Introductie
Wachtwoordmanagers mogen dan laaghangend beveiligingsfruit zijn, voor veel gebruikers leveren ze een hoop gedoe op. Met een goede manager ben je op eenvoudige wijze snel beschermd tegen het grootste gevaar rondom wachtwoorden: hergebruik. Tegelijk wemelt het van de keuzes in wachtwoordmanagerland, van gratis tot betaalde managers en van thirdpartysoftware tot opensourceprogramma's die je zelf kunt hosten. Tweakers behandelde die diversiteit eerder al in een vergelijking van vijf populaire managers.
Wat nou als je helemaal geen zin hebt in al dat gedoe en als je geen keuze wilt maken, omdat je eigenlijk alleen maar je browser gebruikt? Veel grote browsers hebben inmiddels een eigen wachtwoordmanager. Die vormen vaak een compromis tussen gemak en veiligheid. Ze zijn bijvoorbeeld lekker toegankelijk in je browser ingebakken, maar je mist belangrijke functies, zoals een goede generator. Tweakers ging aan de slag met Chrome, Edge, Firefox en Brave om te kijken hoe ze zich tot elkaar verhouden.
Overeenkomsten en verschillen
In alle gevallen valt op hoe zwak de generator is. Bij alle browserwachtwoordmanagers genereert die een vergelijkbare string van zo'n vijftien willekeurige tekens. Nergens kun je de lengte aanpassen of bepalen welke tekens je wel of niet wilt meenemen. Ook missen alle browsers basale functies die losstaande wachtwoordmanagers wel hebben, zoals het opslaan van notities. Je kunt ook weinig aanpassen aan entries en wachtwoorden delen is bij allemaal onmogelijk.
Er is ook veel verschil tussen de managers. Zo biedt Firefox met Lockwise een essentiële functie die de rest niet biedt: een masterwachtwoord. Daarmee kan een lokale aanvaller niet meteen al je wachtwoorden inzien als hij je browser opent. Die functie ontbreekt bij de andere managers. Daar staat tegenover dat Chrome de beveiliging van Google-accounts goed op orde heeft met uitgebreide tweetrapsauthenticatiemogelijkheden. Edge heeft een uitgebreide controle op gestolen wachtwoorden, die Brave en Firefox niet hebben.
Vendor lock-in
Gebruikers van een browserwachtwoordmanager lopen het risico op vendorlock-in. Wie zijn wachtwoorden in Chrome opslaat en synchroniseert met zijn Google-account, zal eerder geneigd zijn overal Chrome te gebruiken. Hetzelfde geldt voor Firefox, Edge en Brave; de managers zijn nergens onderling compatibel, ook niet via extensies of plug-ins. Het is gelukkig wel mogelijk om wachtwoorden te im- en exporteren, dus overstappen naar een andere browser of thirdpartysoftware zoals LastPass of Bitwarden is gelukkig een stap makkelijker geworden.
Dit artikel is niet bedoeld als een review, maar als een overzicht van de verschillen, mogelijkheden en obstakels van verschillende managers. Ze komen wat functionaliteit betreft niet in de buurt van thirdpartymanagers, maar het verschilt per gebruiker hoe erg dat is. Iedere wachtwoordmanager is immers beter dan er geen te hebben.
Mozilla Firefox
Firefox heeft een ingebouwde wachtwoordmanager genaamd Lockwise. De dienst bestaat sinds 2018, toen hij werd geïntroduceerd als Lockbox. Net als de meeste browserwachtwoordmanagers is de functionaliteit beperkt ten opzichte van standalonemanagers, maar je krijgt nog steeds genoeg opties om het tot een praktische manager te maken.
Zo werkt Firefox Lockwise
Toen Lockwise nog Lockbox was, was het een aparte add-on. Inmiddels is het ingebakken in de desktopsoftware. Wachtwoorden zijn via het menu te bereiken of via about:logins. Bij het aanmaken van een nieuw account of bij het inloggen met een bestaand account kun je die direct in Lockwise opslaan: standaardspul eigenlijk. Lockwise werkt in de browser op Windows, macOS en Linux, maar voor Android en iOS zijn losstaande apps beschikbaar die een beetje functioneren als een thirdpartywachtwoordmanager. Dat maakt Lockwise iets praktischer bruikbaar op andere platforms, maar als je wilt overstappen naar bijvoorbeeld Chrome, moet je toch al je wachtwoorden exporteren. Lockwise-wachtwoorden worden gesynchroniseerd via een Firefox-account.
/i/2004529424.png?f=imagenormal)
Hoe kun je de software beveiligen?
Lockwise heeft zelf geen beveiliging, maar de apps, Firefox-browser en Firefox Sync hebben dat wel. Als we dus willen weten hoe je de software kunt beveiligen, moeten we naar die specifieke applicaties kijken. De mobiele apps kun je beveiligen met een vingerafdruk op Android, en met FaceID en TouchID op iOS; dat is standaard in de app. Je logt automatisch uit na vijf minuten.
Wat voor wachtwoorden kun je aanmaken?
Firefox Lockwise kan zelf wachtwoorden genereren, maar de functie is beperkt. Je kunt bijvoorbeeld niet naar de wachtwoordenpagina gaan om er een aan te maken. Als je Lockwise hebt geactiveerd in Firefox, krijg je bij ieder invulveld automatisch de optie een wachtwoord te genereren.
