icon-menu logo_footer preds symbol-afrader symbol-bestekoop symbol-besteuittest

Veiligheid passwordmanagers

Passwordmanagers bewaren je wachtwoorden vaak in de cloud en de wachtwoordsoftware van LastPass bevatte veiligheidslekken. Hoe onveilig dit ook klinkt, door de gebruikte versleuteling zijn wachtwoordmanagers toch een van de veiligste manieren van wachtwoordbeheer. En nog eens handig ook.
Ronald Kamp_S

Ronald Kamp   Expert veilig internettenBijgewerkt op:15 november 2024

Artikel keepass workshop

Met een passwordmanager, of wachtwoordmanager, kun je hele veilige en ingewikkelde wachtwoorden gebruiken, zonder dat je ze hoeft te onthouden. De passwordmanager vult ze voor je in, jij moet alleen het hoofdwachtwoord niet vergeten. Zo wordt omgaan met wachtwoordenbeheer een stuk makkelijk. Maar is een wachtwoordmanager wel een goed en veilig idee?

Veilige keuze

Bij passwordmanagers draait het niet alleen om gemak, maar ook om veiligheid en vertrouwen. Veel passwordmanagers bewaren de wachtwoordenkluis standaard in de cloud, wat al snel vraagtekens over de veiligheid en privacy oplevert.

Toch is een passwordmanager een veilige oplossing. Veiliger dan je wachtwoorden opslaan in een Excel-bestand of in de browser en bijna altijd ook veiliger dan (zwakkere wachtwoorden) zelf onthouden. De wachtenwoordenkluis is sterk beveiligd en alleen jij weet het hoofdwachtwoord. 

Achterdeurtje

De gebruikte versleuteling van wachtwoordmanagers is zo sterk dat kwaadwillenden, overheden en de (vaak Amerikaanse) makers ervan, niet bij jouw wachtwoorden kunnen. Dat bijvoorbeeld de Amerikaanse veiligheidsdiensten op een andere manier een achterdeurtje hebben, is niet met 100% uit te sluiten. Net als bij nagenoeg alles wat digitaal is. 

Is LastPass veilig?

Onderzoekers hebben in het verleden aangetoond dat passwordmanagers niet altijd even veilig zijn. Bijvoorbeeld bij het (laten) invullen van de inloggegevens in de browser. LastPass is een van de bekendste passwordmanagers.

Bij LastPass is in de tweede helft van 2022 een hack geweest waarbij de toegangsgegevens van een medewerker zijn gestolen. Zo kreeg de aanvaller ook toegang tot andere systemen van LastPass. Hierbij zijn gegevens zoals namen, e-mailadressen, adresgegevens, gedeeltelijke creditcardnummers en website-URL's in handen gekomen van de aanvaller. Sommige van deze gegevens waren niet versleuteld. Andere gegevens waren versleuteld met de hoofdwachtwoorden van gebruikers. Ook zijn er versleutelde back-ups van de wachtwoordkluizen gestolen.

Hoe goed LastPass beveiligd was, hing af van de sterkte van het hoofdwachtwoord en een gebruikersinstelling (het aantal versleutelingsrondes). Waarop het aantal versleutelingsrondes standaard was ingesteld, hing weer af van wanneer het account was aangemaakt.

Wachtwoord(en) en instellingen aanpassen

Heb je niet zo'n sterk hoofdwachtwoord voor LastPass gebruikt in de periode tot begin 2023? Bijvoorbeeld een wachtwoord van 12 of minder tekens én dat bestaat uit woorden in plaats van een willekeurige verzameling karakters? Dan moet je in ieder geval je hoofdwachtwoord aanpassen en bij voorkeur ook de wachtwoorden in de kluis.

Ook is het aan te raden het aantal versleutelingsrondes (wachtwoorditeraties) aan te passen. Zeker als je een account hebt die meer dan een paar jaar oud is. Bekijk de stappen:

  • Ga naar je wachtwoordkluis.
  • Kies accountinstellingen en daarna geavanceerde instellingen onderaan.
  • Zet het aantal wachtwoorditeraties op minimaal 600.000 als daar een lager getal staat.

