naar Bitwarden, want ik snap dat je ook geld moet/wilt verdienen. Daar is niks mis mee.

Je geeft in de video ook aan dat Wachtwoord managers kwetsbaarder zijn, want als je wachtwoord ergens gelekt is, dan kan iemand bij al je wachtwoorden. Dit is over het algemeen niet waar, want nagenoeg iedereen die ik ken (en wat je zou moeten doen) is 2FA gebruiken. Daarnaast als jullie hoofdwachtwoord ergens lekt, dan is de kan groot dat het "makkelijk te raden wachtwoord" ook gelekt is. En ja jullie kunnen er dan vast ook nog een 2FA overheen gooien, maar het is in mijn ogen net zo veilig. Een Ubikey is dan weer een prima oplossing, maar iets minder gebruiksvriendelijk. Het is altijd het spel gebruiksvriendelijkheid vs security. Dit gaat nooit hand in hand.

Op jullie site zeggen jullie het volgende.

Je kunt een nieuw wachtwoord instellen door op het inlog scherm van MindYourPass aan te geven dat je je wachtwoord niet meer weet. Je hebt hiervoor je wachtwoord resetcode nodig die je na registratie bij MindYourPass per e-mail hebt ontvangen. Het wijzigen van je wachtwoord heeft geen invloed op de sterke wachtwoorden voor accounts die je al via MindYourPass hebt aangemaakt. Die blijven gewoon hetzelfde.

Misschien hebben jullie een super mooie oplossing of techniek hiervoor (maar zo lees ik het niet), maar het laatste wat ik wil, is dat iemand die misschien mijn email login heeft (vanwege een lek) mijn wachtwoord kan resetten door middel van een email code. Als ik mijn hoofdwachtwoord kwijt ben, dan is dat mijn probleem en de enige oplossing is in mijn ogen. Het gehele account verwijderen (wederom zoals Bitwarden dit doet) en dan alles maar opnieuw instellen aan de hand van je email. Wederom, zoals ik het lees hebben jullie veiligheid hoog in het vaandel staan , en tenzij jullie hier een speciale techniek o.i.d. voor hebben waardoor het heel veilig is, is er naar mijn inziens maar één oplossing als je je hoofdwachtwoord bent vergeten, en dat is volledig herstel.

Nog een quote van jullie website

De MindYourPass-oplossing is zodanig opgezet dat als er een hack zou plaatsvinden, deze nooit gevoelige gegevens zal kunnen blootleggen of misbruik zal toelaten. We slaan immers geen gevoelige data op. Onze ISAE3000 certificering bevestigd deze eigenschap van MindYourPass. MindYourPass is ontworpen volgens het “verdeel-en-heers” principe. Dit betekent dat de gegevens die we bewaren verspreid worden opgeslagen op verschillende locaties. Zo zit nooit alle relevante data in één database, maar wordt deze verspreid over meerdere databases opgeslagen. Bovendien zit een deel van de benodigde informatie in jouw hoofd. Ook het generatieproces zelf vindt verspreid plaats. Her eerste deel vindt plaats op onze servers, het tweede deel gebeurt op jouw apparaat. Een hacker moet dus op verschillende plaatsen tegelijk zijn om een wachtwoord te kunnen stelen. Dit maakt het, zelfs als onze systemen gehackt zijn, extreem moeilijk om kwaad te doen.

Ik vind het een aardig hard statement. Ik ken de certificering niet, die jullie aanhalen, maar werkelijk alles in de digitale wereld wordt blootgesteld aan zero day exploits/hacks. Je kunt dus nooit zeggen dat gegevens nooit gehackt of achterhaald kunnen worden. Dat jullie er alles aan doen, dat geloof ik direct, en dat de kan zeer gering is ook. Maar als het gewoon NIET is, dan hebben jullie goud in handen (lijkt mij).

En zo zijn er nog wel een paar dingen die ik tegenkwam die mij nou nog niet helemaal overtuigen, maar de grootste is en blijft open source. Al was het open source geweest, dan had ik het direct geprobeerd. Ik vind het idee echt super mooi, en ben enorm blij dat een een Nederlander dit oppakt. Het is dus alles behalve je ideeën de grond in stampen. Ik hoop eerder dat je de reacties hier (niet alleen van mij) meeneemt en dat we over een jaar allemaal Mindyourpass gebruiken Dat gezegd hebbende zit je hier op Tweakers niet bij een makkelijkste publiek. Zeker niet als het gaat om privacy en security.

Btw
Werkt het principe van "makkelijk te raden wachtwoord" trouwens zo dat je bijvoorbeeld wachtwoord1234 hebt als makkelijk te raden wachtwoord, en dat hij vervolgens kijkt naar een link (van bijvoorbeeld bol.com) en dat hij aan de hand van die gegevens een wachtwoord genereert zoals bijvoorbeeld %lo)6Db+;ZV~wuR93AGgK Dus de eerst volgende keer dat je naar bol.com gaat dat hij van die 2 combinatie weet dat dat wachtwoord erbij hoort? Dus dat hij als het ware de boel ontcijferd aan de hand van die gegevens.

@Hmmbob Precies het gevoel wat ik er ook bij krijg. Er wordt veel gezegd, maar echt inhoudelijk wordt het niet (helaas). Maar zoals jij ook al zegt, ik hoop dat het goed al feedback wordt opgepakt.

@Wachten...
Dank voor je uitgebreide reactie. Leuk om te horen dat je je zo hebt verdiept in MindYourPass. Toch zijn Vanaf het begin staan Open Source op onze rader maar op dit moment is dat om bedrijfs-technische redenen niet verstandig. Voor nu zul je het dus moeten doen met de audits die wij hebben laten uitvoeren ;-)

Laten we hier niet verder online in discussie gaan. Ik nodig je graag uit voor een (online) demo en wil daarin graag ingaan op al je vragen en/of bezwaren.

Als er vanuit deze community meer mensen zijn die hiervoor interesse in hebben dan organiseer ik met alle liefde een webinar.

Merijndj schreef op woensdag 9 november 2022 @ 10:50:
@Wachten...
Dank voor je uitgebreide reactie. Leuk om te horen dat je je zo hebt verdiept in MindYourPass. Toch zijn Vanaf het begin staan Open Source op onze rader maar op dit moment is dat om bedrijfs-technische redenen niet verstandig. Voor nu zul je het dus moeten doen met de audits die wij hebben laten uitvoeren ;-)

Laten we hier niet verder online in discussie gaan. Ik nodig je graag uit voor een (online) demo en wil daarin graag ingaan op al je vragen en/of bezwaren.

Als er vanuit deze community meer mensen zijn die hiervoor interesse in hebben dan organiseer ik met alle liefde een webinar.

Dat is juist waarvoor we hier zijn, om transparant de discussie aan te gaan.

En transparantie is juist wat mij tegenstaat als ik je commentaren lees en de website bezoek. Het klinkt als een gepatenteerd magisch algoritme. Nadeel is, dat als mensen het kunnen bedenken er vaak andere mensen zijn die het kunnen kraken. En iedere partij belooft dat dit bij hen uiteraard niet kan, maar zeker met zoiets als een wachtwoord manager is transparantie super belangrijk. Omdat ik het wil snappen ben ik door de FAQ pagina gegaan: https://www.mindyourpass.io/faq.html

Omdat MindYourPass jouw wachtwoorden kan reproduceren hoeft MindYourPass deze zelf niet op te slaan.

Dit kriebelt bij mij echt heel erg vanuit principe. Het zal vast niet onmogelijk zijn, om dat veilig te doen, maar heb hier zoveel vragen bij. Bijvoorbeeld, stel dat er een kwetsbaarheid in wordt ontdekt, in het algoritme, kunnen jullie dat dan wel repareren, of is iedereen zijn wachtwoord kwijt?

Met onze oplossing wordt jouw wachtwoord elke keer opnieuw berekend op het moment dat jij het wachtwoord nodig hebt. Dat MindYourPass telkens opnieuw hetzelfde wachtwoord kan genereren zonder deze gevoelige informatie te bewaren maakt MindYourPass extra veilig en uniek.

...

Dat zijn wachtwoorden die op basis van verschillende factoren worden gegenereerd. Bij MindYourPass gaat het om 6 factoren die samen wachtwoorden van maar liefst 128 tekens creëren. De eerste factoren combineren we op onze servers tot een tussenresultaat. Dit tussenresultaat wordt in jouw browser of op je mobile apparaat gecombineerd met de overige factoren om zo het uiteindelijke wachtwoord te krijgen.

Klinkt mij als, je hebt een algoritme met een aantal parameters. Het algoritme staat in code en is dan vaak wel te reverse engineeren en/of je hebt een risico op een broncode lek. Dan heb je de parameters nog nodig, die zijn gekoppeld aan de gebruiker op een manier die over devices heen te gebruiken is. Paramaters zijn dus in de basis niet heel secure. Dat het wachtwoord dan 128 karakters is maakt niet uit voor de veiligheid van jullie oplossing.

Dit is geborgd doordat één van de factoren waarmee de sterke MindYourPass wachtwoorden worden gegenereerd jouw MindYourPass identiteit is. Deze identiteit wordt bepaald aan de hand van je e-mailadres en je hoofdwachtwoord. Dit wachtwoord heb je alleen nodig als je je voor MindYourPass moet aanmelden en is dus eigenlijk het wachtwoord voor je MindYourPass account.

Klinkt als een encryptiealgoritme waar je hoofdwachtwoord een seed is. En je e-mail adres is natuurlijk een paramater die geen enkele veiligheid toevoegd. Daarnaast zullen jullie aan de server kant een seed hebben, misschien zelfs wel een HSM of iets dergelijks.

Multi-factor authenticatie (MFA). Zakelijke accounts die gekoppeld zijn met Active Directory kunnen d.m.v. MFA extra beveiligd worden. MindYourPass gaat op korte termijn ook MFA ondersteunen.

Een password manager maken en geen native MFA ondersteunen, alleen als je met AAD koppelt? Klinkt mij niet als een partij de security by design hanteert.

De MindYourPass-oplossing is zodanig opgezet dat als er een hack zou plaatsvinden, deze nooit gevoelige gegevens zal kunnen blootleggen of misbruik zal toelaten. We slaan immers geen gevoelige data op. Onze ISAE3000 certificering bevestigd deze eigenschap van MindYourPass. MindYourPass is ontworpen volgens het “verdeel-en-heers” principe. Dit betekent dat de gegevens die we bewaren verspreid worden opgeslagen op verschillende locaties. Zo zit nooit alle relevante data in één database, maar wordt deze verspreid over meerdere databases opgeslagen. Bovendien zit een deel van de benodigde informatie in jouw hoofd. Ook het generatieproces zelf vindt verspreid plaats. Her eerste deel vindt plaats op onze servers, het tweede deel gebeurt op jouw apparaat. Een hacker moet dus op verschillende plaatsen tegelijk zijn om een wachtwoord te kunnen stelen. Dit maakt het, zelfs als onze systemen gehackt zijn, extreem moeilijk om kwaad te doen.

Het dreigingsmodel is niet alleen als jullie gehackt worden. Een wachtwoordmanager zou ook veiligheid moeten kunnen bieden als een gebruiker gehackt wordt. Daarnaast leveren jullie aan gemeentes en heb je statelijke actoren als threat actors. Voor die partijen zijn dit soort dingen niet onmogelijk en is toegang tot bijvoorbeeld een HSM in een datacenter echt wel te realiseren. Ook jullie hacken om bij de broncode te komen is een route, bijvoorbeeld door code te downloaden of zelfs code toe te voegen, en ik verwacht dat de scope van certificering niet gaat over jullie werkplek en source control, dat is vaak namelijk niet het geval.

Je kunt een nieuw wachtwoord instellen door op het inlog scherm van MindYourPass aan te geven dat je je wachtwoord niet meer weet. Je hebt hiervoor je wachtwoord resetcode nodig die je na registratie bij MindYourPass per e-mail hebt ontvangen. Het wijzigen van je wachtwoord heeft geen invloed op de sterke wachtwoorden voor accounts die je al via MindYourPass hebt aangemaakt. Die blijven gewoon hetzelfde.

In combinatie met voorgaande punten vind ik dit toch bijzonder en klinkt dat voor mij tegenstrijdig. En als je bij wachtwoordmanagers een standaard houding van wantrouwen hebt, is dit niet behulpzaam.

Maar blijkbaar is je makkelijk te onthouden wachtwoord je seed en niet je hoofdwachtwoord:

Helaas kunnen we je hier nog niet mee helpen. We werken aan een oplossing waarbij je je eenvoudig-te-onthouden wachtwoord kunt wijzigen zonder dat dit invloed heeft op de gegenereerde wachtwoorden. Tot die tijd zul je voor de sites waar je gegenereerde wachtwoorden gebruikt een nieuw wachtwoord moeten aanmaken. Dat kun je doen door op de site aan te geven dat je wachtwoord vergeten bent. Je kunt dan met een nieuw makkelijk-te-onthouden wachtwoord een nieuw sterk MindYourPass wachtwoord aanmaken.

