Door Tijs Hofmans

Redacteur

Vijf wachtwoordmanagers onder de loep

Waarin verschillen ze?

Introductie

Van alle beveiligingsmaatregelen die je kunt nemen voor je digitale leven, is een wachtwoordmanager gebruiken zonder twijfel een van de belangrijkste. Je voorkomt er een van de grootste risico's mee waardoor je slachtoffer van een hack kunt worden: hergebruik. Voor ieder account dat je hebt, een uniek, zelfs kort wachtwoord werkt veel beter dan één wachtwoord voor alles, hoe lang dat ook is. Wachtwoordmanagers helpen je die wachtwoorden te onthouden. Of juist niet, want ze nemen je het meeste werk uit handen.

In dit artikel kijken we naar vijf verschillende populaire wachtwoordmanagers en halen ze helemaal uit elkaar op het gebied van niet alleen functionaliteit, maar ook veiligheid. De ene encryptie is immers de andere niet, maar bij welke zit je nou het veiligst? Dit artikel is nadrukkelijk geen review of vergelijkende test, al zijn er her en der wel functies waarvan we durven zeggen dat ze goed of juist minder goed zijn.

LastPass algemeen

Vijf diensten

Deze vergelijking is verre van compleet; er zijn honderden of zelfs duizenden wachtwoordmanagers te vinden die in de basis grotendeels hetzelfde doen. De vijf managers die we hier bekijken, 1Password, LastPass, Dashlane, Bitwarden en KeePass, hebben we gekozen omdat ze bekend zijn of uniek in hun gebruik of beveiliging.

We kijken in het artikel specifiek naar de consumentenversies van de wachtwoordmanagers. De meeste wachtwoordmanagers hebben een enterpriseplan, waarbij bedrijven per gebruiker betalen. Doorgaans is de veiligheid daarvan hetzelfde, maar wat functionaliteit betreft zit er vaak veel verschil in de mogelijkheden die gebruikers hebben. Die functies komen in dit verhaal dus niet aan bod.

Vergelijking

In de vergelijkingen hebben we het eerst over functionele aspecten: welke apps zijn er beschikbaar, hoe kun je databases im- en exporteren, hoe deel je wachtwoorden met anderen en hoe vergrendel je de apps? Daarna gaan we door over de beveiliging. We kijken daarbij niet alleen naar de gebruikte encryptie en je opties om die te veranderen, maar ook naar bijvoorbeeld de opties voor tweetrapsverificatie.

Er komen een paar begrippen aan bod waarvan het goed is die nu al kort te behandelen en wat context of een beschrijving ervan te geven.

Tweetrapsverificatie via totp en hotp

Als we het over wachtwoorden hebben, komt onvermijdelijk ook tweetrapsverificatie aan bod. Ook in dit artikel hebben we het daar regelmatig over. Daarbij komen een paar begrippen aan de orde die we hier willen uitleggen. Tweetrapsverificatie kan op een aantal manieren worden geregeld: via hotp, totp, sms of FIDO2. Als uitgebreide achtergrond over die authenticatiemethodes dient het stuk over de toekomst van authenticatie dat we vorig jaar hebben gepubliceerd, maar er zijn twee belangrijke begrippen om te onthouden.

Hotp staat voor hmac-based one-time passwords. Dat zijn tweetrapsverificatiecodes die je meestal ontvangt als sms'je of via e-mail. Het zijn tijdelijke inlogcodes die je naast je gewone wachtwoord gebruikt als tweede verificatiemethode. In tegenstelling tot totp-codes zijn hotp-codes iets langer geldig. Daarmee zijn ze, in theorie, iets onveiliger. Een aanvaller heeft immers iets langer de kans er een te raden of te onderscheppen, al is dat in de praktijk nog steeds een lastig proces.

Totp staat voor time-based one-time passwords. Dat zijn ook tijdelijke inlogcodes, maar ze zijn slechts beperkt geldig. Meestal worden ze gegenereerd in een authenticatieapp, zoals Google Authenticator of Authy. Ze bestaan doorgaans uit zes cijfers en zijn beperkte tijd, bijvoorbeeld dertig seconden, geldig. Veel wachtwoordmanagers bieden op de een of andere manier ondersteuning voor totp aan. LastPass heeft er bijvoorbeeld een aparte app voor en Bitwarden ondersteunt het in de mobiele app zelf.

Checksum

Bij sommige softwarepakketten wil je zeker weten dat je het juiste programma downloadt. Zeker bij software die met privacy of beveiliging te maken heeft, wil je de integriteit van de download kunnen checken. Dat kan met pgp of een andere signature. Door de checksum daarvan te vergelijken met de sleutel op de website, kun je zeker weten dat er niet met de download is geknoeid. Knoeien is niet ondenkbaar; kijk maar naar deze recente hack.

Audits en pentests

Veel wachtwoordmanagers laten zichzelf controleren door derde partijen. Ze laten bijvoorbeeld de broncode, de beveiliging of de interne processen doorlichten op eventuele kwetsbaarheden. De meeste wachtwoordmanagers schermen daarom ook met audits en rapporten, maar laat je door de vele keurmerken en sexy marketingnamen niet meteen overtuigen dat een audit per definitie veiligheid betekent.

Er is een verschil tussen een audit en een penetratietest, of pentest, al kun je de termen wat losjes definiëren en zijn er geen harde grenzen. Een pentest kan worden uitgevoerd door een beveiligingsbedrijf om specifiek te zoeken naar kwetsbaarheden in de software. Een pentest is slechts zo goed als de scope ervan. Het bedrijf geeft vooraf aan welke onderdelen wel of niet kunnen worden gecontroleerd en soms vallen belangrijke onderdelen buiten de scope.

Bij een audit worden de code of de bedrijfsprocessen tegen een vooraf vastgestelde standaard afgezet. Er zijn standaarden, zoals Hipaa of PCI, die richtlijnen hebben die door overheden en organisaties worden erkend. De meest voorkomende securityaudit, in ieder geval bij wachtwoordmanagers, is een SOC 1, 2 of 3, van Type I of Type II.

Die afkortingen hebben uiteraard wat uitleg nodig. SOC staat voor System and Organization Controls. Het is een standaard die is opgezet door het American Institute of Certified Public Accountants of Aicpa, waarmee diensten op vijf kenmerken worden beoordeeld: beveiliging, beschikbaarheid, procesintegriteit, geheimhouding en privacy. Er zijn drie SOC-niveaus: 1, 2 en 3. De eerste daarvan zegt niet zoveel; die gaat vooral over de financiën binnen een bedrijf. SOC 2 en 3 zijn voor wachtwoordmanagers interessanter. SOC 2 kan worden getoetst aan die eerdere vijf kenmerken, maar beveiliging is de enige die verplicht móét worden meegenomen in een SOC 2-audit. Het enige verschil tussen een SOC 2- en een SOC 3-audit is de beschikbaarheid ervan; SOC 3-audits zijn meestal openbaar beschikbaar, SOC 2-audits niet. Dat betekent dat een bedrijf er zelf voor kan kiezen of het die openbaart, of alleen de conclusie en het keurmerk ervan publiceert.

Foto: Andrew Brookes / Getty Images


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee