Het is niet altijd waar dat wachtwoordmanagers niet bij je wachtwoorden kunnen komen. Hoewel security-experts wachtwoordmanagers aanraden om te gebruiken, is het niet zo dat je wachtwoorden er 100 procent veilig staan. Veel wachtwoordmanagers gebruiken de term ‘zero knowledge’ over hun encryptiesysteem, maar zo ‘zero’ is dat helemaal niet altijd.
Lees verder na de advertentie.
Wachtwoordmanagers
Uit nieuw onderzoek blijkt dat vooral bij mensen die accountherstel hebben ingeschakeld of wanneer wachtwoordbeheerders zijn ingesteld om kluizen te delen of gebruikers in groepen te organiseren, het helemaal niet zo is dat het bedrijf nul toegang heeft tot die gegevens. Onderzoekers hebben bij Bitwarden, LastPass en Dashlane wat reverse-engineering toegepast en daaruit blijkt dat iemand die controle heeft over de server volledige kluizen kan inzien. En kijken in een kluis betekent ook dat er dan iets uit die kluis kan worden gestolen. Tientallen miljoenen mensen gebruiken specifiek deze wachtwoordmanagers.
Hoe mensen dan toegang krijgen tot de server is wel een tweede. Dat zal dan moeten gaan via het gevolg van een lek of bijvoorbeeld omdat ze per ongeluk admin-rechten hebben gekregen. Ook hebben de onderzoekers aanvallen ontwikkeld die zoveel invloed hebben op de versleuteling, dan de versleutelde tekst toch nog kan worden omgezet in echte tekst, en dus in het wachtwoord. Dat is een heel serieuze zaak als het om wachtwoorden gaat. Bovendien zijn er ook mensen die bijvoorbeeld de code van hun cryptovaluta (zoals Bitcoin) erin hebben staan, waardoor iemand al hun crypto zou kunnen stelen.
Lees verder na de advertentie.
Ondertussen beweren de bedrijven achter de wachtwoordmanagers dat “kwaadwillende actoren de informatie niet kunnen stelen, zelfs niet als de servers van Dashlane gecompromitteerd zijn” en dat “niemand toegang heeft tot gegevens in je LastPass-kluis, behalve jijzelf (zelfs LastPass niet)”. En “zelfs het team van Bitwarden uw gegevens niet kan lezen (al zouden we het willen).”
Kluis is te kraken
Onderzoekers van ETH Zürich en USI Lugano (via ArsTechnica) zeggen nu dus echt iets anders. Waarschijnlijk zijn er nog veel meer wachtwoordmanagers die op deze manier werken en dus wel degelijk toegang kunnen geven tot kwaadwillenden. Zo kan bij Bitwarden een aanvaller toeslaan wanneer een nieuw lid wordt toegevoegd aan een groep. Omdat de gegevens die tijdens dit proces tussen de server en de client worden uitgewisseld niet op integriteit worden gecontroleerd, kan een aanvaller de publieke sleutel vervangen door een eigen sleutel. Zo kan de aanvaller de kluisinhoud van het nieuwe lid lezen en wijzigen zodra deze de uitnodiging accepteert. Dit kan zich als een ‘worm’ verspreiden door alle gekoppelde organisaties.”
Bij LastPass kun je hoofdwachtwoorden laten resetten door een ‘superadmin’. Omdat LastPass nalaat de sleutels van de superadmin te verifiëren, kan een aanvaller deze vervangen door een eigen sleutel. Log de gebruiker dan in via de browserextensie, dan kan de kwaadwillende toegang krijgen tot die kluis. Met het blootleggen van wachtwoorden met encryptie wordt er misbruik gemaakt van de integriteitscontrole. Velden zoals URL en wachtwoord zijn vaak met dezelfde sleutel versleuteld zonder goede integriteitscontrole. Zo kan een kwaadwillende server de velden verwisselen en waar de client denkt dat de URL alleen wordt ontsleuteld om een icoon op te halen, maar in werkelijkheid neemt hij alles mee, dus ook het wachtwoord dat vervolgens naar de server wordt gestuurd.
Geen wachtwoordmanager meer gebruiken?
Is blinde paniek nu nodig? Niet per se. De belangrijkste kwetsbaarheden die de onderzoekers tegenkwamen zijn inmiddels van een patch voorzien. Ook zeggen de bedrijven dat de drempel voor de aanvallen die de onderzoekers allemaal ontwikkelden erg hoog is. Wel valt op dat de wachtwoordmanagerbedrijven allemaal wat droog reageren: LastPass zegt dat het al continu monitort op dergelijke scenario’s, Bitwarden stelt dat het scenario buiten de standaard operationele aannames voor clouddiensten valt en 1Password zegt dat het onderzoek geen nieuwe aanvalsvectoren blootlegt die niet al in hun eigen veiligheidsdocumentatie waren opgenomen.
Lees verder na de advertentie.
Dus ja, wat moet je als gebruiker nu doen? We weten van het lek dat jaren geleden plaatsvond met LastPass dat er altijd risico’s zijn. Bovendien is het alternatief vaak nog onveiliger: ze zelf onthouden zou het veiligst zijn, maar de kans is groot dat je wachtwoorden dan te makkelijk worden of je overal hetzelfde wachtwoord gebruikt. En natuurlijk: dat je ze vergeet. Je kunt dus tot op zekere hoogte zeker met een gerust hart wachtwoordmanagers blijven gebruiken, alleen je moet er altijd op bedacht zijn dat je gegevens ook daar niet 100 procent veilig staan. Ook helpt het om ergens anders een lijst bij te houden met voor welke sites je wachtwoorden hebt staan in zo’n wachtwoordmanager, zodat je er bij problemen snel naartoe kunt gaan om je wachtwoorden te veranderen.
Gebruik jij een wachtwoordmanager of juist niet? Deel het in de reacties.
Reacties
Inloggen of registreren
om een reactie achter te laten
Waar zitten alle server…. Ook Belangrijk
Ik gebruik al jaren DASHLANE zonder problemen en ik hoop het zo te houden !
Gebruik Keepass, deze werkt lokaal en je hoeft maar één paswoord te onthouden. Daarna is het te openen met biometrie. Altijd beter in eigen beheer.
Hoe zit het met Proton Pass? Die lijkt heel wel veilig…
Ben ook benieuwd. Ben pas overgestapt naar Proton pass
Ik gebruik al jaren een betaalde versie van Roboform en heb nog nooit een slechte ervaring ondervonden. M.i. zijn mijn gegevens veilig opgeslagen.
Precies dát dachten de gebruikers van de betaalde versies van Bitwarden, LastPass, 1Password, Dashlane en ga zo maar door, ongetwijfeld ook.
Ergo: Wat jouws inziens veilig is op basis van “nooit een slechte ervaring” zegt mij niet zo heel veel. Je zult ongetwijfeld te goeder trouw zijn, maar ik vertrouw meer op het oordeel van cybersecurity onderzoekers (die Roboform helaas niet meegenomen hebben in dit onderzoek).