Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Opensource passwordmanager met opensource two-factor authenticatie

Reageer met quote
25-03-2021, 19:31 door Anoniem, 24 reacties
Sommige password manager zijn opensource maar werken dan met yubikey als two-factor authenticatie.
Kennen jullie een opensource passwordmanager dat werkt met een opensource two-factor authenticatie of waarbij de two-factor authenticatie gratis is?
Externe programmeurs controleren
Microsoft Spyware
Reacties (24)
Reageer met quote
25-03-2021, 23:57 door Anoniem
Het is inderdaad erg armzalig dat zelfs Keepass (en die andere) van Yubi OTP geen gebruik maken maar alleen de HID functie nuttigen.

Hetzelfde geldt zelfs voor een serieus besturingssysteem als Qubes. Of OpenBSD. Wil je OTP moet je weer rommelen met modules en zelf scripts wijzigen.

Heel heel achtergesteld dit.
Reageer met quote
26-03-2021, 07:17 door Anoniem
je wilt het gratis, en kwalitatief heel goed, en ook snel. maar je mag er daar maar 2 van kiezen.
Reageer met quote
26-03-2021, 08:19 door Anoniem
https://keepassxc.org/
Al moet ik wel zeggen dat ik de Yubikey challenge/response functionaliteit nooit heb gebruikt.
Reageer met quote
26-03-2021, 10:36 door Anoniem
Door Anoniem: Kennen jullie een opensource passwordmanager dat werkt met een opensource two-factor authenticatie ... ?

Die van KeePassXC.org in combinatie met een FIDO2 USB-token van NitroKey.com of OnlyKey.io

KeePassXC.org Weimar, Duitsland
NitroKey.com Berlijn, Duitsland
OnlyKey.io North Carolina, USA
Reageer met quote
26-03-2021, 11:09 door Anoniem
Je hebt het eerder over open standaards dan open source als het gaat om 2FA-oplossingen, al zijn er open source-implementaties van sommige standaards. En hardware-tokens zijn nooit gratis, die kosten geld om te maken.

Door Anoniem: https://keepassxc.org/
Al moet ik wel zeggen dat ik de Yubikey challenge/response functionaliteit nooit heb gebruikt.
Lees vooral de FAQs. De volgende vragen en de antwoorden erop zijn denk ik vrij verhelderend over wat wel en niet mogelijk is:
https://keepassxc.org/docs/#faq-yubikey-2fa
https://keepassxc.org/docs/#faq-yubikey-why-hmac-sha1
https://keepassxc.org/docs/#faq-yubikey-otp
Reageer met quote
26-03-2021, 11:50 door Anoniem
Ik wil dus eentje zonder een USB stick (want die moet je aanschaffen). Maar eentje die bijvoorbeeld met gratis te installeren app werkt zoals de duo app bijvoorbeeld.
Yubikey token moet je aanschaffen.
Reageer met quote
26-03-2021, 12:42 door Anoniem
Door Anoniem: Yubikey token moet je aanschaffen.

Het alternatief is dat je zelf met de losse elektronica componenten, een microsoldeerbout en het flashen van de firmware voor het benodigde IC aan de slag gaat. Veel succes! Je bent nooit te oud om iets nieuws te leren :)
Reageer met quote
26-03-2021, 14:55 door Erik van Straten - Bijgewerkt: 26-03-2021, 15:02
Zoals min of meer blijkt uit de KeepassXC FAQ's genoemd door Anoniem 11:09 is het de vraag of je veel bereikt met 2FA. Vooral of het risico dat je niet meer bij jouw wachtwoorden kunt na verlies van één van de factoren, niet groter is dan het beoogde voordeel.

Immers, uiteindelijk gaat het om een encrypted database die is versleuteld met één statische sleutel (je zou natuurlijk 2x kunnen versleutelen met twee verschillende sleutels, maar waarschijnlijk kun je net zo goed een wachtwoord combineren met een ander geheim en dat samen gebruiken als input van een key derivation function - en met de resulterende sleutel 1x de database versleutelen).

Als je niet telkens een lang wachtwoord wilt invoeren, zou je een USB stick kunnen gebruiken die een keyboard emuleert en een (eerder zelf gekozen) karakterreeks "uitspuugt" zodra je op een knopje op die stick drukt. Als je het daarmee getypte wachtwoord aanvult (handmatig op je reguliere keyboard) met een aantal (bijv. 4) karakters, heb je een soort 2FA waarbij je geen lang+ingewikkeld wachtwoord hoeft in te tikken en te onthouden.

