Hallo,
Sind vele jaren gebruikte ik een handvol wachtwoorden voor zowat alles, steeds dezelfde. Sinds kort ken ik geen wachtwoorden meer. Ik weet niet wat mijn wachtwoord is van Userbase. Enkel dat het iets heel lang en complex is. (al kan ik het opzoeken en heb ik een export op een usb-stick)
Er zijn een aantal bekende spelers op de markt van de wachtwoordenmanagers waarvan Lastpass de bekendste is. Maar er is ook een nieuwe speler die het op de OpenSource tour aanpakt; Bitwarden
Al mijn wachtwoorden zitten nu in hun online kluis. Met de plugin, momenteel enkel Chrome, die voor firefox is klaar maar wacht op goedkeuring van Mozilla, kan je dan inloggen en complexe wachtwoorden aanmaken.
Het enige wat je moet onthouden is een hoofdwachtwoord, eentje dat echt goed moet zijn en je zeer beslist niet mag vergeten. Ook kan je 2-staps verificatie inschakelen, werkt via app nummergenerator.
Ik heb ook even Lastpass gebruikt. Die hebben meer opties dan Bitwarden, zijn dan ook veel ouder. 2-staps verificatie is daar wel niet gratis.
En ja .... ik heb een bijbedoeling om hier over te beginnen .... Bitwarden heeft een Kickstarter lopen die ik bij deze onder aandacht wil brengen;
Ik weet dat zo'n online manager niet de best denkbare oplossing is. Maar ik hoop en meen dat het toch al veel beter is dan overal een handvol zwakke wachtwoorden te gebruiken.
Bitwarden - opensource wachtwoordenmanager
- Splitter
- Elite Poster
- Berichten: 5230
- Lid geworden op: 10 maa 2010, 12:30
- Uitgedeelde bedankjes: 64 keer
- Bedankt: 520 keer
- Recent bedankt: 9 keer
tgoh, ik ben er niet zo helemaal voor...
al helemaal niet als je kijkt dat veel sites zo stilaan de beweging maken naar 2-factor auth en je dan voor die bitwarden al premium account moet hebben (zoals ze op hun kickstarter pagina zeggen)
- hun android app doet blijkbaar ook nog geen auto-fill
- zoals je al aanhaalde: het is en blijft een online paswoord opslag, waar niet iedereen (ik dus ook niet) voor te vinden is
het feit van zo nu en dan paswoorden vergeten en hergebruiken is wel een feit... maar ook daar heb ik het laatste jaar werk van gemaakt,
en voor sites zoals userbase heb ik een totaal onbelangrijk paswoord - lees - een paswoord dat me niet boeit of ze het raden, gezien het op geen enkele belangrijke site (sorry UB ) in gebruik is.
al helemaal niet als je kijkt dat veel sites zo stilaan de beweging maken naar 2-factor auth en je dan voor die bitwarden al premium account moet hebben (zoals ze op hun kickstarter pagina zeggen)
- hun android app doet blijkbaar ook nog geen auto-fill
- zoals je al aanhaalde: het is en blijft een online paswoord opslag, waar niet iedereen (ik dus ook niet) voor te vinden is
het feit van zo nu en dan paswoorden vergeten en hergebruiken is wel een feit... maar ook daar heb ik het laatste jaar werk van gemaakt,
en voor sites zoals userbase heb ik een totaal onbelangrijk paswoord - lees - een paswoord dat me niet boeit of ze het raden, gezien het op geen enkele belangrijke site (sorry UB ) in gebruik is.
- selder
- Moderator
- Berichten: 6437
- Lid geworden op: 29 jun 2005, 20:25
- Locatie: Tienen
- Uitgedeelde bedankjes: 106 keer
- Bedankt: 736 keer
iCloud Keychain ftw!
Fractal Design North • 13900KS • Asus ROG Ryuo III 240mm • Asus Z790-E • Z5 7800 c34 64GB RGB • nVidia RTX4090FE • Samsung 990 PRO 2TB • Asus ROG Swift PG42UQ 42” OLED 138Hz
- bollewolle
- Elite Poster
- Berichten: 956
- Lid geworden op: 16 nov 2007, 12:53
- Twitter: bollewolle
- Locatie: Gent
- Uitgedeelde bedankjes: 191 keer
- Bedankt: 91 keer
Als we toch bezig zijn: 1password Al redelijk wat jaren zeer tevreden over. Is uiteraard wel betalend maar heb het er wel voor over. Zijn zeer snel met updates, de nieuwste features (MBP touch id bijvoorbeeld wordt al ondersteund), super communicatie naar de gebruikers toe, ... Vooral dat ik het op mijn Apple producten en Windows producten kan gebruiken is zalig, samen met de nieuwe families functie waarbij ik gemakkelijk pasworden en andere gegevens veilig kan delen met familieleden. Gerust zaken waarvoor ik wil betalen.
