Het afgelopen jaar hebben we een stortvloed aan nieuwsberichten gezien over het lekken van persoonlijke gegevens van verschillende online diensten, en zelfs van populaire wachtwoordmanagers. Als u een digitale kluis gebruikt, zult u zich bij het lezen over zo’n datalek waarschijnlijk een nachtmerriescenario voorstellen: aanvallers hebben toegang gekregen tot al uw accounts waarvan de wachtwoorden zijn opgeslagen in uw wachtwoordmanager.
In hoeverre is die angst terecht? Met gebruik van het voorbeeld van Kaspersky Password Manager, vertellen we u hoe de verschillende verdedigingslagen van wachtwoordmanagers werken, en wat u kunt doen om deze sterker te maken.
De algemene principes
Laten we om te beginnen eens kijken waarom wachtwoordmanagers een goed idee zijn. Het aantal internetdiensten dat we gebruiken groeit voortdurend, en dat betekent dat we dus ook steeds meer gebruikersnamen en wachtwoorden invoeren. Het is moeilijk om die allemaal te onthouden, maar ze op willekeurige plaatsen opschrijven is ook riskant. De voor de hand liggende oplossing is om al uw inloggegevens op één veilige plaats op te slaan en die kluis met één sleutel te vergrendelen. Op die manier hoeft u dus ook maar één wachtwoord te onthouden.
Wanneer u Kaspersky Password Manager voor het eerst activeert, wordt u gevraagd een hoofdwachtwoord aan te maken dat u zult gebruiken om uw digitale kluis te openen. Vervolgens kunt u in deze kluis de gegevens invoeren voor elke internetdienst die u gebruikt: De URL, gebruikersnaam en het wachtwoord. U kunt dit handmatig doen, of u kunt een browserextensie van een wachtwoordmanager instellen en een speciaal commando gebruiken om alle wachtwoorden die in de browser zijn opgeslagen over te brengen naar de kluis. Naast wachtwoorden kunt u ook andere persoonlijke documenten aan de kluis toevoegen, zoals een ID-scan, verzekeringsgegevens, bankpasgegevens en belangrijke foto’s.
Wanneer u een website moet bezoeken, opent u de kluis, en dan kunt u ofwel handmatig de gegevens kopiëren die u nodig hebt op de inlogpagina, of de wachtwoordmanager de opgeslagen inloggegevens voor de website automatisch laten invullen. Vervolgens hoeft u de kluis alleen nog maar te vergrendelen.
Digitale kluis en zelfvergrendelend
Laten we nu eens kijken naar de beschermingsmechanismen. Het kluisbestand wordt gecodeerd met een algoritme met een symmetrische sleutel op basis van de Advanced Encryption Standard (AES-256), die overal ter wereld wordt gebruikt om vertrouwelijke gegevens te beschermen. Voor toegang tot de kluis gebruikt u een sleutel op basis van uw hoofdwachtwoord. Als het wachtwoord sterk is, zouden aanvallers veel tijd nodig hebben om het cijfer te kraken zonder die sleutel.
Bovendien vergrendelt onze wachtwoordmanager de kluis automatisch als de gebruiker een bepaalde tijd inactief is geweest. Als een aanvaller uw apparaat in handen krijgt en de beveiliging van het besturingssysteem weet te omzeilen en zo bij het kluisbestand komt, kan hij of zij niet lezen wat erin staat zonder het hoofdwachtwoord te kennen.
Maar het is aan u om die zelfvergrendeling te configureren. De standaardinstelling in de app vergrendelt de kluis mogelijk pas na een vrij lange periode van inactiviteit. Maar als u de gewoonte hebt een laptop of smartphone te gebruiken op een locatie die misschien niet helemaal veilig is, kunt u de zelfvergrendeling zo instellen dat deze na een minuut al wordt geactiveerd.
Er is echter nog een andere mogelijk achterdeurtje: als een aanvaller een trojan heeft geplaatst of een andere methode heeft gebruikt om een protocol voor toegang op afstand op uw computer te installeren, kan hij of zij proberen wachtwoorden uit de kluis te halen terwijl u erop bent ingelogd. In 2015 werd er zo’n hackertool gecreëerd voor de wachtwoordmanager KeePass. Het ontcijferde en bewaarde een heel archief met wachtwoorden als een apart bestand dat draaide op een computer met een open instantie van KeePass.
