Dank voor de tip @boiing

Advantages of 1Password:
1. More Functional UI to manage/update passwords
2. Works across all browsers and platforms (For macOS - iCloud Keychain just works on just safari and doesn't integrate with any other browsers)
3. Less chance of loosing passwords/having issues during password syncing - This was the main reason I switched as I lost all my passwords on iCloud Keychain (Multiple times, and apple support is not helpful). 1Password really just works
4. Can be used to store secure notes, credit cards, database passwords, etc
5. Has web interface to view and manage passwords (if you use the subscription)
6. Can have multiple vaults to share or group passwords as you'd like - iCloud Keychain has no way to share passwords
7. Can generate passwords with any combination you'd like (For those sites that have special requirements)
8. Has 2FA support built in so you don't need another app to store them

Advantages of iCloud Keychain:
1. It's free
2. Works slightly better with safari on MacOS (With the new safari extensions coming might not be too different)
3. 1Password builds in a master password that you have to remember - iCloud Keychain is typically linked with your Apple ID
4. iCloud Keychain works better with Apple TV

Both
1. Both have TouchID/FaceID integration
2. Work seamless on iOS due to the passwords API

Keychain zal best zijn ding goed doen, maar (in aansluiting op de hierboven vermelde punten):

- de hele UI van 1Password is echt van een andere orde (zie hierboven punt 1)
- 1Password is niet alleen voor wachtwoorden en "secure notes", maar ook voor gegevens betreffende programma-licenties, identiteitspapieren, bankrekeningen, credit-cards, email-accounts, rijbewijs, lidmaatschapkaarten etc. etc., kortom voor de hele santekraam aan gegevens die men voortdurend van ons wil weten, en die we dus direct paraat moeten kunnen hebben (zie hierboven punt 4).
- 1Password kan ook gebruikt worden als kluis voor van alles en nog wat.
- alleen al het feit dat Keychain uitsluitend met Safari werkt (punt 2), is voor mij persoonlijk een reden om het niet te gebruiken.
- verder wijst 1Password je op zwakke wachtwoorden, op meer dan eens gebruikte wachtwoorden, op de mogelijkheid van 2FA (zie punt 8), op verlopen of binnenkort verlopende papieren, op onveilige websites (http:// i.p.v. https://) etc. etc.

Bij al deze dingen kun je zeggen: "Ja, maar dat kan ook zus of zo". Inderdaad. Maar als totaalpakket is 1Password buitengewoon compleet en (voor mij althans) zeer aantrekkelijk.

Hoewel ik geen ongemak ervaar van hoe ik tot nu toe werk, ga ik wel even kijken of een password-manager me wat zou opleveren. Want met mijn phone zou het wel wat beter kunnen.

Zo'n abo heb ik echter een hekel aan en ik vind het ook best aan de prijs, $36 per jaar. Dus het zou voor mij sowieso Bitwarden worden. En dat lijkt op het eerste oog vrijwel zo goed te zijn.

Vergelijkingen van 1Password met Bitwarden:

https://www.passwordmanager.com/bitwarden-vs-1password/

https://www.itproportal.com/news/1password-vs-bitwarden/

Mooie vergelijking (de eerste link). Alleen klopt de prijs voor een familie-abonnement op Bitwarden die daar genoemd wordt niet meer; die is nu 40 dollar (en wellicht euro) per jaar.

Hoe betrouwbaar is 1Password? Het bedrijf achter 1P, AgileBits Inc., een klein bedrijfje. Hoe veilig is zo'n bedrijf tegen vijandige overnames of andere acties die in één keer de betrouwbaarheid -zonder dat de gebruiker dat weet- ondermijnen?

Heee, als deze data (zie uitleg van Timotheus) in verkeerde handen valt, ben je ook wel heel erg het haasje.

Maar ik ben dan ook van die school die nooit zijn spaargeld op een IJslandse, of Turkse, bank zal zetten. Ook al staat DNB in voor 1T aan gestald geld. Mij niet gezien.

