Veilig wachtwoordgebruik betekent, geen hergebruik, regelmatig aanpassen en veilig opslaan. Bij het hanteren van deze basisregels is een hulpmiddel als een wachtwoordkluis onontbeerlijk.

Het is niet om het even welke wachtwoordkluis we kiezen. Een gebruiksvriendelijke service als LastPass blijkt toch grote nadelen te hebben. En het minder hippe KeePass blijkt een zeer degelijk stuk gereedschap te zijn.

(On)veilig wachtwoordgebruik

Hoe bewaart of beheert u uw wachtwoorden? Schrijft u ze op, noteert u ze in een documentje, gebruikt u vaak eenzelfde wachtwoord of raakt u er wel eens een kwijt?

Basisregels voor veilig wachtwoordgebruik zijn: geen hergebruik, regelmatig aanpassen en veilig bewaren.

Op het internet circuleren enorm grote lijsten van inlognamen, e-mailadressen en wachtwoorden, buitgemaakt met digitale diefstal. Criminelen proberen met deze gegevens op allerlei websites in te loggen. Als ze dat lukt dan kunnen ze in naam van iemand anders bijvoorbeeld een e-mail versturen, informatie stelen of bestellingen plaatsen. Het hanteren van deze basisregels maakt u minder kwetsbaar voor dit soort criminaliteit.

geen hergebruik, regelmatig aanpassen en veilig bewaren

In de alledaagse praktijk strijden veiligheid en gebruiksgemak met elkaar. Het onthouden van allemaal verschillende en wisselende wachtwoorden is niet te doen. De verleiding is dan groot om eenzelfde wachtwoord op meerdere plekken te gebruiken of om de verschillende wachtwoorden in een bestandje te noteren. Verder is het ook erg aantrekkelijk om een wachtwoord in uw browser op te slaan. Zo'n bestandje kan echter gemakkelijk worden buitgemaakt met een inbraak op uw computer (virus, malware etc.). En ook de wachtwoorden die uw browser bewaard, kunnen eenvoudig worden buitgemaakt.

Een wachtwoordkluis

Gelukkig zijn er ook hulpmiddelen ontwikkeld om het veilig werken met wachtwoorden te vereenvoudigen. Zo'n hulpmiddel kan u helpen bij het verzinnen en opslaan van een wachtwoord, het automatisch invullen van een wachtwoord of u attenderen op verouderde wachtwoorden. Deze software wordt ook wel een wachtwoordkluis of wachtwoordmanager genoemd.
U kunt zo'n programma ook gebruiken voor het veilig noteren van bijvoorbeeld uw pincode en vertrouwelijke notities. In tegenstelling tot een gewoon document (bijvoorbeeld van Word of Excel), of de wachtwoorden in een webbrowser zijn de gegevens van een wachtwoordkluis niet zomaar leesbaar voor anderen. Het is echter niet om het even welke wachtwoordmanager u kiest.

LastPass en KeePass

Een veelgebruikte wachtwoordmanager is Lastpass. Het is een commercieel stuk software dat in de basis gratis beschikbaar is. Voor bepaalde extra mogelijkheden is een betaalde versie beschikbaar.
Een andere bekende wachtwoordmanager is KeePass. Ook deze software is gratis beschikbaar. Allerlei extra mogelijkheden zijn gratis beschikbaar (middels zogenaamde plugins of extensies).

Gebruiksgemak versus controle

LastPass is in het eerste gebruik een stuk eenvoudiger dan KeePass. Het is eenvoudig om te installeren en direct te gebruiken op uw computer, laptop, tablet en telefoon. Zo heeft u uw wachtwoorden altijd en overal op een veilige manier beschikbaar.

Dit gebruiksgemak komt echter met een prijs. Uw gegevens worden namelijk centraal worden bewaard op de computers van LastPass. Dit is een serieus risico, want zodra om de een of andere reden de verbinding wegvalt of in een extreem geval de computers van Lastpass uitgeschakeld worden, verliest u uw toegang tot uw eigen zeer vertrouwelijke gegevens.

KeePass is in het eerste gebruik een stuk minder eenvoudig. Het kost wat nogal wat extra stappen om KeePass goed te laten samenwerken met uw webbrowser (Firefox, Chrome etc) of om uw wachtwoorden op al uw apparaten beschikbaar te hebben. Zodra u dit echter werkend hebt is het gebruiksgemak vergelijkbaar of beter dan bij LastPass. KeePass is namelijk veel meer instelbaar dan LastPass. Bij KeePass bepaalt u dus grotendeels zelf hoe de applicatie werkt en waar u de gegevens opslaat. Dit kost wat meer inspanning, maar u krijgt daar meer controle voor terug.

Openbaarheid en veiligheid

De broncode van KeePass is publiek beschikbaar (open source). We kunnen precies zien hoe de software werkt en verbeteringen aandragen. Zo heeft de Europese Commissie de veiligheid van de broncode van KeePass laten onderzoeken en geen kritische kwetsbaarheden geconstateerd[1].
Ook kan iemand een eigen versie van de software uitbrengen.
Dit laatste is onder andere van belang als de oorspronkelijke programmeur geen noodzakelijke correcties of gewenste vernieuwingen doorvoert. Anderen kunnen in dat geval het heft in eigen handen nemen en een eigen variant van dit programma uitbrengen.

De broncode van LastPass is niet publiek beschikbaar. We weten dus niet precies hoe het programma werkt en kunnen geen fouten opsporen of verbeteringen aandragen. We hebben in tegenstelling tot KeePass geen idee hoe goed of veilig het product is en we hebben als gebruikers geen controle over de beschikbaarheid van het product. Zodra de eigenaar van LastPass besluit om het product niet meer te leveren, houdt het op. Het bedrijf achter LastPass heeft dus zowel de controle over uw gegevens als over het product. Dat klinkt heel logisch, maar is een groot nadeel: tenzij de broncode publiek beschikbaar komt, kan het product immers niet worden gecontinueerd.

Yaats adviseert

  1. Houdt u aan de basisregels: geen hergebruik, regelmatig aanpassen en veilig bewaren.
  2. Heeft u niet meer dan een stuk of 10 à 20 wachtwoorden en gebruikt u liever geen wachtwoordmanager, zet dan uw wachtwoorden op papier en niet in een documentje of in uw webbrowser bewaren.
  3. Wilt u wel gebruik maken van een wachtwoordmanager, gebruik dan KeePass.

Yaats ontzorgt

Wij ondersteunen u graag bij het in gebruik nemen van een goede wachtwoordmanager als KeePass.

  • Installatie en configuratie van KeePass
  • Integratie van KeePass met uw webbrowser (Mozilla Firefox of Google Chrome)
  • Eenvoudige gebruiksinstructie

Heeft u hiervoor belangstelling of heeft u vragen neem dan gerust contact op.

Verwijzingen

Wilt u het ook nog van een ander horen? Lees dan bijvoorbeeld dit artikel van De Correspondent: "[Neem jij vandaag een wachtwoordmanager om je beter te beschermen?](Neem jij vandaag een wachtwoordmanager om je beter te beschermen? )"

  1. KeePass audit: no critical security vulnerabilities found, ghacks.net ↩ī¸Ž