oops...

Een van de beste password managers is nog steeds een papieren agenda...
Hoe veel ransomware/extractionware je ook hebt gedownload, die kunnen nog steeds geen fysiek papier downloaden. ;)

Misschien tijd om een robuuste externe wachtwoord manager te maken? (+backup mogelijkheden)

Goed idee, maak maar!

Automatisch 2FA codes vanuit je wachtwoordmanager laten invullen is niet slim, hierdoor is het geen 2FA meer... Dan komen beide stappen van verificatie vanuit je wachtwoordmanager: het wachtwoord en de TOTP... Het is beter om deze gescheiden van elkaar te houden.

Sterker nog: het is dan geen 2FA meer.

Wat een debielen van Protonmail...

Helemaal mee eens, toch sta ik dat bij ons binnen de organisatie wel toe. (1) Het maakt het makkelijker voor gebruikers om wel 2FA te gebruiken en niet alleen een wachtwoord dat bijv. te brute forcen is en (2) het voorkomt dat een gebruiker last krijgt van 2FA fatigue en gewoon weer toestemming geeft op de challenge die op de telefoon verschijnt en van een aanvaller blijkt te komen.

TOTP en SMS OTP zijn sowieso geen 2FA, want je vult, naast user-ID en wachtwoord, de code in op één website: als dat een phishing-website is ben je pwned. En meestal verstrek je die gegevens via één apparaat; als dat gehacked is ben je ook de Sjaak.

Bovendien krijg je daarna een 1FA session-cookie - wat niets anders is dan een shared secret.

2FA/MFA is opgeklopte onzin uitgevonden omdat mensen zwakke wachtwoorden kiezen en ook nog eens hergebruiken. Met ook nog eens een vergrote kans op account-lock-out doordat secrets ontoegankelijk raken en er geen veilige back-up van blijkt te bestaan die toegankelijk is voor de eigenaar en niemand anders.

proton komt in het vaarwater van keeppass.... en gezien de momentum van proton zullen ze vol over keeppass heen walsen..
dus moet je effe wat laten horen dat je nog bestaansrecht hebt en de nadruk leggen op de niet primaire zaken.

maar wellicht werkt het beter dan keeppass of nordpass.. gezien ik het toch gratis krijg als sponsor ga ik wel kijken wat protonpass te bieden heeft

Oke. Leuke uitdaging!

Ten minste is er een backup mogelijkheid nodig, versleuteling, misschien domeinverificatie?
En verschillende mogelijkheden voor wachtwoordtypes natuurlijk.
Vervoerbaar en bruikbaar, dus moet het waarschijnlijk als USB toetsenbord werken?

Wie wilt updates? Of zal ik een forumtopic maken als het me lukt?

Best simpel om een ESP32 als HID te laten draaien.
Interactie kan eventueel over bluetooth of wifi.
Met een display kan het ding eventueel ook MFA codes genereren.

Je post bedoel je?

Defineer "beste", want is maar op 1 locatie te gebruiken. Geen automatische back,

Echter 1 inbreker en je bent letterlijk alles kwijt, brand.... Inkt dat eventueel minder leesbaar is, opruimwoede van je vrouw.

Ben er aan zou ik willen melden.

Het is nog een slag heftiger dan dat: het is geen 2FA meer. ;-)

Check bitwarden heeft alles wat ik nodig heb/vind in een pw manager.

Zoals men met crypto wallets ook doet; hardware wallets, zoals de Nano Ledger X of de KeyPal.
Zodat telefoon/tablet/computer geen datadrager zijn.

Maar qua capaciteit dus meer iets als YubiKey HSM of de NitroKey HSM.

Ik denk niet dat proton een webplugin gaat leveren.

Het gaat niet over bitwarden

Een offline tablet met alleen LessPass, dat de wachtwoorden ook kan weergeven als streepjes- of qr-codes. Dat laaste is handig voor het foutloos met een laserpen of camera overbrengen van de wachtwoorden. KeePassXC met dezelfde extra functionaliteit op een offline tablet zou een goede tweede keuze zijn. Met offline in dit verband wordt air-gapped bedoeld.

https://www.lesspass.com

Met KeePassXC kan dit ook, maar de ontwikkelaars raden het zelf af, om deze reden.

Ik gebruik Proton voor email, maar ik blijf nog steeds KeePassXC en KeePassDX gebruiken voor mijn wachtwoorden. Offline voelt toch fijner dan al m'n wachtwoorden in de cloud.

ID Control Password management beschikt ook over al deze functies. Beetje mosterd na de maaltijd.

Ik snap ook niet dat mensen hun 2fa codes door hun password manager laten genereren. Als een aanvaller toegang tot de password manager krijgt kan de aanvaller overal bij. Bij mij is dit beperkt tot alle accoounts die gaan 2fa hebben, omdat ik die codes op me telefoon genereer. (Heb de password manager dus niet op mijn telefoon geinstalleerd.)

