Wachtwoordmanagers getest
Vijftien wachtwoordmanagers getest
Een goede wachtwoordmanager beheert wachtwoorden, formulieren en betalingsgegevens op een veilige manier. Als je je wachtwoorden aan dergelijke software toevertrouwt, hoef je alleen nog een masterwachtwoord voor het programma te onthouden. Dat wachtwoord moet dan wel wat langer dan de gebruikelijke acht tekens zijn.
Wachtwoorden zijn vanuit het oogpunt van gebruikers eigenlijk alleen maar irritant. Als die veilig moeten zijn, moet je complexe en/of lange tekenreeksen onthouden of, wat je beter niet kunt doen, opschrijven. Als je je dan ook nog aan het advies houdt om voor elke dienst een ander wachtwoord te verzinnen, gaat het op een gegeven moment allemaal door elkaar lopen. Veel mensen hebben het dan ook allang opgegeven en gebruiken een wachtwoord gemakshalve voor meerdere diensten – wat geen goed idee is. Een simpele en elegante oplossing: laat je inloggegevens beheren door een wachtwoordmanager. Die neemt je in het vervolg het nodige getyp uit handen en bedenkt indien gewenst een willekeurig wachtwoord naar eigen inzicht.
Geteste software
We hebben een aantal wachtwoordmanagers voor Windows bekeken en 15 daarvan ook grondig getest. Alle geteste programma's versleutelen de gegevens volgens de respectievelijke producenten met AES-256. Dat geldt met de huidige stand der techniek als veilig. Buiten de door ons geteste software zijn er nog andere, die ook het uitproberen waard zijn.
We hebben de wachtwoordmanagers geïnstalleerd op een computer met Windows 10 en getest met Firefox 58.0.2.
In de tabel op pagina 78-79 staat of er browseruitbreidingen zijn voor Chrome, Internet Explorer en Edge.
Sommige programma's zijn gratis. We hebben van alle software de premiumversie getest omdat de gratis versies vaak beperkt zijn wat hun mogelijkheden betreft. De gratis versies zijn echter prima geschikt om de software uit te proberen, bijvoorbeeld of je de bediening makkelijk genoeg vindt. Naast de door ons bekeken eenpersoons-varianten zijn er in veel gevallen licenties mogelijk voor teams of families en business-licenties voor grote bedrijven. Je moet van tevoren overwegen of en hoe je wachtwoorden zou willen delen. De meeste geteste programma's kunnen overweg met geavanceerdere aanmeldmethodes als tweefactorauthenticatie (2FA). Dat houdt in dat je je wachtwoord net als gebruikelijk intypt en je daarnaast nog op een andere manier moet verifiëren. Dat kan via een app op je smartphone, maar ook hardwarematig met behulp van een speciale token (zie pagina 84).
Voor het prettige gevoel dat je wachtwoorden ergens veilig opgeborgen zijn, betaal je met het feit dat de versleutelde data ergens bij een aanbieder in de cloud staan. Enpass, Password Depot en SafeInCloud laten je wel de keus bij welke cloudaanbieder de data opgeslagen worden. Bij de opensource-oplossing KeyPass kun je zo goed als alles configureren, als je tenminste bereid bent je in de software te verdiepen. Daarnaast zijn er nog verschillende mobiele apps, maar die komen niet van de KeyPass-ontwikkelaar maar worden door de community ontwikkeld. De relatief nieuwe wachtwoordmanager Bitwarden kun je met behulp van Docker zelf hosten. Blur, Dashlane, F-Secure Key, Kaspersky Password Manager, Keeper, LastPass, Password Manager, RoboForm, Sticky Password en True Key slaan hun data echter in de cloud van de betreffende aanbieder op.
In Dashlane, Keeper, LastPass en RoboForm kun je noodcontacten aanmaken voor het geval dat je zelf niet meer bij je wachtwoorden kunt komen. Dat betekent dat je het e-mailadres moet opgeven van iemand die je vertrouwt. Die krijgt een e-mail dat je hem in geval van nood toegang wilt verlenen, Dat verzoek moet hij nog wel eenmalig bevestigen. Die persoon krijgt je masterwachtwoord niet, maar heeft een eigen account nodig. Bovendien kun je een wachttijd instellen. Binnen die tijd kun je een verzoek tot toegang weigeren. Bij het wachtwoordbeheer zie je wie je als contactpersoon opgegeven hebt. Die kun je indien nodig ook het recht tot toegang ontzeggen.
We hebben daarnaast getest bij welke programma's je aparte notities kunt opslaan. In veel gevallen kun je naast de inlogdata en betalingsgegevens in een extra veld wat meer informatie kwijt. Die heeft echter alleen met de inlogdata te maken. Een mogelijkheid voor losse notities is echter ook heel erg handig. Daar kun je bijvoorbeeld je zorgverzekeraarsgegevens, verzekeringsdata en hotelboekingen veilig in noteren, zodat je ze op elk moment paraat kunt hebben.
