Steeds meer mensen gebruiken cloudgebaseerde wachtwoordmanagers omdat gebruikers vaak honderd of meer wachtwoorden hebben en ze die niet kunnen onthouden. Deze diensten slaan gevoelige gegevens op, waaronder online bank- en creditcardlogins, in versleutelde kluizen en synchroniseren die gegevens tussen apparaten. Beveiliging en architectuur van de code bepalen in sterke mate hoe groot het risico is.
Onderzoekers van de Applied Cryptography Group van ETH Zurich — Matilda Backendal, Matteo Scarlata, Kenneth Paterson en Giovanni Torrisi — onderzochten drie populaire aanbieders: Bitwarden, LastPass en Dashlane. Samen bedienen deze drie aanbieders ongeveer 60 million gebruikers en hebben ze een marktaandeel van 23%. De onderzoekers zetten servers op die zich gedroegen als gehackte servers en namen een dreigingsmodel aan van een kwaadaardige server.
Met die methode toonden zij twaalf aanvallen op Bitwarden, zeven op LastPass en zes op Dashlane. De aanvallen liepen uiteen van het richten op individuele gebruikerskluizen tot het volledig compromitteren van alle kluizen binnen een organisatie. In de meeste gevallen konden de onderzoekers gebruikerswachtwoorden benaderen en soms ook wijzigen. Veel aanvallen maakten gebruik van eenvoudige gebruikersacties zoals inloggen, de kluis openen, wachtwoorden bekijken en synchroniseren. Scarlata merkte op dat pogingen om functies zoals wachtwoordherstel en delen te maken de code complexer en het aanvalsoppervlak groter maakten, en dat veel aanbieders nog cryptografische technieken uit de jaren negentig gebruiken.
Het team volgde de gangbare praktijk voor verantwoord openbaar maken en nam contact op met de aanbieders voordat het publiceerde. Ze gaven de bedrijven 90 days om de kwetsbaarheden te verhelpen; de meeste aanbieders werkten mee, maar niet allemaal handelden snel omdat ontwikkelaars vrezen dat updates klanten de toegang kunnen doen verliezen. De onderzoekers adviseren onder meer het updaten van systemen voor nieuwe klanten, het bieden van migratiemogelijkheden voor bestaande klanten en meer transparantie. Zij raden gebruikers aan managers te kiezen die externe audits ondergaan en standaard end-to-end encryptie hebben ingeschakeld.
Paterson zei: "We willen dat ons werk verandering teweegbrengt in deze sector." Bron: ETH Zurich.
Moeilijke woorden
- wachtwoordmanager — Een dienst die wachtwoorden veilig opslaatwachtwoordmanagers
- versleuteld — Beveiligd zodat gegevens niet leesbaar zijnversleutelde
- kluis — Veilige digitale plaats voor persoonlijke gegevenskluizen
- synchroniseren — Gegevens tussen apparaten automatisch gelijkmaken
- dreigingsmodel — Veronderstelling over welke aanvallen mogelijk zijn
- compromitteren — Toegang verkrijgen en beveiliging breken van systemen
- aanvalsoppervlak — Alle punten waar een systeem aangevallen kan worden
- cryptografisch — Betrekking hebbend op technieken voor veilige coderingcryptografische
Tip: beweeg de muisaanwijzer over gemarkeerde woorden in het artikel, of tik erop om snelle definities te zien terwijl je leest of luistert.
Discussievragen
- Welke voordelen en risico's ziet u bij het gebruik van cloudgebaseerde wachtwoordmanagers? Geef voorbeelden.
- Welke maatregelen zouden aanbieders kunnen nemen om updates veiliger te maken voor bestaande klanten?
- Zou u kiezen voor een wachtwoordmanager die externe audits ondergaat en standaard end-to-end encryptie heeft? Waarom wel of niet?
Gerelateerde artikelen
Nieuwe kwetsbaarheid kan zelfrijdende auto's overnemen
Onderzoekers van Georgia Tech ontdekten VillainNet, een verborgen achterdeur in AI-supernetwerken die zelfrijdende auto's kan overnemen zodra een specifiek subnetwerk wordt gekozen. Ze waarschuwen voor moeilijk detecteerbare aanvallen en vragen om betere beveiliging.
Nieuwe echografiemethode onderscheidt cysten en vaste massa's
Onderzoekers ontwikkelden een nieuwe signaalverwerking voor echografie die vloeistof en vaste borstmassa's beter kan onderscheiden. In tests identificeerden artsen massa's in 96% van de gevallen, vergeleken met 67% met gewone echografie.
Goedkope doekjes vinden lood in huis
Een nieuwe studie toont dat kleurveranderingen doekjes snel en goedkoop lood in huizen en auto’s kunnen aantonen. Onderzoekers testten de doekjes in woningen en voertuigen en vonden lood op veel oppervlakken; de methode is goedkoper dan laboratoriumtests.