Ik zie het gevaar niet zo Flix, als er iets 'mis' gaat met het bedrijf kun je toch stoppen met het programma? Het bedrijf kan niets met je data, die is versleuteld. Ze hebben alleen je adres en betaalgegevens maar dat geldt voor alle bedrijven waar je iets koopt of een dienst van afneemt.

Hoe betrouwbaar is 1Password? Het bedrijf achter 1P, AgileBits Inc., een klein bedrijfje. Hoe veilig is zo'n bedrijf tegen vijandige overnames of andere acties die in één keer de betrouwbaarheid -zonder dat de gebruiker dat weet- ondermijnen?
Heee, als deze data (zie uitleg van  Timotheus) in verkeerde handen valt, ben je ook wel heel erg het haasje.

Hierover zou heel veel te zeggen zijn. Ik beperk me tot het volgende. Als je erg bezorgd bent over de veiligheid van je gegevens (of moet zijn, bv. omdat je voor een bedrijf werkt waar veel gevoelige informatie aanwezig is), moet je naar mijn idee drie dingen doen c.q. laten:

1. alleen een programma gebruiken dat open source is (zoals bv. Bitwarden).
2. heel goed kijken onder welke nationale wetgeving dat programma valt
3. nooit syncen over een cloud-achtig iets, maar altijd lokaal.

En punt 3 geldt natuurlijk ook voor kalendergegevens en contacten. Iedereen synct die gegevens over de cloud, maar daar valt voor kwaadwillenden heel veel interessants uit te halen.

Daarom maakt het nogal uit of de encryptie end-to-end is. Als dat namelijk het geval is zijn de meeste punten niet echt relevant.

Het bedrijf kan niets met je data, die is versleuteld.

Is dat zo? En wie zegt dat bij een update van 1P de versleuteling intact blijft?
Misschien ben ik te wantrouwig. Maar Google en FB waren 'vroeger' ook sympathieke bedrijven, of zo deden ze zich althans voor. Het kan snel veranderen.

Hoe dan ook, die afweging is voldoende om apps als 1P niet te gebruiken, zeker ook omdat Keychain voor mij alle benodigde functionaliteit heeft.

@Bitwarden: oogt idd sympathiek, maar het feit dat hun website niet geheel correct werkt met Safari, geeft toch te denken …

Like Bitwarden, 1Password uses end-to-end encryption, PBKDF2 and AES-256 encryption to protect your sensitive data. For extra security, 1Password also requires you to enter a secret key when logging in to your account. Even if someone manages to guess your master password, they won’t be able to access your account without entering the secret key. 1Password offers additional peace of mind with its zero-information policy, which means the company doesn’t share your data with anyone.

Ik heb destijds juist voor 1P gekozen omdat zij dit naar mijn idee het beste voor elkaar hebben. En verder Flix: tsja, alles kan. Je moet ergens in vertrouwen.. Het is het bestaansrecht en de kern van het bedrijf om te zorgen dat dit veilig is en blijft.

Ik stal deze data (mijn gevoeligste) juist niet bij Apple omdat mijn keychain eenvoudiger te hacken is dan mijn 1Password data. Toegang tot mijn Mac en het admin password voldoet voor het eerste, niet voor het tweede.

Daarom maakt het nogal uit of de encryptie end-to-end is. Als dat namelijk het geval is zijn de meeste punten niet echt relevant.

Je moet heel goed kijken wat bedrijven precies doen. Sommige bedrijven doen wel "end-to-end"-encryptie, maar dat betekent dan "VAN device NAAR cloud".  Dat is heel fijn omdat je data dan niet onderweg afgeluisterd kan worden, maar het bedrijf zelf kan dan nog steeds bij de data.

Wat je bij dit soort toepassingen moet hebben is dat de encryptie-sleutels alléén op jouw apparaten bekend zijn. 

Kortom: alleen de marketing-kreet "end-to-end" encryptie zegt niet alles.

(overigens houd ik al mijn data lokaal, dus geen idee welke variant 1Password doet)

...dus geen idee welke variant 1Password doet

Echt end-to-end. Met een sleutel die je alleen zelf hebt. De data is versleuteld voor hij het device verlaat, zoals het hoort en 'end-to-end' ook betekent.