-
- Plus Member
- Berichten: 118
- Lid geworden op: 28 nov 2015, 21:18
- Uitgedeelde bedankjes: 13 keer
- Bedankt: 39 keer
Ook tevreden lastpass gebruiker hier.
Ik stel echter mijn vragen bij hoeverre zij veilig zijn.
1. Lastpass gebruikt PBKDF2-SHA256 iteraties om bruteforce tegen te gaan, zij gebruiken enkel AES 256 voor encryptie.
2. Hun site verloopt via cloudflare, met een cloudflare ssl certificaat. Een Amerikaans bedrijf, dus kan het afgeluisterd worden door de Amerikaanse overheid. Lastpass doet zijn encryptie in de browser pas + host alles op eigen servers met eigen certificaten.
Ik stel echter mijn vragen bij hoeverre zij veilig zijn.
1. Lastpass gebruikt PBKDF2-SHA256 iteraties om bruteforce tegen te gaan, zij gebruiken enkel AES 256 voor encryptie.
2. Hun site verloopt via cloudflare, met een cloudflare ssl certificaat. Een Amerikaans bedrijf, dus kan het afgeluisterd worden door de Amerikaanse overheid. Lastpass doet zijn encryptie in de browser pas + host alles op eigen servers met eigen certificaten.
-
- Elite Poster
- Berichten: 920
- Lid geworden op: 09 apr 2006, 17:48
- Twitter: nathan_gs
- Uitgedeelde bedankjes: 230 keer
- Bedankt: 80 keer
- Recent bedankt: 1 keer
Je hebt ook https://pwsafe.org/ ook Open Source en initieel geschreven door Bruce Schneider.
Je kan je password file via OneDrive / Google Drive sync'n richting Android.
Je kan je password file via OneDrive / Google Drive sync'n richting Android.
-
- userbase crew
- Berichten: 8965
- Lid geworden op: 28 jan 2012, 18:22
- Uitgedeelde bedankjes: 199 keer
- Bedankt: 689 keer
- Recent bedankt: 2 keer
Ik zou er ook eens eentje moeten gebruiken, maar ben een beetje bang dat ik niet ga kunnen inloggen op een site wanneer ik dringend iets nodig heb, als ik de pwd db niet bijheb; en die online opslaan vind ik dan weer veel te riskant, zeker bij een bedrijfje dat dat professioneel doet en aldus een doelwit is/wordt voor hackers.
Qua 2FA hebben we nog een gigantische weg te gaan:
Ik gebruik enkel de opensource WinAuth om mijn secret keys in te bewaren, maar weinig sites slagen erin om hun custom interpretatie van de RFC over OTPs compatibel te maken met andere systemen.
Pakweg Steam kan je maar op 1 authenticator tegelijk installeren (wat absurd is; het enige dat ik moet hebben is je settings en mijn secret key en ik kan importeren/exporteren naar mijn voorkeur aan systemen).
En heel veel van die custom oplossingen laten je dus niet toe om die keys te ex- of importeren, al dan niet met QR code.
Ik ga echt geen 50 apps installeren elk voor hun eigen 2FA; met alle miserie vandien als ik mijn gsm kwijt ben.
Nee, ik wil verplichte compatibiliteit met exports/imports zodat ik de key in WinAuth kan steken, dan nog ns exporteren en desgewenst afprinten uit WinAuth, en dan via WinAuth (wat hij perfect kan) een QR genereren om de key in mobiele apps te importeren (en dan liefst alles in 1 appje).
Maar zoals altijd is het een kluwen van verschillende implementaties aan het worden die ik zoveel mogelijk links laat liggen.
Wanneer gaan die bedrijven nu eens doorhebben dat ik mijn workflow echt niet ga aanpassen aan hen, maar dat zij gewoon de key moeten voorzien zodat de klant die in zijn workflow kan inwerken, met optioneel een eigen appje voor de gewone user.
