Onderzoek: Google kan in theorie in je wachtwoordkluis rondneuzen
Als er één ding is dat je verlangt van een wachtwoordmanager, dan is het dat je wachtwoorden veilig opgeslagen worden. Dat blijkt echter lang niet altijd het geval, concludeert het Bundesamt für Sicherheit in der Informationstechnik (BSI) na uitgebreid onderzoek naar de beveiliging van tien wachtwoordmanagers, in samenwerking met het FZI Research Center for Information Technology.
Bij drie van de tien onder de loep genomen wachtwoordmanagers kunnen de aanbieders in theorie toegang krijgen tot je wachtwoordkluis. Ze zouden je wachtwoorden kunnen inzien, luidt de melding. Het gaat om de wachtwoordmanagers van Google (in Google Chrome), mSecure en PassSecurium.
Bij Google kan dit gebeuren wanneer gebruikers wachtwoordsynchronisatie instellen zonder passphrase. Daarmee beschermen ze hun wachtwoordkluis, maar zonder deze sleutel zou de zoekgigant je wachtwoorden in theorie kunnen inzien. Het is aan de gebruiker zelf om die code in te stellen via de instellingen van Googles wachtwoordmanager; het is dus niet verplicht. Het BSI adviseert gebruikers om dit wél te doen.
Het BSI meldt in zijn rapportage ook nog twee twijfelgevallen: SecureSafe PasswordManager en S-Trust Password Manager. Daarvan is niet zeker of de bedrijven toegang hebben tot data in de kluizen.
Vijf veilige wachtwoordmanagers
Van vijf wachtwoordmanagers – 1Password, Avira Password Manager, Keepass2Android, KeePassXC en Mozilla Firefox Password Manager – weet het BSI dan weer zeker dat men er geen toegang heeft tot de wachtwoordkluizen. Je zou dus kunnen zeggen dat ze veilig gebruikt kunnen worden.
Toch is het niet kunnen inzien van je gegevens lang niet het allerbelangrijkste. Het BSI stipt ook kwetsbaarheden of gebreken in beveiligingsprotocollen aan. Van de tien wachtwoordmanagers die zijn onderzocht, pasten er slechts vier op een juiste wijze cryptografische algoritmen toe – dat zijn de algoritmen waarmee data versleuteld wordt. Dat moet gebeuren volgens de Duitse BSI TR-02102-1-norm, maar daar voldoen dus niet alle partijen aan.
Een ander probleem is de wijze waarop wachtwoordmanagers omgaan met herversleuteling. Dat moet normaal gezien gebeuren als je opnieuw je master password instelt, maar bij acht van de tien gebeurt dat momenteel niet.
Phishing blijft gevaarlijker
Dat de beveiliging niet altijd op orde is, blijft natuurlijk schadelijk, maar – zo benadrukt ook het BSI – geen wachtwoordmanager gebruiken, blijft gevaarlijker. Met name als je wachtwoorden hergebruikt, loop je dan een veel groter risico in het geval van phishing.
Mensen moeten zich dus zeker niet laten afschrikken door dit onderzoek. Wachtwoordmanagers zijn over het algemeen veilig, al kan je er natuurlijk wel op letten dat je een wachtwoordmanager kiest die als zeer veilig bestempeld wordt. Voor 1Password is dat al het geval en ook van partijen als Proton, Bitwarden en Keeper is bekend dat ze uiterst veilig zijn.
