Open source versus eigen wachtwoordbeheerders

Tegenwoordig hebben we allemaal enorme aantallen abonnementen op online accounts en services. Deze accounts moeten alleen veilig zijn als ze een uniek, robuust wachtwoord hebben. Bovendien moeten echt sterke wachtwoorden ingewikkeld zijn, wat betekent dat ze uiterst moeilijk te onthouden zijn.

Wachtwoordbeheer vergrendelen

De beste oplossing is een wachtwoordbeheerder die speciaal is ontworpen om al uw wachtwoorden namens u te onthouden. Door een wachtwoordbeheerder te gebruiken, kunt u sterke unieke wachtwoorden instellen voor elk online account zonder dat u ze allemaal hoeft te onthouden.

Niet elke wachtwoordbeheerder is echter op dezelfde manier gemaakt en er zijn een aantal belangrijke dingen waarmee u rekening moet houden bij het kiezen van een service.

Wachtwoordbeheerders - kunnen ze worden vertrouwd?

Als het gaat om het selecteren van een wachtwoordbeheerder, zijn er enkele primaire overwegingen die deze services min of meer wenselijk maken dan elkaar. Een van de belangrijkste hiervan is of de software gesloten of open source is.

Closed source-software is eigendom van en is zodanig gelicentieerd (auteursrechtelijk beschermd) dat niemand deze mag gebruiken, wijzigen of verspreiden. Bovendien is closed source-software zodanig vergrendeld dat het onmogelijk is om de code te analyseren (zonder dat directe toegang door de ontwikkelaar wordt verleend).

Als de code voor een wachtwoordbeheerder een gesloten bron is, kan er geen externe audit plaatsvinden en is het onmogelijk om claims van de ontwikkelaar te verifiëren. Dit betekent dat u de ontwikkelaar van de wachtwoordbeheerder moet vertrouwen wanneer deze u vertelt hoe gegevens worden opgeslagen of verzonden door de wachtwoordbeheerder.

Telkens wanneer een wachtwoordbeheerder een gesloten bron is, weet u gewoon niet of de service zo veilig is als de ontwikkelaar beweert, en dit kan uw privacy en veiligheid in gevaar brengen.

Bekijk onze favoriete wachtwoordbeheerders.

Open source - de gouden standaard

Hoewel het mogelijk is om de broncode voor elk programma online te publiceren (bijvoorbeeld op Github), is de code wel beschikbaar, maar niet noodzakelijkerwijs 'open source'. Open source-software moet niet alleen beschikbaar zijn voor audit, het moet ook een open source-licentie hebben die voldoet aan de Open Source Definition.

Software die aan deze strikte normen voldoet, moet vrij kunnen worden gedistribueerd, moet onbeperkte toegang tot de broncode bieden en moet voldoen aan alle tien de definities die broncode kenmerken als "open source". Software die voldoet aan die normen, en voor waarvan de maker al zijn rechten heeft afgezien met een Creative Commons License (CCL) is echt open source.

Open source software kan door elke externe partij worden gecontroleerd. Dit is van vitaal belang voor privacy en beveiliging, omdat het betekent dat beveiligingsexperts (of iedereen die dat wil) de code kunnen analyseren en verifiëren dat er geen fouten, kwetsbaarheden of opzettelijke achterdeuren zijn. Het betekent ook dat claims over coderingsstandaarden, sleutelbeheer, hoe gegevens worden verzonden naar bedrijfsservers of hoe gegevens worden gesynchroniseerd tussen apparaten - feitelijk verifieerbaar zijn.

Het is ook vermeldenswaard dat hoewel publiekelijk beschikbare code niet noodzakelijkerwijs "open source" is in de strikte definitie van de term, het nog steeds bevredigend is voor veiligheids- en privacydoeleinden. Dit komt omdat beveiligingsprofessionals nog steeds de broncode voor de service kunnen analyseren en verifiëren.