Een voorbeeld van hoe het wel moet is Runescape, die genereren gewoon je secret key, die je kan kan overtypen of QRgewijs inscannen in een app naar keuze, incl die van hun. Hoeveel moeilijker dan dat moet je het nu gaan maken als bedrijf?
Qua 2FA hebben we nog een gigantische weg te gaan:
Ik gebruik enkel de opensource WinAuth om mijn secret keys in te bewaren, maar weinig sites slagen erin om hun custom interpretatie van de RFC over OTPs compatibel te maken met andere systemen.
Pakweg Steam kan je maar op 1 authenticator tegelijk installeren (wat absurd is; het enige dat ik moet hebben is je settings en mijn secret key en ik kan importeren/exporteren naar mijn voorkeur aan systemen).
En heel veel van die custom oplossingen laten je dus niet toe om die keys te ex- of importeren, al dan niet met QR code.
Ik ga echt geen 50 apps installeren elk voor hun eigen 2FA; met alle miserie vandien als ik mijn gsm kwijt ben.
Nee, ik wil verplichte compatibiliteit met exports/imports zodat ik de key in WinAuth kan steken, dan nog ns exporteren en desgewenst afprinten uit WinAuth, en dan via WinAuth (wat hij perfect kan) een QR genereren om de key in mobiele apps te importeren (en dan liefst alles in 1 appje).
Maar zoals altijd is het een kluwen van verschillende implementaties aan het worden die ik zoveel mogelijk links laat liggen.
Wanneer gaan die bedrijven nu eens doorhebben dat ik mijn workflow echt niet ga aanpassen aan hen, maar dat zij gewoon de key moeten voorzien zodat de klant die in zijn workflow kan inwerken, met optioneel een eigen appje voor de gewone user.
Een voorbeeld van hoe het wel moet is Runescape, die genereren gewoon je secret key, die je kan kan overtypen of QRgewijs inscannen in een app naar keuze, incl die van hun. Hoeveel moeilijker dan dat moet je het nu gaan maken als bedrijf?
-
- Elite Poster
- Berichten: 6348
- Lid geworden op: 01 feb 2006, 12:36
- Uitgedeelde bedankjes: 1285 keer
- Bedankt: 485 keer
- Recent bedankt: 2 keer
Wat is er mis met de KeePass + Dropbox combo ?ITnetadmin schreef:Ik zou er ook eens eentje moeten gebruiken, maar ben een beetje bang dat ik niet ga kunnen inloggen op een site wanneer ik dringend iets nodig heb, als ik de pwd db niet bijheb; en die online opslaan vind ik dan weer veel te riskant, zeker bij een bedrijfje dat dat professioneel doet en aldus een doelwit is/wordt voor hackers.
* KeePass database op Dropbox.
* Sterk master password.
* Afzonderlijke keyfile die je manueel op je devices zet (dus NIET op dropbox).
Zalige combo. Ik heb gewoon altijd alle paswoorden bij me, niet enkel op PC, maar dus ook op iPad en Android phone, en het gebeurt echt wel heel vaak dat ik eens een paswoord moet opzoeken op een van die devices.
-
- Elite Poster
- Berichten: 1800
- Lid geworden op: 06 jan 2014, 13:45
- Uitgedeelde bedankjes: 46 keer
- Bedankt: 89 keer
- Recent bedankt: 1 keer
waarom niet zelf een systeem uitdenken gebaseerd op de url + uw normaal gebruikt paswoord (dat nu voor veel sites hetzelfde is)
zo zou dit hier kunnen worden us3rb@s3f0rumpassword waarbij password uw normaal paswoord is
zo kan je hetgeen je normaal gebruikt verder overal gebruiken en een deel is site afhankelijk
daarnaast kan password nog afhankelijk zijn van bv forums, financieel, persoonlijk e.a. en hoef je er maar een paar te kennen, de rest vergeet je niet omdat die afgeleid werden met uw regels
zo zou dit hier kunnen worden us3rb@s3f0rumpassword waarbij password uw normaal paswoord is
zo kan je hetgeen je normaal gebruikt verder overal gebruiken en een deel is site afhankelijk
daarnaast kan password nog afhankelijk zijn van bv forums, financieel, persoonlijk e.a. en hoef je er maar een paar te kennen, de rest vergeet je niet omdat die afgeleid werden met uw regels
- lacer
- Elite Poster
- Berichten: 2965
- Lid geworden op: 24 feb 2007, 23:15
- Locatie: 09
- Uitgedeelde bedankjes: 130 keer
- Bedankt: 159 keer
Ik gebruik ook KeePassX bij al m'n ubuntu installaties. Database backup op de netwerkschijf.
