FAQ

Kun je het antwoord op je vraag niet vinden? Mail je vraag dan even naar hello [you know it] chiff [dot] app.

Chiff is een nieuwe manier om in te loggen op websites. Het bestaat uit een mobiele applicatie en een browserextensie, die met elkaar communiceren via een end-to-end versleutelde verbinding.
In plaats van je gebruikersnaam en wachtwoord op een website zelf in te typen, kun je inloggen door een pushbericht op je telefoon te autoriseren. Je gebruikersnaam en wachtwoord worden dan van je mobiel naar de browser verstuurd en de gegevens worden in de juiste velden ingevuld.
Aangezien je nooit meer een gebruikersnamen en wachtwoorden hoeft te onthouden, kun je heel gemakkelijk unieke willekeurig gegeneerde wachtwoorden gebruiken, die lang en complex zijn. Naast gebruiksvriendelijk is het gebruiken van Chiff daarom ook heel veilig.

Onze afhankelijkheid van het internet groeit gestaag, en zo ook het aantal online accounts dat we hebben. Hoewel het heel gemakkelijk is om voor elk account hetzelfde wachtwoord te gebruiken, is dit niet veilig.
Als een van deze websites namelijk gehackt wordt en hun data lekt, kunnen kwaadwillende hackers je wachtwoord achterhalen. Zij gebruiken dan dit wachtwoord om ook toegang te krijgen tot al je andere accounts. Aangezien we weinig invloed hebben op hoe websites omgaan met hun databeveiliging, moeten we zorgen voor sterke en unieke wachtwoorden voor ieder account. Maar wie kan honderd verschillende complexe wachtwoorden onthouden?
Wij hebben Chiff ontwikkeld, zodat jij hier niet over hoeft na te denken. Door je wachtwoorden op te slaan op je mobiele telefoon, kun je eenvoudig inloggen door een inlogverzoek te autoriseren met de biometrische autenticatiemechanismen op je telefoon, zoals een vingerafdrukscanner of gezichtsherkenning. Omdat je geen wachtwoorden meer hoeft te onthouden, kun je gemakkelijk willekeurig gegeneerde wachtwoorden gebruiken, die lang en complex zijn.
Chiff maakt inloggen makkelijker, omdat je niet meer over wachtwoorden hoeft na te denken. Chiff maakt je ook veiliger omdat je sterke unieke wachtwoorden kunt gebruiken voor elke website.

Nadat je de Chiff browserextensie hebt geïnstalleerd, worden er cryptgrafische sleutels gegenereerd en weergegeven in een QR-code. Wanneer je deze QR-code scant met de Chiff app, worden de sleutels gebruikt om een beveiligd kanaal op te zetten tussen de app en de browserextensie. De inhoud van alle berichten die over dit kanaal worden verstuurd, kan alleen worden ontsleuteld door de telefoon en de browserextensie.
Wanneer je een bericht stuurt van de browserextensie naar de app (bijvoorbeeld een loginverzoek), verstuurt de server dit naar de telefoon als een pushbericht. Het antwoord wordt teruggesstuurd door het in een wachtrij te zetten, die door de browserextensie wordt gechecked nadat een verzoek verstuurd is.
Wij noemen het proces om een app met een browserextensie te verbinden koppelen. Je kunt een app met zoveel browsers koppelen als je wilt, maar een browser kan slechts met één app gekoppeld zijn.

