Al geruime tijd ben ik de gelukkige gebruiker van een wachtwoordmanager: BitWarden.
Nu vroeg ik mij af of het verstandig was om twee staps verificatie codes óók in de BitWarden app te zetten.
Schep ik daarmee een beveiligingsrisico?
Ik bedoel, ik heb nu op mijn telefoon een app, HENNGE Lock, staan, waarmee ik een tijdelijke code kan krijgen waardoor ik inlog op mijn accounts.
Er zijn ook van die fysieke apparaten waarmee je je beveiliging kunt vergroten, zoals Yubikey, alleen maak ik over het algemeen slechts gebruik van 2 apparaten: mijn telefoon en mijn computer. Daardoor heb ik het idee dat het behoorlijk ‘overkill’ is om zo’n apparaatje te gaan gebruiken.
Alleen die HENNGE Lock app is verder ook niet beveiligd, dus als iemand het voor elkaar krijgt om in mijn telefoon te komen (wat op zich al een prestatie is, maar niet onmogelijk), dan kan deze persoon ook bij die codes. Dus kan het dan niet net zo goed in de wél beveiligde BitWarden app zitten, die tóch al op mijn telefoon staat?
Aan de ene kant heb ik het idee dat dit details zijn. Aan de ene kant werkt het zoals ik het nu gebruik. Aan de andere kant is het niet meer in hoeven vullen van verificatiecodes ook best plezierig, zolang de beveiliging daarmee in stand blijft.
Dus vandaar dit onderwerp. Ik vroeg me af of er meer mensen waren die zich dat afvroegen.
inderdaad interessant om hier ideeën over uit te wisselen. Je zou bijvoorbeeld ipv te kiezen voor BitWarden ook kunnen gaan voor het zelf (lokaal)hosten van je eigen soort bitwarden - vaultwarden: https://github.com/dani-garcia/vaultwarden
zolang niemand bij je vaultwarden kan en / of je masterkey weet, en wetende dat vaultwarden alles zelf ook gecodeerd heeft bewaard op je local hosted device, lijkt het me aardig veilig. Maar ik ben hobby matig geïnteresseerd in netwerken en security, dus lees graag mee naar andere experts opmerkingen…
Ik heb geen apparaat waarop ik een ‘local hosted’ iets kan draaien.
Dan moet ik mijn computer waarschijnlijk de hele dag aan laten staan. Dat lijkt me niet digitaal duurzaam en daarom heb ik daar geen zin in.
Toch bedankt voor de tip!
Zelf ben ik inmiddels over op Proton Pass én ben ik uren bezig geweest om de ‘secrets’ / 2FA codes er in te zetten.
Mocht ik nu ergens in willen loggen, dan ben ik zo binnen.
Nu weet ik alleen nog steeds niet of het een goed idee is om je wachtwoorden en je 2FA codes op dezelfde plek te bewaren…
Edit: zojuist mijn BitWarden abonnement opgezegd. Die loopt dan voor de betaalde periode nog gewoon door. Dus mocht er iets gruwelijks misgaan met Proton Pass dan kan ik nog terug. Alleen heeft Proton over het algemeen zijn zaakjes goed op orde.
Over de mfa-codes in bitwarden of een aparte app (ik gebruik authy): Die heb je dan in de regel op het zelfde apparaat, daarmee lijkt het dat iedereen die dat toestel heeft ook bij de codes kan maar dat is als het goed is niet het geval: Je toesel moet met die apps in de regel een pincode of vingerafdruk of zo iets hebben en misschien wel alle twee. En die apps vragen je daar ook af en toe om.
Vanaf ergens vorige maand heb je er nog een optie bij: Passkeys! Sinds de afgelopen zomer zijn een aantal grote partijen daar mee gestart en nu biedt BitWarden daar ook haar mogelijkeden. Wees niet bang voor passkeys: Ja ze zijn ‘makkelijker’ maar onder water is het meer dan een groot wachtwoord: Ze zijn specifiek tussen jou apparaat en de website met een over-en-weer controle, een andere website zal jou daar nooit toegang op kunnen geven.
Test je passkey op passkey.org. Gebruik bitwarden als opslag.
Momenteel heb ik enkel voor Nintendo een passkey.
Om de een of andere reden wil Apple dat deze opgeslagen wordt in de Keychain. Nu kan het natuurlijk zijn dat Proton Pass het niet ondersteunt, maar praktisch vind ik het niet.