Het Duitse Bundesamt für Sicherheit in der Informationstechnik (BSI) heeft verbeterpunten vastgesteld bij een aantal populaire wachtwoordmanagers. Dat blijkt uit een gezamenlijk onderzoek met het FZI Forschungszentrum Informatik, waarin tien geselecteerde wachtwoordmanagers zijn onderzocht op hun IT-beveiliging. Ondanks de geconstateerde tekortkomingen blijft het advies van het BSI onverminderd duidelijk: het gebruik van een wachtwoordmanager is essentieel voor de digitale veiligheid van consumenten.

Wachtwoorden vormen een onmisbaar onderdeel van het dagelijks digitale leven. Voor vrijwel alle online diensten, van e-mail en sociale media tot webshops, zijn veilige inloggegevens noodzakelijk. Wachtwoordmanagers helpen gebruikers bij het veilig opslaan en genereren van sterke, unieke wachtwoorden en verkleinen daarmee het risico op misbruik van accounts.
Uit het onderzoek blijkt echter dat bij drie van de tien onderzochte wachtwoordmanagers wachtwoorden op een manier worden opgeslagen die in theorie toegang door de fabrikant mogelijk maakt. Dat vergroot de potentiële aanvalsvector bij de aanbieder en vereist aanvullende beveiligingsmaatregelen. Gebruikers moeten in die gevallen vertrouwen op de extra beschermingsmaatregelen die de fabrikant zegt te hanteren. Het BSI adviseert consumenten daarom om zich goed te informeren over waar hun gegevens worden opgeslagen, vooral bij cloudgebaseerde oplossingen, en welk beveiligingsniveau daarbij wordt toegepast.

Wachtwoorden niet hergebruiken

Volgens het BSI zijn de aangetroffen tekortkomingen geen reden om het gebruik van wachtwoordmanagers te vermijden. Integendeel, het hergebruiken van wachtwoorden of het kiezen van zwakke wachtwoorden vergroot de kans op phishing en accountovername aanzienlijk. De risico’s van het niet gebruiken van een wachtwoordmanager zijn volgens het BSI dan ook groter dan de geconstateerde implementatiefouten bij sommige producten.
Het onderzoeksrapport biedt consumenten inzicht in de beveiligingskenmerken van de onderzochte wachtwoordmanagers en helpt bij het maken van een weloverwogen keuze. Daarbij wijst het BSI nadrukkelijk op het belang van regelmatige software-updates, die een cruciale rol spelen bij het dichten van kwetsbaarheden.

Verbeteringen doorgevoerd

Het BSI spreekt daarnaast van een constructieve houding van de meeste betrokken fabrikanten. In overleg met de toezichthouder zijn al verbeteringen doorgevoerd of toegezegd. Volgens het BSI draagt transparantie hierbij bij aan vertrouwen en veiligheid. Fabrikanten worden opgeroepen om hun beveiligingsconcepten, systeemarchitectuur en gebruikte cryptografie zoveel mogelijk openbaar te documenteren, zodat onafhankelijke toetsing mogelijk wordt.
Op basis van de onderzoeksresultaten benadrukt het BSI dat fabrikanten uitsluitend gebruik zouden moeten maken van bewezen cryptografische standaarden en alle data, inclusief metadata, volledig moeten versleutelen. Ook pleit de toezichthouder voor het technisch uitsluiten van toegang door de fabrikant zelf.