Hi mede-tweakers,
Allereerst hulde aan de support van tweakers die n.a.v. kritische vragen over mijn account de 2FA deactiveerde zodat ik kon inloggen. Dan nu wat context.
Vandaag overgestapt naar Bitwarden premium, lastpass authenticator (was alleen op mobiel, risico in geval van bijv. gestolen device) uitgezwaaid en al mijn 2FA in bitwarden zelf geregistreerd met TOTP. Was even werk maar dan heb je wat.
Daarna wat geprutst met Bitwarden en de KDF key aangepast op advies van Bitwarden zelf. Ik las niet goed (dom) en zag dat daarna al mijn sessies waren uitgelogd - ook mobiel (die ik altijd met vingerafdruk inlog). Zo leerde ik over het verschil tussen Lock out en Log out. Ik moest dus inloggen met de 2FA code...die in Bitwarden zat sinds vanochtend. Lang verhaal kort, die account was dood.
Prijs de heer - ik had gelukkig op mijn desktop nog een plugin waar ik in kon en heb snel een export gemaakt. Maar de OTP seeds miste daar (was nog een login/lokale variant van voor mijn TOTP switch van lastpass naar BW) dus ik zag de bui al hangen.
Inmiddels heb ik mijn oude bitwarden verwijderd op advies van support (tip; bitwarden support is erg goed), nieuwe aangemaakt, premium abo laten overzetten (dit allemaal binnen 2 uur) en alle wachtwoorden geimporteerd. Uiteraard heb ik e.e.a. geleerd en (voor nu!) de herstelcode van bitwarden op papier genoteerd. Ook heb ik een Yubikey besteld als alternatieve inlog mogelijkheid in geval van 2FA issues.
Omdat ik bovenstaande nooit meer wil meemaken (toch stressvol) en ik nog steeds een paar (gelukkig nutteloze) accounts niet in kan omdat de provider 2FA niet wil deactiveren, de volgende vragen:
Vraag 1) Is het dom om Bitwarden te beveiligen met 2FA (in bitwarden) met als back-up een yubi-key in het geval van een volledige log-out (kan natuurlijk nogmaals gebeuren). Of raden jullie aan t.a.t. de herstelcode op papier (ergens veilig) ook nog te bewaren? Voelt toch ergens dubbel om dit te noteren
Vraag 2) Is het logisch om het risico van het vergeten van je master password (dan ben je echt de sjaak natuurlijk, ondanks je mooie yubi key of herstelcode) te mitigeren door je partner (moeder van mn kinderen) emergency access te geven met een 14d wachttijd? Bij misbruik vanuit haar heb ik 2 weken de tijd om nee te zeggen, maar anders kan ze na 14d (bijv. op mijn verzoek, of omdat ik aan het sterven ben) alles met mijn/onze gegevens.
Vraag 3) Is er een best practice voor mensen die niet te ver willen gaan (ik heb een aardige risk appetite) maar wel de nodige beveiliging zoeken? Mis ik iets heel logisch?
Vraag 4) Is het overdreven om periodiek een export te maken van mijn vault en OTP seed codes, in geval van een algehele downtime/gesloopte Bitwarden (bijv. massale ddos). Zelf denk ik dat het niet echt nodig is omdat ik gewoon in mijn vaults (lokaal) de wachtwoorden heb. Als ik bijv. nu mijn internet verbreek, kan ik er ook gewoon bij. Enige risico is dan een breach en volledige wipe naar alle clients toe...maar hoe realistisch is dat?
Dank alvast!
Allereerst hulde aan de support van tweakers die n.a.v. kritische vragen over mijn account de 2FA deactiveerde zodat ik kon inloggen. Dan nu wat context.
Vandaag overgestapt naar Bitwarden premium, lastpass authenticator (was alleen op mobiel, risico in geval van bijv. gestolen device) uitgezwaaid en al mijn 2FA in bitwarden zelf geregistreerd met TOTP. Was even werk maar dan heb je wat.
Daarna wat geprutst met Bitwarden en de KDF key aangepast op advies van Bitwarden zelf. Ik las niet goed (dom) en zag dat daarna al mijn sessies waren uitgelogd - ook mobiel (die ik altijd met vingerafdruk inlog). Zo leerde ik over het verschil tussen Lock out en Log out. Ik moest dus inloggen met de 2FA code...die in Bitwarden zat sinds vanochtend. Lang verhaal kort, die account was dood.
Prijs de heer - ik had gelukkig op mijn desktop nog een plugin waar ik in kon en heb snel een export gemaakt. Maar de OTP seeds miste daar (was nog een login/lokale variant van voor mijn TOTP switch van lastpass naar BW) dus ik zag de bui al hangen.
Inmiddels heb ik mijn oude bitwarden verwijderd op advies van support (tip; bitwarden support is erg goed), nieuwe aangemaakt, premium abo laten overzetten (dit allemaal binnen 2 uur) en alle wachtwoorden geimporteerd. Uiteraard heb ik e.e.a. geleerd en (voor nu!) de herstelcode van bitwarden op papier genoteerd. Ook heb ik een Yubikey besteld als alternatieve inlog mogelijkheid in geval van 2FA issues.
Omdat ik bovenstaande nooit meer wil meemaken (toch stressvol) en ik nog steeds een paar (gelukkig nutteloze) accounts niet in kan omdat de provider 2FA niet wil deactiveren, de volgende vragen:
Vraag 1) Is het dom om Bitwarden te beveiligen met 2FA (in bitwarden) met als back-up een yubi-key in het geval van een volledige log-out (kan natuurlijk nogmaals gebeuren). Of raden jullie aan t.a.t. de herstelcode op papier (ergens veilig) ook nog te bewaren? Voelt toch ergens dubbel om dit te noteren
Vraag 2) Is het logisch om het risico van het vergeten van je master password (dan ben je echt de sjaak natuurlijk, ondanks je mooie yubi key of herstelcode) te mitigeren door je partner (moeder van mn kinderen) emergency access te geven met een 14d wachttijd? Bij misbruik vanuit haar heb ik 2 weken de tijd om nee te zeggen, maar anders kan ze na 14d (bijv. op mijn verzoek, of omdat ik aan het sterven ben) alles met mijn/onze gegevens.
Vraag 3) Is er een best practice voor mensen die niet te ver willen gaan (ik heb een aardige risk appetite) maar wel de nodige beveiliging zoeken? Mis ik iets heel logisch?
Vraag 4) Is het overdreven om periodiek een export te maken van mijn vault en OTP seed codes, in geval van een algehele downtime/gesloopte Bitwarden (bijv. massale ddos). Zelf denk ik dat het niet echt nodig is omdat ik gewoon in mijn vaults (lokaal) de wachtwoorden heb. Als ik bijv. nu mijn internet verbreek, kan ik er ook gewoon bij. Enige risico is dan een breach en volledige wipe naar alle clients toe...maar hoe realistisch is dat?
Dank alvast!
[ Voor 7% gewijzigd door TheProf82 op 15-03-2024 23:26 ]