Andere belangrijke overwegingen

Zoals je ziet, open source Vs. closed source is een belangrijke overweging bij het selecteren van privacysoftware. Als het gaat om wachtwoordbeheerders, is er echter iets anders dat net zo belangrijk is (en onlosmakelijk verbonden is met het debat in gesloten bron / open bron).

Wachtwoordbeheerders zijn er in twee varianten; services waarbij u uw eigen wachtwoorden codeert en alleen u deze kunt decoderen. En diensten waarbij u een derde partij toevertrouwt om uw wachtwoorden voor u te coderen (en waarvoor die derde de sleutel heeft die wordt gebruikt om de wachtwoorden namens u te decoderen).

Het online opslaan van uw wachtwoorden wordt als uitstekend beschouwd in termen van gebruikerservaring - omdat het ervoor zorgt dat wachtwoorden vanaf elk apparaat toegankelijk zijn. En als die wachtwoorden worden opgeslagen met end-to-end-codering, wordt deze implementatie als veilig beschouwd omdat alleen de gebruiker de macht heeft om hun wachtwoorden te decoderen.

Natuurlijk, als uw wachtwoorden op bedrijfsservers worden opgeslagen, verhoogt dit enigszins het risico dat ze kunnen worden gehackt (een hacker kan bijvoorbeeld eenvoudig uw hoofdwachtwoord raden). Dit risico is echter uiterst minimaal, zolang uw hoofdwachtwoord zowel uniek als complex is en / of u een sleutelbestand of een andere vorm van Two Factor Authentication (2FA) gebruikt.

Het is vermeldenswaard dat als een wachtwoordbeheerder echte End-to-End-codering (E2EE) biedt, uw account nooit kan worden hersteld. Dit komt omdat alleen u de macht hebt om toegang te krijgen tot uw wachtwoorden met uw hoofdsleutel. Als u uw hoofdsleutel verliest, wordt uw wachtwoord voor altijd geblokkeerd. Dit kan voor sommige gebruikers van belang zijn - die bang zijn hun hoofdwachtwoord te verliezen of te vergeten. Het is echter een teken van een betere wachtwoordbeheerder.

Iedereen die een echt veilige wachtwoordbeheerder wenst, kan beter kiezen voor een service die nooit kan worden hersteld en waarvoor alleen zij de hoofdsleutel hebben. Om echt betrouwbaar te zijn, moet de software van een wachtwoordbeheerder bovendien open source zijn.

Zoals eerder uitgelegd, is het onmogelijk om te verifiëren of een wachtwoordbeheerder een van de eerder genoemde soorten is als het een gesloten bron is. Als gevolg hiervan is het onmogelijk om te verifiëren dat een closed source wachtwoordbeheerder uw hoofdsleutel niet in het geheim deelt met een derde partij.

Elke closed source wachtwoordbeheerder die beweert E2EE te hebben, zou theoretisch gezien door het verzamelen van de wachtwoorden van elke gebruiker namens de NSA kunnen compileren. Zelfs als dit onwaarschijnlijk lijkt - het is een mogelijkheid - als de wachtwoordbeheerder een gesloten bron is.

Closed source VS Open source wachtwoordbeheerders

Hieronder hebben we een lijst met populaire wachtwoordbeheerders samengesteld, zodat u kunt zien of deze gesloten of open source zijn. Veel van de closed source wachtwoordbeheerders op deze lijst hebben een uitstekende reputatie, en sommige kunnen een goede optie voor u zijn, afhankelijk van uw dreigingsmodel.

We raden echter nog steeds onherstelbare open source-beheerders aan aan iedereen die het allerbeste beveiligingsniveau wil.

  • Sticky Password - Gesloten bron
  • KeePass - Open source
  • LastPass - Gesloten bron
  • Enpass - Gesloten bron
  • 1Password - Gesloten bron
  • Dashlane - Gesloten bron
  • Keeper - Gesloten bron
  • Wachtwoord veilig - Open source
  • SafeInCloud - Gesloten bron
  • Sleutelhanger - Open source
  • Roboform - Gesloten bron
  • Myki - Gesloten bron
  • Bitwarden - Open source
  • Pass - Open bron
Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me