Moet je een wachtwoordbeheerder gebruiken? De voordelen en risico's afwegen

Veel cybersecurity-experts zijn van mening dat het gebruik van een wachtwoordbeheerder de beste manier is om ervoor te zorgen dat u Sterk en uniek wachtwoord Voor elk van je online accounts. Terwijl anderen de waarde van deze tools onderschatten.

Voor tegenstanders vormen wachtwoordmanagers een grote kwetsbaarheid: ze vormen een schat aan uiterst gevoelige informatie, bewaakt door één hoofdwachtwoord dat verloren, gestolen of gehackt kan worden.

• De beste software voor wachtwoordbeheer Om uw online accounts veilig te houden.
• LastPass, 1Password en andere wachtwoordbeheerders kunnen gehackt worden: wat kunt u doen?

Dus wie heeft er gelijk? Het team van Tom's Guide sprak met een aantal experts op het gebied van digitale beveiliging en ondervroeg hen over de voor- en nadelen van huidige oplossingen voor wachtwoordbeheer.

Dit is wat ze te zeggen hebben over deze controversiële technische hulpmiddelen, plus een aantal tips over hoe u de risico's kunt beperken die gepaard gaan met het bewaren van al uw wachtwoorden op één plek.

Beveiligingsexperts prijzen wachtwoordbeheersoftware

Niet alle beveiligingsexperts zijn voorstanders van wachtwoordmanagers, maar degenen die dat wel zijn, kunnen zich een wereld zonder wachtwoorden niet voorstellen. Een goed voorbeeld is Robert Siciliano, een beveiligingsanalist uit Boston en CEO van Safr.me, die stelde dat hij met meer dan 650 wachtwoorden in gebruik simpelweg niet zonder een wachtwoordmanager kon functioneren.

"Zonder wachtwoordbeheerder grijpen gebruikers terug naar zwakke wachtwoorden zonder enig beheer", aldus Siciliano in een e-mail. "Ze gebruiken hetzelfde wachtwoord voor al hun belangrijke accounts en worden onvermijdelijk gehackt." Dit onderstreept het belang van het gebruik van sterke wachtwoordbeheerders om gevoelige gegevens te beschermen.

Maar zelfs Siciliano – die benadrukte dat er geen enkel logisch argument is tegen het gebruik van een wachtwoordbeheerder – neemt maatregelen om het risico te verkleinen dat al zijn wachtwoorden op één plek bewaard worden. Deze voorzorgsmaatregelen zijn essentieel voor het verbeteren van de informatiebeveiliging.

Hij legde uit dat hij de inloggegevens voor zijn belangrijkste accounts (zoals online bankrekeningen) uit zijn hoofd leert, maar de rest van zijn wachtwoorden opslaat in een online wachtwoordmanager. Deze balans tussen onthouden en opslaan vertegenwoordigt een evenwichtige beveiligingsstrategie.

“Niemand kan elk wachtwoord onthouden.”

Morris Tabush, die zijn eigen IT-adviesbureau, Tabush Group, in New York runt, wijst op de risico's die inherent zijn aan het vertrouwen op wachtwoorden alleen om je te beschermen. Uw digitale identiteitHij is van mening dat gebruikers hun best moeten doen om hun wachtwoorden te beschermen in deze uitdagende realiteit.

Voor Taboush is het gebruik van een wachtwoordbeheerder de beste oplossing.

"Het is onmogelijk om één gebruikersnaam en wachtwoord te gebruiken voor alle sites en diensten, omdat elke site of dienst zijn eigen wachtwoordvereisten heeft", legt Tabosh uit via e-mail. "Niemand kan elke combinatie van verschillende gebruikersnamen en wachtwoorden onthouden."

Tabosh benadrukt het belang van wachtwoordmanagers voor hemzelf en zijn klanten, die vaak kleine en middelgrote bedrijven zijn met tientallen online accounts. Hij geeft de voorkeur aan RoboForm van Siber Systems, een wachtwoordbeheerapplicatie die beschikbaar is voor Windows en Mac, en voor mobiele apparaten met iOS en Android.

Tapush RoboForm is een ideale keuze omdat het werkt op al je apparaten, waaronder desktop, laptop, iPhone en iPad. Omdat deze webgebaseerde wachtwoordmanager wachtwoorden in versleutelde bestanden opslaat, heeft de dief geen toegang tot je inloggegevens, zelfs niet als een van je Tapush-apparaten wordt gestolen. Dit biedt een extra beschermingslaag tegen accounthacking en gegevensdiefstal.

De donkere kant van digitale technologie

Natuurlijk is er voor elke expert die beweert niet zonder wachtwoordmanager te kunnen, een ander die liever de rest van zijn leven zonder zou leven. Deze uiteenlopende meningen weerspiegelen terechte zorgen over gegevensbeveiliging.

Dat is de mening van Terry Cutler, medeoprichter en CTO van Digital Locksmiths, een adviesbureau voor cyberbeveiliging uit Montreal.

In een e-mailinterview verklaarde Cutler: "Ik ben absoluut geen fan van wachtwoordmanagers. Als er eentje gehackt wordt, is al je code gestolen." Cutler is van mening dat de potentiële risico's groter zijn dan de voordelen, vooral nu cyberaanvallen steeds geavanceerder worden.

Tyler Regoli, directeur beveiligingsonderzoek en -ontwikkeling bij Tripwire, een cybersecuritybedrijf in Portland, Oregon, is het met Cutler eens. Hij stelt dat wachtwoordmanagers meer kwaad dan goed kunnen doen, vooral voor thuisgebruikers die mogelijk niet over de expertise beschikken om ze veilig te configureren.