@Merijndj transparantie is super belangrijk, zeker op een community als tweakers. Als dat niet op de website wordt gegeven, er geen open source is, en er geen rapporten openbaar zijn (anders dan een certificering) en je combineert dat met wervende sales teksten waarin we jullie vooral moeten vertrouwen en 'een gepatenteerde nieuwe aanpak', dan zal je bij het tweakers publiek niet heel veel tractie vinden.

Daarnaast kun je met een x aantal personen ook maar een beperkte workload aan. Als ik op LinkedIn kijk zie ik dat de organisatie nog klein is en ik zie bij de profielen niet snel iemand die security of crypto als één van de kern onderwerpen heeft op zijn CV. Terwijl dit zo ontzettend specialistisch is en door de dreigingsprofielen je een groot target bent.

Ps. door deze punten zou ik jullie zakelijk ook niet zo snel overwegen. Reputatie is key en moet je opbouwen in deze branche en door bovenstaande vind ik zelf dat jullie geen fantastische start hebben.

[ Voor 7% gewijzigd door BytePhantomX op 09-11-2022 12:37 ]

Voor dit soort ruim onderbouwd advies wordt normaal betaald. Kudos @BytePhantomX.

Hmmbob schreef op woensdag 9 november 2022 @ 12:29:
Voor dit soort ruim onderbouwd advies wordt normaal betaald. Kudos @BytePhantomX.

Thanks, zie de tegoedbon wel verschijnen maar hoop vooral dat ze wat aanpassen, want zou het wel super gaaf vinden als dit de next 1password / bitwarden / lastpass wordt.

[ Voor 21% gewijzigd door BytePhantomX op 09-11-2022 12:32 ]

Jullie feedback is waardevol. MindYourPass is een startup en daarmee hebben wij nog niet alles optimaal ingericht. Jullie opmerkingen helpen omdat het aangeeft aan wat voor informatie er behoefte is.

Lees hier over onze core technologie:

• https://patents.google.com/patent/NL2017032B1

Zoals aangegeven, maken we gebruik van externe, objectieve partijen om de kwaliteit van MindYourPass ter beoordelen. Dit zin geen papieren checks maar er is hierbij door zeer deskundige personen tot op broncode niveau gekeken naar de oplossing.

MindYourPass is volledig gebaseerd op hashing (512 bits SHA2 hashing). Wachtwoorden worden berekend uit 6 factoren, bestaande uit drie global unique identifiers die gebruikt worden als seed voor de overige drie, te weten een afgeleide van jouw identiteit, een afgeleide van de site en een afgeleide van jouw makkelijk-te-onthouden wachtwoord. Een deel van het wachtwoord wordt op onze servers gemaakt. Dit "halffabrikaat" wordt naar jouw endpoint gestuurd waar afgemaakt wordt tot het uiteindelijke wachtwoord.

Wij berekenen dus jouw wachtwoorden. Deze berekening is reproduceerbaar. Hierdoor hoeft het resultaat van de berekening (jouw wachtwoord) niet bewaard te worden. We hebben dus geen kluis. Omdat een deel van de berekening op jouw endpoint plaatsvindt hebben de servers van MindYourPass nooit de beschikking over jouw wachtwoorden. Omdat we gebruik maken van hashing (one-way-encryption) is het onmogelijk (in praktische zin) om de oorspronkelijke data hieruit te verkrijgen.

MindYourPass is geen Coca-Cola in de zin dat ons algoritme geheim zou moeten blijven zoals bij Coca Cola. We zin een data driven oplossing. De data moet dus geheim blijven. Deze data wordt voor een deel gedistribueerd opgeslagen op onze servers. Uit deze data valt het wachtwoord niet af te leiden. Een ander deel van de data zit in jouw heeft en is dus nergens geregistreerd. Bij zakelijk gebruik wordt ook een deel van de informatie bewaard bij de klant. Op deze manier voorkomen we dat een hacker zomaar bij alle informatie terecht kan.

Door onze multi-factor rekenmethode kunnen we garanderen dat 1) elk wachtwoord aan alle veiligheidseisen voldoet en 2) dat elk wachtwoord uniek is.

Ik hoop dat dit al iets meer informatie geeft over de werking van MindYourPass. Ik realiseer me dat dit vast een boel nieuwe vragen en opmerkingen oproept. Ik nodig jullie daarom nogmaals uit voor een (online) sessie waarin ik diepoer op de materie in kan gaan en jullie vragen kan beantwoorden.

Laat gerust weten of je hierin interesse hebt. Ik denk dat ik in zo'n sessie de meeste (zo niet alle) van jullie objectieve vragen/concerns kan wegnemen. Concerns over of het wel-of-niet goed is om een wachtwoord reset functie aan te bieden is subjectief en een kwestie van smaak/keuze (je kan overigens de resetcode ook gerust weggooien en dan heb je dezelfde werking als Bitwarden).

Wie kan ik verwachten bij een kennismkaing/demo?

@Merijndj

Dank voor de toelichting. Ik ga sowieso geen gebruik maken van zo'n sessie, persoonlijk ben ik privé en zakelijk al voorzien. En daarnaast wil ik juist hier in de openbaarheid de discussie. Ik snap dat dit mogelijk meer tijd van je vraagt, maar hopelijk kun je het gebruiken om je dienst of communicatie te verbeteren.

Het patent ga ik niet doorlezen, maar je zou verwachten dat jullie het patent begrijpbaar maken en duidelijk op een pagina uitleggen hoe het werkt. Nu is dat zoeken. En dat het gepatenteerd is zegt alleen dat het (goed) beschreven is, niet iets over de kwaliteit van het product.

Zoals aangegeven, maken we gebruik van externe, objectieve partijen om de kwaliteit van MindYourPass ter beoordelen. Dit zin geen papieren checks maar er is hierbij door zeer deskundige personen tot op broncode niveau gekeken naar de oplossing.

Ik ken die checks, zijn zeker niet waardeloos, maar details doen er toe. Zeker bij een password manager. Dus openbaarheid van zo'n rapport met alle checks en bevindingen zouden helpen. Lees, je concurreert met Bitwarden die én open source is, en de rapporten openbaart.

Wachtwoorden worden berekend uit 6 factoren, bestaande uit drie global unique identifiers die gebruikt worden als seed voor de overige drie, te weten een afgeleide van jouw identiteit, een afgeleide van de site en een afgeleide van jouw makkelijk-te-onthouden wachtwoord.

Drie van die factoren vind ik dus onveilig. Identiteit is volgens mij gekoppeld aan een apparaat en dus niet geheim, net als de url niet geheim is. En het wachtwoord kan lekken (helaas, gebruikers hergebruiken wachtwoorden) of kan gephist worden (aangezien dit wachtwoord niet in jullie systeem staat, is het dus kwetsbaar voor phishing) of afgeluisterd worden met een keylogger. Aangezien het alogritme lokaal werkt is dit per definitie te reverse engineeren.

Aan de server kant zullen jullie drie andere seeds hebben, hopelijk iets als een HSM. Veel hangt dus af van integriteit van broncode en datacenter security.

Denk ik dat het makkelijk te hacken is? Zeker niet, maar nogmaals in jullie dreigingsprofiel zouden statelijke actoren serieus genomen moeten worden gezien jullie doelgroep (gemeentes). En zeker als jullie groeien, neemt die dreiging alleen maar toe en ik denk dat dit principe van omgaan met wachtwoorden daar niet geschikt voor is.

Klein dingetje:

Door onze multi-factor rekenmethode kunnen we garanderen dat 1) elk wachtwoord aan alle veiligheidseisen voldoet en 2) dat elk wachtwoord uniek is.

Cyber security is al zo'n moeilijk vakgebied. Met deze tekst speel je in op de MFA sentimenten, commercieel super handig, maar voor mij als professional echt een irritatie. Heb je ongelijk? Waarschijnlijk niet, maar dit soort teksten maken dat ik het een stuk minder serieus neem. En daarnaast heb je geeneens MFA op je oplossing, terwijl het wachtwoord van je product een sleutel risico is.

Ik kan technisch gezien niet hacken, maar genoeg ervaring met hoe ze werken. Mijn aanpak zou zijn:
- proef afnemen van het product en lokale algoritme zien te reverse engineeren
- uitvogelen hoe die lokale seeds gebruikt worden en dan kun je dus met een 'halffabrikaat' een lokaal wachtwoord genereren.
- uitvogelen hoe je een api call kan maken naar de server om zo'n half fabrikaat op te vragen. Waarschijnlijk is gebonden aan IP, device, certificaat etc.
- computer van de gebruiker hacken, seeds, certificaat etc ophalen
- of vanaf het systeem van de gebruiker half fabrikaten opvragen
- of met die info kijken of je het vanaf een andere locatie kan doen
- hopen dat je niet gepakt wordt door detectie, en anders opnieuw beginnen.

Als dit enigszins zo werkt en er zou nog een foutje inzitten in de code, kun je voor heel veel mensen wachtwoorden opvragen voor heel veel websites. Dan hangt het van jullie detectie af of het goed werkt, en daar zou ik niet op willen vertrouwen.

Jullie uitdaging, iemand die deze vraag stelt overtuigen dat dit niet kan, zonder terug te vallen op 'certificering' of 'vertrouw ons maar dat dit niet kan'.

[ Voor 17% gewijzigd door BytePhantomX op 09-11-2022 13:26 ]

Merijndj schreef op woensdag 9 november 2022 @ 12:50:


MindYourPass is geen Coca-Cola in de zin dat ons algoritme geheim zou moeten blijven zoals bij Coca Cola. We zin een data driven oplossing. De data moet dus geheim blijven. Deze data wordt voor een deel gedistribueerd opgeslagen op onze servers. Uit deze data valt het wachtwoord niet af te leiden. Een ander deel van de data zit in jouw heeft en is dus nergens geregistreerd. Bij zakelijk gebruik wordt ook een deel van de informatie bewaard bij de klant. Op deze manier voorkomen we dat een hacker zomaar bij alle informatie terecht kan.

Het maakt dus helemaal niet uit of het wel of niet opgeslagen wordt. Als jouw wachtwoord ergens gelekt wordt, dan kan iemand erin. Zo simpel is het. Bij Bitwarden is het namelijk niet anders. Stel je database wordt gestolen van Bitwarden, dan hebben ze er alsnog niks aan, want alles is encrypted. Misschien dat jullie iets veiliger zijn bij bepaalde zero days exploits. Maar in feite maakt niet dus niet uit, want zonder wachtwoord wordt er sowieso niks ge-decrypt.

Maar wederom, we kunnen weinig vinden over hoe dingen exact gaan, dus is het ook lastig oordelen verder.

Ik sta er overigens misschien wel open voor om een sessie bij te wonen als jullie een webinar starten hoor. Ik denk alleen dat de discussie en feedback hier op Tweakers waardevoller is. Mensen kunnen dingen goed uitzoeken en een goed en overwogen antwoord/feedback geven. Ik zou de "discussie" dus ook zeker omarmen hier op Tweakers, ook dit is een vorm van open en transparant zijn

Ik ben in ieder geval blij dat je het goed oppakt en naar ons luistert. Mocht jullie werkwijze echt makkelijker zijn dan bijvoorbeeld Bitwarden, dan weet ik zeker dat er ook non tech mensen over te halen zijn. Echter zal ik het dus nooit aanraden aan bijvoorbeeld mijn ouders, omdat het niet transparant (wederom open source) genoeg is.

Maar houdt dus graag de discussie hier gaande. Het zou enorm mooi zijn als een NL bedrijf hier een groot probleem uit de wereld weet te helpen.

Ik heb net trouwens eens getest wat de ervaring is. Die laat nog wat te wensen over, maar goed jullie zijn nog aan het bouwen.

Qua security kom ik de volgende punten tegen:
- ik kan een account aanmaken met het wachtwoord "MindYourPass" voldoet aan de eis van 12 karakters en wordt gezien als een veilig wachtwoord.
- de recovery code wordt per e-mail gestuurd
- zodra ik inlog, dan moet ik een autorisatiecode geven die gemaild wordt (soort van MFA)

Als hacker is het dus super simpel, iemands mailbox overnemen en je bent binnen. En als gebruiker kun je daar niets aan veranderen lijkt het. Nu beschouw ik mijn mailbox als zeer kwetsbaar, ongeacht het feit dat ik die zo goed mogelijk bescherm. Maar mijn principe is simpelweg dat als mijn mailbox gehackt is, mag je nog niet bij al mijn wachtwoorden. In jullie flow lijkt dat wel te kunnen en sterker nog, er is geen alternatief.
Tip: recovery code eenmalig tonen na het inloggen en zeggen dat ze deze veilig moeten opslaan (beetje flauw: kun je keepass voor gebruiken)

Ps, als staatsactor zou het natuurlijk super handig zijn om jullie uitgaande mail verkeer te onderscheppen en je hebt van iedere gebruiker van jullie platform de recovery code. En nee, dat is geen alu hoedje scenario als je bedenkt dat er onderzeeërs op de zeebodem liggen om glasvezelkabels af te tappen. En als je toch dat mailverkeer hebt, dan kun je ook de autorisatiecodes voor devices onderscheppen en heb je alleen het wachtwoord nog nodig.