Ik bedenk me net dat zo'n USB-stick ook handig kan zijn bij het invoeren van een deel van een lang pre-boot FDE (Full Disc Encryption) wachtwoord. Maar dan moet je die stick natuurlijk nooit bij de betreffende notebook bewaren als je die niet gebruikt...
Reageer met quote
26-03-2021, 15:22 door Anoniem
Google stuurt bijvoorbeeld naar je telefoon een melding wanneer je op je pc probeert in te loggen op je gmail na het invoeren van je wachtwoord.

Zon form van two factor auhtenticatie zoek ik.

Of dat je een SMS krijgt met een code met je mobiele nummer voor het gebruik van de password manager.
Reageer met quote
26-03-2021, 15:30 door Anoniem
Zou je om 2FA te implementeren ook een "keyfile" kunnen plaatsen op een extern medium (USB-stick, SD-kaart) dat dan als "tweede factor" kan dienen?
https://keepassxc.org/docs/#faq-keyfile-howto
Go to Database -> Database Settings -> Security.
There you click on Add Key File and then on Generate. Select the location (*) where to save the key file
(* toegevoegd): kan je daar ook een USB-stick of SD kaart aanwijzen als opslag locatie? En vervolgens deze apart bewaren? Uiteraard met een tweede exemplaar als backup.
Reageer met quote
26-03-2021, 15:45 door Anoniem
Door Anoniem: https://keepassxc.org/
Al moet ik wel zeggen dat ik de Yubikey challenge/response functionaliteit nooit heb gebruikt.
Ik kan je vertellen dat Keepass2 goed werkt met een Yubikey: password store alleen te openen met je sleutel in je PC

Q
Reageer met quote
26-03-2021, 16:03 door Anoniem
Ik raad iedereen aan een xID chip van Dangerous Things.

En nee ik heb er geen aandelen in.


Benjamin F.
Reageer met quote
26-03-2021, 16:03 door Anoniem
Door Anoniem: Het is inderdaad erg armzalig dat zelfs Keepass

Wanneer had jij voor het laatst een donatie gedaan aan de armzalige ontwikkelaar?
Reageer met quote
26-03-2021, 17:06 door Anoniem
bitwarden
Reageer met quote
26-03-2021, 17:45 door walmare
Voor al je domme internet accounts KeePass of Bitwarden.
Voor accounts die je echt niet mag verliezen geen password manager maar ssh keys (software token met passphrase )en bv yubikey
Reageer met quote
26-03-2021, 21:23 door Anoniem
Door Erik van Straten: Zoals min of meer blijkt uit de KeepassXC FAQ's genoemd door Anoniem 11:09 is het de vraag of je veel bereikt met 2FA. Vooral of het risico dat je niet meer bij jouw wachtwoorden kunt na verlies van één van de factoren, niet groter is dan het beoogde voordeel.

Immers, uiteindelijk gaat het om een encrypted database die is versleuteld met één statische sleutel (je zou natuurlijk 2x kunnen versleutelen met twee verschillende sleutels, maar waarschijnlijk kun je net zo goed een wachtwoord combineren met een ander geheim en dat samen gebruiken als input van een key derivation function - en met de resulterende sleutel 1x de database versleutelen).

Als je niet telkens een lang wachtwoord wilt invoeren, zou je een USB stick kunnen gebruiken die een keyboard emuleert en een (eerder zelf gekozen) karakterreeks "uitspuugt" zodra je op een knopje op die stick drukt. Als je het daarmee getypte wachtwoord aanvult (handmatig op je reguliere keyboard) met een aantal (bijv. 4) karakters, heb je een soort 2FA waarbij je geen lang+ingewikkeld wachtwoord hoeft in te tikken en te onthouden.

Ik bedenk me net dat zo'n USB-stick ook handig kan zijn bij het invoeren van een deel van een lang pre-boot FDE (Full Disc Encryption) wachtwoord. Maar dan moet je die stick natuurlijk nooit bij de betreffende notebook bewaren als je die niet gebruikt...

Yubis gebruiken in statistische mode is zonde van het geld.

Dan is een Rubber Ducky nog goedkoper.

Of een 2 Euro memdisk van de Action waar je effe copy paste doet van een bestandje, plus je eigen aanvulling.

Net zo veilig.

OTP all the way... en veel OSS software heeft daar een serieus compatibility probleem mee inclusief pro Linux online diensten.
Reageer met quote
26-03-2021, 21:47 door Anoniem
Door Anoniem: Het is inderdaad erg armzalig dat zelfs Keepass (en die andere) van Yubi OTP geen gebruik maken maar alleen de HID functie nuttigen.

Hetzelfde geldt zelfs voor een serieus besturingssysteem als Qubes. Of OpenBSD. Wil je OTP moet je weer rommelen met modules en zelf scripts wijzigen.

