Als IT bedrijf hebben we dagelijks met wachtwoorden te maken. Van ons zelf, maar natuurlijk ook bij klanten. En ondanks dat er via diverse kanalen en campagnes op gehamerd wordt om veilige en afwisselende wachtwoorden te gebruiken, zien wij dat dit in de praktijk vaak niet gebeurt. Nog steeds zijn wachtwoordcombinaties met “Welkom”, achternaam, geboortedatum en adresgegevens erg populair. En niet te veel afwisseling in de wachtwoorden, want dat is lastig onthouden.
Bij klanten zien we vaak dat blaadjes en boekjes worden ingezet om inloggegevens te noteren. En altijd wanneer het nodig is, kan het juiste wachtwoord niet gevonden worden. Of er is wat slordiger geschreven waardoor cijfers, letters of leestekens niet meer goed kunnen worden ontcijferd en het wachtwoord alsnog gereset moet worden. “Maar nu schrijf ik het duidelijk op hoor!” om de volgende keer weer hetzelfde probleem te ervaren.
Op zich is het noteren van wachtwoorden redelijk veilig, omdat dit offline is. Maar bij een inbraak of als het blaadje op een plek ligt waar anderen het kunnen zien (en ook dat komt vaak voor) is dit niet de beste methode. Zeker omdat er altijd genoteerd is waarvoor het wachtwoord is.
Maar ook al is het blaadje veilig, dat beschermt nog steeds niet tegen phishing en hacks van externe systemen waarin je accountgegevens zijn opgeslagen. Grote hacks hebben in het verleden bij LinkedIn en het toenmalige MySpace plaatsgevonden maar dagelijks komen er websites bij waarvan de gegevens gecompromitteerd zijn. Een van de websites waar je kunt controleren of je gegevens zijn buitgemaakt is haveibeenpwned.com, vul daar zeker eens je e-mail adres in om te kijken hoe je er voor staat.
Gegevens van deze hacks, en die kunnen uiteenlopen van e-mail adres en (versleutelde) wachtwoord tot persoons-, adres en betaalgegevens worden vaak op het darkweb verkocht. Zo komen ze in handen van (ook Nederlands) criminelen die daar op diverse manieren misbruik van kunnen maken. Door je spam te sturen, je identiteitsgegevens te misbruiken of door buitgemaakte inloggegevens in te vullen bij een grote hoeveelheid websites en social media om te kijken of er succesvol ingelogd kan worden. Erg gevaarlijk, zeker als je vaak hetzelfde of een herleidbaar wachtwoord gebruikt.
De gevolgen kunnen groot zijn. Toegang tot persoonlijke bestanden en media (bijvoorbeeld bij cloud diensten), kaping van je social media account(s) en contacten, toegang tot mail of zelfs tot systemen waarin klantgegevens staan, zoals facturatie- of boekhoudprogramma’s in de cloud.
Wij gebruiken zelf al jaren een wachtwoord manager om gegevens in op te slaan. Enerzijds voor het gemak, je hoeft immers geen wachtwoorden meer te onthouden en anderzijds voor de veiligheid. De wachtwoorden staan namelijk maar op één veilige locatie.
Toch misten we functionaliteit in onze huidige wachtwoordmanager. Het was niet mogelijk om meerdere gebruikers aan te maken om wachtwoorden veilig te delen, dus we moesten op één account werken. Het liefst zouden we zowel persoonlijke als zakelijke inloggegevens opslaan en dat was daardoor niet praktisch. Daarnaast hadden we geen goed overzicht van de huidige gebruikte wachtwoorden. Waren er misschien minder veilige wachtwoorden bij? Of werden wachtwoorden toch ergens dubbel gebruikt? Ook de mobiele app viel tegen, het automatisch invullen ging vaak niet goed en het was niet duidelijk of alles op mobiel veilig werd opgeslagen dus die gebruikten we maar helemaal niet.
Om die redenen zijn we eens gaan kijken naar een nieuwe wachtwoordmanager, die in ieder geval de bovenstaande tekortkomingen zou oplossen, maar die ook transparant en duidelijk is over de beveiliging. Als je gevoelige gegevens toevertrouwt aan een partij, moet je ook zeker zijn dat er geen kans is dat die gehackt wordt. Tot slot was een eis dat we het programma ook konden aanbieden aan onze klanten.
Het product dat alle vinkjes zet is Keeper Security. We hebben dit product enige tijd zelf getest en zijn uitermate tevreden. In één oogopslag zagen we welke van onze wachtwoorden niet sterk genoeg waren en welke wachtwoorden dubbel gebruikt werden. We hebben meteen een “grote schoonmaak” gehouden. Overal hebben we onze wachtwoorden gewijzigd. Op elke plek een uniek en volledig random wachtwoord, tussen de 20 en 32 tekens. Waar mogelijk en nog niet gebeurd, hebben we ook 2 factor authenticatie ingeschakeld. Er wordt daarmee een code gegenereerd die moet worden ingevuld naast de inloggegevens. Elke code is 1 minuut geldig en wijzigt dus constant. De 2FA gegevens kunnen ook in Keeper worden opgeslagen dus daar is geen externe app meer voor nodig. Ontzettend handig en tijdsbesparend.
Een andere handige functie is “BreachWatch” (bij het “Plus” abonnement). Daarmee worden opgeslagen inloggegevens veilig vergeleken met uitgelekte inloggegevens die op het darkweb circuleren. Is er een match dan worden we direct gewaarschuwd. Het is inmiddels al meermaals voorgekomen dat we een wachtwoord voor een klant hebben opgeslagen en we een melding kregen, die we uiteraard direct hebben doorgespeeld aan de klant.
Een groot voordeel is dat dit een zakelijke wachtwoordmanager is. Elke gebruiker krijgt een eigen “Vault” waarin deze inloggegevens kan opslaan, maar ook andere gevoelige data zoals creditcard gegevens maar ook bestanden. Meerdere gebruikers kunnen door de hoofdbeheerder van Keeper in een “Team” worden geplaatst. Vervolgens kunnen gebruikers gedeelde mappen aanmaken, waarbij individuele gebruikers of teams toegang krijgen. Er kan zelfs voor gekozen worden om wachtwoorden te verbergen voor teams, zodat men wel kan inloggen, maar niet kan zien wat het wachtwoord is. Ontzettend handig om bijvoorbeeld social media accounts te delen binnen een bedrijf.
De veiligheid is uiteraard een van de belangrijkste aspecten. Het bedrijf en de dienst zijn ISO 27001 gecertificeerd en de dienst voldoet volledig aan de AVG (data wordt in Europa opgeslagen). Daarnaast wordt er gebruik gemaakt van een “zero knowledge” systeem waarbij alle encryptie en decryptie van gegevens aan de kant van de gebruiker plaatsvindt. Keeper of welke andere derde partij heeft dus geen enkel inzicht in de gegevens die in de cloud zijn opgeslagen en kan dat ook niet krijgen. Dat betekent wel dat wanneer je het hoofdwachtwoord kwijt bent en dit niet hersteld kan worden aan de hand van diverse controles, de opgeslagen gegevens verloren gaan. Verder is Keeper duidelijk over de technieken die ze gebruiken om gegevens te beveiligen en worden ze continue onderworpen aan externe audits om te bewijzen dat het systeem veilig is en geen achterdeurtjes bevat.
Zoals je kunt lezen zijn wij erg enthousiast over Keeper Security. Het is fantastisch om in één oogopslag te zien hoe je wachtwoordbeveiliging er voor staat maar ook het gemak van het automatisch invullen inclusief 2FA codes is erg fijn en scheelt ons veel tijd gedurende de dag.
