Wacht­woord­ma­na­gers ge­test

Vijf­tien wacht­woord­ma­na­gers ge­test

C’t Magazine - - Inhoud - An­ke Poi­mann

Een goe­de wacht­woord­ma­na­ger be­heert wacht­woor­den, for­mu­lie­ren en be­ta­lings­ge­ge­vens op een vei­li­ge ma­nier. Als je je wacht­woor­den aan der­ge­lij­ke soft­wa­re toe­ver­trouwt, hoef je al­leen nog een mas­ter­wacht­woord voor het pro­gram­ma te ont­hou­den. Dat wacht­woord moet dan wel wat lan­ger dan de ge­brui­ke­lij­ke acht te­kens zijn.

Wacht­woor­den zijn van­uit het oog­punt van ge­brui­kers ei­gen­lijk al­leen maar ir­ri­tant. Als die vei­lig moe­ten zijn, moet je com­plexe en/of lan­ge te­ken­reek­sen ont­hou­den of, wat je be­ter niet kunt doen, op­schrij­ven. Als je je dan ook nog aan het ad­vies houdt om voor el­ke dienst een an­der wacht­woord te ver­zin­nen, gaat het op een ge­ge­ven mo­ment al­le­maal door el­kaar lo­pen. Veel men­sen heb­ben het dan ook al­lang op­ge­ge­ven en ge­brui­ken een wacht­woord ge­maks­hal­ve voor meer­de­re dien­sten – wat geen goed idee is. Een sim­pe­le en ele­gan­te op­los­sing: laat je in­log­ge­ge­vens be­he­ren door een wacht­woord­ma­na­ger. Die neemt je in het ver­volg het no­di­ge ge­typ uit han­den en be­denkt in­dien ge­wenst een wil­le­keu­rig wacht­woord naar ei­gen in­zicht.

Ge­tes­te soft­wa­re

We heb­ben een aan­tal wacht­woord­ma­na­gers voor Win­dows be­ke­ken en 15 daar­van ook gron­dig ge­test. Al­le ge­tes­te pro­gram­ma's ver­sleu­te­len de ge­ge­vens vol­gens de res­pec­tie­ve­lij­ke pro­du­cen­ten met AES-256. Dat geldt met de hui­di­ge stand der tech­niek als vei­lig. Bui­ten de door ons ge­tes­te soft­wa­re zijn er nog an­de­re, die ook het uit­pro­be­ren waard zijn.

We heb­ben de wacht­woord­ma­na­gers ge­ïn­stal­leerd op een com­pu­ter met Win­dows 10 en ge­test met Fi­re­fox 58.0.2.

In de ta­bel op pa­gi­na 78-79 staat of er brow­se­r­uit­brei­din­gen zijn voor Chro­me, In­ter­net Ex­plo­rer en Ed­ge.

Som­mi­ge pro­gram­ma's zijn gra­tis. We heb­ben van al­le soft­wa­re de pre­mi­um­ver­sie ge­test om­dat de gra­tis ver­sies vaak be­perkt zijn wat hun mo­ge­lijk­he­den be­treft. De gra­tis ver­sies zijn ech­ter pri­ma ge­schikt om de soft­wa­re uit te pro­be­ren, bij­voor­beeld of je de be­die­ning mak­ke­lijk ge­noeg vindt. Naast de door ons be­ke­ken een­per­soons-va­ri­an­ten zijn er in veel ge­val­len li­cen­ties mo­ge­lijk voor teams of fa­mi­lies en bu­si­ness-li­cen­ties voor gro­te be­drij­ven. Je moet van te­vo­ren over­we­gen of en hoe je wacht­woor­den zou wil­len de­len. De mees­te ge­tes­te pro­gram­ma's kun­nen over­weg met ge­a­van­ceer­de­re aan­meld­me­tho­des als twee­f­ac­to­r­au­then­ti­ca­tie (2FA). Dat houdt in dat je je wacht­woord net als ge­brui­ke­lijk in­typt en je daar­naast nog op een an­de­re ma­nier moet ve­ri­fi­ë­ren. Dat kan via een app op je smartpho­ne, maar ook hard­wa­re­ma­tig met be­hulp van een spe­ci­a­le to­ken (zie pa­gi­na 84).

