[Password Managers] Discussie- en reviewtopic

Een al iets ouder topic, maar ik vind het toch de moeite waard om even wat toe te voegen.

Ik gebruik sinds ik ben overgestapt van iOS naar Windows Phone ook een andere password manager: Password Padlock. De manager is beschikbaar op Windows Phone maar ook in de 'gewone' Windows store voor op je desktop. Hij synct eventueel via OneDrive.

De app ziet er simpel en strak uit, en is vanuit het oogpunt van een touchdevice gemaakt. Hij doet wat 'ie moet doen en meer niet. Er zit een ingebouwde wachtwoorden generator in. Je kunt zelf instellen hoeveel karakters hij moet genereren en wanneer je een wachtwoord genereert vraagt 'ie of je ook 'special characters' wilt includen. Bijgevoegd even een schreenshotje van de app.

Joop_Klepzeiker schreef op maandag 24 november 2014 @ 15:40:
Keepass start met Windows; dus dan zou die keylogger alles moeten afvangen, als ik keypass activeer, dat doe ik met de muis dan pas geef ik het hoofdwachtwoord in. Alle onveilige bewerkingen in keepass staan uit, dus een plain text export maken is niet zomaar mogelijk. Een username/wachtwoord combinatie haal ik meestal met de muis of via alleen ctrl-v uit keepass en aangezien ctrl-v tig keer gebruikt wordt moet die trojan maar net weten wanneer die uit keepass komt.

Als ik voordat ik keepass activeer de keyfile middels een USB/SD beschikbaar maak; dan m'n ding doe waarvoor ik een wachtwoord nodig heb, keepass deactiveer en de keyfile weer fysiek verwijder dan moet dat trojan toch wel heel veel kunnen en dat zonder dat ik dat allemaal merk.....

Nope, daar kies je zelf voor. Default doet keepass dat dus niet.

Keepass 1.x:


Keepass 2.x

Trezzahn schreef op woensdag 26 november 2014 @ 08:30:[...]
Heb jij ook bijvoorbeeld je wachtwoord van je e-mail erin staan en bijvoorbeeld DigiD? Aangezien dit wel de ultieme wachtwoorden zijn voor "forgotten password"-functie komt terecht op je e-mail en DigiD is een weerspiegeling van je financiële privésfeer en identiteit. Je hebt een boel ellende lijkt me als deze 2(of 1) bij een ander geraken.

Ik heb vrijwel alles in de database staan, behalve een kopie van identiteit bewijzen (paspoort/rijbewijs oid). Zelfs dat zou ik nog wel aandurven, maar zie het nut niet in van een kopie in de database als ik altijd een origineel bij me heb.

Mail en cloudservices zijn voorzien van TFA, via de google authenticator app.
DigiD en bankzaken ook TFA, via SMS.

Trezzahn schreef op woensdag 26 november 2014 @ 11:20:
edit:
Krijg Microsoft niet ingesteld met de Google Authenticator app. Hij vraag niet om een beveiligingscode.
Ik wil 'm instellen met SMS. Die optie lijkt/is volledig verdwenen.

Je kan je browser aanmerken als veilig:



Dan hoef je vanaf dat moment niet meer in te loggen met TFA.

Ik vermoed dat dit bij jouw nu het geval is. Probeer eens handmatig af te melden en cache/cookies op te schonen. Of pak als test eens een portable chrome/firefox.

downtime schreef op donderdag 11 december 2014 @ 12:25:[...]Nope. Eigenlijk nooit opgelet wat er allemaal met miniKeepass kan. Als ik op sites moet inloggen is dat meestal voor dingen die ik liever vanaf een PC doet.

Ik doe juist steeds meer (vrijwel alles) vanaf een iphone/ipad.
Dit is iig de geintegreerde browser:

Yohost! schreef op donderdag 11 december 2014 @ 12:30:
[...]

Daarom ben ik ook altijd opzoek naar een password generator welke de iI|10oO en l(kleine L) weg laten.
Alleen maar verwarrend later.

Ik ben eigenlijk op zoek naar een password manager welke snel vanaf overal te benaderen is.(cloud)
Voorwaarde is dat hij alleen te openen is met two factor authentication en benaderbaar moet zijn via app op mobiel of via de pc.

Iemand die weet of hier een geschikte tool voor is?
Eigenlijk moet ik geen dropbox er tussen hebben want volgens mij is dit weer extra instelwerk steeds.

KeePass 2 doet uit zichzelf sync. FTP/HTTP/WebDAV zelfs zonder plugin (link). Alleen het syncen naar iOS doet minikeepass niet, dat is een handmatige actie.

TFA door middel van de keyfile, en als bonus:

Room42 schreef op donderdag 11 december 2014 @ 12:45:
Ja, Lastpass dus

Sync naar mobiel doet toch alleen de premium versie? Al is $1 per maand ook nog wel te overzien.

bram91 schreef op maandag 29 juni 2015 @ 13:36:
[...]

Van Engeland en Australië weet ik dat ze veel samenwerken met Amerika en daarmee net zo onbetrouwbaar zijn (ook Amerikaanse toestanden dus), hoe het met Nieuw Zeeland zit weet ik niet, is daar strengere privacy wetgeving?
Mega maakt overigens gebruikt van AES128 bit, en RSA2048 wordt gebruikt om bestanden veilig met andere gebruikers te kunnen delen.

