18 september 2014 10:18

Wachtwoordmanager is het antwoord op phishing

Als je je wachtwoorden niet kent, kunnen ze ook niet gestolen worden. Het domein van een phishing-website probeert je wellicht voor de gek te houden, maar je wachtwoordmanager trapt er niet in.

Software kan heel waakzaam zijn, maar je moet er ook rekening mee houden dat mensen af en toe lui en onzorgvuldig zijn. Zelfs de meest voorzichtige mensen zijn tenslotte… mensen.

Dit is de menselijke bug waar phishingaanvallen misbruik van maken. De webpagina ziet er precies hetzelfde uit als je verwacht en zelfs het webadres lijkt op dat wat je gewend bent. Hoe gerichter de phishingaanval, want vaak gaat om een doelwit met veel waarde, hoe meer je ervan weet om het er overtuigend uit te laten zien.

Maar de neplog-in komt zo goed als zeker niet van hetzelfde domein als de echte log-in. Om te kijken of dit het geval is kan zelfs voor een ervaren persoon lastig zijn, laat staan voor een leek. Het is echter een taak die je wel goed kunt uitbesteden aan een wachtwoordmanager. Die heeft er geen moeite mee.

[related_article id=”161920″]

Wachtwoordbeheerder

Er zijn veel goede wachtwoordmanagers voor individuele gebruikers en voor het zakenleven. Op de redactie hebben we een lichte voorkeur voor LastPass. In onderstaande schermafbeelding zie je hoe het eruit kan zien.

Het geselecteerde veld laat zien voor welk webadres de gegevens gebruikt worden. Dat betekent dat LastPass ze bij geen enkele andere pagina presenteert. Het kent het domein van de log-inpagina en kan niet voor de gek gehouden worden. Nagenoeg alle wachtwoordmanagers werken op deze manier.

Wantrouwen

Niet iedereen vertrouwt wachtwoordmanagers en verspreiden hier valse informatie over. Het rapport “Password Managers: Attacks and Defenses”, dat onlangs verscheen op Usenix Security 2014, beweert dat er zwakke plekken in wachtwoordmanagers zitten, waaronder LastPass. Onderstaande passage komt uit dat rapport.

LastPass: In tegenstelling tot Chrome en Safari, dat automatisch gegevens invult, moeten gebruikers van LastPass op een knop boven aan de pagina klikken. Zodra dit gebeurt worden alle velden (zichtbaar en onzichtbaar) ingevuld. Dit maakt het erg makkelijk voor een hacker om een nepformulier aan te maken met precies dezelfde waarden om naam, e-mailadres en extra informatie als creditcardnummers te stelen.

Wellicht dat sommige wachtwoordmanagers op deze stomme manier werken, maar lang niet allemaal en zeker LastPass niet. Als je op een dergelijke website komt krijg je een duidelijke waarschuwing van de software.

Daar houdt het niet op. Als je kiest voor sterke wachtwoorden en voor elke website een andere gebruikt is de kans nog kleiner dat je gegevens gestolen worden. Als je een hulpprogramma als LastPass gebruikt kun je zelfs kiezen voor een serie willekeurige tekens, bijvoorbeeld “uyxK8ZIA4uxD”. Je bent dan wel volledig afhankelijk van LastPass, want je kent geen enkel wachtwoord meer uit je hoofd. Maar dat is helemaal niet verkeerd.

Mobiele apparaten

LastPass werkt niet in honderd procent van de gevallen. Op websites of apparaten met problemen is het wel mogelijk om je gegevens in het programma te krijgen, maar dit gaat wat omslachtig. Het proces dwingt je na te denken over waar je bent en waar je wil inloggen. Dit komt het meest voor op mobiele apparaten, waar het besturingssysteem niet altijd even goed omgaat met wachtwoordmanagers.

Zoals ze zeggen is het onveiligste deel van het systeem degene die er gebruik van maakt. Praktische veiligheidsoverwegingen kunnen de gebruiker redden van zichzelf, wachtwoordmanagers zijn hier een goed voorbeeld van. Joe Siegrist, CEO en medeoprichter van LastPass, stelt het als volgt: “Als je je wachtwoorden niet kent, kunnen ze ook niet gestolen worden”.