Onderzoek toont aan dat acht van de tien wachtwoordmanagers een cruciaal beveiligingsaspect verwaarlozen. Toch blijft het gebruik ervan vele malen veiliger dan zelf wachtwoorden onthouden – of erger, hergebruiken.
Wachtwoordmanagers worden breed aanbevolen als dé oplossing voor het digitale identiteitsprobleem van de gemiddelde internetgebruiker. En terecht: ze maken het mogelijk om voor elke dienst een uniek, complex wachtwoord te gebruiken zonder dat je ze allemaal hoeft te onthouden. Maar recent onderzoek toont aan dat de technologie achter deze tools niet altijd zo waterdicht is als je zou hopen.
Herversleuteling: een gemiste kans op extra beveiliging
Een van de meest opvallende bevindingen betreft de manier waarop wachtwoordmanagers omgaan met herversleuteling. In theorie zou deze procedure automatisch moeten plaatsvinden wanneer je je hoofdwachtwoord – het enige wachtwoord dat toegang geeft tot je volledige kluis – opnieuw instelt. Dit is een cruciaal veiligheidsmechanisme: door alle opgeslagen data opnieuw te versleutelen met het nieuwe hoofdwachtwoord, voorkom je dat oude sleutels misbruikt kunnen worden.
De praktijk blijkt echter weerbarstiger. Bij acht van de tien onderzochte wachtwoordmanagers gebeurt deze herversleuteling momenteel niet zoals het hoort. Dat betekent dat bij deze diensten het wijzigen van je hoofdwachtwoord niet de extra beveiligingslaag oplevert die je zou verwachten. Voor de gemiddelde gebruiker is dit verschil misschien niet direct merkbaar, maar voor wie zijn hoofdwachtwoord wijzigt na een mogelijke beveiligingsincident, is het een gemiste veiligheidswaarborg.
Het is een technisch detail, maar wel een belangrijk detail – het soort achter-de-schermen functionaliteit waar gebruikers op moeten kunnen vertrouwen zonder er zelf over na te hoeven denken.
Perspectief: het alternatief blijft risicovoller
Toch is het essentieel deze bevindingen in perspectief te plaatsen. Het Duitse Bundesamt für Sicherheit in der Informationstechnik (BSI), dat het onderzoek uitvoerde, benadrukt uitdrukkelijk: geen wachtwoordmanager gebruiken blijft gevaarlijker dan wel een gebruiken, zelfs met de aangetoonde tekortkomingen.
De reden daarvoor is simpel: menselijk gedrag. Zonder wachtwoordmanager hebben mensen de neiging om wachtwoorden te hergebruiken over meerdere diensten, of simpelweg te kiezen voor gemakkelijk te onthouden – en dus gemakkelijk te raden – combinaties. En daar ligt het échte gevaar.
Bij phishing-aanvallen, waarbij criminelen je proberen te verleiden om zelf je inloggegevens prijs te geven, maakt wachtwoordhergebruik één geslaagde aanval exponentieel gevaarlijker. Wie hetzelfde wachtwoord gebruikt voor zijn e-mail, bankrekening en social media-accounts, ziet bij één succesvol phishing-incident meerdere accounts tegelijk gecompromitteerd. Een wachtwoordmanager, die voor elke dienst een uniek wachtwoord genereert, beperkt de schade tot maximaal één account – een wezenlijk verschil.
Niet alle wachtwoordmanagers zijn gelijk
De conclusie is dus niet dat wachtwoordmanagers onveilig zijn, maar dat er wel degelijk verschillen bestaan tussen aanbieders. Voor consumenten die bewust willen kiezen, is het verstandig om te kijken naar diensten die bekend staan om hun rigoureuze beveiligingsaanpak.
Partijen als 1Password, Proton Pass, Bitwarden en Keeper worden door beveiligingsexperts consistent als zeer veilig bestempeld. Deze diensten ondergaan regelmatig externe audits, zijn transparant over hun beveiligingsarchitectuur en hebben een trackrecord waarin het serieus nemen van gebruikersveiligheid centraal staat.
Dat betekent niet dat andere wachtwoordmanagers per definitie onveilig zijn, maar voor wie op zoek is naar extra gemoedsrust, bieden deze namen een solide uitgangspunt. De meeste hanteren bovendien een ‘zero-knowledge’ architectuur, waarbij zelfs de dienst zelf geen toegang heeft tot je wachtwoorden – een cruciaal principe dat ervoor zorgt dat jij de enige bent met de sleutels tot je digitale kluis.
De praktische afweging
Voor de gemiddelde gebruiker komt het neer op een simpele afweging: accepteer je een theoretisch beveiligingsrisico bij een klein aantal wachtwoordmanagers dat niet perfect herversleutelt, of loop je het veel grotere praktische risico van wachtwoordhergebruik en zwakke wachtwoorden?
Het antwoord blijft voor vrijwel iedereen hetzelfde: een wachtwoordmanager gebruiken, bij voorkeur een van de beproefde namen. De tekortkomingen die het onderzoek blootlegt zijn reëel en verdienen aandacht van de aanbieders, maar ze wegen niet op tegen de dagelijkse risico’s van navigeren op het internet zonder deze digitale hulp.
Wie zich zorgen maakt, kan kiezen voor een van de expliciet als veilig aangemerkte diensten. Maar zelfs met een minder perfecte wachtwoordmanager ben je vele malen beter beschermd dan zonder. Laat dit onderzoek dus geen excuus zijn om maar helemaal geen wachtwoordmanager te gebruiken – dat zou precies de verkeerde les zijn.