Ik weet ook niet waarom je denkt dat RSA 2048 veiliger is dan AES256? Niet dat ik de expert ben, maar AES wordt wel wereldwijd door alles en iedereen (inclusief overheden) gebruikt en veilig geacht.

Cloud dienst Mega is opgericht door de welbekende Kim Dotcom en noemen zichzelf The Privacy Company met als doelstelling "to prevent government or third-party "spies" from invading users' privacy." Ze zijn flink activistisch met hun privacy doelstellingen.

Hier met nog een bekend figuur.

Het mooie aan KeePass is dat het enorm te customizen is met plugins.
Vind je AES niet veilig genoeg, gebruik een andere plugin zoals Twofish Cypher. Wil je OTP, daar is ook een plugin voor. Dat heel KeePass open source is met een goede levende community is ook erg fijn. En KeePass ondersteunt ook de Yubikey, ideale combinatie.

http://keepass.info/plugins.html

Wat denken jullie van deze app, Passera: https://github.com/mwgg/passera

Het idee hierbij is dat je zelf een wachtwoord onthoudt, bijvoorbeeld voor Tweakers.net gebruik je [woord]#Tweakers. Je typt bij Passphrase het woord [woord]#Tweakers en vervolgens wordt er door de app een complex wachtwoord gegenereerd van het aantal karakters dat jij wenst. Je bent op deze manier niet afhankelijk van de cloud of een database met wachtwoorden.

Wanneer LastPass (In Chrome) aanbiedt login gegevens op te slaan, verschijnt er bij mij een groene balk.
Nu zie ik bij sommige dat dit middels een pop-up gebeurt, iemand enig idee waar ik dit kan instellen?

Gewenst:



Huidig:

Gonadan schreef op zaterdag 10 februari 2018 @ 14:48:
Interessant topic. Ik zit in dubio of ik gebruik zal gaan maken van een wachtwoord beheer app of niet.
Op dit moment heb ik voor alle logins een ander wachtwoord die ik (meestal) uit mijn hoofd weet. Op zichzelf sterke wachtwoorden maar iemand die mij algoritme zal weten te ontfutselen kan dan ook wachtwoorden voor andere logins beredeneren.

Dat wil ik wel verbeteren maar ik twijfel nog over zo'n app. De bekendere betaalde diensten lijken veel gebruiksvriendelijkheid te bieden, maar omdat alles online staat is het achterhalen van het hoofdwachtwoord genoeg om alles open te trekken. Plus je moet weer een dienst afnemen.
Dingen als Keepass zijn dan veiliger te houden, scheiden van DB en sleutel en zo, maar dan ben ik weer bang voor het gebruiksgemak. Ik zit er niet op te wachten om bij elke login te moeten switchen naar een app of ander keyboard en dat soort geneuzel. Zeker niet omdat ik nu vaak gewoon direct kan inloggen, het wordt dan een heel stuk omslachtiger.

Daarom twijfel ik of ik niet gewoon een nieuwe complexere manier bedenk om wachtwoorden te beredeneren. Dat blijft echter een zekere vorm van kwetsbaarheid hebben, maar de voordelen van de apps overtuigen mij ook nog niet echt.

Kunnen jullie mij wel overtuigen?

Ik denk dat het heel lastig is om je te overtuigen. Je zal je zelf moeten overtuigen door het gewoon te proberen. Ik ben al jaren over en ik kan me niets meer voorstellen bij wachtwoorden onthouden of algoritmes onthouden. Direct inloggen door je gebruikersnaam en wachtwoord in vullen? Dat noem jij blijkbaar direct inloggen. Ik noem direct inloggen op Ctrl+/ en Enter drukken. Veel directer.

Daarnaast laat je wachtwoorden natuurlijk genereren door de manager, hoef je dus ook niet meer complexe algoritmes te bedenken, je drukt op de knop en een random gegenereerd wachtwoord staat voor je klaar:

Verwijderd schreef op woensdag 14 maart 2018 @ 12:23:
Is dat op één of andere manier te forceren?

https://www.google.nl/search?q=chrome+never+save+passwords -> https://support.google.com/chrome/answer/95606

[quote]Stop Chrome from asking to save passwords

By default, Chrome offers to save your password. You can turn this option off or on at any time.

1. On your computer, open Chrome.
2. At the top right, click More and then Settings.
3. At the bottom, click Advanced.
4. Under "Password and forms," click Manage passwords.
5. Turn the setting off.

ID-College schreef op maandag 30 juli 2018 @ 21:59:
Ik gebruik lastpass. Ik heb een license van mijn werk maar voel daar weinig voor (b.v. als ik uit dienst ga of zij ermee stoppen).

Daarom zit ik te denken om hem zelf aan te schaffen.. ik vraag mij alleen af: die free version doet het prima dus wat voor voordeel heb je als je betaalt? Ik zie nog niet echt in waarom $2 betalen.. kon nog niet echt features vinden die het het waard zijn
Aan de andere kant: als het gratis is ben jij zelf vaak het product dus dat wringt een beetje

Je persoonlijke wachtwoorden zal ze een biet zijn maar waar je overal inlogt is juist heel waardevol, dat is nog waardevoller dan tracking cookies. Check ook bijvoorbeeld waar de servers staan. Van 1password weet ik dat je bij het aanmaken van een account kan kiezen tussen .com en .eu.

