Toon posts:

Yubikey i.c.m. Bitwarden en toegang na mijn dood

Pagina: 1
Acties:

Vraag


  • Xyphoid
  • Registratie: Februari 2007
  • Laatst online: 00:05
Mijn vraag
Ik heb twee Yubikeys 5C NFC's besteld.
Ik wil deze instellen voor Bitwarden, zodat ik daar met 2FA kan inloggen.
De backup codes print ik dan uit en bewaar ik ergens veilig.

Andere accounts wil ik ook beveiligen met 2FA. Maar die backup codes wil ik dan in Bitwarden bewaren.
Dus niet uitprinten.

Is dit een goed idee of zitten hier nog wat haken en ogen aan?

Daarnaast wil ik Bitwarden ook gaan instellen, zodat mijn vrouw na mijn overlijden ook daar kan inloggen.
En vice versa. Moet ik dan nog ergens op letten qua Yubikey? Zodra ik mijn Yubikey ingesteld en getest heb, zal ik voor haar ook een key instellen.


Relevante software en hardware die ik gebruik
Windows 10/11 (laptops), Android (telefoons).
Bitwarden.
Firefox.


Wat ik al gevonden of geprobeerd heb
Reviews van Yubikey i.c.m. Bitwarden lijken positief.

Toshiba e755 Pocket PC > Panasonic G500 >Nokia 8210 > Nokia 8850 > Vario MDA (htc wizard 200) > Vario MDA III (htc tytn II) > HTC Hero > HTC Desire HD > Asus Transformer TF101 > Asus Padfone > Oppo Find 5 > LG Nexus 5 > Wileyfox Swift 2X > Razer Phone

Beste antwoord (via Xyphoid op 31-03-2022 03:00)


  • oak3
  • Registratie: Juli 2010
  • Laatst online: 25-01 16:41
Members only:
Alleen zichtbaar voor ingelogde gebruikers. Inloggen

Alle reacties


Acties:
  • Beste antwoord
  • 0Henk 'm!

  • oak3
  • Registratie: Juli 2010
  • Laatst online: 25-01 16:41
Members only:
Alleen zichtbaar voor ingelogde gebruikers. Inloggen

  • Xyphoid
  • Registratie: Februari 2007
  • Laatst online: 00:05
oak3 schreef op vrijdag 25 februari 2022 @ 08:19:

Zelf ben ik verder erg tevreden over deze setup, zeker sinds dat de app op Android ook de hardware key ondersteunt.
Wat bedoel je met hardware key ondersteunen? En welke app?
Bedoel je dat je met Bitwarden 2FA voor alle apps en sites kan doen met je Yubikey? Dus dat je je Yubikey gebruikt en dat Bitwarden de 2FA invult?

Toshiba e755 Pocket PC > Panasonic G500 >Nokia 8210 > Nokia 8850 > Vario MDA (htc wizard 200) > Vario MDA III (htc tytn II) > HTC Hero > HTC Desire HD > Asus Transformer TF101 > Asus Padfone > Oppo Find 5 > LG Nexus 5 > Wileyfox Swift 2X > Razer Phone


  • oak3
  • Registratie: Juli 2010
  • Laatst online: 25-01 16:41
Xyphoid schreef op vrijdag 25 februari 2022 @ 19:40:
[...]


Wat bedoel je met hardware key ondersteunen? En welke app?
Bedoel je dat je met Bitwarden 2FA voor alle apps en sites kan doen met je Yubikey? Dus dat je je Yubikey gebruikt en dat Bitwarden de 2FA invult?
Members only:
Alleen zichtbaar voor ingelogde gebruikers. Inloggen

Acties:
  • +2Henk 'm!

  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 14:48

CAPSLOCK2000

zie teletekst pagina 888

Xyphoid schreef op vrijdag 25 februari 2022 @ 02:12:
Daarnaast wil ik Bitwarden ook gaan instellen, zodat mijn vrouw na mijn overlijden ook daar kan inloggen.
En vice versa. Moet ik dan nog ergens op letten qua Yubikey? Zodra ik mijn Yubikey ingesteld en getest heb,
Oefenen. Zorg dat ze dit niet voor het eerst moet gaan doen nadat jij er niet meer bent.

Ik heb onlangs te maken gehad met de familie van iemand die onverwacht was overleden. Ze probeerden dringend in de computer te komen om redenen die er verder niet toe doen. Dat is niet direct gelukt en uit frustratie heeft iemand met het apparaat gegooid. Dat is natuurlijk heel dom maar wel begrijpelijk.

Die computer was niet uitgebreid beveiligd, het ging vooral om een gebrek aan computerkennis bij de familie en veel stress. Als er "echte" encryptie bij komt dan is het voor een leek al snel onmogelijk om het nog gedaan te krijgen.

Een vriend heeft ergens een brief liggen met instructies aan z'n partner voor het geval dat hij overlijdt. Daarin staat ook namen van een paar vrienden en collega's die technisch genoeg zijn om zijn instructies te volgen over hoe zijn data te decoderen is als dat ooit nodig is. Want hoe slim zijn vrouw ook is, zonder 10 jaar IT-ervaring kom je daar niet uit.

This post is warranted for the full amount you paid me for it.


Acties:
  • 0Henk 'm!

