image

XS4ALL lanceert online wachtwoordmanager voor klanten

donderdag 7 maart 2019, 16:07 door Redactie, 29 reacties

Internetprovider XS4ALL heeft vandaag een online wachtwoordmanager voor klanten gelanceerd genaamd KEY. Het gaat om een programma van het Finse anti-virusbedrijf F-Secure. Via de wachtwoordmanager kunnen klanten hun gebruikersnamen, wachtwoorden en andere belangrijke data in de cloud bewaren.

"Alle informatie die in uw digitale kluis staat, is volledig versleuteld. Deze beveiliging bestaat uit een hoofdwachtwoord en één van uw apparaten", aldus XS4ALL. Het gaat dan bijvoorbeeld om een smartphone of laptop. Een aanvaller die alleen het hoofdwachtwoord heeft of alleen de smartphone of laptop kan zo geen toegang tot de opgeslagen inloggegevens en andere informatie krijgen.

De wachtwoordmanager controleert daarnaast of gebruikte wachtwoorden niet voor andere accounts worden hergebruikt. XS4ALL wijst naar onderzoek waaruit blijkt dat driekwart van de mensen gebruikmaakt van dezelfde wachtwoorden voor verschillende accounts. Daarnaast werkt slechts tien procent met een wachtwoordmanager. Door het aanbieden van KEY wil de provider de barrière om zelf zo'n app aan te schaffen wegnemen.

KEY is beschikbaar voor Windows, macOS en Android. Voor het hoofdwachtwoord adviseert XS4ALL het gebruik van een passphrase. "Dus een zin met spaties, leestekens en natuurlijk letters. Met elk extra teken vertraagt de kraaktijd 100 keer. Fijn idee", zo laat de provider weten.

Reacties (29)
07-03-2019, 16:15 door [Account Verwijderd]
Jammer dat KEY niet beschikbaar is voor iOS en Linux maar het is een mooi gebaar van XS4ALL!
07-03-2019, 16:26 door Anoniem
Goed initiatief, niet dat ik ooit mijn WW online zou zetten maar goed.
07-03-2019, 16:59 door Happy Linux User
Het jeukt altijd bij mij als er een tekst in staat zoals: "wachtwoorden en andere belangrijke data in de cloud bewaren"
Verder vind ik het wel netjes dat ze het aanbieden, maar dat cloud gebeuren......
Juist deze belangrijke data zou ik zeker niet in een cloud proppen, maar dat is mijn idee.
07-03-2019, 17:15 door Anoniem
Door Happy Linux User: Het jeukt altijd bij mij als er een tekst in staat zoals: "wachtwoorden en andere belangrijke data in de cloud bewaren"
Verder vind ik het wel netjes dat ze het aanbieden, maar dat cloud gebeuren......
Juist deze belangrijke data zou ik zeker niet in een cloud proppen, maar dat is mijn idee.
Als de wachtwoorden versleuteld zijn en de wachtwoordmanager veilig geïmplementeerd is, dan is het in principe behoorlijk veilig. Lastpass doet het bijvoorbeeld ook op deze manier, en da's een behoorlijk grote jongen.

Bij dit soort applicaties zijn de ontwikkelaars en beheerders zich er heel goed van bewust dat ze wachtwoorden beheren, en één groot datalek voldoende kan zijn om ze permanent buiten bedrijf te stellen. Dus ik heb er vertrouwen in dat ze alles op alles stellen om dat veilig te houden.
07-03-2019, 17:43 door Anoniem
Door Happy Linux User: Het jeukt altijd bij mij als er een tekst in staat zoals: "wachtwoorden en andere belangrijke data in de cloud bewaren"
Juist deze belangrijke data zou ik zeker niet in een cloud proppen, maar dat is mijn idee.
Exact. Die paar belangrijke wachtwoorden kun je echt wel zelf onthouden. Bij de rest vul je willekeurig iets in, laat je door de browser (lees: Firefox) zelf lokaal onthouden. Raak je ze toch kwijt, vaak zijn ze per e-mail (dit is nu dus zo'n typisch belangrijk wachtwoord ;-)) op te vragen.