Als je free gaat zou ik nog eerder bitwarden kiezen vanwege opensource karakter al vraag ik me af wie de rekening betaald voor de opslag van jouw en alle andere wachtenwoorden van anderen. Het Microsoft Azure abonnementje zal immers ergens van betaald moeten worden

Ik kwam dit topic toevallig net tegen aan de hand van een frontpage artikel.

Ik gebruik al enige tijd zx2c4 pass in combinatie met OpenPGP keys (yubikey met name maar ook andere smartcards).

Met deze paswoord manager encrypt je elk paswoord met de public key van je OpenPGP kaart (of gewoon een PGP key in je keychain). En moet je dus de private key hebben om hem weer te kunnen lezen. Voor backup doeleinden kan je naar meerdere keys tegelijk encrypten. Je kan ook andere dingen meegeven zoals een login/username of zelfs een heel boekwerk er bij aan notities Want elk paswoord is gewoon een GPG encrypte tekstfile.

Er is ook een browser plugin: browserpass-ce voor Firefox en Chrome. En een client voor de meeste desktop platforms: Qtpass. Het mooiste nog: Er is een client voor Android die via de OpenKeyChain app je yubikey via NFC of USB kan benaderen.



Als ik in mijn computer inlog (overigens ook met de Yubikey maar dan in PIV mode), log ik eenmalig in met de PGP key voor het eerste paswoord en daarna werkt het automatisch. Ik heb het wel zo ingesteld dat ik de yubikey elke keer even moet aanraken ("tap to sign" functie), dit voorkomt dat malware je keychain leegtrekt terwijl je yubikey ingeplugd en unlocked is.

Grote voordeel vind ik: Geen master paswoord om in te typen, en kan dus ook niet op die manier gebruteforced worden. De private key kan niet gestolen worden (zit vast in de Yubikey) en de pincode is tot 3 pogingen beperkt. Unlocken gaat per paswoord, niet voor de hele database in 1x. En het werkt echt op elk platform (er is zelfs een iOS client maar die werkt natuurlijk niet met hardware keys).

Nadeel: De software is heel erg technisch. Syncen gaat bijv. met een eigen git server die elke keer een commit doet, en je dan moet pushen/pullen. Het is een hoop werk om alles in te stellen want het is afhankelijk van andere software zoals gpg (agent), de juiste keys in de keychain enz.

Hebben jullie misschien iets dergelijks gezien dat echt op een hardware key encrypt (dus niet alleen als 2e factor) waar de hele user experience kant een beetje soepeler in elkaar zit? Ik zou het graag ook aan andere mensen aanbevelen maar zoals het nu werkt... Is dat niet echt een optie.

Sinds kort gebruik ik Lastpass maar kom er niet achter waarom Lastpass bij de ene site een 1 onder het pictogram laat zien en bij de ander niet.

[ Voor 76% gewijzigd door tuppes op 03-09-2019 13:34 ]

Even een dubbelcheck of ik nu wel/niet iets over het hoofd zie.
Ik zit bijna aan het eind van mijn 1Password family trial en we gaan er voor betalen.

Het jaarabonnement kan je afsluiten via 1password.com of via (in mijn geval) een in-app aankoop bij Apple. Wat ik alleen niet snap is dat er een prijsverschil is tussen beide opties, in het voordeel van de in-app aankoop.

Ik ben bekend met prijsverschillen voor dergelijke abonnementen/licenties die (altijd?) negatief uitpakken voor de de in-app aankoop ivm de afdracht aan Apple, alleen nu lijkt het omgekeerd:

Via 1password.com - 12 * 5,75 = € 69 per jaar


Via in-app aankoop: € 62,99


Dat is een prijsverschil van € 6,01

Mis ik nu iets? Want ik kan er niets over vinden via Google.

Verwijderd schreef op woensdag 25 maart 2020 @ 10:26:
[...]

Dat had ik ook en dit is de reactie van 1password:

Thanks so much for taking the time to contact us, and for trying out 1Password!

I'm sorry to hear about the unexpected change in price. Based upon the information you've provided, it seems as if an additional tax may be required based upon the country/region you are based in. We are required to charge an additional VAT for our European customers.

If you are VAT registered and have the number, I'd be more than happy to add that to your account so we can help you remove VAT from all future invoices.

Feel free to let me know if you have any questions or would like more information.

Thanks, maar eigenlijk dus een vrij nietszeggende reactie over BTW toch?

Miki schreef op woensdag 25 maart 2020 @ 11:13:
[...]

Check voor de zekerheid of je account gekoppeld is aan 1password.eu ipv .com. Tenzij je het niet erg vind dat je gegevens in Amerika staan ipv Duitsland

Check! Had ik inderdaad gedaan bij registratie:

Ik zet nu in op zx2c4 Pass en software die daar mee compatible is
https://www.passwordstore.org/
https://qtpass.org/
https://github.com/androi...oid-Password-Store#readme

Het is een van de eenvoudigste password managers en tegelijkertijd een van de krachtigste.
Voor mij belangrijke features:
- gebaseerd op PGP
- mogelijkheid om meerdere PGP-sleutels te gebruiken (voor collega's, voor meerder yubikeys of voor backup)
- mogelijkheid om meerdere groepen te hebben (werk, prive, etc) die van elkaar gescheiden zijn en aparte keys gebruiken
- multi-platform (Linux, Android, Firefox en vele anderen)
- multi-client (commandline, GUI, mobiele app)
- ingebouwde git-ondersteuning voor eenvoudige synchronisatie
- iedere entry heeft z'n eigen file, dat maakt synchroniseren makkelijk
- iedere entry heeft z'n eigen file, dit voorkomt dat een klein foutje al je wachtwoorden onbruikbaar maakt
- gebouwd met standaard software, als pass zelf stuk gaat kan ik met PGP nog steeds bij m'n data
- eenvoudig uit te breiden en/of te integreren met andere software
- Free Software, alle code is openbaar
- self hosted


Het grote nadeel is dat die files de (onversleutelde) naam dragen van de site waar ze bij horen. Als iemand de files kan zien dan kan die ook zien welke sites je bezoekt.
Het is wel software voor nerds. Hoewel er ook clients zijn die heel gebruikersvriendelijk zijn, heb je toch wel een beetje kennis, inzicht en discipline nodig om er goed gebruik van te maken. Zeker voor het opzetten van de wat meer geavanceerder features zoals git-integratie moet je wel een beetje weten wat je doet en wat er achter zit.

Voorbeeldjes:

ParaNoja schreef op zaterdag 3 oktober 2020 @ 05:22:
Dat bedoelde je waarschijnlijk.

Android heeft daar tegenwoordig een mooie lockdown mode voor

Wel belangrijk, die wetten gelden niet bij immigratie naar de VS. Op dat moment bevind je je nog niet in de VS maar in een soort 'niemandsland' waar ze je kunnen verplichten wat ze willen. Op zich zijn er dan ook nog regels maar ze kunnen gewoon weigeren je te laten gaan als je niet meewerkt.

Dus in de praktijk kom je dan uit op dit probleem:



Niet dat ze dat met een Nederlander zullen doen maar ze hebben zelfs Amerikanen een hoop shit gegeven (waaronder een NASA werknemer die zijn telefoon geheim most houden van overheidswegen) . Beter gewoon je paswoord manager deinstalleren voor je door de douane gaat in zo'n geval.

[ Voor 29% gewijzigd door GekkePrutser op 11-10-2020 23:37 ]

@rachez, zoek ik morgen even op.

Overigens draai ik Nginx Proxy Manager via een docker image. Zeer mooie GUI!

@ndonkersloot, ik weet niet of het met DSM mogelijk is, maar de mogelijkheid om Theme Park css style sheets te draaien zonder een Stylus extension en dus op al mijn devices. Zo ziet Bitwarden er bijv. op mijn iPad via Edge uit met een Plex thema:


En dit dus ook voor Radar, Sonarr, sabnzbd, Portainer en ga zo maar door . Heerlijke uniformiteit op alle devices. Er zijn ook nog donkere stylen, maar ik vond deze wel geinig en in lijn met Plex.

[ Voor 16% gewijzigd door JDFS op 18-01-2021 23:15 ]

Tot mijn verrassing zag ik zojuist bovenstaande in Lastpass. In het Free-account is het binnenkort niet meer mogelijk om het zowel mobiel als op een vaste pc te gebruiken. Je moet kiezen voor 1 van de 2 of upgraden naar een betaald account. Dat wordt even afwegen wat handig is... upgraden of overstappen naar een alternatief.

Ik heb er zojuist ook een email over ontvangen van ze.

Ben heel benieuwd hoe dit verder gaat, zeker nu de MS Authenticator ook wachtwoorden doet sinds kort en wel gratis is en lekker simpel instapklaar is.

Voor techies is een self-hosted bitwarden natuurlijk ook nog een oplossing, maar toch...

edit: de email:

[ Voor 70% gewijzigd door Hmmbob op 16-02-2021 16:13 ]

Polyphemus schreef op dinsdag 16 februari 2021 @ 16:53:
Waarom zou je overgaan van Lastpass naar 1Password als ze allebei even duur zijn straks?

Betrouwbaarheid. Lastpass is geen betrouwbare partner in mijn ogen.



Kijk eens hoe trots dat er dikgedrukt bij staat.

[ Voor 44% gewijzigd door TWeaKLeGeND op 16-02-2021 23:47 ]

Voor wie het boeit, een berg screendumpjes uit Enpass op windows 10 icm Edge.

Over naar Bitwarden.

Ging erg makkelijk, import werkt goed.
We hadden 2 verschillende accounts die ook wachtwoorden deelden, beide accounts apart in Bitwarden geimporteerd. Bij één van de accounts de wachtwoorden die werden gedeeld vervolgens verwijderd. Daarna alle gedeelde wachtwoorden via een "company" tussen de 2 verschillende accounts gedeeld.

Als ik bij fritz.box op net wachtwoordveld ga staan (op de ipad) dan kom ik op bitwarden en krijg dan in het scherm het password record met de naam van Fritzbox. Klik ik daar op dan krijg ik onder de tekst ‘wachtwoord kopieren’. Hij gaat niet automatisch door met invullen.