  • Xyphoid
  • Registratie: Februari 2007
  • Laatst online: 00:05
Ben er achter dat veel financiële toko's niet eens hardwarematige 2FA ondersteunen.
Daarvoor had ik hem eigenlijk gekocht.
Lekker dan.
Nou ja, hopelijk veranderen ze dat gauw en heb ik tegen die tijd kunnen oefenen.
En nog maar een paar accounts ondersteunen dat je zonder authenticator kan authenticeren (weet even niet meer hoe dat heet, dus alleen de sleutel er in), waaronder Facebook, Twitter en Google.

Toshiba e755 Pocket PC > Panasonic G500 >Nokia 8210 > Nokia 8850 > Vario MDA (htc wizard 200) > Vario MDA III (htc tytn II) > HTC Hero > HTC Desire HD > Asus Transformer TF101 > Asus Padfone > Oppo Find 5 > LG Nexus 5 > Wileyfox Swift 2X > Razer Phone


  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 14:48

CAPSLOCK2000

zie teletekst pagina 888

Xyphoid schreef op zondag 6 maart 2022 @ 21:02:
Ben er achter dat veel financiële toko's niet eens hardwarematige 2FA ondersteunen.
Daarvoor had ik hem eigenlijk gekocht.
Ik blijf me verbazen hoe conservatief ze in de financiele wereld zijn. Ik snap dat ze voorzichtig zijn en heel zuinig maar het schiet een beetje door.

Beetje off topic, maar ik moet af en toe aan banken en dergelijk instituten vragen of ze kunnen bewijzen dat ze veilig zijn zodat wij aan onze verplichtingen kunnen voldoen. Ik wordt standaard de eerste drie keer uitgelachen en weggestuurd met zoiets als "wij zijn een bank/accountant/... hoor, natuurlijk zijn we veilig en alles is geheim!". Dan kan ik op fouten en problemen wijzen maar dat wordt allemaal afgeketst met "je moet maar geloven dat wij weten wat we doen". Overigens gaat het binnen mijn eigen organisatie niet veel anders hoor, ze vinden het allemaal veel te moeilijk en willen niet echt weten hoe we er voor staan, alleen dat iemand een handtekening zet.

Je kan het volgens mij het best zo zien: die beveiliging is er niet voor jou. De beveiliging is er ook niet om jouw centen beschermen. De beveiliging is er om te zorgen dat die toko niet aansprakelijk is als er iets mis gaat. De werkelijk is iets minder cynisch maar je kan daar niet op vertrouwen.

Het bewaken van mijn wachtwoorden en dergelijke zie ik dus ook als mijn eigen verantwoordelijk, ik vertrouw er niet op dat 2fa van de bank voorkomt dat iemand misbruik kan maken van mijn wachtwoord.
Nou ja, hopelijk veranderen ze dat gauw en heb ik tegen die tijd kunnen oefenen.
En nog maar een paar accounts ondersteunen dat je zonder authenticator kan authenticeren (weet even niet meer hoe dat heet, dus alleen de sleutel er in), waaronder Facebook, Twitter en Google.
fido2 / webauthn


Mijn ideaal voor de meeste zaken is overigens hardware sleutel + authenticator en dus geen (verplicht) wachtwoord. Niet voor alles, uiteraard wil je dit soort beveiliging ook aanpassen aan wat "nodig" is voor de situatie.

<intermezzo wachtwoordenˇ>
"moeilijke" wachtwoorden zijn in mijn ogen een fundamentele mislukking.

Het belangrijkste kenmerk van een "klassiek" wachtwoord is namelijk dat je het van buiten kent en nergens opschrijft. Dat is belangrijk omdat we voor Multi Factor Authentication verschillende soorten beveiligingsmiddelen horen te gebruiken. Bv iets dat je hebt (hardware key) + iets dat je weet (wachtwoord).
Als je dat niet doet loop je het gevaar dat bij 1 hack of lek beide middelen op dezelfde manier kwetsbaar zijn.

Zodra je een wachtwoord lang en lastig gaat maken kunnen mensen het niet meer onthouden en gaan ze wachtwoordmanagers gebruiken. Daar is op zich niks mis mee zolang je maar nadenkt over hoeveel "echte" factoren je hebt. Ik zie vaak dat alle middelen neerkomen op "een paar bytes op mijn HD die geheim moeten blijven en die allemaal op dezelfde manier beveiligd zijn.". En als je dan toch wachtwoorden gaat opslaan dan hoeven we ook niet meer met menselijke beperking te werken zoals wachtwoorden van 16 tekens. Maak er dan maar 1000 tekens van, voor de computer maakt het niet uit.

Wachtwoorden moeten dus kort en simpel zijn. Ter vergelijking, onze pinpassen hebben een wachtwoord van 4 cijfers en dat is prima, dat kunnen de meeste mensen nog onthouden. Dan nog moeten het er niet te veel worden, meer dan een stuk of 10 pincodes/wachtwoorden zou ik niet durven te verwachten. Een modern mens heeft al snel tientallen accounts op allerlei websites en het zal onmogelijk zijn om die allemaal een uniek wachtwoord te geven.

Het is niet dat er geen plek is voor wachtwoorden maar ze zijn niet ideaal als belangrijkste en vaak enige middel, zeker niet als er fundamentele verschillen zitten tussen het theoretische concept van een wachtwoord (iets dat alleen in je hoofd zit) en de praktische implementatie (bytes op je HD).
</intermezzo>

This post is warranted for the full amount you paid me for it.

Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee