Wachtwoordmanagers kunnen soms wel degelijk in je kluis kijken

woensdag, 18 februari 2026 (11:53) - Androidworld.nl

In dit artikel:

Recent onderzoek van onderzoekers aan ETH Zürich en USI Lugano — bericht door ArsTechnica — laat zien dat populaire wachtwoordmanagers niet altijd volledig “zero knowledge” zijn. Bitwarden, LastPass en Dashlane blijken in bepaalde situaties wél toegangspaden te bieden waarmee iemand met controle over de server volledige kluizen kan inzien en daarmee wachtwoorden (en bijvoorbeeld cryptosleutels) kan stelen. Dit raakt miljoenen gebruikers.

De kwetsbaarheden spelen vooral bij functies zoals accountherstel, delen van kluizen en groepsbeheer. Door reverse‑engineering vonden de onderzoekers concrete aanvalsvectoren: bij Bitwarden kan een aanvaller tijdens het uitnodigingsproces de publieke sleutel van een nieuw groepslid vervangen, waardoor die aanvaller later de kluis van dat lid kan ontsleutelen en wijzigen — en zo over organisaties “als een worm” kan uitbreiden. Bij LastPass maakt het ontbreken van verificatie van superadmin‑sleutels het mogelijk zo’n sleutel te vervangen; in combinatie met de browserextensie kan dat toegang geven tot een kluis. Een algemeen probleem is dat velden vaak met dezelfde sleutel worden versleuteld zonder afdoende integriteitscontrole, waardoor een kwaadaardige server velden kan verwisselen en zo eigenlijk wachtwoorden kan blootleggen.

De getroffen bedrijven reageren dat dergelijke scenario’s moeilijk uitvoerbaar zijn en dat er monitoring en reeds aangebrachte patches bestaan. De onderzoekers zeggen echter dat deze issues laten zien dat de “zero‑knowledge” claim in de praktijk niet altijd absoluut is en dat ontwerpkeuzes servermacht kunnen omzetten in leesbare data.

Moet je nu stoppen met het gebruik van een wachtwoordmanager? Niet per se — de grootste kwetsbaarheden zijn inmiddels gepatcht en het alternatief (alle wachtwoorden zelf proberen te onthouden) is vaak onveiliger. Wel is het verstandig om je bewust te zijn van risico’s en maatregelen te nemen: houd software up‑to‑date, schakel waar mogelijk sterke 2FA of hardware‑sleutels in, beperk functies als gedeelde kluizen en accountherstel, bewaar kritisch materiaal (zoals seedphrases) apart en houd een externe lijst bij van welke accounts je waar beheert zodat je bij problemen snel wachtwoorden kunt resetten.