Beheer

Security
Slechte manier om wachtwoorden te bewaren

Weg van LastPass? Dit zijn drie alternatieven

LastPass afgekraakt door security-experts na hacks in augustus en november.

Een slechte manier om wachtwoorden te bewaren. © Shutterstock.com
25 januari 2023

LastPass afgekraakt door security-experts na hacks in augustus en november.

Wachtwoordmanager LastPass ligt de afgelopen maanden onder vuur, na twee digitale inbraken bij het bedrijf die geleidelijk aan steeds erger blijken te zijn. De dienst en het bedrijf kregen in december al flinke kritiek van security-experts, die gebruikers het advies gaven om naar een alternatief te gaan. Nu aan het licht is gekomen dat (versleutelde) back-ups van klantgegevens ook zijn gestolen, is de nood helemaal hoog. Maar welke alternatieven voor LastPass zijn er eigenlijk? En wat kosten die?

Cybercriminelen kregen in augustus 2022 toegang tot delen van de ontwikkelomgeving van LastPass. De aanvallers wisten delen van de broncode en 'gepatenteerde technische informatie' te stelen van het bedrijf. Dat bleek ook informatie te omvatten waarmee de criminelen in november toegang kregen tot een cloudopslag van een derde partij, die zowel door LastPass als door moederbedrijf GoTo gebruikt werd. Daar konden de digitale inbrekers privacygevoelige gegevens inzien, en ook - zo bleek deze week - versleutelde klantback-ups stelen. Daarnaast is er bewijs dat er een encryptiesleutel voor een deel van die back-ups gestolen is.

Voor diverse security-experts waren de incidenten in december al reden om te waarschuwen en gebruikers te adviseren om over te stappen naar een alternatief. Dat vergaande advies was mede ingegeven omdat het ene incident uit augustus leidde tot de tweede in november. Daarnaast wordt door LastPass de verantwoordelijkheid met name op de klant afgeschoven: als die maar een master password heeft dat sterk genoeg is, dan zou er nu niets aan de hand zijn. Maar LastPass deed zelf weinig om een goed wachtwoord af te dwingen, aldus de experts.

Voor velen is dit alles reden genoeg om te zoeken naar een alternatief. Waar kun je heen en wat kost dat dan? Dit zijn drie goede alternatieven.

1Password

1Password is al jarenlang samen met LastPass één van de populairdere opties. Security-experts noemen deze optie dan ook regelmatig. De dienst werkt met vrijwel alle besturingssystemen - ook Linux en Chrome OS - en veel browsers, zoals Chrome, Firefox, Safari, Edge en Opera.

Qua beveiliging vraagt 1Password - in tegenstelling tot LastPass - niet alleen om een gebruikersnaam en een master wachtwoord om toegang te krijgen tot de wachtwoordkluis. Ook moet er een 'vault key' ingevuld worden. Deze vault key wordt bij het aanmaken van het account met de gebruiker gedeeld, waarna de gebruiker deze zelf ergens moet opslaan. 1Password benadrukt dat zijn servers geen kopie hebben van de ontsleutelde vault key en dat het bedrijf deze dus ook niet kan delen (of laten stelen). "Daardoor kan een aanval op onze server niet resulteren in het onbedoeld delen van de sleutel", aldus het bedrijf in zijn Security Design whitepaper (pdf). 

Verder kunnen gebruikers tweestapsverificatie instellen via een fysieke beveiligingssleutel, zoals de Yubikey. Ook is het mogelijk om met biometrische authenticatie in te loggen, bijvoorbeeld met Touch ID op een Mac, Face ID op iOS of een vingerafdrukscanner op Android-smartphones. Verder zit er een reismodus in, waarmee gevoelige data uit 1Password op een mobiel apparaat gehaald wordt voor tijdens het reizen. Op die manier kan de data niet gelekt worden bij grenscontroles. Na het reizen kan de data met een enkele klik weer teruggezet worden.

Overstappen van wachtwoordmanager

Wie overstapt naar een andere wachtwoordmanager, doet er goed aan twee extra stappen te nemen:

  1. Kies een ander master wachtwoord dan bij de vorige dienst, die je nu dus gaat verlaten. Want net zoals je beter niet hetzelfde wachtwoord kunt gebruiken voor verschillende accounts op bijvoorbeeld social media, geldt dat ook voor wachtwoordmanagers. Zeker als een password manager al eens gehackt is en er data in verkeerde handen is gevallen.
  2. Verander al je wachtwoorden, zeker als de vorige password manager het slachtoffer is geworden van een hack, zoals bij LastPass het geval is. Er zijn inmiddels namelijk al berichten dat cybercriminelen de gestolen LastPass-kluizen actief aan het ontsleutelen zijn, wat betekent dat je wachtwoorden waarschijnlijk niet meer veilig zijn.

Helaas is 1Password niet gratis beschikbaar. Een individueel account kost 2,99 dollar per maand, met 14 dagen gratis proeftijd. Ook is er een optie om een familieaccount voor vijf familieleden aan te maken, voor 4,99 dollar per maand. Voor zakelijk gebruik kan er per account betaald worden - wat 7,99 dollar per gebruiker per maand kost - of een vast bedrag van 19,95 dollar per maand voor maximaal tien teamleden. 