Dat wachtwoord is altijd vijftien tekens lang en bestaat uit kleine letters, hoofdletters en cijfers. Leestekens worden niet toegevoegd en je kunt evenmin kiezen hoe lang het automatisch gegeneerde wachtwoord moet zijn. Firefox geeft daarvoor de tip dat je het wachtwoord zelf kunt bewerken als het niet aan de website-eisen voldoet.
Een ander vrij groot nadeel aan de generator van Lockwise is dat je niet kunt kiezen voor een ander wachtwoord. Als het eerste je niet bevalt, is het niet mogelijk een nieuw wachtwoord te genereren, zelfs niet als je de pagina ververst.
/i/2004529426.png?f=imagenormal)
Kun je naast wachtwoorden ook extra velden opslaan?
Je kunt geen extra velden opslaan. Lockwise slaat alleen wachtwoorden op.
Kun je wachtwoorden makkelijk delen?
Opvallend is dat Lockwise helemaal geen manieren heeft om wachtwoorden te delen met andere gebruikers. Daarvoor moet je dus toch terecht bij een andere tool.
Kun je wachtwoorden im- en exporteren?
Het is mogelijk om wachtwoorden uit je Lockwise-account te exporteren, maar ook daarbij zijn er niet veel opties. Na een waarschuwing dat wachtwoorden in plaintext leesbaar zijn, krijg je de mogelijkheid om een csv-bestand te downloaden. Naast de wachtwoorden staat daarin op welk moment een credential is aangemaakt, voor het laatst is gebruikt en is veranderd.
Importeren ligt iets ingewikkelder. Dat kan sinds vier maanden niet zomaar, vanwege een bug. Gebruikers die meer dan duizend wachtwoorden importeren, krijgen te maken met prestatievermindering. Importeren staat daarom standaard uit, maar gebruikers kunnen dat inschakelen via een flag in about:config.
Wat weten we over de beveiliging van Firefox Lockwise?
Firefox prijst zich graag aan als een privacyvriendelijk alternatief voor andere browsers, maar over de veiligheid van Lockwise zegt Mozilla niet veel. Er is bijvoorbeeld geen whitepaper dat de beveiliging uiteenzet, en er zijn geen audits gedaan op Lockwise. Op een pagina met veelgestelde vragen worden slechts een paar woorden besteed aan security: de wachtwoorden worden versleuteld met AES-256-GCM, en gehasht met Pbkdf2 en HKDF met sha-256. Het bedrijf verwijst daarnaast naar zijn eigen onepw-protocol. Het is onmogelijk om Lockwise los te zien van Firefox Sync en onepw is dan ook in de eerste plaats bedoeld voor het synchroniseren van gebruikersgegevens.
/i/2004529428.png?f=imagenormal)
Wat Lockwise uniek maakt tegenover andere wachtwoordmanagers in browsers, is dat je gebruik kunt maken van een masterwachtwoord. Dat betekent dat je dat wachtwoord moet invullen voordat je de autofillfunctie van Lockwise kunt gebruiken. Dat beschermt je tegen lokale aanvallen waarbij iemand op je systeem zit. De andere browsers bieden die functie niet.
Zijn er audits beschikbaar en wat weten we daarvan?
Er zijn geen specifieke audits gedaan op Lockwise, maar wel op Firefox Sync. De laatste daarvan is al oud: uit oktober 2016. Toen bestond Lockwise nog niet. De audit werd uitgevoerd door Cure53. Dat is een bekend beveiligingsbedrijf dat ook verschillende audits uitvoerde voor wachtwoordmanagers als Bitwarden.
In de audit kwamen redelijk wat issues naar voren rondom Sync, of specifiek Firefox Accounts of FxA, zoals Mozilla de dienst noemt. Er zaten twee cross-site-scriptingkwetsbaarheden in FxA en de mogelijkheid een HTML-injectie uit te voeren die de kwalificatie Kritiek krijgt.
Opvallend aan de audit is dat Cure53 zag dat de wachtwoordhashes via Pbkdf2 maar duizend rotaties gebruikten. Dat is 'veel te weinig', concluderen de onderzoekers. Zoals we in onze vorige review van wachtwoordmanagers al concludeerden, gebruiken de meeste standaloneprogramma's minimaal honderdduizend iteraties en bij veel ervan kan de gebruiker dat aantal verhogen. Bij Firefox kan dat niet. Dat 'probleem' is ook nog niet opgelost. Mozilla erkende in een blogpost uit juli 2017 dat het voorlopig niets wilde veranderen aan het aantal Pbkdf2-iteraties. Zo houdt het bedrijf 'de prestaties op minder krachtige apparaten acceptabel'. Ook nu staat het issue in de desbetreffende issuetracker nog steeds open.
Welke vormen van tweetrapsauthenticatie zijn mogelijk?
Ook hier geldt weer dat een Firefox-account en Firefox Sync leidend zijn. Die kun je beveiligen met 2fa, maar alleen met een totp-code via een authenticatieapp. Het is niet mogelijk je account te beveiligen met een fysieke beveiligingssleutel of met het toegankelijkere hotp via sms of e-mail. In tegenstelling tot in sommige wachtwoordmanagers zoals Bitwarden kun je geen totp-codes opslaan in Lockwise.
