Een perfect wachtwoord is onmogelijk te onthouden, maar mag niet worden opgeschreven. Dit dilemma kunt u oplossen door het wachtwoordenbeheer te automatiseren met gespecialiseerde software. Wij testten vier personal password managers : Dashlane, Encryprt, Keepass en Lastpass.

Wachtwoorden zijn het zwakke punt van elke beveiliging. Het menselijke brein lijkt niet gemaakt om veilig met wachtwoorden om te gaan. Verstandiger is het om het wachtwoordenbeheer volledig aan de computer over te laten. Met personal password manager-software creëert, beheert en gebruikt u niet te kraken door de computer gegenereerde wachtwoorden. De beheersoftware zelf moet dan natuurlijk sterk beveiligd zijn, want ze vormt een “single point of failure”. Dat houdt in dat u minstens één sterk wachtwoord dient te onthouden voor de beheersoftware. Idealiter werkt de beheersoftware met tweefactorauthenticatie, zodat uw gegevens niet alleen beschermd zijn door een sterk wachtwoord, maar ook door een steeds wijzigend “token”, bijvoorbeeld met behulp van Google Authenticator. Honderd procent veiligheid bestaat niet, maar als u op die manier te werk gaat, moet een hacker al van erg goede huize komen om uw wachtwoorden te kraken. Er bestaan tientallen personal password managers. Wij kozen er vier recente uit, twee met open broncode die gratis kunnen worden gebruikt (Encryptr, Keepass) en twee met gesloten broncode (Dashlane, Lastpass) die gedeeltelijk betalend zijn. Dit soort software biedt grotendeels dezelfde mogelijkheden. U kunt uw wachtwoorden en gevoelige gegevens in een sterk geëncrypteerde database opslaan die ofwel lokaal, ofwel in de cloud wordt bewaard. De gegevens kunt u op beveiligde wijze synchroniseren tussen verschillende apparaten, waaronder ook smartphones en tablets. De software kan webwachtwoorden, webformulieren en eventueel ook applicatiewachtwoorden automatisch invullen. Ze helpt u bij het aanmaken van sterke wachtwoorden. In de meer geavanceerde software kunt u ook uw ontvangstbewijzen en bonnetjes op een veilige manier bewaren. Vaak is er ook de mogelijkheid om de kwaliteit van uw bestaande wachtwoorden te controleren en zwakke wachtwoorden manueel of automatisch te vervangen door sterkere.

TESTMETHODE

We geven punten op meer dan meer dan dertig verschillende criteria. Op basis daarvan berekenen we een relatieve featuresscore op 100 punten. Relatief betekent dat de producten een functionaliteitsscore krijgen in verhouding tot elkaar : het meeste aantal punten voor het product met de meeste mogelijkheden. Alle informatie hierover vindt u in de tabel die van onze website kunt downloaden.

DASHLANE

Dashlane werd in 2011 opgericht door de voormalige ceo van Business Objects Bernard Liautaud en ontving 30 miljoen risicokapitaal van FirstMark Capital en andere investeerders. Het is gesloten software. De aes-256 geëncrypteerde database van Dashlane wordt lokaal bewaard, maar kan optioneel ook op een cloud-drive worden geplaatst. Dashlane heeft client-software voor Windows, Mac OS X, Android en iOS. Het bedrijf besteedt zeer veel aandacht aan het design van zijn software en Dashlane heeft veruit de meest gelikte interface van alle besproken producten. Er zit zelfs een gebruiksvriendelijke wizard in die u bij het handje neemt doorheen de belangrijkste functies van de software. De software kan gratis worden gebruikt op één apparaat, maar als u alle opties wilt gebruiken kost u dat 40 dollar per jaar. Wel krijgt u dertig dagen lang de kans om de software gratis op al uw apparaten uit te proberen. Feit is dat Dashlane veel duurder is dan zijn naaste concurrent LastPass. Dashlane haalt een verre van perfecte B-score in de Qualys SSL Labs ssl-beveiligingstest en doet het daarmee slechter dan LastPass dat in dezelfde test tussen A en A+ scoort. Tijdens de installatie kunt u zich registreren met alleen een e-mailadres en hoofdwachtwoord. Dashlane geeft tips over hoe u uw hoofdwachtwoord zo sterk mogelijk kunt maken. Verliest u het, dan is er geen enkele manier om uw gegevens nog te raadplegen.

