Password Managers: Don’t Buy It – Rent It!

Ik maak al een paar jaar gebruik van password managers. Dat zijn tools die je toelaten om al je paswoorden op te slaan, en eventueel om ze automatisch voor je in te vullen wanneer je ergens wil inloggen. Want geef toe: een beetje internetgebruiker heeft tegenwoordig al snel meer dan 10 paswoorden voor email-accounts, fora, e-shops, intranets, etc.

Persoonlijk heb ik er tegenwoordig een veertigtal in LastPass zitten, het programma dat ik momenteel gebruik en waar ik een tijdje terug een quick review van schreef. En dan zitten sommige sites er nog niet in, gewoon omdat ik ze al een tijdje niet meer heb gebruikt!

In deze blog wil ik kort de weg beschrijven die ik heb afgelegd om bij mijn huidige product te komen, en tussendoor doe ik een kleine vergelijkende studie, zodat ik de wildgroei van deze producten wat kan bijsnoeien voor de potentiële nieuwe gebruiker…

Sandisk Cruzer TitaniumIn den beginne…  kocht ik mij een Sandisk Cruzer Titanium U3 edition. Dit is een usb-stick, en dit was ongeveer 7 jaar geleden. Wat deze stick speciaal maakt, is het U3-systeem: dit is een programmaatje dat opstart wanneer je de usb-stick in je computer plugt en je een soort alternatief startmenu biedt, bestaande uit programma’s die geïnstalleerd zijn op de stick. Op die manier heb je overal je favoriete programma’s bij. U3 wordt tegenwoordig niet meer verder ontwikkeld (Microsoft is in samenwerking met Sandisk wel met iets nieuws bezig), maar er is wel een open source alternatief: PortableApps, reeds beschreven in een quick review door mijn collega Gregory.

Welnu, op dit U3 systeem stond een demo van de tool SignupShield, van het bedrijfje Protecteer. Dit was mijn eerste kennismaking met een password manager en de tool vergemakkelijkte mijn leven zodanig, dat ik na een half jaar besloot om ze effectief aan te kopen, toen voor een 30-tal dollars. SignupShield slaat je paswoorden lokaal op je systeem op, of, in het geval van de U3-versie die ik had, op je usb-stick. Wanneer je dus de stick bijhebt, kan je van de tool gebruikmaken.

Wat zeer handig is aan SignupShield, is de mogelijkheid om op een tasktray icoontje te klikken, waardoor je een menu krijgt waarmee je onder andere rechtstreeks op één van je accounts kan klikken, waardoor een browser wordt gestart en je automatisch wordt ingelogd.

Er waren echter ook dingen die mij stoorden aan SignupShield: het belangrijkste dat het niet voor alle websites even goed werkte. Zodoende ging ik op zoek naar een nieuwe tool. Die vond ik snel onder de vorm van RoboForm, welke ook een U3-versie had. Dit was een vijftal jaar geleden.

Roboform, de huidige marktleider voor deze producten, biedt ongeveer dezelfde mogelijkheden als SignupShield, maar werkt net iets beter en heeft iets meer mogelijkheden voor het vullen van formulieren met al je gegevens, zoals je vaak moet doen bij registraties. Bovendien kon mijn tool deze keer alle websites aan. Net zoals SignupShield, werkt de demo-versie van Roboform tot 10 paswoorden; indien je meer accounts wenst op te slaan, moet je de betalende versie aankopen.

Zoals je in de intro van deze blog al kon lezen, is 10 accounts hopeloos ontoereikend voor mij, en een dik jaar geleden kocht ik mij dan ook die betalende versie.

Ergerlijk genoeg herhaalde de geschiedenis zich en was ik, kort na mijn aankoop, niet meer tevreden over mijn product. De ondersteuning voor usb-devices die automatisch opstarten wanneer je ze in je pc plugt, werd namelijk herhaaldelijk teruggeschroefd in Windows Vista en Zeven. Op die manier werd het dus vrij onhandig voor mij om een U3-tool te gebruiken. Bovendien ontdekte ik op dat moment eveneens het nakende einde van de U3-technologie. Om mijn consternatie nog groter te maken: ik leerde op dat moment ook diensten kennen zoals Remember the Milk, die al je gegevens online opslaan en werken via browser-plugins of gewoon, via hun eigen site. Met zo’n dienst heb je zelfs geen usb-stick meer nodig, enkel een internetverbinding.