Er zijn technisch gezien geen verschillende varianten. Als het niet op die manier gebeurt is het geen end-to-end encryptie. Dan sla je wel een flater als je toch die term zou gebruiken (ik ken daar ook geen voorbeelden van trouwens).

Tsja, alles kan. Je moet ergens in vertrouwen.. Het is het bestaansrecht en de kern van het bedrijf om te zorgen dat dit veilig is en blijft.

Je hebt gelijk. Maar ik geef niet ongezien vertrouwelijke gegevens aan een 3e partij app, dus zal ik me in de materie (wat voor bedrijf is het; wat doet de app precies) moeten verdiepen, en daar heb ik niet altijd zin in.

Echt end-to-end. Met een sleutel die je alleen zelf hebt. De data is versleuteld voor hij het device verlaat, zoals het hoort en 'end-to-end' ook betekent.

Dat is mooi, had ik ook wel een beetje verwacht.

Er zijn technisch gezien geen verschillende varianten. Als het niet op die manier gebeurt is het geen end-to-end encryptie. Dan sla je wel een flater als je toch die term zou gebruiken (ik ken daar ook geen voorbeelden van trouwens).

Ik kom in mijn werk heel vaak de kreet end-2-end tegen waar dan echt alleen bedoeld wordt dat de communicatie tussen client en server beveiligd is. Vanuit security is het idee dan dat je vooral de client en de server goed beschermd, maar dat alles daartussenin als onvertrouwd beschouwd wordt.

Bij dit soort cloud-diensten heb je (minimaal) 2 clients en 1 server. Daar bedoel je met "end-2-end" dus dat de data beschermd wordt van client-client ipv. alleen client-server.

Moraal van het verhaal: Als een dienst "end-2-end" roept, controleer dan goed wat in die kreet het "eind"-punt is...

Aanvulling: zie: https://en.wikipedia.org/wiki/End-to-end_encryption#Etymology_of_the_term
Blijkbaar is de client-client definitie pas een jaar of 6 in gebruik. Daarvoor was end-2-end client-server bescherming.

Je zult de term 'end-to-end' vast ook voor andere zaken kunnen gebruiken, maar voor 'end-to-end-encryption' waar het hier om gaat is het toch vrij eenvoudig:

It means encrypting the data at the point of creation and only decrypting it at the point of use.

Het staat los van infrastructuur, communicatieprotocol of beveiliging van de server: de data wordt versleuteld op de client en kan alleen daar weer ontsleuteld worden. De rest van keten kan er niets mee.

EDIT:

Blijkbaar is de client-client definitie pas een jaar of 6 in gebruik. Daarvoor was end-2-end client-server bescherming.

Dat zal de 'spraakverwarring' hier zijn inderdaad .

Sommige zware beveiligingslekken die ik ben tegengekomen werden trouwens niet veroorzaakt door wachtwoord of encryptie problemen, maar door fouten in multi-threaded code, met dank aan globale variabelen.

It means encrypting the data at the point of creation and only decrypting it at the point of use.

En dáár schuilt precies het gevaar. Als een data-graaiende dienstverlener definieert dat het "point of use" op de server is waar hij analyses etc. op de data doet, dan is het "point-of-use", oftewel het eindpunt van de encryptie, dus de server van de dienstverlener.

De gemiddelde consument DENKT dat "point-of-use" alleen het gebruik door de eindgebruiker is en neemt dus end-to-end aan als client-client.

EDIT:Dat zal de 'spraakverwarring' hier zijn inderdaad .

Klopt, maar het is vooral bedoeld als een waarschuwing.
Je moet vaak heel ver in de terms & conditions lezen wat precies het beoogde doel van de data is en wat de dienstverlener wel/niet met de door jou aangeleverde data gaat doen. In die juridische tekst staat meestal wel hoe de dienstverlener er echt in zit (anders hebben ze in no-time een rechtszaak aan hun broek hangen). En mocht er verwarring bestaan bij eindgebruikers dan tover je gewoon de oorspronkelijke definitie van end-2-end uit de hoed en wimpel je daarmee de klacht van de eindgebruiker af.

Kortom: het is erg moeilijk om kaf en koren te scheiden bij dit soort dienstverleners.
Er zijn zeker partijen die echt niet bij jouw data kunnen ook al zouden ze willen, maar er zijn helaas ook partijen die door een mist van vage definities en flitsende marketing hun echte business-model (verdienen aan gebruikersdata) verbloemen.

Als een data-graaiende dienstverlener definieert dat het "point of use" op de server is waar hij analyses etc. op de data doet, dan is het "point-of-use", oftewel het eindpunt van de encryptie, dus de server van de dienstverlener.

Sorry jacco123 maar nu haal je er toch een heleboel tekst bij die vrij onzinnig is in dit verband. De 'point of use' bij de apllicaties waar we het hier over hebben kan alleen de gebruiker en zijn device zijn. Hoe zou dat de dienstverlener kunnen zijn, dan heb je toch geen werkend/bruikbaar systeem? Bij end-to-end encryptie zoals eerder bedoeld is het onmogelijk voor de dienstverlener om jouw data in te zien of te analyseren zonder de persoonlijke sleutel (die de dienstverlener niet heeft). Daar hoef ik geen terms & conditions voor door te spitten.

Bij allerlei andere diensten, services, apps etc (de meeste zelfs) geldt jouw waarschuwing uiteraard wel. Maar dan gaat het niet over E2EE, die wordt meestal nooit gebruikt. Dat is meer de algemene discussie over privacy en data-analyse.

Tja, volgens mij is mijn waarschuwing duidelijk. Laten we het hier maar bij laten voor het een welles-nietes discussie wordt.

Wellicht ben ik net als Flix erg wantrouwig tegen dit soort bedrijven. Maar de praktijk leert keer op keer dat je ook erg wantrouwig moet zijn, omdat er nou eenmaal diverse bedrijven zijn die alleen het beste met zichzelf voorhebben.

Zaken als contactgegevens, weten bij welke bedrijven je accounts hebt, waar je rekeningen hebt, hoe vaak je inlogt bij diverse platforms/winkels etc. helpen enorm mee als je mensen wil profileren. Dat dat big-business is, is toch nauwelijks meer een geheim?

(nogmaals, mijn opmerkingen waren in algemene zin, ik heb geen specifiek onderzoek gedaan of 1Password oké is, of dat ze nog een verborgen agenda hebben)

Als we van deze discussies allemaal maar weer wat wijzer van worden, dat is het belangrijkste .

Ik ga de kalkoen prepareren, fijne dagen allemaal 🌲!

Misschien kan misbruik van gegevens grofweg in twee categorieën worden onderverdeeld:
1. misbruik met een financieel oogmerk (geld afhandig maken)
2. misbruik met een ander (politiek, industrieel, bedrijfsmatig) oogmerk.

Ten aanzien van het eerste kun je naar mijn idee rustig slapen als je in het algemeen behoedzaam opereert, geen dingen doet waarvan je weet dat je ze niet moet doen, en goede instrumenten gebruikt.
 
Ten aanzien van het tweede is m.i. de grootste voorzichtigheid nog te klein. Twee vraagjes:
- zal de iPhone van Tim Cook op dezelfde manier beveiligd zijn als die van ons?
- zal Apple zijn bedrijfsgegevens gewoon syncen over iCloud, zoals velen van ons?

Velen zullen misschien zeggen: "Natuurlijk, waarom niet?" Hun laat ik graag hun overtuiging; zelf geloof ik daar niets van.
Wat fantastisch zou het zijn voor Chinese telecombedrijven als zij zeer vertrouwelijke bedrijfsgegevens van Apple in bezit kregen. Zouden de Chinezen daar niet naar op zoek zijn? En zou Apple niet het uiterste doen om te voorkomen dat ze die in handen kregen?