Heel heel achtergesteld dit.
Bouw dan!
Reageer met quote
26-03-2021, 21:47 door Anoniem
Misschien heb ik de vraag niet goed begrepen, het staat er in ieder geval niet met zoveel woorden. Maar je kan natuurlijk (mocht je een smartphone hebben) ook een app gebruiken voor de 2fa. Bijvoorbeeld Authy.
Reageer met quote
27-03-2021, 08:07 door Toje Fos - Bijgewerkt: 27-03-2021, 08:09
Door Anoniem: Sommige password manager zijn opensource maar werken dan met yubikey als two-factor authenticatie.
Kennen jullie een opensource passwordmanager dat werkt met een opensource two-factor authenticatie of waarbij de two-factor authenticatie gratis is?

Multifactorauthenticatie lijkt me alleen zinvol voor het op afstand verifiëren van identiteit. Waarom zou je dat willen voor een wachtwoordbestand dat je in eigen beheer op je telefoon of computer hebt staan? Je weet immers wie je bent en waar je bent.
Reageer met quote
27-03-2021, 11:03 door Anoniem
Ikzelf gebruik al enige tijd Bitwarden als wachtwoord manager en sinds kort Authy als twee-staps-authenticatie.Gekozen voor Authy vanwege het mutli-device & desktop app.

Mijn stappenplan als ik ergens een account aan wil/moet maken:

1) Gebruik van standaardwachtwoord
2) Controleer of MFA mogelijk is, zo ja deze gelijk instellen en testen of het werkt
3) Backup toegang mogelijkheden controleren als ik onverhoopt geen wachtwoord meer heb
4) Standaardwachtwoord aanpassen naar een door Bitwarden gegeneerde wachtwoord

Waarom eerst een simpel standaardwachtwoord en niet gelijk een gegeneerd wachtwoord? Ik heb een account verloren doordat er iets niet goed ging met opslaan van wachtwoord in wachtwoordbeheer tool. En heb ook geen enkele mogelijkheid om toegang te verkrijgen.

Bottomline: Bitwarden & Authy!

Groetjes
B.
Reageer met quote
27-03-2021, 11:37 door Erik van Straten - Bijgewerkt: 27-03-2021, 11:53
Door Anoniem:
Door Erik van Straten: Als je niet telkens een lang wachtwoord wilt invoeren, zou je een USB stick kunnen gebruiken die een keyboard emuleert en een (eerder zelf gekozen) karakterreeks "uitspuugt" zodra je op een knopje op die stick drukt. Als je het daarmee getypte wachtwoord aanvult (handmatig op je reguliere keyboard) met een aantal (bijv. 4) karakters, heb je een soort 2FA waarbij je geen lang+ingewikkeld wachtwoord hoeft in te tikken en te onthouden.

Yubis gebruiken in statistische mode is zonde van het geld.

Dan is een Rubber Ducky nog goedkoper.
Een Teensy is nog goedkoper (en je kunt er nog veel meer mee doen: https://www.pjrc.com/teensy/projects.html).

Door Anoniem: Of een 2 Euro memdisk van de Action waar je effe copy paste doet van een bestandje, plus je eigen aanvulling.

Net zo veilig.
Anders. Tenzij je een geheugenstick NTFS formatteert en zo'n keyfile "verstopt" in geneste subdirs die niemand mag lezen (een beetje vergelijkbaar met C:\Windows\Temp\) en je het exacte pad moet kennen om de file te kunnen openen [*], kan alle software op jouw PC die keyfile uitlezen.

[*] Security by obscurity, zie bijv. https://isc.sans.edu/forums/diary/Discovering+contents+of+folders+in+Windows+without+permissions/25816/.

Aan de andere kant kan een keylogger alle toetsaanslagen meekijken, ook uit een geëmuleerd keyboard.

Een voordeel van beide is het tegengaan van schoudersurfers.

Door Anoniem: OTP all the way... en veel OSS software heeft daar een serieus compatibility probleem mee inclusief pro Linux online diensten.
Ik heb geen idee wat je hiermee bedoelt. Mocht je TOTP bedoelen: dat is zinloos (voor het beveiligen van een lokale wachtwoorddatabase).

Toelichting: stel je gebruikt KeePass/KeePassXC op een PC (Linux/MacOS/Windows) en zou Authy op jouw smartphone willen gebruiken. De software op jouw PC genereert een random "shared secret" en stopt dat lange getal in een QR-code. Na het scannen van die QR-code met Authy staat dat "shared secret" op zowel jouw PC als jouw smartphone. Dat "shared secret" wordt door zowel jouw PC als jouw smartphone met de actuele datum en tijd verhaspeld waarna het resultaat wordt ingekort tot een 6-cijferig getal. Als jij het 6-cijferige getal uit Authy invoert op jouw PC (en de klokken voldoende gelijklopen) "weet" de software op jouw PC dat de invoerder van die 6 cijfers over een device beschikt dat het "shared secret" kent.