En ja dit zegt iemand die in 'bewaarde berichten' bij Telegram enkele wachtwoorden 'opgeslagen' heeft. Die kan die Rus toch niet lezen ;-).
07-03-2019, 19:41 door Anoniem
Ik ben altijd bang voor vendor lock-in bij dit soort acties. Zonder XS4All + F-Secure kan je niet meer bij je accounts (tenzij je die uit de wachtwoordmanager kan exporteren naar een universeel formaat).

F-Secure heb ik een tijdje gebruikt in de tijd van Windows Vista. Maar de jaarlijkse upgrade was altijd gelazer en hopen dat alles weer zou gaan werken na de upgrade. Ook had ik soms wel false positives. Deze heb ik nog nooit gehad met Windows Defender onder Windows 10.

Bij een false positive moet je altijd weer uploaden naar Virustotal en gokken of het echt een virus is of niet. En F-Secure gebruikt al jaren niet meer zijn eigen firewall, dus daarvoor hoef je het ook niet te installeren. (Ik was gek van de Kerio Personal Firewall in het verre verleden, maar die bestaat ook niet meer tegenwoordig).
07-03-2019, 19:46 door [Account Verwijderd]
Daarom blijf ik fan van KeePassXC, Open Source, Multi platform en ook portable versies beschikbaar. Password file kun je ook overal zetten als het master password maar zo sterk is dat brute force kraken jaren gaat duren.
07-03-2019, 21:21 door Anoniem
Daarom blijf ik fan van KeePassXC, Open Source, Multi platform en ook portable versies beschikbaar. Password file kun je ook overal zetten als het master password maar zo sterk is dat brute force kraken jaren gaat duren.
Je kan er zelfs voor kiezen om die password-file niet in de cloud te zetten en alleen op 1 of meer (want backup en zo) eigen devices.

Het is voor sommige anderen natuurlijk best comfortabel om 't ding door iemand anders te laten beheren, zoals XS4ALL zolang ze nog bestaan, maar dat is je eigen keuze.
07-03-2019, 23:55 door [Account Verwijderd]
Door Anoniem: Goed initiatief, niet dat ik ooit mijn WW online zou zetten maar goed.

Dat zit veiliger in de cloud als in jou kop/op jou Post-it®.
08-03-2019, 06:25 door Anoniem
Door Rexodus:
Door Anoniem: Goed initiatief, niet dat ik ooit mijn WW online zou zetten maar goed.

Dat zit veiliger in de cloud als in jou kop/op jou Post-it®.

Het is jouw hoofd en jouw Post-It.

Bedankt voor je opmerking, je snapt dat ik daar anders over denk,
08-03-2019, 07:36 door Anoniem
Belangrijke data staat niet in een cloud. Punt.
08-03-2019, 08:25 door Happy Linux User
Door Anoniem:
Door Happy Linux User: Het jeukt altijd bij mij als er een tekst in staat zoals: "wachtwoorden en andere belangrijke data in de cloud bewaren"
Verder vind ik het wel netjes dat ze het aanbieden, maar dat cloud gebeuren......
Juist deze belangrijke data zou ik zeker niet in een cloud proppen, maar dat is mijn idee.
Als de wachtwoorden versleuteld zijn en de wachtwoordmanager veilig geïmplementeerd is, dan is het in principe behoorlijk veilig. Lastpass doet het bijvoorbeeld ook op deze manier, en da's een behoorlijk grote jongen.

Bij dit soort applicaties zijn de ontwikkelaars en beheerders zich er heel goed van bewust dat ze wachtwoorden beheren, en één groot datalek voldoende kan zijn om ze permanent buiten bedrijf te stellen. Dus ik heb er vertrouwen in dat ze alles op alles stellen om dat veilig te houden.