Nu terug naar 1Password. Ik heb geen enkele reden om te betwijfelen dat de makers van dit programma eerlijke mensen zijn. Maar: het is een Amerikaans bedrijf, dat valt onder de Amerikaanse wetgeving, en daar heeft men gewoon mee te dealen. En de Amerikaanse wetgeving geeft de Amerikaanse overheid handvatten om een bedrijf als dit met de rug tegen de muur te zetten, en gegevens op te eisen. Voor wie daar meer over wil lezen, zie bv. de site van ProtonMail / ProtonVPN en een artikel als dit.

1Password is een naar verhouding groot bedrijf; wellicht de grootste password-manager in de westerse wereld. Zou de Amerikaanse geheime dienst niet nieuwsgierig zijn naar al die gegevens? Zouden ze daar denken: "Tja, end-to-end-encryption, niks aan te doen", of zou men toch proberen op de een of andere manier een voet tussen de deur te krijgen?

1Password is geen open source, en de gebruikers worden nadrukkelijk aangemoedigd hun gegevens te syncen over de servers van het bedrijf. Mijn twijfel is altijd: zou er toch niet op de een of andere manier een achterdeurtje zitten in het geheel? Is het uitgesloten dat er in het grootste geheim afspraken worden gemaakt van het type: wij laten jullie met rust, als jullie ons af en toe even mee laten kijken?

En als iemand zou zeggen: "dat zou 1Password nooit doen, want als dat uit zou komen, zou dat meteen "end of business" betekenen", dan zou mijn antwoord zijn: "als publiek zou worden, dat de Amerikaanse overheid gegevens van 1Password opeiste, zou dat evengoed tot een klantenvlucht leiden". Het is dus ook in het belang van 1Password om te zorgen dat dat niet gebeurt.

Ik heb geen enkele concrete reden om te twijfelen aan de integriteit van de makers van 1Password. Maar ik meen ook te weten: soms zijn bepaalde dingen groter dan jezelf, en dwingen de omstandigheden je een kant op die je helemaal niet op wilt. Ik ben maar een gewone burger, en gebruik 1Password met een volmaakt gerust hart. Maar als ik (bijvoorbeeld) een politieke activist was in een onvrij land, zou ik 1Password nooit gebruiken.

Mooie uiteenzetting, mee eens Timotheus. Nog 1 linkje dan van mij, 1P is heel open over dit punt:

https://blog.1password.com/nsa-prism-1password-security/

There may be non-cryptographic flaws in cryptographic software, including 1Password, that the NSA is able to exploit, and that nobody else knows of. That is, they may know a way to break 1Password’s security without having to break the crypto. Naturally, we work hard to keep 1Password free of such vulnerabilities, but that is no guarantee that there aren’t some which the NSA is aware of and that we are not.

Gewoon ter overweging, zeker weten doe je het allemaal nooit als het over spionage van overheden gaat.

In dit artikel van begin 2019 werden enige security flaws van 5 password managers blootgelegd. Dit was een studie op Windows met toegang tot de PC (fysisch of via malware). Ondertussen zijn we bijna 2 jaar verder.

Maar in het gelinkt WP artikel was de stelling dat het de moeite blijft er een te gebruiken. Enige quotes:

But the research, which finds password manager users are vulnerable to targeted malware attacks, does shine a light on ways to bolster our defenses. And it speaks to a bigger truth that gets lost in headlines about breaches and bugs: Online safety isn’t about being unhackable; it’s about not being the lowest-hanging fruit.

Both sides (password companies and researchers) agree on one thing: Your personal devices are the weak link.

@mcmt: mooie link, en naar mijn idee tamelijk ontluisterend ook voor (de Windows-versie van) 1Password. Zo waterdicht is het dus allemaal niet, en misschien heeft de geheime dienst niet noodzakelijkerwijs achterkamertjesafspraken nodig om te halen wat zij halen wil.

Aan het begin van het artikel een citaat dat mij aan het denken zette:

As Troy Hunt, an active security researcher once wrote, “Password managers don’t have to be perfect, they just have to be better than not having one”

En dan rijst natuurlijk de vraag: wat betekent "better"? Misschien is een password-manager uiteindelijk altijd een compromis tussen veiligheid en handigheid. Het veiligst is misschien toch gewoon een blaadje papier, gestoken in een boek waar geen mens ooit zal kijken. Maar handig is anders.