Merijndj schreef op woensdag 9 november 2022 @ 12:50:
Wie kan ik verwachten bij een kennismkaing/demo?

Modbreak:

Laat me hier even inbreken. Tweakers is een community van en voor liefhebbers voor technology, in de breedste zin van het woord. Bovenstaande discussie onderstreept maar weer eens wat een schat aan kennis hier rondloopt en hoe we die graag delen om elkaar verder te helpen. Vragen over een zakelijk product of dienst dat ontwikkeld wordt is geen enkel probleem, het wordt een andere zaak wanneer het doel hierbij is om een product te promoten. Ook het werven van mensen om buiten het forum ondersteuning te bieden is iets wat we hier liever niet zien.

Laten we de discussie hier inhoudelijk houden en elke schijn van promotie of markering te voorkomen. Mocht er toch de behoefte zijn om zakelijk samen te werken, neem dan contact op met met salesteam via https://tweakers.net/info/over-tweakers/contact/.

Hopelijk zit ik hier goed.

Ik betaal voor Proton mail en heb daardoor alles wat erbij hoort. De VPN staat standaard aan op al mijn apparaten.

Bitwarden heb ik momenteel al draaiend op een Raspberry 4 die ik op mijn gsm via WireGuard kan bereiken als ik niet thuis ben. Op de thuisWiFI is dit “gewoon “ te bereiken.

Gisteren las ik dat je SimpleLogin ook thuis zelf kan draaien. Dat lijkt me wel interessant.

Op mijn werk wordt Wireguard geblokkeerd, ProtonVPN niet.

Als ik op mijn werk ben, moet ik op mijn laptop ProtonVPN stoppen, hotspot aanmaken met mijn gsm, met de laptop hier verbinding mee maken, wireguard starten op mijn laptop en dan kan ik Bitwarden gebruiken. Omslachtig.

Ik wil enkele zaken thuis hebben draaien, namelijk:
Bitwarden;
SimpleLogin;
VPN om mijn NAS te bereiken vanaf “buiten”;
Een versleuteld backup (voor bovenstaande) naar mijn NAS en naar een online locatie.

Ik wil (mits mogelijk) Bitwarden overal veilig (bijv. door protonVPN ) kunnen bereiken door iets wat niet geblokkeerd wordt op mijn werk.

Ik wil het bovenstaande niet op mijn NAS laten draaien want die heeft nu geen verbinding met “buiten”. En dat wil ik zo houden.

Wat is wijsheid?
Alles op de Raspberry of een nieuw apparaat hiervoor aanschaffen? En bij een nieuw apparaat, wat dan?

Ik dank jullie alvast voor jullie tijd en reactie.

Kun je wireguard niet op een andere poort configureren, eentje die niet geblokkeerd wordt door je werk?

Ik heb verschillende poorten geprobeerd en tot nu toe lukt het me niet om verbinding te maken.

Ondanks dat ik na m'n twijfels jegens passwordmanagers na een eerdere discussie hierover een poosje geleden toegaf dat deze zeker wel aan te bevelen zijn, heb ik er tot nu toe nog geen uitgekozen. Omdat ik me nog "behelp" met een kladblokbestand dat alleen maar in de cloud staat. En daar kan ik uitstekend mee uit de voeten. Die cloud is als zodanig ook beveiligd met een wachtwoord, maar afzonderlijk daarvan is dit met het tekstbestand eveneens het geval. Zoals ik het bekijk heb ik me hiermee tegen alle risico's beveiligd en voegt een passwordmanager nauwelijks tot geen meerwaarde toe als toevallig over de schouders meekijken geen enkele rol speelt. En met het voordeel voor me dat het weliswaar zeldzame risico van een hack (maar helemaal uitgesloten is het niet) me niet raakt.
Of zie ik in mijn enthousiasme toch nog een bezwaar over het hoofd?

Techneut schreef op zondag 13 november 2022 @ 16:03:
Ondanks dat ik na m'n twijfels jegens passwordmanagers na een eerdere discussie hierover een poosje geleden toegaf dat deze zeker wel aan te bevelen zijn, heb ik er tot nu toe nog geen uitgekozen. Omdat ik me nog "behelp" met een kladblokbestand dat alleen maar in de cloud staat. En daar kan ik uitstekend mee uit de voeten. Die cloud is als zodanig ook beveiligd met een wachtwoord, maar afzonderlijk daarvan is dit met het tekstbestand eveneens het geval. Zoals ik het bekijk heb ik me hiermee tegen alle risico's beveiligd en voegt een passwordmanager nauwelijks tot geen meerwaarde toe als toevallig over de schouders meekijken geen enkele rol speelt. En met het voordeel voor me dat het weliswaar zeldzame risico van een hack (maar helemaal uitgesloten is het niet) me niet raakt.
Of zie ik in mijn enthousiasme toch nog een bezwaar over het hoofd?

Ja je ziet zeker wat over het hoofd. Een wachtwoord manager encrypt alle bestanden (wachtwoorden). Dus zelfs al zou een database lekken, dan is de kans enorm klein (nagenoeg nihil) dat er iets met de wachtwoorden gedaan kan worden. Dit in tegenstelling tot de cloudservice die je gebruikt. Als daar een exploit is, en ze komen bij het "notitiebestandje" dan staat alles daar alles in plain text en is alles uit te lezen. De kans is weliswaar klein, maar bedenk even het volgende......

Jij kan waarschijnlijk prima je eigen autobanden wisselen voor winterbanden. Echter zal een automonteur dit veel sneller doen, en ook zal hij (vanwege zijn ervaring) bepaalde handelingen uitvoeren, zoals een wielbout invetten met kopervet, hij zal sneller zien of een bout niet meer in goede staat is, of zal andere sporen van slijtage herkennen en de bouten op een bepaalde newton meter aandraaien met een momentsleutel. Beide verwisselen jullie de band, maar toch doet een automonteur het op een compleet ander niveau.

Eigenlijk geldt bovenstaand verhaal voor alles. Jij kan prima koken, maar een kok kan het beter. Jij kan waarschijnlijk prima een muurtje stucen, maar een stukadoor kan het beter etc. Ditzelfde gaat op voor een wachtwoord manager. Dit is gebouwd of veiligheid en daar werken specialisten aan die niks anders doen.

Dat gezegd hebbende is het ook nog eens zo dat er nog andere voordelen bij komen kijken. Met een wachtwoord manager zal je (mits goed gebruikt) ook kunnen herkennen of je op een foute (phishing) website zit. Een ander groot voordeel is dat je met een shortcut (bijvoorbeeld CTRL+Shift+L bij Bitwarden) in één keer in kan loggen op een website. Jij moet iedere keer kopiëren en plakken vanuit een bestandje.

En er zijn echt nog wel meer voordelen te noemen hoor, dit is zeker niet alles. Maar het komt er kort gezegd op neer, gebruik nooit een bestanden zoals Excel o.i.d. Naast dat het niet handig werkt, is het ook nog eens onveilig.

Wachten... schreef op zondag 13 november 2022 @ 19:11:
[...]


Ja je ziet zeker wat over het hoofd. Een wachtwoord manager encrypt alle bestanden (wachtwoorden). Dus zelfs al zou een database lekken, dan is de kans enorm klein (nagenoeg nihil) dat er iets met de wachtwoorden gedaan kan worden. Dit in tegenstelling tot de cloudservice die je gebruikt. Als daar een exploit is, en ze komen bij het "notitiebestandje" dan staat alles daar alles in plain text en is alles uit te lezen. De kans is weliswaar klein, maar bedenk even het volgende......

Jij kan waarschijnlijk prima je eigen autobanden wisselen voor winterbanden. Echter zal een automonteur dit veel sneller doen, en ook zal hij (vanwege zijn ervaring) bepaalde handelingen uitvoeren, zoals een wielbout invetten met kopervet, hij zal sneller zien of een bout niet meer in goede staat is, of zal andere sporen van slijtage herkennen en de bouten op een bepaalde newton meter aandraaien met een momentsleutel. Beide verwisselen jullie de band, maar toch doet een automonteur het op een compleet ander niveau.

Eigenlijk geldt bovenstaand verhaal voor alles. Jij kan prima koken, maar een kok kan het beter. Jij kan waarschijnlijk prima een muurtje stucen, maar een stukadoor kan het beter etc. Ditzelfde gaat op voor een wachtwoord manager. Dit is gebouwd of veiligheid en daar werken specialisten aan die niks anders doen.

Dat gezegd hebbende is het ook nog eens zo dat er nog andere voordelen bij komen kijken. Met een wachtwoord manager zal je (mits goed gebruikt) ook kunnen herkennen of je op een foute (phishing) website zit. Een ander groot voordeel is dat je met een shortcut (bijvoorbeeld CTRL+Shift+L bij Bitwarden) in één keer in kan loggen op een website. Jij moet iedere keer kopiëren en plakken vanuit een bestandje.

En er zijn echt nog wel meer voordelen te noemen hoor, dit is zeker niet alles. Maar het komt er kort gezegd op neer, gebruik nooit een bestanden zoals Excel o.i.d. Naast dat het niet handig werkt, is het ook nog eens onveilig.

Oké bedankt. Die dingen had ik nog niet overwogen. Maar bv, met knippen en plakken gaat het bijna net zo snel als dat bitwarden. Maar ik ga een en ander nog eens overwegen.
En dat is ook het antwoord op onderstaand commentaar van sypie.

Techneut schreef op zondag 13 november 2022 @ 16:03:
Die cloud is als zodanig ook beveiligd met een wachtwoord, maar afzonderlijk daarvan is dit met het tekstbestand eveneens het geval.

Heb je geen 2FA op je cloudtoegang? Iets wat je met de meeste wachtwoordmanagers wel hebt. Maakt het toch net iets veiliger nog.

Mocht je Cloud toegang een iCloud toegang zijn dan heb je doorgaans wel 2FA er op zitten door middel van de 6-cijferige code die op je iDevice of Mac verschijnt. Mocht je dan op een vreemde computer per ongeluk aangeven dat je die vertrouwt dan heb je al een gaatje in je beveiliging.

Dus nee, lekker een wachtwoord manager mét een wachtwoord generator (op 50 karakters of meer) en dat lekker bijhouden.

Bovendien hebben de meeste wachtwoordmanagers ook een functie om online te controleren of jouw inloggegevens ergens buitgemaakt zijn. Daar kan jouw notitieblokbestandje ook niet tegenop.

Wat veel info in dit topic. Ik ben op zoek naar een password manager. Ik gebruik zelf OneSafe. Maar ben er wel van overtuigd dat er betere zijn. Ik ben op zoek naar een manager die ik met mijn partner kan delen.
We hebben beide een IPhone.

Belangrijk voor haar : makkelijk in gebruik. Moet zelf wachtwoorden kunnen aanmaken en onthouden. En het zou fijn zijn als de app ze wachtwoorden bij gebruik zelf invult op de telefoon.

Voor mij belangrijk, beveiligen met Face Id of een pincode. Mogelijkheid om bij verloren pincode toch een escape te hebben. En een koppeling met een windows pc. Ook handig als je wachtwoorden kunt delen of een gezamenlijke kluis kunt maken. Ik stel me voor dat er apps zijn die je met een gezin account kunt kopen. Zelf hosten doe ik niet. Welke is dan aan te raden?

Sparkiee schreef op woensdag 16 november 2022 @ 13:06:
Wat veel info in dit topic. Ik ben op zoek naar een password manager. Ik gebruik zelf OneSafe. Maar ben er wel van overtuigd dat er betere zijn. Ik ben op zoek naar een manager die ik met mijn partner kan delen.
We hebben beide een IPhone.

Belangrijk voor haar : makkelijk in gebruik. Moet zelf wachtwoorden kunnen aanmaken en onthouden. En het zou fijn zijn als de app ze wachtwoorden bij gebruik zelf invult op de telefoon.

Voor mij belangrijk, beveiligen met Face Id of een pincode. Mogelijkheid om bij verloren pincode toch een escape te hebben. En een koppeling met een windows pc. Ook handig als je wachtwoorden kunt delen of een gezamenlijke kluis kunt maken. Ik stel me voor dat er apps zijn die je met een gezin account kunt kopen. Zelf hosten doe ik niet. Welke is dan aan te raden?

Als je even door de laatste paar pagina's door had gespit, dan had je Biwarden niet over het hoofd kunnen zien.

