Beheer

Security
Wachtwoorden

Patch je password-manager. Nu!

Vrees dat wachtwoordmanager 'single point of failure' kan zijn versterkt.

© Pixabay
2 maart 2017

Vrees dat wachtwoordmanager 'single point of failure' kan zijn versterkt.

Het lijkt zo mooi, altijd voor alle sites een uniek, sterk wachtwoord terwijl je er zelf maar één hoeft te onthouden. Maar het idee dat je daarmee ook echt veilig bent, dat is een brug te ver.

Wachtwoorden zijn al sinds jaar en dag een probleem. Je hebt natuurlijk voor veel toepassingen een mechanisme nodig waarmee de gebruiker kan aantonen dat hij is wie hij claimt te zijn. Maar het meest voor de hand liggende mechanisme, het wachtwoord, is verre van ideaal. Zeker voor de gebruiker stapelen de problemen zich op. Wachtwoorden zijn moeilijk te onthouden, zeker als het aantal sites waarvoor je een wachtwoord nodig hebt zo groot is als nu op internet het geval is. De eisen aan een goed wachtwoord worden steeds zwaarder, nu cybercriminelen steeds meer rekenkracht en geavanceerdere methoden tot hun beschikking hebben om ze te kraken. Wachtwoorden moeten daarom langer worden, en liefst ook cijfers, hoofdletters en speciale tekens bevatten. En natuurlijk is de branche er ook weer eens in geslaagd om daar níet één lijn in te trekken, zodat sommige tekens op de ene site wel en op de andere niet geaccepteerd worden. Tel daarbij op dat sommige sites je dwingen periodiek je wachtwoord te wijzigen, en het wordt steeds begrijpelijker dat wachtwoorden zoals 123456  en qwerty jaar in, jaar uit tot de meest gebruikte blijken te behoren. 

De introductie van wachtwoordmanagers leek de ultieme oplossing voor dit probleem. In één keer verlost van de noodzaak voor ieder site waarop je moet inloggen een wachtwoord te verzinnen met een applicatie die onbegrijpelijk lange wachtwoorden voor je maakt, en die ze voor je onthoudt zodat je altijd probleemloos kunt inloggen. Dan hoef je nog maar één wachtwoord te onthouden: dat van de wachtwoordmanager. En één lang, sterk wachtwoord onthouden, dat is voor de meesten van ons wel te doen.

Die wachtwoordmanager moet zelf dan wel uitermate veilig zijn. Want als iemand zich daar ongeoorloofd toegang toe verschaft, ben je in één keer alle sleutels kwijt. Twijfels over de veiligheid van die wachtwoordmanagers weerhoudt dan ook menigeen van het gebruik ervan. Een recent onderzoek van het Fraunhofer Institute for Secure Information Technology naar wachtwoordmanagers in Googles Play Store versterkt deze twijfel.

Alle wachwoordmanagers lek

De onderzoeksinstelling nam 9 wachtwoordmanagers onder de loep. In totaal werden 26 kwetsbaarheden vastgesteld. 'Uitermate verontrustend', concluderen de onderzoekers. 'In weerwil van hun claims bieden ze onvoldoende bescherming voor de opgeslagen inloggegevens. In plaats daarvan misbruiken ze het vertrouwen van gebruikers en stellen ze hen bloot aan hoge risico's.'

Geen één van de onderzochte applicaties was zonder zwakke plekken. 6 van de 9 hadden er mee dan één. Alleen Informaticore Password Manager, F-Secure Key Password Manager en Hide Pictures Keep Safe Vault hadden er maar één. Avast Passwords telde er 6, 1Password 5, Dashlane 4, LastPass en MyPasswords 3 en Keeper 2.

Inmiddels zijn alle lekken gedicht. Maar de zorgelijke conclusie is, dat dit pas gebeurde nadat een externe partij erop gewezen had. Je weet natuurlijk nooit of een partij met minder goede bedoelingen de lekken niet al eerder heeft gevonden. En de constateringen van het Fraunhofer Institute for Secure Information Technology zetten ook vraagtekens bij de veiligheid van de wachtwoordmanagers die genoemde partijen voor andere platforms hebben ontwikkeld. Dat is niet onderzocht. Maar de regels waartegen de Android-apps zondigden hadden bekend kunnen en moeten zijn bij de ontwikkelteams. Dat ondergraaft het vertrouwen in de kwaliteit van het ontwikkelwerk voor andere platforms.

Patchen moet!

Of het geconstateerde risico reden is om af te zien van het gebruik van wachtwoordmanagers, moet ieder voor zich weten. Het zelf bedenken en onthouden van veilige wachtwoorden is immers ook een lastige klus waarbij je al snel geneigd bent er hier en daar de kantjes vanaf te lopen. Wellicht is het een goed idee om een scheiding aan te brengen en twee of drie wachtwoordmanagers in te zetten, als je van dit middel gebruik van wilt maken. Dat vermindert de schade, als het mis gaat. Maar als je een wachtwoordmanager gebruikt, moet je die inn ieder geval wel goed patchen en steeds meteen de nieuwste patches laten aanbrengen. Want het is dus een sprookje dat de leveranciers van dit beveiligingshulpmiddel een gegarandeerd veilig product leveren. En je mag erop rekenen dat cybecriminelen dankzij de publicatie van het Fraunhofer Institute for Secure Information Technology met hernieuwde interesse op zoek zullen gaan naar de lekken in wachtwoordmanagers.

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.