[Password Managers] Discussie- en reviewtopic

kraades schreef op woensdag 23 november 2016 @ 11:30:
Ik heb ook jarenlang Password Safe gebruikt. Er is ook een app voor iOS. Wat mij uiteindelijk heeft doen overstappen is het ontbreken van een app op Android met vingerafdruk herkenning en het ontbreken van browser integratie. Ook had ik niet het idee dat er veel aan werd ontwikkeld. Niet essentieel allemaal maar gezien mijn veelvuldige inlogacties op een dag was het niet optimaal.

ThinkPadd schreef op donderdag 24 november 2016 @ 11:45:
[...]

Wat gebruik je nu ?

vangronsvelt schreef op donderdag 24 november 2016 @ 17:53:
Ik heb momenteel nog geen password manager, maar ik overweeg nu wel om er een te gebruiken. Mijn vraag is echter: kan ik dan nog op een andere pc (bv. op het werk, bij mijn ouders,...) even vlug mijn yahoo mail e.d. checken, aangezien ik dit paswoord nu niet meer vanbuiten ken?

The_Worst schreef op donderdag 24 november 2016 @ 12:54:
Gebruik zelf jarenlang KeePass. Op mijn desktop in Chrome met een plugin en op mijn Android-toestel een app met vingerafdrukherkenning zodat ik niet steeds mijn wachtwoord hoef in te voeren.

musicfreak schreef op zondag 27 november 2016 @ 09:24:
[...]


Welke app is dit? Ik heb de websites van Keepass2Android en KeePassDroid bekeken maar zie deze functie niet bij de mogelijkheden staan.

vangronsvelt schreef op donderdag 24 november 2016 @ 17:53:
Ik heb momenteel nog geen password manager, maar ik overweeg nu wel om er een te gebruiken. Mijn vraag is echter: kan ik dan nog op een andere pc (bv. op het werk, bij mijn ouders,...) even vlug mijn yahoo mail e.d. checken, aangezien ik dit paswoord nu niet meer vanbuiten ken?

vangronsvelt schreef op donderdag 24 november 2016 @ 17:53:
Ik heb momenteel nog geen password manager, maar ik overweeg nu wel om er een te gebruiken. Mijn vraag is echter: kan ik dan nog op een andere pc (bv. op het werk, bij mijn ouders,...) even vlug mijn yahoo mail e.d. checken, aangezien ik dit paswoord nu niet meer vanbuiten ken?

Twixie schreef op dinsdag 29 november 2016 @ 15:47:
[...]


Gewoon syncen met je telefoon.
Ik heb KeePass waarbij mijn database file op Dropbox staat. Daardoor kan ik de laatste database gemakkelijk zowel naar mijn Android telefoon als mijn iPad syncen. Voor beide platformen heb je immers ook een KeePass client. Ik gebruik resp. KeePassDroid en MiniKeePass.
Om het helemaal veilig te maken, maak ik ook nog eens gebruik van een lokale keyfile. Die zorgt ervoor dat je niet enkel het master paswoord maar ook de keyfile nodig hebt om de database te decrypten. Die keyfile staat dan uiteraard NIET op Dropbox en zet ik op andere manieren op mijn telefoon of iPad.

dehardstyler schreef op donderdag 8 december 2016 @ 15:01:
Wat moet ik onder andere manieren verstaan? Is dat dan gewoon een andere cloud storage provider ofzo? Want wat je hier uitlegt is een erg mooie oplossing en ik denk er over na om het zoals jou op te zetten!

Twixie schreef op donderdag 8 december 2016 @ 15:25:
[...]


Neen, juist niet via andere cloud storage maar manueel op je telefoon zetten, bvb copiëren vanaf een netwerk share thuis, of gewoon via USB kabel. Op die manier heeft die key-file dan nooit je huis verlaten en kan iemand die enkel copiëren als hij toegang krijgt/hackt tot je PC, telefoon of tablet.

[ Voor 8% gewijzigd door Berlinetta op 11-12-2016 23:28 ]

vangronsvelt schreef op donderdag 24 november 2016 @ 17:53:
Ik heb momenteel nog geen password manager, maar ik overweeg nu wel om er een te gebruiken. Mijn vraag is echter: kan ik dan nog op een andere pc (bv. op het werk, bij mijn ouders,...) even vlug mijn yahoo mail e.d. checken, aangezien ik dit paswoord nu niet meer vanbuiten ken?