Het nadeel en daarmee ook risico van Password managers zal altijd zijn en blijven dat wachtwoorden opgeslagen worden. Ofwel op een offline device (die gestolen kan worden), danwel in the cloud (someone else's computer).
Ingeval van de Amerikaanse wachtwoord managers heb je dan nog het opgetelde risico van het ontbreken van een Privacy Shield. Data betekent dus dat de Amerikaanse overheid altijd via een backdoor bij je wachtwoorden kan als ze gerede twijfel hebben over je integriteit.

De best optie is dus om wachtwoorden NIET meer op te slaan, maar via een complexe formule telkens voor je te laten berekenen. Deze optie biedt het Nederlandse product MindYourPass. Daarnaast biedt het ook de mogelijkheid om het gebruik binnen je organisatie af te dwingen, én is het altijd gratis voor privé gebruik.

Juist... en alles binnen Europa is lid van de 14 ogenalliantie....waar je het ook zet.... Privacy op internet is een sprookje.

Ik heb ook wel een ideetje.
Bestaat uit:
* QR-Code Print Unit (apparaat wat je via USB rechtstreeks aan je printer hangt)
* De Print Unit kan allerlei soorten Password formaten printen, denk aan: "Tussen de 8 en 14 letter" (ja het bestaat), "Niet bepaalde leestekens gebruiken" etc. Liefst een stuk of 10 "formats" voor geprogrammeerd
* De QR-Code bevast het wachtwoord, maar versleuteld met een PIN code van 10 cijfers. De PIN geeft je in tijdens het printen. PIN/versleuteling werkt op zo'n manier dat ook de verkeerde PIN een wachtwoord opglevert.
* De QR-Codes worden op stickervellen geprint en hebben een volgnummer. Er worden altijd 2 stickers geprint met een identiek volgnummer zodat je weet dat die bij elkaar horen. Je kan ook een voorraadje QR-Codes aanmaken.
* Ook het volgnummer van je PIN wordt op de sticker geprint, zodat je weer welke PIN bij welke code hoort. En als je denkt dat er een PIN gelekt is, hoef je alleen die QR-Codes te vervangen.
* QR-Codes plak je dus in 2 boekjes (1 boekje als backup). Een wachtwoord of PIN wijzigen doe je door een nieuwe sticker over de oude heen te plakken.

Voor het scannen van de QR-code is er een toetsenbord emulater met camera en PIN-pad.
* Scan de QR-Code, type de PIN en de USB output tikt het wachtwoord op het scherm in.

Uit hun website wordt mij niet duidelijk hoe je het gegenereerde wachtwoord voor een enkele website kan wijzigen, bijvoorbeeld nadat die website gecompromitteerd is. Kan dit? Of zit je vast aan het gegenereerde wachtwoord? Of kan je het alleen wijzigen door iets te wijzigen dat voor het genereren van alle wachtwoorden gebruikt wordt en veranderen dan meteen al je wachtwoorden? Weet jij hoe dit zit?

Dat heet een kopieer apparaat. Niet vergeten je boekje er onder vandaan te halen!

Een account wachtwoord wijzingen bij gebruik van een stateless password manager...?


Ja, dat kan. Verhoog de Counter van de generator met +1 voor een nieuw wachtwoord.



LessPass is open source en is ook verkrijgbaar als een commmandline utility. Type lesspass --help voor de handleiding.

user@linux:~$ lesspass -L 32 -C 2 www.security.nl Anoniem
Master Password: *************************

Dat kan zeker!

Als gebruiker merk je praktisch vrij weinig verschil met het gebruik van een reguliere wachtwoordmanager, afgezien van het feit dat deze écht gebruiksvriendelijk is.
Op de achtergrond worden je wachtwoorden dus NIET opgeslagen , maar berekent op basis van een aantal factoren. Deze factoren (ieder gehashed met een salt) worden separaat van elkaar op verschillende servers gehashed en in de formule gestopt. Eén van de factoren is bijvoorbeeld het scannen van een QR code op je scherm m.b.v. de MindYourPass app op je telefoon. Deze verifieert of jij het bent door fingerprint of Face ID.

Als je het wachtwoord van een applicatie wil wijzigen, kun je dit gewoon doen door op "wachtwoord vergeten" te klikken en een nieuw wachtwoord aan te maken. In MindYourPass kun je dan ook een nieuw wachtwoord laten berekenen op basis van jouw factoren.

Wat mijn ervaring is, is dat het aanmaken en authentiseren van accounts (zowel op pc als op mobiel) vele malen makkelijker werkt dan via populaire andere wachtwoordmanagers zoals Dashlane, 1Password, Lastpass, Bitwarden, LogMeOnce en Keepass (dit zijn de wachtwoordmanagers die ik zelf gebruikt heb in het verleden).
Op basis van mijn ervaringen zou ik me niet meer voor kunnen stellen dat ik vanaf MindYourPass nog terug ga naar een 'reguliere' wachtwoordmanager.

Bekijk ook vooral de instructievideo's op hun website, deze geven wat meer inzicht in hoe de gebruikerservaring is.