Het belangrijkste veiligheidsvoordeel dat Chiff biedt, is de verandering in het aanvalsmodel. Het doelwit voor hackers is meestal de website. Als een cybercrimineel toegang krijgt tot een website, kan hij miljoenen inloggegevens tegelijkertijd verkrijgen. Meestal zijn deze gehashed, wat betekent dat hij ze eerst moet kraken voordat hij daadwerkelijk de wachtwoorden heeft. Maar als het wachtwoord makkelijk te raden of niet lang genoeg is, lukt dit meestal heel snel.
Met Chiff is het veel gemakkelijker om lange en complexe wachtwoorden te genereren, omdat je ze niet meer hoeft te onthouden. Hierdoor wordt je wachtwoord minder snel gekraakt. En zelfs als dit toch lukt, is de schade beperkt omdat je het alleen gebruikt voor die specifieke website.
Aangezien Chiff de wachtwoorden alleen op je telefoon opslaat en niet in de cloud, betekent dit dat een aanvaller je telefoon moet hacken om toegang te krijgen. Moderne smartphones zijn niet onhackbaar, maar ze zijn behoorlijk veilig en de meeste aanvalstechnieken vereisen fysieke toegang tot het apparaat. Om een lijst met miljoenen inloggegevens te verkrijgen, moet een aanvaller nu miljoenen telefoons hacken waar hij ook nog fysieke toegang toe heeft, in plaats van één website op afstand.
Dat gezegd hebbende, willen we ook eerlijk zijn over veiligheid. We kunnen niet claimen dat Chiff onhackbaar is (je zou ook nooit iemand moeten geloven die dat beweert).
We beloven wel dat Chiff ontworpen en ontwikkeld is met beveiliging als een van de kernwaarden, en dat we dit in de toekomst zullen blijven doen.
We beloven ook transparant te zijn over onze beveiliging en je te informeren als je gegevens in gevaar zijn of zijn geweest.
Als je geïnteresseerd bent in de technische details van Chiff’s beveiliging, kun je Bas zijn blog lezen over de beveiliging van Chiff (Engels)

Wanneer je Chiff hebt geïnstalleerd, moet je een paper backup maken door 12 woorden op te schrijven. Deze woorden vertegenwoordigen je unieke en willekeurig gegenereerde ‘seed’.
Alle wachtwoorden zijn afgeleid van deze seed met behulp van een deterministisch algoritme. Dit klinkt misschien moeilijk, maar het betekent gewoon dat je altijd je wachtwoorden kunt genereren als je het geheim (de seed), het recept (het algoritme) en de ingrediënten (gegevens van de websites waar je een account voor hebt, de gebruikersnamen en het aantal keer dat je je wachtwoord gewijzigd hebt. Dit wordt versleuteld opgeslagen op Chiff’s server, dus je hoeft ‘de ingedriënten’ niet zelf te onthouden) hebt.
Als je de seed (de 12 woorden van de paper backup) op een nieuwe telefoon invoert, herstelt Chiff automatisch al je accounts.

In tegenstelling tot veel wachtwoordmanagers heb je bij Chiff geen hoofdwachtwoord die je moet onthouden om alle wachtwoorden te ontsleutelen. En in tegenstelling tot veel andere wachtwoordmanagers slaat Chiff je gevoelige gegevens niet op in de cloud. Chiff biedt je een veilige en gebruiksvriendelijke oplossing om op elke website in te loggen.

Je wachtwoorden worden alleen veilig op je mobiele telefoon opgeslagen. Zo blijf je zelf eigenaar van je eigen wachtwoorden.

Om ervoor te zorgen dat het herstellen van je accounts met de paper backup goed werkt, slaat Chiff de volgende informatie op:

  • Websites waarvoor gebruikers een account hebben
  • Gebruikersnamen
  • Aantal keer dat een wachtwoord veranderd is
    Een meer gedetailleerde beschrijving van alle persoonsgebonden informatie die we verwerken, is beschreven in de privacy policy.

Ja, natuurlijk. Je kunt altijd de Chiff app openen en je wachtwoord kopiëren en plakken op een website.
Op iOS versie 12.0 en hoger, kun je Chiff instellen als wachtwoordaanbieder. Dit geeft iOS toegang om je wachtwoorden op te halen uit Chiff nadat je het geautoriseerd hebt.

Ja, je kunt TOTP-codes en HOTP-codes gebruiken met Chiff. Momenteel moet je deze nog overtypen zoals andere 2FA apps, maar in de toekomst willen we de functionaliteit toevoegen dat ze automatisch worden ingevuld.

De browserextensie is beschikbaar voor de vier meest gebruikte browsers: Google Chrome, Mozilla Firefox, Microsoft Edge en Safari.