Heeft Firefox Lockwise een bugbountyprogramma?
Omdat Lockwise met Firefox is verweven, valt de veiligheid ervan onder het algemene bugbountyprogramma van Mozilla. Dat is erg uitgebreid en kent beloningen van tussen de drieduizend en tienduizend dollar. Firefox noemt Lockwise niet specifiek in het bugbountyprogramma. Wel heeft het bedrijf een aparte bugtracker voor Lockwise op Bugzilla, het eigen platform voor het bijhouden van bugs.
Hoe worden de wachtwoorden versleuteld?
Zoals we al eerder schreven, is er niet zoveel bekend over de versleuteling van de wachtwoorden. Het enige dat Mozilla erover zegt, is dat de wachtwoorden worden versleuteld met AES-256-GCM. Dat laatste staat voor Galois/Counter Mode. Dat deelt versleutelde data op in block ciphers, voornamelijk vanwege efficiëntie en snelheid.
Voor het hashen van de wachtwoorden wordt een sha-256-hash aangemaakt met een Pbkdf2-algoritme van duizend iteraties.
Kun je zelf de vorm van versleuteling kiezen?
Je kunt in Lockwise niets veranderen aan de manier waarop wachtwoorden worden gehasht of versleuteld. Het aantal hash-iteraties is, in tegenstelling tot bijvoorbeeld LastPass of Bitwarden, niet in te stellen, evenmin als de vorm van versleuteling zoals je dat bij KeePass wel kunt.
Controleert Firefox op zwakke en gestolen wachtwoorden?
Mozilla heeft een dienst in Firefox waarmee gebruikers kunnen controleren of hun wachtwoord in een datalek is voorgekomen, maar die staat los van Lockwise. De dienst heet Firefox Monitor en is ook te gebruiken door wie Lockwise niet gebruikt. Het is in Monitor mogelijk een e-mailadres in te voeren en daarvan te zien of het in een bekende database van gestolen credentials staat. Mozilla maakt daarbij gebruik van de api van Have I Been Pwned, het initiatief van Troy Hunt.
/i/2004529430.png?f=imagenormal)
Dat betekent ook dat je met Firefox alleen kunt scannen op gestolen e-mailadressen. Je weet niet of er in een datalek ook een wachtwoord is uitgelekt.
Op het gebied van veiligheid gaat Mozilla wel een stap verder dan alleen de api in te pluggen en het daar verder bij te laten. Het bedrijf werkt actief samen met Hunt om hash range queries toe te voegen aan de api die HIBP gebruikt. Dat betekent dat er k-anonimiteit wordt toegevoegd aan datasets, iets dat HIBP inmiddels standaard doet. Mozilla speelt dus een belangrijke rol bij het verbeteren van de bekende datalekdatabase.
Waar wordt data opgeslagen?
Waar de data wordt opgelslagen, hangt ervan af of je Firefox Sync gebruikt om wachtwoorden te synchroniseren. Als je dat niet doet, worden wachtwoorden alleen lokaal in de browser opgeslagen. Bij het verzenden naar de Mozilla-servers via Sync wordt data uiteraard wel extern opgeslagen, maar waar? Dat is een groot vraagteken. Mozilla noemt nergens de locatie van zijn servers en het is niet erg duidelijk hoe je daarvan de locatie kunt wijzigen als je dat wilt. Daar staat tegenover dat Mozilla de mogelijkheid aanbiedt je eigen lokale Sync-server op te zetten, bijvoorbeeld in een Docker-installatie of op een nas.
Microsoft Edge
Microsofts Edge maakt weliswaar gebruik van de Chromium-engine van Google, maar de wachtwoordmanagers in de twee browsers verschillen veel van elkaar. Waar het bij Google veel meer gekoppeld is aan een Google-account, lijkt het wachtwoordbeheer in Edge een doodgewone functie in de browser te zijn zonder een fancy naam zoals Lockwise. Desondanks kun je wachtwoorden synchroniseren, is er een losstaande app beschikbaar en controleert de browser of er wachtwoorden zijn gestolen bij een datalek.
De software
Aanvankelijk was de wachtwoordmanager in Edge alleen een functie in de browser, maar inmiddels heeft Edge steeds meer weg van een volledige wachtwoordbeheerder. Dat komt met name door de Autofill-extensie die Microsoft eind vorig jaar uitbracht voor Chrome. Ook is een Autofill-functie toegevoegd aan de bestaande authenticatieapp Microsoft Authenticator. Daardoor is de wachtwoordmanager ook op andere platforms te gebruiken, waarbij de credentials worden gesynchroniseerd via het Microsoft-account van een gebruiker. Er is geen extensie beschikbaar voor Firefox, Safari of andere browsers; alleen Chrome wordt ondersteund.
Hoe kun je de software beveiligen?
Je kunt in Edge instellen om wachtwoorden niet automatisch in te laten vullen, maar dat is de enige echte beveiliging die je op deze manager kunt zetten. Daarnaast kun je de Microsoft Authenticator-app vergrendelen. Dat kan met een pincode of biometrie. Die vergrendeling staat standaard uit voor individuele gebruikers.
