[Password Managers] Discussie- en reviewtopic

Gebruik hier al jaren Lastpass, het is niet perfect maar ben er aardig aangewend.

Wil toch wel graag een betaalde variant omdat ik iOS gebruik en daardoor afhankelijk ben van apps van anderen. Bijvoorbeeld keepass op iOS komt toch wat over als hobby software die bijvoorbeeld niet snel nieuwe iOS features implementeren.

Bij betaalde lastpass heb ik er meer vertrouwen in dat deze goede iOS support leveren. Eventueel wil ik misschien overstappen naar 1Password maar dat is meer op macOS gericht ivp Windows

GrooV schreef op vrijdag 1 februari 2019 @ 10:32:
Gebruik hier al jaren Lastpass, het is niet perfect maar ben er aardig aangewend.

Wil toch wel graag een betaalde variant omdat ik iOS gebruik en daardoor afhankelijk ben van apps van anderen. Bijvoorbeeld keepass op iOS komt toch wat over als hobby software die bijvoorbeeld niet snel nieuwe iOS features implementeren.

Bij betaalde lastpass heb ik er meer vertrouwen in dat deze goede iOS support leveren. Eventueel wil ik misschien overstappen naar 1Password maar dat is meer op macOS gericht ivp Windows

De nieuwe Windows app van 1password is anders ook dik in orde hoor.
Zie deze blogpost: https://blog.1password.co...-more-polished-than-ever/

Let wel dat als je overstapt naar 1password dat je dat je je account aanmaakt op 1password.eu ipv .com. Dan worden namelijk je wachtwoorden opgeslagen op een server in Duitsland ipv Amerika.

Ik ben zelf ook ooit van LastPass naar BitWarden en toen naar 1password verhuisd. Tot op heden ben erg blij met 1password met name hoe familie account werkt zodat je eenvoudig eea met elkaar kunt delen naast je eigen vault.
Het enige wat een beetje vreemd is maar daardoor wel erg veilig is dat iedere systeem waarop 1password wordt geïnstalleerd naast de masterpassword ook eenmalig de masterkey moet worden ingevuld. Daarna kun je aangeven dat je het apparaat vertrouwd en heb je alleen nog je password nodig.

Ps. Je hebt een trial periode dus je kunt ook eerst eea uittesten of het je de overstap waard is.

[ Voor 13% gewijzigd door Miki op 01-02-2019 11:01 ]

GrooV schreef op vrijdag 1 februari 2019 @ 10:32:
Gebruik hier al jaren Lastpass, het is niet perfect maar ben er aardig aangewend.

Wil toch wel graag een betaalde variant omdat ik iOS gebruik en daardoor afhankelijk ben van apps van anderen. Bijvoorbeeld keepass op iOS komt toch wat over als hobby software die bijvoorbeeld niet snel nieuwe iOS features implementeren.

Bij betaalde lastpass heb ik er meer vertrouwen in dat deze goede iOS support leveren. Eventueel wil ik misschien overstappen naar 1Password maar dat is meer op macOS gericht ivp Windows

In het nieuwe Premium model van LastPass hoef je toch niet meer te betalen om het op iOS te gebruiken? Dat is enkele maanden geleden aangepast als ik het me goed herinner.

Ik kwam dit topic toevallig net tegen aan de hand van een frontpage artikel.

Ik gebruik al enige tijd zx2c4 pass in combinatie met OpenPGP keys (yubikey met name maar ook andere smartcards).

Met deze paswoord manager encrypt je elk paswoord met de public key van je OpenPGP kaart (of gewoon een PGP key in je keychain). En moet je dus de private key hebben om hem weer te kunnen lezen. Voor backup doeleinden kan je naar meerdere keys tegelijk encrypten. Je kan ook andere dingen meegeven zoals een login/username of zelfs een heel boekwerk er bij aan notities Want elk paswoord is gewoon een GPG encrypte tekstfile.

Er is ook een browser plugin: browserpass-ce voor Firefox en Chrome. En een client voor de meeste desktop platforms: Qtpass. Het mooiste nog: Er is een client voor Android die via de OpenKeyChain app je yubikey via NFC of USB kan benaderen.



Als ik in mijn computer inlog (overigens ook met de Yubikey maar dan in PIV mode), log ik eenmalig in met de PGP key voor het eerste paswoord en daarna werkt het automatisch. Ik heb het wel zo ingesteld dat ik de yubikey elke keer even moet aanraken ("tap to sign" functie), dit voorkomt dat malware je keychain leegtrekt terwijl je yubikey ingeplugd en unlocked is.

Grote voordeel vind ik: Geen master paswoord om in te typen, en kan dus ook niet op die manier gebruteforced worden. De private key kan niet gestolen worden (zit vast in de Yubikey) en de pincode is tot 3 pogingen beperkt. Unlocken gaat per paswoord, niet voor de hele database in 1x. En het werkt echt op elk platform (er is zelfs een iOS client maar die werkt natuurlijk niet met hardware keys).

Nadeel: De software is heel erg technisch. Syncen gaat bijv. met een eigen git server die elke keer een commit doet, en je dan moet pushen/pullen. Het is een hoop werk om alles in te stellen want het is afhankelijk van andere software zoals gpg (agent), de juiste keys in de keychain enz.

Hebben jullie misschien iets dergelijks gezien dat echt op een hardware key encrypt (dus niet alleen als 2e factor) waar de hele user experience kant een beetje soepeler in elkaar zit? Ik zou het graag ook aan andere mensen aanbevelen maar zoals het nu werkt... Is dat niet echt een optie.

Ik gebruik zelf al jaren KeePass maar omdat ik dit een ingewikkelde tool vind voor bijvoorbeeld mijn ouders ben ik aan het kijken naar Bitwarden. Ik lees daar erg goede berichten over. Ik vroeg me alleen af (en dat kan ik niet op de site vinden) hoe backups geregeld worden. De Azure cloud opslag van Bitwarden schijnt backups te maken maar hoe vaak? En hoe lang worden die backups bewaard? Als ik per ongeluk een grote groep wachtwoorden verwijder, kan ik die een week later dan nog terug krijgen? En kan ik per login restoren of moet ik dan direct de hele database restoren, met het risico dat ik nieuwere data overschrijf?

F_J_K schreef op vrijdag 1 februari 2019 @ 09:52:
nieuws: Nederlandse wachtwoordmanager Vaulteq stopt ermee helaas. Jammer voor @CT

Ja 't is uiteraard balen maar het is niet anders. De "markt" is gewoon heel lastig en veranderd ook nog is veel te snel en al helemaal voor een security product.

De realiteit blijft helaas dat 't gros van NL nog steeds abc123 als wachtwoord heeft voor al z'n accounts en het nieuws voorlopig nog vol zit met data-lek-meldingen.

Maar ik kan niet zeggen dat ik 't niet geprobeerd heb, en uiteraard ook de anderen in 't Vaulteq Team.

En om 'ontopic' te blijven, zelf gebruikte ik Vaulteq (tot volle tevredenheid ) maar nu de ondersteuning geheel vervalt moet ook ik overstappen en dan is momenteel de enige keuze (naar mijn mening) KeePass (met Argon2).

Hoewel je het automatisch account herkennen in de browser wellicht opgeeft kan je op een veel veiligere manier de autofill gebruiken (autotype) en 't is een kwestie van tijd tot alle extensions überhaupt niet meer werken met de moderne browsers. Dus dan moet je toch weer je dagelijkse routine aanpassen. _{zie nu bijv. safari 12 en de upcoming changes door het w3 om 'password-veld' manipulatie tegen te gaan etc.}

Ook is 't lastig om naar 'de klant' toe te communiceren hoe je nu precies iets hebt beveiligd. 256-bit encryptie kan namelijk heel veel betekenen en de symmetrische encryptie zelf staat en kraakt op basis van het gekozen wachtwoord. Een lookup table is zo gemaakt, en om dat tegen te gaan is key derivation erg belangrijk. Maar ook hier kiezen bijna alle (commerciële) managers in de tijd van crypto-hardware voor de al oude PBKDF2 met een handjevol iterations, vaak om de 'user experience' mooi gelijk te houden per platform.
En neem daarbij dat de wachtwoord 'sharing' diensten allemaal met een keypair werken en nog op RSA* zitten begint het al snel te duizelen. Je wilt toch gemak en veiligheid? Maar vertel dit maar is aan je tante zonder dat ze .. ..

*_{hier was Vaulteq uniek door wel ECC standaard te gebruiken}

Oh, leuk een password manager topic. Dat is me hier nog nooit opgevallen

Ik ben nu al een tijd een zeer tevreden gebruiker van Dashlane, ik vind het opvallend dat het hier niet vaker voorbij lijkt te komen in het topic. De prijs is natuurlijk niet mals, maar dat vind ik geen issue voor een password manager (voor zo een kritieke functie wil ik gewoon een premium product). Het heeft voor mij een paar features die dashlane er toch echt laten uitspringen tegenover bv Lastpass (die ik hier bv wel vaak zie voorbijkomen).