[ Voor 38% gewijzigd door fmrama op 20-02-2021 21:58 ]

Ik heb bitwarden in de ipad app extensie toegevoegd en dat werkt het wel. Ik probeer het morgen eens op de laptop.
(Lastpass staat er nog in vanwege test en keuze)

[ Voor 7% gewijzigd door fmrama op 20-02-2021 22:19 ]

swhnld schreef op zondag 21 februari 2021 @ 09:15:
Hoe gaat bitwarden om met websites als Amazon, waar je op Amazon.com, Amazon.nl, Amazon.de, etc. overal dezelfde credentials gebruikt, maar de URL wel anders is?
Ander voorbeeld is Ziggo.nl met Vodafone.nl.

In LastPass zit er in het profiel een lijstje waar je dat kunt bijhouden, en dan vult die dat voor je in. Een deel van die lijst is voor gevuld, en je kunt zelf aanvullen.

Je kunt meerdere URL's aan een entry koppelen.

Ik heb Kaspersky internet security virusscanner gehad en daarbij kan je ook voor 12eu p/j een (stand-alone) paswoordmanager huren.(total security heeft hem er standaard in) ik vind hem lekker werken iig,

Ja er is veel gedoe over Kaspersky en russen inmengen, maar hun avg hebben ze in Zwitserland nu, voor als je dat mag, en kan vertrouwen.
Het werkt goed iig, en je klikt in je ww veld op de groene sleutel en je kan een account kiezen met een klik, en hij logt in. allemaal best makkelijk. Ook als je een nieuw account maakt op een site, bied hij het aan op te slaan, en bij het maken van een account kan je de ww generator gebruiken.

Maar ja, ik ga wel over naar een andere denk ik, Ik heb bitwarden nu ook, en alles kunnen importeren van een txt van de exportfunctie van kaspersky pwm.
Misschien ga ik die bitwarden betalen voor een 10tje, ik kan hem nu met 500 accounts al gratis gebruiken als ik het goed zie.

Ik heb nu norton 360 voor 1 jaar, hier via een tweakers meet-up gekregen, en daar zit ook een paswoordenkluis in, alleen ik kan niet importeren vanuit kas of bitwarden,< de anderen zoals dashlane en lastpass accepteert norton wel, maar die kunnen het alleen als je er voor betaald, 500+ accounts exporteren, en chrome en FF gebruik ik niet voor paswoorden, maar om ze in norton te krijgen is dat wel een optie om te doen. Nu dan maar 1 voor 1 bij norton op ja klikken als hij een ww detecteert, ik hoop dat ik alle site nog ga zien dit jaar


Maar wat vinden jullie van de mogelijkheid bij de virusscanners een paswoord manager te kunnen gebruiken?

[ Voor 14% gewijzigd door Mel33 op 22-02-2021 17:26 ]

Hmmbob schreef op dinsdag 16 maart 2021 @ 10:29:
[...]

Hoe check ik dat?

Bij Taakbeheer van Chrome (niet die van Windows dus).

rufio64 schreef op dinsdag 16 maart 2021 @ 12:36:
[...]


Is een kolom die je aan kan zetten in de task manager van Chrome

Ah ja inderdaad, ik zat naar een process te zoeken dat zo heet.

DutchKel schreef op woensdag 17 maart 2021 @ 09:43:
[...]

Dan ga ik ook wel over op SFTP, ik wist niet dat het was ingebouwd in Keepass.

Kijk wat er gebeurt als ik op 2 locaties mijn Keepass database wijzig en beide save.
De eerste save werkt zoals gebruikelijk. De save op locatie 2 geeft deze melding:

Ik kan dus kiezen voor "Synchronize" waarbij hij de wijzigingen gaat samenvoegen.

Let op: De wijzigingen worden daarna niet automatisch getoond op locatie 1. Die zou de database dan moeten herladen. Maar als ik op die locatie daarna weer een wijziging zou opslaan krijg ik ook daar weer dezelfde melding voor synchronisatie en samenvoegen.

[ Voor 16% gewijzigd door 3raser op 17-03-2021 09:53 . Reden: Let op: toegevoegd ]

Zouden ze er een wedstrijd van maken?

mikekiwi schreef op vrijdag 16 april 2021 @ 19:49:
[...]
Ik ga het ook proberen, maar vrouwlief is wat argwanend. Ik weet wat de basis inhoudt uit je eerste alinea, maar mijn vrouw logt ook wel eens ergens in op bijv. schoolcomputers waar dus geen synchronisatie is met de pwm omdat daar niet is (en ook niet kan/mag worden) ingelogd op de "pwm-cloud". En dan heb je dus wel gewoon je wachtwoord nodig om in te loggen.

Maar ik ga het zeker proberen en nog meer erover lezen/kijken....

De truuk is dat je 1 master password onthoudt die je jezelf gemakkelijk kunt aanleren. Bijvoorbeeld een lange persoonlijke zin of 4 of 5 random woorden.

Wat betreft een omgeving waar niet ingelogd mag worden, dan wordt het wel lastig. Dan kun je beter een scheiding aanbrengen tussen privé en werk apparaten.

Zie ook:


En om je een beeld te geven hoe het werkt in een browser op je computer:


Anyway succes!

[ Voor 16% gewijzigd door Miki op 16-04-2021 20:05 ]

Ging mijn BitWarden master password wijzigen, daarna lange foutmelding en nu dit....

Omdat ik alleen de optie heb dat via paypal of bitcoin te doen. Niet via mijn geselecteerde betaalmethode creditcard.