Kaspersky Password Manager wordt normaal gesproken echter gebruikt in combinatie met de antivirusoplossingen van Kaspersky, en dat maakt het veel minder waarschijnlijk dat een wachtwoordmanager op een geïnfecteerde computer draait.
Zero knowledge
Het versleutelde bestand met wachtwoorden kan niet alleen op uw apparaat worden opgeslagen, maar ook in de cloudinfrastructuur van Kaspersky. Hierdoor kunt u de kluis vanaf verschillende apparaten gebruiken, waaronder thuiscomputers en mobiele telefoons. Een speciale optie in de instellingen maakt het mogelijk gegevens op al uw apparaten te synchroniseren met de geïnstalleerde Kaspersky Password Manager. U kunt ook de webversie van de wachtwoordmanager vanaf elk apparaat gebruiken via de My Kaspersky-website.
Hoe groot is de kans op een gegevenslek als u cloud-opslag gebruikt? Ten eerste is het belangrijk te begrijpen dat we volgens het zero-knowledge-principe werken. Dit betekent dat uw wachtwoordkluis net zo goed versleuteld is voor Kaspersky als voor alle anderen. Kaspersky-ontwikkelaars kunnen het bestand niet lezen, en alleen iemand die het hoofdwachtwoord kent, kan het openen.
Veel (maar niet alle) hedendaagse diensten die wachtwoorden en andere geheimen opslaan, hanteren een soortgelijk principe. Dus als u een nieuwsbericht ziet over een gegevenslek bij een cloudopslagdienst, raak dan niet meteen in paniek: dit hoeft niet te betekenen dat de aanvallers de gestolen gegevens hebben kunnen decoderen. Zo’n inbraak is te vergelijken met het stelen van een gewapende kluis van een bank zonder de combinatie van het slot te hebben.
In dit geval is de combinatie dus uw hoofdwachtwoord. Hier is nog een belangrijk beveiligingsprincipe: Kaspersky Password Manager bewaart uw hoofdwachtwoord niet op uw apparaten of in de cloud. Zelfs als een hacker toegang krijgt tot uw computer of de cloudopslagdienst, zal hij of zij niet in staat zijn uw hoofdwachtwoord van het product zelf te stelen. U bent de enige die dit wachtwoord kent.
Een sterk hoofdwachtwoord
Een lek van een versleuteld bestand met wachtwoorden kan echter ook problemen opleveren. Zodra aanvallers een kluis leeghalen, kunnen ze proberen deze te hacken.
Er zijn twee belangrijke aanvalsmethoden. De eerste is een brute force-aanval. Deze methode kost over het algemeen veel tijd. Als uw wachtwoord bestaat uit een dozijn willekeurige tekens en zowel kleine letters als hoofdletters, cijfers en speciale tekens bevat, vergt het forceren van alle combinaties meer dan een sextiljoen bewerkingen… Dat is dus een getal met maar liefst 21 cijfers, mensen!
Maar als u besloot uw leven gemakkelijker te maken en een zwak wachtwoord gebruikte, zoals een enkel woord of een eenvoudige combinatie van cijfers zoals “123456”, zal de automatische scanner dit wachtwoord in minder dan een seconde te weten komen, omdat in dit geval de brute forcing niet is gebaseerd op individuele symbolen, maar op een woordenboek van populaire combinaties. Desondanks kiezen veel gebruikers tot op de dag van vandaag woordenboekwachtwoorden (combinaties van symbolen die al lang in de woordenboeken van de scanners van hackers staan).
Gebruikers van de wachtwoordmanager LastPass werden in december 2022 gewaarschuwd voor dit potentiële probleem. Toen het account van een ontwikkelaar van LastPass werd gehackt, kregen de aanvallers toegang tot de cloud-hosting die het bedrijf gebruikt. De aanvallers kregen onder meer back-ups van de wachtwoorden van gebruikers in de kluis in handen. Het bedrijf vertelde gebruikers dat als ze alle aanbevelingen opvolgden om een sterk en uniek hoofdwachtwoord te maken, ze zich nergens zorgen over hoefden te maken omdat “het miljoenen jaren zou duren” om zo’n wachtwoord via een brute force-aanval te weten te komen. Mensen die zwakkere wachtwoorden gebruikten, werd aangeraden deze onmiddellijk te veranderen.
