Wachtwoordmanagers Keeper, Dashlane, LastPass en 1Password onveilig op Android smartphones. Hackers kunnen de apps eenvoudig manipuleren

De wachtwoordmanagers Keeper, Dashlane, LastPass en 1Password blijken op Android smartphones gemakkelijk te kunnen worden misleid door hackers. De wachtwoordmanagers blijken het moeilijk te vinden om onderscheid te maken tussen legitieme en nep apps.

Dit blijkt uit een onderzoek van onderzoekers van de Universiteit van Genua en het Franse beveiligingsbedrijf Eurecom, getiteld “Phishing attacks on modern Android“.

Wachtwoordmanagers wel veilig op desktopcomputer, niet op Android smartphone

De onderzoekers ontdekten dat de wachtwoordmanagers, die oorspronkelijk werden ontwikkeld voor desktopbrowsers, niet zo veilig zijn op Android smarphones als op desktopcomputers.

De reden hiervoor is dat ze mogelijk logingegevens die voor een website op het mobiele apparaat zijn opgeslagen aan een verkeerde app toewijzen.

Veel wachtwoordmanagers gebruikten alleen de naam van het installatiepakket van de app voor de opdracht.

De namen van de pakketten zijn niet betrouwbaar en kunnen gemakkelijk vervalst worden door fraudeurs.

Kwaadaardige app kan wachtwoordmanager misleiden

Dit leidt tot situaties waarin een kwaadaardige app een mobiele wachtwoordmanager kan misleiden om hem te associëren met een legitieme website.

Screenshots zouden moeten bewijzen dat in tests valse Facebook-apps van verschillende wachtwoordbeheerders in staat waren om de inloggegevens voor het sociale netwerk op te halen.

In de praktijk zouden de getoonde nep-apps blootgelegd worden, maar de onderzoekers benadrukken dat voor echte aanvallen de nep-apps zo ontworpen zouden zijn dat ze niet te onderscheiden zouden zijn van de echte versies.

Keeper, Dashlane, LastPass en 1Password, vroegen hun gebruikers tijdens de tests om hun referenties in te voeren in valse apps

De onderzoekers onderzochten in totaal vijf wachtwoordmanagers. Vier van hen, Keeper, Dashlane, LastPass en 1Password, vroegen hun gebruikers tijdens de tests om hun referenties in te voeren in valse apps.

In Google’s smart lock app bleek de truc met nep-pakket niet te werken. Google smart lock app maakt gebruik van het systeem Digital Asset Links waarmee de authenticiteit van de apps geverifiëerd wordt voor een verbinding tot stand te gebracht wordt.

Wachtwoordmanagers negeren typische phishingsignalen

De onderzoekers bekritiseren in hun onderzoek dat wachtwoordmanagers bepaalde verdachte app-gedragingen die typisch zijn voor phishing lijken te negeren.

Zij voeren de inloggegevens in formulieren in met een transparantie-instelling van 0,01, waardoor de formulieren bijna onzichtbaar zijn.

Formulieren die dezelfde kleur gebruiken voor voorgrond en achtergrond en daardoor bijna onzichtbaar zijn, worden ook bediend. Dit geldt ook voor formulieren die slechts 1 x 1 pixel groot zijn.

Daarnaast werkten de wachtwoordmanagers met instant apps, die eigenlijk alleen voor korte tijd en voor testdoeleinden worden geïnstalleerd.

Volgens de onderzoekers moeten instant apps echter niet worden ondersteund of geclassificeerd als onbetrouwbaar, omdat ze alleen bedoeld zijn voor tijdelijk gebruik.

Voorstellen om veiligheid van wachtwoordmanagers te verbeteren

Om de veiligheid van wachtwoordmanagers te verbeteren, stellen onderzoekers voor dat app-ontwikkelaars in hun apps links naar digitale activa opnemen, die vervolgens door wachtwoordmanagers kunnen worden gebruikt.

Ze hebben Google ook voorzien van een programmeerinterface (API) waarmee leveranciers van wachtwoordmanagementsystemen Digital Asset-links kunnen opvragen om de authenticiteit van apps in hun producten te verifiëren.

Of Google de API zal integreren in Android OS is nog niet bekend.

Regelmatig veranderen van wachtwoord levert meer risico dan voordeel op. Maar wat helpt dan wel?

In veel organisaties is het verplicht om regelmatig wachtwoorden te wijzigen.

Sommige ICT-afdelingen laten medewerkers om de 60 of 90 dagen een nieuw wachtwoord bedenken.

In het kader van de AVG lijkt dat logisch, maar uit onderzoek blijkt dat de nieuwe wachtwoorden wellicht juist voor meer risico zorgen.

Elke 60 of 90 dagen wachtwoord veranderen?

Elke 60 of 90 dagen knippert er na het inloggen een vriendelijk, doch dringend en irritant verzoek op het beeldscherm. Je moet het wachtwoord veranderen.

Bij veel mensen zorgt dat voor stress. Ze worden gek van alle wachtwoorden en pincodes die ze voor tal van dingen moeten onthouden.

Een wachtwoord wijzigen betekent bovendien vaak dat de instellingen op diverse apparaten tegelijkertijd moeten worden aangepast.

Stress! Zelfde wachtwoord op meerdere apparaten

Als het bijvoorbeeld om het wachtwoord voor je mailbox gaat moet dat niet alleen worden gewijzigd op de computer op de zaak, maar ook op je mobiele telefoon, je tablet, in Outlook thuis, in Microsoft-teams en andere gerelateerde toepassingen.