Opvallend genoeg kun je bij Edge nu nog geen gebruik maken van een masterwachtwoord. Bij bijvoorbeeld Firefox' Lockwise kun je instellen dat je vóór het automatisch invullen van een wachtwoord ook eerst het masterwachtwoord moet opgeven, maar Microsoft maakt de bewuste keus dat niet aan te bieden. In een faq zegt het bedrijf dat dat 'een compromis is tussen gemak en dreigingsbeperking'. "Als browserwachtwoorden opgeslagen worden op de schijf, is de decryptiesleutel beschikbaar voor ieder proces op je apparaat, inclusief iedere lokale malware", schrijft Microsoft. "Zelfs als wachtwoorden in een kluis versleuteld worden met een mastersleutel kunnen ze worden ontsleuteld als ze in het geheugen van de browser staan nadat je de kluis ontsleutelt." Volgens Microsoft zijn masterwachtwoorden 'geen wondermiddel' en kan zo'n wachtwoord bij een lokale aanval makkelijk worden omzeild.
Wel heeft Microsoft onlangs de toezegging gedaan dat er in 'een toekomstige release' van Edge alsnog een vorm van een masterwachtwoord wordt toegevoegd. Het is niet bekend wanneer of in welke vorm dat gebeurt.
Wat voor wachtwoorden kun je aanmaken?
Een van de belangrijkste functies van wachtwoordmanagers, het genereren van een wachtwoord, werkt niet zomaar op Edge. Je kunt dat alleen maar gebruiken als je Password Sync hebt aanstaan. Dat kan een dealbreaker zijn voor sommige gebruikers die de wachtwoordmanager alleen lokaal willen gebruiken.
/i/2004529436.png?f=imagenormal)
Als je die functie eenmaal hebt ingesteld, is de generator prima. Die maakt wachtwoorden van vijftien of zestien tekens. Dat is altijd een combinatie van kleine en hoofdletters, cijfers, en zelfs leestekens. Je kunt ook op een knop klikken om een nieuw wachtwoord te genereren, wat niet kan bij Lockwise. In vergelijking met thirdpartywachtwoordmanagers zijn de opties nog steeds beperkt; je kunt geen gewenste lengte instellen of bepalen welke tekens wel en niet in het wachtwoord mogen komen.
Kun je naast wachtwoorden ook extra velden opslaan?
Wachtwoorden zijn het enige dat Edge opslaat.
Kun je wachtwoorden makkelijk delen?
Je kunt wachtwoorden niet delen met andere gebruikers.
Kun je wachtwoorden im- en exporteren?
Je kunt wachtwoorden in Edge makkelijk zowel im- als exporteren. Een export bestaat uit een leesbaar csv-bestand met daarin gebruikersnamen en wachtwoorden, maar verder geen informatie zoals een dateCreated.
Importeren gaat eveneens makkelijk; je kunt andere csv-bestanden van bestaande wachtwoordmanagers invoeren. Er is een dropdownmenu waarmee je exports van Internet Explorer, Edge Legacy of bladwijzers en favorieten uit een HTML-bestand kunt importeren. Daarnaast is er een menu waarmee je credentials uit Firefox kunt importeren. Je kunt daarbij kiezen of je naast wachtwoorden ook de surfgeschiedenis of bladwijzers uit die browser wilt importeren.
Wat weten we over de beveiliging van Edge?
Microsoft heeft redelijk wat informatie over de beveiliging van de wachtwoordmanager online staan. Daarin beschrijft het bedrijf hoe wachtwoorden ook lokaal worden versleuteld en opgeslagen, in tegenstelling tot Firefox dat dat alleen doet als je ze deelt via Sync. Heel veel details geeft Microsoft niet, maar het zegt wel dat er een AES-256-encryptie wordt gebruikt die vervolgens per besturingssysteem op verschillende plekken wordt opgeslagen.
Op Windows worden Edge-wachtwoorden opgeslagen via Dpapi, een functie die blocks met data veilig kan opslaan. Op macOS worden wachtwoorden in Keychain opgeslagen en op Linux in de Gnome Keyring of in KWallet. Opvallend is dat Microsoft in zijn blogpost erkent dat sommige beveiligingsexperts daar een mogelijk risico in zien. Dat valt volgens Microsoft 'buiten het threatmodel'.
Kun je zelf de vorm van versleuteling kiezen?
Je hebt niets te zeggen over welke versleuteling Edge gebruikt of welke hashmogelijkheden er zijn.
Welke vormen van tweestapsverificatie zijn mogelijk?
Tweestapsverificatie moet je instellen op je Microsoft-account en niet in de browser zelf, al moet je voordat je wachtwoorden im- of exporteert wel altijd je lokale Windows-wachtwoord opgeven. Het Microsoft-account kan ook op veel manieren worden beveiligd via 2fa. Je kunt dat instellen via hotp door een code per e-mail óf sms te krijgen, of je kunt een totp-authenticatieapp gebruiken. Microsoft heeft een eigen authenticator. Ook kun je een beveiligingssleutel zoals een Yubikey koppelen.
Je moet bij Edge minimaal één hotp-2fa-optie inschakelen
Een bottleneck is dat je bij Microsoft verplicht altijd een van de twee mogelijke hotp-opties als back-up moet instellen. Alléén een authenticatieapp of een Yubikey instellen is geen optie.
Heeft Edge een bugbountyprogramma?
