Wachtwoordmanagers zijn onvoldoende beveiligd

Tools zoals 1Password plaatsen wachtwoorden in het lokale geheugen

Dit artikel delen:

Populaire wachtwoordmanagers zoals 1Password en Lastpass blijken minder goed beveiligd dan je zou verwachten. De tools, waarmee gebruikers sterke wachtwoorden genereren en opslaan in een online kluis, laten sporen achter in het lokale computergeheugen. Daardoor zijn sommige zelfs te kraken, concluderen onderzoekers van adviesbureau ISE.

Bij het onderzoek werden enkele veelgebruikte tools onder de loep genomen: 1Password, Dashlane, KeePass en LastPass. Wereldwijd zetten ruim zestig miljoen mensen deze tools in voor het beheer van hun inloggegevens. Door wachtwoorden versleuteld in een centrale online kluis op te slaan, kunnen ze voor elke inlog een ander, sterk wachtwoord kiezen zonder deze te hoeven onthouden. De kluis is toegankelijk met één hoofdwachtwoord, het enige dat ze wel moeten onthouden.

Geen van de tools bleek even veilig als de leveranciers beloven, is de conclusie van de onderzoekers. Volgens hen zijn er fundamentele tekortkomingen, waardoor kwaadwillenden aan de haal kunnen met gegevens die de tools juist moeten beschermen. De kritiek heeft voornamelijk betrekking op het achterblijven van herleidbare informatie in het lokale geheugen. Vooral 1Password moet het ontgelden, hoewel de andere producten ook veiligheidsissues hebben.

1Password

Bij de nieuwste release van 1Password blijven het hoofdwachtwoord, individuele wachtwoorden en de geheime sleutel die nodig is voor versleuteling, achter in het lokale geheugen van de computer. Het geheugen wordt niet gewist, zelfs niet nadat de gebruiker de toepassing heeft vergrendeld of is uitgelogd. Volgens de onderzoekers zou het hoofdwachtwoord zelfs in 'cleartext' (onversleuteld) zichtbaar zijn. Alleen door 1Password volledig af te sluiten, verdwijnen de gegevens uit het geheugen. Dit euvel zou zich niet voordoen bij de oude versie van deze tool.

De onderzoekers roepen de fabrikanten van de wachtwoordmanagers op om ervoor te zorgen dat wachtwoorden niet in het lokale computergeheugen achterblijven, en zeker niet als de tool is vergrendeld of als de gebruiker is uitgelogd. Het zou alleen mogelijk moeten zijn om telkens één wachtwoord dat de tool in een actief venster toont, in het geheugen te zetten.

Het onderzoek spitste zich toe op wachtwoordmanagers draaiend op Windows 10.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met je persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2019-02-22T13:22:00.000Z Diederik Toet
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.