Jammer dat KEY niet beschikbaar is voor iOS en Linux maar het is een mooi gebaar van XS4ALL!

Goed initiatief, niet dat ik ooit mijn WW online zou zetten maar goed.

Het jeukt altijd bij mij als er een tekst in staat zoals: "wachtwoorden en andere belangrijke data in de cloud bewaren"
Verder vind ik het wel netjes dat ze het aanbieden, maar dat cloud gebeuren......
Juist deze belangrijke data zou ik zeker niet in een cloud proppen, maar dat is mijn idee.

Als de wachtwoorden versleuteld zijn en de wachtwoordmanager veilig geïmplementeerd is, dan is het in principe behoorlijk veilig. Lastpass doet het bijvoorbeeld ook op deze manier, en da's een behoorlijk grote jongen.

Bij dit soort applicaties zijn de ontwikkelaars en beheerders zich er heel goed van bewust dat ze wachtwoorden beheren, en één groot datalek voldoende kan zijn om ze permanent buiten bedrijf te stellen. Dus ik heb er vertrouwen in dat ze alles op alles stellen om dat veilig te houden.

Exact. Die paar belangrijke wachtwoorden kun je echt wel zelf onthouden. Bij de rest vul je willekeurig iets in, laat je door de browser (lees: Firefox) zelf lokaal onthouden. Raak je ze toch kwijt, vaak zijn ze per e-mail (dit is nu dus zo'n typisch belangrijk wachtwoord ;-)) op te vragen.

En ja dit zegt iemand die in 'bewaarde berichten' bij Telegram enkele wachtwoorden 'opgeslagen' heeft. Die kan die Rus toch niet lezen ;-).

Ik ben altijd bang voor vendor lock-in bij dit soort acties. Zonder XS4All + F-Secure kan je niet meer bij je accounts (tenzij je die uit de wachtwoordmanager kan exporteren naar een universeel formaat).

F-Secure heb ik een tijdje gebruikt in de tijd van Windows Vista. Maar de jaarlijkse upgrade was altijd gelazer en hopen dat alles weer zou gaan werken na de upgrade. Ook had ik soms wel false positives. Deze heb ik nog nooit gehad met Windows Defender onder Windows 10.

Bij een false positive moet je altijd weer uploaden naar Virustotal en gokken of het echt een virus is of niet. En F-Secure gebruikt al jaren niet meer zijn eigen firewall, dus daarvoor hoef je het ook niet te installeren. (Ik was gek van de Kerio Personal Firewall in het verre verleden, maar die bestaat ook niet meer tegenwoordig).

Daarom blijf ik fan van KeePassXC, Open Source, Multi platform en ook portable versies beschikbaar. Password file kun je ook overal zetten als het master password maar zo sterk is dat brute force kraken jaren gaat duren.

Je kan er zelfs voor kiezen om die password-file niet in de cloud te zetten en alleen op 1 of meer (want backup en zo) eigen devices.

Het is voor sommige anderen natuurlijk best comfortabel om 't ding door iemand anders te laten beheren, zoals XS4ALL zolang ze nog bestaan, maar dat is je eigen keuze.

Dat zit veiliger in de cloud als in jou kop/op jou Post-it®.

Het is jouw hoofd en jouw Post-It.

Bedankt voor je opmerking, je snapt dat ik daar anders over denk,

Belangrijke data staat niet in een cloud. Punt.

Mee eens, maar dit is nu precies ook de rede, dat ik niet voor Lastpass zou kiezen.
Het gaat eigenlijk altijd goed, tot dat.........
https://radar.avrotros.nl/nieuws/item/ernstig-lek-gevonden-in-wachtwoordmanager-lastpass/

Wat is er mis met keepass lokaal? Ik kan me herinneren dat er zo een wachtwoord manager dienst hier verschillende keren negatief in het nieuws was.

Lezen we over een jaar, ja foutje in de programmatuur, alle wachtwoorden zijn gelekt.

Availability garanties van 'lokaal' zijn bij erg veel mensen heel marginaal.

opslag gaat kapot, wordt per ongeluk overschreven (of ge-ransom-wared) , en dan ben je opeens veel accounts kwijt.
(nog erger als je geen bruikbare reset opties hebt, of ook onmogelijk moeilijke reset-vragen hebt ingesteld waarvan de antwoorden ook in je lokale password opslag stonden).

Nu zitten hier wel een paar supernerds die 'lokaal' wel hoge availability hebben (en off-site backup van de file, en regelmatig updaten) en zich ook nog realiseren _dat_ het verliies van de lokale file verlies van veel accounts kan betekenen, maar de gemiddelde eindgebruiker heeft dat niet.

Ik gebruik Safe in Cloud. Niet open source, maar je kunt zelf kiezen waar je je bestand opslaat. Dat kan bij de grote jongens, zoals Microsoft, Dropbox en Google. Het kan echter ook op iedere WebDav omgeving. Die kun je dus zelf opzetten en dan synchroniseert hij dus met je bestand op je eigen omgeving.

