Welke wachtwoordmanager gebruik jij voor jezelf of je eindgebruikers? Er is tegenwoordig een scala aan oplossingen die wachtwoordmanagement bieden. Bekende online Cloud diensten zijn LastPass en Dashlane. Deze diensten bieden handige functionaliteiten, zoals integratie in je webbrowser en het benaderen van je wachtwoorden vanuit ieder apparaat. Zijn ze echter wel echt veilig?
Cloud wachtwoordmanagers en security
We vergeten echter snel dat eenvoudige functionaliteit vaak ten koste gaat van security. Waarom vertrouw je al jouw wachtwoorden aan een partij die je eigenlijk helemaal niet goed kent? Het is hetzelfde als dat je huissleutels, of sleutels van je bedrijf in bewaring brengt bij een partij aan de andere kant van het land, die je alleen kent van het internet.
Afgelopen weekend was er opnieuw een nieuwsbericht over een ernstig lek in een wachtwoordmanager, ditmaal Keeper. Eerder was dit al het geval bij de oplossingen Dashlane en Lastpass. Er kan dus worden vastgesteld dat cloud wachtwoordmanagers niet altijd te vertrouwen zijn.
Risicio’s bij het gebruik van een wachtwoordmanager
Naast het bewaren van wachtwoordgegevens in de Cloud. Zijn er zowel bij online als lokale wachtwoordmanagers risico’s verbonden aan het gebruik. Ga maar eens na bij jezelf of in je organisatie:
- Weet ik welke wachtwoordmanagers in gebruik zijn?
- Wordt er gebruik gemaakt van 2-factor authenticatie?
- Aan welke complexiteitseisen voldoet het hoofdwachtwoord?
- Waar wordt de wachtwoord database opgeslagen?
- Welke wachtwoorden worden opgeslagen in de wachtwoord database?
Hoe maak ik veilig gebruik van wachtwoordmanagers?
Laat ik vooropstellen dat ik voorstander ben van het gebruik van wachtwoordmanagers. Ze lossen namelijk andere problemen op zoals het noteren van wachtwoorden op briefjes of in niet versleutelde tekstbestanden op de desktop.
Beleid is hierin leidend. Er moet vooraf worden nagedacht hoe een wachtwoordmanager ingezet wordt en welke instellingen hiervoor gelden. Denk bijvoorbeeld aan 2-Factor authenticatie, Single Sign On (SSO) en wachtwoord complexiteit. Tevens is het verstandig om een inventarisatie uit te voeren voor wildgroei van reeds actieve wachtwoordmanagers in de organisatie.