Het is zeker niet de enige, maar wel een van de weinige die open source is, erg goedkoop is (10 euro per jaar), aardig gebruiksvriendelijk is en op alle platformen beschikbaar is.

Er is overigens ook een gratis versie, maar deze ondersteund niet een "gezamelijke kluis" (organisaties heet dit bij Bitwarden).

Wachten... schreef op woensdag 16 november 2022 @ 13:32:
[...]


Als je even door de laatste paar pagina's door had gespit, dan had je Biwarden niet over het hoofd kunnen zien.

Het is zeker niet de enige, maar wel een van de weinige die open source is, erg goedkoop is (10 euro per jaar), aardig gebruiksvriendelijk is en op alle platformen beschikbaar is.

Er is overigens ook een gratis versie, maar deze ondersteund niet een "gezamelijke kluis" (organisaties heet dit bij Bitwarden).

Thanks. Ik ga het bekijken.

https://blog.lastpass.com...recent-security-incident/

Ja hoor, dat is de zoveelste keer al..

The threat actor was also able to copy a backup of customer vault data from the encrypted storage container which is stored in a proprietary binary format that contains both unencrypted data, such as website URLs, as well as fully-encrypted sensitive fields such as website usernames and passwords, secure notes, and form-filled data.

En of je nog iets moet doen?

If you use the default settings above, it would take millions of years to guess your master password using generally-available password-cracking technology.

Ik lees hier (terecht) veel liefde voor Bitwarden. Zelf wil ik overstappen van LastPass naar een andere dienst en twijfel of Bitwarden of 1Password.

Ik wil sowieso een hosted oplossing en betaal graag voor dit gemak.

Zouden jullie dan nogsteeds voor Bitwarden gaan , of zijn andere oplossingen dan beter?

Alvast bedankt!

Edit: ik gebruik voornamelijk Windows en Android.
Heb ook nog een vriendin die ik er op wil aansluiten. Misschien ook nog paps en mams.

[ Voor 17% gewijzigd door JohnHeroHD op 23-12-2022 08:47 ]

JohnHeroHD schreef op vrijdag 23 december 2022 @ 08:31:
Ik lees hier (terecht) veel liefde voor Bitwarden. Zelf wil ik overstappen van LastPass naar een andere dienst en twijfel of Bitwarden of 1Password.

Ik wil sowieso een hosted oplossing en betaal graag voor dit gemak.

Zouden jullie dan nogsteeds voor Bitwarden gaan , of zijn andere oplossingen dan beter?

Alvast bedankt!

Ik heb beide oplossingen gebruikt en ben uiteindelijk blijven hangen bij 1Password. Niet omdat Bitwarden zoveel slechter was maar puur vanuit het gebruik van wachtwoorden binnen het gezin. Als ik alleenstaand zou zijn zou ik Bitwarden zeker aanraden maar met een gezin waar niet iedereen technisch onderlegd is vind ik 1Password echt de betere oplossing.
Daarnaast vind ik de beveiliging van 1Password ook iets beter doordat zij naast een master password ook nog een secret key vereisen. Icm met 2FA heb je dan een robuust systeem.

Mijn advies zou zijn om beide gewoon een uit te proberen dan kom je vanzelf achter waarmee je uit de voeten kunt.

Ps. Let op dat 1Password je de keuze kunt geven bij het aanmaken van je account om deze in Europa of Amerika te hosten. Dit kun je achteraf niet meer wijzigen. Je herkent dit doordat de url eindigt op .EU ipv .Com. Zie ook: https://1password.com/sign-up/eu/

Miki schreef op vrijdag 23 december 2022 @ 08:44:
[...]

Ik heb beide oplossingen gebruikt en ben uiteindelijk blijven hangen bij 1Password. Niet omdat Bitwarden zoveel slechter was maar puur vanuit het gebruik van wachtwoorden binnen het gezin. Als ik alleenstaand zou zijn zou ik Bitwarden zeker aanraden maar met een gezin waar niet iedereen technisch onderlegd is vind ik 1Password echt de betere oplossing.
Daarnaast vind ik de beveiliging van 1Password ook iets beter doordat zij naast een master password ook nog een secret key vereisen. Icm met 2FA heb je dan een robuust systeem.

Mijn advies zou zijn om beide gewoon een uit te proberen dan kom je vanzelf achter waarmee je uit de voeten kunt.

Ps. Let op dat 1Password je de keuze kunt geven bij het aanmaken van je account om deze in Europa of Amerika te hosten. Dit kun je achteraf niet meer wijzigen. Je herkent dit doordat de url eindigt op .EU ipv .Com. Zie ook: https://1password.com/sign-up/eu/

Bitwarden heeft natuurlijk ook gewoon diverse 2fa opties. Dus daar verschillen ze niks.

Bitwarden is ook een stuk goedkoper.

Ga je het voor jezelf gebruiken of met het gezin o.i.d .?

Wachten... schreef op vrijdag 23 december 2022 @ 10:02:
[...]


Bitwarden heeft natuurlijk ook gewoon diverse 2fa opties. Dus daar verschillen ze niks.

Bitwarden is ook een stuk goedkoper.

Ga je het voor jezelf gebruiken of met het gezin o.i.d .?

Ik ga het inderdaad voor mijn familie gebruiken. 5-6 personen totaal. Zitten nu allemaal op LastPass Family dus moet de hele boel overzetten :-)

Mijn pa kwam nog met NordPass, naar aanleiding van dit artikel: https://www.vpngids.nl/wachtwoordmanagers/beste-wachtwoordmanager/

Nog nooit van die site, of manager gehoord...

[ Voor 21% gewijzigd door JohnHeroHD op 23-12-2022 10:23 ]

Wachten... schreef op vrijdag 23 december 2022 @ 10:02:
[...]


Bitwarden heeft natuurlijk ook gewoon diverse 2fa opties. Dus daar verschillen ze niks.

Bitwarden is ook een stuk goedkoper.

Ga je het voor jezelf gebruiken of met het gezin o.i.d .?

Nee daar ga je in de fout. De versleuteling van de wachtwoorden bestaat uit twee gedeeltes bij 1Password. Je master wachtwoord aangevuld met een secret key. Daar bovenop heb je nog 2FA maar dat is alleen voor het inloggen en heeft geen effect op de versleuteling van je password database.

Daarbij is Bitwarden goedkoper ja, gebruiksvriendelijker dan 1Password nee, verre van.

Miki schreef op vrijdag 23 december 2022 @ 10:56:

Daarbij is Bitwarden (...) gebruiksvriendelijker dan 1Password nee, verre van.

Da's een mening, geen feit. En eentje waar we duidelijk van mening in verschillen - ik vind ze niet ver uit elkaar liggen. Het is maar net wat je wil.

Hmmbob schreef op vrijdag 23 december 2022 @ 11:09:
[...]

Da's een mening, geen feit. En eentje waar we duidelijk van mening in verschillen - ik vind ze niet ver uit elkaar liggen. Het is maar net wat je wil.

Deze discussie is hier al een tijdje geleden gevoerd. Het grote verschil zit hem niet in het gebruik voor een enkele user want daar ben ik namelijk heel duidelijk in geweest dat Bitwarden dan prima is, zeker als je technisch onderlegd bent. Lees mijn eerdere reacties hier nog maar eens goed door

Het grote verschil zit hem in wachtwoorden delen met meerdere gebruikers. Daar is namelijk 1Password zeker als het gaat om gezinssituaties veel beter op ingericht dan Bitwarden die veel meer gericht is op bedrijfsorganisaties.

Fair enough

Pff, taaie sessie met Lastpass. Ze weten dus zelf nog geeneens hoe groot de schade is van de diefstal. Ik ben daar al ergens in 2020 weggegaan, omdat ze teveel breaches hadden en vervolgens ook nog een relatief fors bedrag vroegen. Ik heb mijn account wel gedelete, maar het is maar zeer de vraag of er niet ergens nog data op een backup staat waar nu de zaken gestolen zijn.

Gezien ze de wachtwoorden (al dan niet geencrypt) hebben gestolen, maar ze zonder MP niet kunnen inzien, is het dan enkel voldoende om het MP te wijzigen of is het ook belangrijk alle onderliggende wachtwoorden te wijzigen? Heb daar weinig trek in eigenlijk.

Dit is iets waar ik vanaf meet af aan al bang voor was met een cloud wachtwoordmanager, alle veiligheidsbeloften en extra sterke beveiliging van Lastpass ten spijt. Ik twijfel er zelfs over om gewoon alle wachtwoorden uit de cloud te trekken en het gewoon maar weer op de 'oude' manier te doen of KeePass oid te gebruiken.

[ Voor 9% gewijzigd door Belecthor op 23-12-2022 15:23 ]

JohnHeroHD schreef op vrijdag 23 december 2022 @ 10:21:
[...]


Ik ga het inderdaad voor mijn familie gebruiken. 5-6 personen totaal. Zitten nu allemaal op LastPass Family dus moet de hele boel overzetten :-)

Mijn pa kwam nog met NordPass, naar aanleiding van dit artikel: https://www.vpngids.nl/wachtwoordmanagers/beste-wachtwoordmanager/

Nog nooit van die site, of manager gehoord...

Ik zit hier met dezelfde vraag.
Blijf ik nog bij lastpass Familie of ga ik overstappen, naar 1password of nordpass.
Norpass komt vanuit Nordvpn deze hebben de afgelopen jaren meerdere diensten gelanceerd.
Qua kosten is norpass (zonder aanbieding) iets duurder, 1password en lastpass zijn nagenoeg gelijk.

Wat me nog het meeste tegenhoudt is het gedoe van wachtwoorden exporteren en importeren.

Ben heel benieuwd hoe iemand in de praktijk nu met die data en een bruteforcer aan de slag kan gaan, is het niet zo dat elke poging een uitkomst geeft, die dan gewoon niet klopt met wat het werkelijk is? Dus dat je elk resultaaat uit de bruteforce sessie moet uittesten op de betreffende site? Of kan hij daadwerkelijk zien dat dat niet het juiste wachtwoord is.

Belecthor schreef op vrijdag 23 december 2022 @ 15:20:
Gezien ze de wachtwoorden (al dan niet geencrypt) hebben gestolen, maar ze zonder MP niet kunnen inzien, is het dan enkel voldoende om het MP te wijzigen of is het ook belangrijk alle onderliggende wachtwoorden te wijzigen? Heb daar weinig trek in eigenlijk.

Nu je MP wijzigen heeft toch geen zin? Ze hebben toch al een database waar je oude MP is gebruikt. Als ze die kraken, dan kunnen ze al je accounts/wachtwoorden zien.

LP zegt zelf dat verwijdering van het account definitief is. "Alle informatie die u in LastPass hebt opgeslagen, gaat daarbij voor altijd verloren." Maar met zulke beveiliging is het maar de vraag wat daar waar van is. Als je voor 100% zekerheid wilt gaan, dan zul je alle wachtwoorden die je bij LP had opgeslagen moeten wijzigen.

Belecthor schreef op vrijdag 23 december 2022 @ 15:20:
Dit is iets waar ik vanaf meet af aan al bang voor was met een cloud wachtwoordmanager, alle veiligheidsbeloften en extra sterke beveiliging van Lastpass ten spijt. Ik twijfel er zelfs over om gewoon alle wachtwoorden uit de cloud te trekken en het gewoon maar weer op de 'oude' manier te doen of KeePass oid te gebruiken.

Elke oplossing heeft zo zijn risico's. Het is maar net welke risico's je wilt accepteren.

Tumb schreef op vrijdag 23 december 2022 @ 17:19:
[...]


Ik zit hier met dezelfde vraag.
Blijf ik nog bij lastpass Familie of ga ik overstappen, naar 1password of nordpass.
Norpass komt vanuit Nordvpn deze hebben de afgelopen jaren meerdere diensten gelanceerd.
Qua kosten is norpass (zonder aanbieding) iets duurder, 1password en lastpass zijn nagenoeg gelijk.

Wat me nog het meeste tegenhoudt is het gedoe van wachtwoorden exporteren en importeren.

Uiteindelijk voor 1Password gegaan. Overstap is simpel. CSV exporteren bij LastPass en importeren bij 1Password in een "LastPass" genoemde vault.

Vervolgens 1 voor 1 alles nalopen, wachtwoorden aanpassen en 2FA recovery codes hergenereren (want die stonden als secure notes in mijn LastPass).

't is een bitch. Maar het is nodig.

Succes!

Hier vaultwarden op mijn NAS gezet, met reverse proxy & LetsEncrypt nu goed werkbaar. Import van Lastpass CSV bestand ging ook foutloos. Draait snel en soepel. Is dan ook gratis en selfhosted.

Toch daarmee ook m'n bedenkingen, wat als mijn NAS stukgaat & huis afbrandt?

Hoe gaan anderen met een selfhosted oplossing hiermee om?