Alleen jammer dat het (nog) niet voor Linux beschikbaar is.
Het biedt wel diverse im- en export mogelijkheden. Daarnaast kun je zelfs afzonderlijke "kaarten" delen met anderen. Doe dat dan natuurlijk wel via een chat app met end-to-end versleuteling, zoals Signal.
Hij biedt mogelijkheden om veel meer op te slaan dan alleen username en wachtwoord. Ik sla er bijvoorbeeld ook de key-files op voor SSH verbindingen. Daarnaast geeft hij een indicatie van de sterkte van wachtwoorden. Want er zijn nog steeds partijen die zelf je wachtwoord genereren. :(
Net als hiervoor opgemerkt, meldt hij het als je een wachtwoord hergebruikt. Hij heeft ook een timer, zodat je gewaarschuwd wordt als een wachtwoord (of iets anders, zoals je paspoort) verloopt.

Ik heb bewust gekozen voor de Pro variant. Voor zoiets heb ik zeker geld over.

Oja, wachtwoorden in de browser. Niet zo veilig. Ik heb bij een aantal websites wel een wachtwoord op laten slaan door mijn browser, maar dat is dan een onjuist wachtwoord. Vooral handig voor sites die je melden als iemand anders probeert in te loggen.

Peter

Denk dat je dit moet zien voor een gemiddelde gebruiker die passworden in tekst files op zijn computer lokaal opslaat. Je kan je dan natuurlijk afvragen of passworden in een goed ontwikkelde en beheerde cloud omgeving veiliger is dan het op een gemiddelde consumenten PC neerzetten....
Ik heb het natuurlijk niet over een goede IT'er die weet hoe hij dit zelf moet doen.

Stopt XS4ALL niet??

"De wachtwoordmanager controleert daarnaast of gebruikte wachtwoorden niet voor andere accounts worden hergebruikt. "

Hoe controleert Xs4all of een door de gebruiker opgegeven password, dat wordt gehashed en normaal gesproken niet kan worden herleid naar 't leesbare wachtwoord, al elders gebruikt wordt door de gebruiker?

A.h.v. de gegeneerde unieke hashes met gebruik van salts valt zoiets normaal gesproken niet te zien. Dit is alleen mogelijk als Xs4all de door de user ingevoerde leesbare passwords ergens bijhoudt, opslaat en daar controles op uitvoert alvorens deze te hashen en te versleutelen of zelf hiervoor het (of een) master password gebruikt.

Nee hoor, KPN stopt met de naam XS4ALL. De toekomst zal uitwijzen hoe het in de praktijk eruit gaat zien.

Ik gebruik overal welkom01 voor. Simpel en hoef ik niet te te onthouden.

Als je die data netjes encrypt en met een sterke sleutel beveiligd, kan het wel.
Zolang je de sleutel maar niet in de cloud hebt.

Maar waar laat je de sleutel dan? Ow ja, op die post-it op je monitor :-)

Inderdaad. Ze worden gaan wel verder onder moeders vleugels (KPN) maar je moet toch een beetje oppassen voor vendor lock-in bij dit soort oplossingen. Persoonlijk wil ik zoiets altijd in eigen beheer houden (zoals [@Manjaro Linux met Keepass). Kijk in ieder geval of XS4ALL een goede export mogelijkheid - naar een standaard dataformaat - biedt voor de opgeslagen wachtwoorden. Mocht je op iets anders willen overstappen dan komt dat zeker van pas.

XS4ALL KEY ondersteunt naast Windows MacOS en Android.
Waarom is XS4ALL KEY niet beschikbaar op iPhone en iPad?

Momenteel onderzoeken we de mogelijkheid om XS4ALL KEY beschikbaar te maken op iPhone en iPad. We plaatsen op deze pagina een update zodra er nieuws is.

https://www.xs4all.nl/service/diensten/beveiliging-en-veiligheid/xs4all-key/installeren-1.htm

Google translate... ;-)

Huh ?

Dit gaat om het bewaren van , noodzakelijkerwijs, plaintext passwords in een password manager.

Je hebt er niks aan om die one-way te hashen, want dan kun je ze er niet uithalen om in te loggen op de accounts waarvan je het password bewaart in de password manager.

Het heeft niks te maken met het inloggen bij xs4all zelf.

Daar zit ik als trouwe xs4all-klant met mijn Linux-installatie en iPhone. Moet ik met mijn dure abonnement de leuke presentjes van mede-klanten gaan betalen.

Tja moet je dan ook niet doen. Data in de cloud is niet minder veilig dan je data in je locale netwerk connected met internet.

Je bent natuurlijk ook zo'n supernerd die de helpdesk helemaal nooit nodig heeft, en daar betaal je ook mee voor al die mensen die wel aan het handje gehouden moeten worden.

En ook als je je thuisserver gebruikt als shellserver betaal je toch mee aan de shellservers .

Nevermind. Spontane premature brain fart ;-)

Werd getriggerd door de 'al elders gebruikt wordt door de gebruiker' en ging daar op voortboorduren en dacht 'huh?'

Besef dat het hier feitelijk gewoon gaat om een online kluis gaat zoals keepass o.i.d. Er zal wel een stukje code in zitten die, na decryptie met het master password, gewoon de leesbare passwords met elkaar vergelijkt.