Kwetsbaarheden in populaire wachtwoordmanagers leggen data bloot

Wachtwoorden moeten steeds ingewikkelder zijn. Alle wachtwoorden voor alle sites waar je een account hebt onthouden is mede daardoor erg ingewikkeld. Om die reden raden experts vrijwel altijd het gebruik van online wachtwoordmanagers aan. Maar nu blijkt dat de populairste wachtwoordmanagers kwetsbaarheden hebben die juist die opgeslagen wachtwoorden blootstellen aan hackers.

Dat blijkt uit een rapport dat Independent Security Evaluators (ISE) afgelopen dinsdag vrijgaf. Uit het rapport blijkt dat de meest populaire online wachtwoordmanagers – 1Password, Dashlane, KeePass en LastPass – er allemaal niet in slagen om wachtwoorden ook echt goed op te slaan. “In honderd procent van de producten die ISE geanalyseerd heeft, bleek dat de beveiliging van wachtwoorden van gebruikers niet op orde was”, aldus CEO Stephen Bono van ISE.

Hoofdwachtwoord opslaan

“Alhoewel wachtwoordmanagers bruikbaar zijn voor het opslaan van inlognamen en wachtwoorden en het hergebruik van wachtwoorden terugbrengen, zijn deze apps een kwetsbaar doelwit voor hackers die massaal proberen deze gegevens te verzamelen”, vertelt Bono. Dat komt door de manier waarop de wachtwoordmanagers wachtwoorden opslaan in het computergeheugen. Het gaat dan zowel om individuele inloggegevens, als het hoofdwachtwoord waarmee de apps beveiligd zijn.

In sommige gevallen kon dat hoofdwachtwoord, waarmee inzicht verkregen wordt in alle opgeslagen accountgegevens, als plaintext in het computergeheugen gevonden worden. In andere gevallen konden de onderzoekers met wat eenvoudig hackwerk het hoofdwachtwoord achterhalen. Dat was allemaal niet heel ingewikkeld en bewijst dat hackers met soortgelijke kennis en ervaring ook makkelijk de hoofdwachtwoorden kunnen achterhalen.

Het blijft dan ook van groot belang om alle software van je computer zoveel mogelijk up-to-date te houden. Bijna alle wachtwoordmanagers die bestudeerd zijn door ISE beschikken over nieuwere versies die wellicht de kwetsbaarheden oplossen. Ook moet het hoofdwachtwoord in elk geval niet met bruteforce-aanvallen geraden kunnen worden. Door de vele eisen die er gesteld worden aan wachtwoorden tegenwoordig, blijft het overigens wel raadzaam om een wachtwoordmanager te gebruiken. Het risico op een hack is namelijk veel groter als je eenvoudig te raden wachtwoorden gebruikt, of hetzelfde wachtwoord voor meerdere sites inzet.