Het bugbountyprogramma van Microsoft heeft een aparte sectie voor Edge. Daar valt dus ook de wachtwoordmanager onder, al wordt die niet expliciet genoemd. Beloningen variëren van duizend dollar voor een spoofingaanval tot dertigduizend dollar voor een sandbox escape en Microsoft zegt dat in unieke gevallen hogere beloningen beschikbaar zijn.
Controleert Edge op zwakke en gestolen wachtwoorden?
Net als de wachtwoordgenerator is ook de controle op zwakke en gestolen wachtwoorden relatief recent. Sinds Edge 88 heeft de browser een functie om te controleren op zwakke wachtwoorden. In tegenstelling tot wat Microsoft over de versleuteling van wachtwoorden schrijft, is het bedrijf erg open over hoe dat werkt. In een blogpost beschrijft Microsoft hoe die functie, genaamd Password Monitor, werkt. De browser controleert alle wachtwoorden tegenover 'een grote database van bekende uitgelekte wachtwoorden'. Het is niet bekend welke lijst dat is. Tweakers schreef eerder al over zulke datalekdatabases, waarvan er naast Have I Been Pwned veel andere bestaan. Misschien stelt Microsoft die database zelf samen uit openbare of semiopenbare bronnen. Google doet dat ook.
/i/2004529438.png?f=imagenormal)
Vervolgens wordt gebruikgemaakt van homomorfe encryptie om de wachtwoorden in Edge te vergelijken met die in de database, maar dan terwijl ze versleuteld blijven. Er is hier te weinig ruimte om heel diep in te gaan op die ingewikkelde encryptietechnologie, maar Tweakers schreef eerder deze week een achtergrondartikel over homomorfe encryptie. Met Password Monitor kunnen gebruikers zien of hun credentials voorkomen in eerdere datalekken. Edge kijkt dus naar de combinatie van e-mailadres en wachtwoord, en niet alleen naar uitgelekte e-mailadressen, zoals in Have I Been Pwned. Daarmee heeft Edge een streepje voor op Firefox' Lockwise, dat wel alleen op uitgelekte e-mailadressen controleert.
Gebruikers kunnen instellen dat ze een melding krijgen als hun opgeslagen inloggegevens in een nieuwe breach voorkomen. Ook is het mogelijk een waarschuwing in te stellen als je een website bezoekt waarvan de opgeslagen credentials uitgelekt zijn. Een bezoekje aan LinkedIn levert dan waarschijnlijk een waarschuwing op.
Waar wordt data opgeslagen?
Wachtwoorden worden, zoals we hierboven al schreven, in eerste instantie lokaal in de browser opgeslagen. Als je je Microsoft-account gebruikt om ze te synchroniseren, gaan de wachtwoorden wel naar een server. In de wirwar van Microsoft-diensten, software, applicaties en Office-suites is het moeilijk te vinden waar die data staat. Ook in het privacy-whitepaper over Edge staat alleen maar dat de wachtwoorden op 'versleutelde Microsoft-servers' staan.
Aanvankelijk hield Microsoft zich aan het Privacy Shield om gegevens van EU-inwoners uit te wisselen met de Verenigde Staten. Daar is het echter mee gestopt, schrijft het bedrijf.
Brave
Brave is een populaire browser onder tweakers, vooral vanwege de ingebouwde veiligheidsfeatures en functies als privacyvriendelijke newsreaders en de zoekmachine. Brave heeft daarnaast zijn eigen wachtwoordmanager, maar helaas kunnen we daar niet zoveel over vertellen. Er is een opvallend gebrek aan technische uitleg of aan documentatie in het algemeen. Daardoor is het moeilijk te zeggen hoe veilig de dienst wel of niet is.
/i/2004529442.png?f=imagenormal)
De software
Gebruikers van Brave kunnen via brave://settings/passwords de optie vinden om wachtwoorden op te slaan in de browser. Ook is het mogelijk om automatisch in te loggen op websites als de wachtwoorden daarvan zijn opgeslagen. Dat is een handige toevoeging ten opzichte van andere browserwachtwoordmanagers.
Brave maakt gebruik van slimme marketing door een Brave-account aan te prijzen als een Sync Chain. Je kunt wachtwoorden samen met andere dingen, zoals favorieten en geschiedenis, synchroniseren met andere apparaten door die apparaten 'toe te voegen aan de Sync Chain'. Vergis je niet; dat betekent gewoon dat de wachtwoorden via servers van Brave worden verdeeld. In plaats van een masteraccount met een gebruikersnaam en wachtwoord koppel je apparaten aan elkaar door QR-codes te scannen of strings met willekeurige woorden in te typen. Dat betekent niet dat apparaten aan elkaar worden gekoppeld zoals bijvoorbeeld WhatsApp dat doet. Brave zit er als derde partij nog steeds tussen.
Hoe kun je de software beveiligen?
Het is niet mogelijk de Brave-browser te vergrendelen. Gebruikers vragen daar wel al jaren om. Ook de mobiele apps kun je niet vergrendelen met een pincode of vingerafdruk. Brave heeft evenmin een masterwachtwoord om je lokale wachtwoorden te vergrendelen. Iemand met toegang tot je computer kan dus relatief simpel bij je wachtwoorden.
Wat voor wachtwoorden kun je aanmaken?