[ Voor 62% gewijzigd door fmrama op 07-02-2022 16:00 ]

JeroenNietDoen schreef op donderdag 26 januari 2023 @ 07:41:
[...]

Dit bericht is voor mij nu wel de druppel. Ik heb LP jaren met veel gemak gebruikt maar het komt toch wel te vaak negatief in het nieuws. Kijk, elke Passwordmanager in de cloud categorie zal doelwit worden wanneer het maar populair genoeg is. Hoe ermee om gegaan wordt is waar het om draait. Dat vertrouwen bij LP is wel weg nu.

Een password manager in mijn geval is dat het voornamelijk voor thuisgebruik op mijn eigen PC is. Dat mijn werklaptop er ook extern gebruik van kan maken. Mijn telefoons hoeven er niet in. Ik gebruik een Apple (foto's / iPhone) en Microsoft account (primaire emailadres), beide met MFA. Ik zou op zich van dat Microsoft account afkunnen, maar mocht ik ooit van iPhone weggaan en ik storage voor mijn fotos nodig heb dan heb ik dat liever bij Microsoft dan bij Google. Mijn Microsoft account heeft ook 50GB gratis storage vergaard over de jaren.

Ik heb 2 jaar terug Bitwarden eens geprobeerd. Wat mij daar aan irriteerde is dat wanneer je ergens moest inloggen er, zoals Lastpass, een knopje ontbrak welke direct de bijbehorende gegevens invult. Een echte auto-fill hoeft voor mij niet eens, maar een button welke dat dan direct voor je doet is wenselijk. Bij Bitwarden moest ik dan de extensions knop aanklikken, Bitwarden aanklikken en dan klikken op de functie om in te vullen. Niet moeilijk, maar als je makkelijker gezien hebt dan voelde dat omslachtig.

Nu zal Bitwarden inmiddels doorontwikkeld zijn, misschien hebben ze dat al gebruiksvriendelijker gemaakt. Nu maar eens kijken naar zowel 1Password als Bitwarden.

Enpass heeft ook zo'n functie:


Ik gebruik Enpass al jaren, enige nadeel vind ik dat ze behoorlijk in prijs gestegen zijn. Wat dat betreft ben ik blij dat ik destijds een lifetime licentie gekocht heb...

jurroen schreef op zaterdag 4 februari 2023 @ 16:40:
@DataGhost schreef in een ander topic het volgende over de verschillen tussen KeePass en KeePassXC:


[...]


Begrijp ik je goed dat KeePass (non-XC) zelf over synchronisatie/versioning functionaliteit beschikt? Dat lijkt je reactie althans te suggereren; mocht ik dat verkeerd interpreteren: sorry. Ben dan wel heel benieuwd hoe KP het door jou geschetste scenario ondervangt.

Ja. Dat staat ook gewoon op de site. Je kan syncen met bestanden (andere versies van dezelfde database) die gewoon "lokaal" beschikbaar zijn op disk/USB/share/mount maar ook via URLs in de vorm van FTP/HTTP(S)/WebDAV. Met een plugin kan je het aantal protocollen voor die URLs uitbreiden met bijvoorbeeld een hele stapel cloud-providers, maar ik gebruik zelf de SftpSync-plugin voor SCP/SFTP. Dit native syncen is een daadwerkelijke merge, de doeldatabase wordt ook geopend en de verschillen worden gemerged en daarbij maakt het niet zoveel uit dat je beide databases afzonderlijk van elkaar hebt gewijzigd alvorens te syncen, door de history gaat dit goed. Dus ik heb een trigger die mijn database bij het opslaan synct, of wanneer ik op een knop in de UI druk (die ik ook met een trigger heb gemaakt). Daarvoor heb ik een speciale entry in de root van mijn database met daarin username/password/URL welke als variabelen toegankelijk zijn voor de trigger, dus die hoeven ook niet plaintext in een config opgeslagen te zijn.

De bedoeling die bij KeePassXC gesuggereerd wordt (disclaimer: als ik het goed heb begrepen, ik heb het programma nooit gebruikt) is dat je je bestand opslaat en dan bijv. een dropbox-app dit maar dom moet syncen met je cloud en de andere machines, waarbij je conflicten zou kunnen krijgen die vervolgens door die sync-/cloud-app niet op te lossen zijn. Dat lijkt mij niet handig of lekker onderhoudbaar als je verschillende devices gebruikt en/of niet altijd de nieuwste versie hebt kunnen syncen. Als je met Dropbox ofzo je database lokaal verwijdert (wat voor reden dan ook) ben je hem direct ook op al je devices kwijt dus heel fijn lijkt me dat niet, idem als een corrupte versie wordt weggeschreven of een of andere ransomware aan de slag gaat. Dan zou je weer terug moeten naar een known-good backup en ben je mogelijk wat wachtwoorden kwijt. Op mijn manier heb je dan op alle andere apparaten de database nog gewoon, en als de versie op de server ook weg/kapot is zullen verdere syncs van/naar die andere apparaten gewoon mislukken (want ontbrekende of ongeldige database, of verkeerd master password als iemand daar toch een geldige .kdbx voor in de plaats zet) dus worden de nog bestaande goede versies niet aangetast. Hiermee heb je een soort van impliciete automatische backup als aanvulling op je normale backup.

