Steeds meer mensen gebruiken cloudgebaseerde wachtwoordmanagers omdat gebruikers vaak honderd of meer wachtwoorden hebben en ze die niet kunnen onthouden. Deze diensten slaan gevoelige gegevens op, waaronder online bank- en creditcardlogins, in versleutelde kluizen en synchroniseren die gegevens tussen apparaten. Beveiliging en architectuur van de code bepalen in sterke mate hoe groot het risico is.
Onderzoekers van de Applied Cryptography Group van ETH Zurich — Matilda Backendal, Matteo Scarlata, Kenneth Paterson en Giovanni Torrisi — onderzochten drie populaire aanbieders: Bitwarden, LastPass en Dashlane. Samen bedienen deze drie aanbieders ongeveer 60 million gebruikers en hebben ze een marktaandeel van 23%. De onderzoekers zetten servers op die zich gedroegen als gehackte servers en namen een dreigingsmodel aan van een kwaadaardige server.
Met die methode toonden zij twaalf aanvallen op Bitwarden, zeven op LastPass en zes op Dashlane. De aanvallen liepen uiteen van het richten op individuele gebruikerskluizen tot het volledig compromitteren van alle kluizen binnen een organisatie. In de meeste gevallen konden de onderzoekers gebruikerswachtwoorden benaderen en soms ook wijzigen. Veel aanvallen maakten gebruik van eenvoudige gebruikersacties zoals inloggen, de kluis openen, wachtwoorden bekijken en synchroniseren. Scarlata merkte op dat pogingen om functies zoals wachtwoordherstel en delen te maken de code complexer en het aanvalsoppervlak groter maakten, en dat veel aanbieders nog cryptografische technieken uit de jaren negentig gebruiken.
Het team volgde de gangbare praktijk voor verantwoord openbaar maken en nam contact op met de aanbieders voordat het publiceerde. Ze gaven de bedrijven 90 days om de kwetsbaarheden te verhelpen; de meeste aanbieders werkten mee, maar niet allemaal handelden snel omdat ontwikkelaars vrezen dat updates klanten de toegang kunnen doen verliezen. De onderzoekers adviseren onder meer het updaten van systemen voor nieuwe klanten, het bieden van migratiemogelijkheden voor bestaande klanten en meer transparantie. Zij raden gebruikers aan managers te kiezen die externe audits ondergaan en standaard end-to-end encryptie hebben ingeschakeld.
Paterson zei: "We willen dat ons werk verandering teweegbrengt in deze sector." Bron: ETH Zurich.
Moeilijke woorden
- wachtwoordmanager — Een dienst die wachtwoorden veilig opslaatwachtwoordmanagers
- versleuteld — Beveiligd zodat gegevens niet leesbaar zijnversleutelde
- kluis — Veilige digitale plaats voor persoonlijke gegevenskluizen
- synchroniseren — Gegevens tussen apparaten automatisch gelijkmaken
- dreigingsmodel — Veronderstelling over welke aanvallen mogelijk zijn
- compromitteren — Toegang verkrijgen en beveiliging breken van systemen
- aanvalsoppervlak — Alle punten waar een systeem aangevallen kan worden
- cryptografisch — Betrekking hebbend op technieken voor veilige coderingcryptografische
Tip: beweeg de muisaanwijzer over gemarkeerde woorden in het artikel, of tik erop om snelle definities te zien terwijl je leest of luistert.
Discussievragen
- Welke voordelen en risico's ziet u bij het gebruik van cloudgebaseerde wachtwoordmanagers? Geef voorbeelden.
- Welke maatregelen zouden aanbieders kunnen nemen om updates veiliger te maken voor bestaande klanten?
- Zou u kiezen voor een wachtwoordmanager die externe audits ondergaat en standaard end-to-end encryptie heeft? Waarom wel of niet?
Gerelateerde artikelen
Batterij uit de bodem voedt landbouwsensoren
Een spin-off van de University of Bath ontwikkelde Bactery, een batterij die energie oogst uit bodembacteriën om sensoren en IoT-apparaten op landbouwgrond van stroom te voorzien. Het apparaat is getest in Brazilië en de makers willen opschalen.
Snelle antistoftest zonder bloed met draagbare biosensoren
Onderzoekers van de University of Pittsburgh maken draagbare biosensoren die antistoffen in 10 minuten detecteren zonder bloedafname. De sensoren meten in interstitiële vloeistof en zijn zeer gevoelig, volgens publicatie in Analytical Chemistry.
Algoritmen verklaren omzetting van propaan naar propeen
Onderzoekers van de University of Rochester ontwikkelden algoritmen die laten zien welke atomaire kenmerken bepalen hoe propaan verandert in propeen. De inzichten helpen om katalysatoren te begrijpen en kunnen producenten helpen efficiënter te werken.