Ik raad mensen regelmatig aan een soort wachtwoordbeheersysteem te gebruiken waarmee ze moeilijk te kraken wachtwoorden (kort en ingewikkeld of lang en gemakkelijk te onthouden) uniek kunnen instellen voor elke site en dienst, en waarmee ze die wachtwoorden ook overal kunnen invullen waar dat nodig is.
Lowell Nelson e-mailde me een paar weken geleden en vroeg zich af waarom ik zo gek ben op opties van derden, zoals 1Password, Dashlane en LastPass, terwijl Apple zelf een robuuste, multiplatform oplossing heeft die synchronisatie omvat: Keychain. (Keychain beschrijft meer specifiek het OS X-deel, terwijl iCloud Keychain synchronisatie tussen apparaten en gebruik met iOS mogelijk maakt.)
Het is een geweldige vraag, en ik vertel mensen liever niet om in een betaalde dienst te kopen (of het nu een eenmalig bedrag is of een abonnement) tenzij het nut van dat nut zo hoog is dat het opweegt tegen de kosten.
Laten we de details eens doornemen. Omdat ik 1Password en LastPass uitgebreid heb getest en bestudeerd, gebruik ik ze als de basis van vergelijking. U zou in staat moeten zijn om antwoorden te vinden op elk van de onderstaande punten in de FAQ’s of functiebeschrijvingen voor elk voldoende robuust alternatief.
Hoewel Apple’s Keychain, 1Password en LastPass allemaal andere soorten gegevens veilig kunnen opslaan, zijn wachtwoorden het meest betrouwbare element dat kan worden gebruikt in een heel ecosysteem en over platforms heen.
Hoe veilig zijn uw gegevens?
Een wachtwoord “kluis” moet de wachtwoorden, nou ja, veilig houden, op drie belangrijke gebieden:
-
Gegevens in rust op een apparaat. Wachtwoorden moeten op een apparaat worden beveiligd tegen toegang door anderen dan de eigenaar.
-
Gegevens die op servers zijn opgeslagen. Het moet voor een aanvaller moeilijk of onmogelijk zijn om toegang te krijgen tot wachtwoorden die in de cloud zijn opgeslagen en deze te ontsleutelen.
-
Gegevens die worden gesynchroniseerd of van en naar webtoegang worden verzonden. Een sterke versleuteling moet voorkomen dat een snuffelaar nieuwe gegevens, opgevraagde en bijgewerkte gegevens en interactieve sessies kan ontcijferen.
Keychain en iCloud Keychain zijn in dit opzicht behoorlijk robuust. OS X en iOS moeten worden ontgrendeld om items in Keychain te kunnen invoeren, en de app Keychaintoegang van OS X vereist een beheerders- of gebruikerswachtwoord om wachtwoorden te ontgrendelen en te bekijken. Met Touch ID of een wachtwoord in iOS en FileVault 2 in OS X zijn wachtwoorden ook zeer veilig als je bent afgesloten (OS X) of vergrendeld (iOS). iCloud Keychain maakt gebruik van apparaat-gebaseerde encryptie, waardoor Apple niet in staat is om je wachtwoorden te ontsleutelen (of daartoe wordt gedwongen).
1Password en LastPass gebruiken een “dure” wachtwoordversleutelingsmethode voor uw lokaal opgeslagen databases, zodat zelfs als iemand ze te pakken krijgt, een kraker alleen maar wachtwoordpogingen kan brute-forcen in een zeer, zeer langzaam tempo. LastPass testte dit onbedoeld na een hack: er kwamen geen meldingen van wachtwoordenkluizen die werden ontgrendeld.
LastPass synchroniseert alles via zijn servers, maar versleutelt met sleutels die alleen de gebruikers kennen. 1Password synchroniseert via Dropbox en andere cloud-gebaseerde diensten (vertrouwend op hun veiligheid en encryptie-at-rest methoden) en via de add-on abonnementen voor het delen met familie of teamleden, maar het vergrendelt alles met sleutels die eigendom zijn van de gebruiker.
LastPass en de team of familie opties voor 1Password geven u ook toegang via een webbrowser, en gebruiken browser-gebaseerde decryptie in plaats van native client-software; de bedrijven bezitten uw sleutels niet. Er is echter een zwak punt in het vertrouwen op de browser. Malware en andere browsergebaseerde exploits maken browsers veel kwetsbaarder in vergelijking met het beveiligingsniveau dat beschikbaar is via native apps en cloudsynchronisatie. Safari gebreken in iOS en OS X worden regelmatig ontdekt (hoewel zeer weinig worden gezien in het wild), en je zou in de verleiding komen om uw wachtwoorden te openen vanaf een onbekende machine met een ander OS.