Juup schreef op maandag 16 januari 2017 @ 18:01:
Mag ik hier een UX design vraag stellen?
Ik ben bezig met m'n eigen password manager WebExtension (voor Firefox en Chrome) en zit met het volgende dilemma:
Sommige websites gebruiken iframes met daarin een login form.
Soms komt dat iframe van een ander (sub)domein of is de action van het login form een ander (sub)domein.

Zouden jullie in zo'n geval gewoon 1-click logins doen (met alle gevaren vandien) of moet ik de user een blocking confirm dialoog voor z'n neus schotelen?

downtime schreef op dinsdag 17 januari 2017 @ 09:11:
Da's een nobrainer in mijn ogen. Een password manager moet secure by default zijn. Jij bent niet degene die voor de gebruiker kan beslissen om risico te nemen. Jij moet de passwords van de gebruiker beschermen totdat die gebruiker expliciet aangeeft dat hij die bescherming niet wil.

1
2
3
4
5

Deze site heeft een login form
- Met een onveilige verbinding van de bronpagina (geen https)
- Met een onveilige verbinding van de doelpagina (geen https)
- Met een brondomein dat afwijkt van de hoofdpagina (example.com met iframe van bla.helpdesk.com)
- Met een doeldomein dat afwijkt van de hoofdpagina (example.com met action naar bla.helpdesk.com)

Juup schreef op dinsdag 17 januari 2017 @ 12:06:
[...]

Maar dan moet ik de gebruiker wel een moeilijke keuze voor z'n neus schotelen:

code:

1 2 3 4 5

Deze site heeft een login form - Met een onveilige verbinding van de bronpagina (geen https) - Met een onveilige verbinding van de doelpagina (geen https) - Met een brondomein dat afwijkt van de hoofdpagina (example.com met iframe van bla.helpdesk.com) - Met een doeldomein dat afwijkt van de hoofdpagina (example.com met action naar bla.helpdesk.com)

En de moeilijkere variant is dat er meerdere login forms zijn gevonden met een mix van bovenstaande problemen.
Wie snapt dat nog?

53645714n schreef op zondag 5 februari 2017 @ 09:23:
True.
Maar wat doet iedereen met die keyfile? Sleep je die mee op een thumbdrive of iets dergelijks of plaats je die op de apparaten waar je de db wil openen?

Bastiaan schreef op zondag 29 januari 2017 @ 16:21:
Ik weet niet waardoor het komt, maar ik heb datzelfde issue lang gehad op de site van KPN, tot enkele maanden geleden. Ik vermoed dat als je je wachtwoord plakt, een spatie en een backspace doet, dat het dan wél werkt. Er lijkt een soort controle op manuele invoer in dat wachtwoordveld te zitten (maar nogmaals: hoe dat technisch in elkaar steekt kan ik echt niet zeggen).

downtime schreef op zondag 5 februari 2017 @ 12:24:
[...]

Je plaatst 'm op de apparaten waar je de DB wilt openen. Zo kun je de DB gewoon ergens online zetten, zodat al je apparaten dezelfde DB kunnen gebruiken, en kan niemand er wat mee omdat ze de keyfile en het password niet hebben. Zo los je het probleem op dat passwords in zo'n situatie de zwakste schakel zijn.

53645714n schreef op maandag 6 februari 2017 @ 15:25:
[...]

Ik weet hoe het werkt, maar er ook zijn mensen die de keyfile meeslepen op een usb-stick om een fysieke 2e factor altijd op hun persoon te dragen. Ben benieuwd wat de medetweakers doen. Ikzelf zou inderdaad voor jouw oplossing gaan.

[ Voor 10% gewijzigd door ThinkPad op 15-03-2017 22:18 ]

coelho schreef op donderdag 9 maart 2017 @ 12:49:
Ik zit met ouders die moeite hebben om hun passwords te onthouden. Ze kunnen net met iphone/ipad omgaan, gebruiken een windows laptop, maar zijn verder digibeet. Nu liggen er dus blaadjes passwords door het hele huis, maar omdat veel services vragen om elke 90 dagen een nieuw password te maken gebruiken ze nu vaak [vast en eenvoudig password][nummer] waarbij [nummer] elke keer 1 opgehoogd wordt.

Welke password manager moet ik hen nou aanraden? Niet te veel instellingen, foolproof, logische layout. Uiteraard moeten ze doen waar ze voor gemaakt zijn, maar top of the bill bescherming is geen must. Het zijn geen mensen die staatsgeheimen hebben. Tips, want ik zie door de vele keuzes het bos eerlijk gezegd ook niet meer...