Verder lijkt vaultwarden vrij ideaal, ook voor mijn gezin...

vandermark schreef op zaterdag 24 december 2022 @ 21:45:
Hier vaultwarden op mijn NAS gezet, met reverse proxy & LetsEncrypt nu goed werkbaar. Import van Lastpass CSV bestand ging ook foutloos. Draait snel en soepel. Is dan ook gratis en selfhosted.

Toch daarmee ook m'n bedenkingen, wat als mijn NAS stukgaat & huis afbrandt?

Hoe gaan anderen met een selfhosted oplossing hiermee om?

Verder lijkt vaultwarden vrij ideaal, ook voor mijn gezin...

eens in de zoveel tijd een backup maken met CSV. De csv dan encrypten en op je backup lokatie plaatsen

Gezien de recente gebeurtenissen bij Lastpass ben ik aan het rondkijken naar alternatieven, tot die tijd ben ik van plan al mijn paswoorden te veranderen. Nu kon ik mij herinneren (en heb er ook al eeder gebruik van gemaakt) dat lastpass vroeger een Auto-Password Change functie had voor heel je kluis, is deze er niet meer of kan ik hem niet meer vinden? Het scheelt een hoop werk dat een deel al is aangepast en je maar enkele sites handmatig moet veranderen.

vandermark schreef op zaterdag 24 december 2022 @ 21:45:
Hier vaultwarden op mijn NAS gezet, met reverse proxy & LetsEncrypt nu goed werkbaar. Import van Lastpass CSV bestand ging ook foutloos. Draait snel en soepel. Is dan ook gratis en selfhosted.

Toch daarmee ook m'n bedenkingen, wat als mijn NAS stukgaat & huis afbrandt?

Hoe gaan anderen met een selfhosted oplossing hiermee om?

Verder lijkt vaultwarden vrij ideaal, ook voor mijn gezin...

Ik heb de data directory van Vaultwarden (zoals ook bedoeld) buiten de container beschikbaar. Die wordt richting een 2e NAS gesynct en in de cloud gezet (uiteraard encrypted, ook al is de SQL database van VW zelf ook al encrypted).

Gaat mijn primaire NAS kapot, dan is er een kopie in huis beschikbaar om met een verse container te gebruiken. Brand het huis af, dan kan ik met de kopie in de cloud hetzelfde doen.

Die date directory buiten de container is ook gewoon nodig om VW te upgraden naar een nieuwe versie.

jdh009 schreef op zondag 25 december 2022 @ 03:25:
Gezien de recente gebeurtenissen bij Lastpass ben ik aan het rondkijken naar alternatieven, tot die tijd ben ik van plan al mijn paswoorden te veranderen.

Een goed idee. Ik zou zelf overwegen om deze stappen om te draaien: overstappen en dan je wachtwoorden veranderen. Misschien ben ik paranoide maar ik heb weinig vertrouwen in Lastpass. Er is een patroon van slechte keuzes zoals het niet versleutelen van URLs. Er worden wat andere zaken genoemd in dit draadje van een oud-medewerker.

Het is wel goed om eens bij stil te staan: hoeveel kan een aanvaller doen als ze je vault data weten te stelen, zoals bij Lastpass gebeurde? 1Password heeft de secret key als extra laag. Dat is vooral goed voor mensen met een zwak wachtwoord, hoewel dat nog steeds niet slim is. Bij bijvoorbeeld Bitwarden en Lastpass is het nog belangrijker om een sterk wachtwoord te hebben.

JohnHeroHD schreef op zaterdag 24 december 2022 @ 16:03:
[...]


Uiteindelijk voor 1Password gegaan. Overstap is simpel. CSV exporteren bij LastPass en importeren bij 1Password in een "LastPass" genoemde vault.

Vervolgens 1 voor 1 alles nalopen, wachtwoorden aanpassen en 2FA recovery codes hergenereren (want die stonden als secure notes in mijn LastPass).

't is een bitch. Maar het is nodig.

Succes!

Heb nog even getest met zelf hosten van Bitwarden, maar zitten toch wat nadelen aan, met name een degelijke backup maken en het openzetten van porten.
Ik heb Norpass gekozen met de huidige aanbieding prima prijs/kwaliteit product.
Nordvpn gebruik ik al dus geheel onbekend is het niet voor mij.

Het overzetten van de wachtwoorden ging makkelijker dan verwacht, gelijk maar met de bezem door mijn wachtwoorden heen., dat duurde nog het langst.
Nu gebruikservaring opdoen en hopen dat ze security beter voor elkaar hebben dan Lastpass.

Tumb schreef op maandag 26 december 2022 @ 14:54:
[...]


Heb nog even getest met zelf hosten van Bitwarden, maar zitten toch wat nadelen aan, met name een degelijke backup maken en het openzetten van porten.
Ik heb Norpass gekozen met de huidige aanbieding prima prijs/kwaliteit product.
Nordvpn gebruik ik al dus geheel onbekend is het niet voor mij.

Het overzetten van de wachtwoorden ging makkelijker dan verwacht, gelijk maar met de bezem door mijn wachtwoorden heen., dat duurde nog het langst.
Nu gebruikservaring opdoen en hopen dat ze security beter voor elkaar hebben dan Lastpass.

Een backup met docker is extreem simpel. Map syncen naar een andere locatie en klaar. Poorten openzetten is ook niet nodig, omdat het in de cache wordt opgeslagen. Een VPN is ook nog een optie. Maar nordpass is toch ook niet zelf hosted, dus waarom niet gewoon de betaalde bitwarden optie gekozen? Het is goedkoper en open source.

Als het op privacy en veiligheid aankomt zou dat voor mij ten alle tijden de voorkeur hebben.

Edit: daarnaast moet je niet vergeten dat NordVPN en NordPass (hetzelfde bedrijf) echt een marketing machine is. Dus enorm veel blogs en reviews zijn gesponsord. Als je echter op op onafhankelijke privacy en security websites kijkt, dan worden dit soort bedrijven nooit geadviseerd. KeePass en Bitwarden wel (en met een goede reden).

[ Voor 24% gewijzigd door Wachten... op 26-12-2022 23:53 ]

Lastpass zet je wel elke keer aan het denken zo met alle problemen. Alleen als niemand je MP weet en dat icm een hardware key dan lijkt het me nagenoeg uitgesloten dat iemand in je vault komt. Hoe denken jullie daarover?

Redondo1982 schreef op dinsdag 27 december 2022 @ 10:39:
Lastpass zet je wel elke keer aan het denken zo met alle problemen. Alleen als niemand je MP weet en dat icm een hardware key dan lijkt het me nagenoeg uitgesloten dat iemand in je vault komt. Hoe denken jullie daarover?

Ik denk er zo over: als het gratis is dan kan je geneuzel verwachten op de lange termijn.

Ik ben al sinds het begin fanatiek KeePass gebruiker maar merkte de laatste tijd toch wat irritatie over de apps op de platformen die achterblijven.

Ben nu eens aan het stoeien met Bitwarden... vind het wel fijn dat mijn wachtwoorden bij een publieke dienst staan omdat het mijn eerste ingang is (geen kip-ei-verhaal). Maar die interface zeg, die is echt nog een stuk slechter dan bij KeePass. Jammer dat dat niet wat mooier kan.

Redondo1982 schreef op dinsdag 27 december 2022 @ 10:39:
Lastpass zet je wel elke keer aan het denken zo met alle problemen. Alleen als niemand je MP weet en dat icm een hardware key dan lijkt het me nagenoeg uitgesloten dat iemand in je vault komt. Hoe denken jullie daarover?

Hardware keys zijn geweldig voor 2FA, maar het doet niets voor je bij een inbraak op de servers zelf zoals bij Lastpass gebeurde. Het enige wat je dan redt is een sterk wachtwoord (een uitzondering is 1Password omdat zij een extra secret key gebruiken als toevoeging op het wachtwoord).

Redondo1982 schreef op dinsdag 27 december 2022 @ 10:39:
Lastpass zet je wel elke keer aan het denken zo met alle problemen. Alleen als niemand je MP weet en dat icm een hardware key dan lijkt het me nagenoeg uitgesloten dat iemand in je vault komt. Hoe denken jullie daarover?

Ieder zijn ding, maar als mijn huidige wachtwoord manager (Bitwarden) diverse keren "gehackt" wordt, dan ben ik z.s.m. weg.

Je zegt eigenlijk. Dat als je voor de zoveelste keer sporen ziet van inbraak thuis, maar ervan overtuigd bent dat je goede sloten hebt, dat je dan geen actie onderneemt? Beetje rare gedachten als je het mij vraagt.

Zoek hier even op tweakers naar "LastPass" en kijk naar de laatste nieuws berichten. Zoek vervolgens even op "Bitwarden" of "KeePass" je ziet van de laatste 2 alleen maar software update berichten, en van LastPass allemaal hack berichten etc.

Nogmaals ieder zijn ding, maar ik snap werkelijk waar niet dat mensen daar dan nog blijven.

stormfly schreef op dinsdag 27 december 2022 @ 10:44:
[...]


Ik denk er zo over: als het gratis is dan kan je geneuzel verwachten op de lange termijn.

Ik noem hier 2 wachtwoord managers die gratis zijn, en zij hebben al meerdere malen bewezen dat ze één van de beste en meest veilige wachtwoord managers zijn. Dus nee, gratis is niet perse slecht. marketing machines zijn vaak gevaarlijker dan goed onderhouden gratis open source projecten.

[ Voor 19% gewijzigd door Wachten... op 27-12-2022 12:19 ]

Wachten... schreef op dinsdag 27 december 2022 @ 12:02:
of "KeePass"

Dat is dan natuurlijk ook geen clouddienst, dus niet vergelijkbaar met een LastPass of OnePassword. Hackers vinden KeePass waarschijnlijk minder interessant, omdat met het vinden van een exploit je er nog niet bent en je alsnog een bestand van een gebruiker nodig hebt.

Wachten... schreef op dinsdag 27 december 2022 @ 12:02:
[...]


Ieder zijn ding, maar als mijn huidige wachtwoord manager (Bitwarden) diverse keren "gehackt" wordt, dan ben ik z.s.m. weg.

Je zegt eigenlijk. Dat als je voor de zoveelste keer sporen ziet van inbraak thuis, maar ervan overtuigd bent dat je goede sloten hebt, dat je dan geen actie onderneemt? Beetje rare gedachten als je het mij vraagt.

Zoek hier even op tweakers naar "LastPass" en kijk naar de laatste nieuws berichten. Zoek vervolgens even op "Bitwarden" of "KeePass" je ziet van de laatste 2 alleen maar software update berichten, en van LastPass allemaal hack berichten etc.

Nogmaals ieder zijn ding, maar ik snap werkelijk waar niet dat mensen daar dan nog blijven.


[...]


Ik noem hier 2 wachtwoord managers die gratis zijn, en zij hebben al meerdere malen bewezen dat ze één van de beste en meest veilige wachtwoord managers zijn. Dus nee, gratis is niet perse slecht. marketing machines zijn vaak gevaarlijker dan goed onderhouden gratis open source projecten.

Het is zeker niet slecht en daarbij hebben ze op periodieke basis audits dus het is voor een opensource project meer dan prima. Zie ook: https://bitwarden.com/help/is-bitwarden-audited/

Maar naast al die bedrijfjes die het moeten hebben van marketing (Lastpass en NordVPN) bijvoorbeeld )zitten er ook partijen tussen die het echt serieus nemen. 1Password bijvoorbeeld: https://support.1password.com/security-assessments/
Zij gaan daarin echt ver en hosten bijvoorbeeld je data als het gaat om privacy in Duitsland en niet in Ierland zoals Bitwarden dit doet.

Wachten... schreef op maandag 26 december 2022 @ 18:11:
[...]


Een backup met docker is extreem simpel. Map syncen naar een andere locatie en klaar. Poorten openzetten is ook niet nodig, omdat het in de cache wordt opgeslagen. Een VPN is ook nog een optie. Maar nordpass is toch ook niet zelf hosted, dus waarom niet gewoon de betaalde bitwarden optie gekozen? Het is goedkoper en open source.

Als het op privacy en veiligheid aankomt zou dat voor mij ten alle tijden de voorkeur hebben.

Edit: daarnaast moet je niet vergeten dat NordVPN en NordPass (hetzelfde bedrijf) echt een marketing machine is. Dus enorm veel blogs en reviews zijn gesponsord. Als je echter op op onafhankelijke privacy en security websites kijkt, dan worden dit soort bedrijven nooit geadviseerd. KeePass en Bitwarden wel (en met een goede reden).

Dit zet me wel weer aan het denken. Ben sowieso nog niet overtuigd van Nordpass, voordeel is dat ik 30 dagen bedenk tijd heb.
Het zelf hosten is geen optie, wordt toch wat gecompliceerd. Een must is familie account met paswoord delen, anders logt de helft hier in met w@chtw00rd123 .
Ik zal de gratis versie van bitwarden nog een kans geven, voorlopig draait lastpass nog een paar maanden.

