1Password laat gebruikers wachtwoorden op basis van locatie zien
1Password heeft een nieuwe feature aan de wachtwoordmanager toegevoegd waardoor gebruikers wachtwoorden op basis van hun locatie getoond krijgen. Via de feature kunnen gebruikers opgeslagen wachtwoorden aan een fysieke locatie koppelen. Wanneer gebruikers in de buurt van deze locatie zijn zal 1Password die tonen. Dit moet volgens de wachtwoordmanager het eenvoudiger maken om wachtwoorden te gebruiken.
1Password stelt dat locatiegegevens niet worden opgeslagen, gedeeld of gevolgd. De controle op relevante wachtwoorden vindt lokaal plaats, zo laat 1Password verder weten. De coördinaten zouden dan ook niet de telefoon verlaten en voor geen andere doeleinden worden gebruikt. Gebruikers kunnen de optie daarnaast zelf in- en uitschakelen.
1Password merkt op dat gebruikers 'third-party maps' kunnen gebruiken om locatiegegevens aan hun wachtwoorden toe te voegen. Wanneer gebruikers hiervoor kiezen kan de mapprovider verschillende informatie over de gebruiker verzamelen, waaronder ip-adres, betreffende locaties en het feit dat het verzoek van 1Password afkomstig is. Het gebruik van third-party maps staat standaard uitgeschakeld.
Ik ben het met je eens dat locatiegebaseerde verificatie compleet onzinnig is, biometrische ontgrendeling blijft hierbij een betere optie.
In principe heeft elke dienst waar je wachtwoord is opgeslagen toegang tot dat wachtwoord. Een passwordmanager vormt inderdaad een centraal register van wachtwoorden en brengt daarmee nieuwe risico's met zich mee. Toch is het een veel veiligere optie dan het hergebruiken van hetzelfde wachtwoord voor meerdere accounts, wat een groot beveiligingsrisico vormt.
Voor iemand die de neiging heeft overal hetzelfde wachtwoord te gebruiken, biedt een passwordmanager met automatisch gegenereerde, unieke wachtwoorden een aanzienlijk veiliger alternatief. Op die manier wordt het risico van een datalek beperkt, omdat een gecompromitteerd wachtwoord niet automatisch toegang geeft tot meerdere accounts. Uiteraard is het lekken van je toegangssleutel tot je password manager dan bijna net zo zwaarwegend als overal hetzelfde wachtwoord hanteren als je geen biometrische validatie hebt gekoppeld.
Je gelooft ze niet, of je leest alleen niet ?
En waarom kan een cloud dienst er "uiteindelijk altijd bij" ?
Als ze slechts een encrypted remote backup zijn zie ik niet waarom ze er "uiteindelijk bij kunnen" - dat hangt dan op de gekozen encryptie en kwaliteit van sleutel/password etc .
Het _is_ een erg fors probleem als je set van passwords "onbereikbaar" wordt (device kapot, gestolen etc) , en _een_ betrouwbare en hoog-beschikbare backup is een heel goede zaak.
Ontzettend weinig mensen kunnen (en DOEN) dat zelf goed.
Nu moet ik zeggen dat zo'n locatie verhaal imo een vrij nutteloze gimmick is - 9x% van de toegang is natuurlijk "vanaf huis voor alles" .
Persoonlijk - en als werkgever - zou ik ook liever een aparte password store hebben voor 'werk' credentials , en die niet tussen allerlei prive credentials.
Het nut ontgaat me dan nogal .
Persoonlijk gebruik absoluut geen internet gelinkte dienst kiezen.
Bedrijfs inlog met bovenliggend security team dan wel zo verstandig mits versleuteling is gecontroleerd.
De feature zoals gepresenteerd kan mogelijk nuttig zijn als de locatie heel accuraat ingeperkt kan worden.
Stel je zet je eigen map dienst op als bedrijf en je laat hier enkel jouw locaties in als coordinaten dan heb je een zeer effectieve tool om wachtwoord inzage in te perken in combinatie met IP beperkingen. Zeker niet doen via een openbare dienst als google maps etc maar een eigen ja.
Denk aan een medewerker die op vakantie gaat en enkel zijn werkmail wachtwoord eigenlijk mischien nodig heeft maar ook standaard beschikt over systeem inlogs in gelinkte kluizen. Dan kun je dus heel effectief inperkingen doen zonder de containers constant te moeten aanpassen op verzoek van HR en IP spoofing is daarmee ook een stuk lastiger gemaakt voor inzage pogingen.
Of stel voor dat die medewerker zijn apparaat gejat wordt dan is de directe impact stuk lager inlog van de medewerker zijn mail moet gereset worden de rest revoke je toegang maar je hoefde niet alle andere wachtwoorden ook nog eens te resetten.
Maar geheid gaan heel veel mensen het verkeerd gebruiken.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Information Security Officer
Help organisaties cyberweerbaar maken en werk aan uitdagende securityprojecten bij BMGRIP, part of Kader Group.
- Hybride werken
- Salaris €4.000 - €5.500
- Leaseauto en volop groeimogelijkheden
Solliciteer nu!
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?