Populaire password-managers zijn veilig maar niet waterdicht

Fox-IT: ‘Het risico dat met dit lek wordt aangetoond is aanvaardbaar mits er ook tweestaps-verificatie wordt gebruikt.’

Populaire password-managers zijn veilig maar niet waterdicht

Het Amerikaanse adviesbureau ISE (Independent Security Evaluators) heeft geconstateerd dat het mogelijk is om het master-wachtwoord van de password-managers 1Password, Dashlane, KeePass en LastPass uit het geheugen van Windows 10 computers te halen. Er is geen bewijs van misbruik en het bureau heeft niet onderzocht of deze kwetsbaarheid ook op Apple apparaten voorkomt.

ISE adviseert gebruikers om password-managers te blijven gebruiken omdat het risico van dit lek laag is en niet opweegt tegen de veiligheidsvoordelen van deze oplossingen. Een aantal aanbieders van deze password-managers geeft aan dat het gaat om een aanvaardbaar risico. Frank Groenwegen, chief security expert van Fox-IT zegt op BNR: “Het risico dat met dit lek wordt aangetoond is aanvaardbaar mits er ook tweestaps-verificatie wordt gebruikt.”

Fox-IT: ‘Het risico dat met dit lek wordt aangetoond is aanvaardbaar mits er ook tweestaps-verificatie wordt gebruikt.’

Ethische hackers bij Fox-IT gebruiken deze technieken om de beveiliging van klanten te testen en met veel succes. Het gaat dus niet om een kleine groep mensen die deze kwetsbaarheid zou kunnen misbruiken. Veel grote platformen bieden deze vorm van authenticatie al aan, maar het wordt nog niet veel gebruikt. Een manier om het gebruik te stimuleren is om het onderdeel te laten uitmaken van regelgeving zoals AVG. “Dit zou betekenen dat websites verplicht worden gesteld tweestaps-verificatie aan te bieden als bezoekers een gebruikersaccount aanmaken. Dat is nu niet het geval. Zo kunnen problemen worden voorkomen.”

Luister het fragement terug in de radio-uitzending van De Ochtendspits van BNR (Bas van Werven & Wesley Schouwenaars, tussen 3.32,36 en 3.36,40)

Nu bij Fox-IT

Neem contact op

+31 (0) 15 284 79 99

fox@fox-it.com

Delft