- Geweldige GUI
- Bulk password changer
- Password warning functies vind ik zeer goed (een dubbel gebruikt wachtwoord, een account op een website die een data breach gehad heeft)
- Emergency contact feature (zelf zal ik nooit weten of het effectief nuttig was), maar indien ik morgen verongeluk kan mijn vriendin gewoon aan al mijn accounts (social media, gezamelijke nutsvoorzieningen, Netflix, ...). Voor ik dashlane gebruiker was leek me dat onzin, maar het is eigenlijk een enorm onderschatte feature.

Vind ik een Lastpass daarom slecht? Helemaal niet! Maar ik vind Dashlane gewoon beter, dus dan neem ik de premium prijs er graag bij

Jebus4life schreef op vrijdag 1 februari 2019 @ 14:40:
Oh, leuk een password manager topic. Dat is me hier nog nooit opgevallen

Ik ben nu al een tijd een zeer tevreden gebruiker van Dashlane, ik vind het opvallend dat het hier niet vaker voorbij lijkt te komen in het topic. De prijs is natuurlijk niet mals, maar dat vind ik geen issue voor een password manager (voor zo een kritieke functie wil ik gewoon een premium product). Het heeft voor mij een paar features die dashlane er toch echt laten uitspringen tegenover bv Lastpass (die ik hier bv wel vaak zie voorbijkomen).

- Geweldige GUI
- Bulk password changer
- Password warning functies vind ik zeer goed (een dubbel gebruikt wachtwoord, een account op een website die een data breach gehad heeft)
- Emergency contact feature (zelf zal ik nooit weten of het effectief nuttig was), maar indien ik morgen verongeluk kan mijn vriendin gewoon aan al mijn accounts (social media, gezamelijke nutsvoorzieningen, Netflix, ...). Voor ik dashlane gebruiker was leek me dat onzin, maar het is eigenlijk een enorm onderschatte feature.

Vind ik een Lastpass daarom slecht? Helemaal niet! Maar ik vind Dashlane gewoon beter, dus dan neem ik de premium prijs er graag bij

gebruik die ook al een jaar of 5 en ben er tevreden van.
Het enige wat soms wat lastig is, is de webformulieren die niet altijd goed ingevuld raken.

Repi3 schreef op vrijdag 1 februari 2019 @ 16:25:
[...]
gebruik die ook al een jaar of 5 en ben er tevreden van.
Het enige wat soms wat lastig is, is de webformulieren die niet altijd goed ingevuld raken.

Hier ook tevreden gebruiker. Dat webformulieren lastig zijn omdat ze niet toegespitst zijn op de nederlandse sites met hun velden. Temminste daar heb ik de meeste problemen mee. Standaard sites zoals google amazon enzo werken wel goed. Heb zelfs een aantal feature suggesties toegestuurd aan dashlane.
Zou graag willen dat ze de site url los laten en bijv een hostnaam zouden toe laten. want je zou maar bijv een root password hebben voor een linux bak die wil je dus ook opslaan.

Repi3 schreef op vrijdag 1 februari 2019 @ 16:25:
[...]


gebruik die ook al een jaar of 5 en ben er tevreden van.
Het enige wat soms wat lastig is, is de webformulieren die niet altijd goed ingevuld raken.

@Jebus4life @Cybermage2you

Zelf ook een tevreden gebruiker.
Hun servers staan blijkbaar in Ierland, klopt dit echt? Lijkt meer van vertrouw ons maar gewoon.
Het enige wat ik terug kan vinden hierover is deze Tweet.
https://twitter.com/dashlane/status/734863920398274560
Terwijl hun kantoor gevestigd is in New-York en Parijs.

Wat mij verder tegenvalt is het wachtwoorden verander funtctie Dit gaat via hun server Word eronder een ander IP ingelogd op de site,. Jammer dat ze dit niet lokaal hebben kunnen regelen. Achja mijn IP's wisselen regelmatig dankzij VPN.

Genoeg gezeur, Prima wachtwoorden beheerder. Mooie gui, handig ingedeeld en een goede mobiele app.

Helaas heb nog niemand binnen de familie kunnen overhalen voor Dashlane, had graag de emerncy feature ingesteld. Tegenwoordig gebeurd bijna alles digitaal, lijkt me toch prettig stel er zou wat gebeuren dat de nabestaanden nog bij de gegevens kunnen.

begintmeta schreef op vrijdag 1 februari 2019 @ 10:08:
Ik ben trouwens nog steeds best benieuwd of men meerwaarde ziet in het gebruik van een yubikey om het wachtwoord voor de manager wat complexer te maken.

Ik gebruik een Yubikey als extra voor mijn wachtwoord manager en zie er zeker meerwaarde in. Mocht iemand mijn wachtwoord te weten komen (zeer kleine kans) dan nog moet diegene ook in het bezit zijn van mijn fysieke yubikey. Iedere security maatregel die je neemt is er 1 extra

Ik vind Keepass nog altijd prima werken. De setup (synchronisatie via gdrive) is wel een paar minuten werk maar als het eenmaal draait is het een prima systeem. Heb voor werk weleens 1password gebruikt en dat werkt ook goed, maar ik heb weinig zin om maandelijks te moeten betalen voor het beheer van een relatief kleine set min of meer statische data.

Hoe gaan jullie om met het inloggen op andere apparaten, als in niet van jezelf?

Daar waar je niet even een browserextensie of iets dergelijks kan installeren? Gebruik zelf Enpass en loop er zelf tegenaan dat ik soms een wachtwoord van 30 tekens lang moet overtypen van mijn telefoon. Soms, dus heel problematisch is dat voor mij vooralsnog niet. Maar voor mijn vriendin is het nogal een obstakel en kiest dan dus liever niet een sterk wachtwoord voor bepaalde accounts.

Accounts waarbij ik geen 2FA heb maar wel een wachtwoord met >20 tekens zou kiezen log ik niet in op devices die ik niet helemaal kan controleren of wil vertrouwen.

[ Voor 23% gewijzigd door begintmeta op 03-02-2019 17:04 ]

Ik kwam dit topic tegen en dat heeft mij aan het denken gezet. Voor mij ook tijd om eens flink aan de slag te gaan en een aantal wachtwoorden te wijzigen en in een password manager te zetten. Op dit moment heb ik mijn wachtwoorden in de password manager van Chrome zitten (wat ansich fijn werkt op zowel Chrome browser als apps op mijn Android phone), maar ik heb toch het idee dat een app als LastPass of Bitwarden. Nu is mijn vraag (tweeledig): Is er een mogelijkheid om al mijn huidige wachtwoorden op een simpele manier over te zetten naar een nieuwe password manager, en zijn deze wachtwoorden makkelijk te wijzigen via bepaalde password managers?

Edzeau schreef op dinsdag 5 februari 2019 @ 09:42:
Ik kwam dit topic tegen en dat heeft mij aan het denken gezet. Voor mij ook tijd om eens flink aan de slag te gaan en een aantal wachtwoorden te wijzigen en in een password manager te zetten. Op dit moment heb ik mijn wachtwoorden in de password manager van Chrome zitten (wat ansich fijn werkt op zowel Chrome browser als apps op mijn Android phone), maar ik heb toch het idee dat een app als LastPass of Bitwarden. Nu is mijn vraag (tweeledig): Is er een mogelijkheid om al mijn huidige wachtwoorden op een simpele manier over te zetten naar een nieuwe password manager, en zijn deze wachtwoorden makkelijk te wijzigen via bepaalde password managers?

Onderstaande betreft 1Password, maar voor een andere password manager zijn deze waarschijnlijk ook wel te vinden.
1Password can import your passwords from Chrome.
https://support.1password.com/import-chrome/

Edzeau schreef op dinsdag 5 februari 2019 @ 09:42:
Ik kwam dit topic tegen en dat heeft mij aan het denken gezet. Voor mij ook tijd om eens flink aan de slag te gaan en een aantal wachtwoorden te wijzigen en in een password manager te zetten. Op dit moment heb ik mijn wachtwoorden in de password manager van Chrome zitten (wat ansich fijn werkt op zowel Chrome browser als apps op mijn Android phone), maar ik heb toch het idee dat een app als LastPass of Bitwarden. Nu is mijn vraag (tweeledig): Is er een mogelijkheid om al mijn huidige wachtwoorden op een simpele manier over te zetten naar een nieuwe password manager, en zijn deze wachtwoorden makkelijk te wijzigen via bepaalde password managers?

Dashlane importeerd ook passwoorden uit browsers.
Zowiezo zou ik die passworden daar weghalen want die password manager van browsers zijn relatief makkelijk te kraken. Vervolgens moet je even inloggen op de site en dan de passworden wijzigen.