Kennelijk verander je met die actie een van de factoren waaruit het wachtwoord wordt berekend.

Hoe je het gebruikt is niet waar mijn eerste vragen zitten, die gaan over hoe het eigenlijk is opgezet en waarom. Wat zijn die zes factoren die ze gebruiken? Als ze geen wachtwoorden opslaan maar wel gegevens waaruit die wachtwoorden worden berekend, is dat dan niet volledig equivalent aan het opslaan van wachtwoorden? In beide gevallen heb je iets dat is opgeslagen, een ontbrekend gegeven dat de gebruiker nog moet aanleveren en een algoritme dat uit dat alles wachtwoorden weet te destilleren. Een aanvaller moet hetzelfde soort dingen te pakken krijgen om daarmee aan de gang te kunnen. Wat maakt hun oplossing dan eigenlijk veiliger?

Hun MFA-everywhere roept ook dat soort vragen op. Is dat geen extra factor op de toegang tot MindYourPass zelf terwijl de applicatie zelf zonder extra factor toegankelijk blijft? Dan heeft een aanvaller die het gegenereerde wachtwoord heeft weten te bemachtigen die tweede factor niet meer nodig, maar dat was nou juist de toegevoegde waarde van 2FA/MFA. Of moet bij elke applicatie iets geïnstalleerd worden dat die MindYourPass-MFA afhandelt en toegang zonder tweede factor afschermt? Dan is het al wat minder MFA-everywhere, lijkt me, maar het zou verklaren waarom het alleen bij de zakelijke variant wordt genoemd als feature.

Ik neem aan dat ik hun whitepaper moet lezen om antwoorden op dat soort vragen te krijgen. Maar dat moet je per e-mail aanvragen, en ik weet niet of ik geïnteresseerd genoeg ben om mijn e-mailadres bij ze achter te laten, dat weet ik pas nadat ik dat whitepaper heb gelezen. Jammer dat ze er geen simpele download van hebben gemaakt.

Dit ging niet over hoe LessPass het regelt maar over hoe MindYourPass het regelt. Dat hoeft niet hetzelfde te zijn.

Nitpick: LessPass omschrijft zichzelf als een stateless password manager, maar voor die counter, de inlognaam en andere dingen wordt wel degelijk een profiel opgeslagen. Dat is niet stateless.

Voegt dat werkelijk wat toe? Je hebt iets dat opgeslagen is (profiel) en iets dat de gebruiker moet opgeven (master password), en daarmee zijn alle wachtwoorden te berekenen. Bij het aanvallen van bijvoorbeeld KeePassXC heeft een aanvaller ook iets nodig dat opgeslagen is (de wachtwoorddatabase) en iets dat de gebruiker moet opgeven (master password).

Zie je hoe sterk dat overeenkomt? Wat is dan precies de toegevoegde waarde van zoiets als LessPass?

Het klinkt vreselijk goed dat je wachtwoorden kan genereren zonder ze op te slaan, maar ik denk dat dat voordeel schijn is. Het gaat erom wat een aanvaller te pakken moet krijgen om over je wachtwoorden te kunnen beschikken. Als dat bij zowel KeePassXC als bij LessPass een bestand en een master password zijn zie ik niet in waarom LessPass een betere oplossing zou zijn dan KeePassXC.

Ik lees trouwens nu net dat LessPass een centrale database gebruikte waar individuele gebruikersprofielen onversleuteld in werden opgeslagen. Door het datalek bij LastPass besefte de maker hoe onveilig dat is, en LessPass gaat verder zonder die database:
https://blog.lesspass.com/2022-12-29/decommissioning-lesspass-database

Het gebruik van een online LessPass profiel was slechts optioneel. De ontwikkelaar heeft de online database met profielen, na het debacle bij de grote commerciële 'concurrent' LastPass, inderdaad om privacyredenen afgeschaft. LessPass heeft voor kleinschalig gebruik echter geen database nodig, zoals het oorspronkelijk ook de bedoeling was.

Dat belet je overigens niet om de profielen lokaal op een air-gapped device zelf te versleuten. Licentie: GNU GPLv3.

https://github.com/lesspass/lesspass


Er is geen backup nodig. Als een mobiel apparaat met LessPass wordt ontvreemd, of door brand in rook op gaat, dan is het hek niet meteen van de dam. Want alle 'verloren' wachtwoorden zijn opnieuw te genereren, aangenomen dat degene die daar belang bij heeft de logins, het hoofdwachtwoord plus de juiste parameters kent.

Een ander voordeel is dat het gedoe met synchroniseren, en moeten vertrouwen op een derde partij, overbodig is.

Sowieso een beetje dubieus om je diensten alleen aan te bieden als je klanten exclusief jouw uitvoerbare code op hun devices uitvoeren in de vorm van een app of bridge en geen enkele open standaard gebruikt.

Waarom zou je zo'n bedrijf al je wachtwoorden toevertrouwen?