Nieuws en trends
Nieuwe tools voor oude problemen: Zwakke Windows-wachtwoorden in het vizier
van Florian Bodoky
Wachtwoordmanager: ETH Zürich ontdekt beveiligingslekken
17/2/2026
Vertaling: machinaal vertaald
Uit een analyse van ETH Zürich blijkt dat cloud wachtwoordmanagers zoals Bitwarden en LastPass soms kwetsbaarder zijn dan geadverteerd.
Onderzoekers van de ETH Zürich hebben verschillende bekende wachtwoordmanagers in meer detail geanalyseerd - en significante kwetsbaarheden gevonden. De cloud-gebaseerde diensten «Bitwarden», «LastPass» en «Dashlane» werden getest. Het resultaat: de beloofde beveiliging wordt niet in alle opzichten waargemaakt.
Wat doen wachtwoordmanagers precies?
Wachtwoordmanagers slaan toegangsgegevens als het ware op in een digitale versleutelde kluis. Je logt in met een hoofdwachtwoord en hebt zo toegang tot alle opgeslagen logins. Veel diensten synchroniseren de gegevens via de cloud, zodat ze beschikbaar zijn op je smartphone, laptop of tablet.
Zero-Knowledge een valse belofte?
Aanbieders adverteren met het zogenaamde zero-knowledge principe. Dit betekent dat alleen de gebruikers zelf hun wachtwoorden moeten kunnen ontsleutelen - de aanbieders zelf worden ook buiten de deur gehouden. In theorie klinkt dit veelbelovend.
Uit de ETH-analyse blijkt echter dat dit niet altijd werkt: In verschillende testen slaagden ze erin om beschermingsmechanismen te omzeilen of gevoelige informatie te ontfutselen. Om dit te doen, manipuleerden ze opzettelijk de communicatie tussen het programma en de server of simuleerden ze een gecompromitteerde server.
In één geval accepteerde de software onveilige encryptie-instellingen omdat de server zijn antwoorden daarop aanpaste. In andere gevallen werd aanvullende informatie (zogenaamde metadata) gebruikt om conclusies te trekken over opgeslagen inhoud. De eigenlijke versleuteling was er nog steeds, maar het hele systeem had kwetsbaarheden die konden worden uitgebuit. Volgens het onderzoeksteam informeerden ze de getroffen bedrijven in een vroeg stadium. Sommige aanbieders hadden al aanpassingen gedaan voordat het onderzoek openbaar werd gemaakt.
In het kader van het onderzoek is ook een nieuwe analysetool ontwikkeld. Deze kan worden gebruikt om systematisch cryptografische processen in cloud-gebaseerde wachtwoordmanagers te controleren. De onderzoekers stelden de tool, genaamd ZK Getest, beschikbaar via het platform zkae.io. Ontwikkelaars kunnen het gebruiken om te testen of hun systemen soortgelijke kwetsbaarheden hebben. Op deze manier willen de ETH-onderzoekers onafhankelijke tests vergemakkelijken en de transparantie vergroten.
Aanbieders beloven te verbeteren
De bedrijven benadrukten dat ze voortdurend werken aan verbeteringen op «» . Sommige van de gemelde problemen zijn al opgelost, terwijl andere nog worden onderzocht. De ETH onderzoekers wijzen erop dat hun aanvallen plaatsvonden onder gecontroleerde omstandigheden. Een echte aanval zou extra voorwaarden vereisen, zoals toegang tot servers of de mogelijkheid om dataverkeer gericht te wijzigen. Dit verandert echter niets aan de hypothetische mogelijkheid van dergelijke aanvallen.
Omslagfoto: Shutterstock
Sinds ik ontdekt heb hoe ik beide telefoonkanalen op de ISDN kaart kan activeren voor meer bandbreedte, ben ik aan het knutselen met digitale netwerken. Ik knutsel al met analoge netwerken sinds ik kan praten. Winterthur door keuze met een rood-blauw hart. En koffie - voor, na, tussendoor en tijdens.
Nieuws en trends
Van de nieuwe iPhone tot de wederopstanding van de mode uit de jaren 80. De redactie categoriseert.
Alles tonenDeze artikelen kunnen je ook interesseren
17 opmerkingen
later