Wat is een wachtwoordmanager?
Een wachtwoordmanager is een computer programma dat gebruikers in de gelegenheid brengt om hun inloggegevens bij te houden. Dit kan voor meerdere websites en apps met slechts één hoofdwachtwoord.
Effectieve wachtwoordmanagers slaan de gebruikersnamen en wachtwoorden op in een gecodeerde database, die beveiligd is met behulp van het hoofdwachtwoord en een tweestapsverificatie (2FA). De gecodeerde database kan zowel op het apparaat van de gebruiker staan, als op een afzonderlijke server. Dit is afhankelijk van het soort wachtwoordmanager dat gebruikt wordt en wat de voorkeuren zijn van de gebruiker.
Hoe werkt een wachtwoordmanager?
Zodra een gebruiker begint bij een wachtwoordmanager, dan zal er gevraagd worden om een hoofdwachtwoord. Dit wachtwoord moet dan voldoen aan de best practices die bestaan voor sterke wachtwoorden. Bij een hoofdwachtwoord moet gedacht worden aan een enkele, sterke zin die fungeert als een coderingssleutel en decoderingssleutel.
Vanaf het moment dat het hoofdwachtwoord ingesteld is, zal de wachtwoordmanager een veilige ‘kluis’ openen, waarin de andere wachtwoorden van de gebruiker opgeslagen kunnen worden. Als de gebruiker dan naar een website of app gaat waar het nodig is om in te loggen, zal de wachtwoordmanager aan de gebruiker vragen of het nodig is om de inloggegevens op te slaan.
Indien de gebruiker dit wil, zal de wachtwoordmanager automatisch de inloggegevens coderen en opslaan in de zogenaamde eerder benoemde kluis. Als een website of app regelmatig bezocht wordt door de gebruiker, dan zal de wachtwoordmanager deze site herkennen en automatisch de inloggegevens invullen voor de gebruiker.
Kunnen hoofdwachtwoorden gereset worden?
Mocht een gebruiker zijn hoofdwachtwoord vergeten, zorgt dit over het algemeen voor een groot probleem. Een wachtwoordmanager biedt meestal geen mogelijkheid om het hoofdwachtwoord opnieuw in te stellen. Dit is een bewuste keuze die gemaakt is bij het ontwerp. Het zorgt er namelijk voor dat als de servers aangevallen worden, er alleen maar gecodeerde wachtwoorden gestolen kunnen worden. Deze wachtwoorden zijn volledig nutteloos zonder het hoofdwachtwoord en de twee-factor-authenticatie van de gebruiker.
Ter vervanging van het hoofdwachtwoord opnieuw in te stellen, geven sommige wachtwoordmanagers de gebruikers de kans om twee vertrouwelijke personen ook toegang te verlenen tot hun kluis met wachtwoorden in het geval van nood. Deze feature is echter ook voorzien van de nodige voorzorgsmaatregelen, zoals bijvoorbeeld een bepaalde wachtperiode. In die periode kan de gebruiker de toegang nog weigeren.
Soorten wachtwoordmanagers
De verschillende wachtwoordmanagers komen allemaal met hun eigen prijs en voor- en nadelen. De keuze voor een bepaalde wachtwoordmanager is volledig afhankelijk van de eisen en persoonlijke voorkeuren van de gebruiker op het gebied van cybersecurity.
Voor het gemak én veiligheid, kiezen veel gebruikers voor een soort hybride benadering. Ze gebruiken en browser gebaseerde wachtwoordmanager voor de niet heel belangrijke inloggegevens, terwijl ze een downloadbare of cloud gebaseerde wachtwoordmanager gebruiken voor de inloggegevens waarbij veiligheid een belangrijkere rol speelt.
Browser gebaseerde wachtwoordmanagers
Browser gebaseerde wachtwoordmanagers zijn gratis en gemakkelijk te gebruiken. Dat gemak betekent echter niet dat ze erg geschikt zijn om wachtwoorden te bewaren waarbij de nodige veiligheid gewenst is.
De Chrome wachtwoordmanager is bijvoorbeeld gekoppeld aan het Google account van de gebruiker. Dit is voor de gebruiker handig, aangezien op die manier wachtwoorden van verschillende apparaten waarop het account gebruikt wordt opgeslagen kunnen worden. Hier kleeft echter ook een risico aan, want als het account gehackt wordt, dan kan de hacker via de instellingen van de browser eenvoudig achter alle wachtwoorden komen.
Downloadbare wachtwoordmanagers
Bij een downloadbare wachtwoordmanager gaat het om een software applicatie van een derde partij, die lokaal geïnstalleerd kan worden op een apparaat. Bij dergelijke wachtwoordmanagers is er vaak sprake van een robuustere codering. Daarnaast kan een groot aantal wachtwoorden van meerdere sites beheerd worden en zijn er vaak ook extra features die de gebruiker de mogelijkheid geven om extra veilige wachtwoorden te genereren en voor een betere organisatie.
In het geval van een downloadbare wachtwoordmanager, is er vaak sprake van zero-knowledge rondom de hoofdwachtwoorden. Hoewel dit als positief gezien kan worden, kleeft er ook een negatieve kant aan. Als de gebruiker namelijk zijn hoofdwachtwoord vergeet, kan de wachtwoordmanager ze namelijk op geen enkele manier helpen bij het terugkrijgen van de wachtwoorden.
