Microsoft maakt wachtwoordmanager in Edge minder veilig na update
Doorgaans moet je bij wachtwoordmanagers een zogeheten master password invullen, samen met een 2FA-code, om toegang te krijgen tot je wachtwoordkluis. Edge leunde op datzelfde principe en vroeg bij het openen van de ingebouwde wachtwoordmanager om je Custom Primary Password. Volgens Microsoft is die beveiligingslaag echter niet veilig genoeg en daarom verdwijnt ze nu volledig.
Microsoft zet punt achter master password
Microsoft kondigde de wijziging enkele maanden geleden al aan in een blogpost. “Op 4 juni wordt het aangepaste primaire wachtwoord volledig verwijderd voor gebruikers die zich hiervoor hebben aangemeld. Na deze datum gebruikt Microsoft Edge automatisch apparaatgebaseerde verificatie (zoals Windows Hello, het apparaatwachtwoord of verificatie op besturingssysteemniveau) om opgeslagen wachtwoorden te beveiligen”, aldus Microsoft.
Nu het 4 juni is, zet Microsoft definitief de stap van master passwords naar andere vormen van verificatie. Dat kan via Windows Hello, met een gezichtsscan of vingerafdruk, via de login van je laptop of desktop, of via verificatie op besturingssysteemniveau.
Volgens Microsoft zijn deze methoden veiliger dan het oudere Custom Primary Password. Zodra iemand dat master password kent, krijgt die persoon immers toegang tot al je opgeslagen accountgegevens.
Veiliger? Niet iedereen zal overtuigd zijn
Microsoft doet daarbij echter alsof mensen je apparaatwachtwoord niet kunnen raden of op een andere manier in handen kunnen krijgen. Die kans is net groter, aangezien je dat wachtwoord mogelijk meerdere keren per dag gebruikt.
Verificatie via Windows Hello is natuurlijk veiliger, maar lang niet alle pc’s beschikken over een gezichts- of vingerafdrukscanner. Dat de veiligheid voor alle gebruikers met deze maatregel automatisch vooruitgaat, voelt dan ook wat optimistisch. Het Custom Primary Password bood net een extra beveiligingslaag. Dat master password stond immers volledig los van het wachtwoord waarmee je op je pc inlogt.
Is de wachtwoordmanager van Edge wel de beste keuze?
Onlangs kwam ook naar buiten dat Microsoft Edge wachtwoorden in platte tekst opsloeg in het werkgeheugen van een pc. Zonder extra beveiliging dus. Kort nadat dat nieuws bekend raakte, heeft Microsoft de beveiliging van de Edge-wachtwoordmanager wel aangescherpt.
Wie zijn wachtwoorden optimaal wil beschermen, slaat ze overigens beter niet op in een browsergebaseerde wachtwoordmanager. Het is al vaker gebleken dat zulke oplossingen qua beveiliging niet op hetzelfde niveau opereren als gespecialiseerde wachtwoordmanagers. Bovendien zijn al je wachtwoorden rechtstreeks gekoppeld aan de login van je browser.