Mee eens, maar dit is nu precies ook de rede, dat ik niet voor Lastpass zou kiezen.
Het gaat eigenlijk altijd goed, tot dat.........
https://radar.avrotros.nl/nieuws/item/ernstig-lek-gevonden-in-wachtwoordmanager-lastpass/
08-03-2019, 09:42 door Anoniem
Wat is er mis met keepass lokaal? Ik kan me herinneren dat er zo een wachtwoord manager dienst hier verschillende keren negatief in het nieuws was.

Lezen we over een jaar, ja foutje in de programmatuur, alle wachtwoorden zijn gelekt.
08-03-2019, 11:19 door Anoniem
Door Anoniem: Wat is er mis met keepass lokaal? Ik kan me herinneren dat er zo een wachtwoord manager dienst hier verschillende keren negatief in het nieuws was.

Lezen we over een jaar, ja foutje in de programmatuur, alle wachtwoorden zijn gelekt.

Availability garanties van 'lokaal' zijn bij erg veel mensen heel marginaal.

opslag gaat kapot, wordt per ongeluk overschreven (of ge-ransom-wared) , en dan ben je opeens veel accounts kwijt.
(nog erger als je geen bruikbare reset opties hebt, of ook onmogelijk moeilijke reset-vragen hebt ingesteld waarvan de antwoorden ook in je lokale password opslag stonden).

Nu zitten hier wel een paar supernerds die 'lokaal' wel hoge availability hebben (en off-site backup van de file, en regelmatig updaten) en zich ook nog realiseren _dat_ het verliies van de lokale file verlies van veel accounts kan betekenen, maar de gemiddelde eindgebruiker heeft dat niet.
08-03-2019, 12:06 door Anoniem
Door Anoniem:
Daarom blijf ik fan van KeePassXC, Open Source, Multi platform en ook portable versies beschikbaar. Password file kun je ook overal zetten als het master password maar zo sterk is dat brute force kraken jaren gaat duren.
Je kan er zelfs voor kiezen om die password-file niet in de cloud te zetten en alleen op 1 of meer (want backup en zo) eigen devices.

Ik gebruik Safe in Cloud. Niet open source, maar je kunt zelf kiezen waar je je bestand opslaat. Dat kan bij de grote jongens, zoals Microsoft, Dropbox en Google. Het kan echter ook op iedere WebDav omgeving. Die kun je dus zelf opzetten en dan synchroniseert hij dus met je bestand op je eigen omgeving.

Alleen jammer dat het (nog) niet voor Linux beschikbaar is.
Het biedt wel diverse im- en export mogelijkheden. Daarnaast kun je zelfs afzonderlijke "kaarten" delen met anderen. Doe dat dan natuurlijk wel via een chat app met end-to-end versleuteling, zoals Signal.
Hij biedt mogelijkheden om veel meer op te slaan dan alleen username en wachtwoord. Ik sla er bijvoorbeeld ook de key-files op voor SSH verbindingen. Daarnaast geeft hij een indicatie van de sterkte van wachtwoorden. Want er zijn nog steeds partijen die zelf je wachtwoord genereren. :(
Net als hiervoor opgemerkt, meldt hij het als je een wachtwoord hergebruikt. Hij heeft ook een timer, zodat je gewaarschuwd wordt als een wachtwoord (of iets anders, zoals je paspoort) verloopt.

Ik heb bewust gekozen voor de Pro variant. Voor zoiets heb ik zeker geld over.

Oja, wachtwoorden in de browser. Niet zo veilig. Ik heb bij een aantal websites wel een wachtwoord op laten slaan door mijn browser, maar dat is dan een onjuist wachtwoord. Vooral handig voor sites die je melden als iemand anders probeert in te loggen.

Peter
08-03-2019, 13:04 door Anoniem
Door Happy Linux User: Het jeukt altijd bij mij als er een tekst in staat zoals: "wachtwoorden en andere belangrijke data in de cloud bewaren"
Verder vind ik het wel netjes dat ze het aanbieden, maar dat cloud gebeuren......
Juist deze belangrijke data zou ik zeker niet in een cloud proppen, maar dat is mijn idee.