Cloud gebaseerde wachtwoordmanagers
Praat je over cloud gebaseerde wachtwoordmanagers, dan heb je het over een Software-as-a-Service (SaaS) applicatie die gehost worden op de servers van de provider en waartoe toegang verleend kan worden via een interface op het internet. Deze wachtwoordmanagers kunnen gratis zijn, maar de gratis versies zijn vaak wel beperkt in hun kunnen. Zo kunnen ze bijvoorbeeld vaak maar een beperkt aantal wachtwoorden opslaan.
Om het risico te verminderen als je een cloud gebaseerde wachtwoordmanager gebruikt voor zaken, hanteren de meeste providers een zero-knowledge beleid voor de hoofdwachtwoorden. Dit zorgt weer voor extra veiligheid, omdat het voorkomt dat de service provider toegang krijgt tot de data van de gebruiker.
Om continuïteit te verzekeren in noodgevallen zorgen de meeste providers voor toegangsopties in noodgevallen. Deze opties geven de aangewezen personen toegang tot de kluis met wachtwoorden onder specifieke omstandigheden.
Hardware gebaseerde wachtwoordmanagers
Tot slot zijn er hardware gebaseerde wachtwoordmanagers. Deze kan je zien als een fysieke security token, die gebruikt kan worden om de wachtwoorden offline op een security chip op te slaan. Om wachtwoorden terug te vinden en te gebruiken, moet de gebruiker de token verbinden met een apparaat en vervolgens het hoofdwachtwoord invoeren. Om te zorgen voor nog wat extra veiligheid, gebruiken sommige hardware gebaseerde wachtwoordmanagers voor een multi-factor authenticatie (MFA). Hierbij moet dan een extra eenmalig wachtwoord ingevoerd worden dat gegenereerd wordt door een web gebaseerde authenticatie of de token zelf.
YubiKey hardwaretokens worden vaak gebruikt om compatibele wachtwoordmanagers extra veiligheid te geven. Zelfs als een aanvaller social engineering-tactieken kan gebruiken en een hoofdwachtwoord kan stelen, heeft hij nog steeds fysieke toegang tot de juiste YubiKey nodig om de veilige kluis van de wachtwoordmanager te ontgrendelen.
Populaire functies voor wachtwoordmanagers
Bij het kiezen van de juiste wachtwoordmanager is het van belang om een aantal zaken in overweging te nemen. Denk dan bijvoorbeeld aan het prijspunt en vergelijk ook meerdere kenmerken, zoals de sterkte van de codering, de gebruiksvriendelijkheid en de reputatie van de provider op het gebied van veiligheid en klantenservice.
De populaire wachtwoordmanagers hebben meestal de volgende opties:
- Toegang via verschillende apparaten en platformen: veel van de populaire wachtwoordmanagers kunnen inloggegevens van meerdere apparaten en besturingssystemen coderen en opslaan. Met behulp van een synchronisatiefunctie worden wijzigingen die op het ene apparaat gemaakt worden, ook automatisch doorgevoerd op een ander apparaat.
- Wachtwoord genereren: hierbij is er de mogelijkheid dat er een wachtwoord gegenereerd wordt dat niet binnen afzienbare tijd gekraakt kan worden.
- Automatisch vastleggen: bij het invoeren van inloggegevens, zorgt deze functie ervoor dat de gegevens meteen vastgelegd worden.
- Automatisch aanvullen: deze functie zorgt ervoor dat inloggegevens automatisch aangevuld worden nadat er voor de eerste keer is ingelogd.
- Biometrische login: gebruikers krijgen zo de mogelijkheid om op andere manieren in te loggen dan met behulp van het hoofdwachtwoord of het kan als een aanvulling dienen.
- AES-codering: De meeste persoonlijke en zakelijke wachtwoordmanagers gebruiken de Advanced Encryption Standard (AES) van NIST met een sleutellengte van 128 bit, 192 bit of 256 bit. In theorie geldt: hoe langer de sleutellengte, hoe veiliger de wachtwoordbeheerder.
- Veilige bestandsopslag: Bij sommige managers is er een gecodeerde opslagruimte voor extra gevoelige informatie, zoals bijvoorbeeld creditcardgegevens.
- Offline toegang: Door veel van de wachtwoordmanagers wordt een gecodeerde versie van de wachtwoorden lokaal opgeslagen op het apparaat van de gebruiker. Zodoende kunnen gebruikers ook zonder een internetverbinding toegang krijgen tot hun wachtwoorden.
- Wachtwoordsterkte controle: Deze functie evalueert de sterkte en ouderdom van opgeslagen wachtwoorden en markeert wachtwoorden die moeten worden bijgewerkt omdat ze kwetsbaar zijn voor softwaretoepassingen die wachtwoorden kunnen kraken.
- Audit trails: Sommige wachtwoordmanagers voor bedrijven bieden de mogelijkheid om te controleren wanneer wachtwoorden zijn gemaakt, geopend, gedeeld of gewijzigd.
- Meldingen over inbreuk: Door deze functie worden gebruikers ingelicht als hun opgeslagen inloggegevens betrokken zijn geraakt bij een bekend datalek.
- Noodtoegang: Met behulp van deze functie kunnen bepaalde personen in geval van nood toegang krijgen tot de wachtwoorden en inloggegevens van de gebruiker.