[ Voor 3% gewijzigd door Cybermage op 05-02-2019 10:24 ]

begintmeta schreef op zondag 3 februari 2019 @ 17:03:
Accounts waarbij ik geen 2FA heb maar wel een wachtwoord met >20 tekens zou kiezen log ik niet in op devices die ik niet helemaal kan controleren of wil vertrouwen.

Heb mijn vriendin net een pwm opgedrongen en had nog niet stilgestaan bij 2FA... Dit lost het inderdaad op.
Het ging voornamelijk om haar gmail account. Dus 2FA in combinatie met een uitspreekbaar wachtwoord lijkt mij dan de beste middenweg. Liefst werk en privé ook nog scheiden, maar dat riep al snel weerstand op (moeilijk, veel werk etc. :x ).

Edzeau schreef op dinsdag 5 februari 2019 @ 09:42:
Ik kwam dit topic tegen en dat heeft mij aan het denken gezet. Voor mij ook tijd om eens flink aan de slag te gaan en een aantal wachtwoorden te wijzigen en in een password manager te zetten. Op dit moment heb ik mijn wachtwoorden in de password manager van Chrome zitten (wat ansich fijn werkt op zowel Chrome browser als apps op mijn Android phone), maar ik heb toch het idee dat een app als LastPass of Bitwarden. Nu is mijn vraag (tweeledig): Is er een mogelijkheid om al mijn huidige wachtwoorden op een simpele manier over te zetten naar een nieuwe password manager, en zijn deze wachtwoorden makkelijk te wijzigen via bepaalde password managers?

Chrome heeft een optie om al je wachtwoorden te exporteren naar een .csv bestand. Vrijwel elke pwm heeft een optie om een dergelijk bestand te importeren. Let wel op: dat .csv bestand is niet beveiligd en dien je dus na het importeren ook goed te verwijderen.

Het wijzigen van je wachtwoorden valt denk ik uiteen in 2 dingen: wijzigen en controle. Het wijzigen gaat je even tijd kosten. Ik had zelf een lijst van 600+ accounts en ben daar een middag mee bezig geweest om alles uit te zoeken en wachtwoorden te wijzigen. Uiteindelijk 400+ accounts met allemaal unieke wachtwoorden.

Om te weten welke wachtwoorden je moet wijzigen geldt denk ik dit: gewoon alles wijzigen. Wel net zo veilig. De meeste pwm hebben een functie die de sterkte van je wachtwoord controleert (een audit). Ook zie je dan of je wachtwoorden hebt hergebruikt bijvoorbeeld.

Bitwarden is erg populair. Open source, simpel en in beginsel gratis. In beginsel, want voor sommige functies (zoals die audit) heb je premium nodig (10$ per jaar). Maar als je toch alles wijzigt, dan is daar mee te leven. Afhankelijk van je wensen een goede keus. Heb mijn vriendin hier ook naar over gezet, vooral omdat ik haar ook eerst aan een pwm wil laten wennen zonder te moeten betalen.

Ikzelf gebruik Enpass, en om heel eerlijk te zijn... ik prefereer het boven Bitwarden. Mogelijk ben ik wat bevooroordeeld, omdat ik het al een tijdje gebruik, maar naast het gebruik/uiterlijk zijn de eenmalige (lage) kosten (enkel voor mobiel) en het hosten van je eigen database voor mij toch wel grote pluspunten.

Misschien moet het topic even aangepast worden ik krijg een warning van mijn kaspersky 2019 op https://www.intuitivepassword.com/ lijkt mij niet oke

edit:
The requested URL cannot be provided
https://www.intuitivepassword.com/
Blocked by Web Anti-Virus
Reason: threat of data loss
Detection method: databases

[ Voor 43% gewijzigd door Mel33 op 19-02-2019 15:16 ]

Lijkt mij eerder een FP van Kaspersky.

@Room42 Aha, misschien zijn ze de eerste of een false positive

Zojuist kwam ik deze case study over veiligheidsrisico’s password managers tegen: https://www.securityevalu...password-manager-hacking/

De password manager die ik naar volle tevredenheid gebruik (Bitwarden) wordt helaas niet besproken.
Ik deel de link hier omdat anderen er misschien iets aan hebben.

Taygete schreef op maandag 25 februari 2019 @ 09:38:
Zojuist kwam ik deze case study over veiligheidsrisico’s password managers tegen: https://www.securityevalu...password-manager-hacking/

De password manager die ik naar volle tevredenheid gebruik (Bitwarden) wordt helaas niet besproken.
Ik deel de link hier omdat anderen er misschien iets aan hebben.

Dit is een theoretische studie die op zichzelf wel klopt maar in de praktijk niet zo snel voorkomt.

De vondst gaat alleen op, op het moment dat iemand fysieke toegang heeft tot mijn systeem dan wel op afstand mijn pc volledig kan overnemen. Gezien de overige veiligheidsmaatregelen die ik heb getroffen acht ik de kans zeer klein.

Daarnaast hebben de meeste wachtwoord managers nog extra beveiliging ingebouwd.
Bij 1password kun je op een nieuw systeem zonder alleen het wachtwoord te achterhalen helemaal niets. Daarvoor heb je namelijk ook een security key nodig die ooit is gegenereerd bij het aanmaken van je account. Die key heeft niemand behalve de accounthouder en dien je uit te printen en op te slaan op een veilige plaats. Aansluitend stuurt 1password je ook nog een mail dat een onbekende computer heeft ingelogd op je account.
Daarbij zou je ook nog twee factor authenticatie kunnen activeren om helemaal veilig te zitten.

Mijn vraag
Ik wil graag in een relatief klein IT-team (5 man) gebruik maken van een Password manager met een gelaagde toegankelijkheid. Een systeembeheerder en een applicatiebeheerder gebruiken gedeeltelijk dezelfde wachtwoorden maar het is niet noodzakelijk dat alle 5 werknemers alle wachtwoorden kunnen inzien zodra ze in de kluis kunnen.
Daarbij hebben wij ook vaak stagiairs ter ondersteuning die je toegang wilt geven tot een subset van de wachtwoorden.


Relevante software en hardware die ik gebruik
We gebruiken nu keepass

Wat ik al gevonden of geprobeerd heb
Uiteraard mij ingelezen maar er is, naast de paar grote bekende, een oerwoud ontstaan aan password managers.

• Ik wil een betrouwbare oplossing,
• deze graag lokaal hosten,
• meerdere users kunnen autoriseren met elk hun eigen rechten

Wat gebruiken jullie bij de bedrijven waar jullie werken? Wat zijn de mogelijkheden?

Wij gebruiken keypass. Werkt perfect.

Keepass is goed genoeg.
Je kan meerdere kluisjes op een gedeelde share zetten en afhankelijk van de rechten daar toegang toe geven.
Je kan zelfs met kluisjes-kluisjes werken: een ww-kluis met daarin shortcuts+wachtwoorden naar andere wachtwoordkluisjes.

1password for teams biedt denk ik exact wat je zoekt? Personal vaults voor je eigen wachtwoorden, shared vaults die je kunt toekennen aan meerdere personen met wachtwoorden die voor meerdere team-members beschikbaar moeten zijn.

Oh, alleen niet self-hosted

[ Voor 7% gewijzigd door EagleTitan op 27-03-2019 15:43 ]

Wij gebruiken Syspass binnen de organisatie. Self-hosted en met granulaire permissies mogelijk. Werkt prima.

Bitwarden! Zeer fijn en kan je zelf hosten (in een container bijvoorbeeld).

Je kan altijd de non local variant testen.

@Emperor zoek eens op GOT, er staan 100 van deze topic's keyword --> password manager

Overgens kosten vs baten .. gratis zijn er niet, en voor jou bedrijf grote gaat wellicht niet investeren in een goeie oplossing.

dus keeppass is niet de beste maar wel de voordeligste en dus uiteindelijk de beste.

Pleasant Password server met keepass addin,
Gebruiken we hier met 10 man

https://www.passbolt.com/ (of gelijk de github link) klinkt veel belovend. Zodra ze mobiele apps hebben wil ik het privé gaan gebruiken.

mcDavid schreef op woensdag 27 maart 2019 @ 15:55:
https://www.passbolt.com/ (of gelijk de github link) klinkt veel belovend. Zodra ze mobiele apps hebben wil ik het privé gaan gebruiken.

Alleen zo jammer dat je constant je GPG token mee moet sturen. Dat schort wel aan de portabiliteit van de applicatie.

MadEgg schreef op woensdag 27 maart 2019 @ 15:43:
Wij gebruiken Syspass binnen de organisatie. Self-hosted en met granulaire permissies mogelijk. Werkt prima.

