Jouw wachtwoordmanager is lang niet zo veilig als je denkt

Drie grote wachtwoordmanangers zijn ondanks hun claims, niet zo veilig als je zou denken. Een nieuw onderzoek door ETH Zurich en de Università della Svizzera Italiana toont aan dat in drie grote wachtwoordmanagers zwakke plekken zitten.

Lastpass, Bitwarden en Dashlane zijn drie bekende kluizen waar je je wachtwoorden kan opslaan. Super handig, maar hun claims van “zero-knowledge encryption” blijken toch niet helemaal waterdicht. In de praktijk zou het moeten betekenen dat jij – en alleen jij – toegang hebt tot je wachtwoorden. Maar de onderzoekers laten zien dat onder bepaalde omstandigheden toch wachtwoorden kunnen worden achterhaald.

'Sleutels' genereren

Bij het generen van sleutels voor bijvoorbeeld een gedeelde opslag of voor herstelprocessen gaat het mis. Door het ontbreken van goede integriteitscontroles in de gegenereerde versleutelde gegevens, ontstaat er volgens de onderzoekers een kwetsbaarheid in het systeem. Een kwaadwillende partij zou in zo’n geval de cryptografische sleutels kunnen manipuleren, waardoor het mogelijk wordt om de versleutelde inhoud te ontcijferen of zelfs aan te passen. De onderzoekers laten zien dat zulke aanvallen ertoe kunnen leiden dat wachtwoorden worden uitgelezen of accounts worden overgenomen. En dat terwijl de betreffende diensten juist claimen dat niemand behalve de gebruiker zelf toegang heeft tot de opgeslagen gegevens.

© Unsplash

Nog steeds veiliger

Een dergelijk soort aanval vereist wel dat de kwaadwillende partij controle heeft over de servers of communicatiekanalen. Moet je nu dus opeens je wachtwoordmanagers verwijderen en alles op briefjes noteren? Nee, dat niet. Ondanks deze (relatief onwaarschijnlijke) zwakheden is een wachtwoordmanager nog steeds veiliger dan geen wachtwoordmanager. Lees het onderzoek zelf hier.