Uiteraard kun je KPXC databases wel gewoon via SSH (rsync/sftp/scp) synchroniseren - en het is meer crossplatform dan KP is.

Nja, hoe is het "meer" crossplatform? Dat hangt helemaal van je definitie af denk ik. Ik gebruik het zowel op Windows als op Linux. Op Windows heb je .Net nodig maar dat is standaard aanwezig, op Linux heb je Mono nodig en dat is in elke gangbare distributie ook gewoon aanwezig. KeePass zit verder gewoon in de standaardrepositories op bijv. Ubuntu dus je hoeft er niks geks voor te doen. Mono werkt kennelijk ook gewoon op MacOS dus daarmee werkt KeePass op evenveel platformen als KeePassXC. KeePassXC heeft MSVC nodig waarvan de juiste versie al dan niet standaard geïnstalleerd is en natuurlijk moeten de Qt libraries ook meegeleverd worden dus daarom komt de installer op 46MB tegenover slechts 4MB voor KeePass. Verder geen veroordeling ofzo maar meer ter illustratie dat beide producten gewoon dependencies hebben, dus in dat opzicht verschillen ze niet, en beide producten werken op alledrie de desktop-platformen behoorlijk out of the box.

Op mijn telefoon gebruik ik Keepass2Android die ook SSH/SFTP sync ondersteunt en dit ook op dezelfde merge-manier doet als KeePass. Dat vind ik dan ook behoorlijk cross-platform.

Maar even een nieuwe VPS met Ubuntu 20.04 LTS op Linode bijgezet om dit te testen.
Installatie is dankzij Docker super eenvoudig, en binnen een 20 minuten heb je het wel draaiende met SSL en al.

Homescreen



Heb hem nu draaien op het 5-dollar VPS plan van Linode.
De web UI en app reageren vlot en hebben geen rare buffers.

Het enige punt waar ik nog mee zit is de bereikbaarheid en de (mogelijke) securityproblemen.
Het liefste druk ik deze VPS lekker achter m'n firewall, maar ik wil ook geen VPN aan hoeven te zetten op m'n iPhone/laptop, of eerst het WAN IP van een andere locatie in die firewall hoeven te zetten.

Een Shodan lookup laat op dit moment (01-04-2023 @ 00:32) een totaal van 24 resultaten zien -> https://www.shodan.io/search?query=Passbolt
Bij die IP adressen kan ik gewoon aankloppen en dan komt de webinterface naar voren.

Als je de URL aanroept van die Passbolt instance krijg je dit scherm:

Dan zou je al mijn gekoppelde emailadres moeten weten. Als je bijvoorbeeld pietje_puk@gmail.com probeert toe te voegen krijg je error dat je een uitnodiging moet hebben voordat je kan aanmelden.

In principe is het natuurlijk niks anders dan dat ik bij LastPass had.

Die loginpagina is ook gewoon toegankelijk en daar hoef je ook "alleen" maar username+password en hopelijk ook een TOTP (2FA token).
Vind het alleen toch niet helemaal fijn dat die instance zo op het internet hangt.
Een IP filter voor alleen de IP-reeksen uit Nederland of Europa is ook schijnveiligheid, want een beetje hacker gaat natuurlijk niet vanuit zijn thuisland opereren.


Mocht iemand nog ideeën hebben zijn ze van harte welkom.

[ Voor 21% gewijzigd door Ruben279 op 01-04-2023 00:44 ]

^^Schopje.

Lichtelijk 'irritant' zijn deze hele oude Facebook pagina's die op mijn telefoon zijn opgeslagen onder Google Smart Lock. Echter, na even napluizen via Trust Agents, blijkt dat "Google Smart Lock" niet eens aan staat. (Mijn telefoon is een Samsung Galaxy S21).

Alle drie de oude en vervallen Facebook accounts kunnen wel weg, maar ik weet niet hoe ik ze weg kan krijgen. Als die informatie is opgeslagen in een app die niet eens aanstaat, dan weet ik het ook niet meer.

posttoast schreef op woensdag 6 december 2023 @ 11:12:
[...]

Ja, maar mijn punt is dus dat als je wachtwoord iets is als “gr97891&€782!€/72€!/!,€€/€3€/!.!€;sjahs…” het vrij vervelend is om in te tikken Terwijl ik dit soort wachtwoorden wel voor alle andere doeleinden gebruik.

Ik gok dus dat je een wat “vriendelijker” wachtwoord gebruikt.

20 karakters en niet zo gek als je voorbeeld maar nog complex genoeg.

[ Voor 26% gewijzigd door qwasd op 06-12-2023 11:19 ]

BytePhantomX schreef op woensdag 3 januari 2024 @ 15:22:
Ik vind de professionele reactie van Bitwaren hier vooral wat eruit springt. Dat er kwetsbaarheden kunnen zijn is bijna altijd een gegeven, maar ze pakken het serieus op en fixen het issue.

Dat is niet van iedere wachtwoordmanager te zeggen.

Jupz. Heel duidelijke communicatie met de eerste melder ook: https://hackerone.com/reports/1874155

[ Voor 27% gewijzigd door Hmmbob op 03-01-2024 15:24 ]

Phoolie schreef op woensdag 17 juli 2024 @ 11:59:
[...]

