Softwarebedrijf Elcomsoft heeft een nieuwe versie van de eigen recoverytool uitgebracht die nu ook het kraken van populaire wachtwoordmanagers zoals 1Password, KeePass, LastPass en Dashlane ondersteunt. Wachtwoordmanagers zijn een populaire manier om wachtwoorden te beheren.
Zo kunnen wachtwoordmanagers unieke wachtwoorden genereren en in een wachtwoordkluis opslaan. Als beveiliging van de opgeslagen wachtwoorden maken wachtwoordmanagers gebruik van een meesterwachtwoord. Dit moet voorkomen dat een aanvaller meteen toegang tot alle opgeslagen wachtwoorden krijgt als hij de wachtwoordkluis weet te stelen. Om het kraken van het meesterwachtwoord tegen te gaan hebben wachtwoordmanagers verschillende beveiligingsmaatregelen genomen.
Toch stelt Elcomsoft dat de veiligheid van dergelijke programma's te wensen overlaat. "Zijn wachtwoordmanagers veiliger dan het bijhouden van een lijst met wachtwoorden in een Excel-bestand? Niet per definitie, maar dit gebrek aan veiligheid wordt gemakkelijk goed gemaakt door het gemak dat wachtwoordmanagers bieden in vergelijking met een Excel-spreadsheet", aldus Oleg Afonin. Hij merkt op dat Office 2016-documenten een betere bescherming tegen bruteforce-aanvallen bieden dan wachtwoordmanagers.
Voor een vergelijkende test werd gekeken hoe snel het meesterwachtwoord van de vier eerder genoemde wachtwoordmanagers is te kraken in vergelijking met het wachtwoord van beveiligde Office 2016-documenten en beveiligde RAR5-bestanden. Dan blijkt dat een aanvaller op een systeem met een Nvidia GTX 1080 videokaart bij een Office 2016-document 7300 wachtwoorden per seconde kan proberen, terwijl dit er bij de wachtwoordmanager Dashlane 129.000 per seconde zijn. Dit laat zien dat gebruikers ook voor hun meesterwachtwoord een sterk wachtwoord moeten kiezen.
Deze posting is gelocked. Reageren is niet meer mogelijk.