6 tips voor wachtwoordbeheer

Door: Koen Vervloesem | 07 september 2017 09:42

How To

Inhoudsopgave

  1. Inleiding
  2. Pagina 2

04 Wachtwoorden in de cloud

Als je je wachtwoorden op verschillende apparaten wilt gebruiken, heb je een of andere manier nodig om je wachtwoorddatabase tussen al die apparaten te synchroniseren. Er zijn heel wat wachtwoordbeheerders die dat doen door je wachtwoorden (uiteraard versleuteld) in de cloud op te slaan. Onder andere LastPass is een bekende cloudgebaseerde wachtwoordbeheerder. Helaas is het programma ook bekend door zijn beveiligingslekken de laatste jaren. Zo ontdekte beveiligingsonderzoeker Mathias Karlsson vorig jaar dat als hij een speciaal geprepareerde url naar een LastPass-gebruiker stuurde, hij zijn wachtwoorden kon lezen. De fout werd getriggerd in de code die wachtwoorden automatisch invult.

Ook Tavis Ormandy van Google Project Zero vond vorig jaar kwetsbaarheden waardoor hij wachtwoorden in LastPass kon stelen. En dit jaar vond hij nog eens een beveiligingsfout in LastPass, en deze keer vereiste de oplossing heel wat herschrijfwerk in de LastPass-browserextensie. Een veilige cloudgebaseerde wachtwoordbeheerder creëren is dus geen eenvoudige taak.

04 LastPass is een populaire wachtwoordbeheerder die je wachtwoorden online opslaat.

05 Wachtwoorden zonder synchronisatie

Er is nog een andere manier om je wachtwoorden tussen al je apparaten te synchroniseren. In plaats van wachtwoorden in de cloud op te slaan, bereken je ze telkens als je ze nodig hebt. Dat is bijvoorbeeld de aanpak van LessPass.

LessPass berekent een wachtwoord voor een website op basis van vier parameters: een login, de website, je hoofdwachtwoord en eventuele opties. Op die manier genereert het programma een sterk wachtwoord voor de website. Als je dat wachtwoord dan voor de website hebt ingesteld en de volgende keer weer op de website wilt inloggen, vul je in LessPass weer de vier parameters in. LessPass genereert dan weer hetzelfde wachtwoord en daarmee log je op de website in.

Het maakt daarbij niet uit op welk apparaat je dat doet. Je slaat je wachtwoorden niet op, omdat je ze telkens opnieuw berekent. Er bestaat een Android-app van LessPass en browserextensies voor Chrome en Firefox. De broncode van LessPass is beschikbaar, zodat iedereen kan nakijken dat er zich geen achterpoortje in de software bevindt. Maar het is nog vrij nieuwe software, zodat er nog geen grondige beveiligingsaudit van de code is gebeurd. En het nadeel is dat je al je wachtwoorden moet veranderen als je je hoofdwachtwoord verandert. Toch is het een interessante aanpak omdat hij zo anders is.

05 LessPass slaat je wachtwoorden niet op, maar berekent ze uit je hoofdwachtwoord.

Op een onveilige computer is niets veilig

Je wachtwoorden beveiligen in een afzonderlijke wachtwoordbeheerder is al een hele stap, maar uiteindelijk is dat nog niet veilig als je geen aandacht schenkt aan de beveiliging van je besturingssysteem. Dat maakte de hackingtool KeeFarce in 2015 pijnlijk duidelijk. Dit proof-of-concept toonde aan dat malware een wachtwoorddatabase van KeePass stiekem kon kopiëren zodra de gebruiker KeePass ontgrendelt. Hoewel KeePass gevoelige gegevens uit zijn wachtwoorddatabase in het ram versleutelt, omzeilde KeeFarce die bescherming door code in het procesgeheugen van KeePass te injecteren die de exportmethode van KeePass aanroept om een geopende database naar een csv-bestand te schrijven. De boodschap is duidelijk: zorg dat malware geen kans krijgt op je computer!

KeeFarce steelt de wachtwoorden uit je KeePass-database, zelfs al is die versleuteld.

06 Wachtwoorden in een doosje

Een laatste manier om je wachtwoord op te slaan is niet op je computer of in de cloud, maar op een extern apparaat. Een voorbeeld van deze aanpak is Mooltipass, een doosje dat je wachtwoorden opslaat. Je sluit het via usb aan op je computer of met een usb-otg-kabel op je smartphone of tablet.

In de Mooltipass, die overigens zo goed als volledig opensource is, steek je een smartcard, waarna je op het apparaatje zelf via een wieltje met ingebouwde knop je pincode invoert. Na de juiste pincode wordt het apparaatje ontgrendeld en heb je toegang tot je wachtwoorden. Voer je drie keer de verkeerde pincode in, dan wordt je smartcard geblokkeerd en zijn je wachtwoorden ontoegankelijk.

Via het wieltje op de Mooltipass kies je de website waarop je inlogt, waarna het apparaatje je login en wachtwoord via de usb-kabel naar je computer stuurt. Het doet zich voor je computer immers voor als een usb-toetsenbord. Het project heeft ook browserextensies voor Chrome, Firefox en Safari. Je moet er natuurlijk wel aan denken dat je altijd je Mooltipass en smartcard bij je hebt …

06 De Mooltipass Mini slaat je wachtwoorden op, beveiligd met een smartcard en pincode.

Opensource

Voor iets zo belangrijks als het beheer van je wachtwoorden zou je eigenlijk geen concessies moeten doen: de software (of hardware) moet zoveel mogelijk opensource zijn. Zo kunnen mensen altijd nagaan wat de wachtwoordbeheerder juist doet en of er lekken in zitten. Uiteraard beschikken de meesten zelf niet over de benodigde expertise, maar door het openbaar maken van de broncode leggen de makers de drempel voor analyse door beveiligingsexperts zo laag mogelijk, waardoor er meer kans is dat die hun wachtwoordbeheerder onder de loep nemen, mogelijke lekken op tijd ontdekken en het systeem zo veiliger maken.

0 Reactie(s) op: 6 tips voor wachtwoordbeheer

  • Om te reageren moet je ingelogd zijn. Nog geen account? Registreer je dan en praat mee!
  • Er zijn nog geen reacties op dit artikel.

Wanneer je een reactie plaatst ga je akoord
met onze voorwaarden voor reacties.