ThinkPadd schreef op woensdag 15 maart 2017 @ 22:13:
Heeft iemand het in LastPass aan de praat om de ING site te negeren? Ik heb ing.nl onder 'Never URLs' staan, maar toch vraagt hij telkens weer of hij de entry moet toevoegen nadat ik heb ingelogd op internetbankieren

grun93 schreef op zondag 19 maart 2017 @ 18:02:
[...]

Ja, maar alleen 'never urls' is niet genoeg, begrijp ik tenminste uit de manual. Je moet ook een (of meer) types kiezen. Druk nog eens op add en voeg 'ing.nl' ook eens toe aan de andere types. Ik heb het zelf niet geprobeerd overigens.

ThinkPadd schreef op zondag 19 maart 2017 @ 18:14:
Bij de 'Never do anything' kreeg ik die nog wel, terwijl je zou verwachten dat die álles zou moeten onderdrukken.

Room42 schreef op woensdag 22 maart 2017 @ 01:21:
Ik moet zeggen dat de verslaggeving van Lastpass wel uber-vaag is. Niet echt geruststellend!

[afbeelding]
https://twitter.com/LastPass/status/844342174686859264

Wat is er lek dan? Moet ik iets doen?

Room42 schreef op woensdag 22 maart 2017 @ 01:21:
Ik moet zeggen dat de verslaggeving van Lastpass wel uber-vaag is. Niet echt geruststellend!

[afbeelding]
https://twitter.com/LastPass/status/844342174686859264

Wat is er lek dan? Moet ik iets doen?

Eymas schreef op woensdag 22 maart 2017 @ 10:15:
Ik keek uiterlijk naar alternatieven voor mijn Ironkey aangezien ik deze al 2 jaar heb en niet zeker weet of de beveiliging nog up-to-date is. Jammer dat Lastpass, één van de grote namen, alweer een slag in vertrouwen krijgt. Wel mooi om te horen dat ze het gelijk oplossen op z'n minst maar toch brengt het men alweer in twijfel om over te stappen

kramerty88 schreef op zondag 21 september 2014 @ 16:50:

vso schreef op woensdag 22 maart 2017 @ 18:40:
ik zoek een team password manager ..

iets waarmee je
- access history (wie heeft wanneer welk password ingezien)
- auto password rotatie (na gebruik ander password instellen automagisch)
- password verloop
- ticket access (zonder ticket/change nummer geen access (audit redenen)

belangrijkste vind ik ook is dat je manager of die daarboven etc.. ook toegang moet kunnen verlenen.
en hoe je het reset..
ook wil je een offline copie .. (export) mogelijkheid ..

zo voorkom je een hoop gelazer of nood wanneer er iemand weg gaat in IT functie

Dennis schreef op woensdag 22 maart 2017 @ 11:57:
Ik gebruik zelf geen keefile maar gewoon een master password. Ook op mobiel. Al moet ik zeggen dat zowel KeePassDroid als KyPass3 ook met de vingerafdrukscanners van Android resp. iOS om kunnen gaan en in de praktijk ik dus daarmee werk.

Ikzelf vertrouw de cloud ook niet: daarom sla ik mijn KeePass file op in mijn eigen ownCloud. Thuis kan ik daar gewoon bij via WiFi, op afstand kan ik een VPN opzetten die al mijn verkeer omleidt via mijn eigen datacenter en dan kan ik ook bij ownCloud komen.

USB sticks heb ik dus niet bij mij.

[ Voor 5% gewijzigd door Yariva op 24-03-2017 10:49 ]

miicker schreef op maandag 27 maart 2017 @ 18:48:
Ik schaam me een beetje als ik zeg dat ik nog geen password manager gebruik. Maar ik ga er nu toch maar aan geloven. Als ik mijn mailadres intyp op de website van haveibeenpwned dan komen er iets te veel resultaten naar boven

Daarbij kreeg ik laatst sms en mail van Microsoft dat er was ingelogd op mijn account vanaf een onbekende locatie. Toen ik keek in de activiteit zag ik dat er vanuit India was ingelogd (of proxy natuurlijk). Dus heb maar direct mijn wachtwoord veranderd. Aangezien ik voor een hoop diensten het zelfde wachtwoord gebruik wil ik nu overal een ander wachtwoord in gaan stellen en gebruik gaan maken van een wachtwoord manager. Ik heb daarbij de volgende wensen:
- Moet een beetje up-to-date zijn, dus geen oude meuk.
- Gratis (of max €10,- per jaar.
- Ondersteuning voor in ieder geval Android, iOS & Windows 10.
- Fijn werkende apps die bijvoorbeeld de vingerafdrukscanner in iOS en Android ondersteunen.

