Als trouwe gebruiker van een Windows desktop Password Manager (Password Depot van Acebit) liep ik tegen een probleem aan. Op steeds meer plekken heb je een password nodig om gebruik te maken van allerlei websites en cloud diensten. In feite wil je overal kunnen werken en toegang tot webapplicaties is vereist. Veel applicaties verschuiven naar de Cloud (Webmail, VoIP, Skype, Facebook, CRM, enz). Nu is het aantal apparaten waar ik gebruik van maak behoorlijk toegenomen zoals een SmartPhone, Tablet en diverse Ubuntu systemen.
Mijn bestaande Password Manager kan dit echter (nog) niet aan. Deze is alleen beschikbaar voor Windows, Android en iPhone. Helaas niet voor Ubuntu. Tevens verschilt de Windows en Android versie behoorlijk.
Ik ben echter een beetje huiverig om mijn passwords allemaal in de Cloud te zetten. Toch ben ik gestart met een uitgebreide test. In dit geval gebruik makend van LastPass.
LastPass is een Password Manager die gebruik maakt van browser extensies. Het is dus geen software installatie op Linux, Android of Windows.
De eerste punten waar ik naar kijk:
- Beveiligings opties (o.a. multifactor en 2 factor authenticatie, One Time Passwords (OTP), login pogingen, audit logging en lockout).
- Import en Export van passwords.
- Beschikbaarheid Cross platvorm.
- Gebruikersgemak (o.a. undelete).
- Rapportages (o.a. gebruik, password sterkte).
- Alarmeringen (inlogpogingen, problem met cloud providers).
- Mogelijkheden om een lockout op te lossen.
Sommige websites hebben van nature een zwak password systeem. Eén daarvan betreft de Kamer van Koophandel.
Conflicten en Bugs
WordPress: Bij het bijwerken van een website (aanpassing content) wordt gevraagd of je de pagina wilt verlaten. De pagina wordt niet opgeslagen.
Password capture werkt niet bij:
- Alibaba en Aliexpress
- iStockphoto.com
- Kampyle
Ervaringen met LastPass
LastPass biedt toegang tot alle passwords die men normaal op een papiertje schrijft of in een traditionele Password Manager opslaat. Het grote voordeel: deze is toegankelijk vanuit de Cloud. Dus overal waar een computer staat kun je gebruik maken van jouw persoonlijke informatie zoals e-mail, social media en andere websites en cloudapplicaties. De gratis versie van LastPass biedt een eenvoudige Two-Factor authenticatie op basis van een grid. Dit iseen persoonlijke print met codes. Deze dien je dan te printen en goed te bewaren. Het is in feite een token. Telkens als je inlogt, wordt naast jouw pesoonlijke password een grid code gevraagd die alleen kan worden samengesteld uit het grid papiertje.
De betaalde versie (premium) gaat een stapje verder en je kunt hier andere Two-Factor authenticatie systemen activeren.
Ruim 80% van de websites met een login worden automatisch door LastPass afgevangen. De login gegevens kunnen dan in de persoonlijke kluis (Vault) worden opgeslagen.
Bij wijziging van een password op een website dient men even op te letten dat dit conseqenties kan hebben voor de diverse Apps op een SmartPhone. Hier dient dan ook het password gewijzigd te worden. Nu wordt het wat lastiger om alle cijfers, letters en speciale tekens correct in te voeren.
Gevaar van te hoge beveiliging (buitengesloten)
Als TwoFactor authenticatie wordt gebruikt voor toegang tot de password kluis en men verliest toegang tot de tweede authenticatie optie, dan heeft men een klein probleempje. Vergelijk dit maar met: Ik doe de deur van mijn huis achter mij dicht en de sleutels liggen nog binnen. Is het huis goed beveiligd en alle ramen en deuren zitten op slot, dan heb je een probleem want dan moet er een deur worden opengebroken. We gaan dit even testen met LastPass. Hoe kunnen we een geheime escape of backdoor inbouwen?
<wordt vervolgd>