De software installeert automatisch de nodige browserextensies voor Chrome, Firefox en IE zodat u gebruik kunt maken van de auto-login en autofill mogelijkheden. Helaas zijn die extensies niet erg efficiënt geprogrammeerd. Zo verlengt de IE-extensie het opstarten van de browser met 0,34 seconden, reden waarom IE suggereert om Dashlane uit te schakelen… Tijdens de installatie krijgt u instructies hoe u gegevens via csv kunt exporteren uit het concurrerende LastPass en importeren in Dashlane. Omgekeerd kunt u uw gegevens exporteren in csv-, Excel- en Dahslane-formaat. De software kan ook nog gegevens importeren van concurrerende programma’s zoals 1Password, Password Wallet, RoboForm en KeePass. Helaas, toen wij onze vrij omvangrijke LastPass-database met meer dan zeshonderd wachtwoorden importeerden, crashte Dashlane… Nadat we de software opnieuw startten, waren alle wachtwoorden wel correct geïmporteerd.

In het hoofdscherm toont Dashlane een beveiligingsscore die een samenvatting geeft van de sterkte en de uniekheid van de door u gebruikte wachtwoorden. U kunt ook een gedetailleerde wachtwoordenanalyse uitvoeren. Bovendien biedt Dashlane de unieke mogelijkheid om zwakke wachtwoorden automatisch te vervangen door sterkere. Tweefactor-authenticatie wordt via Google Authenticator ondersteund. U kunt de database zo instellen dat ze automatisch sluit na vijftien minuten tot tien uur. Net zoals bij LastPass kunt u meerdere identiteiten creëren die elk hun eigen wachtwoorden, kredietkaartgegevens en beveiligde notities hebben. De software kan webformulieren automatisch met deze gegevens invullen. U kunt ook uw bonnetjes en ontvangstbewijzen bewaren, compleet met een afbeelding. De software bewaart web-ontvangstbewijzen van bijvoorbeeld Amazon automatisch. U kunt ook een of meer noodcontacten invoeren. Dashlane zal die automatisch contacteren als u een instelbare periode van 24 uur tot zestig dagen niet meer ingelogd hebt. U bepaalt zelf welke gegevens het noodcontact na die periode kan inkijken. Dashlane is verder beschikbaar in een Team-versie, maar die kan niet worden geïntegreerd met Active Directory of LDAP.

PRODUCTINFO

PRODUCT: Dashlane, https://dashlane.com

PLATFORM: lokale database met cloud-optie ; clients voor Windows, Mac OS X, Android en iOS.

PRIJS: gratis op één apparaat, 40 dollar per jaar voor alle opties met 30-dagen probeerversie.

PRESTATIESCORE: 94/100

ENCRYPTR

Encryptr werd medio 2014 gelanceerd als een cloudgebaseerde wachtwoordenbeheerder en e-wallet met open broncode. Encryptr is ontwikkeld in het Crypton JavaScript framework en bestaat in versies voor Windows, Mac OS X, Android en Linux. Een iOS-versie is in volle ontwikkeling. Crypton laat toe om cross-platform webapplicaties te ontwikkelen die volledig geëncrypteerd zijn binnen een browser extensie, een mobiele app of een WebKit-gebaseerde desktop-applicatie. Voordeel is dat de server geen kennis heeft van de inhoud die de gebruiker opslaat. Uw data wordt alleen lokaal op het gebruikte apparaat ontsloten en er wordt geen persoonlijke informatie uitgewisseld met de server. De app heeft alleen een gebruikersnaam en een wachtwoord nodig. Als u uw wachtwoord kwijtspeelt, bestaat er geen enkele manier meer om uw gegevens te raadplegen.

Nadat u zichzelf geregistreerd hebt met een gebruikersnaam en wachtwoord kunt u gegevens toevoegen door op het plusteken in de erg eenvoudige interface te klikken. U kunt gegevens invullen bij drie categorieën : kredietkaart, algemeen en wachtwoord. U kunt die informatie vervolgens opvragen op elk toestel waarop u Encryptr geïnstalleerd hebt. Om een wachtwoord te gebruiken, dient u er lang op te klikken, zodat de informatie naar het klembord wordt gekopieerd. U kunt dit dan vervolgens in bijvoorbeeld een webdialoog plakken. Veel meer mogelijkheden zijn er niet. Importeren van gegevens of automatisch invullen van formuleren is momenteel bijvoorbeeld niet mogelijk. Encryptr is nog heel primitief en het valt af te wachten hoe de verdere ontwikkeling zal verlopen. De Qualys SSL Labs test op de servers van Encryptr geeft bovendien een matige B-score. Encryptr moet dus ook nodig zijn ssl-configuratie bijwerken.

