Naar de inhoud Naar het menu

Kun je je wachtwoorden veilig bewaren?

nieuws/220905-wachtwoorden-veilig-bewaren.png

Na bericht van vorige week dat wachtwoordmanager LastPass was gehackt, raakten collega's met elkaar in gesprek op onze interne chat over hoe je wachtwoorden kunt bewaren. Dat willen we jullie niet onthouden, daarom hieronder een paar opmerkingen en linkjes. Als je er geen chocola van kunt maken, het komt neer op: gebruik een lokale kluis, maak een lokale back-up en gebruik altijd twee factor authenticatie :-)

Er zijn bij de hack trouwens geen gegevens of wachtwoorden gelekt.

Wat maakt een online wachtwoordmanager kwetsbaar?

Een online wachtwoordmanager zoals Lastpass is kwetsbaar, omdat deze kan worden gehackt. In de manager worden niet alleen wachtwoorden opgeslagen, maar ook de loginnaam en de plek waar moet worden ingelogd. Alle info staat bij elkaar, super handig, ook voor de dief. Natuurlijk doen de bedrijven die online wachtwoordmanagement aanbieden er alles aan om hacks te voorkomen. Maar vaststaat dat er altijd nieuwe kwetsbaarheden zullen worden gevonden. 

Wat is een voordeel van een online wachtwoordmanager?

Je houdt toegang tot je wachtwoorden, ook als bijvoorbeeld je laptop kwijt is of kapot gaat. Omdat de kluis online staat, is deze altijd en overal te bereiken. Maar goed, dat is dus direct het nadeel: het feit dat je kluis online staat betekent dat deze ook beter benaderbaar is voor anderen.       

De andere optie: offline bewaren

Je kunt overwegen je wachtwoorden lokaal op te slaan. Dat wil zeggen: op je eigen computer. Een voorbeeld van een offline wachtwoordmanager is KeePassXC, dit is een open source programma.

Zwakke plek

Ook offline wachtwoordmanagers kennen zwakke plekken. Één van de dingen waar verschillende wachtwoordmanagers niet altijd even goed mee omgaan, is het scrubben van cleartext secrets uit RAM. Dat betekent dat wachtwoorden die zich in platte tekst in het geheugen van je computer bevinden op je klembord niet altijd tijdig worden gewist. 

Oude artikelen, maar (helaas) nog redelijk actueel:
https://www.ise.io/casestudies/password-manager-hacking/
https://nakedsecurity.sophos.com/2019/02/21/password-managers-leaking-data-in-memory-but-you-should-still-use-one/

Zorg voor een back-up

Zorg ervoor dat je altijd een back-up hebt van het bestandje met wachtwoorden. Sla deze back-up ook lokaal op (dus niet online) en versleuteld. Vergeet niet de back-up goed bij te houden. Een lokale versleutelde kluis met een lokale versleutelde back-up is volgens onze collega's de meest veilige oplossing.

Extra werk

Ja, dit is wel allemaal wat extra werk en vergt een beetje studie en gewenning. Het is zeker minder gemakkelijk dan een online manager die alle info precies op het juiste moment voor je oplepelt. Maar zoals net al aangestipt: dit is precies de zwakke plek van je online manager. Dit vraagt dus om een eerlijke afweging: meer gemak voor jou en de hacker of minder gemak voor jou en de hacker. 

Hoe dan ook is het gebruik van een wachtwoordkluis aan te raden. Zeker als het alternatief een gemakkelijk te raden wachtwoord is of gebruik van hetzelfde wachtwoord voor al je accounts.

Een alternatief

Je kunt overwegen zelf je wachtwoordkluis te hosten. Een voorbeeld hiervan is Bitwarden, self hosted.

Conclusie

Er is niet echt een eenduidig antwoord en iedereen heeft een andere voorkeur. Uiteindelijk blijft het belangrijk te zorgen voor zoveel mogelijk laagjes beveiliging. Als één laagje dan wordt doorbroken, is de buit nog niet binnen. Gebruik dus in ieder geval tweefactorauthenticatie. Dan ben je in ieder geval dubbel beveiligd :-)

Lees hier hoe Cloudflare medewerkers voor de gek werden gehouden, maar alsnog de boel veilig gesteld was.

Community

Wil je de discussie voortzetten? Neem dan een kijkje bij het topic op onze community.