Door dit incident en de afhandeling ervan is de reputatie van LastPass beschadigd. Het is lastig een beveiligingsbedrijf te vertrouwen als ze zelf de beveiliging niet helemaal op orde hadden. Maar de situatie is nu wel weer op orde. Als je nu met LastPass begint, is dat dus niet per definitie minder veilig dan bij andere wachtwoordmanagers. Bekijk hoe LastPass het doet in onze test wachtwoordmanagers.

KeePass en alternatieven

Met een sterke beveiliging en een heel sterk hoofdwachtwoord loop je weinig risico. Toch vinden sommigen een wachtwoordenkluis bij een derde partij niet prettig. Passwordmanagers als Enpass of KeePass kunnen de wachtwoordenkluis lokaal bewaren. 

Wil je je wachtwoorden dan toch op verschillende apparaten kunnen gebruiken, dan moet je je wachtwoordendatabase zelf delen, bijvoorbeeld met een clouddienst naar eigen keuze. Maar bedenk dat het weer nieuwe risico’s met zich meebrengt, omdat je er weer een extra partij bij betrekt.

Wachtwoorden in browser 

Hoe zit het met de functie ‘wachtwoorden onthouden’ van internetbrowsers? Die kan een aardige opstap zijn naar een beter wachtwoordbeheer. Maar dan moet je wel eenvoudige en niet-unieke wachtwoorden vervangen door sterkere.

Chrome en Edge

Toch zijn deze browserfuncties qua veiligheid en mogelijkheden niet optimaal, met name bij de browsers Chrome en Edge. Zo zijn wachtwoorden minder goed afgeschermd. Met een kwaadaardige pc-app zijn je wachtwoorden uit te lezen.

Firefox

FireFox doet het beter als je het optionele hoofdwachtwoord inschakelt. Maar bijvoorbeeld een sterktemeter voor je wachtwoord of instelmogelijkheden voor nieuwe wachtwoorden ontbreken.

Safari

Voor Apple-apparaten is er de ingebouwde iCloud-sleutelhanger, bij de browser Safari en apps. Die heeft weinig nadelen en werkt best goed.

Voor al deze opties is er het nadeel dat ze alleen bruikbaar zijn binnen één browservariant. Gebruik je de Safari-browser op een iPhone en Chrome op een Windows-pc, dan kun je de wachtwoorden niet uitwisselen. Met volwaardige wachtwoordmanagers kan dat wel.

Tips: passwordmanager gebruiken

  • Kies een zeer sterk hoofdwachtwoord. Het is de sleutel tot al je andere wachtwoorden! Zet desnoods (tijdelijk) een geheugensteuntje op papier, waaruit alleen jij het hoofdwachtwoord kunt afleiden.
  • Verander zwakke wachtwoorden in sterke. Het liefst met minstens 15 willekeurige tekens. Dat kan met een doorgaans ingebouwde wachtwoordgenerator.
  • Gebruik tweefactorauthenticatie. Dan heb je naast het hoofdwachtwoord voor de passwordmanagers een extra inlogmiddel, bijvoorbeeld via een app.
  • Bekijk de uitloginstellingen. Zeker als je het apparaat met de wachtwoordmanager ook buitenshuis gebruikt. Stel hem zo in dat hij vanzelf uitlogt na bepaalde tijd of bij het afsluiten van de browser.

In de Digitaalgids besteden we ook regelmatig aandacht aan wachtwoorden. 

Blijf op de hoogte

Ontvang nieuws, acties en tips in je mailbox. Zo bespaar je geld, voorkom je een miskoop en weet je wat je rechten zijn. Al 500.000 lezers gingen je voor.
In onze privacyverklaring lees je hoe we omgaan met je persoonsgegevens en e-mails voor je personaliseren.