De marketing machine van Nord(pass) en VPN draait op volle toeren compleet met radio en tv spots.

Dennis schreef op dinsdag 27 december 2022 @ 12:23:
[...]

Dat is dan natuurlijk ook geen clouddienst, dus niet vergelijkbaar met een LastPass of OnePassword. Hackers vinden KeePass waarschijnlijk minder interessant, omdat met het vinden van een exploit je er nog niet bent en je alsnog een bestand van een gebruiker nodig hebt.

Mee eens, maar cloud dienst of niet. Je nummer 1 doel zou moeten zijn veiligheid en privacy met wachtwoord managers, en niet gebruiksgemak. Daarom heb ik zelf Bitwarden. Dit is voor mij een mooie mix van beide. Ik heb zelf jaren Keepass gebruikt, maar dat krijg ik echt niet aan de man hier in de familie, want dat werkt echt niet gebruiksvriendelijk.

Miki schreef op dinsdag 27 december 2022 @ 12:26:
[...]

Het is zeker niet slecht en daarbij hebben ze op periodieke basis audits dus het is voor een opensource project meer dan prima. Zie ook: https://bitwarden.com/help/is-bitwarden-audited/

Maar naast al die bedrijfjes die het moeten hebben van marketing (Lastpass en NordVPN) bijvoorbeeld )zitten er ook partijen tussen die het echt serieus nemen. 1Password bijvoorbeeld: https://support.1password.com/security-assessments/
Zij gaan daarin echt ver en hosten bijvoorbeeld je data als het gaat om privacy in Duitsland en niet in Ierland zoals Bitwarden dit doet.

Het zijn ook niet de enige die ik noem, maar wel bekende en die overal als advies worden gegeven op onafhankelijke websites.

Het enige wat ik zelf heb met 1password, is dat het (volgens mij) niet open source is, en dat het vrij prijzig is t.o.v. de andere partijen die ik noem.

Tumb schreef op dinsdag 27 december 2022 @ 12:28:
[...]


Dit zet me wel weer aan het denken. Ben sowieso nog niet overtuigd van Nordpass, voordeel is dat ik 30 dagen bedenk tijd heb.
Het zelf hosten is geen optie, wordt toch wat gecompliceerd. Een must is familie account met paswoord delen, anders logt de helft hier in met w@chtw00rd123 .
Ik zal de gratis versie van bitwarden nog een kans geven, voorlopig draait lastpass nog een paar maanden.

De marketing machine van Nord(pass) en VPN draait op volle toeren compleet met radio en tv spots.

Trouwens hier nog een tip qua gebruiksvriendelijkheid met bijvoorbeeld Bitwarden:
Waar je goed rekening mee moet houden, is dat apps zoals Bitwarden etc, worden gezien als niet gebruiksvriendelijk. Dit geldt bijvoorbeeld ook voor Signal (alternatief Whatsapp). Veel mensen zien het als "niet gebruiksvriendelijk", terwijl alle opties en mogelijkheden erin zitten om het gebruiksvriendelijk te maken.

De reden dat het "minder gebruiksvriendelijk" is, komt omdat er hele goede redenen achter zitten dat ze bepaalde functies uitzetten, omdat het anders ten kosten gaat van de veiligheid. Autofill zit bijvoorbeeld ook gewoon in Bitwarden. Je moet het alleen aan zetten. Unlocken met pincode, zit er ook in, maar je moet het aan zetten etc. Voor Signal komt deze discussie ook vaak naar voren wat betreft het niet automatisch opslaan (unencrypted) van foto`s e.d.

TLDR: Kortom, vaak zijn veilige apps (even los van wachtwoord managers) ook gebruiksvriendelijk te maken. Ze hebben er alleen hele goede redenen voor om bepaalde functies standaard uit te zetten, vanwege veiligheid.

[ Voor 33% gewijzigd door Wachten... op 27-12-2022 12:59 ]

stormfly schreef op dinsdag 27 december 2022 @ 10:44:
[...]


Ik denk er zo over: als het gratis is dan kan je geneuzel verwachten op de lange termijn.

Ik heb een family abonnement, die kost best een aardige duit.

Redondo1982 schreef op dinsdag 27 december 2022 @ 14:27:
[...]

Ik heb een family abonnement, die kost best een aardige duit.

Voor een app die ik meerdere malen per dag gebruik en ook nog eens zeer gevoelige informatie toevertrouw weegt voor mij die kleine €70 die ik jaarlijks kwijt ben niet op tegen andere oplossingen.

Ik gebruik voor mijn gezin met volle tevredenheid NordPass.
Er zijn tegenwoordig wel zoveel paswoord managers dat je door de bomen het bos niet meer ziet.

Maar ik gebruik deze al meer dan een jaar en zeer tevreden van.
Ook een extra beveiligingslaag met 2FA is voorzien.

Redondo1982 schreef op dinsdag 27 december 2022 @ 15:40:
[...]

Ik zeg eigenlijk: er zijn de hele dag mensen bezig met verschillende bedreigingen en wat ze in hun hoofd hebben kan ik niet voorkomen. Ik kan er alleen voor zorgen dat ik het zo goed mogelijk beveilig dat ik er alles aan gedaan heb.

Is BW dan zoveel beter? Dat is nu even de hype na LP, omdat ze gratis zijn en Nederlanders te zuinig zijn om wat te betalen. Maar BW wordt nu populairder en dan wil ik weleens zien hoe bestand ze zijn tegen aanvallen. Leuk dat je nu alleen de positieve berichten leest, maar ik geloof niks ervan dat BW beter beveiligd is. Het is alleen goedkoper en dan is het al vaak beter bij mensen.

Bitwarden is niet "ineens" populair, dat is al jaren populair onder mensen die voor privacy/security gaan.

Bitwarden is ook niet gratis. Ze hebben slechts een gratis optie die wat beperkt is. Wellicht dus eerst even wat inlezen

Wachten... schreef op dinsdag 27 december 2022 @ 15:48:
[...]


Bitwarden is niet "ineens" populair, dat is al jaren populair onder mensen die voor privacy/security gaan.

Bitwarden is ook niet gratis. Ze hebben slechts een gratis optie die wat beperkt is. Wellicht dus eerst even wat inlezen

BW is echt wel populair geworden doordat LP zijn prijzen ging verhogen. Ik heb dit topic heel lang gevolgd. Ik zei ook niet dat het nooit werd gebruikt, maar iets schiet nu eenmaal door het plafond zodra mensen op zoek gaan naar een alternatief. Ik heb me dus prima ingelezen, evenals dat BW gewoon gratis te gebruiken is (https://bitwarden.com/pricing/). Dat was LP ook, zij het nog maar op één apparaat. Dus het is mobiel of desktop.

Redondo1982 schreef op dinsdag 27 december 2022 @ 15:37:
[...]

Maar ook al is een inbraak bij LP zelf dan nog kunnen ze het niet inzien, toch? Dat is overigens waar LP zelf mee adverteert, zoals velen. Als ze encrypted gegevens hebben dan kun je die toch alleen unlocken met MP en de hardware key?

Als ze je vault hebben gestolen, dan hebben ze je master password nog steeds nodig inderdaad. Een hardware key is zover ik weet geen onderdeel van de vault's encryptie bij de bekende password managers en alleen bedoeld als tweede factor voor inloggen via de normale weg. Het voorkomt dat ik kan inloggen op jouw account als ik je wachtwoord weet, maar als ik de vault heb gestolen bij Lastpass dan ben ik alsnog binnen met alleen je wachtwoord.

(1Password's secret key is een aparte code die je eenmalig moet invoeren op elk apparaat en die is wel onderdeel van de encryptie. Is wel een extra ding om goed te bewaren.)

user109731 schreef op dinsdag 27 december 2022 @ 15:52:
[...]

Als ze je vault hebben gestolen, dan hebben ze je master password nog steeds nodig inderdaad. Een hardware key is zover ik weet geen onderdeel van de vault's encryptie bij de bekende password managers en alleen bedoeld als tweede factor voor inloggen via de normale weg. Het voorkomt dat ik kan inloggen op jouw account als ik je wachtwoord weet, maar als ik de vault heb gestolen bij Lastpass dan ben ik alsnog binnen met je wachtwoord.

(1Password's secret key is een aparte code die je eenmalig moet invoeren op elk apparaat en die is wel onderdeel van de encryptie. Is wel een extra ding om goed te bewaren.)

Ja, eigenlijk zitten ze dus al in je vault? Dus om dit te encrypten hebben ze alleen je MP nodig? Het hardware-gedeelte zijn ze dan al voorbij?

Dan wordt 1Password wel een serieuze optie. Waarom heeft LP dit niet? Bizar, ze bestaan toch al een tijdje. Of heeft 1Password dit toegevoegd na misschien wat problemen in het verleden? Meestal gaan dit soort bedirjven pas innoveren zodra er wat gebeurd.

[ Voor 8% gewijzigd door Redondo1982 op 27-12-2022 15:59 ]

Redondo1982 schreef op dinsdag 27 december 2022 @ 15:58:
Dan wordt 1Password wel een serieuze optie. Waarom heeft LP dit niet? Bizar, ze bestaan toch al een tijdje. Of heeft 1Password dit toegevoegd na misschien wat problemen in het verleden? Meestal gaan dit soort bedirjven pas innoveren zodra er wat gebeurd.

1Password heeft geen problemen gehad, de Secret Key zit er al in vanaf het begin. Het is een afweging die ze hebben gemaakt: het is een extra code die gebruikers goed moeten bewaren, los van het wachtwoord. Ben je die code kwijt en verlies je toegang tot al je apparaten met 1P, dan heb je een groot probleem. Dat is een nadeel. Aan de andere kant is het wel een extra laag om gebruikers met zwakke wachtwoorden te beschermen bij een incident zoals bij LP.

user109731 schreef op dinsdag 27 december 2022 @ 16:04:
[...]

1Password heeft geen problemen gehad, de Secret Key zit er al in vanaf het begin. Het is een afweging die ze hebben gemaakt: het is een extra code die gebruikers goed moeten bewaren, los van het wachtwoord. Ben je die code kwijt en verlies je toegang tot al je apparaten met 1P, dan heb je een groot probleem. Dat is een nadeel. Aan de andere kant is het wel een extra laag om gebruikers met zwakke wachtwoorden te beschermen bij een incident zoals bij LP.

Oké, klinkt goed. Ik ga maar eens serieus actie ondernemen.

Redondo1982 schreef op dinsdag 27 december 2022 @ 15:51:
[...]

BW is echt wel populair geworden doordat LP zijn prijzen ging verhogen. Ik heb dit topic heel lang gevolgd. Ik zei ook niet dat het nooit werd gebruikt, maar iets schiet nu eenmaal door het plafond zodra mensen op zoek gaan naar een alternatief. Ik heb me dus prima ingelezen, evenals dat BW gewoon gratis te gebruiken is (https://bitwarden.com/pricing/). Dat was LP ook, zij het nog maar op één apparaat. Dus het is mobiel of desktop.

Wederom lees je dan niet, want ik zeg ook dat Bitwarden een gratis versie heeft. Deze is alleen beperkt.

En uiteraard wordt een andere dienst (nog) populairder als er bij andere diensten iets gebeurd, maar Bitwarden is al jaren bekend en populair onder allerlei onafhankelijke partijen, en dus ook onder tweakers hier.

Wachten... schreef op dinsdag 27 december 2022 @ 17:17:
[...]


Wederom lees je dan niet, want ik zeg ook dat Bitwarden een gratis versie heeft. Deze is alleen beperkt.

En uiteraard wordt een andere dienst (nog) populairder als er bij andere diensten iets gebeurd, maar Bitwarden is al jaren bekend en populair onder allerlei onafhankelijke partijen, en dus ook onder tweakers hier.

Wat heb jij toch met de hele tijd dat ik niet lees? Ik zeg alleen dat er een gratis versie is. Je bent beetje zoekende. Slechte dag gehad vandaag?

Je wil gewoon je eigen twist eraan geven, maar dat gaat niet gebeuren. Je kan draaien wat je wilt…

Het zou mooi zijn als ze op de een of andere manier een variabele masterwachtwoord kunnen maken. Dat je bijv. achter je zelf verzonnen wachtwoord een variabele moet invullen van een 2F app of via een key.

Daarna uiteraard nog steeds een 2F.

Dan is je wachtwoord een stuk veiliger.


Geen idee of dit technisch mogelijk is.

Dit is wat sommige login methodes doen met een RSA dongle. Daar moet je dan een 4-cijferige wisselende code invullen aan het einde van je normale wachtwoord. Maar in principe verschilt dit niet van standaard 2FA met een TOTP code die je los invult.

streamnl schreef op woensdag 28 december 2022 @ 10:15:
Het zou mooi zijn als ze op de een of andere manier een variabele masterwachtwoord kunnen maken. Dat je bijv. achter je zelf verzonnen wachtwoord een variabele moet invullen van een 2F app of via een key.