Hoe makkelijk is het systeem te gebruiken?
Een wachtwoord systeem moet gemakkelijk opvraagbaar zijn. Als het dat niet is, zul je het niet consequent gebruiken, want dat is de menselijke natuur. Erger nog, als u het voor iemand anders installeert om hun beveiliging te verbeteren, zullen ze het waarschijnlijk helemaal niet gebruiken als het geen constante herinnering is en niet supergemakkelijk is.
iOS-apps ondersteunen eerder de extensies van LastPass en 1Password dan iCloud Keychain.
Keychain wordt door Apple grotendeels gebruikt als een manier om wachtwoorden voor specifieke velden op webpagina’s te onthouden en om wachtwoorden op te slaan die automatisch kunnen worden opgehaald en omzeild in de eigen software (zoals AirPort Admin in OS) of met software van derden die gebruikmaakt van Apple’s Keychain-haken. In mobiele en desktop Safari werkt Keychain zeer goed, van het voorstellen van een sterk wachtwoord, tot het opslaan ervan, tot het mogelijk maken om het weer op te halen of andere opgeslagen alternatieven te gebruiken.
Maar terwijl het in OS X over het algemeen nuttig is, omdat meer ontwikkelaars het hebben overgenomen en er Keychain Access is voor direct zoeken en opvragen, moet je in iOS naar Instellingen > Safari > Wachtwoorden gaan om wachtwoorden te bekijken, te bewerken of (helemaal naar beneden vegen) toe te voegen. Verder kun je Keychain niet oproepen in Apple’s niet-Web login dialogen, waardoor het nutteloos is voor gewone doeleinden. En hoewel je een wachtwoord kunt verzinnen als je er een nodig hebt, is het onhandig om erbij te komen en kan het alleen eenvoudig worden opgehaald op een overeenkomstige webpagina.
Apple’s toevoeging van extensies vanaf iOS 8 maakt het mogelijk om 1Password, LastPass en andere tools op te roepen in Safari en andere apps. Veel iOS-apps die ik gebruik, zijn rechtstreeks gekoppeld aan de API van 1Password, die directe aanroep mogelijk maakt. In het ergste geval kan ik overschakelen naar LastPass of 1Password om het wachtwoord te vinden, het te kopiëren en vervolgens terug te schakelen naar de app en het erin te plakken.
U kunt de app ook gebruiken om sterke wachtwoorden te maken die worden bewaard bij het maken, automatisch worden gesynchroniseerd en naar het klembord worden gekopieerd om in andere apps te gebruiken.
1Password kan zelfs uw wachtwoorden op uw Apple Watch zetten, als u een Pro-gebruiker bent, en LastPass heeft ook een Apple Watch-app.
De cross-platformsituatie is nog veel erger. Apple maakt iCloud Keychain niet beschikbaar buiten zijn eigen besturingssystemen. 1Password en LastPass (en andere apps) zijn beschikbaar op een groot aantal grote platforms, en ze hebben toegang via de browser (standaard bij LastPass en als abonnementsoptie bij 1Password).
iCloud Keychain heeft geen mechanisme om gegevens met anderen te delen – een onderdeel van het verhaal dat ik al jaren bespreek over hoe Apple zijn systemen niet vanaf de basis ontwerpt om te onderkennen dat mensen in groepen en als gezinnen werken. (Laten we maar niet beginnen over de problemen met Family Sharing.)
De meeste wachtwoordsystemen hebben een mechanisme om geheimen te delen met anderen die een account hebben. 1Password maakt directe overdracht mogelijk zonder abonnement of, meer recent, selectief gedeelde toegang onder leden van bedrijfs- en familiegroepen. LastPass, omdat items centraal worden opgeslagen, biedt dit al jaren.
Kiezen tussen hen
Als u bijna alleen wachtwoorden op websites gebruikt, alleen iOS en OS X gebruikt, en het niet erg vindt om wachtwoorden te onthouden en in te typen die Apple voor zijn diensten eist, past Keychain met iCloud Keychain in het plaatje. Als niet aan al die voorwaarden wordt voldaan, is een wachtwoordbeheersysteem de investering waard.
Update: In een eerdere versie van dit verhaal stond dat iOS geen toegang bood tot opgeslagen wachtwoorden of een manier om nieuwe te maken. Het doet, het is gewoon begraven in Instellingen.