Minder veilig dan gedacht: wachtwoordmanagers kunnen soms toch je wachtwoorden prijsgeven
Wachtwoordmanagers zijn inmiddels bij veel mensen al stevig ingeburgerd. Zeker wanneer je online veel verschillende accounts hebt, maken ze het digitale leven simpelweg een stuk makkelijker en ook veiliger. De verschillende services schermen ook graag met het principe van “zero knowledge”, wat inhoudt dat zij zelf ook geen toegang hebben tot je zogenaamde vault. Die digitale kluis met je logingegevens, waaronder wachtwoorden, zou dan ook te allen tijde veilig zijn, zelfs in het geval van een serveraanval. In de praktijk lijkt dat echter niet altijd het geval te zijn.
Natuurlijk waren wachtwoordmanagers sowieso al kwetsbaar in het geval van bijvoorbeeld een virus op je laptop of wanneer iemand simpelweg je hoofdwachtwoord kent, maar in dit geval is er onderzoek gedaan naar de dreiging van een gecompromitteerde serverinfrastructuur. Onderzoekers van ETH Zürich en de Università della Svizzera italiana (USI) hebben drie wachtwoordmanagers (Bitwarden, Dashlane en LastPass) uitgebreid getest en in alle gevallen waren er specifieke situaties waarin data van gebruikers gestolen kon worden, ondanks de belofte van “zero knowledge”. De kans is reëel dat ook andere wachtwoordmanagers dezelfde risico’s bevatten.
Gemakszucht en structurele zwakte
De basisgedachte achter de versleuteling van wachtwoordmanagers is natuurlijk helemaal in orde en ook aan de feitelijke uitvoering ervan is vaak weinig op te merken, maar volgens het onderzoek zit er wel een structurele zwakte in de gebruiksvriendelijkheid die men tracht in te bouwen. Sommige zaken lijken voor een goede gebruikservaring erg vanzelfsprekend, maar het gevaar is dat het allemaal zo vanzelfsprekend is dat enkele belangrijke veiligheidsaspecten over het hoofd worden gezien. Dat is het geval bij onder meer het aanmaken van een account, het herstellen van een account en het delen van accounts binnen gezinnen of bedrijven.
Bij het aanmaken van een nieuw account bijvoorbeeld is er voor de wachtwoordmanager weinig historiek om op terug te vallen, en de kans dat een nieuwe gebruiker op dat moment geviseerd wordt door een malafide aanval is klein, maar niet onbestaande. Als een aanvaller op een of andere manier in dat proces kan binnendringen dan kunnen beveiligingssleutels en andere data subtiel omgeleid worden. Dit kan omdat er tijdens dit proces geen of onvoldoende controlemechanismes actief zijn, simpelweg omdat de gedachte heerst dat dit op dit moment in het hele proces nog niet nodig is. Dat lijkt echter een kritieke denkfout te zijn, want in de praktijk kunnen cybercriminelen zo via een gecompromitteerde serverinfrastructuur ongemerkt gegevens van (nieuwe) gebruikers stelen.
Ook bij enkele andere aspecten duikt dezelfde structurele zwakte op. Bij het delen van wachtwoorden in wat als een veilige omgeving wordt beschouwd, zoals het gezin of de werkvloer, of bij het herstellen van een account, blijken er dus ook momenten te zijn waarop er onvoldoende controle is om na te gaan of bepaalde beveiligingssleutels wel authentiek zijn. Als op dat moment aanvallers hun eigen sleutel kunnen implementeren, dan kunnen gegevens dus ongemerkt naar malafide actoren gestuurd worden.
Blijf wachtwoordmanagers vooral wél gebruiken
Betekent dit dan dat je best kan stoppen met wachtwoordmanagers? Nee, zeker niet. Het blijft een van de beste opties om je online veiligheid te versterken en hoe dan ook is het beter dan wachtwoorden hergebruiken, ook al is het met soms lichte variaties. Wel is het belangrijk om in het achterhoofd te houden dat ook wachtwoordmanagers geen heilige graal zijn.
In de praktijk kies je om te beginnen best voor wachtwoordmanagers die open en transparant zijn over audits, dreigingsmodellen en fixes. Vertrouw dus niet louter op mooie praatjes die stellen dat alles in orde is omdat ze zelf ook niet eens aan jouw wachtwoorden kunnen. Daarnaast is het belangrijk nieuwe updates snel te installeren, tweestapsverificatie te gebruiken en een gezond wantrouwen te koesteren wanneer zich verdachte zaken beginnen voor te doen. Langs de kant van wachtwoordmanagers zelf is dan weer duidelijk dat er ondanks alles altijd wel ruimte zal zijn voor verbeteringen. Op basis van dit onderzoek weten ze alvast welke beveiligingsrisico’s nu extra aandacht verdienen.