Nice to have:
- Optie om wachtwoorden te genereren (ik ben niet creatief genoeg op dat gebied )
- Optie om automatisch in te loggen

En een ander redelijk belangrijk punt voor mij is dat de software open-source is. Volgens mij komen dit soort verhalen dan toch minder snel voor:
nieuws: LastPass raadt na nieuw lek aan sites direct vanuit de Vault te openen

Alle tips zijn welkom!

Kronkol schreef op dinsdag 28 maart 2017 @ 12:35:
Ik ben erg benieuwd naar de optie om een DB met keyfile mee te kunnen dragen en te installeren op welke apparaten je dat zelf wilt. De keyfile houdt je dan altijd gewoon bij je op een usb? Komen die keyfile's standaard mee als je bijv. KeePass gebruikt of genereer je die zelf? Ik gebruik op m'n werk 1password en dat bevalt eigenlijk altijd gewoon erg goed, maar ik geef ook liever de voorkeur aan de opensource systeem (okal zijn daar de meningen ook weer over verdeeld). Nu wil ik graag een eigen systeem inplementeren met 2FA, dus dat zou een mooie uitkomst zijn!

[ Voor 18% gewijzigd door Domino op 28-03-2017 13:10 ]

Yariva schreef op vrijdag 24 maart 2017 @ 10:48:
Echter maak ik wel maandelijks een off-site backup (lees USB stick) die ik meeneem mocht de NAS thuis toch kuren krijgen.

kadoendra schreef op vrijdag 7 april 2017 @ 22:24:
Zijn er ook zaken die jullie pertinent niet in je passwordmanager zetten? Wachtwoord voor de router of DigiD ofzo?

kadoendra schreef op vrijdag 7 april 2017 @ 22:52:
Omdat de gevolgen van het worst case scenario dat het toch misgaat bij die passwords ernstiger zijn dan bij, pak hem beet, je tweakers wachtwoord.

downtime schreef op vrijdag 7 april 2017 @ 23:06:
[...]

Dat klinkt even logisch als: Ik ben bang dat mijn meest waardevolle spullen uit mijn kluis gestolen kunnen worden en daarom leg ik ze liever naast de kluis. Dan kunnen ze nooit uit de kluis gestolen worden.

vso schreef op woensdag 22 maart 2017 @ 18:40:
ik zoek een team password manager ..

iets waarmee je
- access history (wie heeft wanneer welk password ingezien)
- auto password rotatie (na gebruik ander password instellen automagisch)
- password verloop
- ticket access (zonder ticket/change nummer geen access (audit redenen)

belangrijkste vind ik ook is dat je manager of die daarboven etc.. ook toegang moet kunnen verlenen.
en hoe je het reset..
ook wil je een offline copie .. (export) mogelijkheid ..

zo voorkom je een hoop gelazer of nood wanneer er iemand weg gaat in IT functie

kadoendra schreef op vrijdag 7 april 2017 @ 22:24:
Zijn er ook zaken die jullie pertinent niet in je passwordmanager zetten? Wachtwoord voor de router of DigiD ofzo?

[ Voor 5% gewijzigd door engessa op 22-04-2017 11:09 ]

engessa schreef op zaterdag 22 april 2017 @ 11:07:
Ik gebruik 1Password al een poosje naar tevredenheid. Alles zit goed dichtgetimmerd. En dat kan mogelijk ook een probleem zijn, als ik onder de trein kom dan kan er niemand bij. Al mijn devices hebben een pincode en mijn masterpassword staat nergens op papier. Hoe kun je dat oplossen? Het zou handig zijn dat mocht er iets met mij gebeuren er iemand anders toch toegang kan krijgen tot mijn kluis. Zijn hier best practices voor?

1Password ondersteund voor zover ik weet geen hardwarekey zoals een yubikey. Moet ik mijn masterpassword in delen aan mensen in mijn omgeving vertellen? Dus mijn ouders de helft geven en een goede vriend de andere helft? Of dit via een notaris regelen en daar mijn masterpassword vast laten leggen?

engessa schreef op zaterdag 22 april 2017 @ 11:07:
Ik gebruik 1Password al een poosje naar tevredenheid. Alles zit goed dichtgetimmerd. En dat kan mogelijk ook een probleem zijn, als ik onder de trein kom dan kan er niemand bij.

