Heb je alleen devices van Apple dan gebruik je waarschijnlijk de iCloud-sleutelhanger. Je kan de iCloud-sleutelhanger ook op Windows gebruiken, maar met name voor Android is het geen optie en zal je naar een alternatief moeten kijken als je het gemak van zo’n manager wilt.

Andere wachtwoord-managers met een goede reputatie zijn 1Password of LastPass. Gebruik je die laatste dan is het misschien een goed idee om je Master Password daarvoor aan te passen, en mogelijk ook alle wachtwoorden die je erin hebt opgeslagen. Want hoewel het bedrijf zegt dat er geen wachtwoorden zijn buitgemaakt en alle veiligheid nog intact is, melden meerdere mensen dat hackers hun Master Password in handen lijken te hebben.

Something very strange and bad is happening to a lot of people's @LastPass accounts. I posted this to Hacker News and it gathered 192 comments, including 7 separate reports of master password breaches & login attempts from the same Brazil IP range. Uhh. https://t.co/tcM0aFdavv`

— Greg Technology (@technology_greg) December 27, 2021

Volgens LastPass zelf zouden de alerts die gebruikers binnenkregen dat hun account gehackt was per ongeluk door LastPass zelf verstuurd zijn, hackers zouden helemaal niet ‘binnen’ zijn geweest. Als het klopt dat er alerts verzonden werden terwijl er niets aan de hand zou zijn, mag LastPass zichzelf dat natuurlijk wel aanrekenen.

Hieronder de reactie die LastPass naar buiten heeft gebracht:

As previously stated, LastPass is aware of and has been investigating recent reports of users receiving e-mails alerting them to blocked login attempts.

We quickly worked to investigate this activity and at this time we have no indication that any LastPass accounts were compromised by an unauthorized third-party as a result of this credential stuffing, nor have we found any indication that user’s LastPass credentials were harvested by malware, rogue browser extensions or phishing campaigns.

However, out of an abundance of caution, we continued to investigate in an effort to determine what was causing the automated security alert e-mails to be triggered from our systems.
Our investigation has since found that some of these security alerts, which were sent to a limited subset of LastPass users, were likely triggered in error. As a result, we have adjusted our security alert systems and this issue has since been resolved.

These alerts were triggered due to LastPass’s ongoing efforts to defend its customers from bad actors and credential stuffing attempts. It is also important to reiterate that LastPass’ zero-knowledge security model means that at no time does LastPass store, have knowledge of, or have access to a users’ Master Password(s).
We will continue to regularly monitor for unusual or malicious activity and will, as necessary, continue to take steps designed to ensure that LastPass, its users and their data remain protected and secure.

Misschien is en blijft lokaal syncen via wifi, waarbij de wachtwoorden je systeem helemaal niet verlaten, toch het beste. Dan hoef je je niet af te vragen wat er waar is van dit soort berichten.

Jammer dat maar zo weinig wachtwoord-managers dat aanbieden. 1Password is er ook mee gestopt.

...lokaal syncen via wifi [...] toch het beste. Dan hoef je je niet af te vragen wat er waar is van dit soort berichten.

Dat is maar de vraag. Ook lokaal kun je op allerlei manier kwetsbaar zijn. Ik weet van 1P dat het end-to-end encypted is, een hacker heeft niets aan je master password. Je hebt ook de secret key nodig die je nooit online gebruikt. Superveilig, dus zoiets als dit (als het al klopt) is in dat geval geen probleem.

Je moet het zo zien: met end-to-end encryptie stuur je on-ontcijferbare troep naar een online dienst. Die kan er niks mee, hackers kunnen er niks mee, niemand kan er iets mee alleen jijzelf met het wachtwoord én de geheime sleutel. Die geheime sleutel kun eventueel je op papier bewaren.

Aanvulling: LastPass werkt vergelijkbaar, het Master Password wordt op je device gegenereerd en opgeslagen. Het lijkt daarom onwaarschijnlijk dat er een hack is gepleegd met Master Passwords.

Waarom zou je iets als 1P nodig hebben als
je al Apple's Sleutelhanger gebruikt ?

Daar hebben we het regelmatig over gehad hier. Als je niks mist qua functionaliteit heb je het niet nodig .

Op de websites van LP en 1P krijg je vast een goeie indruk van de eventuele meerwaarde en of die voor jou relevant is.

"Geen inbraak en geen probleem voor de gebruikers."
Klinkt toch wel een beetje als dat corona ook maar een griepje is, waar dus ook niks aan gelogen is.

Voor mij zou het gelijk klaar zijn. Apple vertrouw ik vooralsnog nog net wel, alle andere partijen eigenlijk niet -voor ww beheer dan. Want alle sleutels en andere kuisheidsgordels ten spijt, je weet nooit welk achterdeurtje ooit is aangebracht.

Ook lokaal kun je op allerlei manieren kwetsbaar zijn.

Maar hoe dan bijvoorbeeld? Als je op de een of andere manier malware binnenhaalt?

Ik weet van 1P dat het end-to-end encypted is, een hacker heeft niets aan je master password. Je hebt ook de secret key nodig die je nooit online gebruikt. Superveilig

Hier moest ik even nadenken, want ik heb ook 1P, en kon me van een secret key niets herinneren. Maar nu zie ik dat je die alleen hebt bij een account / abonnement, en ik heb de laatste los verkrijgbare versie (7), waarvan die secret key nog geen onderdeel is. Lijkt inderdaad een zeer solide extra garantie.