EdpNet XL 99/35 Mbps
VoIp OVH + Gigaset C610IP + C430H
Telenet Digital TV HD Digicorder AD 2200
RPi 2B Pi-Hole / 3B Kodi-19 / 3B+ Node-Red+Grafana
FLUKSO monitoring Elec-Gas-Water-PV > PVoutput
Ubuntu Mate 18.04 ESM / 22.04
VoIp OVH + Gigaset C610IP + C430H
Telenet Digital TV HD Digicorder AD 2200
RPi 2B Pi-Hole / 3B Kodi-19 / 3B+ Node-Red+Grafana
FLUKSO monitoring Elec-Gas-Water-PV > PVoutput
Ubuntu Mate 18.04 ESM / 22.04
-
- Elite Poster
- Berichten: 3868
- Lid geworden op: 20 maa 2004, 20:10
- Uitgedeelde bedankjes: 84 keer
- Bedankt: 46 keer
Post-its ftw
- devilkin
- Administrator
- Berichten: 5998
- Lid geworden op: 17 mei 2006, 20:10
- Uitgedeelde bedankjes: 826 keer
- Bedankt: 506 keer
- Recent bedankt: 2 keer
Deze is wel nice. Vooral het opensource gedeelte - ik gebruik momenteel lastpass, maar de security-conscious person in me heeft er problemen mee. Dus ben ik al even opzoek naar een tegenhanger met dezelfde level van integratie, maar liefst self-hosted.
Bij bitwarden is dat blijkbaar wel een mogelijkheid. Vanavond thuis eens bekijken
Bij bitwarden is dat blijkbaar wel een mogelijkheid. Vanavond thuis eens bekijken
Telenet All-Internet -- using CV8560E & OPNsense on PCEngines APU2E4
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
- MClaeys
- Elite Poster
- Berichten: 6044
- Lid geworden op: 16 feb 2011, 22:43
- Uitgedeelde bedankjes: 376 keer
- Bedankt: 346 keer
Lang zo gewerkt, bij onbelangrijke sites nog steeds, maar verder ga ik gewoon voor codes die ik met bepaalde truukjes onthoud. Er moet maar ene site zijn waar je wachtwoord in plain text staat en ze kunnen het simpel raden voor andere sites. En dan is er nog de forgot password functie.bruma schreef:waarom niet zelf een systeem uitdenken gebaseerd op de url + uw normaal gebruikt paswoord (dat nu voor veel sites hetzelfde is)
zo zou dit hier kunnen worden us3rb@s3f0rumpassword waarbij password uw normaal paswoord is
zo kan je hetgeen je normaal gebruikt verder overal gebruiken en een deel is site afhankelijk
daarnaast kan password nog afhankelijk zijn van bv forums, financieel, persoonlijk e.a. en hoef je er maar een paar te kennen, de rest vergeet je niet omdat die afgeleid werden met uw regels
- JoskeVermeulen
- Premium Member
- Berichten: 642
- Lid geworden op: 22 aug 2012, 02:04
- Locatie: Liedekerke
- Uitgedeelde bedankjes: 64 keer
- Bedankt: 78 keer
Hmm blijkbaar is LastPass vorig jaar eens gecompromised maar met geluk niets waardevols gestolen als ik het goed heb.
TV:
ISP:
Tel.:
- MClaeys
- Elite Poster
- Berichten: 6044
- Lid geworden op: 16 feb 2011, 22:43
- Uitgedeelde bedankjes: 376 keer
- Bedankt: 346 keer
Alle wachtwoorden worden bij hen ook versleuteld met uw eigen master key. Zij zelf (of dat beweren zij toch) kunnen ook niet aan uw wachtwoorden en moest iemand de database downloaden moeten ze iedereen afzonderlijk gaan brute forcen om te decrypten.JoskeVermeulen schreef:Hmm blijkbaar is LastPass vorig jaar eens gecompromised maar met geluk niets waardevols gestolen als ik het goed heb.
Daarom ook dat als je uw master wachtwoord kwijt bent, dat je enkel een password reset kan doen vanop een pc waar lastpass op staat ingelogd met je account ofwel moet je kiezen om de hele database te wissen en dan kan je opnieuw beginnen.