De app gaan ze toch ook uitbreiden? Gebruik het nu niet, maar begreep dat het nu alleen voor wachtwoorden is en dat je het straks ook voor MFA kan gebruiken en dat je ook wachtwoorden kan delen.

TOTP kan nu ook al:



Delen gaat via airdrop.

Al met al kan het nog wel wat beter en gebuiksvriendelijker, maar het is al functioneel.

Tsja, dat kun je gewoon instellen:

Hallo mede-tweakers,

Een half jaar geleden heb ik voor het eerst gepost in dit topic over AliasVault, een nieuwe privacy-first wachtwoordmanager van Nederlandse bodem gemaakt door ondergetekende :-). Ik ben nu precies een jaar met dit open-source project bezig. En sinds dat de freelance markt in NL vanwege de wet DBA enigszins is opgedroogd, heb ik sinds januari praktisch full-time aan dit project gewerkt. Ik wilde graag een update geven over waar ik het afgelopen half jaar aan heb gewerkt:

Nieuwe features:
- Browser extensie voor Chrome, Firefox, Edge en Safari
- iOS app met native autofill
- Android app met native autofill
- Importeer je wachtwoorden eenvoudig via de ingebouwde import wizard met ondersteuning voor: 1Password, Bitwarden, Chrome, Dashlane, Firefox, KeePass, KeePassXC, Proton Pass en Strongbox.

Statistieken
Ook leuk om wat cijfers te vermelden. Wat gestart is met een idee in mei 2024, is inmiddels uitgegroeid tot:
- 18 releases
- 2.300+ cloudgebruikers
- 5.700+ self-hosted downloads
- 900+ GitHub sterren



Voor de mensen die nog niet van AliasVault hadden gehoord:
AliasVault is een privacy-first, end-to-end encrypted wachtwoordmanager met de unieke core feature: een ingebouwde alias generator en e-mailserver waarmee je voor iedere website een uniek e-mailadres en identiteit kunt aanmaken. Volledig zonder third-party afhankelijkheden. AliasVault is open-source (AGPLv3). Je kunt de officiele cloud versie gebruiken, maar je kunt het hele AliasVault platform ook volledig zelf thuis te hosten op een VM of Raspberry Pi dankzij een eenvoudig installatiescript.

Mijn plan is om komende maanden het platform verder te verbeteren en feature requests van gebruikers toe te voegen, om zo voor het eind van dit jaar v1.0 uit te kunnen brengen. Op dit moment doe ik alles zelf en bekostig ik alles voor de ontwikkeling uit eigen zak van mijn spaargeld. Maar mijn droom is om AliasVault uiteindelijk self-sustainable te maken en de doorontwikkeling (en dus mijn boterham ) straks te kunnen bekostigen via premium abonnementen voor de officiele cloud versie en wellicht overige donaties.

Voor iedereen die geinteresseerd is in een wachtwoordmanager van Nederlandse bodem, volledig gehost in de EU en buiten de grip van de VS, neem gerust een kijkje en probeer het uit. Ik heb ook een video opgenomen waarin ik uitleg hoe het werkt die staat op de website. (Alvast sorry voor het Nederlandse accent.)

- Website: https://www.aliasvault.net
- GitHub: https://github.com/lanedirt/AliasVault

Alle feedback is van harte welkom en neem ik graag mee in de verdere doorontwikkeling!

wcduck schreef op dinsdag 1 juli 2025 @ 10:44:

2. de vault unlockt door biometrie (Windows Hello)

Punt 2 lijkt echter lastig te zijn. Signal ondersteunt enkel het unlocken van een vault in de Windows app, maar niet in de Edge plugin. Bitwarden zou punt 2 moeten ondersteunen, maar heb ik niet aan de pruttel gekregen. 1Password ga ik nog proberen.

edwin2021 schreef op vrijdag 6 februari 2026 @ 21:59:
Nordpass werkt prima. Doet wat het moet doen en simpel op te zetten. Integreer ook goed in browser.

Nog andere NordPass-gebruikers hier behalve @edwin2021?
Ik ben namelijk aan het testen, gebruik nu een gratis versie van NordPass en zie bij een record de optie “Tweefactorcode toevoegen” staan. Wat betekent dat? Dat lijkt op TOTP, maar die is niet geïntegreerd in NordPass helaas?
Van de site van NordPass ben ik (nog) niet wijzer geworden.

Edit
Of is dat sinds (heel) kort nu toch ingebouwd?

[ Voor 25% gewijzigd door Hippe Lip op 08-02-2026 20:51 ]

Mx. Alba schreef op donderdag 19 februari 2026 @ 11:17:
Is het trouwens geen issue om je OTP's in het zelfde systeem te hebben als je wachtwoorden? Het idee van een OTP is toch juist dat je meerdere factoren hebt, waarom zou je dat tot één factor willlen reduceren?

Dat hangt af van je werkwijze. Ik gebruik keepassxc/keepassium met mfa. Een sterk master wachtwoord, keyfile en een yubikey (challenge-response). Dus je moet iets weten (ww), iets digitaal hebben (keyfile) en iets fysiek hebben (yubi). De keyfile komt nooit online (email/cloud/whatever) en de yubi (hmac) secret is niet uit te lezen en dus niet kopieerbaar.



Ik zie de noodzaak niet om totp codes in een aparte app onder te brengen.