Security - Ongevraagd Datacenteradvies

Een wachtwoordmanager is dat wat voor mij?

27-06-2019 14:11:36

password-manager.jpg

Ja, ik denk het wel.

Logingegevens worden aan de lopende band gestolen, ontdekt of gelekt vanaf verschillende websites. Hiervan komen meerdere gevallen per week in het nieuws voorbij en dan zijn er ook nog de gevallen die het nieuws niet halen.

Om minder risico te lopen op misbruik van jouw logingegevens is het een must om op elke website en applicatie een ander wachtwoord te gebruiken.

Hoe kun je al die wachtwoorden onthouden?

De meest voor de hand liggende oplossing daarvoor is het gebruik van een wachtwoordmanager. Dan kan je overal een ander wachtwoord instellen en hoef je ze niet allemaal te onthouden. Daardoor kom je ook niet in de verleiding om een eenvoudig(er) wachtwoord te kiezen. Je kan jouw wachtwoordmanager meestal ook een sterk wachtwoord voor jou laten genereren, die je dan direct kan instellen op de desbetreffende site. Je hoeft de wachtwoorden dan niet eens gezien te hebben.

Met een wachtwoordmanager hoef je dus nog maar 1 wachtwoord te onthouden, maar heb je wel het voordeel van verschillende wachtwoorden per site of app(licatie). Nadeel daarvan is wel dat wanneer iemand anders toegang krijgt tot jouw wachtwoordmanager, diegene ook toegang heeft tot al jouw accounts. Het is daarom sterk aan te raden om een wachtwoordmanager te kiezen die voorzien is van two factor authenticatie (2FA) en waar ook 2FA is in te stellen op de plekken waarop je wilt inloggen. Voor het kiezen van een 2FA-tool hebben we eerder een blogartikel geschreven.

Je kunt in hoofdlijnen kiezen tussen de volgende wachtwoordmanagers: lokaal, lokaal aangevuld met synchronisatie naar een cloud, webbased op eigen infrastructuur, webbased op een dedicated VM, of cloudbased. Deze varianten hebben allemaal hun eigen voordelen en nadelen, ik noem hieronder de belangrijkste.

Lokale wachtwoordmanager

In het geval van een lokale wachtwoordmanager heb je zelf de volledige controle over wie er toegang heeft, maar moet je zelf back-ups, updates, en dergelijke regelen. Wanneer je een lokale wachtwoordmanager combineert met synchronisatie naar een cloudopslagdienst, dan heb je een 'back-up', maar heb je minder zekerheid wie er toegang hebben.

Een webbased wachtwoordmanager

Webbased heeft als voordeel, maar ook gelijk als nadeel, dat je vanaf iedere locatie toegang hebt tot je wachtwoordmanager. Pas je instellingen hier op aan zodat je alleen van een beperkt aantal IP-adressen toegang hebt. Wanneer je een webbased oplossing op eigen infrastructuur hebt dan weet je wie er toegang heeft. Je zal dan wel iets moeten regelen voor back-ups. Heb je geen eigen infrastructuur beschikbaar dan kan je ook kiezen voor een dedicated VM of server, bijvoorbeeld bij BIT. Zorg in alle gevallen dat je wel encryptie op fileniveau en binnen de database hebt geregeld. Een andere optie is een webbased wachtwoordmanagerdienst (cloudbased), welke vaak via een app werkt. Met deze variant hoef je niet zelf te zorgen voor back-ups, updates, etc. Dit wordt geregeld door de aanbieder van die dienst. Een nadeel is dat je niet precies weet wie er bij jouw data kan en waar jouw data staat. Ook zijn ze een aantrekkelijker doelwit voor kwaadwillenden omdat daar relatief veel wachtwoorden te halen zijn.

Welke wachtwoordmanager heeft BIT gekozen en waarom?

Wij hebben gekozen voor Team Password Manager omdat het webbased is, op onze eigen infrastructuur draait, 2FA ondersteunt, LDAP-integratie heeft, versleuteling op fileniveau en database doet, een responsive webinterface heeft (werkt dus ook vanaf een mobiel apparaat) en de mogelijkheid biedt om op basis van rollen of gebruikers rechten toe te kennen aan wachtwoorden.

Welke wachtwoordmanager kan ik zelf het beste kiezen?

Allereerst kan je alleen voor jezelf bepalen welke 'variant' voor jou de meest passende oplossing is. Sowieso raad ik af om de wachtwoorden op te slaan in een plat tekstbestand, een Wordbestand of een Excelbestand. Die gaan zwerven en zijn voor iedereen die zo'n bestand vindt uit te lezen. Bij jouw keuze voor een wachtwoordmanager adviseer ik om te kijken hoe de wachtwoorden worden opgeslagen. Maak een lijst van eisen waaraan jouw wachtwoordmanager moet voldoen en ga op zoek. Er zijn verschillende (helaas vaak onvolledige of commercieel gedreven) overzichten te vinden op internet met daarin vergelijkingen van wachtwoordmanagers. Probeer wat wachtwoordmanagers uit en plaats tijdens het testen niet alle wachtwoorden erin, want het is niet ondenkbaar dat je er na een tijdje achter komt dat het toch niet fijn werkt voor jou of jouw collega's. Niet alle wachtwoordmanagers hebben een import- en exportfunctionaliteit, dus omschakelen van password manager kan een werkje worden.

Jouw eisenlijst voor een wachtwoordmanager kan je opstellen met behulp van de volgende punten:

  • Is de dienst met multi-/two-factor authenticatie beveiligd?
  • Is er een import- en exportfunctionaliteit ingebouwd?
  • Kun je wachtwoorden met anderen delen?
  • Heb je de mogelijkheid om sterke wachtwoorden te genereren?
  • Kun je wachtwoorden direct plaatsen in pastebuffer?
  • Is integratie in browsers mogelijk?
  • Heb je de mogelijkheid om ook op mobiele apparaten wachtwoorden te gebruiken?
  • Beschikbaar op ieder mogelijk besturingssysteem?
  • Is het een gratis of betaalde dienst?
  • Is de broncode openbaar?
  • Zelf hosten of uitbesteden?
  • Zijn logs inzichtelijk en wat staat daar in?
  • Hoe zijn back-ups geregeld?
  • Waar staan mijn gegevens?
  • Wie kan er bij mijn gegevens?
  • Hoe is encryptie geregeld?


Dus als je op dit moment nog op verschillende sites en app(licatie)s hetzelfde wachtwoord gebruikt is het zaak om nu in actie te komen en een wachtwoordmanager te gaan gebruiken. Dan loop je minder risico op misbruik van jouw logingegevens.


Meer weten over wachtwoordmanagers?

Wil je meer weten over het gebruik van een wachtwoordmanager? Neem dan contact met ons op. Wij adviseren je graag.



Door: Kristian de Bruijn