Waarom je echt wel een wachtwoordmanager nodig hebt
Een wachtwoordenmanager kan zelf moeilijke wachtwoorden genereren (denk aan “45LE7°43€&iz”) én voor je onthouden.
Ze vullen die wachtwoorden ook zelf automatisch in in websites die je bezoekt, zodat je met één druk op de knop kan inloggen. Nee, een wachtwoordenmanager als Roboform, Dashlane, Lastpass of Keepass zou je op zich niet beschermd hebben tegen Heartbleed. Maar ze maken de schoonmaak nadien wel een heel stuk gemakkelijker.
[related_article id=”161920″]
Na een incident als Heartbleed is het een goed idee om al je wachtwoorden te veranderen. In Roboform bijvoorbeeld gaat dat zeer gemakkelijk. Je opent de lijst met websites, klikt op de site waar je naartoe wil en Roboform logt je automatisch in. Daarna ga je naar de pagina om je wachtwoord te veranderen en de software slaat het nieuwe wachtwoord automatisch op. Zonder een wachtwoordmanager zou dit een omslachtige en tijdrovende klus worden. Met is het een fluitje van een cent.
Niet gevaarlijk?
Natuurlijk, voor een wachtwoordmanager heb je zelf ook een log-in nodig en heel wat managers slaan informatie ook online op. Is dat dan niet gevaarlijk?
Volgens Roboform is zijn site nooit bedreigd geweest door Heartbleed omdat het een andere versie van SSL gebruikte. Concurrent Lastpass geeft toe dat het wel kwetsbaar was voor Heartbleed, maar stelt dat het daarenboven enkele extra lagen encryptie toevoegt aan de data alvorens die via SSL verzonden worden. Met een systeem dat als perfect forward secrecy bekendstaat, verandert Lastpass ook telkens alle beveiligingssleutels. Als een sleutel dus op straat belandt, kan je er nog steeds niks mee aanvangen.
Je kunt je natuurlijk ook afvragen of het een goed idee is om alle je log-ins aan één product of bedrijf toe te vertrouwen. Roboform zegt dat alle data die het heeft versleuteld worden opgeslagen en bewaard. Ook al zijn servers worden uiteraard voorzien van paswoorden en firewalls.
Hoofdwachtwoord staat lokaal
Daarnaast wordt het hoofdwachtwoord van Roboform (en Lastpass) om de data te decrypteren alleen lokaal opgeslagen, bij de gebruikers zelf dus. Ook al kunnen hackers dus aan de data bij Roboform, zonder het hoofdwachtwoord kunnen ze die niet uitlezen.
Natuurlijk moeten gebruikers zelf zorgen dat dat hoofdwachtwoord sterk genoeg is. Maar het is natuurlijk een stuk makkelijker om één moeilijk wachtwoord te onthouden dan tientallen.
Stap vooruit
Een perfecte manier om je te beveiligen zijn wachtwoordmanagers niet. Die perfecte manier bestaat trouwens ook niet. Maar ze vormen toch al een grote stap voorwaarts.
Een wachtwoordenmanager kan zelf moeilijke wachtwoorden genereren (denk aan “45LE7°43€&iz”) én voor je onthouden.
Ze vullen die wachtwoorden ook zelf automatisch in in websites die je bezoekt, zodat je met één druk op de knop kan inloggen. Nee, een wachtwoordenmanager als Roboform, Dashlane, Lastpass of Keepass zou je op zich niet beschermd hebben tegen Heartbleed. Maar ze maken de schoonmaak nadien wel een heel stuk gemakkelijker.
[related_article id=”161920″]
Na een incident als Heartbleed is het een goed idee om al je wachtwoorden te veranderen. In Roboform bijvoorbeeld gaat dat zeer gemakkelijk. Je opent de lijst met websites, klikt op de site waar je naartoe wil en Roboform logt je automatisch in. Daarna ga je naar de pagina om je wachtwoord te veranderen en de software slaat het nieuwe wachtwoord automatisch op. Zonder een wachtwoordmanager zou dit een omslachtige en tijdrovende klus worden. Met is het een fluitje van een cent.
Niet gevaarlijk?
Natuurlijk, voor een wachtwoordmanager heb je zelf ook een log-in nodig en heel wat managers slaan informatie ook online op. Is dat dan niet gevaarlijk?
Volgens Roboform is zijn site nooit bedreigd geweest door Heartbleed omdat het een andere versie van SSL gebruikte. Concurrent Lastpass geeft toe dat het wel kwetsbaar was voor Heartbleed, maar stelt dat het daarenboven enkele extra lagen encryptie toevoegt aan de data alvorens die via SSL verzonden worden. Met een systeem dat als perfect forward secrecy bekendstaat, verandert Lastpass ook telkens alle beveiligingssleutels. Als een sleutel dus op straat belandt, kan je er nog steeds niks mee aanvangen.
Je kunt je natuurlijk ook afvragen of het een goed idee is om alle je log-ins aan één product of bedrijf toe te vertrouwen. Roboform zegt dat alle data die het heeft versleuteld worden opgeslagen en bewaard. Ook al zijn servers worden uiteraard voorzien van paswoorden en firewalls.
Hoofdwachtwoord staat lokaal
Daarnaast wordt het hoofdwachtwoord van Roboform (en Lastpass) om de data te decrypteren alleen lokaal opgeslagen, bij de gebruikers zelf dus. Ook al kunnen hackers dus aan de data bij Roboform, zonder het hoofdwachtwoord kunnen ze die niet uitlezen.
Natuurlijk moeten gebruikers zelf zorgen dat dat hoofdwachtwoord sterk genoeg is. Maar het is natuurlijk een stuk makkelijker om één moeilijk wachtwoord te onthouden dan tientallen.
Stap vooruit
Een perfecte manier om je te beveiligen zijn wachtwoordmanagers niet. Die perfecte manier bestaat trouwens ook niet. Maar ze vormen toch al een grote stap voorwaarts.