Denk dat je dit moet zien voor een gemiddelde gebruiker die passworden in tekst files op zijn computer lokaal opslaat. Je kan je dan natuurlijk afvragen of passworden in een goed ontwikkelde en beheerde cloud omgeving veiliger is dan het op een gemiddelde consumenten PC neerzetten....
Ik heb het natuurlijk niet over een goede IT'er die weet hoe hij dit zelf moet doen.
08-03-2019, 14:35 door Anoniem
Stopt XS4ALL niet??
09-03-2019, 11:52 door Anoniem
"De wachtwoordmanager controleert daarnaast of gebruikte wachtwoorden niet voor andere accounts worden hergebruikt. "

Hoe controleert Xs4all of een door de gebruiker opgegeven password, dat wordt gehashed en normaal gesproken niet kan worden herleid naar 't leesbare wachtwoord, al elders gebruikt wordt door de gebruiker?

A.h.v. de gegeneerde unieke hashes met gebruik van salts valt zoiets normaal gesproken niet te zien. Dit is alleen mogelijk als Xs4all de door de user ingevoerde leesbare passwords ergens bijhoudt, opslaat en daar controles op uitvoert alvorens deze te hashen en te versleutelen of zelf hiervoor het (of een) master password gebruikt.
09-03-2019, 13:25 door Anoniem
Door Anoniem: Stopt XS4ALL niet??

Nee hoor, KPN stopt met de naam XS4ALL. De toekomst zal uitwijzen hoe het in de praktijk eruit gaat zien.
09-03-2019, 14:11 door Anoniem
Ik gebruik overal welkom01 voor. Simpel en hoef ik niet te te onthouden.
09-03-2019, 15:05 door Anoniem
Door Anoniem: Belangrijke data staat niet in een cloud. Punt.
Als je die data netjes encrypt en met een sterke sleutel beveiligd, kan het wel.
Zolang je de sleutel maar niet in de cloud hebt.

Maar waar laat je de sleutel dan? Ow ja, op die post-it op je monitor :-)
09-03-2019, 18:37 door [Account Verwijderd] - Bijgewerkt: 09-03-2019, 18:38
Door Anoniem: Stopt XS4ALL niet??

Inderdaad. Ze worden gaan wel verder onder moeders vleugels (KPN) maar je moet toch een beetje oppassen voor vendor lock-in bij dit soort oplossingen. Persoonlijk wil ik zoiets altijd in eigen beheer houden (zoals [@Manjaro Linux met Keepass). Kijk in ieder geval of XS4ALL een goede export mogelijkheid - naar een standaard dataformaat - biedt voor de opgeslagen wachtwoorden. Mocht je op iets anders willen overstappen dan komt dat zeker van pas.
09-03-2019, 18:47 door softwaregeek - Bijgewerkt: 09-03-2019, 18:48
Door Manjaro Linux: Jammer dat KEY niet beschikbaar is voor iOS en Linux maar het is een mooi gebaar van XS4ALL!
XS4ALL KEY ondersteunt naast Windows MacOS en Android.
Waarom is XS4ALL KEY niet beschikbaar op iPhone en iPad?

Momenteel onderzoeken we de mogelijkheid om XS4ALL KEY beschikbaar te maken op iPhone en iPad. We plaatsen op deze pagina een update zodra er nieuws is.

https://www.xs4all.nl/service/diensten/beveiliging-en-veiligheid/xs4all-key/installeren-1.htm
09-03-2019, 22:46 door [Account Verwijderd]
Door Anoniem: En ja dit zegt iemand die in 'bewaarde berichten' bij Telegram enkele wachtwoorden 'opgeslagen' heeft. Die kan die Rus toch niet lezen ;-).