Een van de frustrerendste dingen aan Braves wachtwoordmanager is dat die geen ingebouwde generator heeft. Extra frustrerend is dat Chromium die wel gewoon heeft, dus is er eigenlijk geen reden voor Brave om geen generator in te bouwen. Je kunt dus bij het registreren voor een account geen voorstel vragen voor een willekeurig wachtwoord. Dat is niet alleen irritant in het gebruik, maar je kunt ook beargumenteren dat dat de browser een stuk onveiliger maakt. Zonder generator gaan gebruikers hun eigen wachtwoorden bedenken, ofwel hergebruiken.
Er staat al sinds 2019 een issue open op GitHub, maar de makers lijken daar weinig aandacht aan te besteden. Er zijn voor zover bekend geen plannen een generator in Brave in te bouwen.
/i/2004529444.png?f=imagenormal)
Kun je wachtwoorden makkelijk delen?
Het is niet mogelijk wachtwoorden te delen met andere gebruikers.
Kun je wachtwoorden im- en exporteren?
Je kunt wachtwoorden in Brave zowel im- als exporteren. De opties zijn voor beide wat beperkt, want dat kan alleen in csv-formaat. In de export staan ook alleen de credentials en geen informatie zoals de laatste inlog.
Wat weten we over de beveiliging van Brave?
Er is niet zo heel veel bekend over de beveiliging van Braves wachtwoordmanager, althans niet over de manier waarop wachtwoorden lokaal worden opgeslagen in de browser. Het is niet bekend of die versleuteld worden en zo ja, met welke soort encryptie dat gebeurt of welke hashalgoritmes worden ingezet.
Over de beveiliging van Braves wachtwoordmanager is niet zoveel bekend
Wel heeft Brave geschreven over de beveiliging van Sync. Dat beschrijft vooral het authenticatieprotocol van de Sync Chain zelf. De opslag van onder andere wachtwoorden komt er niet aan bod. Een Sync Chain wordt gegenereerd met een seed van 32bit, maar het is niet bekend hoe die seed wordt gemaakt. Vervolgens wordt daarvan met BIP39 een string met willekeurige woorden afgeleid die je kunt gebruiken om andere apparaten te koppelen. Volgens Brave worden wachtwoorden in ieder geval lokaal versleuteld met een BIP39-phrase als de gebruiker Sync gebruikt, maar het is dus niet duidelijk of dat ook gebeurt zónder Sync. Brave verwijst naar Chromiums custom passphrase-functie, die het gebruikt voor de verdere versleuteling. Daarbij wordt de functie scrypt gebruikt voor de sleutelderivatie en wordt een AES-128-CTR-HMAC-sleutel aangemaakt.
Dat geldt allemaal alleen voor het wachtwoord. Andere informatie die daarbij hoort, waaronder de apparaatnaam, het -type, id's en aanmaaktijden, worden wel in plaintext meegestuurd naar de Brave-servers.
Zijn er audits beschikbaar en wat weten we daarvan?
Brave heeft nog nooit een onafhankelijke securityaudit laten uitvoeren. Wel is de broncode van de browser als open source beschikbaar, zodat gebruikers daar kwetsbaarheden uit kunnen halen.
Welke vormen van tweestapsverificatie zijn mogelijk?
/i/2004529446.png?f=imagenormal)
Je kunt op het gebied van 2fa niet veel met Brave. De Sync Chain is anders dan een normaal account omdat je geen credentials gebruikt. Daarom is 2fa ook geen optie. De manier waarop je andere apparaten koppelt aan een Sync Chain is wel veiliger dan alleen een combinatie van e-mailadres+wachtwoord. Je moet er een qr-code voor scannen of een lange string met willekeurige woorden voor overtypen. Een 'account' overnemen is dus niet zo moeilijk, maar dat is wel de enige beveiliging die je hebt.
Exports van wachtwoorden zijn wel extra beveiligd. Je moet vóór een export nog het wachtwoord van je desktop opgeven. Ook dat is een extra stukje beveiliging.
Heeft Brave een bugbountyprogramma?
Naast open broncode heeft Brave een eigen bugbountyprogramma via HackerOne. Beloningen liggen relatief laag: tussen de honderd en duizend dollar. Er staat in de regels van het programma niets specifiek over de wachtwoordmanager. Brave verwijst zelf ook naar zijn eigen issuetracker, waarin potentiële problemen worden aangekaart.
Kun je zelf de vorm van versleuteling kiezen?
Je kunt niets wijzigen aan de manier waarop Brave wachtwoorden versleutelt. Ook het aantal iteraties is niet in te stellen. Daarin verschilt Brave niet van de andere browsermanagers. Daarbij kan dat ook niet.
Controleert Brave op zwakke en gestolen wachtwoorden?
Brave is de enige browser die we in dit artikel behandelen, die niet kan controleren of wachtwoorden uitgelekt zijn. Brave heeft geen integratie met Have I Been Pwned of een andere datalekdatabase.
Waar wordt data opgeslagen?
Het is niet bekend waar Brave de versleutelde wachtwoorden opslaat. Het bedrijf verwijst daar in het privacybeleid niet naar. Het heeft het daar wel over 'de cloudprovider' en noemt in de Sync-documentatie AWS. Misschien zijn de wachtwoorden ergens in S3-buckets opgeslagen, maar dat is dus niet duidelijk. Er lijkt daarnaast voor gebruikers geen voor de hand liggende mogelijkheid te zijn om de serverlocatie te wijzigen.