[ Voor 13% gewijzigd door grun93 op 22-04-2017 11:56 ]

downtime schreef op zaterdag 22 april 2017 @ 12:26:
Het password kun je nu nog gewoon wijzigen want alleen jij kent het en het ligt gewoon in jouw woning. En als jou wat overkomt dan kunnen ze erbij door simpelweg jouw woning open te breken. En dat moeten ze dan toch. Dit wordt pas een probleem als jouw ouders ook jouw huissleutel hebben.

grun93 schreef op zaterdag 22 april 2017 @ 11:44:
[...]

Waar moeten je nabestaanden bij kunnen dan? Eigenlijk alleen bij je bankrekening(en) en verzekeraars, lijkt me. Die willen sowieso een schriftelijk verzoek en een copie van de overlijdensacte zien. Ik bedoel maar: mocht je onverhoopt iets overkomen, dan speelt het vervolg zich niet af op de digitale snelweg, maar in persoon of via postverkeer.

downtime schreef op zaterdag 22 april 2017 @ 12:14:
[...]

Lekker handig. Dan mag je na elke verandering van je password ook je testament aanpassen.

grun93 schreef op zaterdag 22 april 2017 @ 12:34:
[...]

En als het huis in de brand vliegt dan? Weg password...

Cerberus_tm schreef op zaterdag 22 april 2017 @ 01:31:
Ik heb ook Paypal, Ebay, credit card en Amazon er niet in. Maar mijn e-mail juist wel, omdat die 2FA heeft. Eigenlijk zou Paypal er daarom misschien ook wel in kunnen. DigiD zou inderdaad misschien niet moeten...

[ Voor 46% gewijzigd door Tralapo op 22-04-2017 16:26 ]

[ Voor 3% gewijzigd door Cerberus_tm op 22-04-2017 16:57 ]

Cerberus_tm schreef op zaterdag 22 april 2017 @ 16:56:
Dat heb ik inderdaad uitzicht nadat ik dat gepost had en zo ingesteld!

Het enige wat nog wel enigszins verontrustend is met al die 2FA is dat ik niks meer kan als ik mijn telefoon kwijt raak of hij gestolen wordt.

3raser schreef op maandag 24 april 2017 @ 12:01:
Ik gebruik zelf KeePass en ik bedacht mij onlangs dat ik een flaw heb in mijn backup methode.
Al mijn backups maken gebruik van wachtwoorden die in de KeePass database staan. Maar de backups van de KeePass database zelf zijn dus ook niet benaderbaar als ik de database kwijt raak. Als ik -bijvoorbeeld door brand- al mijn computers kwijt zou raken dan kom ik dus onmogelijk meer bij mijn backups.

Ik heb al een USB-sleutel aan mijn sleutelbos hangen met een backup, maar ook die kan in dezelfde brand verloren gaan. Dus waar sla je een backup van je KeePass database op die zonder ingewikkeld wachtwoord te benaderen is? Een vertrouwenspersoon misschien? Of denk ik te ingewikkeld en zie ik een eenvoudige oplossing over het hoofd?

DennusB schreef op maandag 24 april 2017 @ 12:04:
[...]


Gewoon ergens encrypted neerknallen. Amazon S3? TransIP stack (als je het in NL wilt houden)?

3raser schreef op maandag 24 april 2017 @ 12:05:
[...]

Dat is wat ik nu al doe. Maar hoe kom ik in mijn Stack zonder wachtwoord?

DennusB schreef op maandag 24 april 2017 @ 12:06:
[...]


Tja, dan zal je daar toch een wachtwoord op moeten zetten wat je kan onthouden. Ergens moet je een compromis maken denk ik haha

Radiant schreef op maandag 24 april 2017 @ 12:09:
Waarom? Aan je KeePass-database heeft men toch niets, zonder het masterwachtwoord?

3raser schreef op maandag 24 april 2017 @ 12:13:
[...]

Klopt, maar een offline kopie van een KeePass database is nog altijd te brute-forcen. Voorkomen is beter dan genezen, dus ik hou mijn database liever privé.

Domino schreef op maandag 24 april 2017 @ 14:22:
Je hebt toch wel een smartphone waarop je toegang hebt tot bijvoorbeeld dropbox/onedrive/gdrive?

Daarnaast kun je de database versleutelen met een keyfile. Dan is bruteforce nagenoeg onmogelijk, er zijn dan twee variabelen los van elkaar niets voorstellen.

[ Voor 40% gewijzigd door Anoniem: 577607 op 26-04-2017 16:03 ]