O, wacht… mijn wachtwoord…

De wereld is overvol van wachtwoorden, pincodes, inloggegevens, bsn-nummers, klantnummers en weet ik wat niet al. Ik droomde dat ik bij Sint Pieter kwam – en mijn pincode was vergeten… Ik moest natuurlijk eerst weer terug.

Gelukkig zijn er handige en veilige hulpmiddelen om al die gegevens te bewaren en makkelijk toegankelijk te houden: wachtwoordbeheerders, ofwel ‘password managers’. Laat ik dat eens wat uitvoeriger uiteenzetten. (Eerder schreef ik er, beknopter, al in het Engels over.)

Wachtwoordbeheer

Eerst wat uitleg voor wie nieuw zijn op dit terrein. (Wie haast heeft mag ook meteen doorscrollen naar de laatste paragraaf: ‘KeePassXC’.)

Wachtwoorden zijn gewoon tekstbestanden en die zijn in principe door iedereen te lezen. Ook als je ze bewaart in een spreadsheet met een wachtwoord ervoor, kan die beveiliging tamelijk simpel omzeild worden. Er is dus iets beters nodig.

Dat ‘beters’ is een versleuteld bestand. Encryptie is de technische term daarvoor. Alleen wie de juiste sleutel heeft – in de praktijk een sterk wachtwoord dat alleen de eigenaar kent – kan dat bestand openen. Als dat bestand dan ook nog een database is, wordt het een stuk eenvoudiger om alle verschillende gegevens, zoals gebruikersnaam, wachtwoord, alias, emailadres, URL, extra aantekeningen e.d., netjes te bewaren en snel weer op te zoeken.

De volgende vraag is waar dat bestand dan opgeslagen wordt en hoe het toegankelijk is. Het kan bewaard worden op de eigen computer, tablet, smartphone e.d. Dan is het in principe alleen vanaf datzelfde apparaat toegankelijk. Om vanaf verschillende apparaten bij dat ene bestand met wachtwoorden te kunnen komen moet het worden bewaard op een plek die via een netwerk of via internet bereikbaar is. Dat kan je cloudopslag zijn (Dropbox, Google Drive, OneDrive) of een vergelijkbare dienst op je eigen VPS (zoals ownCloud of Nextcloud). Het kan ook een speciaal voor wachtwoordbeheer bedoelde internetservice zijn, zoals bv. LastPass. Voor die laatste moet je betalen, bij de eerste drie kijken Dropbox, Google en Microsoft gratis mee (maar die kunnen je versleutelde bestand uiteraard niet lezen), op je eigen VPS heb je het zelf in de hand, maar moet je ook zelf je beveiliging op orde hebben en houden.

Het belangrijkste is eigenlijk hoe veilig de toegang tot het versleutelde bestand wordt geregeld en hoe zorgvuldig de gegevens beschikbaar worden gemaakt. Dat is een nogal technische zaak en in feite moet je er gewoon op vertrouwen dat de toepassing die je gebruikt dat netjes heeft geregeld. Dit is het terrein waar termen rondvliegen als ‘AES-256‘ (dan zit het wel goed) of ‘multifactor authenticatie‘ alias ‘2FA’ (een extra beveiliging bij het openen van het bestand). De gebruiker hoeft het niet te snappen als de makers het maar wel helemaal begrepen hebben. En tja, zonder geloof vaart niemand wel…

Een relatief probleem is dat er geen standaard-formaat bestaat voor wachtwoord-bestanden. Elke toepassing kan een eigen formaat gebruiken, als het maar veilig, snel en stabiel werkt. Toch is het KDBX-formaat van KeePass wel een van de meer gebruikte bij lokale wachtwoordbeheerders. Dat betekent dat deze bestanden ook makkelijker uit te wisselen zijn tussen verschillende toepassingen. Een andere mogelijkheid voor uitwisseling bij veel programma’s is om de database te exporteren en dan te importeren als CSV-bestand. Voorzichtigheid is dan wel geboden, want een CSV-bestand is niet beveiligd en tussen exporteren en importeren kunnen zaken ook nog wel eens in de war raken.

Online services

Als het vooral gaat om wachtwoorden voor websites e.d. is een online service wel zo handig. Die is toegankelijk via de webbrowser die je toch al had opgestart en meestal is zo’n dienst ook netjes geïntegreerd in de meest gangbare, zoals Firefox, Chromium, Opera of Vivaldi. Ook integratie op mobiele apparaten met Android of iOS is doorgaans keurig geregeld.

Topspeler op dit terrein is LastPass, maar er zijn er nog veel meer. LastPass maakt het ook mogelijk om andere gegevens, bv. van verzekeringen of lidmaatschappen, veilig op te slaan. Het heeft bovendien handige extra’s, zoals het veilig delen van gegevens met anderen en een ingebouwde wachtwoordgenerator. Er is een gratis versie, maar voor een paar euro per maand kun je al van de complete mogelijkheden gebruik maken.

Omdat het kan voorkomen dat je geen internetverbinding hebt, maakt LastPass het ook mogelijk om je versleutelde database te downloaden en lokaal te bewaren (als CSV overigens). Om daar dan mee te kunnen werken zijn er apps voor de meeste platforms, zowel PC als mobiel.

Een service vergelijkbaar met LastPass is bv. Clipperz, een Italiaans open-source-project. Ook dat biedt de mogelijkheid om de versleutelde database te downloaden en lokaal te bewaren. En het heeft apps om ook mobiel bij je wachtwoorden te kunnen komen. Het is bovendien erg flexibel qua indeling en Clipperz doet erg z’n best om de privacy van de gebruikers te waarborgen.