Voor het pret­ti­ge ge­voel dat je wacht­woor­den er­gens vei­lig op­ge­bor­gen zijn, be­taal je met het feit dat de ver­sleu­tel­de da­ta er­gens bij een aan­bie­der in de cloud staan. En­pass, Pass­word De­pot en Sa­feInCloud la­ten je wel de keus bij wel­ke cloud­aan­bie­der de da­ta op­ge­sla­gen wor­den. Bij de opens­our­ce-op­los­sing KeyPass kun je zo goed als al­les con­fi­gu­re­ren, als je ten­min­ste be­reid bent je in de soft­wa­re te ver­die­pen. Daar­naast zijn er nog ver­schil­len­de mo­bie­le apps, maar die ko­men niet van de KeyPass-ont­wik­ke­laar maar wor­den door de com­mu­ni­ty ont­wik­keld. De re­la­tief nieu­we wacht­woord­ma­na­ger Bit­war­den kun je met be­hulp van Doc­ker zelf hos­ten. Blur, Dash­la­ne, F-Se­cu­re Key, Kas­pers­ky Pass­word Ma­na­ger, Kee­per, LastPass, Pass­word Ma­na­ger, Ro­boForm, Stic­ky Pass­word en True Key slaan hun da­ta ech­ter in de cloud van de be­tref­fen­de aan­bie­der op.

In Dash­la­ne, Kee­per, LastPass en Ro­boForm kun je nood­con­tac­ten aan­ma­ken voor het ge­val dat je zelf niet meer bij je wacht­woor­den kunt ko­men. Dat be­te­kent dat je het e-mail­adres moet op­ge­ven van ie­mand die je ver­trouwt. Die krijgt een e-mail dat je hem in ge­val van nood toe­gang wilt ver­le­nen, Dat ver­zoek moet hij nog wel een­ma­lig be­ves­ti­gen. Die per­soon krijgt je mas­ter­wacht­woord niet, maar heeft een ei­gen ac­count no­dig. Bo­ven­dien kun je een wacht­tijd in­stel­len. Bin­nen die tijd kun je een ver­zoek tot toe­gang wei­ge­ren. Bij het wacht­woord­be­heer zie je wie je als con­tact­per­soon op­ge­ge­ven hebt. Die kun je in­dien no­dig ook het recht tot toe­gang ont­zeg­gen.

We heb­ben daar­naast ge­test bij wel­ke pro­gram­ma's je apar­te no­ti­ties kunt op­slaan. In veel ge­val­len kun je naast de in­logda­ta en be­ta­lings­ge­ge­vens in een ex­tra veld wat meer in­for­ma­tie kwijt. Die heeft ech­ter al­leen met de in­logda­ta te ma­ken. Een mo­ge­lijk­heid voor los­se no­ti­ties is ech­ter ook heel erg han­dig. Daar kun je bij­voor­beeld je zorg­ver­ze­ke­raars­ge­ge­vens, ver­ze­ke­rings­da­ta en ho­tel­boe­kin­gen vei­lig in no­te­ren, zo­dat je ze op elk mo­ment pa­raat kunt heb­ben.

Het in­te­res­seer­de ons hoe zorg­vul­dig de Win­dows-pro­gram­ma's om­gin­gen met de wacht­woor­den. Daar­om heb­ben we de werk­ge­heu­gen­in­houd on­der­zocht van de wacht­woord­ma­na­ger­pro­ces­sen op on­ze test­ac­counts. We heb­ben op drie ver­schil­len­de mo­men­ten ge­heu­gen­ima­ges ge­maakt. De re­sul­ta­ten daar­van kun je zien op pa­gi­na 80. Als ge­brui­ker van een wacht­woord­ma­na­ger moet je je com­pu­ter goed be­vei­li­gen, zo­dat on­ge­wens­te gas­ten er niet in kun­nen ko­men – maar dat heb je waar­schijn­lijk so­wie­so al ge­daan.

Be­ter dan ge­ïn­te­greer­de op­los­sin­gen

Waar­om zou je über­haupt een ex­tra wacht­woord­ma­na­ger ge­brui­ken als el­ke gang­ba­re brow­ser zelf wacht­woor­den kan op­slaan en syn­chro­ni­se­ren? De door ons ge­tes­te pro­gram­ma's heb­ben meer te bie­den dan de wacht­woor­d­op­los­sin­gen van brow­sers en zijn ook mak­ke­lij­ker te be­die­nen. De ge­ïn­te­greer­de brow­se­r­op­los­sin­gen kun­nen bij­voor­beeld niet in­schat­ten of een ge­bruikt wacht­woord vei­lig ge­noeg is.