PRODUCTINFO

PRODUCT : Encryptr, https://encryptr.org/

PLATFORM : cloud-gebaseerd ; clients voor Windows, Mac OS X, Linux en Android.

PRIJS : Gratis.

PRESTATIESCORE : 28/100

KEEPASS 2

De eerste versie van Keepass dateert van 2003. Keepass is vrije software met open broncode en gebruikt een lokale, aes-256 en Twofish 1. x/2. x geëncrypteerde database voor het opslaan van wachtwoorden en andere gevoelige gegevens, zoals kredietkaarten en bankrekeningen. De software zelf is geschreven in Mono, een open source C#-compiler en -runtime module die oorspronkelijk ontwikkeld werd door Ximian en ooit nog in handen was van Novell. U kunt de Keepass-database met u meenemen op een usb-stick en de software vanaf die stick draaien zonder dat u eerst iets moet installeren. Veiliger kan haast niet. Het kan gelukkig ook iets gebruiksvriendelijker, door de database op een beveiligde cloud-drive zoals Dropbox te plaatsen, zodat u er overal aankan. Dit laatste kan manueel, omdat de database multi-user is, of via de KPDataSave plug-in die uw database automatisch in Dropbox bewaart. Een vergelijkbare plug-in is KPGoogleSync waarmee u de database op een Google Drive kunt bewaren. De database op een cloud-drive plaatsen houdt in theorie wel iets meer veiligheidsrisico in.

Keepass draait onder Linux, Mac OS X, iOS, Android, Windows Phone en uiteraard Windows. De database kunt u niet alleen met een wachtwoord, maar ook met een bijkomend sleutelbestand beschermen. Dit sleutelbestand bewaart u op een usb-stick, die u in de computer steekt wanneer u de database wil openen. Via plug-ins kunt u de beveiliging uitbreiden met andere beveiligingsopties, zoals ondersteuning voor Yubikey, of voor eenmalige (wegwerp-)wachtwoorden die u maar één keer kunt gebruiken.

Er bestaan honderden plug-ins waarmee u de functionaliteit en integratie van Keepass uitbreidt. Het is natuurlijk uw eigen verantwoordelijkheid om vooraf te controleren dat een plug-in goedaardig is, maar in principe is dit dankzij de open broncode eenvoudig. Keepass vult zelf geen webformulieren en -dialogen in, maar met behulp van plug-ins voegt u die functionaliteit eenvoudig toe bij Chrome, Internet Explorer, Mozilla Firefox en Safari. Gegevens im- en exporteren kan standaard via tekstbestanden (csv, xml). Daarnaast zijn er tal van plug-ins om wachtwoorden te importeren uit concurrerende software zoals 1Password, CodeWallet 3, eWallet, Oubliette, Password Commander, Password Minder, Password Safe, Vault 3, Zsafe etc. Keepass 2 bevat geen beveiligingsauditor, maar via de Password Quality en StrengthReport plugins kunt u wel de sterkte en kwaliteit van uw reeds opgeslagen wachtwoorden controleren.

Pleasant Password Server (tinyurl.com/lvtzvkw) is compatibel met Keepass 2 en kan in een bedrijfsomgeving worden gebruikt. Deze wachtwoordserver kan onder andere worden geïntegreerd met Active Directory en LDAP. Pleasant Password Server kost 10 dollar per gebruiker.

PRODUCTINFO

PRODUCT : Keepass, http://keepass.info/

PLATFORM : lokale multi-userdatabase ; clients voor Windows, Mac OS X, Linux, Android, iOS, Java ME, Windows Phone, Pocket PC en BlackBerry.

PRIJS : Gratis. Pleasant Password Server : $10/gebruiker.

