Userbase

Hallo,

Sind vele jaren gebruikte ik een handvol wachtwoorden voor zowat alles, steeds dezelfde. Sinds kort ken ik geen wachtwoorden meer. Ik weet niet wat mijn wachtwoord is van Userbase. Enkel dat het iets heel lang en complex is. (al kan ik het opzoeken en heb ik een export op een usb-stick)

Er zijn een aantal bekende spelers op de markt van de wachtwoordenmanagers waarvan Lastpass de bekendste is. Maar er is ook een nieuwe speler die het op de OpenSource tour aanpakt; Bitwarden

Al mijn wachtwoorden zitten nu in hun online kluis. Met de plugin, momenteel enkel Chrome, die voor firefox is klaar maar wacht op goedkeuring van Mozilla, kan je dan inloggen en complexe wachtwoorden aanmaken.

Het enige wat je moet onthouden is een hoofdwachtwoord, eentje dat echt goed moet zijn en je zeer beslist niet mag vergeten. Ook kan je 2-staps verificatie inschakelen, werkt via app nummergenerator.

Ik heb ook even Lastpass gebruikt. Die hebben meer opties dan Bitwarden, zijn dan ook veel ouder. 2-staps verificatie is daar wel niet gratis.

En ja .... ik heb een bijbedoeling om hier over te beginnen .... Bitwarden heeft een Kickstarter lopen die ik bij deze onder aandacht wil brengen;


Ik weet dat zo'n online manager niet de best denkbare oplossing is. Maar ik hoop en meen dat het toch al veel beter is dan overal een handvol zwakke wachtwoorden te gebruiken.

tgoh, ik ben er niet zo helemaal voor...
al helemaal niet als je kijkt dat veel sites zo stilaan de beweging maken naar 2-factor auth en je dan voor die bitwarden al premium account moet hebben (zoals ze op hun kickstarter pagina zeggen)

- hun android app doet blijkbaar ook nog geen auto-fill
- zoals je al aanhaalde: het is en blijft een online paswoord opslag, waar niet iedereen (ik dus ook niet) voor te vinden is


het feit van zo nu en dan paswoorden vergeten en hergebruiken is wel een feit... maar ook daar heb ik het laatste jaar werk van gemaakt,
en voor sites zoals userbase heb ik een totaal onbelangrijk paswoord - lees - een paswoord dat me niet boeit of ze het raden, gezien het op geen enkele belangrijke site (sorry UB ) in gebruik is.

KeePass for the win. Free & integratie met een hoop logon prompts.

Toch even opmerken dat 2FA wel gratis is bij LastPass, sinds kort is het ook gratis te gebruiken op smartphones.

Keepass hier ook. Heel tevreden van.

iCloud Keychain ftw!

Als we toch bezig zijn: 1password Al redelijk wat jaren zeer tevreden over. Is uiteraard wel betalend maar heb het er wel voor over. Zijn zeer snel met updates, de nieuwste features (MBP touch id bijvoorbeeld wordt al ondersteund), super communicatie naar de gebruikers toe, ... Vooral dat ik het op mijn Apple producten en Windows producten kan gebruiken is zalig, samen met de nieuwe families functie waarbij ik gemakkelijk pasworden en andere gegevens veilig kan delen met familieleden. Gerust zaken waarvoor ik wil betalen.

Ook tevreden lastpass gebruiker hier.
Ik stel echter mijn vragen bij hoeverre zij veilig zijn.
1. Lastpass gebruikt PBKDF2-SHA256 iteraties om bruteforce tegen te gaan, zij gebruiken enkel AES 256 voor encryptie.
2. Hun site verloopt via cloudflare, met een cloudflare ssl certificaat. Een Amerikaans bedrijf, dus kan het afgeluisterd worden door de Amerikaanse overheid. Lastpass doet zijn encryptie in de browser pas + host alles op eigen servers met eigen certificaten.

Je hebt ook https://pwsafe.org/ ook Open Source en initieel geschreven door Bruce Schneider.

Je kan je password file via OneDrive / Google Drive sync'n richting Android.

Ik zou er ook eens eentje moeten gebruiken, maar ben een beetje bang dat ik niet ga kunnen inloggen op een site wanneer ik dringend iets nodig heb, als ik de pwd db niet bijheb; en die online opslaan vind ik dan weer veel te riskant, zeker bij een bedrijfje dat dat professioneel doet en aldus een doelwit is/wordt voor hackers.

Qua 2FA hebben we nog een gigantische weg te gaan:
Ik gebruik enkel de opensource WinAuth om mijn secret keys in te bewaren, maar weinig sites slagen erin om hun custom interpretatie van de RFC over OTPs compatibel te maken met andere systemen.
Pakweg Steam kan je maar op 1 authenticator tegelijk installeren (wat absurd is; het enige dat ik moet hebben is je settings en mijn secret key en ik kan importeren/exporteren naar mijn voorkeur aan systemen).
En heel veel van die custom oplossingen laten je dus niet toe om die keys te ex- of importeren, al dan niet met QR code.
Ik ga echt geen 50 apps installeren elk voor hun eigen 2FA; met alle miserie vandien als ik mijn gsm kwijt ben.