Twee problemen:
1) Hoe koppel je dat laatste gegeven aan een statisch wachtwoord voor een versleutelde database?
2) Stel dat 1 zou kunnen: hoe voorkom je dat een aanvaller, naast de versleutelde database, ook het shared secret van jouw PC steelt?

Door Toje Fos: Multifactorauthenticatie lijkt me alleen zinvol voor het op afstand verifiëren van identiteit.
Nee hoor, denk aan een deurslot dat de combinatie van een pincode, pasje en vingerafdruk vereist. TOTP is wel bedoeld voor authenticatie op afstand, maar er is meer MFA dan TOTP.

Door Toje Fos: Waarom zou je dat willen voor een wachtwoordbestand dat je in eigen beheer op je telefoon of computer hebt staan? Je weet immers wie je bent en waar je bent.
Volgens die laatste redenering zou je ook geen wachtwoord in hoeven te voeren.

De reden dat je dat wel doet is niet om aan te tonen dat jij geautoriseerd bent om dat bestand te openen (want dat weet je wel), maar om te voorkomen dat anderen dat kunnen (die op de een of andere wijze in het bezit van die database zijn gekomen).

En dus kan MFA het aanvallers lastiger maken. Een probleem hierbij is dat een statisch versleuteld bestand geen dynamische protocollen als TOTP ondersteunt, maar dat één soort MFA niet werkt wil niet zeggen dat je geen andere oplossingen kunt bedenken (om het aanvallers lastiger te maken).
Reageer met quote
29-03-2021, 10:53 door Anoniem
https://gitlab.com/hsleisink/password
Voor de two-factor authenticatie kan je gebruik maken van willekeurige app die RFC 6238 ondersteund.
Reageer met quote
03-04-2021, 09:37 door Toje Fos
Door Erik van Straten:
Door Toje Fos: Multifactorauthenticatie lijkt me alleen zinvol voor het op afstand verifiëren van identiteit.
Nee hoor, denk aan een deurslot dat de combinatie van een pincode, pasje en vingerafdruk vereist. TOTP is wel bedoeld voor authenticatie op afstand, maar er is meer MFA dan TOTP.

Zoals je stelt zijn er inderdaad toepassingen waar dit wel zinvol is. Zoals de bankmedewerker die tijdens een gesprek even wegloopt en het pasje (token) uit de computer trekt.

Door Erik van Straten:
Door Toje Fos: Waarom zou je dat willen voor een wachtwoordbestand dat je in eigen beheer op je telefoon of computer hebt staan? Je weet immers wie je bent en waar je bent.
Volgens die laatste redenering zou je ook geen wachtwoord in hoeven te voeren.

Voor je eigen systeem waar jij alleen toegang toe hebt en er geen mogelijkheid voor remote toegang is? Nee, inderdaad niet. Totdat je het onbeheerd achter laat en er wel toegang van anderen mogelijk is. Dan weer wel.
Reageer met quote
03-04-2021, 20:31 door Anoniem
Gebruik wachtwoord EN key authenticatie, waarbij je de private key op een usb drive zet
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Verder
captcha
Nieuwe code
Preview Reageren
Zoeken
search
Vacature
Vacature

Security consultant

Weet jij alles van security, governance, risk en compliancy en weet je dit te vertalen naar gerichte oplossingen voor onze klanten? Begrijp jij als geen ander zowel de inhoudelijke kant, als de ‘organizational change’ kant van cybersecurity? Dan ben jij wellicht onze nieuwe security consultant!

Lees meer
Vacature
Vacature

Privacy Officer / CISO

Denk jij bij het lezen van artikelen in de media die het belang rondom privacy en informatiebeveiliging duiden, het hoeft toch helemaal niet zover te komen als je als organisatie je zaken op orde hebt? Dan zoeken wij jou!

Lees meer

Poll: Controle thuiswerker met behulp van monitoring software:

16 reacties
Aantal stemmen: 766
Vacature
Vacature

Functionaris Gegevensbescherming (FG)

Als FG ben je de onafhankelijke toezicht-houder op naleving van de Algemene Verordening Gegevensbescherming (AVG) binnen de gehele TU/e. Je houdt toezicht op de toepassing en naleving van de AVG door de universiteit op diverse domeinen: onderwijs, onderzoek, valorisatie en bedrijfsvoering.

Lees meer
Certified Secure LIVE Online training
Pleeg je handel in voorkennis als je doet alsof je voorkennis verkoopt op het dark web?
07-04-2021 door Arnoud Engelfriet

Juridische vraag: Ik las dat in de VS een meneer aangeklaagd wordt voor handel in voorkennis, omdat hij op het dark web ...

5 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter