Firefox password management is open source. Niet dat ik de kennis heb om die code te beoordelen, maar het geeft me enig vertrouwen. Ik kan op Internet geen verhalen vinden over ongelukken hiermee. Ook geen artikelen waar met uitgebreide technische argumenten uitgelegd wordt wat er mis mee is. Uiteraard valt of staat het met een sterk master password, ook op de PC/laptop. En met de beveiliging van je e-mail, want bij 90% van de sites die ik er in heb staan kan je het wachtwoord resetten dmv een e-mail met een reset link.
… wachtwoorden opslaan …
Heeft als consequentie dat je wèl jouw eigen werkplek goed moet beveiligen !
Mozilla’s Firefox slaat de wachtwoorden versleuteld op in jouw Firefox-profiel.
Als je dat profiel weet te kopiëren en dan gebruikt, dan kun je overal in.
( dat gebruik ik wel eens als ik op veel plekken moet zorgen voor dezelfde werk-situatie )
Dus:
- laat de PC/mobiel niet onbeheerd achter
- altijd “op slot” zetten bij vertrek: ( is dat nog steeds met toetscombi-L ? of met Ctrl-Alt-Del ? ; ik gebruik al jaaaren geen windhoos meer … )
- en maak ergens een offline BackUp “voor het geval dat …”
Het belang van een BackUp zie je meestal te laat;
meestal hoor je bij een ramp: “Ja, ik wilde nèt vandáág een kopie gaan maken …”
1 like
Op zich vind ik dit naar omstandigheden goed advies. Uiteindelijk is het beter als je zelf risico’s kunt identificeren en kunt beperken en dat geldt niet alleen voor dit overwerp. Het is natuurlijk ook een balans maar ik vind wel dat we moeten benoemen dat het uiteindelijk je eigen verantwoordelijkheid is.
Uiteindelijk komt er altijd “vertrouwen” bij kijken. Je wilt zo min mogelijk hoeven te vertrouwen en daar bij wil je integriteit kunnen handhaven. Dat werkt beter als een programma beperkte functionaliteit heeft. (do one thing and do it right). Een browser heeft een groot aanvalsoppervlak.
Als ik hier e.a. over lees lijkt me dat de mooiste en veiligste oplossing.
De website van MindYourPass is echter erg slecht in uitleggen hoe het in de praktijk werkt.
Een paar zaken die zo bij me opkomen:
- Moet je zelf nog in een ‘database’ bijhouden welke username je voor welke website hebt gebruikt?
- Hoe kopieer je het steeds opnieuw aangemaakt wachtwoord naar de login van de betreffende website?
- Hoe is in dat kopieer proces beveiligd zodat dat wachtwoord niet in de copy/paste functie blijft hangen en door iets ander gebruikt zou kunnen worden c.q. uitgelezen?
- Die wachtwoord generator, is dat een website of app die je op dezelfde computer gebruikt als de applicatie waar je moet inloggen? (Overtypen van lange wachtwoorden van het ene naar het andere apparaat is niet erg gebruikersvriendelijk)
- Veel websites hebben heel specifieke wachtwoord eisen, hoe zorg je ervoor dat het gegenereerde wachtwoord aan die specifieke eisen voldoet?
Er is een klein nadeel. Voor een offline wachtwoord applicaties, b.v. FIPS 140-2 level 3 encrypted USB drives zou je niet online hoeven zijn om een wachtwoord in te vullen als je een wachtwoord kluis zou gebruiken. Dat moet met MindYourPass wel. Maar de kans dat je bij dat soort offline gebruik niet online zou kunnen zijn is klein en lijkt dat nadeel wat theoretisch.
Ik ga het in ieder geval eens uitproberen voor nieuwe logins en zien hoe het precies werkt.
1 like
Helaas niet beschikbaar op F-Droid.
Dit topic is 14 dagen na het laatste antwoord automatisch gesloten. Nieuwe antwoorden zijn niet meer toegestaan.