Deze kende ik nog niet, ziet er erg goed uit. Jammer dat er geen OAuth authenticatie inzit, maar wel basic auth. Daar zouden we eventueel wel iets mee kunnen. Ook hebben ze geen apps of offline toegang, dat is wel jammer, maar natuurlijk wel veilig.

---

Wij gebruiken momenteel Bitwarden (enterprise) als proef en dat werkt best wel prima voor een team. Alleen hebben wij veel entiteiten met bijna dezelfde naam en dan is het lastig het e.e.a. goed georganiseerd te houden. Wij zijn dus ook nog verder aan het kijken.

https://bitwarden.com/

@Emperor Ik heb je topic even samengevoegd met [Password Managers] Discussie- en reviewtopic.

Jazzy schreef op woensdag 27 maart 2019 @ 16:35:
@Emperor Ik heb je topic even samengevoegd met [Password Managers] Discussie- en reviewtopic.

Bedankt voor het verplaatsen, ik had uiteraard dit topic gezien en gedeeltelijk gelezen maar zag hierin meer vragen vanuit prive perspectief en niet vanuit een zakelijk situatie. Vandaar mijn keuze om een apart topic te maken.

MadEgg schreef op woensdag 27 maart 2019 @ 15:43:
Wij gebruiken Syspass binnen de organisatie. Self-hosted en met granulaire permissies mogelijk. Werkt prima.

Deze klinkt interessant, ga ik me verder in verdiepen. Dank je. (ook voor de term granulaire permissies, kon er echt niet opkomen)

vso schreef op woensdag 27 maart 2019 @ 15:44:
@Emperor zoek eens op GOT, er staan 100 van deze topic's keyword --> password manager

Overgens kosten vs baten .. gratis zijn er niet, en voor jou bedrijf grote gaat wellicht niet investeren in een goeie oplossing.

dus keeppass is niet de beste maar wel de voordeligste en dus uiteindelijk de beste.

Uiteraard had ik gezocht, je aanname over kosten en wat we er aan uit willen geven is niet echt zinnig. 5 man op IT zegt natuurlijk niks over bedrijfsgrote en investeringsruimte.

bdevogt schreef op woensdag 27 maart 2019 @ 15:46:
Pleasant Password server met keepass addin,
Gebruiken we hier met 10 man

Ook deze klinkt als een goede aanvulling op onze huidige Keepass oplossing. Ik duik erin. Dank!

Felix! schreef op woensdag 27 maart 2019 @ 15:58:
https://bitwarden.com/

Deze wordt twee keer genoemd en ben ik ook vaker online tegengekomen dus deze staat ook zeker op mijn shortlist voor verder onderzoek.

Let wel op dat Bitwarden momenteel maar één ontwikkelaar heeft. Het is wel een open source applicatie, maar dat kun je natuurlijk riskant vinden. Vooral als je de zakelijke variant afneemt.

ik gebruik bitwarden met veel plezier.
Om een keer door alle passwords te lopen, is best veel werk(per ding op de checkbox klikken om te kijken of het passwrord save is etc)

Bij de premium kun je dat in 1 keer zien.
Mijn vraag is: Kun je upgraden voor 10 euro, en na een jaar wanener alles 'secure' is, gewoon niet verlengen, en dat je dan weer gewoon 'free' krijgt? Dus dan zonder die health reports en met minder mensen delen en geen storage. Of als je eenmaal upgrade en dan niet meer wil verlengen moet je dan een wne account aanmaken?

meermarco schreef op donderdag 18 april 2019 @ 14:11:
ik gebruik bitwarden met veel plezier.
Om een keer door alle passwords te lopen, is best veel werk(per ding op de checkbox klikken om te kijken of het passwrord save is etc)

Bij de premium kun je dat in 1 keer zien.
Mijn vraag is: Kun je upgraden voor 10 euro, en na een jaar wanener alles 'secure' is, gewoon niet verlengen, en dat je dan weer gewoon 'free' krijgt? Dus dan zonder die health reports en met minder mensen delen en geen storage. Of als je eenmaal upgrade en dan niet meer wil verlengen moet je dan een wne account aanmaken?

Je kunt ook de maker van wie je deze gratis software gebruikt ook belonen voor zijn werk. 10 dollar per jaar, waar hebben we het over

dat was de vraag niet? Daarnaast zou ik jet liever one time fee kopen. Nu 10 straks 20 etc

[ Voor 60% gewijzigd door meermarco op 18-04-2019 14:43 ]

Als je met meerdere mensen tegelijk een Keypass database gebruikt, zorg er dan minstens voor dat iedereen het verschil weet tussen overschrijven en synchroniseren... beter is nog synchroniseren te forceren via de configuratie. Iets met schade en schande

Als je het met meer personen deelt, regel dan liever dat het readonly is voor iedereen op 1 persoon na
Of bij bedrijfsmatig gebruik: neem een password manager (server) die kan omgaan met gelijktijdig gebruik.

Ik zelf gebruik Keepass gesynct op vier devices, waarbij op 2 (foon/tablet) readonly. En moet ik inderdaad opletten dat ik niet op PC en laptop tegelijk wat wijzig al is dat met de juiste instellingen (auto lock, auto save) prima te voorkomen zolang je 1 paar handen hebt.

@F_J_K Dat is soms een oplossing, maar niet altijd. Prive sync ik ze gewoon, waar de client dat aankan Te vaak er tegenaan gelopen dat je een account ergens aanmaakt op net dat ene RO device. Multi-access support is niet meer optioneel voor een pw manager.

Wij gebruiken Keepass overigens ook zakelijk. Er zijn een aantal zaken die Keepass niet doet, maar die zijn voor ons (en onze auditors, o.a. NEN7510) voor onze usecase geen issue. Er zijn ook een aantal zaken waar Keepass wel aan voldoet maar een centrale password manager (en/of centrale authenticatie, zelfde failure mode...) niet aan voldoet. Maar goed, dat is (uiteraard) nogal wat verder dan 'dat gebruiken we toevoevallig en hebben er verder niet over nagedacht' .

[ Voor 51% gewijzigd door ijdod op 27-04-2019 11:52 ]

Vandaag de renewal notice van lastpass binnengekregen.
De verdubbeling van vorig jaar ($12 -> 24) heb ik nog geslikt, maar nu $36 wordt me te gortig.

Zeer onbetrouwbare partner inmiddels!
Tijd voor research naar een nieuw alternatief. Geen fijn gevoel om zo behandeld te worden.

MyrddinLXXIIX schreef op zaterdag 11 mei 2019 @ 16:28:
Tijd voor research naar een nieuw alternatief. Geen fijn gevoel om zo behandeld te worden.

Dat is logisch! Mag ik vragen waar je precies naar zoekt qua functionaliteit? Wat waren voor jou persoonlijk de grote voordelen van LastPass?

jurroen schreef op zaterdag 11 mei 2019 @ 16:36:
[...]


Dat is logisch! Mag ik vragen waar je precies naar zoekt qua functionaliteit? Wat waren voor jou persoonlijk de grote voordelen van LastPass?

Ben ooit naar premium gegaan voor crossplatform (Win+android), dus da's eigenlijk het enige wat ik echt (nu) nodig heb.

Integratie met fingerprint scanner op mobiel zou handig zijn maar absoluut geen breekpunt.

Binnen een jaar komt er ook een Linux systeem bij (Ubuntu waarschijnlijk) dus support daarvoor zou ook niet verkeerd zijn.

Dit soort lastpass/logmein perikelen voorkomen in de toekomst zou ook mooi zijn, maar dat is niet echt te voorspellen denk ik.

MyrddinLXXIIX schreef op zaterdag 11 mei 2019 @ 16:45:
[...]
Ben ooit naar premium gegaan voor crossplatform (Win+android), dus da's eigenlijk het enige wat ik echt (nu) nodig heb.

Integratie met fingerprint scanner op mobiel zou handig zijn maar absoluut geen breekpunt.

Ik gebruik zelf KeePassXC - dat crossplatform, kan integreren met fingerprint scanner en kost niets. Althans, de apps zelf. Synchronisatie kan op heel veel verschillende manieren. Ik gebruik daar zelf NextCloud voor, op een eigen server. Je kunt ook een gratis NextCloud account maken met 2-3GB opslag, afhankelijk van de aanbieder.

KeePassXC heeft geen mogelijkheid om eenvoudig wachtwoorden te delen met andere accounts, als je die functionaliteit nodig hebt of indien dat heel wenselijk is, kun je wellicht beter even verder kijken.

Ook is er Dashlane, closed-source toepassing - maar werkt goed en draait als browser extensie.

1Password is er ook nog! Is mijn persoonlijke favoriet.

[ Voor 20% gewijzigd door SgtElPotato op 11-05-2019 17:03 ]

Ik gebruik nog steeds Password Safe, maar dat is eigenlijk vrij toevallig...