Google Chrome
Chrome is de meestgebruikte browser ter wereld en de onderliggende Chromium-engine wordt door nóg meer browsers gebruikt. Edge en Brave maken er gebruik van, net als tientallen andere kleinere titels. Chromium heeft sinds een paar jaar een eigen wachtwoordmanager, inclusief generator, en een Sync-functie. In het geval van Chrome kun je Sync uiteraard gebruiken met je Google-account, maar andere browsers kunnen het gebruiken voor hun eigen inlogmethodes. Zo kun je Sync bij Edge gebruiken in combinatie met je Microsoft-account.
Omdat Chrome zo'n veelgebruikte browser is en zoveel gebruikers wel een Google-account hebben, is deze wachtwoordmanager in ieder geval wat gebruiksgemak betreft een van de betere die je kunt hebben. Ook op het gebied van veiligheid heb je er een goede aan.
/i/2004529448.png?f=imagenormal)
Software
Chromes wachtwoordbeheerder heet simpelweg Wachtwoordmanager en is te bezoeken via passwords.google.com. In tegenstelling tot de andere wachtwoordbeheerders is de dienst alleen te gebruiken als je een Google-account gebruikt. Alleen een lokale opslag is geen optie. Je kunt het wel synchroniseren met andere diensten en dus de Google-servers.
Het allergrootste voordeel van Googles wachtwoordmanager is Android. Als je wachtwoorden synchroniseert met Google, kun je in heel Android gebruikmaken van Autofill. Dat werkt ook als je alternatieve browsers zoals Firefox of Brave gebruikt; de wachtwoordmanager zit ook in het besturingssysteem zelf. Dat maakt Wachtwoordmanager in een keer de nuttigste beheerder van alle beheerders die we hier behandelen. Het is zelfs nuttiger dan veel thirdpartymanagers, waarvan de autofill-functie op mobiele apparaten vaak veel minder goed werkt.
Googles beveiligingsbeheer in de browser is daarnaast een stuk overzichtelijker. Om je securityinstellingen, waaronder je wachtwoorden, te bekijken of aan te passen, hoef je niet in menu's in de browser te duiken. Je kunt dat van overal in je Google-account doen, of je nou op de desktop of in Android zit. Wat gebruiksgemak betreft steekt Google dan ook met kop en schouders boven de rest uit.
Hoe kun je de software beveiligen?
Met de beveiliging van je Google-account zelf zit het zeker snor. Google vraagt regelmatig om extra bevestigingschecks als je vanaf een onbekende locatie inlogt of een tijd offline bent geweest en je hebt veel opties voor tweetrapsauthenticatie. Daar staat tegenover dat je de Chrome-browser zelf niet kunt vergrendelen. Daar zijn wel extensies voor, maar alleen van derde partijen. Ook op mobiele apparaten kun je de browser niet vergrendelen.
Je kunt met Wachtwoordmanager ook geen masterwachtwoord instellen, zoals je dat bij Firefox' Lockwise kunt. Daarmee zijn je wachtwoorden beschikbaar voor iemand met toegang tot je systeem. Je kunt de wachtwoorden namelijk ook gewoon vinden in chrome://settings/passwords. Wel kun je een passphrase instellen, waardoor je je data tijdens het synchroniseren versleutelt. Daarover later meer.
Wat voor wachtwoorden kun je aanmaken?
Google heeft een eigen wachtwoordgenerator waarover de Chromium-ontwikkelaars niet veel technische documentatie bieden. De generator stelt zelf een wachtwoord voor bij het aanmaken van een nieuw account, maar er is geen optie om dat bijvoorbeeld vanuit het menu te doen.
Chrome maakt standaard een wachtwoord aan dat de ontwikkelaars 'generiek genoeg voor de meeste websites' noemen. Het wachtwoord is vijftien tekens lang en bevat kleine en hoofdletters, cijfers en leestekens. Je kunt helaas niets veranderen aan de wachtwoordeisen, zoals je dat bij standalonewachtwoordmanagers kunt doen. Google schrijft zelf dat het dat 'in de toekomst van plan is', maar wijdt daar niet over uit. Je kunt, in tegenstelling tot bij Firefox, wel constant een nieuw wachtwoord blijven genereren.
/i/2004529450.png?f=imagenormal)
Kun je wachtwoorden makkelijk delen?
Je kunt wachtwoorden niet delen met anderen.
Kun je wachtwoorden im- en exporteren?
Je kunt wachtwoorden afzonderlijk of in bulk exporteren vanuit de browser en vanuit een Google-account. Je krijgt dan een csv-bestand met alleen de credentials, maar verder geen informatie over wanneer er voor het laatst is ingelogd.
Importeren kan niet in Chrome zelf, maar alleen in een Google-account. Je kunt maximaal duizend wachtwoorden per keer importeren in een csv-bestand, maar dat zal voor de meeste gebruikers geen écht obstakel zijn. Bovendien merkt tweaker wauske op dat het met een flag mogelijk is dat aantal op te hogen.
Wat weten we over de beveiliging van Chromes wachtwoordmanager?