Lokale wachtwoordbeheerders

Laten we het lokaal houden. Er zijn tientallen lokale wachtwoordbeheerders, juist in het open-source-veld. Je kunt ze gewoon proberen. Let dan wel even op of het betreffende project nog actief ondersteund wordt, want anders zit je al snel met verouderde en dus minder veilige software.

Maar de standaard is eigenlijk heel simpel: KeePass. Made in Germany, door Dominik Reichl, en al sinds 2003 actief. Recent is het zelfs ontdekt door de Nederlandse Belastingdienst (ten burele waarvan voordien de wachtwoorden nog gewoon op briefjes naast het beeldscherm werden bewaard, net zoals in menig ander professioneel kantoor…). De beveiliging wordt voortdurend bijgehouden en verder verbeterd. KeePass is open-source, cross-platform en heeft een schier eindeloze lijst van opties en uitbreidingsmogelijkheden.

En daar zit dan ook meteen de hobbel: een gebruiker kan gemakkelijk de weg kwijtraken in al die mogelijkheden. Voor recht-in-de-leer Linux-gebruikers kan het daarnaast een bezwaar zijn dat KeePass is geschreven in C#, een programmeertaal van Microsoft, zodat er een heleboel Mono-libraries nodig zijn om het programma te kunnen draaien, en dan draait het toch net niet optimaal.

Om toch die mooie KDBX-bestanden te kunnen gebruiken werd KeePass, naar goede Linux-gewoonte, dan ook al snel geporteerd, d.w.z. herschreven in C++, een programmeertaal die zonder meer te gebruiken is op zowel Linux-, Mac- als Windows-computers. En dat werd dus KeePassX.

KeePassX draait inderdaad een stuk soepeler op Linux. De gebruikersinterface is ook aanzienlijk eenvoudiger, zelfs op het spartaanse af. Voor het gewone gebruik van de KDBX-database voldoet dat wel, maar niet iedereen houdt ervan. Bovendien lijkt het de laatste jaren erg stil geworden in het KeePassX team en wordt er niet veel vernieuwd.

Dus – opnieuw: naar goede Linux-gewoonte – werd KeePassX geforkt om als KeePassXC een nieuw, community-based, leven te beginnen. En wees gerust: het is nog steeds ‘made in Germany’.

KeePassXC

KeePassXC draait even soepel op Linux als op Windows of Mac. Het heeft eigen plugins voor een nette browser-integratie in Google Chrome/Chromium, Vivaldi en Firefox. Om de KDBX-database te delen met andere computers of mobiele apparaten gebruikt het gewoon de bestandssynchronisatie van Dropbox, Google Drive, OneDrive, ownCloud e.d. Zodoende kun je ook op mobiele apparaten, met Android of iOS, de KDBX-database openen met elke app die daarvoor bedoeld is, bv. KeePass2Android (via Google Play), danwel KeePass DX of KeePassDroid (via F-Droid, als je Google er buiten wilt laten).

Wat vind ik nu zo handig aan KeePassXC?

  • Ten opzichte van KeePassX geeft de gebruikersinterface een stuk meer informatie, maar het wordt niet zo overvol als bij KeePass. Ook de instellingsmogelijkheden zijn op nuttige wijze uitgebreid ten opzichte van KeePassX. Hoewel het in de eerste plaats bedoeld is om inloggegevens voor websites overzichtelijk op te slaan, kun je met enige creativiteit ook een heleboel andere gegevens veilig kwijt, bv. van je verzekeringen, je bank, je identeit enz.
  • De ingebouwde wachtwoord-generator is handig om snel een sterk wachtwoord te produceren. Omdat je het niet langer zelf hoeft te onthouden, kan de keuze van letters, cijfers en tekens net zo willekeurig zijn als de generator maar wil. Je kunt er ook zelf het een en ander aan instellen. Houd het beneden de 20 tekens, want sommige sites of applicaties kunnen er anders niet mee overweg.
  • De browser-integratie via de KeePassXC-Browser-extensie loopt gesmeerd. Op de website staat een duidelijke uitleg hoe je die moet instellen. Als het eenmaal draait worden inloggegevens automatisch ingevuld met een simpele muisklik.
  • Kleine hobbel: de browser-extensie heeft Qt5-libraries nodig en die zitten alleen in de nieuwste Linux-distro’s. Geen ramp, want je kunt dan ook nog gebruik maken van bv. CKP (voor Chromium/Vivaldi) of KeePass Tusk (voor Firefox). Werkt iets minder mooi, maar dan heb je ook weer een extra reden op je distro te upgraden…
  • Verder heeft KeePassXC nog best een paar mogelijkheden om databases vanuit andere wachtwoordbeheerders te importeren, bv. vanuit LastPass. En exporteren kan uiteraard ook.
  • Tenslotte zijn er een SSH-agent en een commandline-interface beschikbaar. Handig wanneer je KeePassXC over je netwerk wilt kunnen aansturen.

Maar de laatste beveiliging moet je toch zelf regelen. Heb je eenmaal alles keurig in KeePassXC ingevoerd, dan is het toch verstandig om een kopie van die KDBX-database op een schijfje of een stick te zetten en op een hele veilige plek weg te bergen. En op een andere veilige plek een briefje met het toegangswachtwoord, zodat in noodgevallen ook je familie er nog bij kan komen. Houden we dat laatste toch nog ouderwets.

En wat betreft Sint Pieter: misschien moet ik gewoon mijn master-password goed onthouden?