SgtElPotato schreef op zaterdag 11 mei 2019 @ 17:01:
1Password is er ook nog! Is mijn persoonlijke favoriet.

1Password is heel erg fijn, eens. Ik was ze zelf vergeten, heb het in de tijd gebruikt dat het nog Apple-only was, dus niet vanuit een web-browser kon draaien.

begintmeta schreef op zaterdag 11 mei 2019 @ 17:25:
Ik gebruik nog steeds Password Safe, maar dat is eigenlijk vrij toevallig...

Dat is Windows only - dus niet echt crossplatform

jurroen schreef op zaterdag 11 mei 2019 @ 17:56:
Dat is Windows only - dus niet echt crossplatform

Dat klopt, maar aangezien de (harde) eis Windows + Android is, lijkt Password Safe + PasswdSafe wel te voldoen, totdat Ubuntu in gebruik genomen zal worden. Met dat laatste in het achterhoofd zou ik ook opteren voor KeePassXC + Keepass2Android.

8088 schreef op zaterdag 11 mei 2019 @ 18:24:
[...]

Dat klopt, maar aangezien de (harde) eis Windows + Android is, lijkt Password Safe + PasswdSafe wel te voldoen, totdat Ubuntu in gebruik genomen zal worden. Met dat laatste in het achterhoofd zou ik ook opteren voor KeePassXC + Keepass2Android.

Persoonlijk vind ik dit maar 'ingewikkelde' en ouderwets aanvoelende pwm's. Vooral bij KeePass verbaas ik mij daar over; zoveel verschillende applicaties die wel/niet/slecht/goed onderhouden worden. Opensource is in dit geval een groot nadeel imho.

Kan persoonlijk Enpass aanraden. Werk hier nu een klein jaartje mee en ben er erg tevreden over. Desktop is gratis en per mobiel OS betaal je eenmalig 10 euro. En de database kun je lokaal of in je eigen cloud opslaan. Of als alternatief (en eigenlijk vrijwel hetzelfde) Bitwarden, maar dat is cloud only en vond ik persoonlijk iets minder fijn in gebruik.

Freakster86 schreef op zaterdag 11 mei 2019 @ 19:08:
[...]
Persoonlijk vind ik dit maar 'ingewikkelde' en ouderwets aanvoelende pwm's. Vooral bij KeePass verbaas ik mij daar over; zoveel verschillende applicaties die wel/niet/slecht/goed onderhouden worden. Opensource is in dit geval een groot nadeel imho.

Opensource is niet altijd een nadeel en KeePassXC is niet KeePass. Recentelijk heeft KeePassXC nog 2.4 vrijgegeven, met fijne nieuwe features.

Persoonlijk gebruik ik geen browser-based wachtwoord manager of proprietary apps. Dat eerste ivm de attack surface; pwn de browser en je kunt vrijwel overal bij omdat vrijwel alles web is. Mijn browser kan dankzij slimme techniek niet bij mijn data. Niet bij de kdbx files, niet bij mijn mail of ssh keys.

Geen proprietary omdat ik dat niet vertrouw. Je hebt helemaal gelijk dat er veel opensource troep is. Maar ook pareltjes.

Uitgebreide lijst gevonden: https://www.slant.co/topi...platform-password-manager

Ben 'm aan het doorspitten, Bitwarden and KeePass/...XC staan iig bovenin.
Die eerste was al op de shortlist terechtgekomen.

jurroen schreef op zaterdag 11 mei 2019 @ 17:56:
[...]


1Password is heel erg fijn, eens. Ik was ze zelf vergeten, heb het in de tijd gebruikt dat het nog Apple-only was, dus niet vanuit een web-browser kon draaien.

Gebruik zelf nog de oude 'offline' versie op mijn iPhone, alles in de cloud hoeft van mij niet.

Freakster86 schreef op zaterdag 11 mei 2019 @ 19:08:
Opensource is in dit geval een groot nadeel imho.

Wat een onzin.

Of als alternatief (en eigenlijk vrijwel hetzelfde) Bitwarden, maar dat is cloud only en vond ik persoonlijk iets minder fijn in gebruik.

Ik weet niet wat je onder 'cloud' verstaat, maar Bitwarden kun je prima zelf hosten. Heb het zelf een tijdje geleden geprobeerd (vanwege de mogelijkheid om passwords te delen (tegen betaling)), maar de interface vond ik verschrikkelijk. En je product afhankelijk maken van MS SQL en dit meeleveren doet nogal afbreuk aan de claim dat open source "an absolute requirement" is.

8088 schreef op zaterdag 11 mei 2019 @ 21:42:
[...]

Wat een onzin.

[...]

Ik weet niet wat je onder 'cloud' verstaat, maar Bitwarden kun je prima zelf hosten. Heb het zelf een tijdje geleden geprobeerd (vanwege de mogelijkheid om passwords te delen (tegen betaling)), maar de interface vond ik verschrikkelijk. En je product afhankelijk maken van MS SQL en dit meeleveren doet nogal afbreuk aan de claim dat open source "an absolute requirement" is.

Bitwarden rs is dan een heel mooi alternatief wat wel echt open source is.

Goeie tip, @MerijnB! Wellicht kijk ik er nog eens naar als de client(s) wat verder ontwikkeld zijn. Tot die tijd ben ik tevreden met KeePassXC en Keepass2Android.

8088 schreef op zaterdag 11 mei 2019 @ 21:42:
[...]

Wat een onzin.

Lekker constructief Opensource zorgt in dit geval toch voor enorm veel verschillende applicaties voor hetzelfde platform én dat je voor elk platform weer met iets anders aan de slag moet (inclusief andere interface). Leuk voor een technisch ingesteld iemand, maar een simpele oplossing is het niet.

Ik weet niet wat je onder 'cloud' verstaat, maar Bitwarden kun je prima zelf hosten. Heb het zelf een tijdje geleden geprobeerd (vanwege de mogelijkheid om passwords te delen (tegen betaling)), maar de interface vond ik verschrikkelijk. En je product afhankelijk maken van MS SQL en dit meeleveren doet nogal afbreuk aan de claim dat open source "an absolute requirement" is.

Cloud als in niet je eigen database kunnen hosten. Bij Enpass kun je uit verschillende opslaglocaties kiezen. Om Bitwarden zelf te hosten moet je weer door hoepels springen, zoals een third party applicatie gebruiken. Again; Leuk voor een technisch ingesteld iemand, maar een simpele oplossing is het niet.

Freakster86 schreef op zaterdag 11 mei 2019 @ 22:05:
Lekker constructief

Tja, het ongefundeerde geblaat dat kunnen kiezen een nadeel is en door open source zou komen (onder de frame 'fragmentatie') begint me zo langzamerhand de keel uit te komen. En zoals al aangegeven door @jurroen wordt KeePassXC prima onderhouden. Hetzelfde geldt voor meer applicaties op de lijst waar je naar linkte.

Opensource zorgt in dit geval toch voor enorm veel verschillende applicaties voor hetzelfde platform

Nee, daar zorgt open source niet voor. Daar zorgen ontwikkelaars voor. Het heeft helemaal niets met licenties te maken. Daarom zijn er ook zoveel closed source en propriëtaire applicaties voor eenzelfde platform. Dit topic is daar getuige van; zonder al die keuze had het niet bestaan.

én dat je voor elk platform weer met iets anders aan de slag moet (inclusief andere interface).

Tja, ander platform, ander programma. En gelukkig een andere interface. Moet er niet aan denken om een full blown desktop interface op m'n telefoon te hebben. Dat is met closed source niet anders.

Leuk voor een technisch ingesteld iemand, maar een simpele oplossing is het niet.

Op mijn desktop (Antergos (Arch Linux)) installeer ik KeePassXC met een paar muisklikken en op m'n telefoon Keepass2Android met een paar fingerclicks. Vervolgens verwijs ik ze beide naar m'n online vault en het werkt. Als dat niet simpel is...

Cloud als in niet je eigen database kunnen hosten. Bij Enpass kun je uit verschillende opslaglocaties kiezen. Om Bitwarden zelf te hosten moet je weer door hoepels springen, zoals een third party applicatie gebruiken. Again; Leuk voor een technisch ingesteld iemand, maar een simpele oplossing is het niet.

Om zelf iets te hosten moet je inderdaad door hoepels springen. Maar het kan dus wel en is niet cloud only.

Ik zie het voor- of nadeel van cloud eigenlijk niet in.
Tenzij het als een tekstbestandje is, maar da's toch wel verleden tijd.
Mag toch veronderstellen dat de hoster er niet bij kan zonder de key? En offline passwords, daar heb ik er niet zoveel van.

FIDO authenticatie (Yubikey?) spreekt me echter wel aan, voeg ik toe aan m'n programma van eisen.

MyrddinLXXIIX schreef op zaterdag 11 mei 2019 @ 22:46:
...
FIDO authenticatie (Yubikey?) spreekt me echter wel aan, voeg ik toe aan m'n programma van eisen.