Chrome slaat wachtwoorden lokaal niet versleuteld op, maar net als andere browsers worden die in de beveiligde kluis van het besturingssysteem gezet zoals Dpapi bij Windows of Keychain op macOS. Je kunt wachtwoorden in Chrome wel versleutelen voordat je ze synchroniseert. Dat kan op twee manieren: met je Google-credentials of met een Sync Passphrase. Dat laatste is een apart wachtwoord of een wachtwoordzin om de wachtwoorden extra te beveiligen, maar er is maar weinig informatie te vinden over welke beveiliging Google daar precies voor gebruikt. Bij het controleren van wachtwoorden op datalekken worden de wachtwoorden toch al eerst versleuteld voordat ze naar Google worden gestuurd, voor een analyse op basis van homomorfe encryptie.
Welke vormen van tweestapsverificatie zijn mogelijk?
Voor het beveiligen van je Google-account zit je bij Google wel goed. Google maakt alle denkbare vormen van tweetrapsauthenticatie mogelijk: hotp via sms of e-mail, totp via Google Authenticator of een andere app, of een prompt op een Android-toestel. Het bedrijf heeft zelfs eigen beveiligingssleutels.
Heeft Chrome een bugbountyprogramma?
Er is een bugbountyprogramma voor Chrome, en wat voor een. Google is een grote en belangrijke speler op het gebied van coordinated vulnerability disclosure. Er werken beveiligingsonderzoekers bij het Project Zero-team, dat actief zoekt naar bugs in andere software dan van Google zelf. Google volgt zijn eigen voorbeeld door bugs in zijn software binnen negentig dagen te patchen.
Het bugbountyprogramma voor Chromium is ruim opgezet. Vrijwel alle kwetsbaarheden vallen binnen de scope en beloningen lopen uiteen van vijfduizend tot wel dertigduizend dollar. De wachtwoordmanager wordt niet specifiek genoemd, maar het programma biedt beloningen aan voor types kwetsbaarheden.
Controleert Chrome op zwakke en gestolen wachtwoorden?
/i/2004529452.png?f=imagenormal)
Google controleert van alle credentials in Wachtwoordmanager of ze voorkomen in bestaande databases. Google stelt die database zelf samen en zegt dat er momenteel meer dan vier miljard records in staan. Chrome controleert niet alleen of een e-mailadres is gestolen, maar ook op de veel nuttigere combinatie van e-mailadres+wachtwoord. Dat kan doordat Google de wachtwoorden in Chrome versleutelt voordat het die naar de server stuurt. Het bedrijf gebruikt k-anonimiteit en homomorfe encryptie om vervolgens berekeningen uit te voeren op die versleutelde data. Google controleert dus privacyvriendelijk op gestolen wachtwoorden. De manier waarop Google dat doet, is nuttiger dan hoe Firefox dat doet via een Have I Been Pwned-integratie en lijkt erg op wat Microsoft in Edge doet.
De check is onderdeel van Password Checkup. Die feature controleert niet alleen op gestolen wachtwoorden, maar ook op het hergebruik en de sterkte ervan. Dat is uitgebreider dan de andere managers in deze lijst doen.
:strip_icc():strip_exif()/i/2004432442.jpeg?f=fpa_thumb)
/i/2004323840.png?f=fpa_thumb)
/i/2004845510.png?f=fpa)
/i/2004857332.png?f=fpa)
/i/2004647002.png?f=fpa)
/i/2004790848.png?f=fpa)
:strip_exif()/i/2004668670.jpeg?f=fpa)
:strip_exif()/i/2001720959.jpeg?f=fpa)
/i/2000902263.png?f=fpa)
/i/2001841111.png?f=fpa)
:strip_icc():strip_exif()/u/79614/Family-Guy-Victory-is-Ours.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/80624/crop56269c878c330.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/178794/Iron_Maiden_klein.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/609136/crop56a8bd6aee69d.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/280284/crop55bf4a0d2089d_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/796809/crop6849aee2b1706_cropped.jpg?f=community){kind=small}
/u/49730/babby%2520tux.png?f=community){kind=small}
:strip_icc():strip_exif()/u/289675/crop6401bf2c85501_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/961/crop687fa3fc8a3e4_cropped.jpg?f=community){kind=small}
/u/586088/crop67f63a210249f_cropped.png?f=community){kind=small}
/u/93629/crop5f5b31620d196_cropped.png?f=community){kind=small}
/u/185949/crop5fed94243cc25_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/338281/Guust%2520Flater%2520intro.jpg?f=community){kind=small}
/u/331490/crop5db2f3c194c58_cropped.png?f=community){kind=small}
:strip_exif()/u/284473/crop598caffe294d9.gif?f=community){kind=small}
/u/375226/crop62effc38c6e6e.png?f=community){kind=small}
:strip_icc():strip_exif()/u/296553/hal%2520avatar%25202.jpg?f=community){kind=avatar}
/u/257022/crop629738e7a7bae_cropped.png?f=community){kind=small}
/u/98125/Tweakers-_avatar.png?f=community){kind=avatar}
:strip_exif()/u/44074/avatar001.gif?f=community){kind=avatar}
:strip_icc():strip_exif()/u/427742/crop6711f8ea820aa.jpg?f=community){kind=small}
/u/1512562/crop5fc4c0241b06d_cropped.png?f=community){kind=small}