Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door Sander van Voorst

Nieuwsredacteur

Datalekkenjaar 2016

Kiezen uit wachtwoordmanagers

Waarom een wachtwoordmanager?

Bij elke discussie over wachtwoorden is er altijd wel iemand die roept dat hij nergens last van heeft, omdat hij een wachtwoordmanager gebruikt. Het lijkt een voor de hand liggende oplossing: software die wachtwoorden voor je bijhoudt en ook nog eens invult, als je dat wil.

Toch gebruikt niet iedereen een wachtwoordmanager. Daar hebben mensen verschillende redenen voor; ze vinden bijvoorbeeld dat ze zelf goed zijn in het bedenken van unieke, sterke en makkelijk te onthouden wachtwoorden. Anderen, die daar minder goed in zijn, claimen bijvoorbeeld dat ze de bedrijven achter de commerciële wachtwoordmanagers niet vertrouwen. Dat is een geldig argument; commerciële software is immers doorgaans niet open source en dan moeten we het doen met de beloftes van de bedrijven erachter. Een ander veel gehoord argument is dat van de single point of failure. Door alle wachtwoorden op dezelfde plaats op te slaan, bestaat het risico dat ze allemaal in een keer in verkeerde handen vallen. Bijvoorbeeld als hackers de database in handen krijgen.

Voor de meeste bezwaren is er weer een tegenargument. Zo is het mogelijk om een opensourceversie van een wachtwoordmanager te gebruiken en zelf de synchronisatie op verschillende apparaten te verzorgen. Dit is misschien iets meer werk, maar heeft als voordeel dat er geen afhankelijkheid van een commerciële partij ontstaat.

Daarnaast hebben verschillende van dat soort partijen een uitgerijpt beveiligingsconcept. Doorgaans hebben ze zelf geen toegang tot het hoofdwachtwoord van de gebruiker, dat lokaal wordt ingevoerd en waarvan alleen een hash het internet over gaat. Door aanvullende maatregelen te nemen, is het hoofdwachtwoord bovendien lastig te brute forcen. Een veelvoorkomende encryptievariant voor wachtwoorddatabases is 256bit-aes. Deze standaard geldt als veilig en 'resistent' tegen aanvallen door quantumcomputers. Dan moet het wel om een correcte implementatie gaan, wat niet altijd na te gaan is.

De daadwerkelijke encryptie is dan ook vaak niet het probleem bij wachtwoordmanagers. Aanvallen richten zich doorgaans op de verschillende browseradd-ons die voor de verschillende varianten te verkrijgen zijn. Daarmee kan de software bijvoorbeeld invulvelden detecteren en automatisch wachtwoorden invullen. Het is dan ook verstandig om deze functie uit te schakelen bij het gebruik van een wachtwoordmanager.


Charles Dyer, 'Combination', CC BY 2.0

Kortom, het gebruik van een wachtwoordmanager lost het probleem op dat voor elke site een apart wachtwoord moet worden bedacht en maakt het gemakkelijk om wachtwoorden te beheren, aan te maken en soms ook te wijzigen. In het overzicht op de volgende pagina zijn zowel opensourcevarianten als commerciële oplossingen te vinden, vanwege de zojuist besproken bezwaren. Het zal duidelijk zijn dat het gebruik van een wachtwoordmanager geen perfecte oplossing is, omdat er wel degelijk bezwaren zijn. Het staat wel vast dat het veiliger is dan hetzelfde wachtwoord gebruiken voor verschillende diensten, zoals recente datalekken hebben aangetoond.

Kies je voor het gebruik van een wachtwoordmanager, dan is één ding zeer belangrijk: het kiezen van een hoofdwachtwoord. In het overzicht komt naar voren dat verschillende producten hier niet genoeg nadruk op leggen en daarom noemen wij het hier. Het hoofdwachtwoord geeft toegang tot de database met wachtwoorden en is daarom belangrijk. Er zijn verschillende opvattingen over wat nu precies een sterk wachtwoord is.

Velen hebben de aanpak gekozen die door een stripje van xkcd populair is gemaakt, namelijk het kiezen van willekeurige woorden. Hoewel dit een lang en eenvoudig te onthouden wachtwoord oplevert, is beveiligingsexpert Bruce Schneier het niet eens met dit advies. Hij adviseert dan ook een eenvoudig te onthouden zin te gebruiken en deze om te zetten in een wachtwoord. Zo wordt bijvoorbeeld 'Until this very moment, these passwords were still secure' omgezet in 'uTVM,TPw55:utvm,tpwstillsecure' door de zin twee keer op een andere manier te herhalen. Bij voorkeur is dit wachtwoord bovendien van de nodige symbolen voorzien.

Er zijn natuurlijk eenvoudigere varianten te bedenken, waarbij het van persoon tot persoon verschilt welke het beste werkt. Omdat het hoofdwachtwoord onthouden moet worden, is het verstandig om zelf de tijd te nemen om een passende oplossing te vinden. Het is vervolgens aan te raden om het voor de wachtwoordmanager gekozen hoofdwachtwoord niet voor iets anders te gebruiken. Tot slot is het verstandig om het hoofdwachtwoord niet te vergeten; er is namelijk vaak geen andere manier om in de wachtwoordendatabase te komen.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True