Bitwarden - opensource wachtwoordenmanager

Alles over programmeren en development binnen de IT-wereld
Plaats reactie
Gebruikersavatar
WalterB1
Elite Poster
Elite Poster
Berichten: 2029
Lid geworden op: 22 jan 2010, 18:59
Uitgedeelde bedankjes: 177 keer
Bedankt: 143 keer
Recent bedankt: 1 keer

Hallo,

Sind vele jaren gebruikte ik een handvol wachtwoorden voor zowat alles, steeds dezelfde. Sinds kort ken ik geen wachtwoorden meer. Ik weet niet wat mijn wachtwoord is van Userbase. Enkel dat het iets heel lang en complex is. (al kan ik het opzoeken en heb ik een export op een usb-stick)

Er zijn een aantal bekende spelers op de markt van de wachtwoordenmanagers waarvan Lastpass de bekendste is. Maar er is ook een nieuwe speler die het op de OpenSource tour aanpakt; Bitwarden

Al mijn wachtwoorden zitten nu in hun online kluis. Met de plugin, momenteel enkel Chrome, die voor firefox is klaar maar wacht op goedkeuring van Mozilla, kan je dan inloggen en complexe wachtwoorden aanmaken.

Het enige wat je moet onthouden is een hoofdwachtwoord, eentje dat echt goed moet zijn en je zeer beslist niet mag vergeten. Ook kan je 2-staps verificatie inschakelen, werkt via app nummergenerator.

Ik heb ook even Lastpass gebruikt. Die hebben meer opties dan Bitwarden, zijn dan ook veel ouder. 2-staps verificatie is daar wel niet gratis.

En ja .... ik heb een bijbedoeling om hier over te beginnen .... Bitwarden heeft een Kickstarter lopen die ik bij deze onder aandacht wil brengen;


Ik weet dat zo'n online manager niet de best denkbare oplossing is. Maar ik hoop en meen dat het toch al veel beter is dan overal een handvol zwakke wachtwoorden te gebruiken.
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5230
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 64 keer
Bedankt: 520 keer
Recent bedankt: 9 keer

tgoh, ik ben er niet zo helemaal voor...
al helemaal niet als je kijkt dat veel sites zo stilaan de beweging maken naar 2-factor auth en je dan voor die bitwarden al premium account moet hebben (zoals ze op hun kickstarter pagina zeggen)

- hun android app doet blijkbaar ook nog geen auto-fill
- zoals je al aanhaalde: het is en blijft een online paswoord opslag, waar niet iedereen (ik dus ook niet) voor te vinden is


het feit van zo nu en dan paswoorden vergeten en hergebruiken is wel een feit... maar ook daar heb ik het laatste jaar werk van gemaakt,
en voor sites zoals userbase heb ik een totaal onbelangrijk paswoord - lees - een paswoord dat me niet boeit of ze het raden, gezien het op geen enkele belangrijke site (sorry UB :p ) in gebruik is.
Gebruikersavatar
Sasuke
userbase crew
userbase crew
Berichten: 5526
Lid geworden op: 13 aug 2003, 20:25
Locatie: Vlaanderen
Uitgedeelde bedankjes: 238 keer
Bedankt: 467 keer
Recent bedankt: 6 keer

KeePass for the win. Free & integratie met een hoop logon prompts.
Who the fxxk is General Failure and why is he reading my hard disk ?
Afbeelding
johcla
Elite Poster
Elite Poster
Berichten: 2417
Lid geworden op: 23 maa 2009, 21:08
Uitgedeelde bedankjes: 675 keer
Bedankt: 154 keer

Toch even opmerken dat 2FA wel gratis is bij LastPass, sinds kort is het ook gratis te gebruiken op smartphones.
yaris
Premium Member
Premium Member
Berichten: 563
Lid geworden op: 14 mei 2004, 00:16
Uitgedeelde bedankjes: 16 keer
Bedankt: 33 keer

