
Een nieuwe dag, een nieuwe bug. Een nieuwe dag, een nieuwe kwetsbaarheid. Waarschijnlijk heb je al gehoord dat er in de programma’s van 1Password, LastPass, Dashlane, en KeePass een kwetsbaarheid is gevonden. Het gaat hierbij alleen om Windows gebruikers. Je hoeft je als Mac gebruiker op dit moment niet druk te maken. De onderzoekers hebben alleen naar Windows 10 gekeken. Hoe verder? Wat zegt dit over de veiligheid van de datakluis van wachtwoord managers?
Vrij weinig. Het lijkt hier meer om een bug in Windows te gaan dan om een kwetsbaarheid in de wachtwoord managers. De onderzoekers hebben ontdekt dat het mogelijk is om het hoofdwachtwoord van de wachtwoord managers uit het geheugen van een computer te halen. Ook als de wachtwoord manager op slot zit. Gegevens uit het geheugen van een computer halen wordt vaker aangehaald als kwetsbaarheid en is vooral bij verschillende Windows versies een probleem. Dit komt doordat sommige gegevens tijdelijk in het geheugen beschikbaar blijven om hergebruikt te worden.
De onderzoekers stellen dat het hoofdwachtwoord niet in het geheugen voort zou moeten leven, ook niet versleuteld. Als je dit verandert, ontstaan er nieuwe kwetsbaarheden en maak je het gebruik van een wachtwoord manager een stuk minder gebruiksvriendelijk.
Een kwaadwillige moet fysieke toegang hebben om van deze kwetsbaarheid gebruik te maken
Hoe groot is de kans dat een kwaadwillige je gewone wachtwoord van je systeem achterhaald en daarna ongemerkt achter je computer of laptop plaatsneemt om daar met deze truc je wachtwoord manager te openen? Vrij klein!
Kwaadwilligen hebben meer eenvoudige manieren om toegang te krijgen tot het hoofdwachtwoord van je wachtwoord manager. Het installeren van een Keylogger kan op afstand worden gedaan. Hiervoor geldt natuurlijk wel dat je zelf je besturingssysteem vaak niet op orde hebt of dat je onveilige websites bezoekt.
Een opname van de kwetsbaarheid
Onderzoeker Adrian Bednarek heeft een opname gemaakt van de kwetsbaarheid. Hiernaast laat hij een programma zien dat hij schreef. Hij gebruikt het om het hoofdwachtwoord van een 1Password versie 4-gebruiker te extraheren. Zoals je kan zien, is de wachtwoord manager vergrendeld op het moment dat hij het programma uitvoert.
(Adrian Bednarek / Independent Security Evaluators)

Het Amerikaanse adviesbureau Independent Security Evaluators (ISE) heeft de kwetsbaarheid ontdekt. In een reactie op deze ontdekking laten KeePass en 1Password weten dat het om een bekende beperking van Windows 10 gaat. Volgens 1Password brengt het aanpassen van de manier waarop het geheugen omgaat met het hoofdwachtwoord weer andere beveiligingsrisico’s met zich mee. Het levert volgens hen een aanvaardbaar risico op.
Doordat de kans dat iemand fysiek toegang heeft tot je systeem die daar misbruik van gaat maken zo klein is, lijkt het ons ook een verwaarloosbaar risico. Zeker voor de gemiddelde gebruiker. Je bent niet interessant genoeg om zoveel tijd, energie en middelen in de steken. Kwaadwilligen zoeken over het algemeen altijd kwetsbaarheden die op grote schaal zijn te gebruiken. Ze hebben dan een veel grotere pool om uit te vissen en meer kans op succes.
Denk aan het achterhalen van één wachtwoord van een online account en deze dan gebruiken om bij andere online accounts van de gebruiker binnen te komen.
Het hebben van één sterk wachtwoord voor verschillende accounts levert naar ons idee een veel groter risico op dan het gebruik van tientallen of honderden sterke random wachtwoorden in een wachtwoord manager, met een sterk hoofdwachtwoord, dat anders is dan het wachtwoord van je systeem.
We blijven bij de statement: “zover bekend heeft een kwaadwillige nog nooit zonder hoofdwachtwoord toegang tot een datakluis van een wachtwoord manager gekregen”.
Lees ook ons artikel waarom je vandaag nog moet overstappen op een wachtwoord manager. Plus ons artikel over het kiezen van sterke wachtwoorden.
Neem contact met ons op als je vragen hebt over deze kwetsbaarheid binnen Windows 10 of als je twijfels hebt over je online veiligheid. We helpen graag bij het verbeteren hiervan.
Jouw online concept begint bij Snoober Media
Een serie over veiligheid
We vinden het belangrijk om te informeren over online veiligheid. Lees daarom ook het vorige artikel, “Veiligheid 5 | Gebruik jij ook al een wachtwoord manager?“, over veiligheid. Binnenkort lees je weer een nieuw artikel in deze serie.