Nee, ik wil verplichte compatibiliteit met exports/imports zodat ik de key in WinAuth kan steken, dan nog ns exporteren en desgewenst afprinten uit WinAuth, en dan via WinAuth (wat hij perfect kan) een QR genereren om de key in mobiele apps te importeren (en dan liefst alles in 1 appje).
Maar zoals altijd is het een kluwen van verschillende implementaties aan het worden die ik zoveel mogelijk links laat liggen.

Wanneer gaan die bedrijven nu eens doorhebben dat ik mijn workflow echt niet ga aanpassen aan hen, maar dat zij gewoon de key moeten voorzien zodat de klant die in zijn workflow kan inwerken, met optioneel een eigen appje voor de gewone user.

Een voorbeeld van hoe het wel moet is Runescape, die genereren gewoon je secret key, die je kan kan overtypen of QRgewijs inscannen in een app naar keuze, incl die van hun. Hoeveel moeilijker dan dat moet je het nu gaan maken als bedrijf?

ITnetadmin schreef:Ik zou er ook eens eentje moeten gebruiken, maar ben een beetje bang dat ik niet ga kunnen inloggen op een site wanneer ik dringend iets nodig heb, als ik de pwd db niet bijheb; en die online opslaan vind ik dan weer veel te riskant, zeker bij een bedrijfje dat dat professioneel doet en aldus een doelwit is/wordt voor hackers.

Wat is er mis met de KeePass + Dropbox combo ?
* KeePass database op Dropbox.
* Sterk master password.
* Afzonderlijke keyfile die je manueel op je devices zet (dus NIET op dropbox).
Zalige combo. Ik heb gewoon altijd alle paswoorden bij me, niet enkel op PC, maar dus ook op iPad en Android phone, en het gebeurt echt wel heel vaak dat ik eens een paswoord moet opzoeken op een van die devices.

waarom niet zelf een systeem uitdenken gebaseerd op de url + uw normaal gebruikt paswoord (dat nu voor veel sites hetzelfde is)

zo zou dit hier kunnen worden us3rb@s3f0rumpassword waarbij password uw normaal paswoord is
zo kan je hetgeen je normaal gebruikt verder overal gebruiken en een deel is site afhankelijk
daarnaast kan password nog afhankelijk zijn van bv forums, financieel, persoonlijk e.a. en hoef je er maar een paar te kennen, de rest vergeet je niet omdat die afgeleid werden met uw regels

Ik gebruik ook KeePassX bij al m'n ubuntu installaties. Database backup op de netwerkschijf.

De "early backer" voorwaarden zijn terug actief voor de rest van de Kickstarter. $20 voor levenslang premium.

Post-its ftw

Deze is wel nice. Vooral het opensource gedeelte - ik gebruik momenteel lastpass, maar de security-conscious person in me heeft er problemen mee. Dus ben ik al even opzoek naar een tegenhanger met dezelfde level van integratie, maar liefst self-hosted.

Bij bitwarden is dat blijkbaar wel een mogelijkheid. Vanavond thuis eens bekijken

bruma schreef:waarom niet zelf een systeem uitdenken gebaseerd op de url + uw normaal gebruikt paswoord (dat nu voor veel sites hetzelfde is)

zo zou dit hier kunnen worden us3rb@s3f0rumpassword waarbij password uw normaal paswoord is
zo kan je hetgeen je normaal gebruikt verder overal gebruiken en een deel is site afhankelijk
daarnaast kan password nog afhankelijk zijn van bv forums, financieel, persoonlijk e.a. en hoef je er maar een paar te kennen, de rest vergeet je niet omdat die afgeleid werden met uw regels

Lang zo gewerkt, bij onbelangrijke sites nog steeds, maar verder ga ik gewoon voor codes die ik met bepaalde truukjes onthoud. Er moet maar ene site zijn waar je wachtwoord in plain text staat en ze kunnen het simpel raden voor andere sites. En dan is er nog de forgot password functie.

Hmm blijkbaar is LastPass vorig jaar eens gecompromised maar met geluk niets waardevols gestolen als ik het goed heb.

Een lifetime premium membership genomen. Hopelijk halen ze hun doel

JoskeVermeulen schreef:Hmm blijkbaar is LastPass vorig jaar eens gecompromised maar met geluk niets waardevols gestolen als ik het goed heb.

Alle wachtwoorden worden bij hen ook versleuteld met uw eigen master key. Zij zelf (of dat beweren zij toch) kunnen ook niet aan uw wachtwoorden en moest iemand de database downloaden moeten ze iedereen afzonderlijk gaan brute forcen om te decrypten.
Daarom ook dat als je uw master wachtwoord kwijt bent, dat je enkel een password reset kan doen vanop een pc waar lastpass op staat ingelogd met je account ofwel moet je kiezen om de hele database te wissen en dan kan je opnieuw beginnen.