Is je wachtwoordmanager nog wel veilig?

Door: justin-doornekamp | 04 maart 2019 17:26

Apps & Software

Er zijn grote kwetsbaarheden gevonden in diverse bekende wachtwoordmanagers. Zijn je wachtwoorden nog wel veilig?

Een onderzoek van The Independent Security Evaluators (ISE) stelt dat wachtwoordmanagers niet zo veilig zijn in het gebruik als je zou denken. Er werden diverse kwetsbaarheden gevonden bij vier populaire programma’s, waarbij in sommige gevallen belangrijke wachtwoorden gewoon in tekst werden opgeslagen in het geheugen van iemands computer.

Voordat je in paniek schiet en overweegt om je wachtwoordmanager direct van je computer te halen: ISE blijft het gebruik van een programma voor je wachtwoorden nog steeds adviseren. Zelfs de tools die ISE onderzocht, omdat ze zeer effectief zijn in het bestrijden van zwakke wachtwoorden.

ISE keek naar 1Password, Dashlane, KeePass en LastPass op Windows 10 en kwam erachter dat in sommige gevallen het hoofdwachtwoord, waarmee je toegang krijgt tot al je wachtwoorden, in tekst werd opgeslagen op je computer. Dat is niet veel beter dan het wachtwoord gewoonweg in een Word-documentje te zetten. Iemand met kwade bedoelens komt daar toch wel bij. En als aanvallers eenmaal in je wachtwoordmanager zitten, dan krijgen zij direct toegang tot alle gebruikersnamen en wachtwoorden die je erin hebt opgeslagen. Maar let wel: een hacker heeft in dit geval nog steeds toegang tot je computer nodig.

Volgens ISE doen wachtwoordmanagers weliswaar pogingen om data zoveel mogelijk op te schonen, zodat deze niet in het geheugen van je pc blijven staan, maar veel programma’s slagen hier niet volledig in. De onderzoekers stellen dat er een urgente oplossing nodig is om de opschoning van opgeslagen data te verbeteren. Zolang er geen oplossing is, wordt geadviseerd om je wachtwoordmanager niet op de achtergrond te laten draaien, zelfs niet als het programma nog vergrendeld is met het hoofdwachtwoord.

Nog steeds veilig

LastPass is inmiddels met een patch gekomen, terwijl KeePass en 1Password de kwetsbaarheden een aanvaardbaar risico noemen. Dashlane erkent de risico’s die gevonden zijn, maar geeft er geen prioriteit aan om met een oplossing te komen.

Hoewel de genoemde wachtwoordmanagers dus kwetsbaarheden vertonen, zien zowel ISE als de bedrijven achter de programma’s geen reden om ze direct van je computer af te halen. Temeer omdat hackers eerst nog in je computer moeten komen, bijvoorbeeld via malware. Een wachtwoordmanager is daarmee nog steeds de veiligste keuze om je wachtwoorden te beheren. Mits je wel goede antivirussoftware hebt geïnstalleerd, uiteraard.

thuiswerken
LastPass is inmiddels met een patch gekomen om de kwetsbaarheden op te lossen.

1 Reactie(s) op: Is je wachtwoordmanager nog wel veilig?

  • Om te reageren moet je ingelogd zijn. Nog geen account? Registreer je dan en praat mee!
  • 7 maart 2019 17:26 Tonny Eijsermans
    Is het gebruik van Yubikey een aanrader om het toch nog veiliger te maken?
    Wanneer je een reactie plaatst ga je akoord
    met onze voorwaarden voor reacties.

Wanneer je een reactie plaatst ga je akoord
met onze voorwaarden voor reacties.