Nadat Facebook weer volop in het nieuws is gekomen met een urenlange storing, leek het ons tijd om eens goed te kijken naar een belangrijk thema voor de interne IT security: wachtwoorden. Overigens hebben wij volgende week op 12 oktober een webinar over de interne kwetsbaarheden waarbij we op meerdere verwante thema’s zullen ingaan. Schrijf je nu gratis in!
Wat was er precies misgegaan bij het wachtwoordenbeheer van Mark Zuckerberg, CEO van Facebook? Bij een grote LinkedIn hack was zijn wachtwoord ‘dadada’ gelekt, en dat gebruikte hij ook voor Pinterest en Twitter.
Als je voor meerdere accounts hetzelfde wachtwoord gebruikt, loop je een groot risico dat er bij het buitmaken van inloggegevens deze gegevens ook op andere websites waar je hetzelfde wachtwoord gebruikt misbruikt kunnen worden. In een van onze eerdere blogs schreven wij al over het belang van veilig inloggen in 2021.
Waarom een password manager?
Het is wenselijk om voor elke website een uniek, lastig te raden wachtwoord te hebben. Omdat we tegenwoordig over steeds meer accounts beschikken, kan het een lastige opgave zijn om dit allemaal bij te houden.
Wij raden daarom aan om in gebruik te maken van een Password Manager. Op deze manier heb je in het geval van het lekken van je gegevens geen last op andere accounts en hoef je niet alle individuele wachtwoorden te onthouden, slechts 1 lastig wachtwoord is voldoende.
Is een password manager genoeg?
Een uniek wachtwoord per account zorgt er dus voor dat een lek bij een website geen invloed heeft op andere accounts. Er bestaat echter ook nog de zogeheten Multi-Factor Authentication. Deze vorm ken je misschien al van accounts die je momenteel gebruikt, zoals bijvoorbeeld Digid. Na het inloggen met je inloggegevens wordt er bijvoorbeeld een SMS bericht gestuurd naar een telefoon die in het systeem bekend is. Omdat je zelf de telefoon waar de SMS heen wordt gestuurd in de buurt hebt, kan een eventuele hacker dit bericht niet zien en de tweede authenticatie niet succesvol afronden.
Multi-Factor Authentication zorgt er dus voor dat iemand anders niet zomaar in je account kan inloggen. Vandaar dat steeds meer bedrijven deze techniek toepassen om te zorgen voor een veilig accountbeheer. Er zit wel een klein nadeel aan Multi-Factor Authentication, het is namelijk niet overal voor te gebruiken. De combinatie van Multi-Factor Authentication en een passwordmanager is echter zeer sterk.
Wat zijn goede passwordmanagers?
We hebben hieronder drie populaire, open-source password managers met elkaar vergeleken om te helpen bij het kiezen van een geschikte passwordmanager. Per password manager hebben we de individuele plus- en minpunten bij elkaar gezet.
KeePass
Plus
+ Heeft een lange historie en zichzelf inmiddels bewezen
+ Kan gebruikt worden zonder installatie+ Flexibel in gebruik
Min
– Vereist gebruik van third-party apps of plugins voor gebruik in browsers/mobiel
– Zelf verantwoordelijk voor eigen database bestand
– Mist gebruiksvriendelijkheid voor minder ervaren gebruikers
Bitwarden
Plus
+ Kan zelf een server hosten (Vaultwarden)
+ Goede ondersteuning in browser en mobiel
+ Veel functionaliteit zoals controle of wachtwoorden reeds gelekt zijn in bekende datalekken
Min
– Bij afname dienst is het niet meer volledige open-source
Passbolt
Plus
+ Kan zelf server hosten
+ Goede ondersteuning voor teams of organisaties
Min
– Mist functionaliteiten van Bitwarden
– Geen mobiele app beschikbaar
Wil je weten hoe je meer grip kan krijgen op de interne IT Security kwetsbaarheden? Neem dan vrijblijvend contact met ons op of kom naar onze webinar op 12 oktober.