Wie doen dat op dit moment eigenlijk? Dashlane? Lastpass (en passpack vind ik nu na wat zoeken) doet vziw Yubikey OTP en er zijn diverse programma's die de HMAC-SHA1-functie gebruiken om het wachtwoord te vervormen.

[ Voor 24% gewijzigd door begintmeta op 11-05-2019 23:08 ]

begintmeta schreef op zaterdag 11 mei 2019 @ 23:00:
[...]

Wie doen dat op dit moment eigenlijk? Dashlane? Lastpass (en passpack vind ik nu na wat zoeken) doet vziw Yubikey OTP en er zijn diverse programma's die de HMAC-SHA1-functie gebruiken om het wachtwoord te vervormen.

Inderdaad nog niet helder hoe het dan gebruikt wordt.
Maar een hardware key staat al een tijdje op m'n verlanglijst, gelijk hierin meenemen dan maar.

Aangaande LastPass; Ik ben een beetje een autistje. Op PC slaat hij (op Amazon na op dit moment) alle sites op met een favicon. Op mobiel niet eens de helft van de sites. Ik lees het volgende:

This is most likely a temporary sync issue. Please try the following:

Refresh Sites: go to your LastPass Icon > More Options > Advanced > Refresh Sites or log out and back in to your extension
Recreate the favicon: delete the entry from your LastPass Vault and resave it; after resaving, use LastPass to log back into the site, which will recreate the favicon
Clear Local Cache: go to your LastPass Icon > More Options > Advanced > Clear Local Cache; please see this FAQ to learn what else this will affect
If none of the above work submit a support ticket using the button below.

Maar als hij op PC alles netjes opslaat, waarom niet in de app op mobiel? Alles is gesynct lijkt me?

Edit: Oplossing - > kwestie van app opnieuw downloaden. Voor de zekerheid ook mijn mobiel opnieuw opgestart nadat ik de app verwijderd had.

[ Voor 6% gewijzigd door JoeZuCK op 14-05-2019 06:45 ]

Wiebeltje schreef op zondag 13 januari 2019 @ 12:09:
Maar de sites + complexiteit worden wel opgeslagen in de app? Hoe ga je om met sites die elke x periode een nieuw wachtwoord willen? Pas je dan de site naam aan? Je wil die lijst met sites dan eigenlijk nog steeds kunnen syncen tussen devices.

Ik heb ook ooit zoiets zelf geschreven (master + domein) maar het probleem is dat er inderdaad altijd het zelfde wachtwoord uit komt. Voor de complexiteit had ik twee varianten en 4 verschillende lengte outputs. Het werkte wel redelijk en de "math" kun je natuurlijk overal hosten. Maar het is altijd gokken welke lengte je weer nodig hebt en welke complexiteit.

Stel dat je master password ooit lekt moet je ook al je wachtwoorden aan passen lijkt me omdat iedereen dan dezelfde berekening uit kan voeren. Bij een normale manager wijzig je dan alleen je master password.

Ik gebruikte hiervoor PwdHash (.com), maar liep hier op enig moment zo vaak tegen aan dat ik ben overgestapt naar KeyPass. Als je het wachtwoord wil veranderen, moet je je systeem veranderen: te veel werk. En dan die sites die inderdaad iets niet toestaan.

Besloten dat het bitwarden gaat worden:

• multi device sync;
• browser plugins;
• eventueel nog privé server te fixen (thanks @8088 en @MerijnB );
• verschillende 2FA opties (waaronder yubikeys);
• Goede prijs met US$10 / jaar.

MyrddinLXXIIX schreef op zaterdag 11 mei 2019 @ 22:46:
Ik zie het voor- of nadeel van cloud eigenlijk niet in.
Tenzij het als een tekstbestandje is, maar da's toch wel verleden tijd.
Mag toch veronderstellen dat de hoster er niet bij kan zonder de key? En offline passwords, daar heb ik er niet zoveel van.

FIDO authenticatie (Yubikey?) spreekt me echter wel aan, voeg ik toe aan m'n programma van eisen.

Ookal heb je een wachtwoord voor de database nodig om er in te komen vind ik het geen prettig idee dat iemand mijn database zou kunnen bemachtigen. Ervoor zorgen dat ook de database veilig staat vind ik een zeer prettig idee. Opensource vind ik duidelijk een pré ten aanzien van veiligheid.

Ik gebruik momenteel KeePass2 (windows) met Chrome plugin op desktop en Keepass2android op mijn telefoon. Ik gebruik Dropbox (two-way authenication) om mijn database te synchroniseren tussen apparaten.

De chrome plugin desktop is makkelijk want hij haalt daarmee wachtwoorden op, op basis van de url. Dus vult hij vaak alles al in. Keepass2android op mijn telefoon heeft vingerafdruk zodat ik er snel bij kan.

Niets is 100% veilig maar het is een afweging tussen veiligheid en toegankelijkheid. Door deze configuratie kan ik eenvoudig voor alles unieke zeer moeilijk te kraken wachtwoorden gebruiken zonder dat ik deze in de meeste gevallen steeds hoef in te typen.

[ Voor 4% gewijzigd door Gecko123 op 17-05-2019 09:07 ]

Wat is het grote voordeel van zo'n password manager in vergelijking met bijvoorbeeld een Google Account die al je passwords beheert in je account (en kan syncen tussen devices) en waarbij je 2 step verification aan hebt staan?

JoeZuCK schreef op maandag 20 mei 2019 @ 15:57:
Wat is het grote voordeel van zo'n password manager in vergelijking met bijvoorbeeld een Google Account die al je passwords beheert in je account (en kan syncen tussen devices) en waarbij je 2 step verification aan hebt staan?

Het megagrote voordeel voor mij is dat Google niet bij al je spullen kan. Google weet al veel te veel van me. Ik denk niet dat ze daadwerkelijk gaan inloggen op websites, maar ik denk wel dat ze kijken naar wie bijvoorbeeld welke sites in zijn password manager heeft staan. Weer een extra input voor het big data monster.

Daarom heb ik mijn paswoorden self hosted. Dan heb je ook niet dat iemand door social engineering toegang kan verkrijgen via de helpdesk van Google. Maar als dat je niet interesseert dan kan je dat gewoon gebruiken natuurlijk. Technisch gezien is het ook gewoon een password manager.

Edit: Nog een ander voordeel trouwens: Ik gebruik niet alleen chrome, maar vooral Firefox, Chrome slechts af en toe op mijn werk ivm compatibiliteit met vage interne websites. Met een losse password manager zit je niet aan een enkele browser vast.

[ Voor 23% gewijzigd door GekkePrutser op 20-05-2019 18:03 ]

Ik gebruik zelf 1password en ben daar heel tevreden over.
Platform en browser onafhankelijkheid vind ik zeer belangrijk. Ik zit niet altijd achter een computer waarbij Google apps waaronder Chrome kan gebruiken.

Daarnaast vind ik het fijn dat ik ook extra functionaliteiten heb zoals een gedeelde gezinskluis met wachtwoorden. Ook info mbt, routers, bankpassen en creditcards kan ik opslaan en delen met het gezin. Het zal niet voor iedereen zijn weggelegd maar in een gezin kan het ideaal zijn om als je er niet bent deze info veilig te delen.

Misschien een heel domme opmerking maar... je krijgt toegang tot je password manager met... een password... Nu kun je wel allemaal ontzettend moeilijke en niet te kraken passwords in je manager stoppen maar een hacker heeft alleen maar je hoofdpassword nodig om alsnog overal toegang tot te krijgen, toch...? Of mis ik iets? Men zegt altijd dat je nooit voor alles hetzelfde password moet gebruiken maar in feite doe je dat toch als je een passwordmanager gebruikt...? Of draait het bij een passwordmanager alleen maar om gemak en niet om grotere veiligheid? Het lijkt mij namelijk doodeng om all mijn passwords via slechts één password toegankelijk te maken. En dan online ook nog... (Nogmaals, excuses als ik iets heel doms zeg. )

[ Voor 9% gewijzigd door Anoniem: 1207064 op 20-05-2019 19:04 ]

Een wachtwoordmanager geeft mij de gelegenheid om tientallen complexe wachtwoorden te gebruiken, voor elke toegang een ander. Zonder wachtwoordmanager zou ik met mijn brein de minder frequent gebruikte vaak niet goed genoeg onthouden, en daarom minder complexe wachtwoorden gebruiken of wachtwoorden recyclen. Verder gebruik ik zo veel mogelijk een extra factor, totp of fido(2). De wachtwoordendatabase van mij is ook niet in de cloud beschikbaar/gaat niet over het internet, maar is theoretisch wel toegankelijk via internet, als mijn telefoon of computer gehackt wordt. Ik heb wel overwogen een extra niet-genetwerkt apparaat als wachtwoordboekje te gebruiken, maar dat vind ik eerlijk gezegd teveel gedoe.

