Kan een wachtwoordmanager zelf gehackt worden?
De bedrijven erachter kunnen gehackt worden, dat is bij LastPass eind 2022 ook gebeurd. Maar bij een goede zero-knowledge-manager blijven je wachtwoorden dan versleuteld, en is de kraakbaarheid afhankelijk van de sterkte van jouw hoofdwachtwoord. Kies een geaudite dienst en maak dat hoofdwachtwoord lang.
Het eerlijke antwoord is ja: ook beveiligingsbedrijven worden aangevallen. Het bekendste voorbeeld is LastPass, waar aanvallers eind 2022 versleutelde kluiskopieen buitmaakten. Dat incident, en vooral de moeizame communicatie eromheen, is de reden dat wij LastPass alleen nog aanraden voor wie er al zit. De les: het verschil zit niet in of een bedrijf aangevallen wordt, maar in wat een aanvaller dan in handen heeft en hoe het bedrijf reageert.
Bij een goed gebouwde zero-knowledge-manager is de buit onleesbaar zonder jouw hoofdwachtwoord. Hoe sterk dat is, bepaalt dan alles: een lange woordzin houdt zelfs gerichte kraakpogingen op buitgemaakte kluizen tegen. De extra geheime sleutel van 1Password maakt die route zelfs praktisch onmogelijk, en open source diensten als Bitwarden en Proton Pass laten hun architectuur door iedereen en door auditors controleren.
Het alternatief is belangrijker dan het risico: zonder manager hergebruik je wachtwoorden, en dan is elk datalek bij elke webshop direct jouw probleem. Een geaudite manager met sterk hoofdwachtwoord en 2FA blijft de veiligste plek voor je digitale leven.