"Wachtwoordbeheerders zijn de manier waarop de maatschappij slechte gewoontes overdraagt naar de computer", voegt Regoli toe. "Het is niet acceptabel om wachtwoorden 'op te schrijven', dus 'bewaren' we ze in plaats daarvan op onze computers. 'Opslaan' is simpelweg het digitale equivalent van 'opschrijven'." Regoli legt uit dat het vertrouwen op één wachtwoordbeheerder een centraal kwetsbaar punt creëert, waardoor het een aantrekkelijk doelwit wordt voor aanvallers. In plaats daarvan adviseert hij om betere beveiligingspraktijken te implementeren, zoals het gebruik van sterke, unieke wachtwoorden voor elk account en het inschakelen van tweefactorauthenticatie waar mogelijk.

“Ik vertrouw online wachtwoordbeheerders niet.”

Bepalen welke tools veilig zijn en welke niet, is niet per se een gemakkelijke taak. Zoals Ken Westin, Director of Security Strategy bij ReliaQuest, aangeeft, is het lastig om te bepalen hoe veilig wachtwoordmanagers werkelijk zijn.

"Persoonlijk vertrouw ik online wachtwoordmanagers niet", zei Westin in een e-mail. "Niet omdat ik denk dat ze onveilig zijn; maar omdat ik niet weet hoe veilig ze zijn, hoe ze mijn gegevens opslaan en of mijn gegevens goed versleuteld zijn."

Vanwege deze twijfel zei Westin dat hij zijn meest gevoelige informatie niet zou opslaan in webgebaseerde wachtwoordmanagers. Voor het beheren van wachtwoorden voor financiële en e-mailaccounts raadde Westin een offline tool aan, omdat hij ervan overtuigd was dat de beveiliging van gevoelige wachtwoorden isolatie vereist van potentiële risico's.

"Voor maximale veiligheid moeten wachtwoorden voor deze diensten [financiële en e-mailaccounts] worden opgeslagen in een gecodeerde, offline wachtwoordmanager, zoals KeePass, die authenticatie vereist om te openen en die regelmatig en veilig wordt geback-upt", aldus Westin. Dit garandeert dat de toegang tot deze essentiële informatie adequaat is beschermd.

Christopher Burgess, CEO van Prevendra, een beveiligings- en privacybedrijf uit de regio Seattle, stelde voor dat iedereen die wachtwoordmanagers niet vertrouwt, in plaats daarvan handmatig wachtwoorden kan bijhouden. Deze methode biedt volledige controle over gevoelige gegevens.

"Het handmatige systeem is eenvoudig te implementeren [met behulp van] twee notitieboekjes", aldus Burgess. "In het eerste notitieboekje noteer je je accountgegevens: de servicenaam, URL, gebruikers-ID en serienummer. In het tweede notitieboekje, naast het serienummer, noteer je je wachtwoord en eventuele authenticatieaantekeningen. Bewaar het tweede notitieboekje op een veilige plek en raadpleeg het wanneer je je wachtwoord bent vergeten." Deze aanpak, hoewel eenvoudig, biedt een haalbaar alternatief voor diegenen die liever directe controle hebben over de beveiliging van hun wachtwoorden.

Te nemen veiligheidsmaatregelen

Hoewel veel van de experts met wie we spraken een sterke mening hebben over wachtwoordmanagers, lijken veel beveiligingsexperts een middenweg te kiezen. Ze beschouwen deze programma's als nuttige tools, maar niet perfect of onhackbaar.

Zoals Chester Wisniewski, senior onderzoeker bij het multinationale antivirusbedrijf Sophos, in een e-mail opmerkte, zouden mensen die hun wachtwoordmanagers niet verstandig kiezen, uiteindelijk "de ring die over hen allen heerst" kunnen uit handen kunnen geven.

Wisniewski raadt aan om te zoeken naar "bekende en vertrouwde apps. Deze apps moeten gegevens lokaal versleutelen en niet afhankelijk zijn van derden voor de versleuteling. Persoonlijk geef ik de voorkeur aan LastPass en KeePass."

Cedric Geno, oprichter en CEO van APrivacy, een cybersecuritybedrijf in Waterloo, Ontario, benadrukte ook het belang van betrouwbare gegevensversleuteling bij het bepalen van welke wachtwoordbeheerder u wilt gebruiken.

Gino legde uit dat als de wachtwoordbeheerder die je kiest je gegevens in de cloud opslaat (in plaats van lokaal op je computer), je goed moet letten op het land waar je gegevens zijn opgeslagen, wie er toegang toe heeft en welke wachtwoordbeheerderservice je gebruikt.

Lamar Bailey, senior security manager bij Tripwire, is van mening dat mensen op zoek moeten gaan naar wachtwoordbeheerders die over beveiligingsfuncties beschikken die verder gaan dan encryptie. Het gaat om functies die de online identiteit van gebruikers kunnen helpen beveiligen.

"Veel wachtwoordbeheerders waarschuwen gebruikers voor websites die zijn gehackt of die last hebben van ernstige kwetsbaarheden zoals Heartbleed", voegde Bailey toe in een e-mail.

Het allerbelangrijkste om te onthouden als het gaat om wachtwoordmanagers, vervolgt Bailey, is het hoofdwachtwoord dat u gebruikt om de tool te beveiligen.

Bailey benadrukte dat "elke wachtwoordbeheerder slechts zo veilig is als je hoofdwachtwoord. Gebruikers moeten er daarom altijd voor zorgen dat het wachtwoord van hun wachtwoordbeheerder zeer sterk is en het regelmatig wijzigen."