Wat betekent zero-knowledge bij een wachtwoordmanager?
Zero-knowledge betekent dat alleen jij je kluis kunt openen: alles wordt op je eigen apparaat versleuteld met je hoofdwachtwoord, en de aanbieder kent dat wachtwoord niet. Zelfs bij een hack van hun servers, of een overheidsverzoek, valt er niets leesbaars te halen.
Bij een zero-knowledge-architectuur gebeurt het versleutelen en ontsleutelen volledig op jouw apparaat. Wat naar de servers van de aanbieder gaat, is al onleesbare cijferbrij; de sleutel (afgeleid van je hoofdwachtwoord) verlaat je apparaat nooit. De aanbieder kan je kluis dus letterlijk niet inzien, niet voor support, niet voor advertenties en niet onder dwang.
Dit is de standaard bij alle serieuze managers: 1Password, Bitwarden, NordPass, Proton Pass, Keeper en Dashlane werken allemaal zo. Het verschil zit in de controleerbaarheid: open source managers zoals Bitwarden en Proton Pass laten iedereen de code nakijken, en externe audits bevestigen periodiek dat de architectuur klopt. 1Password voegt er een extra geheime sleutel aan toe, zodat zelfs een zwak hoofdwachtwoord niet volstaat voor een aanvaller.
De keerzijde heb je zelf in de hand: omdat niemand je hoofdwachtwoord kan resetten, is het vangnet (herstelcode, noodcontact of gezinsherstel) iets dat je vooraf regelt. Doe dat op dag een.