Een op­mer­king over een po­ten­ti­eel on­vei­lig wacht­woord al­leen is ook niet vol­doen­de – je zult het ook moe­ten ver­an­de­ren. Sug­ges­ties voor bij­zon­der moei­lijk te kra­ken wacht­woor­den ont­bre­ken ech­ter vol­le­dig. Als een web­si­te ei­sen stelt aan bij­voor­beeld het aan­tal spe­ci­a­le te­kens in een wacht­woord, gaat het las­ti­ger wor­den zo'n wacht­woord te ont­hou­den. Dan heeft een wacht­woord­ma­na­ger een ex­tra troef ach­ter de hand: hij heeft vaak een wacht­woord­ge­ne­ra­tor. Hoe mak­ke­lijk die te be­die­nen is en hoe veel ver­schil­len­de wacht­woor­den hij kan ge­ne­re­ren, ver­schilt van pro­gram­ma tot pro­gram­ma. Blur biedt al­leen bij het aan­ma­ken van een da­ta­re­cord aan een vei­lig wacht­woord te ge­ne­re­ren. Naast de leng­te kun je ook op­ge­ven of er cij­fers en spe­ci­a­le te­kens in moe­ten zit­ten. Be­staan­de ac­counts kun je niet van een ge­ge­ne­reerd wacht­woord voor­zien. Dan moet je de com­ple­te re­cord ver­wij­de­ren en op­nieuw aan­ma­ken. Sa­feInCloud biedt de min­ste in­stel­mo­ge­lijk­he­den: 'Let­ters en cij­fers', 'Al­leen ge­tal­len', 'Wil­le­keu­rig' en 'He­rin­ner­baar'. Met de in­stel­ling 'He­rin­ner­baar' maakt Sa­feInCloud bij­voor­beeld het wacht­woord 'ask923?Kill?'. LastPass en En­pass bie­den bij­voor­beeld de­zelf­de op­tie en noe­men der­ge­lij­ke wacht­woor­den 'uit­spreek­ba­re wacht­woor­den'. Die moe­ten mak­ke­lij­ker te ont­hou­den zijn. Ze zijn wel po­ten­ti­eel kwets­baar voor een woor­den­boek­aan­val. De an­de­re pro­gram­ma's bie­den een meer­vou­di­ge se­lec­tie van de cri­te­ria ''hoofd­let­ters', 'klei­ne let­ters', 'ge­tal­len', 'spe­ci­a­le te­kens' en 'leng­te' – maar die zit­ten vaak ver­stopt bij de ge­a­van­ceer­de op­ties.

Bij de test bleek het on­ver­wacht las­tig de da­ta van de ene wacht­woord­ma­na­ger over te zet­ten naar een an­de­re. Al­le wacht­woord­ma­na­gers kun­nen in prin­ci­pe wel .csv-be­stan­den in­le­zen, maar dat gaat in de prak­tijk bij­na nooit zon­der pro­ble­men. Daar­bij ver­dween bij de test de no­di­ge in­for­ma­tie. Daar komt bij dat de da­ta dan in ie­der ge­val tij­de­lijk on­ver­sleu­teld op je ei­gen com­pu­ter ko­men te staan. Je moet daar­om van te­vo­ren even con­tro­le­ren of een nieu­we wacht­woord­ma­na­ger het da­ta­for­maat van de ou­de kan in­le­zen – en de re­sul­ta­ten met el­kaar ver­ge­lij­ken voor­dat je de ou­de ma­na­ger plat­legt.

