Als je je wachtwoord in je browser opslaat, hoef je dit niet elke keer opnieuw in te voeren. Dat bespaart tijd. Maar hoe veilig is het? In dit artikel bespreken we drie redenen waarom je je wachtwoorden beter niet in je browser kunt opslaan en waarom je een veel veiligere opslagmethode kunt gebruiken, namelijk een wachtwoordbeheerder.
1. Wachtwoorddieven
Het grootste probleem met het opslaan van wachtwoorden in browsers is dat het gebruiksvriendelijk is, maar dat het ten koste gaat van de veiligheid. Dit geldt in ieder geval voor de drie populairste browsers: Google Chrome, Mozilla Firefox en Microsoft Edge. Al deze browsers slaan gebruikerswachtwoorden op een hele onveilige manier op.
Dit komt omdat alle browsers wachtwoorden opslaan op een zeer voorspelbare plek, namelijk in een map waarvan het pad voor iedereen toegankelijk is. En hoewel de wachtwoorden zelf gecodeerd zijn, ligt de coderingssleutel binnen handbereik. Als een aanvaller deze sleutel in handen krijgt, kan hij wachtwoorden decoderen en stelen. Het lijkt bijna op een klucht: de deur lijkt goed op slot, maar iedereen weet dat de sleutel onder de deurmat ligt.
Browsers gebruiken deze situatie zelfs om met elkaar te concurreren: ze maken het gebruikers gemakkelijk om over te stappen en bieden vaak aan om alle opgeslagen gegevens, inclusief opgeslagen wachtwoorden, uit de browser te importeren.
En raad eens wie deze functie nog meer gebruikt? Precies. Er is een hele klasse malware (met de toepasselijke naam wachtwoorddieven) die zich richt op het stelen van inloggegevens. Deze malware doorzoekt mappen waarvan bekend is dat ze in de browser opgeslagen wachtwoorden bevatten, vindt de sleutel onder de deurmat, decodeert vervolgens de wachtwoorden en uploadt de buit naar de server van de cybercriminelen. Later worden deze wachtwoorden meestal opgeslagen in databases en in bulk verkocht op het dark web aan andere oplichters. Zij gebruiken de wachtwoorden weer om accounts te hacken (in de wereld van cybercriminelen is deze beperkte specialisatie al langer de norm).
Als je wilt begrijpen hoe makkelijk het is om in je browser opgeslagen wachtwoorden te stelen, raden we je aan om de demovideo te bekijken. Deze laat duidelijk zien hoe je snel je wachtwoorden uit Chrome, Firefox en Edge kunt halen met slechts een Python-script.
2. Fysieke toegang tot de computer
Niet alleen speciaal getrainde malware kan dit soort problemen veroorzaken, maar ook iedereen die fysiek toegang heeft tot je computer. Daarvoor zijn er geen geavanceerde hackvaardigheden nodig; je kunt online heel eenvoudig scripts vinden om in browser opgeslagen wachtwoorden op te halen. Je hoeft dit script alleen maar uit te voeren.
Zelfs een al te nieuwsgierige familielid of collega kan dit doen als je je computer niet hebt vergrendeld. Ook een hacker die je kantoor een verkenningsbezoekje brengt kan dit doen. Eigenlijk iedereen. Het belangrijkste is dat al je wachtwoorden die in de browser zijn opgeslagen in mogelijk vijandige handen terechtkomen.
En zelfs als de indringer niet over het juiste script beschikt om je wachtwoorden uit het in de browser opgeslagen bestand op te halen, kunnen ze de instellingen doorzoeken voor de lijst met sites waarvoor wachtwoorden zijn opgeslagen, en vervolgens bij een ervan inloggen om je correspondentie te lezen of andere geheimen over je te weten te komen.
De populairste browser ter wereld (Google Chrome, voor het geval je het nog niet wist) heeft niet eens een basismechanisme om dit soort acties te voorkomen. En hoewel de ontwikkelaars van Firefox zo aardig waren om gebruikers opgeslagen wachtwoorden te laten beschermen met een primair wachtwoord, lieten ze deze optie standaard uitgeschakeld. Het primaire wachtwoord moet expliciet worden ingeschakeld en geconfigureerd, en het is niet aannemelijk dat veel Firefox-gebruikers van deze functie afweten.
3. Browser-accountkaping
Het volgende probleem doet zich voor bij alle browsers die gebruikers voor het gemak toestaan een account aan te maken waarmee ze browsers op verschillende apparaten kunnen synchroniseren. Dit betekent dat bladwijzers, browsersessies, extensies, instellingen en opgeslagen wachtwoorden allemaal worden gesynchroniseerd en opgeslagen in de cloud. En als een hacker toegang krijgt tot je browseraccount, hoeft hij alleen maar in te loggen op een andere computer met hetzelfde account. Daarna liggen al je accounts waarvan de wachtwoorden in de browser zijn opgeslagen – van sociale netwerken tot online banken – voor het oprapen.
Waarom een wachtwoordbeheerder beter is dan een browser
Kaspersky Password Manager onthoudt net als browsers je gegevens en vult ze automatisch in wanneer je inlogt op websites. Maar in tegenstelling tot browserontwikkelaars sluiten wij geen compromissen op het gebied van beveiliging. In ons wachtwoordbeheerder wordt het primaire wachtwoord standaard gebruikt. Dit kun je niet uitschakelen; al je opgeslagen wachtwoorden blijven dus altijd beschermd. Zelfs als iemand fysiek toegang krijgt tot je computer, zal diegene dus niet zomaar kunnen inloggen op sites met de gegevens die in de beheerder zijn opgeslagen. Daarvoor hebben ze een primair wachtwoord nodig, die alleen jij weet (tenzij je het op een plakbriefje hebt geschreven en dit op je scherm hebt geplakt).
Een ander voordeel van Kaspersky Password Manager is natuurlijk dat alle wachtwoorden alleen gecodeerd worden opgeslagen. Belangrijker nog, wij bewaren de decoderingssleutel niet onder de spreekwoordelijke deurmat. De coderingssleutel wordt ter plekke gegenereerd met het algoritme AES-256 op basis van het primaire wachtwoord, zodat we deze niet hoeven op te slaan. Nergens. Nooit. Ook al lukt het een dief om op je computer te komen, kan hij niks stelen. Al je wachtwoorden zijn namelijk veilig gecodeerd. Bovendien, als je Kaspersky Password Manager gebruikt als onderdeel van Kaspersky Premium, laten we de malware niet eens binnen.
Nog één klein dingetje. Natuurlijk gebruiken we de cloud om wachtwoorden tussen apparaten te synchroniseren. Al je wachtwoorden zijn immers gekoppeld aan je My Kaspersky-account. Maar zelfs als een indringer op de een of andere manier toegang krijgt tot dit account, zijn je wachtwoorden opgeslagen in Kaspersky Password Manager nog steeds volkomen veilig. Dat komt omdat ze in de cloud uitsluitend gecodeerd zijn opgeslagen en de decoderingssleutel wordt gegenereerd op basis van het primaire wachtwoord, dat alleen jij kent. Aanvallers zijn zonder dit wachtwoord machteloos.
We hebben Kaspersky Password Manager onlangs ook bijgewerkt zodat het de Opera- en Opera GX-browsers ondersteunt, die steeds vaker worden ontdekt door nieuwe gebruikers. Dat houdt in dat we nu alle populaire browsers ondersteunen: Chrome (en Chromium-gebaseerde browsers), Safari, Firefox, Edge en Opera.