Daarna uiteraard nog steeds een 2F.

Dan is je wachtwoord een stuk veiliger.


Geen idee of dit technisch mogelijk is.

Natuurlijk is het mogelijk, de vraag is alleen wat schiet je er precies mee op.
De beveiliging van password managers kent twee hoofdstromen. De toegang tot je wachtwoorden en de versleuteling van je database waarin je wachtwoorden worden opgeslagen. Met 2FA constructies los je het laatste niet op als er bijvoorbeeld een inbraak is geweest zoals bij Lastpass waar ze de database hebben weten te bemachtigen.
De meeste beveiligingsproblemen zullen ontstaan rondom het bemachtigen van de specifieke database met alle users dan brute forcen van logins bij individuen. Dat is immers veel lucratiever en veel meer waard op de zwarte markt.

streamnl schreef op woensdag 28 december 2022 @ 10:15:
Het zou mooi zijn als ze op de een of andere manier een variabele masterwachtwoord kunnen maken. Dat je bijv. achter je zelf verzonnen wachtwoord een variabele moet invullen van een 2F app of via een key.

Daarna uiteraard nog steeds een 2F.

Dan is je wachtwoord een stuk veiliger.


Geen idee of dit technisch mogelijk is.

Volgens mij niet, of niet zonder risico's. Symmetrische encryptie werkt met een statische sleutel om je data te versleutelen. Een goede encryptiestandaard en een sterke sleutel maken het dan onmogelijk om te ontsleutelen. Wil je daar een variabele key aan toevoegen dan moet dat toch elke keer weer omgezet worden naar een statische key die gebruikt wordt om te ontsleutelen. Dat zal een stukje software moeten zijn wat te reverse engineeren is en waarmee de logica voor die statische key te achterhalen of te omzeilen is.

2FA voor statische encryptie voegt m.i. niets toe (in tegenstelling tot inloggen op een dienst). Wat je wel kan doen is je private key opslaan op een hardware sleutel. Dan kun je alleen bij je wachtwoorden als je ook over je sleutel beschikt. Of daar al praktische toepassingen voor zijn voor consumentengebruik weet ik niet.

Ik benoem 2F omdat je daar ook elk minuut een andere code hebt.

Als je zoiets zou kunnen combineren, dan is het niet mogelijk om een hoofdwachtwoord te achterhalen met bruteforce. Je hebt immers elk minuut een ander hoofdwachtwoord.

@BytePhantomX , ik heb bij lange na niet genoeg kennis om te weten of dit juist onveiliger wordt door reverse engineering.

Het was een gedachtespinsel nadat ik opgezocht had wat de “extra code” van 1Password inhield.

[ Voor 7% gewijzigd door streamnl op 28-12-2022 12:45 ]

Dit is een intressante manier om je wachtwoorden veilig lokaal op te slaan en ze te synchroniseren met een willekeurig cloud dienst.
Niet voor de gemiddelde gebruiker, maar voor de Tweakers onder ons misschien wel een oplossing.
https://words.filippo.io/dispatches/passage/

Hele gezin hier over gezet naar Vaultwarden die in docker op mijn synology draait. Moet zeggen dat ik niets van LastPass mis qua fuctionaliteit. Werkt ronduit erg fijn, zowel qua browserplugins als android app. Tevreden gebruiker hier

Enige waar ik mee zit is de backup. Wat ik nu even snel heb gedaan is in de nacht Vaultwarden docker een uur uitschakelen met synology taak. In dat uur draait cloudsync een backup naar Dropbox folder.

Verder eens in de zoveel tijd een .csv export van de kluizen maken.

Fijne is ook dat wanneer de synology er onverhoopt uitligt, je op de app gewoon alle wachtwoorden wel tot je beschikking hebt.

vandermark schreef op woensdag 28 december 2022 @ 16:39:
Hele gezin hier over gezet naar Vaultwarden die in docker op mijn synology draait. Moet zeggen dat ik niets van LastPass mis qua fuctionaliteit. Werkt ronduit erg fijn, zowel qua browserplugins als android app. Tevreden gebruiker hier

Enige waar ik mee zit is de backup. Wat ik nu even snel heb gedaan is in de nacht Vaultwarden docker een uur uitschakelen met synology taak. In dat uur draait cloudsync een backup naar Dropbox folder.

Verder eens in de zoveel tijd een .csv export van de kluizen maken.

Fijne is ook dat wanneer de synology er onverhoopt uitligt, je op de app gewoon alle wachtwoorden wel tot je beschikking hebt.

Je kunt hiervoor dit soort tools in een docker draaien.

https://palant.info/2022/...astpass-breach-explained/

Mooi artikel wat het echte risico van de LastPass breach uitlegt.

Edit: Excuus. Misschien maar even een apart topicje over maken.

[ Voor 70% gewijzigd door StopEcocide op 09-01-2023 18:51 ]

Kent iemand padloc?

https://european-alternatives.eu/product/padloc
https://padloc.app

Het heeft 0 hits op het forum wat wel vreemd is aangezien het veel weg heeft van Bitwarden.

sko schreef op maandag 9 januari 2023 @ 23:09:
Kent iemand padloc?

https://european-alternatives.eu/product/padloc
https://padloc.app

Het heeft 0 hits op het forum wat wel vreemd is aangezien het veel weg heeft van Bitwarden.

Het lijkt zelfs bijna een fork van Bitwarden.

Maar ik denk dat je jezelf eerst goed moet bewijzen met dit soort zaken. Wellicht het proberen waard, maar ik zou het (nu nog niet) als primair gebruiken.

In de afgelopen vakantie had ik me voorgenomen om mijn vrouw ook aan een passwordmanager te helpen - gezien de hoeveelheid plekken waar zij een standaard wachtwoord had was het wachten op een hack of scam...

Ik was eerst van plan om een service als lastpass te gebruiken maar de hoeveelheid breaches over de afgelopen jaren weerhielden me er toch van. Ik was nog niet overtuigd om haar aan KeePass te helpen. Dat gebruik ik zelf maar ik had het idee dat de gebruiksvriendelijkheid voor haar niet afdoende zou zijn.

En toen kwam ik KeePassXC tegen - wat qua interface net wat gelikter, moderner overkwam met een sneller en beter in te richten browser plugin. KeePassHTTP heb ik bijv zelf nooit aan de praat gekregen en zonder browser plugin zag ik het somber in voor mijn vrouw...

Lang verhaal kort - mijn vrouw is succesvol aan een passwordmanager en had het geduld om het te blijven proberen ook als soms de detectie van een pagina even niet lekker loopt. Het hielp wel dat de wachtwoorden uit Chrome overgezet zijn naar KeePassXC - even opschonen is wel even nodig. Volgende stap is op de telefoon KeePassDroid te installeren en in te richten.

De wachtwoord-db sync/backup ik via Stack en op de devices plaats ik nog een keyfile die ik alleen op mijn Synology thuis laat staan. Zo heb ik in mijn ogen maximale security, werkende backups en een blije vrouw :-)

En nu zijn de kinderen aan de beurt...

Twee Dee schreef op dinsdag 10 januari 2023 @ 08:00:
In de afgelopen vakantie had ik me voorgenomen om mijn vrouw ook aan een passwordmanager te helpen - gezien de hoeveelheid plekken waar zij een standaard wachtwoord had was het wachten op een hack of scam...

Ik was eerst van plan om een service als lastpass te gebruiken maar de hoeveelheid breaches over de afgelopen jaren weerhielden me er toch van. Ik was nog niet overtuigd om haar aan KeePass te helpen. Dat gebruik ik zelf maar ik had het idee dat de gebruiksvriendelijkheid voor haar niet afdoende zou zijn.

En toen kwam ik KeePassXC tegen - wat qua interface net wat gelikter, moderner overkwam met een sneller en beter in te richten browser plugin. KeePassHTTP heb ik bijv zelf nooit aan de praat gekregen en zonder browser plugin zag ik het somber in voor mijn vrouw...

Lang verhaal kort - mijn vrouw is succesvol aan een passwordmanager en had het geduld om het te blijven proberen ook als soms de detectie van een pagina even niet lekker loopt. Het hielp wel dat de wachtwoorden uit Chrome overgezet zijn naar KeePassXC - even opschonen is wel even nodig. Volgende stap is op de telefoon KeePassDroid te installeren en in te richten.

De wachtwoord-db sync/backup ik via Stack en op de devices plaats ik nog een keyfile die ik alleen op mijn Synology thuis laat staan. Zo heb ik in mijn ogen maximale security, werkende backups en een blije vrouw :-)

En nu zijn de kinderen aan de beurt...

Pittig en dapper dat je Keepass bent gaan gebruiken. Het is niet de meest gebruiksvriendelijke wachtwoord manager, maar wel één van de beste.

Succes dus ermee. Over een paar weken gaat iedereen bij je denken "hoe heb ik zonder wachtwoord manager kunnen leven"

Twee Dee schreef op dinsdag 10 januari 2023 @ 08:00:
Het hielp wel dat de wachtwoorden uit Chrome overgezet zijn naar KeePassXC - even opschonen is wel even nodig.

Als je een password manager gebruikt moet je uiteraard elke andere plek waar je passwords bewaart leeghalen. Chrome is een voor de hand liggende, maar ook eventuele vorige password managers. Doe je dat niet, dan blijven je wachtwoorden kwetsbaar (want mogelijk eenvoudiger te bemachtigen) of lopen ze uit sync (en vul je wellicht het oude wachtwoord een keer in en zo).

Twee Dee schreef op dinsdag 10 januari 2023 @ 08:00:
In de afgelopen vakantie had ik me voorgenomen om mijn vrouw ook aan een passwordmanager te helpen - gezien de hoeveelheid plekken waar zij een standaard wachtwoord had was het wachten op een hack of scam...

Ik was eerst van plan om een service als lastpass te gebruiken maar de hoeveelheid breaches over de afgelopen jaren weerhielden me er toch van. Ik was nog niet overtuigd om haar aan KeePass te helpen. Dat gebruik ik zelf maar ik had het idee dat de gebruiksvriendelijkheid voor haar niet afdoende zou zijn.

En toen kwam ik KeePassXC tegen - wat qua interface net wat gelikter, moderner overkwam met een sneller en beter in te richten browser plugin. KeePassHTTP heb ik bijv zelf nooit aan de praat gekregen en zonder browser plugin zag ik het somber in voor mijn vrouw...

Lang verhaal kort - mijn vrouw is succesvol aan een passwordmanager en had het geduld om het te blijven proberen ook als soms de detectie van een pagina even niet lekker loopt. Het hielp wel dat de wachtwoorden uit Chrome overgezet zijn naar KeePassXC - even opschonen is wel even nodig. Volgende stap is op de telefoon KeePassDroid te installeren en in te richten.

De wachtwoord-db sync/backup ik via Stack en op de devices plaats ik nog een keyfile die ik alleen op mijn Synology thuis laat staan. Zo heb ik in mijn ogen maximale security, werkende backups en een blije vrouw :-)

En nu zijn de kinderen aan de beurt...

Keepass zou niet mijn eerste keuze zijn om iemand te overtuigen een wachtwoord manager te gebruiken. Werkt het ook goed een eenvoudig op een mobiel?

Zelf houd ik er eigenlijk een simpel adagium op na: "De beste wachtwoordmanager is degene die je consequent gebruikt" (met de nuance dat die ww manager wel veilig genoeg moet zijn). Als dat lukt met Keepass is dat prima, maar ik durf het niet aan te raden aan niet-techneuten.

Daarnaast vind het kunnen delen van wachtwoorden in het gezin erg praktisch, maar niet standaard alle wachtwoorden. En dat is ook niet echt handig met keepass denk ik.

Wachten... schreef op dinsdag 10 januari 2023 @ 08:09:
[...]
Pittig en dapper dat je Keepass bent gaan gebruiken. Het is niet de meest gebruiksvriendelijke wachtwoord manager, maar wel één van de beste.

Succes dus ermee. Over een paar weken gaat iedereen bij je denken "hoe heb ik zonder wachtwoord manager kunnen leven"

Dat is wel het resultaat waar ik het voor doe . En veiligheid4all, mijn zoon is net gescamd/gehackt in Roblox dus die staat er ook open voor...

elsinga schreef op dinsdag 10 januari 2023 @ 08:51:
[...]

Als je een password manager gebruikt moet je uiteraard elke andere plek waar je passwords bewaart leeghalen. Chrome is een voor de hand liggende, maar ook eventuele vorige password managers. Doe je dat niet, dan blijven je wachtwoorden kwetsbaar (want mogelijk eenvoudiger te bemachtigen) of lopen ze uit sync (en vul je wellicht het oude wachtwoord een keer in en zo).

Klopt, opschonen is een goede actie. Het scheelt dat er naast Chrome geen slingerende bestanden zijn, ook niet in een of andere cloud. Tegelijkertijd pakt ze de boel op om haar standaardwachtwoord te vervangen door kloteveilige wachtwoorden. Ook sluit ze een hoop oude/ongebruikte accounts. Digitale opruimwoede zeg maar!