Van keepass weet ik dat je naast een wachtwoord ook nog een keyfile kan toevoegen. Two-factor login.

Pjottski schreef op maandag 20 mei 2019 @ 19:18:
Van keepass weet ik dat je naast een wachtwoord ook nog een keyfile kan toevoegen. Two-factor login.

Volgens mij krijg je dan een samengestelde master key, de keyfile is niet echt een tweede factor. (Zie ook de post over de HMAC-SHA1 transformatie met de yubikey eerder)

Ik gebruik dat overigens, omdat het toch mijn wachtwoordcomplexiteit verhoogt, en omdat keylogging/observatie van de wachtwoordinvoer dan niet voldoende is.

[ Voor 18% gewijzigd door begintmeta op 20-05-2019 19:28 ]

Anoniem: 1207064 schreef op maandag 20 mei 2019 @ 19:03:
Misschien een heel domme opmerking maar... je krijgt toegang tot je password manager met... een password... Nu kun je wel allemaal ontzettend moeilijke en niet te kraken passwords in je manager stoppen maar een hacker heeft alleen maar je hoofdpassword nodig om alsnog overal toegang tot te krijgen, toch...? Of mis ik iets? Men zegt altijd dat je nooit voor alles hetzelfde password moet gebruiken maar in feite doe je dat toch als je een passwordmanager gebruikt...? Of draait het bij een passwordmanager alleen maar om gemak en niet om grotere veiligheid? Het lijkt mij namelijk doodeng om all mijn passwords via slechts één password toegankelijk te maken. En dan online ook nog... (Nogmaals, excuses als ik iets heel doms zeg. )

Simpel: Eén complex password waarmee je honderd andere complexe passwords beheert is wel te onthouden. Honderd complexe passwords zijn niet te onthouden. Dat worden al snel hele simpele passwords, overal hetzelfde password, of alle passwords in een onbeveiligd tekstbestandje. Hoe veilig is dat?

begintmeta schreef op maandag 20 mei 2019 @ 19:20:
[...]

Volgens mij krijg je dan een samengestelde master key, de keyfile is niet echt een tweede factor. (Zie ook de post over de HMAC-SHA1 transformatie met de yubikey eerder)

Ik gebruik dat overigens, omdat het toch mijn wachtwoordcomplexiteit verhoogt, en omdat keylogging/observatie van de wachtwoordinvoer dan niet voldoende is.

Yep, dat klopt helemaal.

downtime schreef op maandag 20 mei 2019 @ 19:31:
[...]

Simpel: Eén complex password waarmee je honderd andere complexe passwords beheert is wel te onthouden. Honderd complexe passwords zijn niet te onthouden. Dat worden al snel hele simpele passwords, overal hetzelfde password, of alle passwords in een onbeveiligd tekstbestandje. Hoe veilig is dat?

Snap ik maar is het niet hetzelfde als 'overal hetzelfde password'...? Want men hoeft maar één password te weten/kraken en ze kunnen overal bij...?

Anoniem: 1207064 schreef op maandag 20 mei 2019 @ 19:03:
Misschien een heel domme opmerking maar... je krijgt toegang tot je password manager met... een password... Nu kun je wel allemaal ontzettend moeilijke en niet te kraken passwords in je manager stoppen maar een hacker heeft alleen maar je hoofdpassword nodig om alsnog overal toegang tot te krijgen, toch...? Of mis ik iets? Men zegt altijd dat je nooit voor alles hetzelfde password moet gebruiken maar in feite doe je dat toch als je een passwordmanager gebruikt...? Of draait het bij een passwordmanager alleen maar om gemak en niet om grotere veiligheid? Het lijkt mij namelijk doodeng om all mijn passwords via slechts één password toegankelijk te maken. En dan online ook nog... (Nogmaals, excuses als ik iets heel doms zeg. )

Het verschilt per passwordmanager als ook de eigen instellingen die je hebt gedaan.

Bij 1password heb je naast het hoofd wachtwoord op iedere nieuwe en dus vreemde machine nog een masterkey nodig. Deze masterkey wordt éénmalig gegenereerd en dien je uitgeprint ergens goed te bewaren. Als je die kwijt bent ben je namelijk alles kwijt en kan 1password je ook niet meer helpen. Daarnaast krijg ik per mail ook een bericht over de installatie en toegang van een vreemde computer. De lijst met apparaten met toegang kan ik ook blijven volgen en eventueel kan uitsluiten als ik het niet vertrouw. Als laatste kun je ook nog twee traps authenticatie instellen.
Dus ja ik acht het wel veilig genoeg

Anoniem: 1207064 schreef op maandag 20 mei 2019 @ 19:35:
[...]

Snap ik maar is het niet hetzelfde als 'overal hetzelfde password'...? Want men hoeft maar één password te weten/kraken en ze kunnen overal bij...?

Ik ga ervan uit dat iemand die een password manager maakt ook echt iets van beveiliging weet. Dat weet ik niet van elke website waar ik dat steeds weer dat zelfde password gebruik.

Anoniem: 1207064 schreef op maandag 20 mei 2019 @ 19:35:
[...]

Snap ik maar is het niet hetzelfde als 'overal hetzelfde password'...? Want men hoeft maar één password te weten/kraken en ze kunnen overal bij...?

Maar dan moet men dus specifiek jouw password manager proberen te kraken.

Anders hoeft er maar één forumpje over postzegels te zijn die door gebrek aan kennis zo je wachtwoord plaintext het web op slingert en men kan overal bij.

Dat is nogal een verschil

Met een password manager zorg je ervoor dat met dat postzegelwachtwoord ook alleen die postzegel site bezocht kan worden.

Zolan je password manager dus maar goed beveiligd is heb je niet veel te vrezen.

Enpass gebruik ik nu al een tijd, alleen kwam ik dit tegen daar op het forum:

https://www.enpass.io/security/
https://www.enpass.io/doc...ity-whitepaper/index.html
https://discussion.enpass...04-security-audit/page/4/
https://discussion.enpass...04-security-audit/page/5/

Het is niet helemaal duidelijk hoe er getest is, maar ik heb er toch niet helemaal een lekker gevoel bij. Ook omdat 2FA nog niet mogelijk is.

Hoe kijken jullie hier tegenaan?

Jaer schreef op woensdag 22 mei 2019 @ 22:36:
Enpass gebruik ik nu al een tijd, alleen kwam ik dit tegen daar op het forum:

https://www.enpass.io/security/
https://www.enpass.io/doc...ity-whitepaper/index.html
https://discussion.enpass...04-security-audit/page/4/
https://discussion.enpass...04-security-audit/page/5/

Het is niet helemaal duidelijk hoe er getest is, maar ik heb er toch niet helemaal een lekker gevoel bij. Ook omdat 2FA nog niet mogelijk is.

Hoe kijken jullie hier tegenaan?

2FA is voor Enpass toch niet zo interessant aangezien de database lokaal staat? Indien je de database in de cloud opslaat kan je natuurlijk via je cloudprovider 2FA instellen (sowieso handig).

Zelf ben ik naar Bitwarden overgestapt omdat ik wat meer cloud integratie wilde (sharing enzo) en ik vond de nieuwe Enpass app erg slecht.

[ Voor 8% gewijzigd door Ramon op 22-05-2019 22:47 ]

Ramon schreef op woensdag 22 mei 2019 @ 22:46:
[...]

2FA is voor Enpass toch niet zo interessant aangezien de database lokaal staat? Indien je de database in de cloud opslaat kan je natuurlijk via je cloudprovider 2FA instellen (sowieso handig).

Zelf ben ik naar Bitwarden overgestapt omdat ik wat meer cloud integratie wilde (sharing enzo) en ik vond de nieuwe Enpass app erg slecht.

Voor de app op zichzelf niet. Wel voor je database zelf als je die in de cloud als backup hebt staan.

Jaer schreef op woensdag 22 mei 2019 @ 22:59:
[...]


Voor de app op zichzelf niet. Wel voor je database zelf als je die in de cloud als backup hebt staan.

Precies daar gebruik je dan dus de 2FA instelling van je cloud voor

Zit wat in, maar als je ziet hoe snel je hoofd wachtwoord te achterhalen was met enpass is dat wel een ding. Zeker als je ziet hoeveel tijd er tussen die audit zit en dat het nog niet aangepast is

Room42 schreef op donderdag 23 mei 2019 @ 01:13:

Lokaal kan je database ook gestolen worden, dus ik vind het wel degelijk relevant om daar 2FA op te zetten als extra laag.