Keepass hier ook. Heel tevreden van.
Gebruikersavatar
selder
Moderator
Moderator
Berichten: 6437
Lid geworden op: 29 jun 2005, 20:25
Locatie: Tienen
Uitgedeelde bedankjes: 106 keer
Bedankt: 736 keer

iCloud Keychain ftw!
Fractal Design North • 13900KS • Asus ROG Ryuo III 240mm • Asus Z790-E • Z5 7800 c34 64GB RGB • nVidia RTX4090FE • Samsung 990 PRO 2TB • Asus ROG Swift PG42UQ 42” OLED 138Hz
Gebruikersavatar
bollewolle
Elite Poster
Elite Poster
Berichten: 956
Lid geworden op: 16 nov 2007, 12:53
Twitter: bollewolle
Locatie: Gent
Uitgedeelde bedankjes: 191 keer
Bedankt: 91 keer

Als we toch bezig zijn: 1password :-) Al redelijk wat jaren zeer tevreden over. Is uiteraard wel betalend maar heb het er wel voor over. Zijn zeer snel met updates, de nieuwste features (MBP touch id bijvoorbeeld wordt al ondersteund), super communicatie naar de gebruikers toe, ... Vooral dat ik het op mijn Apple producten en Windows producten kan gebruiken is zalig, samen met de nieuwe families functie waarbij ik gemakkelijk pasworden en andere gegevens veilig kan delen met familieleden. Gerust zaken waarvoor ik wil betalen.
dovo
Plus Member
Plus Member
Berichten: 118
Lid geworden op: 28 nov 2015, 21:18
Uitgedeelde bedankjes: 13 keer
Bedankt: 39 keer

Ook tevreden lastpass gebruiker hier.
Ik stel echter mijn vragen bij hoeverre zij veilig zijn.
1. Lastpass gebruikt PBKDF2-SHA256 iteraties om bruteforce tegen te gaan, zij gebruiken enkel AES 256 voor encryptie.
2. Hun site verloopt via cloudflare, met een cloudflare ssl certificaat. Een Amerikaans bedrijf, dus kan het afgeluisterd worden door de Amerikaanse overheid. Lastpass doet zijn encryptie in de browser pas + host alles op eigen servers met eigen certificaten.
liber!
Elite Poster
Elite Poster
Berichten: 920
Lid geworden op: 09 apr 2006, 17:48
Twitter: nathan_gs
Uitgedeelde bedankjes: 230 keer
Bedankt: 80 keer
Recent bedankt: 1 keer

Je hebt ook https://pwsafe.org/ ook Open Source en initieel geschreven door Bruce Schneider.

Je kan je password file via OneDrive / Google Drive sync'n richting Android.
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

Ik zou er ook eens eentje moeten gebruiken, maar ben een beetje bang dat ik niet ga kunnen inloggen op een site wanneer ik dringend iets nodig heb, als ik de pwd db niet bijheb; en die online opslaan vind ik dan weer veel te riskant, zeker bij een bedrijfje dat dat professioneel doet en aldus een doelwit is/wordt voor hackers.

Qua 2FA hebben we nog een gigantische weg te gaan:
Ik gebruik enkel de opensource WinAuth om mijn secret keys in te bewaren, maar weinig sites slagen erin om hun custom interpretatie van de RFC over OTPs compatibel te maken met andere systemen.
Pakweg Steam kan je maar op 1 authenticator tegelijk installeren (wat absurd is; het enige dat ik moet hebben is je settings en mijn secret key en ik kan importeren/exporteren naar mijn voorkeur aan systemen).
En heel veel van die custom oplossingen laten je dus niet toe om die keys te ex- of importeren, al dan niet met QR code.
Ik ga echt geen 50 apps installeren elk voor hun eigen 2FA; met alle miserie vandien als ik mijn gsm kwijt ben.