BytePhantomX schreef op dinsdag 10 januari 2023 @ 11:47:
[...]

Keepass zou niet mijn eerste keuze zijn om iemand te overtuigen een wachtwoord manager te gebruiken. Werkt het ook goed een eenvoudig op een mobiel?

Zelf houd ik er eigenlijk een simpel adagium op na: "De beste wachtwoordmanager is degene die je consequent gebruikt" (met de nuance dat die ww manager wel veilig genoeg moet zijn). Als dat lukt met Keepass is dat prima, maar ik durf het niet aan te raden aan niet-techneuten.

Daarnaast vind het kunnen delen van wachtwoorden in het gezin erg praktisch, maar niet standaard alle wachtwoorden. En dat is ook niet echt handig met keepass denk ik.

Ik hikte er om gebruiksvriendelijkheid redenen ook tegenaan, had het al veel eerder willen doen. Uiteindelijk viel het door mijn voorbereiding en de vondst van KeepassXC als client reuze mee.

Android is de volgende stap - via KeepassDroid. In mijn setup open ik de keyDB die via webdav remote beschikbaar is en zo ook automatisch wordt gesynct. Dat werkt bij mij prima en hoop dat ook bij haar in gebruik te krijgen. In het begin had ik last met KeepassDroid dat een wachtwoordveld niet altijd werd herkend maar daar heb ik nu nauwelijks nog problemen mee. En desnoods moet je zelf het ww opzoeken en copy/pasten - niet heel vaak en niet heel erg.

Oh en tot slot - je kunt zelf in KeepassDroid instellen hoe vaak je je hoofdwachtwoord moet intoetsen of bijv de biometrie mag gebruiken. Een lang wachtwoord op een touchscreen is net irritanter dan op een toetsenbord. Je kunt instellen dat je je hoofdwachtwoord éénmaal moet invoeren bij het openen van een DB (bijv na herstart) maar bij opvolgend gebruik biometrisch.

Het helpt écht dat ze zelf bewust is dat het online gewoon veilig moet zijn en dat dat soms een beetje gedoe is vindt ze zelf een acceptabele afweging.

[ Voor 6% gewijzigd door Twee Dee op 10-01-2023 12:02 ]

Tripl3 D schreef op dinsdag 16 februari 2021 @ 14:05:
Sinds een aantal weken gebruik ik Dashlane (de trial Premium versie) en die heb ik gekozen, omdat veel sites dit een van de meest gebruikersvriendelijke Password Managers vinden.

Maar zo gebruikersvriendelijk vind ik hem niet. Een van de vervelendste dingen is dat je op elk apparaat elke 14 dagen verplicht bent om weer dat master wachtwoord op te geven. Dus op 2 laptops, 2 smartphones en een tablet.
Heb bewust voor een heel lang wachtwoord gekozen, maar daardoor blijf je aan de gang. Is dat bij de concurrentie ook zo?

Daarnaast vind ik de synchronisatie ook niet bepaald optimaal, zelfs niet met de browserextensie. Kan wel even duren voordat alles is bijgewerkt.

Ten slotte vind ik hem ook niet zo intuitief als er op veel verschillende sites beweerd wordt.

Voor mij juist allemaal heel belangrijk, mede doordat de WAF onder druk komt van dit alles.

Overigens is in de afgelopen 2 jaar die gebruiksvriendelijkheid al een heel stuk verbeterd. Synchronisatie is in het afgelopen jaar geen probleem meer geweest. En het continu inloggen met je masterwachtwoord is afgenomen door gebruik van de vingerafdrukscanners in de diverse apparaten.
Ook het gebruik icm veel websites en het gebruik op de mobiele telefoons heeft flinke stappen gemaakt.
Ik zie echt dat ze niet stil zitten met ontwikkelen en mijn grootste frustratie is eerder de nog steeds oppoppende Samsung/Firefox/Google wachtwoordmanagers dan Dashlane zelf.

Waar ik 2 jaar geleden op een zesje kwam, denk ik dat ik inmiddels al wel op een 8 zit.

Ik heb jarenlang naar naar volle tevredenheid KeePass gebruikt. Synchronisatie deed ik via Google Drive. maar ik wilde toch meer gebruikersvriendelijkheid en een vriendelijker interface voor zowel de desktop als e Android App. Verder miste ik ook een goeie manier om de database via de browser/website te benaderen.

Ik ben dus overgestapt naar Bitwarden/Vaultwarden. Dit werkt echt superlekker en soepel. De migratie ging ook nagenoeg vlekkeloos. De app, desktop app en browser app werken lekker. Vaultwarden draait als docker container op mijn Synology NAS, welke elke nacht een geencrypte back up (incl. versie beheer) maakt naar Google Drive van de gemounte volume van de container.

De docker container wordt automatisch geupdate naar de laatste versie via WatchTower.

Als ik weer zou overstappen naar een ander (bij verkoop NAS of security issues bij Bit/Vaultwarden) zou ik zo weer overstappen naar KeePass. Ik hoop dat de apps wat beter worden de komende tijd.

keukentafeltje schreef op vrijdag 20 januari 2023 @ 11:21:
Ik heb jarenlang naar naar volle tevredenheid KeePass gebruikt. Synchronisatie deed ik via Google Drive. maar ik wilde toch meer gebruikersvriendelijkheid en een vriendelijker interface voor zowel de desktop als e Android App. Verder miste ik ook een goeie manier om de database via de browser/website te benaderen.

Ik ben dus overgestapt naar Bitwarden/Vaultwarden. Dit werkt echt superlekker en soepel. De migratie ging ook nagenoeg vlekkeloos. De app, desktop app en browser app werken lekker. Vaultwarden draait als docker container op mijn Synology NAS, welke elke nacht een geencrypte back up (incl. versie beheer) maakt naar Google Drive van de gemounte volume van de container.

Zou je willen uitleggen hoe je dat gedaan hebt, dat automatisch backuppen?

NaN schreef op vrijdag 20 januari 2023 @ 19:11:
[...]

Zou je willen uitleggen hoe je dat gedaan hebt, dat automatisch backuppen?

Dit heb ik gedaan via Hyper Backup, een tool die via de package manager van DSM geïnstalleerd kan worden of hij staat al standaard geinstalleerd. Je kunt dat als destination met Google Drive connecten. En ook frequentie, mappen etc. instellen. Het wijst allemaal best wel vanzelf als je de tool gevonden hebt.

keukentafeltje schreef op vrijdag 20 januari 2023 @ 19:44:
[...]


Dit heb ik gedaan via Hyper Backup, een tool die via de package manager van DSM geïnstalleerd kan worden of hij staat al standaard geinstalleerd. Je kunt dat als destination met Google Drive connecten. En ook frequentie, mappen etc. instellen. Het wijst allemaal best wel vanzelf als je de tool gevonden hebt.

Aha, thanks voor de tip!

swhnld schreef op dinsdag 3 januari 2023 @ 08:31:
https://palant.info/2022/...astpass-breach-explained/

Mooi artikel wat het echte risico van de LastPass breach uitlegt.

Dit bericht is voor mij nu wel de druppel. Ik heb LP jaren met veel gemak gebruikt maar het komt toch wel te vaak negatief in het nieuws. Kijk, elke Passwordmanager in de cloud categorie zal doelwit worden wanneer het maar populair genoeg is. Hoe ermee om gegaan wordt is waar het om draait. Dat vertrouwen bij LP is wel weg nu.

Een password manager in mijn geval is dat het voornamelijk voor thuisgebruik op mijn eigen PC is. Dat mijn werklaptop er ook extern gebruik van kan maken. Mijn telefoons hoeven er niet in. Ik gebruik een Apple (foto's / iPhone) en Microsoft account (primaire emailadres), beide met MFA. Ik zou op zich van dat Microsoft account afkunnen, maar mocht ik ooit van iPhone weggaan en ik storage voor mijn fotos nodig heb dan heb ik dat liever bij Microsoft dan bij Google. Mijn Microsoft account heeft ook 50GB gratis storage vergaard over de jaren.

Ik heb 2 jaar terug Bitwarden eens geprobeerd. Wat mij daar aan irriteerde is dat wanneer je ergens moest inloggen er, zoals Lastpass, een knopje ontbrak welke direct de bijbehorende gegevens invult. Een echte auto-fill hoeft voor mij niet eens, maar een button welke dat dan direct voor je doet is wenselijk. Bij Bitwarden moest ik dan de extensions knop aanklikken, Bitwarden aanklikken en dan klikken op de functie om in te vullen. Niet moeilijk, maar als je makkelijker gezien hebt dan voelde dat omslachtig.

Nu zal Bitwarden inmiddels doorontwikkeld zijn, misschien hebben ze dat al gebruiksvriendelijker gemaakt. Nu maar eens kijken naar zowel 1Password als Bitwarden.

JeroenNietDoen schreef op donderdag 26 januari 2023 @ 07:41:
[...]
Ik heb 2 jaar terug Bitwarden eens geprobeerd. Wat mij daar aan irriteerde is dat wanneer je ergens moest inloggen er, zoals Lastpass, een knopje ontbrak welke direct de bijbehorende gegevens invult. Een echte auto-fill hoeft voor mij niet eens, maar een button welke dat dan direct voor je doet is wenselijk. Bij Bitwarden moest ik dan de extensions knop aanklikken, Bitwarden aanklikken en dan klikken op de functie om in te vullen. Niet moeilijk, maar als je makkelijker gezien hebt dan voelde dat omslachtig.

Nu zal Bitwarden inmiddels doorontwikkeld zijn, misschien hebben ze dat al gebruiksvriendelijker gemaakt. Nu maar eens kijken naar zowel 1Password als Bitwarden.

Dat auto-invullen via een overlay op het scherm werkt bij Bitwarden nog altijd niet, gelukkig. Het is ofwel via de browser extension ofwel via rechtermuisknop. De overaly is namelijk één van de redenen waarom ik ben weggegaan bij Lastpass. Het maakte de browser onnodig traag en bovendien werd op verschillende sites mijn wachtwoord ingevuld in niet-wachtwoord velden.

Ik zie overigens niet veel verschil met een overlay en een extension:

• Lastpass: klik op de overlay en kies website om in te vullen.
• Bitwarden: klik op extension en dan de website om in te vullen

Het zijn voor mij evenveel stappen die ik moet uitvoeren.

Mocht je qua interface Lastpass prettig vinden en de mogelijkheid hebben om zelf te hosten zou je ook eens naar Passbolt kunnen kijken.

@Audiowaste @JeroenNietDoen

De autofill is er zeker wel.

Sowieso moet je de extentie installeren en dan kun je met Ctrl + shift + L alles automatisch laten invullen. Ik gebruik dat altijd op die manier.

De autofill is er volgens mij alleen niet via de software. ik ken zelf alleen niemand die de software gebruikt.

De autofill is ook interessanter voor web based applicaties en logins. Voor echt software op je pc blijf je meestal toch ingelogd.

[ Voor 16% gewijzigd door Wachten... op 26-01-2023 08:38 ]

Wachten... schreef op donderdag 26 januari 2023 @ 08:36:
@Audiowaste @JeroenNietDoen

De autofill is er zeker wel.

@JeroenNietDoen doelde niet op de autofill functie an sich maar dat je autofill kan doen via een overlay op het scherm. Lastpass heeft namelijk nog een overlay op het scherm, als ergens een wachtwoordveld op een website staat dan krijg je daar een lastpass icoon te zien waarmee je in het wachtwoordveld het wachtwoord kan laten invullen. Deze optie heeft Bitwarden niet.

Klopt. Ik vind autofill niet altijd handig. Er zijn websites die vervolgens doorloggen zonder dat ik dat ook echt wil. Ik bepaal wel wanneer ik wil inloggen. Die knop middels overlay maakte het wel handig. @Audiowaste met Bitwarden waren dat toch wel echt een aantal muisklikken dan enkel rechtermuisknop. LastPass zit ook nog eens direct onder je rechtermuisklik, dat is met Bitwarden niet. In Edge zitten alle extensies tegenwoordig achter de knop extensies waar ze voorheen direct zichtbaar waren.

Het is allemaal geen grote moeite, maar het is wel telkens een aantal extra klikken. Misschien klinkt het mierenneukerig, maar ik was er dan mee verwent bij LastPass.

Hoe is dat bij 1Password geregeld, weten jullie dat?

Ik heb gisteren ook definitief LP vaarwel gezegd, maar wat een werk zeg om alles om te zetten en te veranderen. Ik ben nu over naar 1Password, daar had ik gevoelsmatig meer vertrouwen in dan Bitwarden. Die laatste zou ik wel gaan gebruiken als ik selfhost zou doen, maar daar heb ik nu nog even geen tijd voor om alles in te stellen en uit te denken.