Da­ta toe­voe­gen

Als be­paal­de in­logda­ta nog niet in een wacht­woord­ma­na­ger staan, dan zijn die op twee ma­nie­ren toe te voe­gen. Je kunt de nieu­we in­for­ma­tie recht­streeks in het pro­gram­ma toe­voe­gen. In dat ge­val moet je naast de com­bi­na­tie van ge­brui­kers­naam en wacht­woord ook de url en een naam voor de da­ta­re­cord op­ge­ven. Bij som­mi­ge wacht­woord­ma­na­gers kun je ook no­ti­ties toe­voe­gen. Je kunt ook naar de web­si­te gaan en dan op de ge­brui­ke­lij­ke ma­nier in­log­gen. De brow­ser­ex­ten­sie van de wacht­woord­ma­na­ger her­kent dat de in­logda­ta nog niet in zijn sys­teem op­ge­sla­gen staan en biedt aan ze over te ne­men. Die va­ri­ant is in het da­ge­lijks ge­bruik waar­schijn­lijk het han­digst om­dat je dan geen ex­tra soft­wa­re hoeft te ope­nen

maar ge­woon ver­der kunt in­ter­net­ten. De moei­te en ir­ri­ta­tie zijn ge­ring, zo­dat het ge­bruik van de wacht­woord­ma­na­ger een stuk laag­drem­pe­li­ger wordt.

Twaalf van de ge­tes­te wacht­woord­ma­na­gers kun­nen wacht­woor­den im­por­te­ren die eer­der door de brow­ser op­ge­sla­gen zijn: Bit­war­den, Dash­la­ne, En­pass, Kas­pers­ky Pass­word Ma­na­ger, KeePass, Kee­per, LastPass, Pass­word Ma­na­ger, Ro­boForm, Sa­feInCloud, Stic­ky Pass­word en True Key.

Vul maar in!

Als je een wacht­woord­ma­na­ger ge­bruikt, dan zijn niet al­leen al­le ge­brui­kers­na­men en wacht­woor­den over­zich­te­lijk op één cen­tra­le plek op­ge­sla­gen, maar kun je ze van­uit de soft­wa­re recht­streeks naar het klem­bord ko­pi­ë­ren en hand­ma­tig in de over­een­ko­men­de vel­den in de brow­ser ko­pi­ë­ren. De mees­te pro­gram­ma's bie­den als al­ter­na­tief ook een één-klik-op­los­sing: je klikt de da­ta­re­cord aan – af­han­ke­lijk van het pro­gram­ma op de url of een spe­ci­aal pic­to­gram – waar­na de soft­wa­re de op­ge­sla­gen url aan­roept en de in­log­ge­ge­vens au­to­ma­tisch in­vult.

Dat kan nog mak­ke­lij­ker als de pro­du­cent een au­to­ma­ti­sche func­tie heeft in­ge­bouwd, die bij de mees­te wacht­woord­ma­na­gers met de brow­ser­ex­ten­sies wer­ken. Die neemt ove­ri­gens ook het au­to­ma­tisch in­vul­len van for­mu­lier­ge­ge­vens op zich. Je be­paalt per web­si­te of de soft­wa­re het au­to­ma­tisch aan­mel­den moet over­ne­men. In dat ge­val wor­den niet al­leen de da­ta in­ge­voerd, maar wordt het aan­mel­den ook uit­ge­voerd. Dat lijkt in eer­ste in­stan­tie erg han­dig, maar kan zich vaak ont­pop­pen als een pro­bleem: als je per on­ge­luk ver­keer­de in­log­ge­ge­vens hebt op­ge­sla­gen, pro­beert de soft­wa­re tel­kens weer om je aan te mel­den als het niet lukt. In het erg­ste ge­val blok­keer je zo je ei­gen ac­count en moet je wach­ten op een brief of mail met een her­ac­ti­ve­rings­co­de. Als je dat au­to­ma­tis­me niet ge­bruikt, dan ver­schijnt nor­maal ge­spro­ken aan de rech­ter­rand van de in­log­vel­den het lo­go van de wacht­woord­ma­na­ger. Als je daar op klikt, voegt de soft­wa­re de in­log­ge­ge­vens toe.

De mees­te wacht­woord­ma­na­gers kun­nen niet al­leen de in­logda­ta be­he­ren en naar wens au­to­ma­tisch in­vul­len, maar je kunt er ook adres- en be­ta­lings­ge­ge­vens aan toe­voe­gen. Met na­me bij bank­ge­ge­vens moet je er ech­ter ze­ker van zijn dat je geen cij­fers om­draait of een ver­keer­de IBAN-co­de of cre­dit­card­num­mer op­geeft. Een ver­keerd adres valt meest­al nog wel snel op, maar een ver­keerd bank­re­ke­ning­num­mer een stuk min­der. En­pass, F-Se­cu­re Key en True Key kun­nen geen adres­for­mu­lie­ren in­vul­len. Kee­per heeft daar de ex­ten­sie Kee­perFill voor no­dig. Bij al­le ge­tes­te soft­wa­re kun je be­ta­lings­ge­ge­vens toe­voe­gen.

