Verenigde Staten - Onderzoekers van het Amerikaanse adviesbureau Independent Security Evaluators (ISE) hebben kwetsbaarheden ontdekt in vier populaire wachtwoordbeheerders. Via de lekken - die uiteindelijk een relatief klein risico vormen - is het voor aanvallers mogelijk om wachtwoorden van slachtoffers te stelen.
Een wachtwoordbeheerder is een digitale kluis waarin gebruikers hun wachtwoorden beveiligd kunnen opslaan. Gebruikers kunnen de kluis beveiligen met één hoofdwachtwoord: een toegangscode voor het beheren en gebruiken van hun andere wachtwoorden.
ISE onderzocht de veelgebruikte wachtwoordbeheerders 1Password, Dashlane, KeePass en LastPass. De onderzoekers keken alleen op het besturingssysteem Windows 10 naar kwetsbaarheden.
Zij kwamen erachter dat de vier wachtwoordbeheerders gebreken vertonen, waardoor het mogelijk is om het hoofdwachtwoord of gebruikte wachtwoorden te achterhalen uit het geheugen van een computer.
Er is geen bewijs dat de ontdekte kwetsbaarheden daadwerkelijk misbruikt zijn om wachtwoorden van gebruikers te achterhalen. Of dezelfde kwetsbaarheden ook voorkomen in Apple-computers, is onduidelijk.
Advies: 'Gebruik wel een wachtwoordbeheerder'
Ondanks hun bevindingen adviseren de onderzoekers van ISE gebruikers om een wachtwoordmanager te gebruiken, meldt The Washington Post. De gebreken vormen een relatief klein risico, dat in veel gevallen niet opweegt tegen de veiligheidsvoordelen die een wachtwoordbeheerder met zich meebrengt.
De bedrijven achter de wachtwoordmanagers reageren verschillend op de bevindingen. LastPass stelt later deze week met een update te komen. Dashlane zegt bekend te zijn met de risico's die in zijn app gevonden zijn, maar geeft de kwetsbaarheid geen prioriteit. KeePass en 1Password noemen de kwetsbaarheden een aanvaardbaar risico dat voortkomt uit hoe Windows 10 werkt.
Een typische hacker gaat volgens The Washington Post bovendien liever achter het laaghangende fruit - mensen die überhaupt geen wachtwoordmanager gebruiken - aan.
Een wachtwoordbeheerder waarin complexe wachtwoorden zijn opgeslagen - in combinatie met een sterk hoofdwachtwoord - wordt door deskundigen gezien als een van de beste manieren om online accounts te beveiligen.