Er zijn drie mogelijkheden om een account toe te voegen:

  1. Je kunt een nieuw account aan Chiff toevoegen door in te loggen op website zoals je normaal zou doen. Als je de browserextensie hebt geïnstalleerd, wordt er automatisch gevraagd of je het account wilt toevoegen nadat je hebt ingelogd.
    Je autoriseert dan gewoon het verzoek op je telefoon om de site toe te voegen met je vingerafdruk en je account is toegevoegd!
  2. Je kunt ook handmatig accounts toevoegen via het menu in de browserextensie of in de app.
  3. In het menu van de browserextensie kun je naar een overzicht van al je accounts. In dat accountoverzicht heb je de mogelijkheid om met een CSV-bestand meerdere accounts tegelijk te importeren.

Ja, je kunt alle inloggegevens voor ieder account bekijken in de Chiff app op je mobiele telefoon. In het menu van de browserextensie kun je ook naar een overzichtspagina met al je accounts. Daar kun je ook elk wachtwoord afzonderlijk ophalen, mocht dat nodig zijn.

Als je je inloggegevens in Google Chrome opslaat, kan dit problemen opleveren wanneer je Chiff gebruikt, bijvoorbeeld wanneer Chiff en Google allebei je gegevens proberen in te vullen. Daarom raden we aan om de optie om wachtwoorden automatisch in te vullen uit te schakelen in Google Chrome.
Disable password auto-fill in Google Chrome

  1. Klik op het Chrome menu in de werkbalk
  2. Selecteer ‘Settings’
  3. Onder Auto-fill, klik op ‘Passwords’
  4. Schakel ‘Auto Sign-in’ uit
    Op deze instellingspagina, kun je ook bewaarde wachtwoorden verwijderen.

Normaal staat het veiligheidsmodel van iOS of Android het niet toe dat apps gegevens kunnen lezen van andere apps. Wanneer een telefoon is gejailbreakt of geroot, is deze veiligheidsmaatregel verwijderd. Daarnaast is het appaaraat gevoeliger voor virussen en andere malware.
Aangezien alle wachtwoorden met Chiff worden opgeslagen op je apparaat, is de veiligheid van het besturingssysteem van de telefoon van vitaal belang voor de veiligheid van je wachtwoorden. Het gebruik van Chiff op een gejailbreakt of geroot apparaat raden wij sterk af en is daarom ook op eigen risico!

Hier is een stapsgewijze handleiding over hoe je accounts kunt importeren met een CSV-bestand. We gaan ervan uit dat je telefoon al gekoppeld is met de extensie door het scannen van de QR-code.

  1. Zorg ervoor dat je een CSV-bestand hebt met al je accounts. U kunt dit zelf maken of verkrijgen door je accounts te exporteren vanuit je huidige wachtwoordbeheerder.
  2. Klik op het icoontje van de extensie in de rechterbovenhoek van de browser. Klik in het menu dat verschijnt op ‘Alle accounts’.

    Click all accounts
  3. Klik op de webpagina op het tabblad ‘Importeren’ aan de linkerkant. Upload het CSV-bestand met de accountgegevens. Het ziet er dan als volgt uit:

    Import accounts
  4. Zet elke kolom bij de juiste titels door ze te verslepen. Als je ook titels in de CSV hebt, wil je waarschijnlijk de eerste regel negeren.
  5. Als alle gegevens goed staan, klik je op ‘Importeer’ rechtsonder. Je ontvangt dan een pushmelding op je telefoon om de accounts toe te voegen. Wanneer je de pushmelding autoriseert, worden de accounts toegevoegd.

Er zijn verschillende manieren om een bug te melden:

  1. Je kunt ons een e-mail sturen: bugs [you know it] email
  2. In de app hebben we een feedbackformulier opgenomen. Je kunt het vinden in het tabblad ‘Instellingen’ -> Over Chiff -> Feedback.
  3. Als je problemen ondervindt met één account in het bijzonder, dan kun je dit ook direct in de app melden. Ga naar het specifieke account en kies ‘Wijzig’. Klik onder de accountsgegevens op ‘Rapporteer’ en je kunt uitleggen wat niet werkte.