Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Door Tijs Hofmans

Redacteur privacy & security

Vijf wachtwoordmanagers onder de loep

Waarin verschillen ze?

Introductie

Van alle beveiligingsmaatregelen die je kunt nemen voor je digitale leven, is een wachtwoordmanager gebruiken zonder twijfel een van de belangrijkste. Je voorkomt er een van de grootste risico's mee waardoor je slachtoffer van een hack kunt worden: hergebruik. Voor ieder account dat je hebt, een uniek, zelfs kort wachtwoord werkt veel beter dan één wachtwoord voor alles, hoe lang dat ook is. Wachtwoordmanagers helpen je die wachtwoorden te onthouden. Of juist niet, want ze nemen je het meeste werk uit handen.

In dit artikel kijken we naar vijf verschillende populaire wachtwoordmanagers en halen ze helemaal uit elkaar op het gebied van niet alleen functionaliteit, maar ook veiligheid. De ene encryptie is immers de andere niet, maar bij welke zit je nou het veiligst? Dit artikel is nadrukkelijk geen review of vergelijkende test, al zijn er her en der wel functies waarvan we durven zeggen dat ze goed of juist minder goed zijn.

LastPass algemeen

Vijf diensten

Deze vergelijking is verre van compleet; er zijn honderden of zelfs duizenden wachtwoordmanagers te vinden die in de basis grotendeels hetzelfde doen. De vijf managers die we hier bekijken, 1Password, LastPass, Dashlane, Bitwarden en KeePass, hebben we gekozen omdat ze bekend zijn of uniek in hun gebruik of beveiliging.

We kijken in het artikel specifiek naar de consumentenversies van de wachtwoordmanagers. De meeste wachtwoordmanagers hebben een enterpriseplan, waarbij bedrijven per gebruiker betalen. Doorgaans is de veiligheid daarvan hetzelfde, maar wat functionaliteit betreft zit er vaak veel verschil in de mogelijkheden die gebruikers hebben. Die functies komen in dit verhaal dus niet aan bod.

Vergelijking

In de vergelijkingen hebben we het eerst over functionele aspecten: welke apps zijn er beschikbaar, hoe kun je databases im- en exporteren, hoe deel je wachtwoorden met anderen en hoe vergrendel je de apps? Daarna gaan we door over de beveiliging. We kijken daarbij niet alleen naar de gebruikte encryptie en je opties om die te veranderen, maar ook naar bijvoorbeeld de opties voor tweetrapsverificatie.

Er komen een paar begrippen aan bod waarvan het goed is die nu al kort te behandelen en wat context of een beschrijving ervan te geven.

Tweetrapsverificatie via totp en hotp

Als we het over wachtwoorden hebben, komt onvermijdelijk ook tweetrapsverificatie aan bod. Ook in dit artikel hebben we het daar regelmatig over. Daarbij komen een paar begrippen aan de orde die we hier willen uitleggen. Tweetrapsverificatie kan op een aantal manieren worden geregeld: via hotp, totp, sms of FIDO2. Als uitgebreide achtergrond over die authenticatiemethodes dient het stuk over de toekomst van authenticatie dat we vorig jaar hebben gepubliceerd, maar er zijn twee belangrijke begrippen om te onthouden.

Hotp staat voor hmac-based one-time passwords. Dat zijn tweetrapsverificatiecodes die je meestal ontvangt als sms'je of via e-mail. Het zijn tijdelijke inlogcodes die je naast je gewone wachtwoord gebruikt als tweede verificatiemethode. In tegenstelling tot totp-codes zijn hotp-codes iets langer geldig. Daarmee zijn ze, in theorie, iets onveiliger. Een aanvaller heeft immers iets langer de kans er een te raden of te onderscheppen, al is dat in de praktijk nog steeds een lastig proces.

Totp staat voor time-based one-time passwords. Dat zijn ook tijdelijke inlogcodes, maar ze zijn slechts beperkt geldig. Meestal worden ze gegenereerd in een authenticatieapp, zoals Google Authenticator of Authy. Ze bestaan doorgaans uit zes cijfers en zijn beperkte tijd, bijvoorbeeld dertig seconden, geldig. Veel wachtwoordmanagers bieden op de een of andere manier ondersteuning voor totp aan. LastPass heeft er bijvoorbeeld een aparte app voor en Bitwarden ondersteunt het in de mobiele app zelf.

Checksum

Bij sommige softwarepakketten wil je zeker weten dat je het juiste programma downloadt. Zeker bij software die met privacy of beveiliging te maken heeft, wil je de integriteit van de download kunnen checken. Dat kan met pgp of een andere signature. Door de checksum daarvan te vergelijken met de sleutel op de website, kun je zeker weten dat er niet met de download is geknoeid. Knoeien is niet ondenkbaar; kijk maar naar deze recente hack.

Audits en pentests

Veel wachtwoordmanagers laten zichzelf controleren door derde partijen. Ze laten bijvoorbeeld de broncode, de beveiliging of de interne processen doorlichten op eventuele kwetsbaarheden. De meeste wachtwoordmanagers schermen daarom ook met audits en rapporten, maar laat je door de vele keurmerken en sexy marketingnamen niet meteen overtuigen dat een audit per definitie veiligheid betekent.

Er is een verschil tussen een audit en een penetratietest, of pentest, al kun je de termen wat losjes definiëren en zijn er geen harde grenzen. Een pentest kan worden uitgevoerd door een beveiligingsbedrijf om specifiek te zoeken naar kwetsbaarheden in de software. Een pentest is slechts zo goed als de scope ervan. Het bedrijf geeft vooraf aan welke onderdelen wel of niet kunnen worden gecontroleerd en soms vallen belangrijke onderdelen buiten de scope.

Bij een audit worden de code of de bedrijfsprocessen tegen een vooraf vastgestelde standaard afgezet. Er zijn standaarden, zoals Hipaa of PCI, die richtlijnen hebben die door overheden en organisaties worden erkend. De meest voorkomende securityaudit, in ieder geval bij wachtwoordmanagers, is een SOC 1, 2 of 3, van Type I of Type II.

Die afkortingen hebben uiteraard wat uitleg nodig. SOC staat voor System and Organization Controls. Het is een standaard die is opgezet door het American Institute of Certified Public Accountants of Aicpa, waarmee diensten op vijf kenmerken worden beoordeeld: beveiliging, beschikbaarheid, procesintegriteit, geheimhouding en privacy. Er zijn drie SOC-niveaus: 1, 2 en 3. De eerste daarvan zegt niet zoveel; die gaat vooral over de financiën binnen een bedrijf. SOC 2 en 3 zijn voor wachtwoordmanagers interessanter. SOC 2 kan worden getoetst aan die eerdere vijf kenmerken, maar beveiliging is de enige die verplicht móét worden meegenomen in een SOC 2-audit. Het enige verschil tussen een SOC 2- en een SOC 3-audit is de beschikbaarheid ervan; SOC 3-audits zijn meestal openbaar beschikbaar, SOC 2-audits niet. Dat betekent dat een bedrijf er zelf voor kan kiezen of het die openbaart, of alleen de conclusie en het keurmerk ervan publiceert.

Foto: Andrew Brookes / Getty Images

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True