Zie daar het probleem...
Lekker lokaal. Er gaat echt niemand bellen dat ik moet bewijzen nog in leven te zijn hoor.

Oef! Het is beter om je wachtwoordmanager niet online te gebruiken, als iets dat aantoont is het wel Lastpass met haar verleden aan lekkages...

A4tje....

....wekelijks verstopt op een andere plaats. Meer reactie heb ik niet op dat soort berichten. Maar ja àlles moet tegenwoordig ook bereikbaar zijn, en te doen zijn met het wandeltelefoontje, de snertphone. (ehh oempf, pardon: smartphone)

Noot: Elke dag ben ik weer blij dat ding zo'n 7 jaar geleden op het bureau van de HR-manager (vroeger heette dat heel gewoon personeelschef) heb achtergelaten bij mijn pensioennering. Thuis doe ik alles wat ik altijd heb gedaan met mijn desktop te samen met een gsm.
Zorgen voor morgen? Ik houd bij wat er mogelijkerwijze op mij af komt m.b.t. opgelegde afhankelijkheid. Tot dan? Geen denken aan dat ik een smartphone koop.

Tip voor je eigen password databases met KeePass:

1. Maak een database (.kdbx bestand) aan met een goed wachtwoord die je zal onthouden + Key. Hier komen je wachtwoorden in te staan.
2. Verplaats het kdbx bestand naar je NAS of een lokale server die je makkelijk met je devices kan benaderen.
3. Verplaats je key naar een of meerdere USB sticks. Zorg ervoor dat je deze nooit op dezelfde plek met je kdbx bestanden opslaat. Het doel is om deze gescheiden te houden, je plakt je sleutel namelijk ook niet aan je voordeur. Zorg er dus voor dat je een backup hebt van de key. Zoals een extra dichtgetapete USB die je bij familie of vrienden kan neerleggen waar duidelijk op staat dat die niet gebruikt dient te worden.
4. Gebruik de .kdbx bestanden op je NAS of server voor je wachtwoorden, dit is je master database die je andere devices ook kunnen benaderen. Zo blijft alles in sync.
5. Maak af en toe een kopie naar een losse USB, die je in het geval dat je NAS of server niet te benaderen is gebruikt kan worden. Het belangrijkste is dat je een kopie hebt waar al je wachtwoorden op staan voor recovery! Zo lang je een recovery kan doen met toegang tot je kdbx backups zit je goed.
6. Maak elke X dagen/weken automatisch een encrypted backup van je .kdbx bestanden naar een andere server in geval van een crash van je NAS/server of brand etc.

Het duurt even op het op te zetten, maar als het eenmaal staat dan heb je er geen omkijken meer aan.

7. Installeer een keepass compatible app op je telefoon en sync deze met je nas.

Superomslachtig en een veel te hoge drempel voor de meesten.

Je kunt gewoon met Vaultwarden je eigen Bitwarden server hosten op je NAS, Pi, of zelfs een VM op je thuis computer. Veilig met MFA en altijd toegankelijk, evt je toegang regelen via een VPN als Tailscale of een Cloudflare tunnel.
Veel makkelijker, wereldwijd toegankelijk en simpel te backuppen.

Ohnee het woordje cloud komt voor in een bericht, cloud bad.

Waar komen toch al die cloud profeten vandaan? En wat was ook alweer het voordeel om je gegevens te bewaren op andermans computer? Ik kan er geen bedenken namelijk. Behalve als je te lui bent je eigen data te beheren natuurlijk. Ik geloof oprecht dat dat de ENIGE rede is. Het gebrek aan wil om het zelf te doen. Het gebrek aan kennis om een Synology te bedienen. Het niet willen inlezen hoe een NAS werkt. Een consumer product dat is gemaakt voor gewone mensen. Daar moet je echt geen cursus Einstein voor volgen!

Geluk is dat niemand daar verder last van heeft. De gene die daar wel last van hebben, zijn de gene die denken dat je privé data door iemand anders beheerd moet worden. Mensen die zelf geen regie willen over hun leven. Dat is de enige rede dat alles in de cloud zit. Het zijn dan ook meest de "ik heb toch niets te verbergen" mensen die alle privé zaken op straat gooien. Dingen in de cloud opslaan en je rechtstreeks op straat gooien, is in mijn ogen een heel klein verschil. Ik snap dat dan ook totaal niet. Zeker niet nu er werkende alternatieven zijn als Nextcloud en Wireguard etc. Ja, dat is ook cloud. Maar dan van jezelf!

Zoals gewoonlijk moeten de goede bloeden onder de kwaden. Dat is hier ook het geval. Als iedereen wat meer zelfrespect had gehad, was die cloud er nooit gekomen. En nu doet men alsof het de normaalste zaak is.

DAT IS HET NIET!!!

De phisher moet haast wel een bekende zijn van het beoogde slachtoffer want (i) de phisher weet dat het slachtoffer LastPass gebruikt en (ii) de phisher kent het telefoonnummer van het slachtoffer. Punt (i) kan misschien door een hack van LastPass verklaard worden, maar slaat LastPass het telefoonnummer van zijn klanten op? Ik dacht het niet.

Andere Anoniem hier. Even wat termen die jij noemt die een veel te hoge drempel zijn voor de meeste mensen:
• Vaultwarden
• Bitwarden
• NAS
• Pi
• VM
• MFA
• VPN
• Tailscale
• Cloudflare
• tunnel
Weet je zeker dat wat jij aanbeveelt minder superomslachtig is?

Andere anoniem:
Cloud voor persoonlijke wachtwoorden is inderdaad heel slecht, hier is een geschiedenis van Lastpass-lekken op security.nl:

https://www.security.nl/posting/605559/DEA+vroeg+LastPass+om+toegang+tot+wachtwoorden+gebruiker

https://www.security.nl/posting/691912/Androidversie+wachtwoordmanager+LastPass+bevat+allerlei+trackers

https://www.security.nl/posting/736069/LastPass-gebruikers+doelwit+van+credential+stuffing-aanvallen

https://www.security.nl/posting/768263/Inbraak+bij+wachtwoordmanager+LastPass+via+systeem+van+ontwikkelaar

https://www.security.nl/posting/776294/LastPass+waarschuwt+gebruikers+voor+datalek+met+klantgegevens

https://www.security.nl/posting/778974/Versleutelde+wachtwoorden+LastPass-gebruikers+gestolen+uit+cloudomgeving

https://www.security.nl/posting/780296/LastPass+in+VS+aangeklaagd+wegens+diefstal+van+gevoelige+klantgegevens

https://www.security.nl/posting/782738/LastPass-eigenaar+GoTo+meldt+diefstal+van+back-ups+klanten

https://www.security.nl/posting/787398/LastPass%3A+diefstal+klantgegevens+mede+via+thuiscomputer+van+DevOps-engineer

https://www.security.nl/posting/788026/Grote+datadiefstal+bij+LastPass+mede+via+drie+jaar+oude+Plex-kwetsbaarheid

https://www.security.nl/posting/788843/VS+waarschuwt+voor+kritieke+Plex-kwetsbaarheid+gebruikt+bij+aanval+op+LastPass

https://www.security.nl/posting/809219/Experts+denken+dat+criminelen+gestolen+LastPass-kluizen+hebben+gekraakt

https://www.security.nl/posting/811551/Onderzoekers+hekelen+LastPass+over+datalek+en+veilige+instellingen

https://www.security.nl/posting/816560/Onderzoekers%3A+4%2C4+miljoen+dollar+gestolen+van+slachtoffers+LastPass-hack

https://www.security.nl/posting/837583/LastPass%3A+medewerker+doelwit+van+deepfake+audiogesprek+met+%27directeur%27

https://www.security.nl/posting/838449/LastPass+waarschuwt+gebruikers+voor+telefonische+phishingaanval

https://www.security.nl/posting/864570/LastPass+waarschuwt+voor+malafide+helpdesk+in+reviews+Chrome+Web+Store

Ik kan er heel veel bedenken; maar dat is in jou geval zeker voor dovemansoren. Een Synology is niet heiligmakend; sterker nog, het is een SPOF.


Nee, jij hebt een intrinsieke motivatie, jij wíl het graag zelf doen en dan ook veilig. Voor iemand die daar helemaal geen interesse in hebben (lees; bijna iedereen die ik ken) heeft als ik op je inpraat hooguit een excentrieke motivatie; en daar gaat het fout. Wel een op Shodan gekeken hoeveel Synology dozen bereikbaar zijn via het internet? Het is niet een gevalletje van "kopen, stekker er in en het is veilig". Je hebt het hier over mensen die in hun standaard Ziggo modem uPnP aan hebben staan; en voor je het weet zet je alles voor de hele wereld over. In dat soort gevallen is cloud écht wel veiliger. Al is het maar omdat de standaard instellingen veiliger zijn. Hint: foto's in iCloud zijn afgechermd met gebruikersnaam/wachtwoord en MFA. De app op Synology staat standaard wagenwijd open, en is benaderbaar over 443.

Andere anoniem:
Ik doe alles altijd offline op M-Discs en SSD's via bestandsversleuteling waar ik elders een paar backups van heb.
Zoals anoniem 01:19 al aangaf, er zijn teveel lekken zolang het met internet verbonden is.
Als ik het zelf offline info lek kan ik alleen mijzelf als schuldige aanwijzen, maar zelfs bij een inbraak waarbij men alles meeneemt kan men niet bij de gegevens. Ik heb bij een familielid een tweede backup mocht dit gebeuren.
Daarnaast zit er een versleutelde M-Disc met de belangrijkste gegevens in mijn bug out bag. (Yup, ik ben een prepper)

Offline houdt ook in dat je er zelf voor moet zorgen dat alles actueel blijft. Als je alle technische maatregelen neemt die je voor je M-Discs en SSD's nu ook gewoon doet voor data in de cloud; waar zie je dan exfiltratie? Als jij alles zwaar versleuteld in de cloud zet, en alleen jij hebt de decyptie sleutel die je niet op dezelfde plek bewaard; wie leest er dan mee?

Puur uit interesse; hoe vaak breng je de meest actuele data naar je familielid?