Nee, ik wil verplichte compatibiliteit met exports/imports zodat ik de key in WinAuth kan steken, dan nog ns exporteren en desgewenst afprinten uit WinAuth, en dan via WinAuth (wat hij perfect kan) een QR genereren om de key in mobiele apps te importeren (en dan liefst alles in 1 appje).
Maar zoals altijd is het een kluwen van verschillende implementaties aan het worden die ik zoveel mogelijk links laat liggen.

Wanneer gaan die bedrijven nu eens doorhebben dat ik mijn workflow echt niet ga aanpassen aan hen, maar dat zij gewoon de key moeten voorzien zodat de klant die in zijn workflow kan inwerken, met optioneel een eigen appje voor de gewone user.

Een voorbeeld van hoe het wel moet is Runescape, die genereren gewoon je secret key, die je kan kan overtypen of QRgewijs inscannen in een app naar keuze, incl die van hun. Hoeveel moeilijker dan dat moet je het nu gaan maken als bedrijf?
Tomby
Elite Poster
Elite Poster
Berichten: 6348
Lid geworden op: 01 feb 2006, 12:36
Uitgedeelde bedankjes: 1285 keer
Bedankt: 485 keer
Recent bedankt: 2 keer

ITnetadmin schreef:Ik zou er ook eens eentje moeten gebruiken, maar ben een beetje bang dat ik niet ga kunnen inloggen op een site wanneer ik dringend iets nodig heb, als ik de pwd db niet bijheb; en die online opslaan vind ik dan weer veel te riskant, zeker bij een bedrijfje dat dat professioneel doet en aldus een doelwit is/wordt voor hackers.
Wat is er mis met de KeePass + Dropbox combo ?
* KeePass database op Dropbox.
* Sterk master password.
* Afzonderlijke keyfile die je manueel op je devices zet (dus NIET op dropbox).
Zalige combo. Ik heb gewoon altijd alle paswoorden bij me, niet enkel op PC, maar dus ook op iPad en Android phone, en het gebeurt echt wel heel vaak dat ik eens een paswoord moet opzoeken op een van die devices.
bruma
Elite Poster
Elite Poster
Berichten: 1800
Lid geworden op: 06 jan 2014, 13:45
Uitgedeelde bedankjes: 46 keer
Bedankt: 89 keer
Recent bedankt: 1 keer

waarom niet zelf een systeem uitdenken gebaseerd op de url + uw normaal gebruikt paswoord (dat nu voor veel sites hetzelfde is)

zo zou dit hier kunnen worden us3rb@s3f0rumpassword waarbij password uw normaal paswoord is
zo kan je hetgeen je normaal gebruikt verder overal gebruiken en een deel is site afhankelijk
daarnaast kan password nog afhankelijk zijn van bv forums, financieel, persoonlijk e.a. en hoef je er maar een paar te kennen, de rest vergeet je niet omdat die afgeleid werden met uw regels
Gebruikersavatar
lacer
Elite Poster
Elite Poster
Berichten: 2965
Lid geworden op: 24 feb 2007, 23:15
Locatie: 09
Uitgedeelde bedankjes: 130 keer
Bedankt: 159 keer

Ik gebruik ook KeePassX bij al m'n ubuntu installaties. Database backup op de netwerkschijf.
EdpNet XL 99/35 Mbps
VoIp OVH + Gigaset C610IP + C430H
Telenet Digital TV HD Digicorder AD 2200
RPi 2B Pi-Hole / 3B Kodi-19 / 3B+ Node-Red+Grafana
FLUKSO monitoring Elec-Gas-Water-PV > PVoutput
Ubuntu Mate 18.04 ESM / 22.04
Gebruikersavatar
WalterB1
Elite Poster
Elite Poster
Berichten: 2029
Lid geworden op: 22 jan 2010, 18:59
Uitgedeelde bedankjes: 177 keer
Bedankt: 143 keer
Recent bedankt: 1 keer