Gelukkig controleren tal van wachtwoordmanagers, waaronder ook Kaspersky Password Manager, tegenwoordig automatisch de sterkte van uw hoofdwachtwoord. Als dit zwak is of slechts van gemiddelde sterkte, geeft de wachtwoordmanager u een waarschuwing en die moet u zeker in acht nemen.
Uniek hoofdwachtwoord
De tweede hackmethode berust op het feit dat mensen vaak dezelfde inloggegevens gebruiken voor verschillende internetdiensten. Als een van de diensten wordt gekraakt, zullen aanvallers automatisch de combinaties van gebruikersnaam en wachtwoord in andere diensten forceren in een aanval die bekend staat als «credential stuffing». Dit soort aanvallen is vaak succesvol.
Gebruikers van Norton Password Manager werden in de eerste weken van dit jaar gewaarschuwd voor dit soort aanvallen. Het bedrijf NortonLifeLock (voorheen bekend als Symantec) kondigde aan dat er geen lekken waren in zijn infrastructuur. Maar begin december 2022 werden er massale pogingen gedocumenteerd om Norton Password Manager-accounts binnen te komen met behulp van wachtwoorden die hackers hadden gestolen vanwege een inbraak bij een andere dienst. Uit onderzoek van NortonLifeLock bleek dat de hackers via deze aanval toegang konden krijgen tot de account van enkele van haar klanten.
De duidelijke les van dit verhaal is dat u niet hetzelfde wachtwoord moet gebruiken voor verschillende accounts. Wat betreft technische manieren om uzelf tegen dit soort aanvallen te beschermen: Kaspersky Password Manager kan twee belangrijke controles uitvoeren van uw wachtwoorddatabase…
Ten eerste wordt gecontroleerd op de uniekheid van uw wachtwoorden: de app waarschuwt u als een van uw opgeslagen wachtwoorden voor meerdere accounts wordt gebruikt.
Ten tweede controleert onze wachtwoordmanager of uw wachtwoorden in een database van en voorkomen. Om deze wachtwoordcontrole veilig uit te voeren, wordt het cryptografische hash-algoritme SHA-256 gebruikt. Dit betekent dat de app niet de wachtwoorden zelf verstuurt om te worden gecontroleerd, maar voor elk wachtwoord een controlesom berekent en deze hashes vergelijkt met de controlesommen in de database van gecompromitteerde wachtwoorden. Als de controlecijfers overeenkomen, waarschuwt de app u dat het wachtwoord gecompromitteerd is, en dat u dit dus moet wijzigen.
Maar vergeet niet dat deze controles alleen worden uitgevoerd met wachtwoorden die u in de kluis bewaart. Het is aan u om ervoor te zorgen dat het hoofdwachtwoord uniek is: u bent de enige die het kent en het moet verschillen van al uw andere wachtwoorden.
Een makkelijk te onthouden hoofdwachtwoord
Er zijn andere manieren om hoofdwachtwoorden te lekken, en hier komt de gevreesde menselijke factor om de hoek kijken. Sommige mensen noteren bijvoorbeeld hun hoofdwachtwoord op een plaats waar het gestolen kan worden, zoals in een onversleuteld bestand op hun bureaublad of op een post-it die ze op de muur van hun kantoor plakken.
In plaats van het op te schrijven, is het beter uw wachtwoord zelf te onthouden. Het is waar dat veiligheidsregels zeggen dat een wachtwoord lang en ingewikkeld moet zijn, en soms wordt ons zelfs gevraagd een willekeurige combinatie van 12 tot 16 tekens te genereren. Het is natuurlijk moeilijk om zo’n wachtwoord te onthouden. Daarom proberen veel mensen eenvoudigere wachtwoorden te gebruiken, en dan worden ze alsnog het doelwit van hacks.
Dus hoe zorgt u ervoor dat uw hoofdwachtwoord zowel sterk als makkelijk te onthouden is? Een goede strategie is het bedenken van een wachtwoord op basis van drie of vier geheime woorden. U kunt bijvoorbeeld de naam nemen van de stad waar u de beste vakantie van uw leven had, de naam toevoegen van de beste bar waar u op die vakantie bent geweest, en dan de naam van de cocktails en het aantal dat u daarvan hebt gedronken. Zo’n wachtwoord zal lang en uniek zijn, en ook gemakkelijk te onthouden. Als u natuurlijk niet te veel cocktails hebt gedronken en al die feiten nog apart kunt onthouden.