Het interesseerde ons hoe zorgvuldig de Windows-programma's omgingen met de wachtwoorden. Daarom hebben we de werkgeheugeninhoud onderzocht van de wachtwoordmanagerprocessen op onze testaccounts. We hebben op drie verschillende momenten geheugenimages gemaakt. De resultaten daarvan kun je zien op pagina 80. Als gebruiker van een wachtwoordmanager moet je je computer goed beveiligen, zodat ongewenste gasten er niet in kunnen komen – maar dat heb je waarschijnlijk sowieso al gedaan.
Beter dan geïntegreerde oplossingen
Waarom zou je überhaupt een extra wachtwoordmanager gebruiken als elke gangbare browser zelf wachtwoorden kan opslaan en synchroniseren? De door ons geteste programma's hebben meer te bieden dan de wachtwoordoplossingen van browsers en zijn ook makkelijker te bedienen. De geïntegreerde browseroplossingen kunnen bijvoorbeeld niet inschatten of een gebruikt wachtwoord veilig genoeg is.
Een opmerking over een potentieel onveilig wachtwoord alleen is ook niet voldoende – je zult het ook moeten veranderen. Suggesties voor bijzonder moeilijk te kraken wachtwoorden ontbreken echter volledig. Als een website eisen stelt aan bijvoorbeeld het aantal speciale tekens in een wachtwoord, gaat het lastiger worden zo'n wachtwoord te onthouden. Dan heeft een wachtwoordmanager een extra troef achter de hand: hij heeft vaak een wachtwoordgenerator. Hoe makkelijk die te bedienen is en hoe veel verschillende wachtwoorden hij kan genereren, verschilt van programma tot programma. Blur biedt alleen bij het aanmaken van een datarecord aan een veilig wachtwoord te genereren. Naast de lengte kun je ook opgeven of er cijfers en speciale tekens in moeten zitten. Bestaande accounts kun je niet van een gegenereerd wachtwoord voorzien. Dan moet je de complete record verwijderen en opnieuw aanmaken. SafeInCloud biedt de minste instelmogelijkheden: 'Letters en cijfers', 'Alleen getallen', 'Willekeurig' en 'Herinnerbaar'. Met de instelling 'Herinnerbaar' maakt SafeInCloud bijvoorbeeld het wachtwoord 'ask923?Kill?'. LastPass en Enpass bieden bijvoorbeeld dezelfde optie en noemen dergelijke wachtwoorden 'uitspreekbare wachtwoorden'. Die moeten makkelijker te onthouden zijn. Ze zijn wel potentieel kwetsbaar voor een woordenboekaanval. De andere programma's bieden een meervoudige selectie van de criteria ''hoofdletters', 'kleine letters', 'getallen', 'speciale tekens' en 'lengte' – maar die zitten vaak verstopt bij de geavanceerde opties.
Bij de test bleek het onverwacht lastig de data van de ene wachtwoordmanager over te zetten naar een andere. Alle wachtwoordmanagers kunnen in principe wel .csv-bestanden inlezen, maar dat gaat in de praktijk bijna nooit zonder problemen. Daarbij verdween bij de test de nodige informatie. Daar komt bij dat de data dan in ieder geval tijdelijk onversleuteld op je eigen computer komen te staan. Je moet daarom van tevoren even controleren of een nieuwe wachtwoordmanager het dataformaat van de oude kan inlezen – en de resultaten met elkaar vergelijken voordat je de oude manager platlegt.
Data toevoegen
Als bepaalde inlogdata nog niet in een wachtwoordmanager staan, dan zijn die op twee manieren toe te voegen. Je kunt de nieuwe informatie rechtstreeks in het programma toevoegen. In dat geval moet je naast de combinatie van gebruikersnaam en wachtwoord ook de url en een naam voor de datarecord opgeven. Bij sommige wachtwoordmanagers kun je ook notities toevoegen. Je kunt ook naar de website gaan en dan op de gebruikelijke manier inloggen. De browserextensie van de wachtwoordmanager herkent dat de inlogdata nog niet in zijn systeem opgeslagen staan en biedt aan ze over te nemen. Die variant is in het dagelijks gebruik waarschijnlijk het handigst omdat je dan geen extra software hoeft te openen
maar gewoon verder kunt internetten. De moeite en irritatie zijn gering, zodat het gebruik van de wachtwoordmanager een stuk laagdrempeliger wordt.
Twaalf van de geteste wachtwoordmanagers kunnen wachtwoorden importeren die eerder door de browser opgeslagen zijn: Bitwarden, Dashlane, Enpass, Kaspersky Password Manager, KeePass, Keeper, LastPass, Password Manager, RoboForm, SafeInCloud, Sticky Password en True Key.
Vul maar in!
