Wachtwoordbeheer met 1Password en DUO security

TL;DR:

Gebruik 1Password met DUO Device Management voor veilige, betrouwbare wachtwoordopslag en beheer van geheime configuraties in cloud- en ontwikkelomgevingen, geschikt voor freelancers en het MKB.

Waarom dit artikel relevant is

• Voor ondernemers:
• • Garandeer dat bedrijfsgegevens veilig blijven en voldoe aan beveiligingseisen.
• Voor ontwikkelaars: 
• • Moeiteloos geheime configuraties en variabelen veilig opslaan en gebruiken.
• Voor IT-beheerders: 
• • Bescherm bedrijfsgegevens tegen cyberdreigingen en voldoe gemakkelijker aan privacywetgeving door apparaten en gebruikers betrouwbaar te authenticeren.

Probleemstelling

Hoe zorg je ervoor dat bedrijfsgegevens zoals wachtwoorden, configuraties en API-sleutels zowel eenvoudig toegankelijk als maximaal beveiligd zijn voor alle medewerkers?

DUO Device Management

Door 1Password te combineren met DUO Security kun je via betrouwbaar apparaatbeheer (Device Management) de toegang beveiligen. Hierdoor is het authenticatieproces aanzienlijk veiliger en beter beschermd tegen phishing en hacks. Met DUO kun je apparaten controleren en zorgen dat het OS, browsers en software altijd up-to-date zijn, zodat apparaten geen risico vormen voor je onderneming.

Hoe werkt dit?

• Log in op 1Password.
• Verifieer het apparaat via DUO Device Management, bijvoorbeeld via de DUO Mobile App.
• Verkrijg veilig toegang tot jouw wachtwoorden en kluizen in 1Password.

Meer informatie vind je op de officiële documentatiepagina's:

• DUO integratie met 1Password
• 1Password ondersteuning voor DUO

Toegang tot je kluis

1Password biedt beveiligde wachtwoordkluizen die toegankelijk zijn via:

• Browser-extensies: Automatische invulling van wachtwoorden en formuliergegevens.
• Mobiele apps: Altijd veilige toegang onderweg, extra beschermd via DUO-verificatie.
• Desktop-apps: Eenvoudig beheer en overzicht op je werkplek.
• CLI-tool: 1Password CLI voor geautomatiseerde en veilige toegang tot secrets en configuraties.

Hierdoor zijn je gegevens altijd en overal veilig beschikbaar, zonder in te boeten op gebruiksgemak.

Voor ontwikkelaars en ops engineers

Met de 1Password CLI-tool kun je eenvoudig en veilig omgevingsvariabelen, YAML- en JSON-configuraties laden vanuit je wachtwoordkluis. Hierdoor hoef je nooit meer gevoelige gegevens lokaal of in Git op te slaan.

Voorbeelden:

Om .env-bestanden te laden zonder de waarden op te slaan:

op run --env-file="./prod.env" -- aws

Om YAML of JSON-configuraties te laden:

op inject -i config.template.yaml -o config.yaml

Bekijk meer voorbeelden en details op de 1Password CLI documentatiepagina.

Omgeving configuraties in kluizen

Door configuratiebestanden en API-keys te centraliseren in 1Password, zorg je ervoor dat alle cloud- en CI/CD-omgevingen reproduceerbaar en veilig worden opgezet.

Stappen:

• Bewaar cloudconfiguraties in gestructureerde items in 1Password.
• Laad configuraties via scripts of pipelines.
• Garandeer dat je altijd een schone, veilige en voorspelbare omgeving creëert.

Dit voorkomt menselijke fouten, verhoogt beveiliging en versnelt de implementatie van infrastructuur en diensten.

Veelgemaakte fouten

Wachtwoorden in onveilige bestanden of locaties opslaan

Helaas zien we wachtwoorden nog vaak opgeslagen in losse bestanden, Excel-documenten, tekstbestanden, e-mails, en zelfs zogenaamde "onzichtbare" verborgen mappen. Deze zijn echter alleen onzichtbaar voor de gebruiker zelf, niet voor hackers of malware. Door wachtwoorden en configuraties centraal in 1Password te bewaren, voorkom je deze risicovolle praktijken.

Gevoelige informatie in Git opslaan

Vaak worden wachtwoorden en configuraties per ongeluk opgeslagen in versiebeheersystemen zoals Git. Zelfs het gebruik van zogenaamde "Git secrets" kan problematisch zijn, omdat je voor elke server of omgeving nieuwe configuraties moet aanmaken en beheren. Door gebruik te maken van 1Password CLI om configuratiebestanden direct te laden, kun je vanuit één centraal beheerde configuratie je hele DTAP-omgeving veilig inrichten.

Geen apparaatverificatie gebruiken

Veel bedrijven gebruiken nog steeds onvoldoende apparaatverificatie. Zonder dit risico-beperkende mechanisme kunnen onbeheerde apparaten met verouderde software of malware je organisatie kwetsbaar maken. DUO Device Management voorkomt dit door apparaten proactief te controleren op veiligheid en compliance.

Zwakke wachtwoorden en onveilige SSH-sleutels gebruiken

Het gemak van een wachtwoordmanager zoals 1Password draagt bij aan het gebruik van sterke, automatisch gegenereerde wachtwoorden. Te vaak worden simpele wachtwoorden gebruikt omdat deze makkelijk te onthouden zijn, met alle risico’s van dien. Daarnaast komen we vaak onveilige of hergebruikte SSH-sleutels tegen. Met een kluisbeheerder zijn sterkere wachtwoorden en veilige sleutels eenvoudiger in gebruik dan ooit.

Overzicht verliezen over de hoeveelheid configuraties

Wanneer je configuraties verspreid opslaat, verlies je gemakkelijk het overzicht. Centralisatie in 1Password biedt structuur en transparantie, waardoor je precies weet welke configuraties actief zijn en welke toegang hebben tot bepaalde informatie.

Door bewust te zijn van deze veelgemaakte fouten en proactief te kiezen voor een centraal en veilig wachtwoordbeheer met 1Password en DUO Device Management voorkom je dat je organisatie onnodige risico’s loopt.

Best Practices

• Gebruik DUO Device Management voor multifactor-authenticatie en apparaatbeheer.
• Centraliseer configuratie en secrets in 1Password en gebruik automatisering via CLI voor laden.
• Werk alleen met verwijzingen naar kluis-items in je .env, YAML- of JSON-bestanden. Laad secrets "on demand" om altijd de juiste en veilige configuratie te gebruiken.

Niet aanbevolen: De standaard Github Action van 1Password, omdat deze alleen Linux ondersteunt en geen Windows. Bij ASD Engineering gebruiken we een aangepaste Github Action gebaseerd op shyim/1password-load-secrets-action, die wel volledige Windows-ondersteuning biedt.

Meer informatie:

• Github Action van 1Password
• Beperkingen van standaard Github Action

Samenvatting en resultaat

Door 1Password te integreren met DUO Security zorg je voor optimale beveiliging én gebruiksgemak binnen je bedrijf. Het beheren van wachtwoorden, configuraties en secrets is zo eenvoudiger, veiliger en reproduceerbaar. Bovendien zijn de kosten voor DUO en 1Password zeer geschikt voor freelancers en MKB-bedrijven:

• DUO gratis voor 1-10 gebruikers
• Goede prijzen en integratie-opties met 1Password Teams en Business

FAQ

Kan ik DUO met ieder apparaat gebruiken?

Ja, DUO biedt breed apparaatbeheer. Controleer altijd de compatibiliteit op de DUO website.

Is het veilig om alle secrets in 1Password te bewaren?

Ja, mits gecombineerd met strikte toegang via DUO Device Management met minimaal 2FA (bijvoorbeeld wachtwoord + apparaatverificatie via DUO). DUO ondersteunt echter ook meer dan twee factoren (MFA), zoals wachtwoord + apparaat + biometrie.

Hoe ASD Engineering dit toepast

Bij ASD Engineering gebruiken we zelf 1Password intensief voor credential management, configuratiebeheer en veilige integratie in onze CI/CD-pipelines. DUO Device Management zorgt ervoor dat alleen geauthenticeerde apparaten toegang krijgen tot onze kluizen.

Voor een klant met veel remote en hybride medewerkers hebben wij DUO + 1Password geïmplementeerd voor veilig identity- en credentialbeheer, waardoor veilig werken vanaf iedere locatie gegarandeerd is.