PRESTATIESCORE : 88/100

LASTPASS

LastPass, ontstaan in 2008, was een van de eerste “moderne” wachtwoordbeheerders met ondersteuning voor browser- én applicatiewachtwoorden en het blijft vandaag ook een van de populairste, al voelt het wel de hete adem in de nek van het recentere Dashlane dat een veel geliktere, meer hedendaagse interface heeft. Recent vernieuwde LastPass zijn interface en verbeterde zijn browserintegratie. Het is nog altijd niet zo mooi als Dashlane, maar technisch heeft LastPass op sommige gebieden een streepje voor op Dashlane. Zo biedt de Premium-versie meer two-factor authenticatie opties : naast Google Authenticator worden ook biometrische beveiliging, Yubikey en andere authenticatiediensten ondersteund. Ook heeft deze software geavanceerde beveiligingsopties zoals de mogelijkheid om alleen mobiele apparaten met een specifieke uuid (unieke apparaat identificatie) toe te laten, de mogelijkheid om log-ins van het anonieme Tor-netwerk te blokkeren, verhinderen van log-ins uit bepaalde landen en de mogelijkheden om automatisch uit te loggen na een instelbare periode die kan variëren tussen vijf minuten en twee weken.

LastPass kan op meerdere computers gratis worden gebruikt. Wilt u ook mobiele ondersteuning en geavanceerde mogelijkheden zoals uitgebreidere twee-factorauthenticatie dan betaalt u 12 dollar per jaar voor de Premium-versie. Het is daarmee flink goedkoper dan Dashlane, dat 40 dollar per jaar kost. Net zoals Dashlane is LastPass gesloten (bedrijfseigen) software. Omdat uw wachtwoorden in de cloud op de servers van LastPass worden bewaard, moet u er dus maar op betrouwen dat LastPass betrouwbaar is. Kijken we naar het aantal gerapporteerde “security breaches” dan valt dat met één ietwat ernstig geval en één minder erg geval goed mee. De Qualys SSL Labs test op de servers van LastPass geeft een slechtste score van A en een beste score van A+, dus de beveiliging van de LastPass-servers is helemaal up-to-date. Dat kan niet worden gezegd van die van Dashlane of Encryptr, die hier slechts een B scoren.

LastPass gebruikt sterke aes-256 encryptie. Uw “master password” wordt niet naar LastPass verzonden en blijft dus altijd lokaal. Verliest u dit dan is er geen enkele mogelijkheid om nog in uw database te geraken. U kunt een lokale kopie van uw wachtwoorden- en formulierendatabase met u meenemen op een usb-stick en gebruiken op computers die geen internetverbinding hebben. Via een ingebouwde beveiligingsauditor kunt u de sterkte van uw diverse wachtwoorden controleren. Het is evenwel niet mogelijk om zwakke wachtwoorden in één keer te vervangen door sterkere zoals dat bij Dashlane wel kan. LastPass zou een dergelijke “on demand password changer” wel aan het testen zijn en in de toekomst integreren in zijn software.

U kunt meerdere identiteiten creëren en daar (groepen van) wachtwoorden en persoonlijke gegevens zoals kredietkaarten en bankrekeningen aan koppelen. De software kan webformulieren automatisch invullen met deze gegevens. Opslaan van bonnetjes, rekening etc. zoals bij Dashlane wordt op een iets omslachtigere wijze ondersteund via de “secure notes” optie. Aan die beveiligde notities kunt u ook afbeeldingen koppelen. LastPass is verder beschikbaar in een multi-user, centraal te beheren Enterprise-versie die onder andere geïntegreerd kan worden met Active Directory.

PRODUCTINFO

PRODUCT : LastPass, www.lastpass.com

PLATFORM : cloud-gebaseerd ; clients voor Windows, Mac OS X, Linux, Android, iOS, Windows Phone en BlackBerry.

PRIJS : Gratis op meerdere computes. 12 doller/per jaar voor mobiele ondersteuning en geavanceerde opties.

PRESTATIESCORE : 97/100

CONCLUSIE

Van de commerciële producten verdient LastPass de voorkeur. Het is minder gelikt dan Dashlane, maar lijkt ons veiliger en het is in elk geval véél goedkoper. Vertrouwt u uw wachtwoorden en kredietkaartgegevens liever niet toe aan gesloten software dan is Keepass een volwaardig alternatief. Het is wat moeilijker in het gebruik, maar omwille van zijn lokale database-opslag en uitgebreide beveiligingsopties in elk geval zeker zo veilig als de commerciële software.

RAADPLEEG DE TABEL OP ONZE WEBSITE VOOR GEDETAILLEERDE PRODUCTINFORMATIE EN UITGEBREIDE TESTCIJFERS : http://datanews.knack.be/passman15

Jozef Schildermans

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content