Als je een wachtwoordmanager gebruikt, dan zijn niet alleen alle gebruikersnamen en wachtwoorden overzichtelijk op één centrale plek opgeslagen, maar kun je ze vanuit de software rechtstreeks naar het klembord kopiëren en handmatig in de overeenkomende velden in de browser kopiëren. De meeste programma's bieden als alternatief ook een één-klik-oplossing: je klikt de datarecord aan – afhankelijk van het programma op de url of een speciaal pictogram – waarna de software de opgeslagen url aanroept en de inloggegevens automatisch invult.
Dat kan nog makkelijker als de producent een automatische functie heeft ingebouwd, die bij de meeste wachtwoordmanagers met de browserextensies werken. Die neemt overigens ook het automatisch invullen van formuliergegevens op zich. Je bepaalt per website of de software het automatisch aanmelden moet overnemen. In dat geval worden niet alleen de data ingevoerd, maar wordt het aanmelden ook uitgevoerd. Dat lijkt in eerste instantie erg handig, maar kan zich vaak ontpoppen als een probleem: als je per ongeluk verkeerde inloggegevens hebt opgeslagen, probeert de software telkens weer om je aan te melden als het niet lukt. In het ergste geval blokkeer je zo je eigen account en moet je wachten op een brief of mail met een heractiveringscode. Als je dat automatisme niet gebruikt, dan verschijnt normaal gesproken aan de rechterrand van de inlogvelden het logo van de wachtwoordmanager. Als je daar op klikt, voegt de software de inloggegevens toe.
De meeste wachtwoordmanagers kunnen niet alleen de inlogdata beheren en naar wens automatisch invullen, maar je kunt er ook adres- en betalingsgegevens aan toevoegen. Met name bij bankgegevens moet je er echter zeker van zijn dat je geen cijfers omdraait of een verkeerde IBAN-code of creditcardnummer opgeeft. Een verkeerd adres valt meestal nog wel snel op, maar een verkeerd bankrekeningnummer een stuk minder. Enpass, F-Secure Key en True Key kunnen geen adresformulieren invullen. Keeper heeft daar de extensie KeeperFill voor nodig. Bij alle geteste software kun je betalingsgegevens toevoegen.
Servicetip: eigen minitest
Alle aanbieders hebben gratis probeerversies in de aanbieding. Als je twijfelt tussen meerdere aanbieders en je niet meteen een keuze kunt maken, kun je zelf een minitest uitvoeren. Maak een paar nieuwe testaccounts aan bij de diensten die je gebruikt. Die data gebruik je voor de test. Als een bepaalde aanbieder je toch niet aanstaat, verwijder je het account bij hem en gooi je het programma in de prullenbak. Met de fake-accounts zorg je ervoor dat er geen echte data achterblijven bij een uiteindelijk toch niet langdurig gebruikte aanbieder. Zodra je de voor jou beste wachtwoordmanager gevonden hebt, verwijder je het testaccount weer of stel je de wachtwoordmanager van de grond
af aan opnieuw in. Dan kun je met je echte accountdata aan de slag.
Conclusie
Als je tot nu toe het wachtwoordbeheer van je browser gebruikt hebt en graag wat meer data centraal wilt opslaan, bijvoorbeeld creditcardgegevens, dan is RoboForm daar geschikt voor. True Key wordt op het moment van schrijven herontworpen, de nieuwe web-app voor Firefox was tijdens de test wat instabiel. Als je zonder de ontbrekende data-export kunt of de Chrome-app gebruikt, is True Key net zo geschikt als Blur en F-Secure Key. Kaspersky Password Manager, Keeper en Password Manager zijn van een vergelijkbaar niveau, maar hebben wel wat meer functies.
Als je zelf wilt beslissen hoe je de wachtwoorddata synchroniseert, adviseren we Enpass, KeePass, Password Depot of SafeInCloud, die de gebruiker daar de vrije hand in geven.
Overigens: als je de data alleen lokaal opslaat, moet je des te meer denken aan het maken van back-ups. Sticky Password biedt in elk geval aan om de data tussen twee apparaten alleen via een lokaal netwerk te synchroniseren.
Als je een enthousiaste online shopper bent, zit er in de gebruiksvriendelijke wachtwoordmanager Dashlane een bijzonder extraatje: daar kun je alle aankoopbewijzen mee bewaren en op die manier je uitgaven in de gaten houden.
Als je geen data met veel andere gebruikers wilt delen en ook geen noodcontacten wilt instellen, moet je eens naar de gratis versie van LastPass kijken. Daar zitten alle essentiële functies in inclusief tweefactorauthenticatie (2FA). Hetzelfde geldt voor Bitwarden: in de betaalde versie daarvan zitten 1 GB veilige opslagruimte en uitgebreidere mogelijkheden voor tweefactorauthenticatie. Als je die niet nodig hebt, is de gratis standaardversie ook prima. (nkr)