Ser­vi­ce­tip: ei­gen mi­ni­test

Al­le aan­bie­ders heb­ben gra­tis pro­beer­ver­sies in de aan­bie­ding. Als je twij­felt tus­sen meer­de­re aan­bie­ders en je niet met­een een keu­ze kunt ma­ken, kun je zelf een mi­ni­test uit­voe­ren. Maak een paar nieu­we test­ac­counts aan bij de dien­sten die je ge­bruikt. Die da­ta ge­bruik je voor de test. Als een be­paal­de aan­bie­der je toch niet aan­staat, ver­wij­der je het ac­count bij hem en gooi je het pro­gram­ma in de prul­len­bak. Met de fa­ke-ac­counts zorg je er­voor dat er geen ech­te da­ta ach­ter­blij­ven bij een uit­ein­de­lijk toch niet lang­du­rig ge­bruik­te aan­bie­der. Zo­dra je de voor jou bes­te wacht­woord­ma­na­ger ge­von­den hebt, ver­wij­der je het test­ac­count weer of stel je de wacht­woord­ma­na­ger van de grond

af aan op­nieuw in. Dan kun je met je ech­te ac­count­da­ta aan de slag.

Con­clu­sie

Als je tot nu toe het wacht­woord­be­heer van je brow­ser ge­bruikt hebt en graag wat meer da­ta cen­traal wilt op­slaan, bij­voor­beeld cre­dit­card­ge­ge­vens, dan is Ro­boForm daar ge­schikt voor. True Key wordt op het mo­ment van schrij­ven her­ont­wor­pen, de nieu­we web-app voor Fi­re­fox was tij­dens de test wat in­sta­biel. Als je zon­der de ont­bre­ken­de da­ta-ex­port kunt of de Chro­me-app ge­bruikt, is True Key net zo ge­schikt als Blur en F-Se­cu­re Key. Kas­pers­ky Pass­word Ma­na­ger, Kee­per en Pass­word Ma­na­ger zijn van een ver­ge­lijk­baar ni­veau, maar heb­ben wel wat meer func­ties.

Als je zelf wilt be­slis­sen hoe je de wacht­woord­da­ta syn­chro­ni­seert, ad­vi­se­ren we En­pass, KeePass, Pass­word De­pot of Sa­feInCloud, die de ge­brui­ker daar de vrije hand in ge­ven.

Ove­ri­gens: als je de da­ta al­leen lo­kaal op­slaat, moet je des te meer den­ken aan het ma­ken van back-ups. Stic­ky Pass­word biedt in elk ge­val aan om de da­ta tus­sen twee ap­pa­ra­ten al­leen via een lo­kaal net­werk te syn­chro­ni­se­ren.

Als je een en­thou­si­as­te on­li­ne shop­per bent, zit er in de ge­bruiks­vrien­de­lij­ke wacht­woord­ma­na­ger Dash­la­ne een bij­zon­der ex­traatje: daar kun je al­le aan­koop­be­wij­zen mee be­wa­ren en op die ma­nier je uit­ga­ven in de ga­ten hou­den.

Als je geen da­ta met veel an­de­re ge­brui­kers wilt de­len en ook geen nood­con­tac­ten wilt in­stel­len, moet je eens naar de gra­tis ver­sie van LastPass kij­ken. Daar zit­ten al­le es­sen­ti­ë­le func­ties in in­clu­sief twee­f­ac­to­r­au­then­ti­ca­tie (2FA). Het­zelf­de geldt voor Bit­war­den: in de be­taal­de ver­sie daar­van zit­ten 1 GB vei­li­ge op­slag­ruim­te en uit­ge­brei­de­re mo­ge­lijk­he­den voor twee­f­ac­to­r­au­then­ti­ca­tie. Als je die niet no­dig hebt, is de gra­tis stan­daard­ver­sie ook pri­ma. (nkr)

Newspapers in Dutch

Newspapers from Netherlands

© PressReader. All rights reserved.