Het BSI, de Duitse overheidsorgaan gericht op IT-security, velt een hard oordeel over sommige wachtwoordmanagers. Het onderzocht er tien van en concludeert dat drie ervan niet veilig genoeg zijn. Bij Google Chrome, mSecure en PassSecurium kunnen de vendoren in theorie bij opgeslagen wachtwoorden. Hoe dan ook is het gebruik van een wachtwoordmanager essentieel, stelt het instituut.
Het Bundesamt für Sicherheit in der Informationstechnik (BSI) voerde samen met het FZI Research Center for Information Technology een uitgebreide analyse uit. Van de onderzochte tools kunnen drie aanbieders theoretisch toegang krijgen tot wachtwoorden: Google Chrome Password Manager, mSecure-Password Manager en PassSecurium. Bij SecureSafe PasswordManager en S-Trust Password Manager kon het BSI niet beoordelen of aanbieders toegang hebben.
Veiligere alternatieven bestaan
Bij vijf wachtwoordmanagers hebben aanbieders geen toegang tot de data: 1Password, Avira Password Manager, Keepass2Android, KeePassXC en Mozilla Firefox Password Manager. “Als de wachtwoordmanager data in de cloud opslaat, moeten gebruikers uitzoeken waar de opslaglocatie zich bevindt en het beschermingsniveau dat de leverancier biedt”, aldus het BSI.
Het onderzoek brengt ook andere tekortkomingen aan het licht. Slechts vier van de tien onderzochte tools zetten volledig veilige, correct geconfigureerde cryptografische algoritmen in volgens de BSI TR-02102-1 richtlijn. Bij acht wachtwoordmanagers vindt na het wijzigen van het masterpassword geen volledige herversleuteling van de container plaats.
Chrome vereist extra actie
Voor Google Chrome geldt dat het techbedrijf toegang kan hebben wanneer synchronisatie is ingeschakeld zonder eigen passphrase. Google bevestigde dit tegenover het BSI. “Gebruikers moeten bij het synchroniseren via hun Google-account in de instellingen een eigen passphrase instellen”, adviseert de Duitse overheidsdienst.
Het BSI benadrukt wel dat wachtwoordmanagers cruciaal zijn; echter is het nu duidelijk welke opties geprefereerd zijn door het Duitse instituut. “De aanbeveling is duidelijk: wachtwoordmanagers zijn een essentiële tool en kunnen voor veel gebruikers een belangrijke hulp in hun digitale leven zijn.” Het hergebruiken van zwakke wachtwoorden leidt tot grotere kwetsbaarheden voor phishing dan de tekortkomingen in individuele producten.
Het instituut publiceerde een vergelijkingstabel waarin alle onderzochte wachtwoordmanagers op beveiligingseigenschappen worden vergeleken. Gebruikers kunnen hiermee zelf onderzoeken welke tool aan hun eisen voldoet. Vrijwel alle betrokken fabrikanten gingen na het onderzoek in gesprek met het BSI over de bevindingen, wat volgens het instituut al heeft geleid tot verbeteringen.
Lees ook: Dit zijn de meest gehackte wachtwoorden