Roboform bood evenwel nog een oplossing: je kon de tool ook rechtstreeks op de desktop installeren, en over je verschillende devices synchroniseren met behulp van een andere tool van dezelfde makers. Deze tool was echter betalend! Een IT’er stoot zich geen drie keer aan dezelfde steen, bedacht ik mij, en dus ging ik deze keer op zoek naar een gratis alternatief.

Kleine noot tussendoor: tegenwoordig biedt Roboform rechtstreeks een dienst aan waarbij je gegevens online worden opgeslagen en over al je devices worden gesynchroniseerd: Roboform Everywhere. Deze dienst kost 20 dollar per jaar.

Maar ik ging dus op zoek naar een gratis product, dat liefst ook nog beter werkte dan Roboform. Na wat rondsurfen vond ik verschillende alternatieven, maar al gauw kwam ik tot de conclusie dat LastPass voor mij de meest geschikte tool was. LastPass kan je gebruiken, zowel via hun website, of via browser-plugins. Deze laatste optie biedt heel wat gebruiksgemak, met onder andere autologin naar al je accounts vanuit een menu dat beschikbaar is via een knopje in de browser. Ok, wanneer ik geen browser open heb, duurt dit iets langer dan via een task-tray icon te gaan, maar tegenwoordig ben ik zo plugged in dat ik quasi altijd toch een browser open heb. Bovendien is dit – indien nodig – een cross platform methode (dus over verschillende operating systemen en browsers heen).

Bij LastPass zit het online opslaan van je paswoorden ingebakken in het concept. Ze zijn echter Geëncrypteerd, en de beheerders hebben niet de mogelijkheid om ze te lezen. Enkel de gebruiker kan dit, via zijn master password. Perfect veilig kan het natuurlijk niet zijn: wanneer je je Master Password niet goed genoeg beschermd, zijn je gegevens in gevaar. Bovendien is een eventuele aanval op je browser mogelijk in staat om tijdelijk gedecrypteerde gegevens te stelen. In de praktijk zal dit echter niet zoveel voorkomen. De makers van LastPass zijn er zich uiteraard van bewust dat hun platform een doelwit is, en doen er dan ook alles aan om de beveiliging zo hoog mogelijk te maken. Een deel verantwoordelijkheid rust natuurlijk, zoals altijd, bij de gebruiker. Goed je browser up-to-date houden dus, en af en toe van master password veranderen.

Heel kort heb ik ook de tool KeePass uitgeprobeerd. Deze ondersteunt echter out-of-the-box geen features zoals online synchronisatie en autologin functionaliteit. Achteraf heb ik me laten vertellen door mijn collega Gregory, die van KeePass een review schreef in onze Open Source Inventaris, dat dit mogelijk wordt via plugins. Hoewel deze tool potentieel iets veiliger is dan LastPass, was dit soort configuratie voor mij toch iets teveel rompslomp.

De drie (of vier, als je KeePass meetelt) reeds genoemde tools zijn de enige die ik zelf effectief heb uitgetest, maar met wat rondsurfen kan je al snel het kaf van het koren scheiden:

Iemand die naast keepass en lastpass ook nog ewallet probeerde:
http://www.40tech.com/2009/06/30/password-manager-shootout-ewallet-vs-keepass-vs-lastpass/

Nog een vergelijking van lastpass met een ander goed product:
http://www.40tech.com/2011/05/16/lastpass-vs-1password-whose-syncing-method-is-more-secure/

Vergelijkingen van te installeren en te kopen tools, waaruit blijkt dat roboform nog zo slecht niet is:
http://password-management-software-review.toptenreviews.com/
http://best-password-managers-review.gorungoreviews.com/compare-chart.asp

Reviews van LastPass, vergelijkend met Roboform, waaruit blijkt dat LastPass toch iets beter wordt gevonden:
http://www.thetechherald.com/article.php/200930/4129/Review-LastPass-password-manager
http://theaveragegenius.net/lastpass-vs-roboform-password-security-software-battle/

Mijn persoonlijk besluit is dus dat ik geen password manager producten meer ga aankopen. Ik ben erg tevreden met de gratis versie van LastPass, en overweeg eventueel wel om in de toekomst het premium abonnement eens uit te proberen. Huren dus, niet aankopen 😉

Leave a Reply

Your email address will not be published.