De "early backer" voorwaarden zijn terug actief voor de rest van de Kickstarter. $20 voor levenslang premium.
ubremoved_983
Elite Poster
Elite Poster
Berichten: 3868
Lid geworden op: 20 maa 2004, 20:10
Uitgedeelde bedankjes: 84 keer
Bedankt: 46 keer

Post-its ftw
Gebruikersavatar
devilkin
Administrator
Administrator
Berichten: 5998
Lid geworden op: 17 mei 2006, 20:10
Uitgedeelde bedankjes: 826 keer
Bedankt: 506 keer
Recent bedankt: 2 keer

Deze is wel nice. Vooral het opensource gedeelte - ik gebruik momenteel lastpass, maar de security-conscious person in me heeft er problemen mee. Dus ben ik al even opzoek naar een tegenhanger met dezelfde level van integratie, maar liefst self-hosted.

Bij bitwarden is dat blijkbaar wel een mogelijkheid. Vanavond thuis eens bekijken :)
Telenet All-Internet -- using CV8560E & OPNsense on PCEngines APU2E4
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
Gebruikersavatar
MClaeys
Elite Poster
Elite Poster
Berichten: 6044
Lid geworden op: 16 feb 2011, 22:43
Uitgedeelde bedankjes: 376 keer
Bedankt: 346 keer

bruma schreef:waarom niet zelf een systeem uitdenken gebaseerd op de url + uw normaal gebruikt paswoord (dat nu voor veel sites hetzelfde is)

zo zou dit hier kunnen worden us3rb@s3f0rumpassword waarbij password uw normaal paswoord is
zo kan je hetgeen je normaal gebruikt verder overal gebruiken en een deel is site afhankelijk
daarnaast kan password nog afhankelijk zijn van bv forums, financieel, persoonlijk e.a. en hoef je er maar een paar te kennen, de rest vergeet je niet omdat die afgeleid werden met uw regels
Lang zo gewerkt, bij onbelangrijke sites nog steeds, maar verder ga ik gewoon voor codes die ik met bepaalde truukjes onthoud. Er moet maar ene site zijn waar je wachtwoord in plain text staat en ze kunnen het simpel raden voor andere sites. En dan is er nog de forgot password functie.
Gebruikersavatar
JoskeVermeulen
Premium Member
Premium Member
Berichten: 642
Lid geworden op: 22 aug 2012, 02:04
Locatie: Liedekerke
Uitgedeelde bedankjes: 64 keer
Bedankt: 78 keer

Hmm blijkbaar is LastPass vorig jaar eens gecompromised maar met geluk niets waardevols gestolen als ik het goed heb.
:troosten:
TV: Afbeelding
ISP: Afbeelding
Tel.: Afbeelding
Kenniey
Premium Member
Premium Member
Berichten: 479
Lid geworden op: 15 apr 2011, 22:57
Uitgedeelde bedankjes: 15 keer
Bedankt: 56 keer

Een lifetime premium membership genomen. Hopelijk halen ze hun doel
Gebruikersavatar
MClaeys
Elite Poster
Elite Poster
Berichten: 6044
Lid geworden op: 16 feb 2011, 22:43
Uitgedeelde bedankjes: 376 keer
Bedankt: 346 keer

JoskeVermeulen schreef:Hmm blijkbaar is LastPass vorig jaar eens gecompromised maar met geluk niets waardevols gestolen als ik het goed heb.
Alle wachtwoorden worden bij hen ook versleuteld met uw eigen master key. Zij zelf (of dat beweren zij toch) kunnen ook niet aan uw wachtwoorden en moest iemand de database downloaden moeten ze iedereen afzonderlijk gaan brute forcen om te decrypten.
Daarom ook dat als je uw master wachtwoord kwijt bent, dat je enkel een password reset kan doen vanop een pc waar lastpass op staat ingelogd met je account ofwel moet je kiezen om de hele database te wissen en dan kan je opnieuw beginnen.
Plaats reactie

Terug naar “Development”