Als je al de gewijzigde gegevens niet tijdig op alle apparaten invoert komt het volgende stressmoment… Omdat de vergeten tablet op de achtergrond telkens met het oude, nu onjuiste wachtwoord, inlogt blokkeert de mailbox automatisch.

De eigenaar heeft niet in de gaten waarom. Staat er niet bij stil dat hij de tablet vergeten is.

Enige oplossing: weer een nieuw wachtwoord bedenken. Het hele circus begint opnieuw.

Het resultaat: geen veiligheidswinst

Verschillende wetenschappelijkers hebben onderzocht of de gedwongen reguliere wachtwoordwijzigingen bij bedrijven, overheden of universiteiten echt voordelen hebben.

In 2010 analyseerde de Universiteit van North Carolina in Chapel Hill de gegevens van meer dan 10.000 studenten en medewerkers die hun wachtwoorden regelmatig moesten wijzigen. Het resultaat: geen veiligheidswinst.

De meeste studenten en medewerkers veranderden hun wachtwoorden door na elke wijziging getallen toe te voegen en deze te verhogen of een kwartaal-ID toe te voegen.

Dat heeft weinig zin als het om veiligheid gaat.

Complex wiskundig onderzoeksmodel 

Informaticawetenschappers aan de Carleton University in Ottawa, Canada, hebben een complex wiskundig model ontwikkeld voor het kwantificeren van de winst op het gebied van beveiliging door middel van regelmatige wachtwoordwijzigingen.

Uitkomst: de voordelen zijn relatief en rechtvaardigen de extra inspanning niet.

Sterker nog, de wachtwoordwijzigingen zouden hackers zelfs kunnen helpen bij het ontwikkelen van algoritmen die het hacken van wachtwoorden van buitenaf gemakkelijker maken.

Het is zelfs mogelijk aan de hand van gestolen wachtwoorden toekomstige nieuwe wachtwoorden te voorspellen.

En in dat geval is het wijzigen van wachtwoorden absurd.

Datalekken en hackers

Wie de vele meldingen van datalekken de afgelopen tijd heeft gevolgd zal het zijn opgevallen dat de meeste grote hackeraanvallen niet gericht zijn op gewone bedrijven en persoonlijke accounts, maar op dienstverleners met miljoenen klantenaccounts, zoals Linkedin, Myspace, Adobe, Ebay, Yahoo en anderen.

Bedrijven die slordig een back-up van hun databases hadden gemaakt.

Alle studies bevestigen dat de dwang om wachtwoorden te veranderen regelmatig leidt tot een vermindering van de kwaliteit van het wachtwoord, omdat men op de hoogte is van de vergankelijkheid ervan.

Gebruik jij een moeilijk te onthouden wachtwoord?

Mensen bedenken geen slim ingewikkeld wachtwoord, maar een wachtwoord dat gemakkelijk onthouden kan worden.

Veel gebruikers kiezen wel een wachtwoord dat voldoet aan de eisen qua lengte en moeilijkheid, maar doen dat zo dat het voor hackers eenvoudig te kraken is.

Je herkent het vast zelf ook wel… Triviale wachtwoorden zoals “Ghjk098#” als een reeks letters op de middelste rij van het toetsenbord gevolgd door cijfers in omgekeerde volgorde.

Vergeet je niet zo snel. Makkelijk te visualiseren.

Cybercriminelen gebruiken intelligente hacktools

Hackers weten dat. Dit zijn de eerste combinaties die door de hacksotfware van cybercriminelen worden geprobeerd.

Zelfs het gegeven advies om zoveel mogelijk getallen, hashtags en andere speciale tekens te combineren is niet bestand tegen de slimme software die hackers gebruiken.

Uit wiskundig onderzoek blijkt dat een goed wachtwoord zeker geen namen, woorden of woordfragmenten mag bevatten.

Maar wat helpt dan wel? Wachtwoordmanagers!

Heel simpel. Maak gebruik van wachtwoordmanagers als LastPass of 1Password.

Bedenk voor deze passwordtools een wachtwoordzin met cijfers of speciale tekens.

En die zin moet minimaal 10 tekens bevatten. Meer lengte is altijd beter dan meer cijfers en speciale tekens.

Zelfs de snelste computers met de meest geavanceerde hacksoftware hebben jaren nodig om de code met meer dan 10 tekens te kraken.

Vervolgens maak je met de wachtwoordtool moeilijke veilige wachtwoorden die je zelf niet hoeft te onthouden. Die je niet in notitieblokken of “strategisch” in onder je contacten op je telefoon moet opslaan om ze te kunnen terugvinden.

Nieuw wachtwoord voor iedere toepassing

Laat de wachtwoordmanager gewoon voor iedere toepassing waar een wachtwoord voor nodig is automatisch een cryptisch wachtwoord van meer dan 10 tekens genereren.

Dat hoef je dan zelf niet meer te onthouden. En als er ooit een database wordt gehackt hoef je alleen dat ene wachtwoord voor die toepassing te wijzigen.

2FA met bijvoorbeeld Google Authenticator

En pas ten slotte zo veel mogelijk two-factor authenticatie toe. Gebruik Google Authenticator ook wel bekend als 2FA.

Zelfs als je wachtwoord wordt gekraakt kan de cybercrimineel dan nog niets beginnen. En jij krijgt op je telefoon meteen een waarschuwing dat iemand probeert digitaal in te breken bij jou.

Dat is beter dan het voortdurend wijzigen van wachtwoorden.