Welke wachtwoordmanager heeft daarvan eigenlijk de beste implementatie? Veel gebruiken de tweede factor alleen om de hoofdsleutel complexer te maken/invoer minder toetsenbord afhankelijk, maar het is natuurlijk wel mogelijk om twee sleutels de maken. Ik heb bijvoorbeeld ook overwogen om mijn database nog eens met een openpgp-sleutel op een yubikey te versleutelen, maar zie daar vanwege de extra stap (en eerlijk gezegd ook het onvoldoende overdenken van eventueel nut) dan toch weer vanaf.

[ Voor 5% gewijzigd door begintmeta op 23-05-2019 07:48 ]

Zijn er hier mensen met ervaring met de self hosted Bitwarden compatible server, Bitwarden RS?

Deze is erg makkelijk met Docker te installeren en gezien de 10M+ pulls blijkbaar toch veel gebruikt.
Je kunt hierbij de oorspronkelijke Bitwarden clients gebruiken.

Alle betaalde features zitten hier natuurlijk gratis in, dus je kunt je Yubikey gebruiken.

Alleen er is 'natuurlijk' geen audit beschikbaar die iets zegt over de correcte en veilige implementatie. Of dit voor het eigen gebruik nu echt heel erg is vraag ik me af.

• Foute inlogpogingen zijn met fail2ban af te vangen en te blokkeren.
• Verder zal een url als https://bw.mijndomijn.nl/...3-481d-abf0-ef7d07817ee8/ ook niet snel geraden worden (subdomein is ALTIJD opvraagbaar van buitenaf), dus de kans dat een scanner op IP adres ook maar in de buurt komt van de Bitwarden RS Container is al helemaal 0.

Containers om je database te backuppen zijn er ook, dus ook bij het compleet uitvallen van je eigen server of andere problemen kun je weer snel bij je data door een backup terug te zetten.

De echte Bitwarden server eist belachelijk veel resources (gigabytes) door o.a. het gebruik van SQLServer, waar de ruby versie meer in de tientallen megabytes zit. Vandaar heeft dit mijn sterke voorkeur om thuis te hosten...

begintmeta schreef op donderdag 23 mei 2019 @ 07:46:
[...]

Welke wachtwoordmanager heeft daarvan eigenlijk de beste implementatie? Veel gebruiken de tweede factor alleen om de hoofdsleutel complexer te maken/invoer minder toetsenbord afhankelijk, maar het is natuurlijk wel mogelijk om twee sleutels de maken. Ik heb bijvoorbeeld ook overwogen om mijn database nog eens met een openpgp-sleutel op een yubikey te versleutelen, maar zie daar vanwege de extra stap (en eerlijk gezegd ook het onvoldoende overdenken van eventueel nut) dan toch weer vanaf.

Je kan denken aan zx2c4 pass. Die versleutelt elk paswoord individueel als een GPG file. Hiervoor gebruik ik een OpenPGP smartcard met tap-to-sign waardoor een programma dat je database hijackt niet automatisch alles kan decoderen. Ook werkt het op deze manier zelfs op een (Android) mobiel. Zijn ook desktop browser plugins voor.

En het grootste voordeel is dat ik niet elke keer een lang paswoord in moet voeren maar gewoon een 6-cijferige PIN (de smartcard limiteert zich immers tot 3 pogingen dus die complexiteit is genoeg).

MyrddinLXXIIX schreef op donderdag 16 mei 2019 @ 21:55:
Besloten dat het bitwarden gaat worden:

• multi device sync;
• browser plugins;
• eventueel nog privé server te fixen (thanks @8088 en @MerijnB );
• verschillende 2FA opties (waaronder yubikeys);
• Goede prijs met US$10 / jaar.

Ik ben een tijdje geleden ook overgestapt van Lastpass naar Bitwarden.

Wat ik nog mis ten opzichte van Lastpass is:

• instellen van een emergency contact die in mijn vault kan (na timeout van bijvoorbeeld van 48 uur waarin ik tijd heb om de toegang tegen te houden).
• mogelijkheid om invoer van het Bitwarden wachtwoord te vereisen voordat je het wachtwoord van een entry kunt zien.

TheFes schreef op donderdag 23 mei 2019 @ 15:37:
[...]

• instellen van een emergency contact die in mijn vault kan (na timeout van bijvoorbeeld van 48 uur waarin ik tijd heb om de toegang tegen te houden).

[...]

Lastpass heeft dat wel, die tijdslimiet weet ik niet eigenlijk.
Bitwarden password daarin zetten?

MyrddinLXXIIX schreef op donderdag 23 mei 2019 @ 17:19:
[...]


Lastpass heeft dat wel, die tijdslimiet weet ik niet eigenlijk.
Bitwarden password daarin zetten?

Dat was m'n punt, LastPass heeft dat wel, Bitwarden niet.
Dat mis ik dus nog bij Bitwarden

Jouw suggestie kan wel, maar werkt niet goed met two factor authentication, en bovendien alleen met de betaalde versie van LastPass.

[ Voor 17% gewijzigd door TheFes op 23-05-2019 18:19 ]

Mars Warrior schreef op donderdag 23 mei 2019 @ 14:50:
Zijn er hier mensen met ervaring met de self hosted Bitwarden compatible server, Bitwarden RS?

Deze is erg makkelijk met Docker te installeren en gezien de 10M+ pulls blijkbaar toch veel gebruikt.
Je kunt hierbij de oorspronkelijke Bitwarden clients gebruiken.

Alle betaalde features zitten hier natuurlijk gratis in, dus je kunt je Yubikey gebruiken.

Alleen er is 'natuurlijk' geen audit beschikbaar die iets zegt over de correcte en veilige implementatie. Of dit voor het eigen gebruik nu echt heel erg is vraag ik me af.

• Foute inlogpogingen zijn met fail2ban af te vangen en te blokkeren.
• Verder zal een url als https://bw.mijndomijn.nl/...3-481d-abf0-ef7d07817ee8/ ook niet snel geraden worden (subdomein is ALTIJD opvraagbaar van buitenaf), dus de kans dat een scanner op IP adres ook maar in de buurt komt van de Bitwarden RS Container is al helemaal 0.

Containers om je database te backuppen zijn er ook, dus ook bij het compleet uitvallen van je eigen server of andere problemen kun je weer snel bij je data door een backup terug te zetten.

De echte Bitwarden server eist belachelijk veel resources (gigabytes) door o.a. het gebruik van SQLServer, waar de ruby versie meer in de tientallen megabytes zit. Vandaar heeft dit mijn sterke voorkeur om thuis te hosten...

Ja, ik gebruik bitwarden rs en host dat zelf. Ben erg tevreden, ontwikkelaars zijn ook toegankelijk. Het enige wat jammer is dat feature requests naar upstream moeten, bitwarden rs implementeert alleen features zelf waarvan ze verwachten dat upstream ze nooit gaat implementeren.

MerijnB schreef op donderdag 23 mei 2019 @ 20:04:
[...]
Ja, ik gebruik bitwarden rs en host dat zelf. Ben erg tevreden, ontwikkelaars zijn ook toegankelijk. Het enige wat jammer is dat feature requests naar upstream moeten, bitwarden rs implementeert alleen features zelf waarvan ze verwachten dat upstream ze nooit gaat implementeren.

Ah. Mooi te kezen dat het bevalt.
Het lijkt er dus op dat ze 100% compatible willen blijven zodat alle bestaande clients ook blijven werken.

Ik ga het dan maar eens testen.

GekkePrutser schreef op donderdag 23 mei 2019 @ 15:26:
[...]


Je kan denken aan zx2c4 pass. Die versleutelt elk paswoord individueel als een GPG file. Hiervoor gebruik ik een OpenPGP smartcard met tap-to-sign waardoor een programma dat je database hijackt niet automatisch alles kan decoderen. Ook werkt het op deze manier zelfs op een (Android) mobiel. Zijn ook desktop browser plugins voor.

En het grootste voordeel is dat ik niet elke keer een lang paswoord in moet voeren maar gewoon een 6-cijferige PIN (de smartcard limiteert zich immers tot 3 pogingen dus die complexiteit is genoeg).

Op zich wel een interessante aanpak inderdaad, maar het zou mijn keuze niet zijn het bestandssysteem te gebruiken voor wat meta-gegevens (dat hoeft ook niet natuurlijk) verder blijft dit in wezen natuurlijk nog steeds een aanpak met een enkele sleutel (die natuurlijk wel bijzonder veilig in de smartcard zit), of je het dan echt als '2fa' zou moeten zien weet ik niet (ik neig zoals ik eerder aangaf dan naar niet). Ik heb mijn pwsafe-wachtwoordenbestand al in een paar delen gesplitst, en het wachtwoord krijgt een HMAC-SHA1- transformatie van de yubikey, wat ik me nu nog afvraag is of het aanvullend versleutelen van die delen bijvoorbeeld met openpgp (en de key dan evt op een (andere) yubikey of smartcard nog nut zou hebben.