Ik ga er eens op letten of andere password-managers ook zoiets hebben. Natuurlijk heb je ook 2FA, maar dat is toch weer wat anders.

Voor mij zou het gelijk klaar zijn.

Begrijpelijk, maar toch: even logisch redeneren. Het Master Password van LP is hetzelfde als de Secret Key bij 1P. Die worden gegenereerd op je device bij het aanmaken van je account en verlaten dat nooit. Ze zijn dus niet centraal opgeslagen en dus is het onmogelijk dat een hacker over vele van deze Master Passwords kan beschikken (tenzij hij al die individuele gebruikers zelf heeft gehackt). Het verhaal is dus anders óf - en dat lijkt me veel waarschijnlijker - de uitleg van LastPass klopt: die meldingen zijn per abuis verstuurd. Zo'n bedrijf kan zich niet veroorloven te liegen hierover. Nog steeds slordig, of kwalijk misschien maar niks aan de hand.

Over die achterdeurtjes, zie hier, derde reactie:
https://1password.community/discussion/11641/could-there-be-a-backdoor. Helder verhaal, de afweging is voor ieder persoonlijk. Je zou overigens net zo goed en met even weinig zekerheid kunnen beweren dat Apple al jaren backdoors in moet bouwen op last van de CIA of NSA. En 1Password juist niet omdat ze Canadees zijn én minder groot/belangrijk/relevant voor de nationale veiligheid. Of dat die versleutelingsprotocollen zelf al gekraakt zijn door een staat, waarmee alle bedrijven een lek hebben. We zullen het nooit weten.

Maar hoe dan bijvoorbeeld? Als je op de een of andere manier malware binnenhaalt?

Vooral dat. Of door je lokale netwerk binnen te dringen, waarbij het meest kwetsbare punt je WiFi verbinding is. Of omdat je poorten op je router naar buiten open hebt staan, om torrents te downloaden of andere tools die dat vereisen. Of omdat je een onbetrouwbare VPN verbinding gebruikt. Of fysieke toegang (dat nerdy vriendje van je dochter ). Ik noem maar een paar mogelijkheden, misschien is het zelfs wel makkelijker lokaal binnen te dringen dan online bij een van de grote namen. Alleen zal het belang kleiner zijn dus er zal altijd meer moeite gedaan worden om de grote spelers te hacken. Met gezond verstand is de kans thuis - op een Mac - uiteraard klein.

Een programma als Bitwarden heeft voor zover ik heb kunnen zien geen secret key, maar doet het anders:

Bitwarden salts and hashes your master password with your email address locally, before transmission to our servers. Once a Bitwarden server receives the hashed password, it is salted again with a cryptographically secure random value, hashed again, and stored in our database. […]

The utilized hash functions are one-way hashes, meaning they cannot be reverse engineered by anyone at Bitwarden to reveal your master password. Even if Bitwarden were to be hacked, there would be no method by which your master password could be obtained.

Kortom, daar worden email-adres en wachtwoord door de mixer gehaald vóór het bestand je computer verlaat, en vervolgens op de Bitwarden-server nogmaals gemixed met wat anders, en dat alles onomkeerbaar. Lijkt afdoende. Van boeuf bourguignon kun je ook geen koe meer maken.

kuisheidsgordel met achterdeurtje (Pun intended)

Van boeuf bourguignon kun je ook geen koe meer maken.

Haha, dat is lastig inderdaad en ik geloof best dat dat ook voor hun methode geldt. Maar toch: waarom moet Bitwarden nog iets 'hashen' als het wachtwoord naar hun server verzonden is? Dat impliceert dat het pas daarna écht veilig is. Daar hou ik dus niet zo van: het feit dat zo'n Secret Key gewoon niet, nooit, never ever bij de online dienst terecht komt geeft mij een veiliger gevoel.

Verder (voor mij) nog een security voordeel t.o.v. de Apple Keychain: als iemand toegang krijgt tot mijn Mac wachtwoord is ook mijn sleutelhanger gecompromitteerd. 1Password heeft z'n eigen authenticatie los van de Mac zelf. Een extra barrière.

Een snippet extra info over die 'hack':

De password manager legt de oorzaak van deze hackpogingen bij zogenoemd ‘credential stuffing’. Daarbij gebruiken hackers e-mailadressen en wachtwoorden van andere inbreuken. Vervolgens proberen zij hiermee ‘op goed geluk’ in te breken in LastPass. Vooral die gebruikers die hun master password voor meerdere andere sites gebruiken, lopen hierdoor groot gevaar.

Een 'domme' hackpoging dus, en door die mislukte pogingen vanaf niet-bekende locaties werden de waarschuwingen automatisch verstuurd door LastPass. Logisch, en als een van die pogingen geslaagd zou zijn is dat alleen maar aan de gebruiker zelf te wijten die in dat geval geen uniek wachtwoord heeft gebruikt.

Dit brengt mij op een belangrijk verschil tussen LastPass en 1Password: bij die eerste mag je dat Master Password zelf kiezen (minimaal 12 karakters). Dat vraagt om problemen als deze. 1Password genereert een een random secret key van 34 karakters:



Dat levert een gegarandeerd veilige sleutel op. Door de minimale lengte én door het feit dat mensen niet zo goed zijn in het verzinnen van een random string.

People are notoriously poor at achieving sufficient entropy to produce satisfactory passwords. (wiki)

Een snippet extra info over die 'hack':

Goede aanvulling / uitleg.