Google translate... ;-)
10-03-2019, 22:27 door Anoniem
Door Anoniem: "De wachtwoordmanager controleert daarnaast of gebruikte wachtwoorden niet voor andere accounts worden hergebruikt. "

Hoe controleert Xs4all of een door de gebruiker opgegeven password, dat wordt gehashed en normaal gesproken niet kan worden herleid naar 't leesbare wachtwoord, al elders gebruikt wordt door de gebruiker?

A.h.v. de gegeneerde unieke hashes met gebruik van salts valt zoiets normaal gesproken niet te zien. Dit is alleen mogelijk als Xs4all de door de user ingevoerde leesbare passwords ergens bijhoudt, opslaat en daar controles op uitvoert alvorens deze te hashen en te versleutelen of zelf hiervoor het (of een) master password gebruikt.

Huh ?

Dit gaat om het bewaren van , noodzakelijkerwijs, plaintext passwords in een password manager.

Je hebt er niks aan om die one-way te hashen, want dan kun je ze er niet uithalen om in te loggen op de accounts waarvan je het password bewaart in de password manager.

Het heeft niks te maken met het inloggen bij xs4all zelf.
11-03-2019, 10:31 door Korund
Daar zit ik als trouwe xs4all-klant met mijn Linux-installatie en iPhone. Moet ik met mijn dure abonnement de leuke presentjes van mede-klanten gaan betalen.
11-03-2019, 12:34 door hanspaint
Door Happy Linux User: Het jeukt altijd bij mij als er een tekst in staat zoals: "wachtwoorden en andere belangrijke data in de cloud bewaren"
Verder vind ik het wel netjes dat ze het aanbieden, maar dat cloud gebeuren......
Juist deze belangrijke data zou ik zeker niet in een cloud proppen, maar dat is mijn idee.

Tja moet je dan ook niet doen. Data in de cloud is niet minder veilig dan je data in je locale netwerk connected met internet.
11-03-2019, 13:44 door Anoniem
Door Korund: Daar zit ik als trouwe xs4all-klant met mijn Linux-installatie en iPhone. Moet ik met mijn dure abonnement de leuke presentjes van mede-klanten gaan betalen.

Je bent natuurlijk ook zo'n supernerd die de helpdesk helemaal nooit nodig heeft, en daar betaal je ook mee voor al die mensen die wel aan het handje gehouden moeten worden.

En ook als je je thuisserver gebruikt als shellserver betaal je toch mee aan de shellservers .
13-03-2019, 07:57 door Anoniem
Door Anoniem:
Door Anoniem: "De wachtwoordmanager controleert daarnaast of gebruikte wachtwoorden niet voor andere accounts worden hergebruikt. "

Hoe controleert Xs4all of een door de gebruiker opgegeven password, dat wordt gehashed en normaal gesproken niet kan worden herleid naar 't leesbare wachtwoord, al elders gebruikt wordt door de gebruiker?

A.h.v. de gegeneerde unieke hashes met gebruik van salts valt zoiets normaal gesproken niet te zien. Dit is alleen mogelijk als Xs4all de door de user ingevoerde leesbare passwords ergens bijhoudt, opslaat en daar controles op uitvoert alvorens deze te hashen en te versleutelen of zelf hiervoor het (of een) master password gebruikt.

Huh ?

Dit gaat om het bewaren van , noodzakelijkerwijs, plaintext passwords in een password manager.

Je hebt er niks aan om die one-way te hashen, want dan kun je ze er niet uithalen om in te loggen op de accounts waarvan je het password bewaart in de password manager.

Het heeft niks te maken met het inloggen bij xs4all zelf.


Nevermind. Spontane premature brain fart ;-)

Werd getriggerd door de 'al elders gebruikt wordt door de gebruiker' en ging daar op voortboorduren en dacht 'huh?'

Besef dat het hier feitelijk gewoon gaat om een online kluis gaat zoals keepass o.i.d. Er zal wel een stukje code in zitten die, na decryptie met het master password, gewoon de leesbare passwords met elkaar vergelijkt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.