Bitwarden

Ook Bitwarden wordt regelmatig genoemd als goed LastPass-alternatief. Deze optie is volledig open source en de broncode is in z'n geheel op op GitHub te bekijken. Gebruikers kunnen daar de code dus inzien, deze nagaan op beveiligingsgaten en eventueel ook zelf bijdragen aan de codebase. Daarnaast is het mogelijk om Bitwarden te gebruiken zonder de Bitwarden-cloud in te moeten zetten. Gebruikers kunnen de dienst en de bijbehorende infrastructuur namelijk ook met Docker zelf draaien op een platform naar keuze.

Bitwarden werkt op alle grote besturingssystemen en in alle populaire browsers, waaronder ook Brave, DuckDuckGo voor Mac en de Tor Browser. Verder is er een optie om een beveiligd tekstbericht naar een ander te sturen, met daarin inloggegevens. Qua beveiliging deelt Bitwarden verder zijn security audits op zijn website, net als meer informatie over de beveiliging van de vault en andere securitymaatregelen die het heeft genomen.

Eén van de redenen dat Bitwarden populair is, is ongetwijfeld ook dat er een volledig gratis optie is voor privégebruik, zonder beperking voor het aantal apparaten waarop Bitwarden gebruikt wordt. Voor tien dollar per jaar krijgen privégebruikers ook inloggen met tweestapsverificatie (met bijvoorbeeld YubiKey), een Authenticator en 1GB aan opslag. Voor gezinnen is er een familie-optie voor 40 dollar per jaar, voor maximaal zes gebruikers. Voor zakelijk gebruik zijn er accounts vanaf 3 dollar per maand per gebruiker.

KeePass

Een derde goede optie is KeePass, dat in tegenstelling tot veel andere diensten niet cloudgebaseerd is. In plaats daarvan is dit losstaande software, die je zelf moet hosten als je het op meerdere apparaten wil gebruiken. Dat betekent ook dat je dus zelf verantwoordelijk bent voor de beveiliging van de plek waar je KeePass host. Zet je het in een clouddienst die slecht beveiligd is, dan is dat jouw eigen verantwoordelijkheid. Verder zijn er via plug-ins en heel veel uitbreidingsmogelijkheden, maar er zal dus wel veel zelf aan geknutseld moeten worden aan deze wachtwoordmanager. 

De software is volledig open source en helemaal gratis beschikbaar. Alle bestanden in de database worden standaard versleuteld, dus niet alleen je wachtwoorden. Net als bij andere wachtwoordmanagers moet er een master sleutel gebruikt worden om bij de opgeslagen data te komen. Meer informatie over de beveiliging van KeePass is te vinden op de website van de dienst

KeePass is officieel alleen beschikbaar voor Windows, maar omdat het opensourcesoftware is, zijn er talloze forks voor verschillende platformen gemaakt. Je kunt de dienst dus ook gebruiken voor Android, iOS, macOS en diverse browsers, en zelfs voor BlackBerry-apparaten.

Update 27 januari 2023: Het NCSC waarschuwt voor een kwetsbaarheid in KeePass, waarmee aanvallers wachtwoorden in plaintext kunnen exporeren. Hiervoor is echter wel toegang tot de computer nodig. KeePass heeft daarom aangekondigd geen patch uit te brengen voor het probleem. De kans op misbruik is te verkleinen door de parameter "ExportNoKey" in de Enforced Configuration File op "false" te zetten. Daarmee wordt het vereist om het masterwachtwoord in te voeren voor data geëxporteerd kan worden. Het NCSC adviseert organisaties een risico-afweging te maken voor het gebruik van KeePass. 

Heb je nog meer goede of zelfs betere alternatieven voor LastPass? Deel ze met andere lezers door onder dit artikel een reactie te plaatsen! 

11
Reacties
Dennis Seuren 26 januari 2023 12:56

Wij gebruiken Dashlane, bevalt uitstekend!

George 26 januari 2023 12:41

Ook MSecure mag als alternatief niet ontbreken.

Mr Marcie 26 januari 2023 12:19

Tsja, van Lastpass al jaren geleden afscheid genomen. Toen waren er ook allerlei issues. Gekozen voor Bitwarden en gebruik ik nu alweer een jaar of 6 a 7. Zeer tevreden over. En KeepassXC (Linux) staat op mijn main werkstation voor paar zakelijke dingen die ik niet in de cloud wil hebben.
Helaas had ik bij overstappen van Lastpass naar Bitwarden 'vergeten' om alles te deleten. Dat dus paar weken geleden gedaan. En ben nu overal bij mijn essentiele zaken passwords aan het wijzigen. Maar alle 2500+ lukt niet maar dat is voor groot deel fora en logins op infosites e.d.

e.meijer 26 januari 2023 12:19

@Fred: Scherp. Ook aangepast.

Fred.vandijk 26 januari 2023 12:15

Zelfde fout in privé gebruik van bitwarden, is 10 per jaar niet per maand

Pierre Getrouw 26 januari 2023 12:03

Wij hebben gekozen voor Keeper (keepersecurity.com) als password manager, die zeker niet mag ontbreken als altternatief. Groet Pierre Getrouw

e.meijer 26 januari 2023 08:59

@Patrick: Excuus, je hebt helemaal gelijk! Ik heb het direct even aangepast.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.